大阪市情報セキュリティ対策基準

1　目的

この大阪市情報セキュリティ対策基準（以下「対策基準」という。）は、大阪市情報セキュリティ管理規程（平成19年達19号。以下「規程」という。）第9条に基づき、本市における情報資産の取扱いについて遵守すべき事項及び情報セキュリティ対策の実施に関する統一的な基準を定めることにより、本市が保有する情報資産をさまざまな脅威から守り、機密性、完全性及び可用性^(注) を維持することによって、本市の行政サービスを安全に提供し、もって市政の円滑な運営及び市政に対する信頼を確保することを目的とする。

 

（注）：国際標準化機構(ISO)が定めるもの(ISO7498-2：1989)

機密性(confidentiality)：情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。

完全性(integrity)　　　：情報及び処理の方法の正確さ及び完全である状態を安全防護すること。

可用性(availability)　 ：許可された利用者が必要なときに情報アクセスできることを確実にすること。

 

2　用語

この対策基準において使用する用語は、規程において使用する用語の例によるほか、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(1)　CISO　最高情報セキュリティ責任者（CISO: Chief Information Security Officer、以下「CISO」という。）をいう。

(2)　システム管理者　項番6のシステムに係る管理体制・役割に規定する業務管理者、サーバ等管理者及び端末機管理者をいう。

(3)　ネットワーク管理責任者　項番6のネットワークに係る管理体制・役割に規定する本市情報通信ネットワーク管理責任者及び局等情報通信ネットワーク管理責任者をいう。

(4)　職員　大阪市職員基本条例第2条に規定する職員をいう。

(5)　端末機　パソコンやモバイル端末等の機器をいう。

(6)　セキュリティインシデント　情報セキュリティに関する問題として捉えられる事象（障害、事件、事故、欠陥、攻撃、侵害等）をいう。

(7)　標的型攻撃　明確な意思と目的を持った人間が特定のターゲットや情報に対して特定の目的のために行うサイバー攻撃の一種をいう。

(8)　本市情報通信ネットワーク　大阪市情報通信ネットワーク管理要綱（以下「ネットワーク管理要綱」という。）の規定に基づく、本市において共通の基盤となる情報通信ネットワークをいう。

(9)　局等情報通信ネットワーク　局等における業務運営のための独自のネットワークをいう。

(10)　業務系ネットワーク　個人番号利用事務に係る特定個人情報等を取り扱う重要システムが利用するネットワークをいう。

(11)　LGWAN接続系ネットワーク　総合行政ネットワーク（LGWAN：Local Government Wide Area Network、以下「LGWAN」という。）の提供サービス及び個人番号関係事務に係る特定個人情報等を取り扱うネットワークをいう。

(12)　庁内情報ネットワーク　全庁的に情報の共有及び活用を行うためのネットワークをいう。

(13)　公開系ネットワーク　インターネットへの接続サービス及び市政情報の発信等の市民サービスを行うために利用するネットワークをいう。

(14)　 外部接続集約ネットワーク　業務システム所管課が独自に運用・整備するモバイルワーク端末等に対してインターネットへの接続サービスを提供するネットワークをいう。

(15)　 電磁的記録媒体 本市が業務上必要のため調達したUSBメモリ、光学メディア、外付けハードディスク等の電磁的方式で作られた記録に係る記録媒体をいう。

3　適用範囲

この対策基準の適用範囲は、局等の職員及び局等の保有する情報資産のうち、行政情報化に関するもの及び最高情報セキュリティ責任者が必要と認めたものとする。

4　対象とする脅威

情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。

(1)　不正アクセス、ウイルス攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等

(2)　情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等

(3)　地震、落雷、火災等の災害等

(4)　電力供給の途絶、通信の途絶等のインフラの障害からの波及等

(5)　大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等

 

5　情報セキュリティ対策

脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。

(1)　 組織・体制及び役割・責任

本市の情報資産について、全庁的な組織・体制及び役割・責任に基づき情報セキュリティ対策を行う。

(2)　情報資産の分類と管理

本市の保有する情報資産を機密性、完全性及び可用性を踏まえ重要性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。

(3)　物理的セキュリティ

サーバ等、情報システム室等、通信回線等及び職員の端末機等の管理について、物理的な対策を講じる。

(4)　人的セキュリティ

情報セキュリティに関し、職員が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。

(5)　技術的セキュリティ

コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。

(6)　運用

情報システムの監視、情報セキュリティポリシー（以下「ポリシー」という。）の遵守状況の確認、外部委託を行う際のセキュリティ確保等、ポリシーの運用面の対策を講じるものとする。

(7)　 点検・評価及び見直し

点検・評価を実施し運用改善を行い、必要に応じて適宜情報セキュリティポリシーの見直しを行う対策を講じるものとする。

6　組織・体制及び役割・責任

(1)　情報セキュリティに係る管理体制・役割

規程第4条から第6条に基づき、情報セキュリティ対策が円滑に推進されるための体制・役割を定める。

①　CISO

CISOは、局等における情報セキュリティを総括し、局等情報セキュリティ責任者に対し、情報セキュリティ対策の統一的な実施に必要な指導、助言又は調整を行う。

②　統括情報セキュリティ責任者

統括情報セキュリティ責任者は、CISOの命を受けて、以下の情報セキュリティに関する必要な措置を行う。

ア　局等情報セキュリティ責任者、情報統括管理者、情報セキュリティ責任者、システム管理者、ネットワーク管理責任者に対する情報セキュリティに関する指導及び助言

イ　本市の情報資産に対するセキュリティインシデントが発生した場合又はセキュリティインシデントのおそれがある場合の必要かつ十分な措置

ウ　本市の情報資産に関する情報セキュリティ実施手順（以下「実施手順」という。）の維持・管理

エ　緊急時等の円滑な情報共有を図るための緊急連絡網の整備

オ　緊急時のCISOへの早急な報告及び回復のための対策

③　局等情報セキュリティ責任者

局等情報セキュリティ責任者は、情報セキュリティに関する連絡体制の構築並びに職員に対するポリシーの遵守に関する指導、助言及び研修その他局等における情報セキュリティの確保のために必要な措置を行う。

④　情報統括管理者

情報統括管理者は、局等における各情報システムの開発及び運用状況、データの管理状況、情報通信ネットワークの利用状況等を把握し、局等において情報セキュリティ対策が適切かつ確実に実施されるよう必要な指導、助言又は調整を行う。

⑤　情報セキュリティ責任者

ア　情報セキュリティ責任者は、所管する情報資産の情報セキュリティ対策が適切かつ確実に実施されるよう必要な措置を行う。

イ　情報セキュリティ責任者は、職員に対するポリシーの遵守に関する指導、助言又は研修その他情報セキュリティの確保のために必要な措置を行う。

ウ　情報セキュリティ責任者は、前項の役割を達成するために、局等情報セキュリティ責任者の許可を得て、その役割を補佐する副情報セキュリティ責任者をおくことができる。

(2)　システムに係る管理体制・役割

①　業務管理者

ア　業務管理者は、システムの開発及び運用、保守の実施並びに管理を担い、当該システムに係る業務を所管する課等のリーダー又は長（以下「リーダー等」という。）をもって充てる。

イ　業務管理者は、システムの運用を開始しようとするときは、サーバ等管理者と協議し、運用管理の体制並びに業務の運用形態・計画及び当該システムに係るハードウェア・ソフトウェアの運用管理の方法等を定めなければならない。

ウ　業務管理者は、システムの運用において、入力資料の作成、電子計算機処理、帳票の出力等に至る業務全体の実施状況を把握・管理するとともに、適時、サーバ等管理者と協議し、システムの保守を適切に実施しなければならない。

②　サーバ等管理者

ア　サーバ等管理者は、システムの稼働管理（死活監視、媒体交換等）を担い、システムに係るサーバ等を設置する課等のリーダー等をもって充てる。

イ　サーバ等管理者は、システムの運用計画並びに実施手順等に基づき、システムが正常に稼働するよう、安全性に十分配慮し適切な運用管理を行わなければならない。

③　端末機管理者

ア　端末機管理者は、円滑に業務処理が実施されるようシステムの利用管理を担い、当該システムに係る端末機を設置する課等のリーダー等をもって充てる。

イ　端末機管理者は、システムの利用者がデータ及びプログラムを利用できる権限（以下「アクセス権限」という。）並びに実施手順等に基づき、安全性に十分配慮し適切な利用が行われるよう、端末機の運用管理を行わなければならない。

(3)　ネットワークに係る管理体制・役割

①　本市情報通信ネットワーク管理責任者

本市情報通信ネットワーク管理責任者は、本市情報通信ネットワークの稼働状況及び障害の管理、ネットワーク上へのアクセス権限の設定など、ネットワークの運用管理を担い、デジタル統括室基盤担当課長をもって充てる。

②　局等情報通信ネットワーク管理責任者

ア　局等情報通信ネットワーク管理責任者は、局等情報通信ネットワークの整備及び運用管理を担い、当該ネットワークに係る業務を所管する課等のリーダー等をもって充てる。

イ　局等情報通信ネットワーク管理責任者は、局等情報通信ネットワークを整備する場合、本市情報通信ネットワークに準じて、安全性及び信頼性を確保するための体制を定めなければならない。

ウ　局等情報通信ネットワーク管理責任者は、規程に基づき、局等情報通信ネットワークにおける実施手順を策定しなければならない。

③　情報統括管理者

情報統括管理者は、本市情報通信ネットワーク管理責任者、局等情報通信ネットワーク管理責任者及び庁舎を管理する者と連携を図り、局等におけるアクセス権限の管理、障害に関する連絡調整など、局等におけるネットワークの適切な運用管理を行う。

7　情報セキュリティに係る連絡調整体制

(1)　全庁的な体制

①　情報セキュリティに関する統一的な窓口の設置

ア　CISOは、CSIRT (Computer Security Incident Response  Team）を整備し、その役割を明確化しなければならない。

イ　CISOは、CSIRTをデジタル統括室に設置し、統括情報セキュリティ責任者をCSIRT責任者とする。CSIRT責任者は、CSIRT内の業務統括及び外部との連携等を行う職員等を定めなければならない。

ウ　CISOは、情報セキュリティの統一的な窓口を整備し、情報セキュリティインシデントについて局等より報告を受けた場合には、その状況を確認し、自らへの報告が行われる体制を整備しなければならない。

②　CISOは、情報システム等の整備・運用に関する規程に規定する情報システム等整備・運用連絡調整会議において、情報セキュリティ対策の実施について局等相互間の連絡調整を行い、本市における情報セキュリティ対策の適切な管理を推進する。

(2)　局等における連絡体制

局等情報セキュリティ責任者は、局等における情報資産に関する情報セキュリティ対策に万全を期すため、情報セキュリティ対策の連絡体制を設置し、以下の関係者その他必要と認める者を随時招集し、局等における情報セキュリティ対策の実施について連絡調整を行う。

ア　情報統括管理者

イ　情報セキュリティ責任者

ウ　システム管理者

エ　局等情報通信ネットワーク管理責任者

(3)　サイバー攻撃等侵害時における緊急連絡体制

CISOは、サイバー攻撃等による緊急の事態により情報資産に重大な被害が生じた場合又は生じるおそれがある場合、緊急連絡体制を設置し、情報セキュリティに関する統一的な窓口を通じて、以下の関係者その他必要と認める者と連携を図り、情報セキュリティ対策が適切に実施されるよう監督、指導を行わなければならない。

ア　局等情報セキュリティ責任者

イ　情報統括管理者

ウ　ネットワーク管理責任者

8　情報資産等の管理

局等情報セキュリティ責任者は、以下の情報セキュリティ対策を行わなければならない。

(1)　情報資産の管理責任

①　管理責任

情報資産は、当該情報資産を所管する局等が適切に管理する責任を有する。

②　利用者の責任

情報資産を業務上利用する職員は、適切に利用する責任を有する。

③　重要性の効力

データが複製又は伝送された場合には、当該複製等も分類に基づき管理しなければならない。

(2)　データの管理と情報資産の管理

①　データの管理

ア　データの分類

対象となるシステムのデータは、各々のデータの機密性、完全性、可用性を踏まえ、以下の重要性分類に従って分類し、重要性分類に従ったアクセス権限を適切に設定しなければならない。

重要性分類

Ⅰ　個人情報及び業務上必要とする最小限の者のみが扱うデータ

Ⅱ　公開することを予定していないデータ及びセキュリティ侵害が行政事務の執行等に重大な影響を及ぼすデータ

Ⅲ　外部に公開するデータのうち、セキュリティ侵害が、行政事務の執行等に影響を及ぼすデータ

Ⅳ　上記以外のデータ

イ　データの作成

(ｱ)　業務上必要のないデータを作成してはならない。

(ｲ)　作成したデータは、重要性分類を定めなければならない。

(ｳ)　作成途上のデータであっても漏えい、滅失、き損、改ざん等を防止しなければならない。また、作成途上で不要になった場合は、当該データを消去しなければならない。

ウ　データの入手

(ｱ)　他の課等が作成したデータを入手した場合、入手元の重要性分類に基づいた取扱いをしなければならない。

(ｲ)　外部のものが作成したデータを入手した場合、当該データの重要性分類を定めなければならない。

②　情報資産の管理

ア　情報資産の管理及び取扱い

(ｱ)　情報資産の管理については、大阪市個人情報の保護に関する法律の施行等に関する条例（令和5年大阪市条例第5号。以下「個人情報保護条例」という。）その他の関連する法令等及び規程に基づき、データの漏えい､滅失、き損、改ざん、消去、盗難等の防止を図るため必要な措置を講じなければならない。

(ｲ)　局等情報セキュリティ責任者は、局等が保有する情報資産を水道局又は学校園（以下「他の所属」という。）に利用させようとするときは、セキュリティ対策上支障がないか確認しなければならない。また、情報資産を利用させようとする他の所属と情報セキュリティに係る連絡調整体制を構築し、ポリシー及び実施手順に準じた情報資産の取扱いを指導及び遵守させなければならない。

(ｳ)　ファイル、データを格納する電磁的記録媒体、ドキュメント等の情報資産は、当該情報資産に記録されたデータの重要性分類に従い、適切に取り扱わなければならない。

(ｴ)　 住民に公開するデータについて、完全性を確保しなければならない。

イ　情報資産の利用

(ｱ)　業務以外の目的に情報資産を利用してはならない。

(ｲ)　情報資産について、定められた場所以外で利用してはならない。ただし、業務遂行上、定められた場所以外への持ち出しが不可欠である場合については、情報セキュリティ責任者の許可を得て持ち出すことができる。

(ｳ)　重要性分類Ⅱ以上のデータを庁外へ持ち出すときは、必要に応じて暗号化又はパスワード設定を行わなければならない。

(ｴ)　 外部ネットワークを利用し、本市以外のものと、電子メール等により重要性分類Ⅱ以上のデータを送信するときは、必要に応じて暗号化又はパスワード設定を行わなければならない。

(ｵ)　重要性分類Ⅱ以上のデータをメールにより取り扱う必要がある場合については、情報セキュリティ責任者の承認を得るとともに、連絡相手のメールアドレス及びメール受取の確認を行う等､厳格に取り扱わなければならない。なお、庁内においてメールを利用する場合においても、上記の取扱いに準じ、適切に運用を行わなければならない。

(ｶ)　データを庁外で処理する場合は実施手順において情報資産の安全管理措置を定めなければならない。

ウ　電磁的記録媒体等の管理

(ｱ) 　情報セキュリティ責任者は、データの重要性が容易に識別できるよう、ファイルが格納された記録媒体等の保管について台帳整備し、所定の場所において適切に管理しなければならない。また、ファイルのバックアップを定期的に取得するよう努め、所定の場所において適切に管理しなければならない。さらに、外付けハードディスクや外付けSSD等のサーバ、パソコン等の端末機の外に置きケーブル等で接続するタイプの記憶装置（以下「外付けハードディスク等」という。）の場合は、これら外付けハードディスク等の現物と台帳に記録された識別番号について定期的に照合点検しなければならない。

(ｲ)   情報セキュリティ責任者は、ファイルが格納された記録媒体等の授受について台帳整備しなければならない。また、ファイルを搬送するときは、データの漏えい、滅失、き損、改ざん等を防止するため、専用トランクを使用する等適切な措置を講じなければならない。

(ｳ)　情報セキュリティ責任者は、ファイルが格納された電磁的記録媒体を長期保管する場合は、必要に応じて書込禁止の措置を講じなければならない。

(ｴ)　情報セキュリティ責任者は、保護データ（大阪市データ保護管理要綱（以下「データ管理要綱」という。）第3条に規定する保護データをいう。）を保管する場合は、データ管理要綱第4条に基づきデータを記録しているファイルが格納された電磁的記録媒体等について、耐火保管庫に保管し、又は予備を作成して別の施設に保管しなければならない。

(ｵ)　情報セキュリティ責任者は、磁気ディスクその他電磁的記録媒体に不要なデータが放置されないよう、不要となったデータを速やかに消去するなど、適正に運用しなければならない。

(ｶ)　情報セキュリティ責任者は、情報資産を廃棄するときは、データ消去その他の適切な措置を講じなければならない。特に、保護データについては、情報を復元できないよう確実に消去を行うとともに、行った処理について、日時、担当者、処理内容等その他必要な事項を記録しなければならない。

(ｷ)　ファイルが格納された電磁的記録媒体等の廃棄を行う者は、情報セキュリティ責任者の許可を得なければならない。ただし、システムに関するものである場合は、システム管理者の許可を得なければならない。

エ　特定個人情報の取扱い

特定個人情報を取り扱う場合は、インターネットから切り離された環境で取り扱わなければならない。

9　物理的セキュリティ

(1)　システムにおける措置

①　サーバ等

ア　装置の取付け等

(ｱ)　サーバ等を取付ける場合は、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置するとともに、当該場所については、職員が不在時の盗難防止のため、施錠等による措置を講じなければならない。

(ｲ)　サーバ等の取付けに当たっては、震災時の転倒又は盗難の防止のため、適切に固定する等必要な措置を講じなければならない。

(ｳ)　 通信ケーブルについては傍受、通信ケーブル及び電源ケーブルについては損傷を受けることがないように可能な限り必要な措置を講じなければならない。また、主要な箇所の配線については、損傷等についての定期的な点検を行わなければならない。なお、施設管理部門から損傷等の報告があった場合、連携して対応しなければならない。

イ　サーバ等の冗長化

重要システムのサーバ等の機器については、原則として冗長化を図り、メインサーバに障害が発生した場合には速やかにセカンダリサーバで対応を行えるようにするなど、システム運用が停止しない措置を講じなければならない。

ウ　電源設備

業務要件やシステムの特性に応じて、サーバ等の機器に、停電時に当該機器を適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付け、また、落雷等による異常電流から保護するための措置を講じなければならない。

エ　サーバ等の機種更新

サーバ等の機種更新を行おうとする時、特に並行稼働時においては、サーバ等の設置場所における電源設備、空調設備等の能力、容量並びに現時点での設備の残存能力、容量を把握し、適切な対応を講じなければならない。

オ　敷地外への機器の設置

サーバ等管理者は、本市が保有するサーバ等の機器を庁外に設置する場合、定期的に当該機器へのセキュリティ対策状況について点検を行わなければならない。

②　端末機等

ア　執務室等における措置

情報資産を保管する執務室等については、職員が不在時の盗難防止のため、パソコンのワイヤーによる固定や執務室等の施錠等による措置を講じなければならない。

イ　モバイル端末のセキュリティ

モバイル端末の庁外での業務利用の際は、必要に応じて、遠隔消去機能を利用する等の措置を講じなければならない。

(2)　ネットワークにおける措置

①　ネットワーク構築上の措置

本市情報通信ネットワークについては、ネットワーク管理要綱に基づき整備しなければならない。局等情報通信ネットワークを構築する場合は、本市情報通信ネットワークに準じて整備しなければならない。ただし、局等情報通信ネットワークを構築するにあたり、ネットワーク管理要綱で定める有線によるネットワークの整備により難い場合はこの限りではない。

ア　このポリシーは、業務運営のために用いる本市情報通信ネットワーク及び局等情報通信ネットワークを対象とし、本市情報通信ネットワーク及び局等情報通信ネットワークについては、各教育機関において教育のために用いるネットワークと分けなければならない。

イ　（非公開）

ウ　（非公開）庁内情報ネットワーク及び公開系ネットワークの外部へのネットワーク接続については、接続ポイントを一元化し、情報セキュリティ対策を集約的に実施できるようにする。

エ　外部接続集約ネットワークについては業務目的以外の端末機等によるネットワーク接続を防止する等の必要な措置を講じた上で構築しなければならない。

オ　局等情報通信ネットワークについても、外部へのネットワーク接続は必要最小限のものに限定しなければならない。

カ　局等情報通信ネットワークを構築するにあたり、有線によるネットワークの整備が適さない合理的な理由がある場合には、解読が困難な暗号化及び認証技術を用いることで、無線によるネットワークの整備を行うことができる。

②　ネットワーク機器等

ア　主要なネットワーク機器（ハブ、ルータ等）及び配線については、管理者以外の者が容易に操作できないような場所に格納又は設置する等必要な措置を講じなければならない。

イ　ネットワーク機器等の構成管理を適切に行わなければならない。

ウ　主要なネットワーク機器については、落雷等による異常電流及び停電等の電気的障害に対し必要な措置を講じなければならない。

③　通信回線

ア　本市情報通信ネットワークにかかる庁舎間を結ぶ通信回線（WAN）については、専用回線又は高いセキュリティ機能を有する回線により構成し、外部からの情報の盗聴及び情報の漏えい等を防止しなければならない。局等情報通信ネットワークについても、本市情報通信ネットワークに準じた対応を行わなければならない。

イ　（非公開）

(3) 情報システム室における措置

①　管理責任

ア　重要システムのサーバ等の機器又はネットワークの基幹機器を設置する情報システム室の管理責任については、当該システム又はネットワークの運用管理を所管する課等のリーダー等（以下「情報システム室管理責任者」という。）が担う。

イ　中央情報処理センターにおいて運用するシステムのサーバ等の機器及び本市情報通信ネットワークの基幹機器等の管理責任については、本市情報通信ネットワーク管理責任者が担う。

②　管理区域

ア　管理区域とは、ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理及び運用を行うための部屋（以下「情報システム室等」という。）や電磁的記録媒体の保管庫をいう。

イ　情報システム室等については、無窓の構造とする等、外部からの侵入が容易にできない管理区域としなければならない。

ウ　管理区域から外部に通じるドアについては必要最小限とし、施錠、警報装置、監視装置等により許可されていない者の立入りを防止しなければならない。

エ　情報システム室等については、外部にその表示を行わない等、できるだけ所在を明らかにしないようにしなければならない。

③　入退室管理

ア　情報システム室等に入室しようとする者は、情報システム室管理責任者の許可を得なければならない。ただし、当該情報システム室管理責任者の属する課等の職員（以下「所属職員」という。）については、この限りでない。

イ　情報システム室管理責任者は、所属職員含む全ての職員及び委託事業者は情報システム室等へ入室するときは、次の事項等を記録し、入室証及び名札を着用させなければならない。

・入室年月日

・入退室時分

・所属または団体名及び氏名

・入室目的

・その他情報システム室管理責任者が必要と認める事項

ウ　情報システム室管理責任者は、入室を許可した者に対して、必要に応じて立入区域を制限し、所属職員の立会い等の措置を講じなければならない。

エ　情報システム室管理責任者は、当該情報システム室等に関係しない端末機、通信回線装置、電磁的記録媒体等を持ち込ませないようにしなければならない。

オ　情報システム室管理責任者は、電磁的記録媒体等の情報資産の外部への持ち出しについて厳重な管理を行わなければならない。

④　機器等の搬入

ア　情報システム室等に機器等を搬入する場合は、あらかじめ当該機器等の既存システムに対する安全性について、情報システム室管理責任者による確認を行わなければならない。

イ　機器等の搬入には、情報システム室管理責任者の立会い等必要な措置を講じなければならない。

⑤　火災・震災等災害に対する措置

ア　情報システム室等は、防火区画を設ける等の防火及び防煙に対する措置を講じなければならない。

イ　情報システム室等の消火設備は、サーバ等の機器や電磁的記録媒体に影響を与えるものであってはならない。また、火気の取扱いについて厳重な管理を行わなければならない。

ウ　情報システム室等及びそれらを設置する建物及び情報システム室は、地震等に対する耐震措置を講じなければならない。また、情報システム室等内の機器類は転倒防止措置を講ずるとともに、緊急時に職員及び委託事業者が円滑に避難できるように配置しなければならない。

エ　情報システム室等には、浸水及び漏水防止等の措置を講じなければならない。

オ　（非公開）

カ　空気調和設備は、急激な温湿度変化等に対処するため、その容量に配慮しなければならない。

⑥　電気的障害に対する措置

ア　情報システム室等は、無停電電源装置の設置等、落雷等による異常電流に対する措置を講じなければならない。

イ　停電によるシステム等の停止が業務運営等に重大な影響を及ぼす可能性がある場合、必要に応じ、自家発電装置の設置等の措置を講じなければならない。

10　人的セキュリティ

(1)　職員における情報セキュリティの徹底

①　ポリシー等の遵守

全ての職員は、ポリシー及び実施手順に定められている事項を遵守しなければならない。

②　教育、研修

ア　ポリシーの周知等

(ｱ)　CISOは、職員が定期的に情報セキュリティ研修を受講できるようにしなければならない。

(ｲ)　CISO は、幹部を含め全ての職員等に対する情報セキュリティに関する研修計画の策定とその実施体制の構築を定期的に行わなければならない。

(ｳ)　研修計画において、職員等は毎年度最低1回は情報セキュリティ研修を受講できるようにしなければならない。

(ｴ)　新規採用の職員等を対象とする情報セキュリティに関する研修を実施しなければならない。

(ｵ)　研修は、それぞれの役割、情報セキュリティに関する理解度等に応じたものにしなければならない。

(ｶ)　CISOは、研修の実施状況を分析、評価して、情報セキュリティの更なる改善に努めなければならない。

(ｷ)　CISOは、情報システム等整備・運用連絡調整会議等において、ポリシーの周知徹底を行わなければならない。また、ICT研修等の機会を利用して、情報セキュリティの啓発に努めなければならない。

(ｸ)　CISOは、標的型攻撃への対応を想定した訓練を実施しなければならない。訓練計画は、ネットワークの規模等を考慮し、訓練実施の体制、範囲等を定め、また、効果的に実施できるようにしなければならない。

(ｹ)　局等情報セキュリティ責任者は、局等における情報セキュリティの連絡体制を利用し、情報セキュリティ責任者その他必要と認める者に対し、ポリシー及び実施手順の周知徹底を行わなければならない。また、局等が実施する研修等により、所属員に対しポリシー及び実施手順の遵守について啓発しなければならない。

(ｺ)　情報セキュリティ責任者は、所属職員がポリシー及び実施手順について理解し、情報セキュリティ上の問題が生じないよう、教育、指導を行わなければならない。

(ｻ)　職員は、定められた研修・訓練に参加しなければならない。

(ｼ)　業務管理者及びネットワーク管理責任者は、ネットワーク及び情報システムの開発・保守等を事業者に発注する場合、再委託事業者も含めて、情報セキュリティポリシー等のうち委託事業者が守るべき内容の遵守及びその機密事項を周知しなければならない。

イ　システムに係る情報セキュリティの徹底

業務管理者は、研修の実施等により、システムの運用に関わる職員を対象に、システム及び当該システムにより処理されるデータに係る情報セキュリティの実施手順並びに実施に必要な知識及び技術等について教育、指導を行わなければならない。

ウ　ネットワークに係る情報セキュリティの徹底

本市情報通信ネットワーク管理責任者は、情報システム等整備・運用連絡調整会議等において、情報統括管理者、その他必要と認める者に対し、ネットワークにおける実施手順並びに実施に必要な知識及び技術等について周知徹底を行わなければならない。

③　職員における情報管理

ア　情報の適切な処理及び業務目的以外の使用禁止

(ｱ)　職員は、設定されているアクセス権限に基づき、業務上必要な情報の処理を適切に処理しなければならない。

(ｲ)　職員は、業務目的以外でのシステムへのアクセス及びインターネットへのアクセス、メールの使用等ネットワークの利用を行ってはならない。

(ｳ)　職員は、ウェブで利用できるフリーメール、ネットワークストレージサービス等について、許可されたサービス以外は使用してはならない。ただし、情報セキュリティ責任者が業務上、必要と判断した場合を除く。

(ｴ)　職員は、ネットワーク管理責任者の許可なく端末機または電磁的記録媒体を本市情報通信ネットワーク及び局等情報通信ネットワークに接続してはならない。

(ｵ)　職員等は、貸与された端末を、有線・無線を問わず、その端末を接続して利用するようシステム管理者によって定められたネットワークと異なるネットワークに接続してはならない。

(ｶ)　 （非公開）

(ｷ)　職員は、庁外で情報処理業務を行う場合には、情報セキュリティ責任者の許可を得なければならない。

イ　情報の漏えい等の防止

(ｱ)　職員は、情報セキュリティ責任者の許可なくして、端末機又は電磁的記録媒体等を執務室以外に持ち出してはならない。ただし、ネットワーク管理要綱に定める庁内情報利用パソコン（以下、「庁内パソコン」という。）の持ち出し（同一庁舎内に限る。）について、次の事項を遵守する場合においては、この限りでない。

・持ち出し中は常時携行するなど、本人が責任をもって管理し、当日中に持ち帰ること

・持ち運ぶ前には庁内パソコン内にデータが保存されていないことを確認のうえ、ロック、ログオフ、またはシャットダウンを行うこと

・持ち出し先の会議室等において職員が不在になる場合、盗難防止のため施錠等による措置を講じること

(ｲ)　 職員は、貸与以外の端末機及び電磁的記録媒体等（以下、「私物端末機等」という。）を原則業務に利用してはならない。ただし、業務上必要な場合は、局等情報セキュリティ責任者が第6号様式により申請し、第7号様式によるCISOの許可を得て利用することができる。

(ｳ)　職員は、私物端末機等を用いる場合には、CISOの許可を得た上で、外部で情報処理作業を行う際に安全管理措置に関する規定を遵守しなければならない。

(ｴ)　職員は、異動、退職等により業務を離れる場合には、利用していた情報資産を、返却しなければならない。また、その後も業務上知り得た情報を漏らしてはならない。

(ｵ)　職員は、使用する機器や電磁的記録媒体について、権限を有しない者の使用や閲覧を防止するため、離席時の端末機のロックや容易に閲覧されない場所での使用等適切な措置を講じなければならない。

(ｶ)　情報セキュリティ責任者は、端末機及び電磁的記録媒体の持ち出し及び持ち込みについて、記録を作成し、保管しなければならない。

(ｷ)　職員は、端末機のソフトウェアに関するセキュリティ機能の設定を業務管理者の許可なく変更してはならない。

ウ　無許可ソフトウェアの導入等の禁止

(ｱ)　職員は、端末機へのソフトウェアのインストール及びアンインストール、若しくは機器の改造、設定変更及び増設、交換を行う場合は、業務管理者及び情報統括管理者等の許可を得なければならない。

(ｲ)　職員は、著作権法や使用許諾契約等に違反するソフトウェアの使用又は複製等を行ってはならない。

エ　セキュリティインシデントに対する報告

(ｱ)　職員は、システムの利用に際してセキュリティインシデントを発見した場合又は市民等外部から通報を受けた場合は、速やかに端末機管理者に報告しなければならない。

(ｲ)　職員は、ネットワークの利用に際してセキュリティインシデントを発見した場合は、速やかにネットワーク管理責任者に報告しなければならない。

(ｳ)　職員は、システム管理者又はネットワーク管理責任者の指示に従い、セキュリティインシデントに対し適切に対処しなければならない。

(ｴ)　職員は、セキュリティインシデントを発見した場合又は市民等外部から通報を受けた場合、情報セキュリティ責任者に報告しなければならない。

④　ID及びパスワード等の管理

ア　IDの取扱い

職員は、自己の管理するIDに関し、次の事項を遵守しなければならない。

・自己が利用しているIDは、他人に利用させてはならない。

・共用IDを利用する場合は、共用IDの利用者以外に利用させてはならない。

イ　パスワードの管理

(ｱ)　業務管理者は、職員のパスワードに関する情報を厳重に管理しなければならない。

(ｲ)　業務管理者は、職員に対してパスワードを発行する場合は、仮のパスワードを発行し、ログイン後直ちに仮のパスワードを変更させなければならない。

(ｳ)　職員は、アクセス権限に係る情報を適切に管理し、自己の保有するパスワードに関しては、次の事項を遵守しなければならない。

・パスワードは他者に知られないように管理しなければならない

・パスワードを秘密にし、パスワードの照会等には一切応じないこと

・（非公開）

・仮のパスワードは、最初のログイン時点で変更すること

・必要でない限りシステム間及び職員間でのパスワードの共有は行わないこと

・サーバ、ネットワーク機器及びパソコン等の端末機等のパスワードの記憶機能を利用してはならない

・パスワードが流出した可能性がある場合は、速やかに端末機管理者に報告し、パスワードを変更しなければならない

ウ　ICカード等の取扱い

(ｱ)　職員は、自己の管理するICカード等に関し、次の事項を遵守しなければならない。

・自己が認証に用いるICカード等を、職員間で共有してはならない。

・共用ICカード等を利用する場合は、共用ICカード等の利用者以外に利用させてはならない。

・業務上必要のないときは、ICカード等をカードリーダ若しくはパソコン等の端末機のスロット等から抜いておかなければならない。

・ICカード等を紛失した場合には、速やかに業務管理者に通報し、指示に従わなければならない。

(ｲ)　業務管理者は、ICカード等の紛失等の通報があり次第、当該ICカード等を使用したアクセス等を速やかに停止しなければならない。

(ｳ)　業務管理者は、ICカード等を切り替える場合、切替え前のカードを回収し、破砕するなど復元不可能な処理を行った上で廃棄しなければならない。

⑤　ソーシャルメディアサービスの利用

ア　情報セキュリティ責任者は、本市が管理するアカウントでソーシャルメディアサービスを利用する場合、情報セキュリティ対策に関する次の事項を含めたソーシャルメディアサービス運用手順を定めなければならない。

(ｱ)　 本市のアカウントによる情報発信が、実際の本市のものであることを明らかにするために、本市の自己管理ウェブサイトに当該情報を掲載して参照可能とするとともに、当該アカウントの自由記述欄等にアカウントの運用組織を明示する等の方法でなりすまし対策を実施すること。

(ｲ)　 パスワードや認証のためのコード等の認証情報及びこれを記録した媒体(ICカード等）等を適正に管理するなどの方法で、不正アクセス対策を実施すること。

イ　重要性分類Ⅱ以上のデータはソーシャルメディアサービスで発信してはならない。ただし、身体人命に危険が及ぶ可能性が高い事業において緊急性を要する場合を除く。

ウ　利用するソーシャルメディアサービスごとの責任者を定めなければならない。

エ　アカウント乗っ取りを確認した場合には、被害を最小限にするための措置を講じなければならない。

オ　可用性が求められる情報の提供にソーシャルメディアサービスを用いる場合は、本市の自己管理Web サイトに当該情報を掲載して参照可能とすること。

⑥　クラウドサービスの利用

ア　情報セキュリティ責任者は、クラウドサービス（事業者が提供するものに限らず、本市が自ら提供するもの等を含む。以下同じ。）を利用するに当たり、取り扱う情報資産の分類及び分類に応じた取扱制限を踏まえ、情報の取扱いを委ねることの可否を判断しなければならない。

イ　情報セキュリティ責任者は、クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用されるリスクを評価して委託先を選定し、必要に応じて委託事業の実施場所及び契約に定める準拠法・裁判管轄を指定しなければならない。

ウ　情報セキュリティ責任者は、クラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討し、委託先を選定する際の要件としなければならない。

エ　情報セキュリティ責任者は、クラウドサービスの特性を考慮した上で、クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上でセキュリティ要件を定めなければならない。

オ　情報セキュリティ責任者は、クラウドサービスに対する情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、クラウドサービス及び当該サービス提供事業者の信頼性が十分であることを総合的・客観的に評価し判断しなければならない。

(2)　外部委託（指定管理者に電子計算機処理業務を実施させる場合を含む。以下同じ。）における管理

①　委託処理に当たっての基本原則

ア　システム及びネットワークの開発又は運用、保守を所管する業務管理者又はネットワーク管理責任者は、これらの業務の全部又は一部を事業者（指定管理者を含む。以下同じ。）に委託しようとする場合又は事業者の再委託を許可する場合、主体性が損なわれないよう本市の責務等次の点に留意するとともに、委託事業者（事業者及び再委託を受けた事業者をいう。以下同じ。）において情報セキュリティ対策が徹底されるよう必要な措置を講じなければならない。

(ｱ)　調整・管理機能、スケジュール等業務全体の遂行を左右する重要な要件や機能を本市のコントロール下におくこと。

(ｲ)　システム及びネットワークに係る業務を委託しようとするときは、システム等のブラックボックス化を防止するために、定期的に検討会議等を設置するなど適切な措置を講じること。

イ　システムに係る業務の委託については、委託事業者において厳重な情報セキュリティ対策が実施されるように管理、指導を行わなければならない。

ウ　システム及びネットワークの開発、運用等において複数の委託事業者が関わる場合は、その分担範囲・責任範囲を明確にするとともに、それらの連携を確保しなければならない。

エ　クラウドサービスを利用する場合は、データの重要性分類に応じたセキュリティレベルが確保されているサービスを利用しなければならない。

②　委託処理における措置

ア　次の事項を委託契約書若しくは協定書に明記し、事業者にその内容を遵守させなければならない。

・ポリシー及び実施手順の遵守

・事業者の責任者、委託内容、作業者、作業場所の特定

・提供されるサービスレベルの保証

・事業者にアクセスを許可する情報の種類と範囲、アクセス方法

・事業者の従業員に対する教育の実施

・提供された情報の目的外利用及び受託者以外の者への提供の禁止

・業務上知り得た情報の守秘義務

・再委託に関する制限事項の遵守

・委託業務終了時の情報資産の返還、廃棄等

・委託業務の定期報告及び緊急時報告義務

・本市による監査、検査

・本市によるセキュリティインシデント発生時の公表

・ポリシーが遵守されなかった場合の規定(損害賠償等)

イ　委託業務の処理に当たっては、委託先となる事業者について委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。

ウ　委託事業者の選定にあたっては、情報セキュリティマネジメントシステムの国際規格の認証取得状況、情報セキュリティ監査の実施状況等を参考にすることが望ましい。

エ　事業者において必要なセキュリティ対策が確保されていることを定期的に確認し、必要に応じ契約に基づき措置しなければならない。また、その内容を局等情報セキュリティ責任者に報告しなければならない。

オ　重要な情報を処理する場合等必要に応じ、本市職員が処理に立ち会うこと。

カ　契約で定められた資格を有する者が作業に従事していることを確認すること。

キ　作業を行う者のユーザID、パスワード等について、作業終了後、不要となった時点で速やかに抹消すること。

11　技術的セキュリティ

(1) アクセス制御

①　アクセス権限の明確化

ア　業務管理者は、所管するシステムの機密保護を図るため、当該システムの利用課等の長に協議し当該システムへアクセスが可能な利用者及びその利用範囲等アクセス権限を明確にし、設定しなければならない。業務管理者は、アクセス権限を本市情報通信ネットワーク又は局等情報通信ネットワーク上に設定しようとするときは、ネットワーク管理責任者に協議しなければならない。

イ　ネットワーク管理責任者は、ネットワークの機密保護を図るため、当該ネットワークへアクセスが可能な利用者及びその利用範囲等アクセス権限を定めなければならない。

②　アクセス権限の管理

ア　システム及びネットワークへのアクセス権限については、ユーザID及びパスワードにより管理を行うことを基本とし、取り扱う情報の重要度に応じてパスワード以外にICカード認証・生体認証等を併用した二要素認証を適用しなければならない。

イ　業務管理者及びネットワーク管理責任者は、システム及びネットワークへのアクセス権限の把握、管理を適切に行わなければならない。また、ログインにおいて、正しくない操作が繰り返しなされた場合、ロックをかける等アクセスの制御を行わなければならない。

ウ　業務管理者及びネットワーク管理責任者は、ユーザID及びパスワードについて、当該システムを利用する課等のリーダー等に協議し、次の事項を定めなければならない。

・ユーザID及びパスワードの付与及び削除手続き

・ユーザIDの保管方法

・パスワードの守秘義務

・パスワードの変更時の管理方法

・その他業務管理者及びネットワーク管理責任者が必要と認める事項　

エ　業務管理者及びネットワーク管理責任者は、職員等は、業務上必要がなくなった場合は、利用者登録を抹消しなければならない。

オ　業務管理者及びネットワーク管理責任者は、利用されていないIDが放置されないよう、点検しなければならない。

カ　業務管理者及びネットワーク管理責任者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。

キ　業務管理者又はネットワーク管理責任者の特権を代行する者は、業務管理者又はネットワーク管理責任者が指名し、情報セキュリティ責任者が認めた者でなければならない。

ク　業務管理者及びネットワーク管理責任者は、特権を付与されたID及びパスワードについて、一般利用者のユーザID及びパスワードよりもセキュリティ機能を強化しなければならない。

ケ　業務管理者及びネットワーク管理責任者は、特権を付与されたIDを初期設定以外のものに変更しなければならない。

③　職員による庁外からのアクセス等の制限

ア　職員が庁外から本市情報通信ネットワーク、局等情報通信ネットワーク又は内部のシステムにアクセスする場合は、ネットワーク管理責任者及び業務管理者の許可を得なければならない。

イ　ネットワーク管理責任者及び業務管理者は、本市情報通信ネットワーク、局等情報通信ネットワーク又は内部のシステムに対する庁外からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない。

ウ　業務管理者及びネットワーク管理責任者は、外部からのアクセスを認める場合、システム上利用者の本人確認を行う機能を確保しなければならない。

エ　ネットワーク管理責任者は、庁外からのアクセスを認める場合、通信途上の盗聴を防御するために暗号化等の措置を講じなければならない。

オ　業務管理者は、庁外からのアクセスに利用する端末機を職員に貸与する場合、セキュリティ確保のために必要な措置を講じなければならない。

④　ネットワーク接続管理

ア　ネットワーク管理責任者は、本市情報通信ネットワーク又は局等情報通信ネットワークに接続するサーバ及び端末機等機器を特定する識別記号を設定・配付し、ネットワークへの接続を適切に管理しなければならない。

イ　ネットワーク管理責任者は、情報統括管理者と連携し、サーバ及び端末機等機器を本市情報通信ネットワーク又は局等情報通信ネットワークに不正に接続させることが無いよう、監視等を行わなければならない。

⑤　ネットワーク稼働環境の管理

ア　ネットワーク管理責任者は、ネットワーク設定情報について不正に変更されないよう、アクセス管理を行うとともに、障害時等に備え､設定情報のバックアップを確保しなければならない。また、ネットワーク構成等に関する情報は、関係者以外に開示してはならない。

イ　ネットワーク管理責任者は、ネットワーク上の通信利用状況並びにネットワーク設計の稼働実績及び資源の利用状況を把握するとともに、障害箇所の検知機能を備え、ネットワークの性能改善に向け必要な措置を講じる等、ネットワークを適正な稼働状況に保たなければならない。

ウ　ネットワーク管理責任者は、ネットワーク利用に大きな支障を生じさせかねない大容量のファイルの通信を制限する等、ネットワークの円滑な利用を図っていかなければならない。

エ　ネットワーク管理責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等を設定しなければならない。

⑥　自動識別の設定

　　（非公開）

⑦　認証情報の管理

ア　業務管理者及びネットワーク管理責任者は、職員等の認証情報を厳重に管理しなければならない。認証情報ファイルを不正利用から保護するため 、オペレーティングシステム等で認証情報設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。

イ　業務管理者及びネットワーク管理責任者は、認証情報の不正利用を防止するための措置を講じなければならない。

 (2)　不正アクセス対策

①　各種ログの取得等

ア　業務管理者、サーバ等管理者及びネットワーク管理責任者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、（非公開）また、窃取、改ざん、消去されないように必要な措置を講じなければならない。

イ　業務管理者及びネットワーク管理責任者は、ログとして取得する項目、保存期間、取扱方法及びログが取得できなくなった場合の対処等について定め、適正にログを管理しなければならない。

ウ　（非公開）また、本市情報通信ネットワーク管理責任者は、職員が業務目的以外の不適切な利用を行おうとしていることが判明した場合、当該職員が属する局等の情報統括管理者に通知し、適切な措置を講じなければならない。

②　外部ネットワークとの接続に係る措置

ア　本市情報通信ネットワーク及び局等情報通信ネットワーク並びにシステムを外部ネットワークと接続するときは、ネットワーク管理責任者及びシステム管理者は、接続を行う外部ネットワークの構成、セキュリティレベル並びに市内部のネットワーク及びシステムにおけるリスク等を詳細に検討し、必要な情報セキュリティ対策が講じられることを明確に確認したうえで、接続を行わなければならない。

イ　本市情報通信ネットワーク管理責任者は、本市情報通信ネットワークに外部ネットワークを接続しようとするときは、CISOの承認を受け、適切に実施及び管理を行わなければならない。

ウ　局等情報通信ネットワーク管理責任者は、局等情報通信ネットワークに外部ネットワークを接続しようとするときは、適切に実施及び管理を行わなければならない。

エ　庁外からのアクセスの許可は、必要最小限にしなければならない。また、庁外からネットワーク、システムにアクセスする場合は、外部アクセスサーバに対してのみ接続を許可する等、内部への不正なアクセスを防御する構成としなければならない。

オ　外部からの不正なアクセスを防御するため、ファイアウォール、侵入検知装置の設置、ポートの管理、アクセス状況の監視、不要なサービスの停止等、必要な措置を講じなければならない。

カ　外部ネットワークを利用し、本市以外のものと通信（メールの利用又はWebサイトによる情報提供等を行う場合を除く。）を行うときは、原則として重要性分類Ⅱ以上のデータは取り扱ってはならない。業務上、重要性分類Ⅱ以上データの取扱いが特に必要な場合については、情報の漏えい、改ざん等を防止するため、あらかじめ個人情報保護条例その他の関連する法令等に基づき必要な対処を行うとともに、通信先との相互の認証、データの暗号化、セキュリティの高い通信回線の利用等必要な措置を講じなければならない。また、その際、使用する暗号鍵については厳重に管理しなければならない。

キ　Webサイトを利用した情報提供等においても、原則として個人情報は取り扱ってはならない。ただし、市民サービス向上の観点から個人情報を取り扱う必要があるときは、あらかじめ個人情報保護条例に基づき必要な対処を行い適正に運用しなければならない。なお、庁内ポータルについても、上記の取扱いに準じ、適切に運用を行わなければならない。

ク　業務管理者及びネットワーク管理責任者は、接続した外部ネットワークの瑕疵によりデータの漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、必要に応じて当該外部ネットワークの管理責任者による損害賠償責任を契約上担保するよう努めなければならない。

ケ　ネットワーク管理責任者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、局等情報セキュリティ責任者及びCISOと協議のうえ、速やかに当該外部ネットワークを物理的に遮断しなければならない。

③　不正アクセス等発見時の対応

ア　ネットワーク管理責任者及び業務管理者は、不正アクセスによるネットワーク及びシステムへの攻撃を発見したときは、影響範囲及び侵入経路等の調査並びに攻撃の記録を保存し、必要な対策を速やかに講じなければならない。また、必要に応じて警察及び関係機関との緊密な連携に努めなければならない。

イ　ネットワーク管理責任者及び業務管理者は、不正アクセスによる攻撃を受け、ネットワーク及びシステム等情報資産に影響が生じたときは、別途定める侵害時の対応に基づき適切な措置を講じなければならない。

ウ　ネットワーク管理責任者及び業務管理者は、攻撃の予告等により攻撃を受けることが明確になった場合、システムの停止を含む必要な措置を講じなければならない。また、関係機関と連絡を密にして情報の収集に努めなければならない。

エ　ネットワーク管理責任者及び業務管理者は、職員による不正アクセスを発見した場合は、当該職員が属する課等の情報セキュリティ責任者に通知し、適切な処置を求めなければならない。

④　不正アクセス等対策における措置

　　ネットワーク管理責任者及び業務管理者は、不正アクセス対策として、以下の事項を措置しなければならない。

ア　使用されていないポートを閉鎖しなければならない。

イ　不要なサービスについて、機能を削除又は停止しなければならない。

ウ　不正アクセスによるウェブページの改ざんを防止するために、データの書換えを検出し、実施手順等に準じた連絡体制に基づき通報するよう、設定することが望ましい。

エ　重要なシステムの設定を行ったファイル等について、定期的に当該ファイルの改ざんの有無を検査することが望ましい。

オ　局等情報セキュリティ責任者は、情報セキュリティに関する統一的な窓口と連携し、監視、通知、外部連絡窓口及び適正な対応などを実施できる体制並びに連絡網を構築しなければならない。

⑤　内部からの踏み台攻撃への対策

ネットワーク管理責任者及び業務管理者は、職員等及び委託事業者が使用しているパソコン等の端末からの庁内のサーバ等に対する攻撃や外部のサイトに対する攻撃を監視しなければならない。

⑥　サービス不能攻撃への対策

ネットワーク管理責任者及び業務管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。

⑦　標的型攻撃への対策

業務管理者及びネットワーク管理責任者は、標的型攻撃による内部への侵入を防止するために、教育等の人的対策を講じなければならない。また、標的型攻撃による組織内部への侵入を低減する対策（入口対策）や内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、外部との不正通信を検知して対処する対策（内部対策及び出口対策）を講じなければならない。

 (3)　コンピュータウイルス対策

①　ウイルス対策の実施

ア　ネットワーク管理責任者は、外部のネットワークから受信したファイルについてウイルスチェックを行うなど、ネットワークへの感染を防止しなければならない。

イ　ネットワーク管理責任者は、外部のネットワークへ送信するファイルについてウイルスチェックを行うなど、外部へのウイルスの拡散を防止しなければならない。

ウ　ネットワーク管理責任者及び業務管理者は、サーバ及び端末機に、ウイルスチェック用のソフトウェアを常駐させなければならない。

エ　ネットワーク管理責任者及び業務管理者は、端末機に対して、ウイルスチェック用のソフトウェアによるフルチェックを定期的に実施しなければならない。

オ　（非公開）

カ　（非公開）

キ　業務で利用するソフトウェアは、パッチやバージョンアップなどの開発元のサポートが終了したソフトウェアを利用してはならない。また、当該製品の利用を予定している期間中にパッチやバージョンアップなどの開発元のサポートが終了する予定がないことを確認しなければならない。

ク　職員は、次の事項を遵守しなければならない。

・外部からデータ又はソフトウェアを取り入れる場合には、必ずウイルスチェックを行うこと

・情報セキュリティ責任者の許可を得て庁外から持ち込んだ又は持ち帰った端末機等を本市のネットワークに接続しようとするときは、当該端末機等についてコンピュータウイルスの感染の有無及びセキュリティパッチの適用状況等について確認を行うこと

・添付ファイルのあるメールを送受信するときは、添付ファイルにウイルスが感染していないかどうか確認を行うこと

・インターネット接続系で受信したインターネットメール又はインターネット経由で入手したファイルを LGWAN 接続系に取り込む場合は無害化すること

・差出人が不明又は不自然に添付されたファイルは開かず速やかに削除すること

・CISOから提供されるウイルス情報に留意し対応すること

・情報セキュリティ責任者が許可した電磁的記録媒体以外は使用しないこと

・不正プログラム対策ソフトウェア等の設定変更権限については、一括管理し、システム管理者が許可した職員を除く職員等に当該権限を付与してはならない。

・（非公開）

②　ウイルス感染等への対応

ア　ネットワーク管理責任者及び業務管理者は、ウイルス感染またはその予兆を発見したときは、影響範囲及び感染経路等を調査し、ウイルスの駆除等必要な対策を速やかに講じなければならない。

イ　ネットワーク管理責任者及び業務管理者は、ウイルスによりネットワーク及びシステム等情報資産に影響が生じたときは、侵害時の対応に基づき必要な措置を講じなければならない。

ウ　職員は、ウイルスに感染した場合又は感染が疑われる場合は、以下の対応を行わなければならない。

・パソコン等のLANケーブルの即時取り外しを行うこと

・モバイル端末等の利用を直ちに中止し、通信を行わない設定への変更又はシャットダウンを行うこと

③　専門家の支援体制

統括情報セキュリティ責任者は、実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。

(4)　システムの開発、導入、保守における措置

①　システムの調達

ア　業務管理者は、システムの開発、導入、保守等の調達に当たって、調達仕様書が情報セキュリティの確保の上で問題のないようにしなければならない。

イ　業務管理者は、機器及びソフトウェアを調達する場合は、製品が情報セキュリティ上問題にならないかどうか確認しなければならない。

②　システムの開発

ア　業務管理者は、本市情報通信ネットワークを利用し、システムの開発を行うときは、本市情報通信ネットワーク管理責任者に協議しなければならない。

イ　業務管理者は、システムの開発に当たって、リスク分析を行うとともに、事故、障害等による被害の発生を防止する､若しくは最小限に抑えるため、次の事項に留意し、必要な対策を講じなければならない。

・システムの運転状況を監視する機能を備えるとともにシステムの障害箇所の検知機能を備えること

・障害箇所を特定するため、ロギング情報（処理及び操作の記録情報）が取得できること

・必要に応じて故障箇所を閉塞し縮退運転ができるようにすること

・必要に応じてサーバ、ディスク装置等主要機器の代替機器を備え、障害時に代替機器への切替が容易に行えること

・本番の運用環境と開発、保守環境とは別に分けること

・システム開発保守及びテスト環境からシステム運用環境への移行について、システム開発・保守計画の策定時に手順を明確にしなければならない。

・移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮しなければならない。

・導入するシステムやサービスの可用性が確保されていることを確認した上で導入しなければならない。

・個人情報及び機密性の高いデータを、テストデータに使用してはならない。

・本番のシステムデータ及びプログラムとテスト用のデータ及びプログラムは別に管理すること

・データ及びシステムのバックアップが容易に行えるようにすること

・データ入力時のエラーチェックを行えるようにすること

・システム開発の責任者及び作業者が使用するIDを管理し、開発完了後、開発用IDを削除すること

・システム開発の責任者及び作業者のアクセス権限を設定すること

ウ　業務管理者及びサーバ等管理者は、システムの維持管理に必要な各種ドキュメントを整備し、保管場所を定め厳重に保管しなければならない。

エ　業務管理者及びサーバ等管理者は、テスト結果を一定期間保管しなければならない。

③　情報システムにおける入出力データの正確性の確保

ア　業務管理者は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。

イ　業務管理者は、故意又は過失により情報が改ざんされる又は漏えいするおそれがある場合に、これを検出するチェック機能を組み込むように情報システムを設計しなければならない。

ウ　業務管理者は、情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。

④　システムの導入

ア　業務管理者は、システムを導入する前に十分なテストを行い、不具合の発見及び解消に努めなければならない。

イ　業務管理者及びサーバ等管理者は、本市情報通信ネットワークを利用したシステムを導入しようとするときは、本市情報通信ネットワーク管理責任者に協議し、ネットワークへの接続テストを行うとともに、アクセス権限を明確にし、アクセスの管理等に関する事項を定めなければならない。

ウ　業務管理者及びサーバ等管理者は、運用テストを行う場合、あらかじめ開発、保守環境環による操作確認を行わなければならない。

⑤　システムの保守

ア　業務管理者及びサーバ等管理者は、システムの保守を行うときは、不具合の確認を行い、既存のシステムの運用に影響が出ないようにしなければならない。

イ　業務管理者及びサーバ等管理者は、システム更新・統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新・統合後の業務運営体制の検証を行わなければならない 。

ウ　業務管理者及びサーバ等管理者は、システムの追加、変更、廃棄等をしたときは、その際の履歴を記録するとともに、ドキュメントの変更整備を行わなければならない。

⑥ 機器の保守等

ア　機器の保守点検を定期的に実施するとともに、その記録を適切に保存しなければならない。

イ　電磁的記録媒体の含まれる機器について、外部の業者に修理させる場合は、当該機器に記録されている内容が消去された状態で行わなければならない。ただし、情報を消去することが難しい場合は、修理を委託する事業者に対し秘密を守ることを契約に定めなければならない。

ウ　電磁的記録媒体の含まれる機器を廃棄、リース返却等をする場合は、当該機器に記録されている全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

(5)　セキュリティ情報の収集

①　セキュリティホールに関する情報の収集及び修正

業務管理者、サーバ等管理者及びネットワーク管理責任者は、情報セキュリティに関する最新の情報を収集し、必要に応じてネットワーク、システムの端末機及びサーバ等のソフトウェアに最新のプログラム修正を行うことにより、セキュリティホールを防ぐ等、必要な措置を講じなければならない。

②　セキュリティ侵害の対策

業務管理者、サーバ等管理者及びネットワーク管理責任者は、情報セキュリティに関する最新の情報を収集し、必要に応じて関係者間で共有しなければならない。また、情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認識した場合は、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。

③　ウイルス対策の周知・徹底

業務管理者、サーバ等管理者及びネットワーク管理責任者は、常時ウイルスに関する情報収集に努めるとともに、必要に応じてウイルス対策について職員に対する啓発を行わなければならない。

12　運用

(1)　システム等の適正運用

①　実施手順の作成

ア　業務管理者は、ポリシーに基づき、当該システムにおける情報セキュリティ対策の実施に関し必要となる事項を定めた実施手順を作成し、局等情報セキュリティ責任者の承認を得なければならない。

イ　ネットワーク管理責任者は、ポリシーに基づき、当該ネットワークにおける情報セキュリティ対策の実施に関し必要となる事項を定めた実施手順を作成し、局等情報セキュリティ責任者の承認を得なければならない。

ウ　局等情報セキュリティ責任者は、当該実施手順についてCISOに第4号様式により承認依頼を行い、第5号様式による承認を得なければならない。

②　運用管理手法、運用計画の明確化

ア　業務管理者は、システムの運用を開始する前に、運用管理の手法及び体制等について明らかにしなければならない。

イ　サーバ等管理者は、システムの運用に当たり、業務管理者と協議し、運用計画を策定し、年間・月間・週間等における運用スケジュール及びシステムの運用時間及び運用形態等運用管理に必要な事項を明確にしなければならない。

ウ　ネットワーク管理責任者は、ネットワークの運用に当たり、運用管理の手法及び体制、運用計画を明らかにしなければならない。

③　機器操作の適正化

ア　システムにおける措置

(ｱ)　システムのサーバ等の機器についてはサーバ等管理者、また端末機については端末機管理者が、それぞれ指示若しくは承認した者が操作を行わなければならない。

(ｲ)　業務管理者及びサーバ等管理者は、操作マニュアル等を作成し、研修を実施する等機器操作の適正化に努めなければならない。また、システムの追加、変更、廃棄等をしたときは、その履歴を記録するとともに常に変更を反映し、操作マニュアル等を最新の状態にしなければならない。

(ｳ)　サーバ等管理者は、システムのオペレーション作業の実施に当たり、次の事項について管理方法を明確に定め、適切に運用管理を行わなければならない。

・スケジュール管理

・出力及び廃棄帳票の管理

・磁気テープ等の電磁的記録媒体の管理

・オペレータの電子計算機室への入退室管理

・オペレータの作業内容の把握、管理

・電子計算機機器及びネットワーク機器の障害時の対応

・その他必要な事項

イ　ネットワークにおける措置

(ｱ)　ネットワーク機器の操作については、ネットワーク管理責任者が指示若しくは承認した者が行わなければならない。

(ｲ)　ネットワーク管理責任者は、操作マニュアル等を作成する、又は利用方法の周知を行う等ネットワークの利用の適正化に努めなければならない。また、ネットワークの追加、変更、廃棄等をしたときは、その履歴を記録するとともに常に変更を反映し、操作マニュアル等を最新の状態にしなければならない。

(ｳ)　ネットワーク管理責任者は、ネットワークのオペレーション作業の実施について適切に管理しなければならない。

④　データ等のバックアップ運用

ア　業務管理者及びサーバ等管理者は、万一の事故、障害等の発生に備え、データ・プログラムのバックアップを適切に行わなければならない。

イ　データ・プログラムのバックアップに当たっては、次の事項に留意しなければならない。

(ｱ)　業務管理者は、バックアップコピーを取得するデータ、取得の方法及びサイクルを定めサーバ等管理者は、それに基づいてデータのバックアップを適切に実施しなければならない。

(ｲ)　サーバ等管理者は、プログラムの変更の都度、プログラムのバックアップコピーを取得しなければならない。

(ｳ)　サーバ等管理者は、データのバックアップ取得後、次のデータのバックアップ取得までの間、必要に応じて、データベースの更新記録情報を取得しなければならない。

⑤　システム管理記録及び作業の確認

ア　業務管理者は、所管する情報システムの運用において実施した作業について、作業記録を作成しなければならない。

イ　業務管理者は、所管するシステムにおいて、システム変更等の作業を行った場合は、作業内容について記録を作成し、詐取、 改ざん等をされないように適正に管理しなければならない。

ウ　業務管理者又は情報システム担当者及び契約により操作を認められ委託事業者がシステム変更等の作業を行う場合は、2名以上で作業し、互いにその作業を確認しなければならない。

⑥　情報システムの設計書等の管理

業務管理者は、ネットワーク構成図、情報システム設計書等について、記録媒体に関わらず、業務上必要とする者以外の者が閲覧したり、紛失等がないよう、適正に管理しなければならない。

⑦　IoT機器を含む特定用途機器のセキュリティ管理

業務管理者及びネットワーク管理責任者は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を講じなければならない。

⑧　電子メールのセキュリティ管理

ア　ネットワーク管理責任者は、権限のない利用者により、外部から外部への電子メール転送（電子メールの中継処理）が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。

イ　ネットワーク管理責任者は、スパムメール等が内部から送信されていることを検知した場合は、メールサーバの運用を停止しなければならない。

ウ　ネットワーク管理責任者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。

エ　ネットワーク管理責任者は、職員等が使用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を職員等に周知しなければならない。

オ　ネットワーク管理責任者は、情報システムの開発や運用、保守等の委託事業者による電子メールアドレス利用について、委託事業者との間で利用方法を取り決めなければならない。

⑨　電子メールの利用制限

ア　職員等は、自動転送機能を用いて、外部へ電子メールを転送してはならない。ただし業務遂行上やむを得ない場合はネットワーク管理責任者の許可を得て行うことができる。

イ　職員等は、業務上必要のない送信先に電子メールを送信してはならない。

ウ　職員等は、複数人に電子メールを送信する場合、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにしなければならない。

エ　職員等は、重要な電子メールを誤送信した場合、情報セキュリティ責任者に報告しなければならない。

⑩　Web会議サービスの利用時の対策

ア　統括情報セキュリティ責任者は、Web会議を適切に利用するための利用手順を定めなければならない。

イ　職員等は、本市の定める利用手順に従い、Web会議の参加者や取り扱う情報に応じた情報セキュリティ対策を実施すること。

ウ　職員等は、Web会議を主催する場合、会議に無関係の者が参加できないよう対策を講ずること。

エ　職員等は、外部から Web会議に招待される場合は、本市の定める利用手順に従い、必要に応じて利用申請を行い、承認を得なければならない。

 (2)　システム等の監視及び予防措置

①　システム等の監視

ア　重要システムの運用に当たっては、情報セキュリティに関する事案を検知するため、サーバ等管理者は、常にシステムの稼働監視を行わなければならない。特に、外部と接続するシステムについては、ファイアウォール等を用い、不正なアクセスによる攻撃を受けていないかどうか監視、分析を行わなければならない。

イ　ネットワークに係る情報セキュリティに関する事案を検知するため、ネットワーク管理責任者は、ネットワークの稼働監視を行わなければならない。特に、外部と接続する本市情報通信ネットワークについては、ファイアウォール、侵入監視装置等を用い、不正なアクセスによる攻撃を受けていないかどうか監視、分析を行わなければならない。

ウ　監視により得られた結果については、消去や改ざんされないために必要な措置を講じ、定期的に安全な場所に保管しなければならない。

エ　重要なログ等を取得するサーバについては、正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。

②　予防措置

ア　業務管理者は、システム及びネットワークに障害又は侵害が発生し、システムが利用できない場合に備え、市民生活への影響を最小限に抑えるため、代替処理方法を定めなければならない。

イ　システムに被害が生じるおそれがある事案を発見した場合、サーバ等管理者は、業務管理者と協議のうえ、予防措置を講じなければならない。また、サーバ等管理者及び業務管理者は、直ちに局等情報セキュリティ責任者に報告しなければならない。

ウ　局等情報セキュリティ責任者は、直ちに、当該事案をCISOに報告しなければならない。

エ　ネットワークに被害が生じるおそれがある事案を発見した場合、ネットワーク管理責任者は、予防措置を講じなければならない。また、ネットワーク管理責任者は、直ちに、当該事案をCISOに報告しなければならない。

(3)　システム等の障害時、侵害時の対応

①　障害時の対応

ア　システムにおける措置

(ｱ)　責任体制

業務管理者及びサーバ等管理者は、システムの障害時における連絡及び対処の責任者となり、関係者との連携によりシステムを速やかに回復しなければならない。

(ｲ)　障害時における対応方法の周知

業務管理者は、サーバ等管理者と協議し、システムの運用を開始する前に、障害時における対応マニュアルを作成し、関係者に周知しなければならない。

(ｳ)　障害時の連絡及び対処

a　端末機管理者は、障害を発見したときは、直ちに、業務管理者に連絡しなければならない。また、業務管理者は、必要に応じてこれをサーバ等管理者に連絡しなければならない。

b　サーバ等管理者は、システムの運用に障害を発見したときは、直ちに、障害状況及び影響範囲を調査するとともに、必要に応じて障害状況等を業務管理者に連絡しなければならない。また、業務管理者は、必要に応じてこれを障害に関係する端末機管理者に連絡しなければならない。

c　業務管理者及びサーバ等管理者は、障害に関係する端末機管理者と連携し、システムの回復に向け適切な措置を講じなければならない。

d　業務管理者及びサーバ等管理者は、障害・故障の発生に関係した部門から原因及び処理の報告を求めるとともに、当該障害・故障の原因及び処理結果について障害記録簿を作成・記録しなければならない。

e　業務管理者は、障害の被害が重大な場合又はシステムの運用に著しい支障（以下「重大障害」という。）が発生している場合は、直ちに、所属の局等情報セキュリティ責任者に報告を行わなければならない。

f　報告を受けた局等情報セキュリティ責任者は、直ちに、CISOに第1－1号様式により報告を行わなければならない。

(ｴ)　再発防止措置

業務管理者及びサーバ等管理者は、障害原因等を分析し、再発防止に向け必要な改善措置を講じなければならない。

(ｵ)　事後検証

CISOは、報告のあった障害事案について、再発防止に向け必要な改善措置が講じられているか局等情報セキュリティ責任者に報告を求めることができる。

イ　ネットワークにおける措置

(ｱ)　責任体制

ネットワーク管理責任者は、障害時における連絡及び対処の責任者となり、関係者との連携によりネットワークを速やかに回復しなければならない。

(ｲ)　障害時における対応方法の周知

ネットワーク管理責任者は、障害時における対応方法について、関係者に周知しなければならない。

(ｳ)　障害時の連絡及び対処

a　本市情報通信ネットワーク管理責任者及び情報統括管理者は、障害を発見したときは、相互に連絡しなければならない。

b　ネットワークを利用して情報処理を行おうとする課等（以下「利用課等」という。）のリーダー等は、障害を発見したときは、直ちに、情報統括管理者を通じて本市情報通信ネットワーク管理責任者に連絡しなければならない。

c　本市情報通信ネットワーク管理責任者及び情報統括管理者は、障害を発見し、又は障害の連絡を受けたときは、相互に連携し、直ちに、障害状況及び影響範囲を調査するとともに、本市情報通信ネットワーク管理責任者は障害に関係する情報統括管理者を通じて利用課等のリーダー等に当該障害状況等を連絡しなければならない。

d　本市情報通信ネットワーク管理責任者は、障害に関係する情報統括管理者及び利用課等のリーダー等と連携し、障害の回復に向け適切な措置を講じなければならない。

e　本市情報通信ネットワーク管理責任者は、障害発生に関係した部門から障害の原因及び処理の報告を求めるとともに、ネットワーク上の障害、故障の原因及び処理結果について障害記録簿を作成、記録しなければならない。

f　本市情報通信ネットワーク管理責任者は、本市情報通信ネットワークに重大障害が発生している場合は、直ちに、CISOに第1－1号様式により報告を行わなければならない。

g　局等情報通信ネットワーク管理責任者は、障害時の連絡及び対処等について、上記の内容に準じ適切な対応を行わなければならない。

(ｴ)　再発防止措置

ネットワーク管理責任者は、障害原因等を分析し、再発防止に向け必要な改善措置を講じなければならない。

(ｵ)　事後検証

CISOは、報告のあった障害事案について、再発防止に向け必要な改善措置が講じられているかネットワーク管理責任者に報告を求めることができる。

②　侵害時の対応

ア　システムにおける措置

(ｱ)　責任体制

局等情報セキュリティ責任者は、所管する情報資産において、不正行為等による情報の漏えい、滅失、改ざん等の侵害事案が発生した場合、連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速に実施するとともに、再発防止の措置を講じなければならない。また、CISOは、侵害時の対応が円滑に実施されるよう、監督、指導を行わなければならない。

(ｲ)　侵害時の対応方法の周知

局等情報セキュリティ責任者は、所管する情報資産に対し作成される実施手順において、侵害時の対応方法を明記させるとともに、関係する管理者、職員に対し当該対応方法について周知を行わなければならない。

(ｳ) 侵害時の連絡

a　システムの利用者が侵害事案の発生を発見したときは、直ちに、端末機管理者に報告し、端末機管理者は業務管理者及びサーバ等管理者に報告しなければならない。また、システムの稼働又は運用に係る担当者が侵害事案の発生を発見したときは、直ちに、サーバ等管理者及び業務管理者に報告しなければならない。

b　報告を受けた業務管理者は、直ちに、所属の局等情報セキュリティ責任者に報告を行わなければならない。

c　報告を受けた局等情報セキュリティ責任者は、直ちに、CISOに第1－1号様式又は第1－2号様式により報告しなければならない。

d　局等情報セキュリティ責任者は、侵害事案が法令等に違反するものと見込まれる場合、CISOと協議し、警察等関係機関に通報しなければならない。

e　CISOは、侵害事案がサイバー攻撃等による緊急時の場合においては、緊急連絡体制を設置し、情報セキュリティ対策が適切に実施されるよう、監督、指導を行わなければならない。

f　侵害を発見した者又は侵害の報告を受けた者は、当該侵害事案を報告すべき者が不在の場合その他の場合において、急を要するときは、上記の規定にかかわらず、直ちに、当該侵害事案を報告すべき者の上位の者に報告しなければならない。

(ｴ) 事案への対処

a　業務管理者及びサーバ等管理者は、侵害事案が発生したときは、次の事項について調査を実施しなければならない。

・事案の内容

・事案が発生した原因

・確認した被害

・影響範囲

b　サーバ等管理者は、次の事案が発生し情報資産保護のためにシステムの停止がやむを得ない場合は、業務管理者に協議の上、システムを停止しなければならない。ただし、情報資産を保護するため急を要する場合には、サーバ等管理者は当該協議をしないでシステムを停止することができる。

・システムの運用に著しい支障をきたす攻撃が継続しているとき

・コンピュータウイルス等不正プログラムが情報に深刻な被害を及ぼしているとき

・その他の情報資産に係る重大な被害が想定されるとき

c　業務管理者及びサーバ等管理者は、事案に係るシステムのアクセス記録及び現状を保存するとともに、事案に対処した経過を記録しなければならない。

d　事案に係る証拠保全の実施を完了するとともに、再発防止の暫定措置を講じた後、システムの復旧を行う。

e　局等情報セキュリティ責任者は、上記の対処に当たり、業務管理者及びサーバ等管理者から随時報告を求め、作業の実施を管理しなければならない。

(ｵ)　再発防止措置

業務管理者及びサーバ等管理者は、当該事案に係る原因及びリスク等を分析し、再発防止に向け必要な改善措置を講じなければならない。また、局等情報セキュリティ責任者は、改善措置の実施について確認を行うとともに、再発防止に向け、関係する管理責任者、職員に対し対応方法について周知を行わなければならない。

(ｶ)　事後検証

CISOは、報告のあった侵害事案について、再発防止に向け必要な改善措置が講じられているか局等情報セキュリティ責任者に報告を求めることができる。

イ　ネットワークにおける措置

(ｱ)　責任体制

ネットワーク管理責任者は、ネットワークにおいて、不正行為等による情報の漏えい、滅失、改ざん等の侵害事案が発生した場合、連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速に実施するとともに、再発防止の措置を講じなければならない。また、CISOは、侵害時の対応が円滑に実施されるよう、監督、指導を行わなければならない。

(ｲ)　侵害時の対応方法の周知

ネットワーク管理責任者は、ネットワークに係る実施手順において、侵害時の対応方法を明記するとともに、関係する管理責任者、職員に対し当該対応方法について周知を行わなければならない。

(ｳ) 侵害時の連絡

a　本市情報通信ネットワークの利用者が侵害事案の発生を発見したときは、直ちに、利用課等のリーダー等に報告し、利用課等のリーダー等は情報統括管理者を通じて本市情報通信ネットワーク管理責任者に報告しなければならない。また、ネットワークの運用管理担当者が侵害事案の発生を発見したときは、直ちに、本市情報通信ネットワーク管理責任者に報告を行わなければならない。本市情報通信ネットワーク管理責任者は関係する情報統括管理者に連絡を行わなければならない。

b　報告を受けた本市情報通信ネットワーク管理責任者は、直ちに、CISOに第1－1号様式又は1－2号様式により報告を行わなければならない。

c　局等情報通信ネットワークにおいて侵害事案の発生を発見した利用者又は運用管理担当者は、直ちに、局等情報通信ネットワーク管理責任者に報告しなければならない。局等情報通信ネットワーク管理責任者は、直ちに、所属の局等情報セキュリティ責任者に報告を行わなければならない。

d　報告を受けた局等情報セキュリティ責任者は、直ちに、CISOに第1－1号様式又は1－2号様式により報告を行わなければならない。

e　ネットワーク管理責任者は、侵害事案が法令等に違反するものと見込まれる場合、CISOと協議し、警察等関係機関に通報しなければならない。

f　CISOは、侵害事案がサイバー攻撃等による緊急時の場合においては、緊急連絡体制を設置し、情報セキュリティ対策が適切に実施されるよう、監督、指導を行わなければならない。

g　侵害を発見した者又は侵害の報告を受けた者は、当該侵害事案を報告すべき者が不在の場合その他の場合において、急を要するときは、上記の規定にかかわらず、直ちに、当該侵害事案を報告すべき者の上位の者に報告しなければならない。

(ｴ)　事案への対処

a　ネットワーク管理責任者は、侵害事案が発生したときは、次の事項について調査を実施しなければならない。

・事案の内容

・事案が発生した原因

・確認した被害・影響範囲

b　ネットワーク管理責任者は、次の事案が発生し情報資産保護のためにやむを得ない場合は、ネットワークの停止を含む必要な措置を講じなければならない。

・ネットワークの運用に著しい支障をきたす攻撃が継続しているとき

・コンピュータウイルス等不正プログラムがネットワーク経由で拡がっているとき

・本市のメールサーバ等が原因となって他者に被害を与えるおそれがあるとき

・その他の情報に係る重大な被害が想定されるとき

c　ネットワーク管理責任者は、事案に係るシステムのアクセス記録及び現状を保存するとともに、事案に対処した経過を記録しなければならない。

d　事案に係る証拠保全の実施を完了するとともに、再発防止の暫定措置を講じた後、ネットワークの復旧を行う。

e　本市情報通信ネットワークに係る対処に当たり、CISOは、本市情報通信ネットワーク管理責任者から随時報告を求め、作業の実施を管理しなければならない。また、局等情報通信ネットワークに係る対処に当たり、局等情報セキュリティ責任者は、局等情報通信ネットワーク管理責任者から随時報告を求め、作業の実施を管理するとともに、CISOに作業状況について報告しなければならない。

(ｵ)　再発防止措置

ネットワーク管理責任者は、当該事案に係る原因及びリスク等を分析し、再発防止に向け必要な改善措置を講じなければならない。本市情報通信ネットワーク管理責任者は、本市情報通信ネットワークの改善措置の実施について、また局等情報セキュリティ責任者は、局等情報通信ネットワークの改善措置の実施について確認を行うとともに、再発防止に向け、関係する管理責任者、職員に対し対応方法について周知を行わなければならない。

(ｶ)　事後検証

CISOは、報告のあった侵害事案について、再発防止に向け必要な改善措置が講じられているかネットワーク管理責任者に報告を求めることができる。

(4)　例外措置

①　例外措置の許可

局等情報セキュリティ責任者及び本市情報通信ネットワーク管理責任者は、ポリシー等を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合には、CISOに第2号様式により申請を行い、第3号様式による許可を受けて、例外措置を取ることができる。

②　緊急時の例外措置

局等情報セキュリティ責任者及び本市情報通信ネットワーク管理責任者は、行政事務の遂行に緊急を要する等の場合であって、例外措置を実施することが不可避のときは、事後直ちにCISOに第2号様式により報告しなければならない。

③　例外措置の申請書の管理

CISOは、例外措置の申請書及び審査結果を適正に保管し、定期的に申請状況を確認しなければならない。

13　ポリシー等の遵守状況の確認

(1)　局等情報セキュリティ責任者は、局等において、ポリシー及び所管する情報資産に係る実施手順が遵守されているかどうか、また、侵害等の問題が発生していないかについて確認し、問題が発生した場合には、直ちに、CISOに報告しなければならない。

(2)　 CISOは、発生した問題について、適正かつ速やかに対処しなければならない。

(3)　ネットワーク管理責任者及び業務管理者は、ネットワーク及びサーバ等のシステム設定等におけるポリシーの遵守状況について、定期的に確認を行い、問題が発生していた場合には適切かつ速やかに対処しなければならない。

(4)　情報セキュリティ責任者は、不正アクセス、不正プログラム等の調査のために、職員が使用している端末機及び電磁的記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。

(5)　CISOは、ポリシー等の遵守状況及び問題発生の状況について確認を行うため、局等情報セキュリティ責任者に報告を求めることができる。

(6)　実施手順の作成方法等については、CISOが定める。局等情報セキュリティ責任者は、所管する情報資産について実施手順の作成又は見直しが行われた場合、当該情報資産の管理者から報告を受けなければならない。また、局等情報セキュリティ責任者は、実施手順を見直し、変更（役職名や連絡先の変更等の軽微なものを除く。）が行われた場合、CISOに第4号様式により報告を行わなければならない。

(7)　職員のポリシーに違反する行動を確認した場合には、速やかに次の措置を講じなければならない。

・システムの利用者が違反を確認したときは、端末機管理者に報告し、端末機管理者は業務管理者及びサーバ等管理者に報告すること。また、システムの稼働又は運用に係る担当者が違反を確認したときは、サーバ等管理者及び業務管理者に報告すること。

・報告を受けた業務管理者は、局等情報セキュリティ責任者に報告すること。

・報告を受けた局等情報セキュリティ責任者は、適切な措置を行うこと。

・局等情報セキュリティ責任者の指導によっても改善されない場合、CISOは、当該職員のネットワーク又はシステムを使用する権利を停止あるいは剥奪することができる。その後速やかに、CISOは、職員の権利を停止あるいは剥奪した旨を局等情報セキュリティ責任者に通知すること。

・ただし、当該違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があるとCISO が判断した場合において、CISO は、当該職員のネットワーク又はシステムを使用する権利を停止あるいは剥奪することができる。

(8)　 情報セキュリティポリシーに違反した職員等及びその監督責任者は、その重大性、発生した事象の状況等に応じて、地方公務員法及び大阪市職員基本条例に基づき懲戒処分の対象となる場合がある。

14　点検・評価及び見直し

(1)　点検・評価

①　局等情報セキュリティ責任者は、所管するシステム及びネットワークに係る実施手順に基づき必要な情報セキュリティ対策が実際に実施されているかどうか、また、実施手順に記載された情報セキュリティ対策に不足がないかどうかについて、定期的に点検を行わなければならない。委託事業者に委託している場合、業務管理者は、ポリシーの遵守について定期的に点検を行わなければならない。

②　局等情報セキュリティ責任者は、情報セキュリティ責任者と連携して、所管する局等における情報セキュリティポリシーに沿った情報セキュリティ対策状況について、定期的に自己点検を行わなければならない。

③　局等情報セキュリティ責任者は、点検結果に基づき、必要な改善を行わなければならない。また、点検結果において、ポリシーの記載に疑義が生じたときは、直ちに、CISOに報告しなければならない。

④　職員は、点検結果に基づき、自己の権限の範囲内で改善を図らなければならない。

⑤　CISOは、局等情報セキュリティ責任者に対し、情報セキュリティ対策の点検実施の要請及び点検結果の報告を求めることができる。

⑥　CISOは、規程に定める情報セキュリティ検査の指摘事項が被検査部門以外の所管する情報資産に対して、同様の課題及び問題点がある可能性がある場合は、当該課題及び問題点の有無を局等情報セキュリティ責任者に報告を求めることができる。

(2)　セキュリティ対策の見直し、変更

①　CISOは、情報セキュリティをめぐる情勢の変化及び情報セキュリティ検査の結果を踏まえ、適宜対策基準の実効性を評価し、必要があるときは見直し、変更を行わなければならない。

②　CISOは、対策基準の変更を行ったときは、速やかに局等情報セキュリティ責任者その他関係者に周知を行わなければならない。

③　局等情報セキュリティ責任者は、所管するシステム及びネットワークについて、ポリシーの変更並びに情報セキュリティをめぐる情勢の変化等に伴い、適宜情報セキュリティ対策の見直しを行ない、必要があると認めるときは、当該システム及びネットワークの実施手順の変更を行わなければならない。

④　CISOは、本市情報通信ネットワークについて、ポリシーの変更に伴う情報セキュリティ対策の見直しを行わなければならない。

15　対策基準等の取扱い

対策基準及び実施手順のうち、公にすることにより本市の行政運営に重大な支障を及ぼすおそれのある情報については、非公開とする。

附　則

1　この対策基準は、平成19年4月2日より施行する。

2　この対策基準の施行に伴い、大阪市情報セキュリティポリシー（平成14年5月23日施行）は、廃止する。

（経過措置）

3　この対策基準の施行による廃止前の大阪市情報セキュリティポリシー第2章大阪市行政全般における情報セキュリティ対策基準　2組織・体制　(2)役割・責任　②システムに係る役割・責任　ア業務管理責任者　(ｴ)、③ネットワークにおける役割責任　(ｱ) 総括ネットワーク管理責任者　b並びに③ネットワークにおける役割責任　イの規定により策定した実施手順は、規程第10条及び対策基準10運用　(1)システム等の適正運用　①実施手順の作成の規定により作成し、市副情報統括責任者の承認を得た実施手順とみなす。

附　則

この改正対策基準は平成19年12月10日より施行する。

附　則

この改正対策基準は平成20年11月21日より施行する。

附　則

この改正対策基準は平成21年4月1日より施行する。

附　則

この改正対策基準は平成21年5月1日より施行する。

附　則

この改正対策基準は平成22年4月1日より施行する。

附　則

この改正対策基準は平成23年4月1日より施行する。

附　則

この改正対策基準は平成23年12月1日より施行する。

附　則

この改正対策基準は平成24年4月6日より施行する。

附　則

この改正対策基準は平成26年2月1日より施行する。

附　則

この改正対策基準は平成26年10月1日より施行する。

（経過措置）

（非公開）

附　則

この改正対策基準は平成27年10月9日より施行する。

附　則

この改正対策基準は平成28年1月1日より施行する。

附　則

この改正対策基準は平成28年3月14日より施行する。

（経過措置）

改正対策基準の施行時点において情報システムが機能的に要件を満たしていない場合はこの限りではない。ただし、当該情報システムは、システム更改時等に準拠しなければならない。

附　則

この改正対策基準は平成28年4月1日より施行する。

附　則

この改正対策基準は平成29年2月1日より施行する。

附　則

この改正対策基準は平成29年4月1日より施行する。

附　則

この改正対策基準は平成29年7月1日より施行する。

附　則

この改正対策基準は平成30年4月1日より施行する。

附　則

この改正対策基準は平成31年4月1日より施行する。

附　則

この改正対策基準は令和3年12月1日より施行する。

附　則

この改正対策基準は令和4年4月1日より施行する。

附　則

この改正対策基準は令和5年4月1日より施行する。

附　則

この改正対策基準は令和5年11月1日より施行する。