大阪市水道局ソフトウェアライセンス管理要綱

（目的）

第1条　この要綱は、大阪市水道局情報セキュリティ管理規程（平成23年水道事業管理規程第1号。以下「規程」という。）第10条の2第4項に基づき、ソフトウェアライセンス管理の方法その他必要な事項を定め、その適正な取扱いの確保に資することを目的とする。

（定義）

第2条　この要綱において使用する用語は、この要綱に定めるもののほか、規程において使用する用語の例による。

2　この要綱において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

（1）ハードウェア

パソコン、サーバー等、次号で定めるソフトウェアの導入が可能なコンピュータ機器をいう。プリンタ、FAX、複合機、スキャナ、ハブ、ルーター、外付けハードディスク、LAN接続ハードディスク等は含まない。

（2）ソフトウェア

著作権者の使用許諾条件に同意してハードウェアに導入するプログラム又はデータをいう。

（3）利用ソフトウェア

ハードウェアに導入して利用可能な状態のソフトウェアをいう。

（4）ソフトウェア媒体

ソフトウェアライセンスを保有していることを対外的に証明するために必要な部材（インストール用メディア、ソフトウェアのパッケージ（外箱）、ライセンス証書、使用許諾契約書、マニュアル等）をいう。

（5）調達

ハードウェア、ソフトウェア又はソフトウェアライセンスを、有償、無償にかかわらず取得することをいう。

（6）導入

使用許諾条件に同意してソフトウェアをハードウェア内で利用可能な状態にし、又はハードウェアの利用者等に割り当て、当該ソフトウェアの機能をハードウェア上で利用できる状態にすることをいう。

（7）棚卸

対象資産が管理台帳に記載されている内容と一致しているか調査することをいう。

（職員の責務）

第3条　職員は、著作権法その他関連する法令及び使用許諾条件を遵守し、ソフトウェアを適正に利用しなければならない。

（対象資産）

第4条　この要綱の対象とする情報資産は、次の各号に定めるものとする。

（1）大阪市水道局（以下「局」という。）が所有又は管理するハードウェアのうち、局事業における情報化に関する全てのハードウェア

（2）前号のハードウェアに導入されているソフトウェア

（3）局が所有又は管理するソフトウェアライセンス及びそのソフトウェア媒体のうち、局事業における情報化に関する全てのソフトウェアライセンス及びそのソフトウェア媒体

（対象資産の利用制限）

第5条　対象資産の用途は、局事業における事務に限定し、私的な利用を禁止する。

2　次の各号に定めるソフトウェアは、調達及び導入を禁止する。

（1）個人所有のソフトウェア

（2）ファイル交換ソフトその他業務上必要のないソフトウェア

（3）海賊版、偽造品等、正規のソフトウェアライセンスによらないソフトウェア

（4）最高情報セキュリティ責任者が別に指定する、セキュリティ上の脆弱性又は使用許諾条件遵守上の懸念のあるソフトウェア

（ソフトウェアライセンス管理計画の策定）

第6条　最高情報セキュリティ責任者は、毎年度当初にソフトウェアライセンス管理計画（以下「計画」という。）を策定しなければならない。

2　前項の計画には、次に掲げる事項を定めるものとする。

（1）職員への研修の時期及び内容

（2）棚卸の時期及び内容

（3）監査の時期及び内容

（4）その他ソフトウェアライセンスの適正な管理に必要な事項

3　最高情報セキュリティ責任者は、計画の円滑な進行のために必要な指導、助言又は調整を行わなければならない。

（対象資産の管理）

第7条　情報セキュリティ責任者は、次の各号に定める管理台帳を備え、対象資産（無償のソフトウェアを除く。以下この条及び第9条において同じ。）を適正に管理しなければならない。

（1）ハードウェア管理台帳

（2）利用ソフトウェア管理台帳

（3）ライセンス管理台帳

（4）ソフトウェア媒体管理台帳

2　情報セキュリティ責任者は、対象資産に変更が生じた場合は、前項に規定する管理台帳を速やかに更新しなければならない。

（棚卸）

第8条　情報セキュリティ責任者は、計画に基づき棚卸を実施し、その結果を最高情報セキュリティ責任者に報告しなければならない。

2　情報セキュリティ責任者は、前項の規定による棚卸のほか、必要と認めるときは随時に棚卸を行うことができる。

（不正利用発見時の措置）

第9条　情報セキュリティ責任者は、職員が第5条の規定に違反していると認めるときは、直ちにその状況を調査し、最高情報セキュリティ責任者に報告しなければならない。

2　情報セキュリティ責任者は、管理台帳と対象資産に差分が生じている理由が不適切であると認めるときは、直ちにその原因を調査し、最高情報セキュリティ責任者に報告しなければならない。

3　最高情報セキュリティ責任者は、前2項の規定による報告を受けたときは、直ちに、必要な措置を講じなければならない。

4　最高情報セキュリティ責任者は、前項の規定による報告を受けたときは、再発防止のために必要な措置が適切に講じられるよう指導及び監督を行わなければならない。

（監査）

第10条　最高情報セキュリティ責任者は、計画に基づきソフトウェアライセンス管理が適切に行われているかどうかを検証するための監査を実施しなければならない。

2　情報セキュリティ責任者は、最高情報セキュリティ責任者より監査の通知があった場合は、適切に対応しなければならない。

3　最高情報セキュリティ責任者は、前1項に規定する監査の結果に基づき、必要があると認めるときは、講ずべき改善措置の内容を定めなければならない。

4　情報セキュリティ責任者は、前項の規定により最高情報セキュリティ責任者が定める改善措置を適切かつ確実に実施しなければならない。

5　監査の実施方法その他必要な事項は、最高情報セキュリティ責任者が定める。

（見直しの実施）

第11条　最高情報セキュリティ責任者は、前条の監査の結果を踏まえ、適宜この要綱に検討を加え、必要があると認めるときは、これを変更しなければならない。

（研修）

第12条　最高情報セキュリティ責任者は、計画に基づきソフトウェアライセンス管理に関する研修を実施しなければならない。

（その他）

第13条　この要綱に基づくソフトウェアライセンス管理手順及びソフトウェアライセンス管理手順を補足するマニュアルは、最高情報セキュリティ責任者が別に定める。

附則

1 この要綱は、平成28年12月26日から施行する。

（経過措置）

2 この要綱の第7条、第8条及び第9条第2項の規定は、この要綱の施行の日以後に新たに作成される管理台帳について適用する。