情報セキュリティ基本方針

• 平成14年8月1日制定
• 平成15年8月1日改正
• 平成22年7月30日改正
• 平成27年9月25日改正
• 平成31年3月15日改正
• 令和2年3月23日改正
• 令和4年9月1日改正
• 令和5年4月1日改正

1　趣旨

この方針は、目黒区（以下「区」という。）における情報セキュリティ対策の総合的かつ基本的な方針について定めるものとする。

2　基本理念

区は、デジタル技術を積極的に活用することにより、区民サービスの向上や業務の効率化を進めなければならない。一方で、行政が管理し保有する様々な情報とそれを処理するためのシステムについては、災害、障害、過失及び不正の脅威から守り、正確性や安全性を確保した安定的な運用が強く求められている。

職員をはじめ区の情報資産に携わる全ての者は、情報の漏えいや紛失、不正アクセス、コンピュータウイルス感染等の防止など常に情報セキュリティの重要性を認識し、制度、技術、運用の全般にわたる安全措置を講じることにより、個人情報や区の情報システムを高い安全管理のもとに保持していくものとする。

3　定義

この基本方針における用語の意義は、規則で使用する用語の例並びに次の（1）及び（2）に定めるとおりとする。

（1）情報資産

情報処理システム、情報処理機器、電磁的記録媒体、電子情報処理をして得られた電子データ及び文書並びに手作業の処理による文書（窓口及び郵送により受けた申請書、通知等を含む。）をいう。

（2）情報セキュリティ

情報資産の機密性、完全性及び可用性を維持することをいう。

• 「機密性」：許可された者だけが情報資産にアクセスできる状態を確保すること。
• 「完全性」：情報資産が正確及び完全であることを常に維持すること。
• 「可用性」：許可された者が必要なときに確実に情報資産を利用できること。

4　適用の範囲

この方針を適用する行政機関は、区長部局、行政委員会及び区議会事務局とする。

5　管理体制の整備

区が保有する情報資産について、統一的な情報セキュリティ対策の実施を図るため、全庁的な管理体制を整備する。

（1）最高情報セキュリティ責任者

• ア　区における情報セキュリティ対策を統括するため、最高情報セキュリティ責任者（以下「CISO」という。）を置き、副区長をもって充てる。
• イ　CISOは、次に掲げる事務をつかさどる。
  • （ア）　区政全般における情報セキュリティに係る安全管理の維持及び向上に関すること。
  • （イ）　区政全般における情報セキュリティに係る安全管理措置の総合調整に関すること。
  • （ウ）　区政全般における情報セキュリティに係る災害、障害、過失及び不正の脅威に対する対処に関すること。

（2）番号制度関連システム等セキュリティ会議

• ア　CISOは、住民基本台帳ネットワークシステム及び行政手続における特定の個人を識別するための番号の利用等に関する法律（平成25年法律第27号。以下「番号法」という。）第2条第14項に規定する情報提供ネットワークシステム（以下「情報提供ネットワークシステム」という。）並びにこれらと連携する情報処理システムに係る安全管理措置の実施について、当該措置の詳細な調査及び検討を行うため、番号制度関連システム等セキュリティ会議（以下「会議」という。）を置く。
• イ　会議は、次の事項について、調査及び検討を行い、その結果をCISOに報告する。
  • （ア）　住民基本台帳ネットワークシステム及び情報提供ネットワークシステム並びにこれらと連携する情報処理システムにおいて取り扱う電子情報の安全管理措置に関する規程に関すること。
  • （イ）　住民基本台帳ネットワークシステム及び情報提供ネットワークシステム並びにこれらと連携する情報処理システムにおける緊急時の対応に係る計画に関すること。
  • （ウ）　住民基本台帳ネットワークシステム及び情報提供ネットワークシステム並びにこれらと連携する情報処理システムによる業務処理に従事する者に対する研修に関すること。
  • （エ）　（ア）から（ウ）までに掲げるもののほか、住民基本台帳ネットワークシステム及び情報提供ネットワークシステム並びにこれらと連携する情報処理システムにおいて取り扱う電子情報の安全管理措置に関する重要事項。

（3）情報マネジメント会議

• ア　CISOは、区における個人情報の漏えい等の未然防止、再発防止等に係る調査及び検討を行うため、情報マネジメント会議を置く。
• イ　情報マネジメント会議は、次の事項について、調査及び検討を行う。
  • （ア）　CISOが下命する情報セキュリティに関する重要事項。
  • （イ）　目黒区情報公開・個人情報保護審議会へ諮問又は報告を要する個人情報保護制度の運用に関する重要事案の検討及び調整。

6　情報セキュリティ対策に係る規程の体系

区の情報セキュリティ対策は次の（1）から（3）に基づいて実施することとする。

（1）情報セキュリティ基本方針（この方針）

区長が定める区の情報セキュリティに関して基本とする方針

（2）情報セキュリティ対策基準

CISO又は教育長が基本方針に基づいて定めた具体的な情報セキュリティ対策の基準

（3）情報セキュリティ実施手順

部長（担当部長を含む。）が情報セキュリティ対策基準に基づいて定めた各事務における情報セキュリティ対策の実際の手順

7　職員の責務

職員（人材派遣により区の業務に従事する者を含む。以下同じ。）は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たり、情報セキュリティ基本方針、情報セキュリティ対策基準及び情報セキュリティ実施手順を遵守しなければならない。

8　委託事業者等の情報セキュリティ対策

区は、業務を委託する事業者及び公の施設の管理を行う指定管理者等に対し、区の情報セキュリティ対策を踏まえた必要な情報セキュリティの水準がこれらの者において確保されるよう、適切な指導、措置等を実施なければならない。

9　情報資産の分類及び管理

各情報資産に適した情報セキュリティ対策を行うため、情報資産を機密性、完全性及び可用性の観点から分類し、管理方法等を具体的に定める。

10　情報資産に対する脅威への対応

情報資産に対する脅威を次のとおり想定し、発生頻度及び発生時の影響等を踏まえて、情報セキュリティ対策を実施する。

（1）意図して脅威を発生させる行為によるもの

部外者の侵入、不正アクセス、コンピュータウイルス攻撃、サービス不能攻撃等

（2）脅威が発生する可能性があるもの

情報資産の無断持ち出し、個人情報・非公知の情報・職務上知り得た情報に対する無許可の記録・保存・公開、操作権限を有しない者による操作、利用権限を有しないソフトウエア導入等の規定違反、プログラム上の欠陥、操作ミス、故障等

「非公知」：その情報が保有者の管理課以外では一般的に入手することができない状態にあること。

（3）その他

災害（地震、落雷、火災、風水害等）、社会基盤の障害（停電、通信回線障害等）等

11　情報セキュリティ対策の内容

区が保有する情報資産を上記10の脅威から保護するため、次の情報セキュリティ対策を実施する。

（1）物理的な対策

情報資産の設置場所又は保管場所への立入りの制限及び機器の管理

（2）人的な対策

職員が遵守すべき事項の周知、教育等

（3）技術的な対策

情報資産を保護するためのコンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等

（4）運用面の対策

• ア　上記（1）から（3）までの対策による情報セキュリティの維持・管理
• イ　情報資産への被害が発生した場合等における緊急時対応体制の整備

12　情報セキュリティ監査及び自己点検の実施

情報セキュリティが維持されていることを検証するため、定期的又は必要に応じて監査及び自己点検を行う。

13　情報セキュリティ基本方針等の見直し

情報セキュリティ基本方針、情報セキュリティ対策基準及び情報セキュリティ実施手順は、上記12の監査及び自己点検の結果や情報セキュリティを取り巻く状況の変化（情報処理システムの変更、新たな脅威の発生等）等を踏まえ、必要に応じて見直しを実施する。

14　個人情報の適正な取扱い

個人情報の適正な取扱いのため、個人情報の保護に関する法律等関係法令を遵守し、個人情報の管理体制の整備、職員教育、情報システムにおける安全確保等の措置を講じる。

15　特定個人情報の適正な取り扱い

特定個人情報の適正な取扱いのため、行政手続における特定の個人を識別するための番号の利用等に関する法律等関係法令を遵守し、特定個人情報等を取り扱う体制の整備及び情報処理システムの整備を行う。

• （1）特定個人情報を取り扱う事務の範囲を明確にし、その責任を明確に定める。
• （2）特定個人情報の取扱いについては、適切な安全管理措置を講じる。