○海津市国税連携ネットワークシステムのセキュリティ対策に関する規程
平成23年1月1日
訓令甲第1号
目次
第1章 総則(第1条―第2条)
第2章 セキュリティ組織(第3条―第6条)
第3章 アクセス管理(第7条―第21条)
第4章 情報資産管理(第22条―第24条)
第5章 委託管理(第25条―第27条)
附則
第1章 総則
(目的)
第1条 この訓令は、本市における国税連携ネットワークシステムのセキュリティ対策(以下「セキュリティ対策」という。)を総合的に実施するため、必要な事項を定めることを目的とする。
(定義)
第2条 この訓令において使用する用語の定義は、「電気通信回線その他の電気通信設備に関する技術基準及び情報通信の技術の利用における安全性及び信頼性を確保するために必要な事項に関する基準」(平成22年総務省告示第284号。以下「総務省基準」という。)で使用する用語の例による。
第2章 セキュリティ組織
(セキュリティ統括責任者)
第3条 市長は、セキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副市長をもって充てる。
(システム管理者)
第4条 国税連携ネットワークシステムの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、企画課長をもって充てる。
(セキュリティ責任者)
第5条 国税連携ネットワークシステムを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、税務課長をもって充てる。
(セキュリティ会議)
第6条 会議は、セキュリティ統括責任者が招集するとともに、議長を務める。
2 会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1) システム管理者
(2) セキュリティ責任者
(3) 企画課長
3 セキュリティ会議は、次に掲げる事項を所掌し、審議する。
(1) セキュリティ対策の決定及び見直し
(2) セキュリティ対策の遵守状況の確認
(3) 第3章に定める緊急時の対応
(4) セキュリティ対策の監査の実施
(5) セキュリティ対策の教育及び研修の実施
4 議長は、必要があると認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
5 セキュリティ会議の庶務は、税務課において処理する。
第3章 アクセス管理
(アクセス管理を行う機器)
第7条 次に掲げる国税連携ネットワークシステムの構成機器について、アクセス管理を行う。
(1) サーバ
(2) 業務端末
2 前項のアクセス管理は、パスワードの入力により操作をする者(以下「操作者」という。)の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。
(アクセス管理責任者)
第8条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、税務課長をもって充てる。
(パスワードの管理)
第9条 アクセス管理責任者は、パスワードの管理に関し、次に掲げる事項を実施する。
(1) パスワードの管理の方法を定めること。
(2) 操作者の管理簿を作成すること。
(操作者の責務)
第10条 操作者は、前条第1号の規定により定めるパスワードの管理方法を遵守しなければならない。
(オペレーティングシステムの管理)
第11条 アクセス管理責任者は、第13条のアクセス管理を実施するもののほか、国税連携ネットワークシステムに係る構成機器のオペレーティングシステムについて必要なセキュリティ対策を実施する。
(操作履歴の記録)
第12条 アクセス管理責任者は、操作履歴を、5年間さかのぼって解析できるよう、保管するものとする。
(不正アクセスの脅威度)
第13条 国税連携ネットワークシステムのセキュリティを侵犯する不正行為の脅威度については、次の3つに区分する。
脅威度 | 事象 | 事例 |
レベル3 | 税務情報に脅威を及ぼすおそれの高い事象 | (1)税務情報が記録されている磁気ディスク、本人確認情報を保護するうえで重要なソフトウェア、ドキュメント等のある場所への無権限者の侵入 (2)ファイアウォールを通過した不正アクセス (3)業務端末等の不審な操作の検出 (4)コンピュータウイルス等の侵入によるシステムの異常動作 (5)税務情報保護に関する重大な脆弱性の発見 |
レベル2 | 税務情報に脅威を及ぼすおそれの低い事象 | (1)国税連携ネットワークシステムに関係があるが、税務情報が記録されていない磁気ディスク及び税務情報の保護とは関係がないソフトウェア、ドキュメント等のある場所への無権限者の侵入 (2)ファイアウォールを通過しなかった不正アクセス (3)ウイルス対策ソフトによるコンピュータウイルス等の検出 |
レベル1 | 税務情報に脅威を及ぼすおそれのない事象 | ・国税連携ネットワークシステムに直接関係のない備品のある場所への無権限者の侵入 |
(状況の把握)
第14条 システム管理者、アクセス管理責任者又はその権限の委任を受けた者(以下「システム管理者等」という。)は、前条で定める不正行為の脅威度がレベル2又はレベル3に該当する可能性が高いと認めたときは、岐阜県の国税連携ネットワークシステム担当部署に通報し、かつ、指定法人においても状況の把握を行うよう要請しなければならない。
(緊急対応策の実施)
第15条 システム管理者等は、前条に定める状況を把握した運用監視の強化等の緊急措置を実施しなければならない。
(1) 指定法人、関係する都道府県の国税連携ネットワークシステム担当部署、ベンダー等の協力の下で緊急措置の実施を行うこと。
(2) 不正行為の脅威度がレベル3に該当する可能性が高い場合は、必要に応じて、システムの停止(一部切り離し又は一部停止を含む。)等緊急措置を行うこと。
(3) 指定法人、他の地方公共団体等が緊急措置を講ずる必要がある場合は、当該団体に緊急措置の実施を要請する。
(不正行為の脅威度の判定)
第16条 システム管理者等は、指定法人、関係する都道府県の国税連携ネットワークシステム担当部署、ベンダー等の協力の下で、当該事象の脅威度を判定しなければならない。
(緊急対応時のセキュリティ会議の開催)
第17条 システム管理者は、不正行為の脅威度がレベル2又はレベル3に該当する場合、住民サービスに対する影響や広報の必要性が生じる可能性が高いこと等を踏まえ、システム管理者等は、必要に応じてセキュリティ統括責任者又はその委任を受けた者にセキュリティ会議の開催を求めなければならない。
2 セキュリティ会議は、システムの停止による(一部切り離し、一部停止を含む。)住民への対応、広報等の重要事項について決定(必要に応じ、事後承認)を行う。この場合において、その開催については、原因解明作業や対応策の実施作業と並行して、随時行う。
(市長への報告)
第18条 前条のセキュリティ会議により決定した事項について、セキュリティ統括責任者は、決定事項を市長へ報告しなければならない。
(システムの停止)
第19条 市長は、セキュリティ統括責任者の報告を踏まえ、市民の個人情報の漏洩のおそれ、又は保護が不適切であると判断したときは、国税連携ネットワークシステムの停止を行うことができる。
(原因の解明)
第20条 システム管理者等は、必要に応じて、指定法人、関係する都道府県の国税連携ネットワークシステム担当部署、ベンダー等と協力し、収集したログ等により、原因を解明しなければならない。
(緊急措置の見直し及び恒久対策の立案)
第21条 システム管理者等は、前条の規定により解明した原因等に基づき、次の対応を行わなければならない。
(1) 既に実施した緊急措置を見直し、必要に応じてシステム復旧等を行うこと。
(2) 恒久対策の立案を行うこと。
(3) 指定法人、関係する都道府県の国税連携ネットワークシステム担当部署、関係する市区町村の国税連携ネットワーク担当部署に連絡する。
第4章 情報資産管理
(情報資産管理)
第22条 市長は、国税連携ネットワークシステムの情報資産(国税連携ネットワークシステムに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)を適正に管理するため管理責任者を置く。
2 情報資産のうち、税務情報及び当該税務情報が記録されたサーバに係る帳票の管理者(以下「税務情報管理責任者」という。)並びにこれら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、企画課長及び税務課長をもって充てる。
(税務情報等に係る管理責任者)
第23条 税務情報等の税務情報管理責任者は、当該税務情報を取り扱うことができる者を指定するものとする。
2 前項の管理責任者(以下「税務情報管理者」という。)は、税務情報の漏洩、滅失及びき損の防止その他の税務情報の適切な管理のための必要な措置をとらなければならない。
3 税務情報管理者は、税務情報が記録されたサーバに係る帳票の管理の方法を定めなければならない。
(その他の情報資産管理責任者)
第24条 税務情報等に係る情報資産以外の情報資産の管理責任者は、当該情報資産の管理の方法(利用者の指定を含む。)を定めるものとする。
2 前項の管理責任者は、関係課長等と協議して、国税連携ネットワークシステムのオペレーション計画を定めるものとする。
第5章 委託管理
(委託を受けようとする者の管理体制等の調査)
第25条 国税連携ネットワークシステムを管理し、又は利用する部署の長は、外部委託しようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査しなければならない。
(委託契約書への記載事項)
第26条 外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。
(1) 情報が記録された資料の保管、返還及び破棄に関する事項
(2) 情報が記録された資料の目的外使用及び複製並びに複写及び第三者への提供の禁止に関する事項
(3) 情報の秘密の保持に関する事項
(4) 事故等の報告に関する事項
(5) 国税ネットワークシステムに係る事務の実施に必要な電気通信回線その他電気通信設備を有し、総務省基準と同様のセキュリティ対策を実施する事項
(6) 国税ネットワークシステムに係る業務のほか、電子申告の審査サーバの運営又は年金特徴に係る業務を行う場合には、当該業務についての総務省基準と同様のセキュリティ対策を実施する事項
(7) 定期に、指定法人の監査を受ける事項
(8) 指定法人による監査の結果、事務の実施に必要な電気通信回線その他電気通信設備を有せず、又は総務省基準に適合したセキュリティ対策が実施されていないと認められた場合には、委託契約を解除することができる事項
(9) 再委託を行う場合には、事前申請及び承認を求める事項
(10) 前各号に定めるもののほか、市長が定める事項
(受託者の管理状況の調査)
第27条 国税連携ネットワークシステムを管理し、又は利用する部署の長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
附則
この訓令は、平成23年1月1日から施行する。
附則(平成25年6月21日訓令甲第11号)
この訓令は、公表の日から施行する。
附則(平成29年3月28日訓令甲第9号)
この訓令は、公表の日から施行する。
附則(令和6年3月25日訓令甲第3号)
この訓令は、令和6年4月1日から施行する。