○葛飾区情報セキュリティに関する規則

令和2年3月31日

規則第11号

(目的)

第1条 この規則は、葛飾区(以下「区」という。)が保有する情報資産の機密性、完全性及び可用性を維持するため、区が実施する情報セキュリティ対策に関し基本的な事項を定めることを目的とする。

(用語の定義)

第2条 この規則において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(1) 情報システム 与えられた一連の処理手順に従って事務を自動的に処理する電子的機器により構成された組織並びにこれらの組織を相互に接続するための通信回線及び装置をいう。

(3) 情報資産 情報及び当該情報を管理する情報システムをいう。

(4) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。

(5) 機密性 情報にアクセスすることを認められた者だけが、情報にアクセスすることができる状態を確保することをいう。

(6) 完全性 情報が破壊、改ざん又は消去されていない状態を確保することをいう。

(7) 可用性 情報にアクセスすることを認められた者が、必要なときに、中断されることなく、情報にアクセスすることができる状態を確保することをいう。

(8) 情報セキュリティポリシー この規則、情報セキュリティ対策基準及び学校情報セキュリティ対策基準の総称をいう。

(9) 情報セキュリティ対策基準 この規則に基づき情報セキュリティに関する対策(以下「情報セキュリティ対策」という。)を行うに当たり、統一的に遵守すべき行為、判断等の基準(葛飾区立学校設置に関する条例(昭和31年葛飾区条例第14号)に規定する小学校、中学校、特別支援学校及び幼稚園(以下「学校」という。)に係る情報資産を対象とするものを除く。)であって、葛飾区長(以下「区長」という。)が別に定めるものをいう。

(10) 学校情報セキュリティ対策基準 この規則に基づき情報セキュリティ対策を行うに当たり、統一的に遵守すべき行為、判断等の基準(学校に係る情報資産を対象とするものに限る。)であって、葛飾区教育委員会(以下「教育委員会」という。)が別に定めるものをいう。

(11) 情報セキュリティ監査 情報セキュリティについて総合的に点検し、評価することをいう。

(12) オペレーション室 主としてバッチ処理、プログラム開発等に必要な専用の電子的機器が設置されている場所をいう。

(13) サーバ室 情報システムのサーバその他情報処理に必要な主要機器が設置されている場所をいう。

(14) 電算センター オペレーション室及びサーバ室の総称をいう。

(15) 部 区長部局に属する部(葛飾区組織条例(昭和39年葛飾区条例第60号)第1条に規定するものをいう。)、会計管理室、教育委員会事務局、選挙管理委員会事務局、監査事務局及び議会事務局をいう。

(16) 部長 部の長(会計管理室にあっては、会計管理者とし、教育委員会事務局にあっては、教育次長及び学校教育担当部長とし、議会事務局にあっては、議会事務局長とする。)及び葛飾区組織規則(昭和40年葛飾区規則第4号)第8条第2項に規定する担当部長をいう。

(17) 実施機関 区長、教育委員会、葛飾区選挙管理委員会、葛飾区監査委員、葛飾区農業委員会及び葛飾区議会をいう。

(18) 派遣労働者 労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和60年法律第88号)第26条第1項に規定する労働者派遣契約に基づき実施機関の指揮命令を受ける者をいう。

(19) 職員等 実施機関の職員及び派遣労働者をいう。

(20) 受託者等 実施機関から情報資産を取り扱う業務の委託を受けたもの(当該委託を受けたものから当該業務の全部又は一部の委託を受けたもの及び当該業務につき順次にされるその全部又は一部の委託を受けたものを含む。)及び地方自治法(昭和22年法律第67号)第244条の2第3項の規定により、区が指定する法人その他の団体をいう。

(対象とする脅威)

第3条 実施機関は、情報資産に対する脅威として、次に掲げるものを想定し、情報セキュリティ対策を実施する。

(1) 不正アクセス、ウイルス攻撃等のサイバー攻撃、部外者の侵入等の意図的な要因による情報資産の漏えい、破壊、改ざん、消去、詐取、内部不正等

(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計及び開発の不備、操作及び設定の誤り、メンテナンスの不備、内部及び外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の意図的でない要因による情報資産の漏えい、破壊、消去等

(3) 地震、落雷、火災等の災害による業務の停止等

(4) 大規模かつ広範囲にわたる疾病による要員不足に伴う情報システムの運用の機能不全等

(5) 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等

(情報セキュリティポリシーの遵守等)

第4条 職員等及び受託者等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティポリシー、個人情報の保護に関する法律(平成15年法律第57号)その他情報セキュリティに関係する法令等(以下「関係法令等」という。)を遵守しなければならない。

2 実施機関は、受託者等に関係法令等を遵守させるために必要な措置を講じなければならない。

(令5規則5・一部改正)

(情報資産の分類)

第5条 実施機関は、情報資産を、電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られた記録をいう。)及び当該電磁的記録を管理する情報システムにあっては機密性、完全性及び可用性のレベルに応じ、文書、図画、写真及びフィルムにあっては重要性のレベルに応じて分類し、その分類に応じた情報セキュリティ対策を講じなければならない。

(情報セキュリティ対策)

第6条 実施機関は、第3条に規定する脅威から情報資産を保護するため、次に掲げる対策を講ずるものとする。

(1) 情報システム全体の強靭性の向上(区が管理する情報システムに、外部からの攻撃に耐え得る強靭性を持たせ、及びそれを向上させることをいう。)

(2) 人的セキュリティ対策(情報資産を取り扱う職員等及び受託者等の情報セキュリティに関する権限、責任等を明確にし、並びに当該職員等及び受託者等に関係法令等の内容を周知徹底することをいう。)

(3) 物理的セキュリティ対策(電算センター等への不正な立入りの防止及び情報資産への損傷、妨害等からの保護をすることをいう。)

(4) 技術的セキュリティ対策(情報資産を区の外部及び内部からの不正なアクセス等から保護することをいう。)

(5) 運用等におけるセキュリティ対策(システム開発等の外部委託、ネットワークの監視及び関係法令等の遵守状況の確認等を実施することをいう。)

(6) 危機管理対策(大規模な災害等の緊急事態が発生した際に迅速な対応を可能とすることをいう。)

(最高情報セキュリティ統括責任者)

第7条 情報セキュリティの総合的な管理を行うため、最高情報セキュリティ統括責任者を置き、総務部(総合庁舎整備担当部長が担任する事務を除く。)を担任する葛飾区副区長をもって充てる。

2 最高情報セキュリティ統括責任者に事故があるとき又は最高情報セキュリティ統括責任者が欠けたときは、総務部(総合庁舎整備担当部長が担任する事務を除く。)を担任する葛飾区副区長以外の葛飾区副区長がその職務を代理する。

(令4規則35・一部改正)

(最高情報セキュリティ統括責任者の所掌事項)

第8条 最高情報セキュリティ統括責任者は、次に掲げる事項を所掌する。

(1) 情報セキュリティ対策基準及び学校情報セキュリティ対策基準で定める情報セキュリティ対策の推進及び管理体制の確立に関すること。

(2) 情報セキュリティポリシーの見直しに関すること。

(3) 情報セキュリティ対策の実施状況の調査及び是正の指示に関すること。

(4) 前3号に掲げるもののほか、情報セキュリティの総合的な管理を行うために必要な事項

(情報セキュリティ委員会の設置)

第9条 区の情報セキュリティを総合的かつ統一的に行うため、葛飾区情報セキュリティ委員会(以下「情報セキュリティ委員会」という。)を置く。

(情報セキュリティ委員会の所掌事項)

第10条 情報セキュリティ委員会は、次に掲げる事項を審議する。

(1) 情報セキュリティポリシーの見直しの検討に関すること。

(2) 情報セキュリティ監査の方針の承認に関すること。

(3) 職員等の情報セキュリティに係る研修の計画に関すること。

(4) 前3号に掲げるもののほか、次条の委員長が必要と認める事項

(情報セキュリティ委員会の組織)

第11条 情報セキュリティ委員会は、委員長、副委員長及び委員をもって組織する。

2 委員長は、最高情報セキュリティ統括責任者とし、情報セキュリティ委員会を代表し、会務を総理する。

3 副委員長は、総務部(総合庁舎整備担当部長が担任する事務を除く。)を担任する葛飾区副区長以外の葛飾区副区長及び葛飾区教育委員会教育長とする。

4 委員は、部長をもって充てる。

5 委員長に事故があるとき又は委員長が欠けたときは、総務部(総合庁舎整備担当部長が担任する事務を除く。)を担任する葛飾区副区長以外の葛飾区副区長がその職務を代理する。

6 前項の場合において、総務部(総合庁舎整備担当部長が担任する事務を除く。)を担任する葛飾区副区長以外の葛飾区副区長に事故があるとき又は総務部(総合庁舎整備担当部長が担任する事務を除く。)を担任する葛飾区副区長以外の葛飾区副区長が欠けたときは、葛飾区教育委員会教育長がその職務を代理する。

(令4規則35・一部改正)

(情報セキュリティ委員会の会議)

第12条 情報セキュリティ委員会は、委員長が招集する。

2 情報セキュリティ委員会は、委員の半数以上の出席がなければ会議を開くことができない。

3 委員長は、必要があると認めるときは、委員以外の者を会議に出席させ、意見を聴くことができる。

4 前3項に掲げるもののほか、情報セキュリティ委員会の運営に関し必要な事項は、委員長が別に定める。

(情報セキュリティ委員会の庶務)

第13条 情報セキュリティ委員会の庶務は、総務部総務課において処理する。

(情報セキュリティインシデント発生時の対応)

第14条 情報セキュリティインシデント(望まない、又は予期しない単独又は一連の情報セキュリティに係る事象であって、業務の遂行を危うくする確率及び情報セキュリティを脅かす確率が高いものをいう。)に適切に対応するための体制は、区長が別に定めるところによる。

(情報セキュリティ監査等の実施)

第15条 最高情報セキュリティ統括責任者は、関係法令等の遵守状況を検証するための情報セキュリティ監査を定期又は臨時に実施する体制を整備する。

2 実施機関は、関係法令等の遵守状況を検証するため、定期又は臨時に自己点検を実施する。

3 第1項の情報セキュリティ監査及び前項の自己点検の実施方法等は、情報セキュリティ対策基準及び学校情報セキュリティ対策基準で定めるところによる。

(委任)

第16条 この規則の施行に関し必要な事項は、区長が別に定める。

この規則は、令和2年4月1日から施行する。

(令和4年4月28日規則第35号)

この規則は、公布の日から施行する。

(令和5年3月22日規則第5号)

この規則は、令和5年4月1日から施行する。

葛飾区情報セキュリティに関する規則

令和2年3月31日 規則第11号

(令和5年4月1日施行)