情報セキュリティ基本方針

（1）目的

本市が取り扱う情報資産には,市民の個人情報を始めとし行政運営上重要な情報など,部外に漏えい等した場合には極めて重大な結果を招く情報が多数含まれており,これらの情報資産を人的脅威や災害,事故等から防御することは,市民の財産,プライバシー等を守るためにも,また,継続的かつ安全,安定的な行政サービスの実施を確保するためにも必要不可欠である。
さらに,市民サービスの向上,業務効率化や合理化の要請に対応するために,本市における情報システムによる業務量及び利用範囲は拡大の一途をたどっており,今や行政運営基盤として欠かせないものとなっている。そのため,本市の業務執行を今後も円滑に進めるためには,本市が管理している全ての情報システムが高度な安全性を有することが不可欠である。
このため,本市の情報資産の機密性,完全性及び可用性（注）を維持するための対策を整備するため,情報セキュリティポリシーを定めることとし,情報セキュリティの確保に最大限取組むこととする。
このうち情報セキュリティ基本方針においては,本市の情報セキュリティ対策の基本的な方針として,情報セキュリティポリシーの対象,位置付け等を定めるものとする。

• （注）：国際標準化機構（ISO）が定めるもの（ISO7498-2：1989）
  機密性（confidentiality）：
  情報にアクセスすることが認可された者だけがアクセス出来ることを確実にすること。
  完全性（integrity）：
  情報及び処理の方法の正確さ及び完全である状態を完全防護すること。
  可用性（availability）：
  許可された利用者が必要なときに情報にアクセス出来ることを確実にすること。

（2）定義

1.局等

仙台市事務分掌条例（昭和34年仙台市条例第20号）第1条に掲げる局及び室,区役所,会計室,教育委員会事務局,人事委員会事務局,監査事務局,農業委員会事務局,議会事務局,選挙管理委員会事務局,消防局及び各公営企業をいう。

2.事務所管課

その保有するデータの一部又は全部の電子計算機処理を行うことにより所管する事務を遂行する課(これに準ずるものを含む。以下同じ。)をいう。

3.電子計算機

ハードウェア及びソフトウェアで構成するコンピュータをいう。また,電子計算機のうち,職員等が情報処理を行うために直接操作する機器を端末といい,そのうち,必要に応じて移動させて使用することを目的として導入したものをモバイル端末という。また,モバイル端末のうち,庁舎内と同様の汎用的業務を庁舎外で行うために使用するものをテレワーク端末という。

4.記録媒体

電子計算機に使用される磁気ディスク,磁気テープ,光ディスク,フラッシュメモリその他これらに類する媒体をいう。また,記録媒体のうち,取り外し可能で持ち出しが可能なものを外部記録媒体という。

5.電子計算機室等

本市の電子計算機を運用管理する目的で設置している部屋をいう。

6.ネットワーク

電子計算機等を相互に接続するための通信回線及びその構成機器（ハードウェア及びソフトウェア）で構成され,情報処理を行う仕組みをいう。

7.情報システム

電子計算機,ネットワーク,周辺機器等の組み合わせ,または電子計算機単体で構成され,情報処理を行う仕組みをいう。

情報システムが接続するネットワークは以下のものをいう。

（1.）個人番号利用事務系ネットワーク

個人番号（マイナンバー）利用事務を取扱う情報システムが接続する共用ネットワーク及び当該情報システム専用のネットワークをいう。

（2.）LGWAN接続系ネットワーク

LGWANに接続する共用ネットワーク及びLGWANに接続する情報システム専用のネットワークをいう。

（3.）インターネット接続系ネットワーク

インターネットにアクセス又はインターネットからのアクセスを許可する情報システムが接続するネットワークをいう。

（4.）独立系ネットワーク

上記の（1.）から（3.）の要件に該当しない情報システムが接続する共用ネットワーク及び情報システム専用のネットワークをいう。

8.行政情報

本市の行政事務の執行に関わる情報で,情報システムで取り扱うものをいう（入出力帳票及び情報システム仕様書等を含む）。
ただし,行政情報を外部へ提供した場合やICカード等に行政情報を記録したものを市民に交付する等により,当該情報の管理責任が本市から離れたものを除く。

9.情報資産

本市の情報システム,外部記録媒体及び行政情報をいう。

10.特定用途機器

テレビ会議システム,IP電話システム,ネットワークカメラシステム等の特定の用途に使用される情報システム特有の構成要素であって,通信回線に接続されている,又は内蔵の記録媒体を備えているものいう。

11.ロボティック・プロセス・オートメーション

ロボティック・プロセス・オートメーション（以下「RPA」という。）はこれまで人間が行ってきた定型的な処理等をソフトウェアのロボットにより自動化するものをいう。

12.外部サービス

外部サービスとは,外部の事業者が提供するサービスの総称であり,以下のものをいう。

（1.）委託による外部サービス

本市の業務を外部の事業者に委託することにより調達する外部サービスのことをいう。

（2.）約款等による外部サービス

無料有料を問わず,以下の形態により調達する外部サービスのことをいう。

（a）約款への同意のみにより利用可能となる外部サービス

• 事業者が定める約款への同意によって利用可能となるサービスのことをいう。

（b）約款に特約等を付して調達する外部サービス

• 事業者が定める約款に取扱う行政情報の保護に関する特約等を付加し,利用するサービスのことをいう。

（c）国やLGWAN-ASPにより提供される外部サービス

• 国が提供するサービスのほか,地方公共団体情報システム機構（以下.J-LISという。）等がLGWANを通じて地方公共団体向けに提供するサービスのことをいう。

13.クラウドサービス

データやソフトウェアをネットワーク経由でサービスとして利用者に提供するものをいい,主に仮想化技術により実現されているものをいう。

14.仮想化技術

サーバなどのハードウェア資源（CPU,メモリ,ディスクなど）を抽象化し,物理的な制限にとらわれず,ソフトウェア的に統合・分割できるようにする技術のことをいう。

15.テレワーク

情報通信技術(ICT=Information　and　Communication　Technology)を活用した,勤務場所にとらわれない柔軟な働き方のことをいう。

16.情報セキュリティ

情報資産の機密性,完全性及び可用性を維持することをいう。

17.セキュリティ障害

セキュリティ障害とは,本市の情報資産に対する脅威が実際に生じることにより,情報資産の機密性,完全性又は可用性が損なわれることであり,以下のものをいう。
（1）情報システムの故障,停止
（2）情報システムへの不正アクセス攻撃
（3）情報システムの不正な利用
（4）情報システムにおける入出力内容の誤り
（5）情報資産の盗難
（6）情報資産の紛失,滅失
（7）行政情報の漏えい
（8）行政情報の改ざん
（9）行政情報の誤送付,誤送信
（10）その他の障害

18.ソーシャルメディア

ブログ,ソーシャルネットワーキングサービス（SNS）,動画共有サイト等,利用者が情報を発信し,形成していくメディアのことをいう。

（3）情報セキュリティポリシーの位置付け

情報セキュリティポリシーは,本市の情報資産に関する情報セキュリティ対策について,総合的,体系的に取りまとめたものであり,情報セキュリティ対策の最高位に位置するものである。

（4）情報セキュリティポリシーの対象範囲

情報セキュリティポリシーの対象範囲は,本市の局等における情報資産及び情報資産を扱うすべての職員（非常勤嘱託職員,会計年度任用職員,臨時的任用職員,アルバイト及び再任用職員を含む。以下同じ。）とする。

（5）職員の義務

職員は,情報セキュリティの重要性について共通の認識を持つとともに,情報資産の利用にあたっては情報セキュリティポリシーを遵守しなければならない。

（6）管理体制

本市の情報資産に関する情報セキュリティ対策を推進,管理するための体制を確立するものとする。

（7）情報資産の分類

情報資産をその重要度に応じて分類し,それに応じたセキュリティ対策を行うものとする。

（8）情報資産への脅威

情報セキュリティ対策を講ずるうえで,情報資産に対する脅威の発生度合いや発生した場合の影響を考慮するものとする。
特に以下の脅威については十分な措置を講ずるものとする。

1. 故意の不正アクセス又は不正操作によるデータやプログラムの持出,盗聴,改ざん,消去並びに機器及び外部記録媒体の盗難等
2. 職員及び外部委託者による意図しない操作及び規定外の情報システムの機器操作によるデータ漏えい等
3. 地震,落雷並びに火災等の災害や事故,故障等

（9）情報セキュリティ対策

---

本市の情報資産を上記（8）の脅威から保護するため,以下の情報セキュリティ対策を講ずるものとする。

1. 人的セキュリティ対策
   情報資産に接する職員の情報セキュリティに関する権限や責任等を定めるとともに,すべての職員に情報セキュリティポリシーの内容を周知徹底するため,教育及び訓練を行う。
2. 物理的セキュリティ対策
   電子計算機,通信回線,職員のパソコン等の管理及び電子計算機室等の入退室管理について,物理的な対策を講じる。
3. 技術的セキュリティ対策
   情報資産を不正なアクセス等から適切に保護するため,情報資産へのアクセス制御,コンピュータウイルス対策等を実施する。
4. 運用
   情報セキュリティポリシーの実効性を確保するため,また,不正アクセスされること及び不正アクセスによって他の情報システムに対して被害を及ぼすことを防ぐため,ネットワークの監視等の運用面における必要な措置を講ずる。
   また,セキュリティ障害が発生した際の迅速な対応と行政事務の円滑な執行を可能とするため,必要な措置を講ずるものとする。

（10）情報セキュリティ対策基準の策定

情報セキュリティ基本方針を実行に移すため,情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。

（11）情報セキュリティ実施手順の策定

情報セキュリティ対策基準に基づき,情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。情報セキュリティ実施手順は,本市全体として遵守すべき事項を規定したものと,重要な情報システムの適切な運用に関する事項を規定したものを策定する。

なお,情報セキュリティ実施手順は,公にすることにより本市の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。

（12）評価・見直し

1. 監査及び自主点検の実施
   情報セキュリティポリシーの遵守状況を検証するため,定期的又は必要に応じて情報セキュリティ監査及び自主点検を実施する。
2. 情報セキュリティポリシーの見直し
   情報セキュリティ監査及び自主点検の結果,情報セキュリティポリシーの見直しが必要になった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には,情報セキュリティポリシーを見直す。