○久米南町国税連携ネットワークシステムセキュリティ対策に関する規程
平成27年8月7日
規程第3号
(趣旨)
第1条 この規程は、久米南町における国税連携ネットワークシステム(以下「国税連携システム」という。)のセキュリティ対策を総合的に実施するため、久米南町情報セキュリティポリシーに定めるもののほか必要な事項を定めるところによる。
(定義)
第2条 この規程において使用する用語の定義は、「電気通信回線その他の電気通信設備に関する技術基準及び情報通信の技術の利用における安全性及び信頼性を確保するために必要な事項に関する基準」(平成22年総務省告示第284号、以下「技術基準」という。)で使用する用語の例による。
(適用範囲)
第3条 この規程は、国税連携システムを構成するすべての情報並びにソフトウェア、ハードウェア及び記録媒体(以下「情報資産」という。)、国税連携システム関係者、建物及び関連施設のうち、久米南町が整備したもの及び管理責任を受け持つ範囲内において適用するものとする。
(セキュリティ統括責任者)
第4条 国税連携システムのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副町長をもって充てる。
(システム管理者)
第5条 国税連携システムの適切な管理及びセキュリティ対策を実施するため、システム管理者を置く。
2 システム管理者は、税務住民課長をもって充てる。
(セキュリティ会議)
第6条 次に掲げる事項を検討するため、久米南町国税連携ネットワークシステムセキュリティ会議(以下「セキュリティ会議」という。)を置く。
(1) 国税連携システムに係るセキュリティ対策の決定及び見直しに関すること。
(2) セキュリティ対策の遵守状況に関すること。
(3) 緊急時における対応計画に関すること。
(4) セキュリティ対策の監査の実施に関すること。
(5) セキュリティに関する教育及び研修の実施に関すること。
(6) 前各号に定めるもののほか、セキュリティに関すること。
2 セキュリティ会議は次に掲げる者をもって組織する。
(1) セキュリティ統括責任者
(2) システム管理者
(3) その他セキュリティ統括責任者が必要と認める者
3 セキュリティ会議はセキュリティ統括責任者が招集する。
4 セキュリティ統括責任者は、必要があると認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
5 セキュリティ会議の庶務は、税務住民課において処理する。
(関係部署に対する指示)
第7条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部署の長に対し必要な措置を指示することができる。
(入退室管理)
第8条 国税連携システムの運用が行われる室又は場所においては、入退室等の管理その他これらの施設への不正アクセスを防止するために、必要な措置を講じるものとする。
(アクセス管理責任者)
第9条 アクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、税務住民課長をもって充てる。
(アクセスの管理)
第10条 アクセス管理責任者は、国税連携システム用業務端末において、アクセス管理を行う。
2 前項のアクセス管理は、ユーザID及びパスワードにより操作者の正当な権限を確認することとする。
(ユーザID及びパスワードの管理)
第11条 アクセス管理責任者は、ユーザID及びパスワードの管理に関し、次に掲げる事務を行う。
(1) ユーザID及びパスワードの管理の方法を定めること。
(2) 操作者の管理簿を作成すること。
(操作者の責務)
第12条 操作者は、前条第1号の規定により定めるユーザID及びパスワードの管理の方法を遵守し、機密の保持に努めなければならない。
(情報資産管理責任者)
第13条 国税連携システムに係る情報資産について適正に管理するため、情報資産管理責任者を置く。
2 情報資産管理責任者は、税務住民課長をもって充てる。
(情報資産等に係る管理)
第14条 情報資産管理責任者は、情報資産を取り扱うことができる者を指定するとともに、当該税務情報の漏えい、滅失又は損傷の防止その他情報資産の適切な管理のための必要な措置を講じなければならない。
(外部委託)
第15条 システム管理者は、国税連携システムに係る関係書類に記載すべき事項の記録の事務を委託する場合は、技術基準に定める登録委託先事業者に委託しなければならない。
2 システム管理者は、外部委託しようとするときは、あらかじめ委託を受けようとする者における情報の保護に関する管理体制について調査するものとする。
(委託契約書への記載事項)
第16条 外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報が記録された資料の保管、返還又は破棄に関する事項
(3) 情報が記録された資料の目的外使用、複製・複写及び第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項
(5) 事故等の報告に関する事項
(受託者の管理状況の調査)
第17条 国税連携システムを管理し、又は利用する部署の長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
(外部ネットワークとの接続)
第18条 システム管理者は、外部ネットワークとの接続に際し、次の各号に掲げる対策を講じなければならない。
(1) 外部からの不正なアクセスを防止すること。
(2) 機器の接続について総務企画課長の承認を得ること。
(3) 外部ネットワークに接続する端末を管理すること。
(4) 各端末の管理台帳を整備すること。
(5) 標準的にインストールされるソフトウェアを定めること。
(システムの監査)
第19条 町長は、システムのセキュリティを確保するため、定期又は随時に監査を受けるものとする。
2 セキュリティ統括責任者は、監査結果をセキュリティ会議に報告し、システムの改善に努めなければならない。
(教育及び研修)
第20条 国税連携システムに携わる全ての職員は、システム管理者が行うセキュリティに関する教育又は研修を受けなければならない。
(不適切な利用又は緊急時における措置)
第21条 システムのセキュリティを侵犯する不正行為の脅威度は、次の表のとおりである。
脅威度 | 事象 | 事例 |
レベル1 | 税務情報に脅威を及ぼすおそれのない事象 | システムに直接関係のない備品のある場所への無権限者の侵入 |
レベル2 | 税務情報に脅威を及ぼすおそれの低い事象 | (1) システムに関係があるが、税務情報が記録されていない記録媒体及び税務情報の保護とは関係がないソフトウェア、ドキュメント等のある場所への無権限者の侵入 (2) ファイアウォールを通過しなかった不正アクセス (3) ウィルス対策ソフトによるコンピュータウィルス等の検出 |
レベル3 | 税務情報に脅威を及ぼすおそれの高い事象 | (1) 税務情報が記録されている記録媒体、税務情報を保護するうえで重要なソフトウェア、ドキュメント等のある場所への無権限者の侵入 (2) ファイアウォールを通過した不正アクセス (3) 業務端末等の不審な操作の検出 (4) コンピュータウィルス等の侵入によるシステムの異常動作 (5) 税務情報保護に関する重大な脆弱性の発見 |
2 システム管理者は、前項の脅威度がレベル3又はレベル2に該当し、税務情報の漏えい又は目的外使用等の不適切な利用が行われているおそれがあると認められるときは、速やかにセキュリティ統括責任者に報告するものとする。
3 セキュリティ統括責任者は、前項の報告により、個人情報の不適切な取扱いが明白であり、被害の拡大を緊急に防止する必要があると認めるときは、システムの通信回線からの切離等必要な措置を講ずるものとする。
4 セキュリティ統括責任者は、前項の措置について、直ちに、国、岡山県及び指定法人その他の関係者に報告するとともに不適切な利用の拡大を防止するための措置等について指示を求めるものとする。
5 セキュリティ統括責任者は、前項の指示又は実態調査の結果等を踏まえ、通信回線の再接続等必要な措置を講ずるものとする。
(法令等の遵守)
第22条 国税連携システムの関係者及び関係者であった者は、国税連携システムを構成するすべての情報資産の取扱いについて、関連する法令等を遵守しなければならない。
(その他)
第23条 この規程に定めるもののほか、国税連携システムに関し必要な事項は、別に定める。
附則
1 この規程は、公布の日から施行する。
2 令和5年11月1日から当分の間、第4条第2項中「副町長」とあるのは「税務住民課長」と読み替えて適用する。
附則(令和5年10月31日規程第12号)
この規程は、令和5年11月1日から施行する。