更新日：2012年2月2日

鎌倉市情報セキュリティポリシー

序章   鎌倉市情報セキュリティポリシーの役割と構成

  本市が取り扱う情報には、市民の個人情報や行政運営上重要な情報など、部外に漏洩等した場合には極めて重大な結果を招く情報が多数含まれています。
  これらの情報や情報システムを様々な脅威から防御することは、市民の財産、プライバシー等を守るためにも、また、業務の安全かつ安定的な運営のためにも必要不可欠です。
  そのため、本市の情報資産の機密性、完全性及び可用性を維持するための対策（情報セキュリティ対策）を整備することとし、ここに『鎌倉市情報セキュリティポリシー』を定めました。

  情報セキュリティポリシーは、情報資産に関する業務に携わる全ての職員及び外部委託事業者に情報セキュリティへの取組みを浸透、普及、定着させるものであり、安定的な規範であることが要請されます。
しかしながら一方では、技術の進歩等に伴う情報セキュリティを取り巻く急速な状況の変化へ柔軟に対応することも必要です。
  このようなことから、情報セキュリティポリシーを一定の普遍性を備えた部分である「基本方針」と情報資産を取り巻く状況の変化に柔軟に対応する部分である「対策基準」とにより構成することとしました。

  なお、情報セキュリティポリシーは、一般的な基準を定めているため、個別の情報システムを運用している課等においては、そのシステムの運用に即した個別のセキュリティ実施手順を策定して、適正な管理に努めるものとします。

分類	文書名	内容
情報セキュリティポリシー	鎌倉市情報セキュリティポリシー	情報セキュリティ基本方針	情報セキュリティ対策に関する基本的な方針
		情報セキュリティ対策基準	情報セキュリティ基本方針に基づき定める情報システム等に共通の情報セキュリティ対策の基準
情報セキュリティ実施手順	鎌倉市××システム情報セキュリティ実施手順等	情報セキュリティポリシーに基づいて、システム管理者が情報システム等ごとに定める具体的な実施手順

第1章   鎌倉市情報セキュリティ基本方針

1  目的

  本市の取り扱う情報資産には、市民の個人情報のみならず行政運営上重要な情報など、外部への漏洩や破壊等が発生した場合には極めて重大な被害を招く情報が数多く含まれている。
したがって、これらの情報及び情報を取り扱う情報システムを様々な脅威から防御することは、市民の財産やプライバシーを守り、また、行政サービスの安全かつ安定した実施のためにも必要不可欠である。ひいては、このことが本市に対する市民からの信頼の維持に寄与するものである。よって、本市が所掌する情報資産の機密性、完全性及び可用性を維持するための基本方針として鎌倉市情報セキュリティ基本方針を定める。

2  定義

  鎌倉市情報セキュリティポリシーにおいて、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

  (1)  機密性

  許可された者だけが情報資産にアクセスできることを保証することをいう。

  (2)  完全性

  情報資産が正確及び完全であることを常に維持することをいう。

  (3)  可用性

  許可された者が、確実に情報資産を利用できることをいう。

  (4)  情報セキュリティ

  情報資産の機密性、完全性、可用性を維持することをいう。

  (5)  ネットワーク

  コンピュータ等を相互に接続するための通信網及びその構成機器（ハードウェア及びソフトウェア）をいう。

  (6)  情報システム

  コンピュータ・システム（ハードウェア及びソフトウェア）、ネットワーク又は端末等を使って業務を処理するための仕組みをいう。

  (7)  情報資産

  ネットワーク及び情報システムの開発と運用に係る全ての情報並びにネットワーク及び情報システムで取り扱う全ての情報をいう。

3  適用範囲

  この基本方針は、市長、議会、教育委員会（小・中学校を除く）、選挙管理委員会、公平委員会、監査委員、農業委員会及び固定資産評価審査委員会が保有する情報資産並びに情報資産に接するすべての職員、非常勤嘱託員、臨時的任用職員（以下、「職員等」という。）及び外部委託事業者について適用するものとする。

4  管理体制

  本市の情報資産について、情報セキュリティ対策を推進・管理するための体制を確立するものとする。

5  情報資産の分類

  情報資産をその内容に応じて分類し、その重要度に応じた情報セキュリティ対策を行うものとする。

6  情報資産への脅威

  情報資産を脅かす脅威の発生度合や発生した場合の影響を考慮すると、特に認識すべき脅威は以下のとおりである。

  (1）部外者の侵入による機器又は情報資産の破壊・盗難、故意の不正アクセス又は不正操作による機器又は情報資産の破壊・盗聴・改ざん・消去等
  （2）職員等又は外部委託事業者による機器又は情報資産の持出、誤操作、アクセスのための認証情報又はパスワードの不適切管理、故意の不正アクセス又は不正行為による破壊・盗聴・改ざん・消去等、搬送中の事故等による機器又は情報資産の盗難、規定外の端末接続によるデータ漏洩等
  （3） コンピュータウイルス、地震、落雷、火災等の災害並びに事故、故障等によるサービス及び業務の停止

7  セキュリティ対策

  上記6で示した脅威から情報資産を保護するために、以下の対策を講ずるものとする。

  (1)  物理的セキュリティ対策

  情報システム等を損傷等から保護するために物理的な対策を講ずる。

  (2)  人的セキュリティ対策

  全ての職員等及び外部委託事業者に情報セキュリティポリシーの内容を周知徹底する等、十分な教育及び啓発が講じられるように必要な対策を講ずる。

  (3)  技術及び運用におけるセキュリティ対策

  情報資産を不正なアクセス等から適切に保護するため、コンピュータ等の管理、情報資産へのアクセス制御等の技術対策を講ずるとともに、情報システムの監視、情報セキュリティに対する侵害等の対策を講ずる。

8  情報セキュリティ対策基準の策定

  鎌倉市が所掌する情報資産について、前条各号の情報セキュリティ対策を講ずるに当たっては、遵守すべき行為及び判断等の基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を第2章で定めるものとする。

9  情報セキュリティ実施手順の策定

  本ポリシーに基づき、情報セキュリティ対策を実施するために必要となる具体的事項については、情報セキュリティ実施手順を策定するものとする。

2  情報セキュリティ実施手順は、公にすることにより市の行政運営に重大な支障を及ぼす恐れのある情報資産であることから非公開とする。

10  評価及び見直しの実施

  情報セキュリティポリシーが遵守されていることを検証するために、監査を実施するとともに、情報セキュリティを取り巻く状況の変化に対応するため、定期的な見直しを実施するものとする。

第2章   鎌倉市情報セキュリティ対策基準

  情報セキュリティ対策基準とは、市が所掌する情報資産に関する情報セキュリティ対策の基準である。
（以下は、概要のみを記します。）

1  組織・体制

  最高情報統括責任者（副責任者）、情報統括管理者、システム管理者（担当者）、セキュリティ総括責任者、セキュリティ責任者の設置について定めています。

2  情報資産の分類と管理

  情報資産の管理責任、分類、管理方法について定めています。

3  物理的セキュリティ

  コンピュータの設置、外部ネットワークとの接続、職員等の端末に関するセキュリティ対策について定めています。

4  人的セキュリティ

  職員、非常勤嘱託員及び臨時的任用職員、外部委託に関するセキュリティ対策、教育の実施、報告の義務付け、パスワード等の管理方法について定めています。

5  技術的セキュリティ

  コンピュータ等の管理方法、アクセス制御、システム開発等における留意点、コンピュータウイルス対策、不正アクセス対策等について定めています。

6  運用

  システムの監視、遵守状況の確認、違反対応、侵害・障害対応について定めています。

7  評価・見直し

  内部監査、システムの監視、実施状況の点検、ポリシーの更新について定めています。

平成16年12月27日策定