鎌倉市情報セキュリティポリシー

序章　鎌倉市情報セキュリティポリシーの役割と構成

　本市が取扱う情報には、市民の個人情報や行政運営上重要な情報など、部外に漏洩等した場合には極めて重大な結果を招く情報が多数含まれています｡
　これらの情報や情報システムを様々な脅威から防御することは、市民の財産、プライバシー等を守るためにも、また、業務の安全かつ安定的な運営のためにも必要不可欠です｡
　そのため、本市の情報資産の機密性、完全性及び可用性を維持するための対策(情報セキュリティ対策)の指針となる「鎌倉市情報セキュリティポリシー」を平成16年12月27日に策定しました。
　情報セキュリティポリシーは、情報資産に関する業務に携わる職員及び外部委託事業者に情報セキュリティへの取組みを浸透、普及、定着させるものであり、安定的な指針・規範であることが要請されます。
　しかしながら一方では、技術の進歩等に伴う情報セキュリティを取巻く急速な状況の変化へ柔軟に対応することも必要です。
　このようなことから、情報セキュリティポリシーを一定の普遍性を備えた部分である「基本方針」と情報資産を取巻く状況の変化に柔軟に対応する部分である「対策基準」とにより構成されています。
　なお、情報セキュリティポリシーは、一般的な基準を定めているため、個別の情報システムを運用している課等においては、そのシステムの運用に即した個別の情報セキュリティ実施手順を策定して、適正な管理に努めるものとします。

分類	文書名	内容
情報セキュリティポリシー	鎌倉市情報セキュリティポリシー	情報セキュリティ基本方針	情報セキュリティ対策に関する基本的な方針
		情報セキュリティ対策基準	情報セキュリティ基本方針に基づき定める情報システム等に共通の情報セキュリティ対策の基準
情報セキュリティ実施手順	鎌倉市○○システム情報セキュリティ実施手順等	情報セキュリティポリシーに基づいて、システム管理者が情報システム等ごとに定める具体的な実施手順

 

第1章　鎌倉市情報セキュリティ基本方針

　１　目的
　　　本基本方針は、本市が保有する情報資産の機密性、完全性及び可用性を維持するため、本市が実施する
　　情報セキュリティ対策について基本的な事項を定めることを目的とする。

　２　定義
　　(1)　ネットワーク
　　　　コンピュータ等を相互に接続するための通信網、その構成機器（ハードウェア及びソフトウェア）を
　　　いう。
　　(2)　情報システム
　　　　コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組みをいう。
　　(3)　情報セキュリティ
　　　　情報資産の機密性、完全性及び可用性を維持することをいう。
　　(4)　情報セキュリティポリシー
　　　　本基本方針及び情報セキュリティ対策基準をいう。
　　(5)　機密性
　　　　情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
　　(6)　完全性
　　　　情報が破壊、改ざん又は消去されていない状態を確保することをいう。
　　(7)　可用性
　　　　情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスでき
　　　る状態を確保することをいう。
　　(8)　マイナンバー利用事務系（個人番号利用事務系）
　　　　個人番号利用事務（社会保障、地方税若しくは防災に関する事務）又は戸籍事務等に関わる情報シス
　　　テム及びデータをいう。
　　(9)　ＬＧＷＡＮ接続系
　　　　ＬＧＷＡＮに接続された情報システム及びその情報システムで取り扱うデータをいう（マイナンバー
　　　利用事務系を除く。）。
　(10)　インターネット接続系
　　　　インターネットメール、ホームページ管理システム等に関わるインターネットに接続された情報シス
　　　テム及びその情報システムで取り扱うデータをいう。
　(11)　通信経路の分割
　　　　ＬＧＷＡＮ接続系とインターネット接続系の両環境間の通信環境を分離した上で、安全が確保された
　　　通信だけを許可できるようにすることをいう。
　(12)　無害化通信
　　　　インターネットメール本文のテキスト化や端末への画面転送等により、コンピュータウイルス等の不
　　　正プログラムの付着が無い等、安全が確保された通信をいう。

　３　対象とする脅威
　　　情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。
　　(1)　不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因
　　　による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等
　　(2)　情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム
　　　上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、委託管理の不備、マネジ
　　　メントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
　　(3)　地震、落雷、火災等の災害によるサービス及び業務の停止等
　　(4)　大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
　　(5)　電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等

　４　適用範囲
　　(1)　行政機関の範囲
　　　　本基本方針が適用される行政機関は、市長、行政委員会（ただし、教育委員会にあっては小・中学校
　　　を除く。）、議会事務局及び消防本部とする。
　　(2)　情報資産の範囲
　　　　本基本方針が対象とする情報資産は、次のとおりとする。
　　　ア　ネットワーク及び情報システム並びにこれらに関する設備及び電磁的記録媒体
　　　イ　ネットワーク及び情報システムで取り扱う情報（これらを印刷した文書を含む。）。
　　　ウ　情報システムの仕様書及びネットワーク図等のシステム関連文書

　５　職員等の遵守義務
　　　職員（任期の定めのない常勤職員、再任用職員及び任期付職員）、臨時的任用職員、非常勤特別職職員
　　及び会計年度任用職員（以下「職員等」という。）は、情報セキュリティの重要性について共通の認識
　　を持ち、業務の遂行に当たって情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなけ
　　ればならない。

　６　情報セキュリティ対策
　　　上記３の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。
　　(1)　組織体制
　　　　本市の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確立する。
　　(2)　情報資産の分類と管理
　　　　本市の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュ
　　　リティ対策を行う。
　　(3)　情報システム全体の強靭性の向上
　　　　情報セキュリティの強化を目的とし、業務の効率性・利便性の観点を踏まえ、情報システム全体に
　　　対し、次の三段階の対策を講じる。
　　　ア　マイナンバー利用事務系においては、原則として、他の領域との通信をできないようにした上で、
　　　　端末からの情報持ち出し不可設定や端末への多要素認証の導入等により、住民情報の流出を防ぐ。
　　　イ　ＬＧＷＡＮ接続系においては、ＬＧＷＡＮと接続する業務用システムと、インターネット接続系の
　　　　情報システムとの通信経路を分割する。なお、両システム間で通信する場合には、無害化通信を行
　　　　う。
　　　ウ　インターネット接続系においては、不正通信の監視機能の強化等の高度な情報セキュリティ対策を
　　　　行う。高度な情報セキュリティ対策として、都道府県及び市区町村のインターネットとの通信を集約
　　　　した上で、自治体情報セキュリティクラウドの導入等を行う。
　　(4)　物理的セキュリティ
　　　　サーバ、情報システム室、通信回線及び職員等のパソコン等の管理について、物理的な対策を講じ
　　　る。
　　(5)　人的セキュリティ
　　　　情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等
　　　の人的な対策を講じる。
　　(6)　技術的セキュリティ
　　　　コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講
　　　じる。
　　(7)　運用
　　　　情報システムの監視、情報セキュリティポリシーの遵守状況の確認、業務委託を行う際のセキュリテ
　　　ィ確保等、情報セキュリティポリシーの運用面の対策を講じるものとする。また、情報資産に対するセ
　　　キュリティ侵害が発生した場合等に迅速かつ適切に対応するため、緊急時対応計画を策定する。
　　(8)　業務委託と外部サービスの利用
　　　　業務委託を行う場合には、委託事業者を選定し、情報セキュリティ要件を明記した契約を締結し、委
　　　託事業者において必要なセキュリティ対策が確保されていることを確認し、必要に応じて契約に基づき
　　　措置を講じる。
　　　　外部サービスを利用する場合には、利用にかかる規定を整備し対策を講じる。
　　　　ソーシャルメディアサービスを利用する場合には、ソーシャルメディアサービスの運用手順を定め、
　　　ソーシャルメディアサービスで発信できる情報を規定し、利用するソーシャルメディアサービスごとの
　　　責任者を定める。
　　(9)　評価・見直し
　　　　情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監
　　　査及び自己点検を実施し、運用改善を行い、情報セキュリティの向上を図る。情報セキュリティポリシ
　　　ーの見直しが必要な場合は、適宜情報セキュリティポリシーの見直しを行う。

　７　情報セキュリティ監査及び自己点検の実施
　　　情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査
　　及び自己点検を実施する。

　８　情報セキュリティポリシーの見直し
　　　情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及
　　び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セ
　　キュリティポリシーを見直す。

　９　情報セキュリティ対策基準の策定
　　　上記６、７及び８に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める情報
　　セキュリティ対策基準を策定する。

　10　情報セキュリティ実施手順の策定
　　　情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情
　　報セキュリティ実施手順を策定するものとする。
　　　なお、情報セキュリティ実施手順は、公にすることにより本市の行政運営に重大な支障を及ぼすおそれ
　　があることから非公開とする。

　　平成23年６月８日全部改定
　　平成25年１月31日改定
　　平成26年11月28日改定
　　平成28年３月４日改定
　　平成30年３月30日改定
　　平成31年４月18日改定
　　令和２年３月27日改定
　　令和３年４月20日改定
　　令和４年12月１日改定

お問い合わせ