2　CISOは、担当副市長をもって充てる。

2　CISOは、必要に応じ、情報セキュリティに関する専門的な知識及び経験を有した専門家をアドバイザーとして置くことができる。

3　CISOは、情報セキュリティインシデントに対応するための体制(以下「CSIRT」という。)を整備し、役割を明確化するものとする。

4　CSIRTの整備及び役割に関し必要な事項は、別に定める。

2　統括情報セキュリティ責任者は、CISOを補佐しなければならない。

3　統括情報セキュリティ責任者は、CISOを補佐するため、次に掲げる権限及び責任を有するものとする。

2　情報セキュリティ責任者は、所管する事務に係る情報資産に対する開発、設定の変更、運用、見直し等を行う統括的な権限及び責任を有するものとする。

3　情報セキュリティ責任者は、所管する事務に係る情報資産について、緊急時等における連絡体制の整備、この訓令の遵守に関する意見の集約並びに職員に対する教育、訓練、助言及び指示を行うものとする。

2　情報セキュリティ管理者は、所管する事務の情報セキュリティ対策に関する権限及び責任を有するものとする。

3　情報セキュリティ管理者は、市民に公開する情報資産について、完全性の確保に努めなければならない。

4　情報セキュリティ管理者は、所管する事務に係る情報資産が侵害された場合又は侵害のおそれがある場合は、CISO、統括情報セキュリティ責任者及び情報セキュリティ責任者へ速やかに報告を行い、指示を仰がなければならない。

2　情報システム管理者は、所管する事務に係る情報資産に対する開発、設定の変更、運用、見直し等を行う権限及び責任を有するものとする。

3　情報システム管理者は、所管する情報資産に係る情報セキュリティ実施手順の策定、維持及び管理を行わなければならない。

4　情報システム管理者は、情報システムの開発、設定の変更、運用、更新等の作業を行わせるため、情報システム担当者を指名する。

2　情報セキュリティ委員会の運営等に関し必要な事項は、別に定める。

2　情報セキュリティに関する監査を受ける者は、やむを得ない場合を除き、当該監査を実施する者となることができない。

2　情報セキュリティ管理者は、クラウドサービスの利用に当たり、クラウドサービスの利用を中止する、又はクラウドサービス事業者がクラウドサービスの提供を終了する場合に備えて、クラウドサービスの環境に保存されている情報資産の移行、全ての複製の削除等の取扱いについて、クラウドサービス事業者に対して確認しなければならない。

3　職員は、前条の規定により分類された情報資産について、適正に管理するものとする。

4　職員は、第2項の規定により確認した情報資産の取扱いについて、適切に実施されるよう管理しなければならない。

2　職員は、行政情報を作成したときは、第12条の規定により分類するものとする。

3　前項の場合において、疑義を生じたときは、情報セキュリティ管理者と協議するものとする。

4　職員は、行政情報の紛失、流出等を防止しなければならない。作成途中の情報も、同様とする。

5　職員は、作成途中の行政情報が不要となったときは、当該情報を適切に消去しなければならない。

2　前条第2項及び第3項の規定は、職員以外の者が作成した情報資産を入手したものについて、これを準用する。

2　職員は、情報資産の分類に応じ、適正な取扱いをしなければならない。

3　職員は、利用しようとする情報資産が複数ある場合であって、当該情報資産の分類の重要度が異なるときは、分類の重要度が高い方に合わせて取り扱うものとする。

2　職員は、機密性3又は機密性2の情報資産について、前項第1号及び第2号の事項をしようとするときは、必要に応じ、暗号化若しくはパスワードの設定又は鍵付きのケース等に格納する等必要な措置を講じなければならない。

3　職員は、行政情報を記録している電磁的記録媒体を廃棄しようとする場合において、当該行政情報の分類が機密性3又は機密性2であるときは、当該情報を復元できないよう措置を講じなければならない。

2　情報システム管理者は、情報システムは冗長化した上で、同一の情報を保持できるように努めなければならない。

3　情報システム管理者は、主となる情報システムに障害が発生した場合は、速やかに予備の情報システムを起動し、情報システムの運用停止時間を最小限にしなければならない。

4　情報システム管理者は、統括情報セキュリティ責任者及び施設管理部門と連携し、次に掲げる措置を講じなければならない。

5　統括情報セキュリティ責任者及び情報システム管理者は、施設管理部門と連携し、配線収納管を使用して通信ケーブル及び電源ケーブルの損傷等の防止に努め、主要な通信ケーブル又は電源ケーブルに損傷があったときは、速やかに復旧しなければならない。

6　統括情報セキュリティ責任者及び情報システム管理者は、ネットワークへの接続に関し、次に掲げる事項を制限しなければならない。

7　情報システム管理者は、可用性2の情報システムの定期保守を実施しなければならない。

8　情報システム管理者は、電磁的記録媒体を内蔵する機器を外部の者に修理を依頼するときは、当該電磁的記録媒体から情報を消去した状態で行わせなければならない。

9　前項の場合において、電磁的記録媒体から情報を消去できない等の理由があるときは、修理をさせようとする者に対して、守秘義務契約の締結その他の秘密保持体制の確認を行わなければならない。

10　統括情報セキュリティ責任者及び情報システム管理者は、庁舎外に情報システムを設置するときは、CISOの承認を得なければならない。

11　統括情報セキュリティ責任者及び情報システム管理者は、庁舎外に情報システムを設置したときは、定期的に当該情報システムへの情報セキュリティ対策の状況について確認しなければならない。

12　情報システム管理者は、情報システムの廃棄、リース期間満了に伴う返却等をしようとするときは、当該情報システムの記憶装置から、全ての情報を消去した上で、復元不可能な状態にする措置を講じなければならない。

2　管理区域に入室をしようとする者は、情報システム管理者に対して入室届を提出して、管理区域の入室の許可を受けなければならない。

3　前項の規定により許可を受けた者(以下この条において「許可者」という。)は、管理区域に入室するときは、許可者と同一人であることが分かるものを携帯し、情報システム管理者の求めにより提示しなければならない。

4　情報システム管理者は、許可者が職員でないときは、管理区域の入室を許可された職員が同行する場合に限り、許可者を管理区域に立ち入らせることができる。

5　情報システム管理者は、機密性3又は機密性2の情報資産を扱う情報システムを設置している管理区域にあっては、当該情報システムに関連しない、又は個人が所有する端末、モバイル端末、通信回線装置、電磁的記録媒体等の持込みをさせてはならない。

6　許可者は、管理区域から退室しようとするときは、情報システム管理者に退室する旨を報告しなければならない。

2　情報セキュリティ管理者は、必要に応じ、職員に対して、この訓令を遵守する旨の同意を求めるものとする。

3　職員は、情報セキュリティ対策について、不明な点、遵守することが困難な点等があるときは、情報セキュリティ管理者に相談の上、指示を受けるものとする。

4　CISOは、機密性3、機密性2、完全性2又は可用性2の情報資産を外部で処理する場合における安全管理措置を定めなければならない。

5　職員は、業務以外の目的で次に掲げる事項を行ってはならない。

6　職員は、業務の目的であっても次に掲げる事項を行ってはならない。

7　統括情報セキュリティ管理者及び情報セキュリティ管理者は、前項第8号又は第9号の許可をしたときは、当該許可を記録し、及び保管しなければならない。

8　職員は、複数人に電子メールを一斉に送信するときは、必要がある場合を除いて、他の送信先の電子メールアドレスが分からないようにしなければならない。

9　職員は、重要な電子メールを誤送信したときは、情報セキュリティ管理者に報告しなければならない。

10　職員は、電子メールを送信するときは、必要に応じて、CISOが定めた電子署名、暗号化、パスワード設定等を考慮して、送信しなければならない。

11　職員は、CISOが定めた方法で暗号化のための鍵を管理しなければならない。

12　統括情報セキュリティ責任者は、電子署名の正当性を検証する者に対して、検証に必要な情報又は手段を安全に提供しなければならない。

13　統括情報セキュリティ責任者は、職員が明らかに業務と関係しないインターネットに接続していることを発見したときは、情報セキュリティ管理者に通知し、適正な措置を求めなければならない。

14　職員は、外部で情報処理作業を行うときは、安全管理措置に関する規定を遵守しなければならない。

15　職員は、情報資産が第三者に使用されること又は情報セキュリティ管理者が許可していない情報を閲覧されることを防ぐため、離席時に端末を利用できない状態にし、情報等が容易に閲覧できない場所に保管する等の適切な措置を講じなければならない。

16　職員は、異動、退職等により業務を離れるときは、利用していた情報資産を返却しなければならない。

17　情報セキュリティ管理者は、職員の業務上、情報システムの利用が不要と判断したときは、当該情報システムを利用できないようにしなければならない。

18　情報セキュリティ管理者は、この訓令を職員が常に閲覧できるように掲示しなければならない。

19　情報セキュリティ管理者は、受託事業者に対し、この訓令のうち、受託事業者が遵守すべき事項を説明しなければならない。

2　統括情報セキュリティ責任者及び情報システム管理者は、ICカードの紛失の報告があったときは、当該ICカードの使用による情報システムの不正利用ができないよう措置を講じなければならない。

3　統括情報セキュリティ責任者及び情報システム管理者は、ICカードを切り替えるときは、切替え前のカードを回収し、破砕等の復元不可能な処理を行った上で廃棄しなければならない。

2　CISOは、情報セキュリティに関する研修及び訓練の計画策定並びに実施体制の構築を定期的に立案し、情報セキュリティ委員会の承認を得なければならない。

3　前項の研修計画は、次に掲げる事項を備えていなければならない。

4　CISOは、毎年度1回、情報セキュリティ委員会に対して、職員の情報セキュリティ研修の実施状況について報告しなければならない。

5　CISOは、緊急時における対応を想定した訓練を定期的に実施しなければならない。

6　前項の訓練の計画は、情報システムの規模等を考慮し、訓練実施の体制、範囲等を定め、効果的に実施できるものとしなければならない。

7　職員は、第2項の研修計画に定められた研修及び訓練に参加しなければならない。

2　情報セキュリティ管理者は、前項の規定による報告があったときは、速やかにCSIRTに報告しなければならない。

3　前2項の規定は、市民等の外部から報告があった場合に、これを準用する。

4　CISOは、市民等の外部からの情報セキュリティインシデント報告に必要な窓口を設置し、当該窓口への連絡手段を公表しなければならない。

5　CSIRTの責任者は、第1項及び第2項の規定により報告された情報セキュリティインシデントの状況を確認の上、当該情報セキュリティインシデントを評価し、CISOに速やかに報告しなければならない。

6　CSIRTは、情報セキュリティインシデントに関係する情報セキュリティ責任者に対し、被害の拡大防止等を図るための応急措置の実施及び復旧に係る指示を行わなければならない。

7　CSIRTは、情報セキュリティインシデントの原因を究明し、記録を保存し、及び再発防止策を検討し、CISOに報告しなければならない。

8　CISOは、CSIRTから報告を受けたときは、再発防止策を実施するために必要な措置を指示しなければならない。

9　CSIRTは、クラウドサービス利用における情報セキュリティインシデントを認めたときは、第6条第3項第9号の規定により整備した連絡体制の対象者に報告しなければならない。

2　情報システム管理者は、ファイルサーバを課等の単位で構成し、職員が所属する課等以外の行政情報を閲覧及び使用をできないよう制限しなければならない。

3　情報システム管理者は、住民の個人情報、人事記録その他の特定の職員しか取り扱うことができない行政情報があるときは、特定の職員のみが当該行政情報を扱うことができるよう制限しなければならない。

4　統括情報セキュリティ責任者及び情報システム管理者は、ファイルサーバに記録された情報について、当該ファイルサーバの冗長化対策にかかわらず、情報の破損又は消去に備えて定期的にバックアップを実施しなければならない。

2　情報システム管理者は、所管する情報システムの運用において実施した作業の記録を作成しなければならない。

3　統括情報セキュリティ責任者及び情報システム管理者は、所管する情報システムに変更等の作業を行ったときは、作業内容を記録し、詐取、改ざん等をされないように適正に管理しなければならない。

4　統括情報セキュリティ責任者、情報システム管理者又は情報システム担当者及び受託事業者がシステム変更等の作業を行う場合は、2名以上で作業し、互いにその作業を確認しなければならない。

5　統括情報セキュリティ責任者及び情報システム管理者は、ネットワーク構成図及び情報システム仕様書について、記録している媒体にかかわらず、業務上必要とする者以外の者が閲覧し、又は紛失等することがないよう適正に管理しなければならない。

6　統括情報セキュリティ責任者及び情報システム管理者は、職員が情報資産に対して操作した記録及び情報セキュリティの確保に必要な記録(以下「ログ」という。)を取得し、一定の期間保存しなければならない。

7　統括情報セキュリティ責任者及び情報システム管理者は、ログに関し、取得する項目、保存期間、取扱方法及びログが取得できなくなった場合の対処等について定めなければならない。

8　統括情報セキュリティ責任者及び情報システム管理者は、取得したログを点検し、又は分析する機能を設け、必要に応じて、悪意ある第三者等からの不正侵入、不正操作等の有無について定期的に点検又は分析を実施しなければならない。

9　統括情報セキュリティ責任者及び情報システム管理者は、職員からのシステム障害の報告、システム障害に対する処理結果又は問題点等を記録し、適正に保存しなければならない。

10　統括情報セキュリティ責任者及び情報システム管理者は、クラウドサービスのバックアップ機能を利用しようとするときは、市の要求事項を満たすバックアップ機能の有無を確認しなければならない。

11　統括情報セキュリティ責任者及び情報システム管理者は、バックアップ機能のないクラウドサービスを利用する場合又はクラウドサービスのバックアップ機能を利用しない場合であって、可用性2及び完全性2の情報資産を取り扱う場合に限り、自らバックアップ機能の導入に関する責任を負い、バックアップ機能を設け、定期的にバックアップを行わなければならない。

12　統括情報セキュリティ責任者及び情報システム管理者は、クラウドサービスを利用する場合は、市の要求事項を満たすログ取得機能の有無をクラウドサービス事業者に確認しなければならない。

13　統括情報セキュリティ責任者及び情報システム管理者は、クラウドサービスを利用する場合は、クラウドサービス事業者が収集し、保存するログの保護の対応について、その内容を確認し、ログの保護が適切に実施されているか確認しなければならない。

14　統括情報セキュリティ責任者及び情報システム管理者は、クラウドサービス事業者が収集し、保存するログについて、クラウドサービス事業者に提出を求める手続を明確にしなければならない。

15　前条第4項の規定は、情報システムのデータベースについて、これを準用する。

2　統括情報セキュリティ責任者は、機密性を確保するため、ネットワークに適正な接続制御を施さなければならない。

3　情報システム管理者は、外部の者が利用できる情報システムを設置するときは、必要に応じて、他の情報システムと物理的に分離する等の措置を講じなければならない。

4　情報システム管理者は、所管するネットワークを外部のネットワークと接続しようとするときは、CISO及び統括情報セキュリティ責任者の許可を得なければならない。

5　情報システム管理者は、接続しようとする外部ネットワークの構成、セキュリティ技術等を詳細に調査し、全ての情報資産に影響が生じないことを確認しなければならない。

6　情報システム管理者は、接続した外部ネットワークの瑕疵による情報セキュリティインシデントに対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。

7　情報システム管理者は、接続した外部ネットワークの瑕疵による情報セキュリティインシデントがある、又はそのおそれがあるときは、統括情報セキュリティ責任者の判断に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。

8　統括情報セキュリティ責任者及び情報システム管理者は、Webサーバ(インターネットを利用した公衆による情報の閲覧の用に供される電子計算機等をいう。)をインターネットに公開するときは、ファイアウォール(内部ネットワークと外部ネットワークの情報の相互の送受信を制御する仕組みをいう。)等を外部ネットワークとの境界に設置した上でなければ、これをしてはならない。

9　統括情報セキュリティ責任者は、無線によるネットワーク通信の利用を認めるときは、解読が困難な暗号化及び認証機能の使用を義務づけなければならない。

10　統括情報セキュリティ責任者は、機密性の高い情報を扱うネットワークは、情報の盗聴等を防ぐための情報の暗号化等の措置を講じなければならない。

11　統括情報セキュリティ責任者は、マイナンバー利用事務系とLGWAN接続系及びインターネット接続系とを相互に通信させてはならない。ただし、マイナンバー利用事務系と国等の公的機関が構築して安全性が確認できた情報システムと通信する必要が生じた場合は、通信経路及びソフトウェア上の通信規則を限定した場合に限り、これを通信させることができる。

12　統括情報セキュリティ責任者は、職員がマイナンバー利用事務系の端末等から国が構築するガバメントクラウド(以下「ガバメントクラウド」という。)上の情報資産の領域に接続しようとするときは、当該領域をマイナンバー利用事務系とし、専用回線を用いて接続させなければならない。

13　LGWAN接続系からガバメントクラウド上の情報資産の領域に接続する場合については、前項の「マイナンバー利用事務系」とあるのは「LGWAN接続系」と読み替えるものとする。

14　統括情報セキュリティ責任者は、マイナンバー利用事務系から電磁的記録媒体による情報を取り出すことができない設定をしなければならない。

15　統括情報セキュリティ責任者は、LGWAN接続系とインターネット接続系の通信環境は分離した上で、必要な通信に限定しなければならない。

16　統括情報セキュリティ責任者は、インターネット接続系の通信の監視機能の向上に努めなければならない。

17　統括情報セキュリティ責任者は、職員がマイナンバー利用事務系及びLGWAN接続系からインターネットに接続しようとするときは、広島県が構築する自治体情報セキュリティクラウドを経由させなければならない。

18　情報システム管理者は、マイナンバー利用事務系の情報資産をガバメントクラウドにおいて利用する場合は、取り扱う情報資産の機密性を考慮し、十分な強度を有する暗号化を実施しなければならない。

19　前項の場合において、クラウドサービス事業者が提供する暗号化機能を利用するときは、当該暗号化機能に関する情報を入手し、十分な強度を有することを確認しなければならない。

2　前項の規定は、運用中の複合機について、これを準用する。

3　第18条第3項の規定は、複合機の廃棄について、これを準用する。

2　統括情報セキュリティ責任者は、大量のスパムメール(受信者の意向を無視して、不特定かつ大量に一括して送信される電子メールをいう。)等が内部から送信されていることを検知したときは、メールサーバの運用を停止しなければならない。

3　統括情報セキュリティ責任者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。

4　統括情報セキュリティ責任者は、職員が使用する電子メールの受信容量の上限を設定しなければならない。

5　統括情報セキュリティ責任者は、システムの開発、運用、保守等のために庁舎内に常駐している受託事業者による電子メールアドレス利用を認めるときは、あらかじめ受託事業者との間で利用方法を取り決めなければならない。

6　統括情報セキュリティ責任者は、職員が許可を得ないで行政情報を電子メールに添付して送信することが不可能となるよう、添付ファイルの監視機能を備え付けなければならない。

2　統括情報セキュリティ責任者又は情報システム管理者は、職員に対してパスワードを発行するときは、仮のパスワードを発行し、初回のログイン後に、職員をして直ちに仮のパスワードを変更させなければならない。

3　情報システム管理者は、職員のログイン時におけるメッセージ、ログイン試行回数の制限等により、正当にログインができる権利を持つ職員がログインをしたことを確認することができるようにシステムを設定しなければならない。

4　統括情報セキュリティ責任者及び情報システム管理者の特権を代行する者は、統括情報セキュリティ責任者及び情報システム管理者が指名し、CISOが認めた者でなければならない。

5　CISOは、前項の規定による指名があった場合において、統括情報セキュリティ責任者及び情報システム管理者の特権を代行する者を認めたときは、速やかに統括情報セキュリティ責任者、情報セキュリティ責任者、情報セキュリティ管理者及び情報システム管理者に通知しなければならない。

6　情報システム管理者は、特権を付与したID利用者がネットワーク及び情報システムへ接続しようとするときは、当該接続の時間を必要最小限に制限しなければならない。

7　職員は、業務上必要がなくなったときは、統括情報セキュリティ責任者又は情報システム管理者にIDの抹消を依頼しなければならない。

2　統括情報セキュリティ責任者は、職員が外部から内部の情報システムへ接続しようとすることを許可するときは、職員の本人確認を行う機能及び通信の暗号化を確保したものでなければならない。統括情報セキュリティ責任者及び情報システム管理者が職員に端末を貸与する場合も、また同様とする。

3　職員は、支給されたものでない、又は外部から持ち帰った端末及び電磁的記録媒体を庁内のネットワークに接続しようとするときは、当該端末がコンピュータウイルスに感染していないこと、当該端末のセキュリティ対応プログラムの適用状況等を確認した上で、情報セキュリティ管理者の許可を受け、又は情報セキュリティ管理者が定める手順に従って接続しなければならない。

4　統括情報セキュリティ責任者は、インターネットを介した外部のネットワークから庁内のネットワークに接続する許可をしてはならない。ただし、やむを得ないときは、この限りでない。この場合において、接続する者のIDの認証は、二要素認証に加えて、通信の暗号化等、必要な措置を講じたものでなければならない。

5　統括情報セキュリティ責任者及び情報システム管理者は、機器固有情報によって端末とネットワークとの接続の可否が自動的に識別されるようネットワークで使用する機器を設定しなければならない。

2　統括情報セキュリティ責任者及び情報システム管理者は、機器及びソフトウェアの調達に当たっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題ないことを確認しなければならない。

3　情報システム管理者は、情報システムの開発の責任者及び作業者(以下「開発責任者等」という。)を特定し、情報システムの開発の方針のほか、システムの開発、保守、テスト環境(以下「開発環境」という。)及びシステム運用環境(以下「運用環境」という。)への移行手順等を確立しなければならない。

4　情報システム管理者は、開発する情報システムの設計に当たり、次に掲げる事項を検討しなければならない。

5　情報システム管理者は、開発責任者等が使用するID及び当該IDの権限を管理し、情報システムの開発が完了したときは、当該IDを削除しなければならない。

6　情報システム管理者は、開発責任者等が開発環境及び運用環境に使用するハードウェア及びソフトウェアを特定しなければならない。

7　情報システム管理者は、開発責任者等に利用を認めたソフトウェア以外のソフトウェアが開発環境又は運用環境に導入されているときは、当該ソフトウェアを開発環境及び運用環境から削除しなければならない。

8　情報システム管理者は、開発環境及び運用環境を分離しなければならない。

9　情報システム管理者は、情報システムの開発に必要なテストデータに個人情報及び機密性の高いものを使用してはならない。

10　情報システム管理者は、開発環境から運用環境への移行に当たり、次に掲げる事項を確認しなければならない。

11　前項の規定による確認に当たっては、運用環境に即した環境において開発責任者等以外の者によって行わなければならない。

12　情報システム管理者は、開発環境から運用環境への移行に当たり、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮しなければならない。

13　情報システム管理者は、情報システムの開発が終了したときは、次に掲げるものを適正に保管しなければならない。

14　情報システム管理者は、情報システムを変更したときは、プログラム仕様書等の変更履歴を作成しなければならない。

15　情報システム管理者は、開発環境のソフトウェアに変更を加えようとするときは、他の情報システムとの整合性を確認しなければならない。

16　情報システム管理者は、システム更新又は統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新又は統合後における業務運営体制の検証を行わなければならない。

2　統括情報セキュリティ責任者は、クラウドサービスを利用しようとするときは、クラウドサービス事業者による不正プログラム対策の実施について、確認しなければならない。

3　統括情報セキュリティ責任者は、利用するクラウドサービスの不正プログラム対策の状況について、クラウドサービス事業者に対して、定期的に報告を求めなければならない。

2　統括情報セキュリティ責任者は、クラウドサービスを利用しようとするときは、市の要求事項を満たすクラウドサービスへの接続制御機能の有無について、クラウドサービス事業者に確認しなければならない。

3　統括情報セキュリティ責任者は、利用するクラウドサービスの管理権限を与えた受託事業者が当該クラウドサービスに接続しようとするときは、二要素認証を用いて接続させなければならない。

4　統括情報セキュリティ責任者は、クラウドサービスの認証機能について、クラウドサービス事業者が提供するものを利用しようとするときは、付与される認証情報の管理手順が市の要求事項を満たすことを確認しなければならない。

2　前項の場合において、不正アクセス行為の禁止等に関する法律(平成11年法律第128号)その他の法令並びに市の条例及び規則(以下「関係法令等」という。)に抵触し、又は抵触するおそれがあるときは、同項に規定する攻撃(以下この条から第48条までにおいて「攻撃」という。)を記録し、警察及び関係機関との緊密な連携に努めなければならない。

2　統括情報セキュリティ責任者及び情報システム管理者は、職員による不正アクセスを発見したときは、当該職員が所属する課等の情報セキュリティ管理者に通知し、適正な処置を求めなければならない。

2　統括情報セキュリティ責任者及び情報システム管理者は、内部に侵入した攻撃を早期検知するために、通信を監視する対策を講じなければならない。

2　統括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティの欠陥の緊急度に応じて、必要な対策を実施しなければならない。

3　統括情報セキュリティ責任者及び情報システム管理者は、クラウドサービス事業者に対して、利用するクラウドサービスの技術的脆弱性に関する管理内容及び管理手順を確認し、市の情報資産及び業務に与える影響を特定しなければならない。

2　統括情報セキュリティ責任者及び情報システム管理者は、重要なログ等を取得する情報システムの正確な時刻設定及び情報システム間の時刻同期ができる措置を講じなければならない。

3　統括情報セキュリティ責任者及び情報システム管理者は、利用するクラウドサービスの時刻同期が適切であることを確認しなければならない。

4　統括情報セキュリティ責任者及び情報システム管理者は、クラウドサービスを利用しようとするときは、市の要求事項を満たす監視機能の有無について、クラウドサービス事業者に確認しなければならない。

2　情報セキュリティ管理者は、情報システムに係る業務に関し、委託契約を締結しようとするときは、必要に応じて、次に掲げる事項を契約書に明記しなければならない。

3　情報セキュリティ管理者は、前項の委託契約に基づく必要な情報セキュリティ対策が確保されていることを定期的に確認しなければならない。

4　情報セキュリティ管理者は、前項の規定による確認をしたときは、統括情報セキュリティ責任者に報告し、報告内容に問題があると認めたときは、CISOに報告しなければならない。

2　前項第2号の選定基準には、次に掲げる事項を含めなければならない。

3　統括情報セキュリティ責任者は、機密性1の情報資産を外部サービスで利用するときは、次に掲げる事項を整備しなければならない。

4　統括情報セキュリティ責任者は、職員が外部サービスを利用しようとするときは、外部サービスの利用及び運用の状況を管理させるため、外部サービス管理者を置く。

5　外部サービス管理者は、情報システム管理者をもって充てる。

6　情報セキュリティ責任者は、機密性3又は機密性2の情報資産を取り扱う外部サービスを利用するときは、次に掲げる事項を行わなければならない。

7　統括情報セキュリティ責任者は、機密性3又は機密性2の情報資産を取り扱う外部サービスを利用するときは、次に掲げる事項を行わなければならない。

8　外部サービス管理者は、前項第2号から第4号までに規定する事項の実施状況を確認し、記録しなければならない。

9　情報セキュリティ責任者は、新たに外部サービスを利用するときは、統括情報セキュリティ責任者に対して、利用の承認を申請しなければならない。

10　統括情報セキュリティ責任者は、前項の申請を審査し、外部サービスの利用の可否を決定しなければならない。

11　統括情報セキュリティ責任者は、前項の規定により外部サービスの利用を承認した場合は、システム管理台帳に記録しなければならない。

12　クラウドサービスの利用については、前項までのうち「外部サービス」とあるのは「クラウドサービス」と読み替えるものとする。

13　クラウドサービス管理者は、クラウドサービス上で機密性3又は機密性2の情報資産を保存する場合は、機密性を維持するために当該情報資産を暗号化するとともに、当該情報資産を破棄するときは、暗号化した鍵の削除等により、当該情報資産を復元困難な状態としなければならない。

14　前項の暗号化は、情報資産の保存環境を市の専用とする等の方法をもって代えることができる。

15　情報セキュリティ責任者は、クラウドサービスの利用に当たっては、クラウドサービス事業者が利用するリソースの処分の方針及び手順について、情報セキュリティが確保されていることをクラウドサービス事業者に確認しなければならない。

16　前項の確認に当たっては、クラウドサービス事業者が利用者に提供可能な第三者による監査報告書又は認証等を取得している場合は、当該監査報告書又は認証等を利用することができる。

17　統括情報セキュリティ責任者及び情報システム管理者は、クラウドサービス利用における重大な情報セキュリティインシデントの発生を防ぐため、次に掲げる事項の実施手順を定めなければならない。

2　情報セキュリティ管理者は、他者による不正利用を確認したときは、当該不正利用に伴う被害を最小限にとどめなければならない。

3　情報セキュリティ管理者は、ソーシャルメディアサービスを利用して可用性2の情報を提供するときは、市のホームページに利用するソーシャルメディアサービスの種類及びIDを明示しなければならない。

4　職員は、機密性3又は機密性2の行政情報をソーシャルメディアサービスで発信してはならない。

2　職員は、前項の手順に従い、オンライン会議の参加者及び行政情報の重要度に応じて必要な情報セキュリティ対策を講じなければならない。

3　職員は、オンライン会議を主催するときは、会議に無関係の者が参加できないような措置を講じなければならない。

4　職員は、オンライン会議への出席依頼を受けたときは、第1項の手順に従い、必要に応じてオンライン会議への参加を申請し、オンライン会議を主催する者の承認を得なければならない。

2　CISOは、前項の規定による報告を受けたときは、職員が所属する課等の情報セキュリティ管理者に適正な措置を求めなければならない。

3　CISO及び統括情報セキュリティ責任者は、情報システムに対し、この訓令の遵守状況について確認を行い、問題があると認めたときは、適正かつ速やかに対処しなければならない。

4　CISO及びCISOが指名した者は、不正プログラム、不正アクセス等の調査のために、職員が使用する電子計算機等のログ、電子メールの送受信記録等の利用状況を調査することができる。

2　職員は、前項の規定による報告を受けた統括情報セキュリティ責任者が情報セキュリティ上重大な影響が生じ、又は生じると判断したときは、次条の緊急時対応計画に従って適正に対処しなければならない。

2　対応計画は、クラウドサービスの利用を含めた内容のものでなければならない。

3　対応計画は、次に掲げる事項について定めるものとする。

4　CISO又は情報セキュリティ委員会は、対応計画と自然災害、大規模かつ広範囲にわたる疾病等に備えて、別に定める業務継続計画との整合性を確保しなければならない。

5　CISO又は情報セキュリティ委員会は、情報セキュリティを取り巻く状況の変化、組織体制の変動等に応じ、対応計画の規定を見直さなければならない。

2　情報セキュリティ管理者及び情報システム管理者は、行政事務の適正な遂行に緊急を要する等の場合であって、かつ、例外措置を講じなければならないときは、例外措置を講じた後、速やかにCISOに報告しなければならない。

3　CISOは、例外措置の申請及び当該申請の審査結果を保管しなければならない。

2　情報セキュリティ監査統括責任者は、監査を実施するときは、被監査部門から独立した者に対して、監査の実施を依頼しなければならない。

3　監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者でなければならない。

4　情報セキュリティ監査統括責任者は、監査を行うに当たって、監査実施計画を立案し、情報セキュリティ委員会の承認を得なければならない。

5　被監査部門は、監査の実施に協力しなければならない。

6　情報セキュリティ監査統括責任者は、受託事業者に対して、この訓令の遵守状況の監査を定期的に、又は必要に応じて行わなければならない。

7　情報セキュリティ監査統括責任者は、クラウドサービスを利用する場合は、クラウドサービス事業者に対して、クラウドサービス事業者が自ら定める情報セキュリティポリシーの遵守状況の監査を定期的に行わなければならない。

8　第52条第16項の規定は、前項の監査に当たって、これを準用する。

9　情報セキュリティ監査統括責任者は、監査が完了したときは、当該監査結果を取りまとめ、情報セキュリティ委員会に報告するものとする。

10　CISOは、前項の監査結果において、この訓令上、指摘すべき事項があるときは、被監査部門の情報セキュリティ管理者に対し、当該指摘事項への対処を指示しなければならない。

11　CISOは、前項の指摘すべき事項が、被監査部門以外の課等においても該当すると思料するときは、被監査部門以外の情報セキュリティ管理者に対して、指摘すべき事項の該当の有無を確認させなければならない。

2　情報セキュリティ責任者は、毎年度及び必要に応じ、情報セキュリティ管理者が所管する課等におけるこの訓令に沿った情報セキュリティ対策状況の自己点検を実施させなければならない。

3　統括情報セキュリティ責任者は、情報システム管理者及び情報セキュリティ責任者から前2項の自己点検の結果を報告させ、必要に応じて改善策の提出を求めなければならない。

4　統括情報セキュリティ責任者は、前項の自己点検の結果及び改善策を情報セキュリティ委員会に報告しなければならない。

2　統括情報セキュリティ責任者は、この訓令に違反した職員(以下この条において「違反職員」という。)であって、当該違反に問題があると認めたときは、違反職員が所属する課等の情報セキュリティ管理者に通知し、適正な措置を求めなければならない。

3　情報セキュリティ責任者、情報セキュリティ管理者及び情報システム管理者は、職員が違反職員に当たると認めたときは、統括情報セキュリティ責任者に報告した上で、違反職員が所属する課等の情報セキュリティ管理者に通知し、適正な措置を求めなければならない。

4　統括情報セキュリティ責任者は、前2項の措置の求めに対して、改善がない、又は改善が見込まれないときは、違反職員の情報資産の利用を制限することができる。

5　統括情報セキュリティ責任者は、前項の規定による制限をしたときは、CISO及び違反職員が所属する課等の情報セキュリティ管理者に通知しなければならない。

6　統括情報セキュリティ責任者は、違反職員の違反した事案の重大性又は当該事案の発生した状況等に応じ、人事管理を所管する者等に対して報告するものとする。

この訓令は、公布の日から施行する。

この訓令は、令和5年4月1日から施行する。

この訓令は、公布の日から施行する。