ア　統括情報セキュリティ責任者は最高情報統括責任者を補佐しなければならない。

イ　統括情報セキュリティ責任者は、本町の主要なネットワークにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。

ウ　統括情報セキュリティ責任者は、本町の主要なネットワークにおける情報セキュリティ対策に関する権限及び責任を有する。

エ　統括情報セキュリティ責任者は、情報セキュリティ責任者及び情報システム担当者に対して、情報セキュリティに関する指導及び助言を行う権限を有する。

オ　統括情報セキュリティ責任者は、本町の情報資産に対する侵害が発生した場合又は侵害のおそれがある場合に、最高情報統括責任者の指示に従い、最高情報統括責任者が不在の場合には自らの判断に基づき、必要かつ十分な措置を行う権限及び責任を有する。

カ　統括情報セキュリティ責任者は、本町の主要なネットワーク、情報システム及び情報資産に関する情報セキュリティ実施手順の維持・管理を行う権限及び責任を有する。

キ　統括情報セキュリティ責任者は、緊急時等の円滑な情報共有を図るため、最高情報統括責任者、統括情報セキュリティ責任者、情報セキュリティ責任者、情報システム担当者、情報システム操作者を網羅する連絡体制を整備しなければならない。

ア　情報セキュリティ責任者は、所管する課室等において所有するネットワーク、情報システムにおける情報セキュリティに関する権限及び責任を有する。

イ　情報セキュリティ責任者は、所管する課室等において所有するネットワーク、情報システムにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。

ウ　情報セキュリティ責任者は、その所管する課室等において所有する情報システムについて、緊急時等における連絡体制の整備、セキュリティポリシーの遵守に関する意見の集約及び職員等に対する教育、訓練、助言及び指示を行う。

エ　情報セキュリティ責任者は、その所掌する課室等において、情報資産に対する侵害が発生した場合又は侵害のおそれがある場合には、統括情報セキュリティ責任者及び最高情報統括責任者へ速やかに報告を行い、指示を仰がなければならない。

オ　情報セキュリティ責任者は、その所掌する課室等において、必要に応じシステム操作者を置くものとする。

ア　情報システム担当者は、統括情報セキュリティ責任者の指示等に従い、情報システムの設定の変更、運用、更新等の作業を行う。

イ　統括情報セキュリティ責任者の指示等に従い、情報システムに対するユーザーの使用を許可する。

ウ　システム操作者に対し、情報システムを管理・運用するための技術的な支援を行う。

エ　情報資産の損失、不正使用を発見した場合は、速やかに統括情報セキュリティ責任者及び関連する情報セキュリティ責任者に報告する。

ア　情報セキュリティ責任者は、その所管する情報資産について管理責任を有する。

イ　情報資産が複製された場合には、複製等された情報資産も管理しなければならない。

ウ　職員等は、情報資産を分類に応じ適切に管理しなければならない。

エ　情報セキュリティ責任者は、住民に関する情報資産について、完全性を確保しなければならない。

ア　職員等は、業務上必要のない情報を作成してはならない。

イ　情報を作成する者は、作成途上の情報についても、紛失や流出等を防止しなければならない。また、情報の作成途上で不要になった場合は、当該情報を消去しなければならない。

ア　庁内の者が作成した情報資産を入手した者は、入手元の情報資産の分類に基づいた取扱いをしなければならない。

イ　庁外の者が作成した情報資産を入手した者は、当該情報資産について分類を行い、取扱い制限を定めなければならない。

ウ　情報資産を入手した者は、入手した情報資産の分類が不明な場合、情報セキュリティ責任者に判断を仰がなければならない。

ア　情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。

イ　情報資産を利用する者は、情報資産の分類に応じ、適切な取扱いをしなければならない。

ア　情報セキュリティ責任者は、情報資産の分類に従って情報資産を適切に保管しなければいけない。

イ　情報セキュリティ責任者は、所管する職員等が所有する外部記録媒体等を管理し、特に機密性2以上、完全性2又は可用性2の情報を記録した外部記録媒体については、耐火、耐熱、耐水及び耐湿を講じた施錠可能な場所に保管しなければならない。

ウ　情報セキュリティ責任者は、情報システムのバックアップで取得したデータを記録する外部記録媒体を長期間保管する場合は、自然災害を被る可能性が低い地域に保管しなければならない。

ア　車両等により機密性2以上の情報資産を運搬する者は、必要に応じ鍵付きのケース等に格納し、暗号化又はパスワードの設定を行う等、情報資産の不正利用を防止する為の措置を講じなければならない。

イ　機密性2以上の情報資産を運搬する者は、情報セキュリティ責任者に許可を得なければならない。

ア　機密性2以上の情報資産を廃棄する者は、情報を記録している記録媒体が不要になった場合、記録媒体の初期化・物理的に破壊する等、情報を復元できないように処置した上で廃棄しなければならない。

イ　情報資産の廃棄を行う者は、情報セキュリティ責任者の許可を得なければならない。

ア　統括情報セキュリティ責任者及び情報セキュリティ責任者は、サーバ等の機器の電源について、予期せぬ停電等による電源共有の停止又は一時的な電圧の低下等に備え、当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。

イ　統括情報セキュリティ責任者は、施設管理部門と連携し、停電等による電源供給の停止が長期にわたる場合に備え、ネットワーク機器、重要情報を格納しているサーバ、セキュリティサーバ、住民サービスに関するサーバ、その他の基幹系サーバに対して安定した電力を供給し続けられる予備電源を備え付けなければならない。

ウ　情報セキュリティ責任者は、統括情報セキュリティ責任者及び施設管理部門と連携し、落雷等による過電流に対して、サーバ等の機器を保護するための措置を講じなければならない。

ア　情報セキュリティ責任者は、可用性2のサーバ等の機器の定期保守を実施しなければならない。

イ　情報セキュリティ責任者は、記録媒体を内蔵する機器を外部の事業者に修理させる場合、修理を委託する事業者の秘密保持体制等の確認を行い、場合によっては守秘義務契約を締結する等の措置を施さなければならない。

ア　管理区域とは、ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理並びに運用を行うための部屋(以下「情報システム室」いう。)や電磁的記録媒体の保管庫をいう。

イ　統括情報セキュリティ責任者は、管理区域を地階又は1階に設けてはならない。また、外部からの侵入が容易にできないようにしなければならない。

ウ　統括情報セキュリティ責任者は、施設管理部門と連携して、管理区域から外部に通ずるドアは必要最小限とし、鍵、監視機能、警報装置等によって許可されていない立入りを防止しなければならない。

エ　統括情報セキュリティ責任者は、情報システム室内の機器等に、転倒及び落下防止等の耐震対策、防火措置、防水措置等を講じなければならない。

オ　統括情報セキュリティ責任者は、管理区域に配置する消火薬剤や消防用設備等が、機器等及び記録媒体に影響を与えないようにしなければならない。

ア　統括情報システム責任者は、管理区域への入退室を許可された者のみに制限し、ICカード、指紋認証等の生体認証又は入退室管理簿の記載による入退室管理を行わなければならない。

イ　外部委託事業者は、管理区域に入室する場合、身分証明書等を携帯し、求めにより提示しなければならない。

ウ　統括情報セキュリティ責任者は、機密性2以上の情報資産を扱うシステムを設置している管理区域について、当該情報システムに関連しないコンピュータ、通信回線装置、外部記録媒体等を持ち込ませないようにしなければならない。

ア　統括情報セキュリティ責任者は、搬入する機器等が、既存の情報システムに与える影響について、あらかじめ職員又は委託した業者に確認を行わせなければならない。

イ　統括情報セキュリティ責任者は、情報システム室の機器等の搬入出について、職員を立ち会わせなければならない。

ア　職員等は、本町のパソコン等の端末、記録媒体、情報資産及びソフトウェアを外部に持ち出す場合には、情報セキュリティ責任者の許可を得なければならない。

イ　職員等は、外部で情報処理業務を行う場合には、情報セキュリティ責任者の許可を得なければならない。

ア　職員等は、外部から持ち込んだパソコン等の端末等及び記録媒体等を、庁内のネットワーク又はパソコン等に接続してはならない。ただし、原則として業務上必要な場合に限り、統括情報セキュリティ責任者の許可を得て接続することができる。

イ　職員等は、庁内のパソコン等の端末及び記録媒体等を、外部のネットワーク又はパソコン等に接続してはならない。

ア　職員等は、認証に用いるICカード等を、職員等間で共有してはならない。

イ　職員等は、業務上必要のないときは、ICカード等をカードリーダ若しくはパソコン等の端末のスロット等から抜いておかなければならない。

ウ　職員等は、ICカード等を紛失した場合には、速やかに情報セキュリティ責任者及び統括情報セキュリティ責任者に通報し、指示に従わなければならない。

エ　統括情報セキュリティ責任者及び情報セキュリティ責任者は、ICカード等の紛失等の通報があり次第、当該ICカード等を使用したアクセス等を速やかに停止しなければならない。

オ　統括情報セキュリティ責任者及び情報セキュリティ責任者は、ICカード等を切り替える場合、切替え前のカードを回収し、破砕するなど復元不可能な処理を行った上で廃棄しなければならない。

ア　職員等は、自己が利用しているIDは、他人に利用させてはならない。

イ　職員等は、共用IDを利用する場合は、共用IDの利用者以外に利用させてはならない。

ア　パスワードは、他者に知られないように管理しなければならない。

イ　パスワードを秘密にし、パスワードの照会等には一切応じてはならない。

ウ　パスワードは十分な長さとし、文字列は想像しにくいものにしなければならない。

エ　パスワードが流出したおそれがある場合には、情報セキュリティ責任者に速やかに報告し、パスワードを速やかに変更しなければならない。

オ　パスワードは定期的に、又はアクセス回数に基づき変更し、古いパスワードを再利用してはならない。

カ　仮のパスワードは、最初のログイン時点で変更しなければならない。

キ　パソコン等の端末にパスワードを記憶させてはならない。

ク　職員等間でパスワードを共有してはならない。

ア　統括情報セキュリティ責任者は、職員等が使用できるファイルサーバの容量を設定し、職員等に周知しなければならない。

イ　統括情報セキュリティ責任者は、ファイルサーバを課室等の単位に分割し、職員等が他課室等のフォルダ及びファイルを閲覧及び使用できないように設定しなければならない。

ア　統括情報セキュリティ責任者及び情報セキュリティ責任者は、各種アクセス記録及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。

イ　統括情報セキュリティ責任者及び情報セキュリティ責任者は、アクセス記録等が詐取、改ざん、誤消去等されないように必要な措置を講じなければならない。

ア　統括情報セキュリティ責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等を設定しなければならない。

イ　統括情報セキュリティ責任者は、不正アクセスを防止するため、ネットワークに適切なアクセス制御を施さなければならない。

ア　情報セキュリティ責任者は、所管するネットワークを外部ネットワークと接続しようとする場合には、最高情報統括責任者及び統括情報セキュリティ責任者の許可を得なければならない。

イ　情報セキュリティ責任者は、接続しようとする外部ネットワークに係るネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、庁内のすべてのネットワーク、情報システム等の情報資産に影響が生じないことを確認しなければならない。

ウ　情報セキュリティ責任者は、接続した外部ネットワークの瑕疵によりデータの漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。

エ　統括情報セキュリティ責任者は、ウェブサーバ等をインターネットに公開する場合、庁内ネットワークへの侵入を防御するために、ファイアウォール等を外部ネットワークとの境界に設置したうえで接続しなければならない。

オ　情報セキュリティ責任者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、統括情報セキュリティ責任者の判断に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。

ア　統括情報セキュリティ責任者は、権限のない利用者により、外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。

イ　統括情報セキュリティ責任者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。

ウ　統括情報セキュリティ責任者は、職員等が使用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を職員等に周知しなければならない。

ア　職員等は、自動転送機能を用いて、電子メールを転送してはならない。

イ　職員等は、業務上必要のない送信先に電子メールを送信してはならない。

ウ　職員等は、複数人に電子メールを送信する場合、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにしなければならない。

エ　職員等は、重要な電子メールを誤送信した場合、情報セキュリティ責任者に報告しなければならない。

オ　職員等は、ウェブで利用できるフリーメール、ネットワークストレージサービス等を使用してはならない。ただし、業務上必要な場合に限り、統括情報セキュリティ責任者の許可を得てこれらを使用することができる。

ア　職員等は、情報資産の分類により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合には、最高情報統括責任者が定めた電子署名、暗号化又はパスワード設定の方法を使用して、送信しなければならない。

イ　職員等は、暗号化を行う場合に最高情報統括責任者が定める以外の方法を用いてはならない。また、最高情報統括責任者が定めた方法で暗号のための鍵を管理しなければならない。

ア　職員等は、パソコン等の端末に無断でソフトウェアを導入してはならない。

イ　職員等は、業務上の必要がある場合は、統括情報セキュリティ責任者の許可を得てソフトウェアを導入することができる。なお、導入する際は、統括情報セキュリティ責任者は、ソフトウェアのライセンスを管理しなければならない。

ウ　職員等は、不正にコピーしたソフトウェアを利用してはならない。

ア　職員等は、パソコン等の端末に対し機器の改造及び増設・交換を行ってはならない。

イ　職員等は、業務上、パソコン等の端末に対し機器の改造及び増設・交換を行う必要がある場合には、統括情報セキュリティ責任者の許可を得なければならない。

ア　職員等は、業務以外の目的でウェブを閲覧してはならない。

イ　統括情報セキュリティ責任者は、職員等のウェブ利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、情報セキュリティ責任者に通知し適切な措置を求めなければならない。

ア　統括情報セキュリティ責任者及び情報セキュリティ責任者は、利用者の登録、変更、抹消等の情報管理、職員等の異動、出向、退職者に伴う利用者IDの取扱い等の方法を定めなければならない。

イ　職員等は、業務上必要がなくなった場合は、利用者登録を抹消するよう、統括情報セキュリティ責任者又は情報セキュリティ責任者に通知しなければならない。

ウ　統括情報セキュリティ責任者及び情報セキュリティ責任者は、利用されていないIDが放置されないよう、人事管理部門と連携し、点検しなければならない。

ア　統括情報セキュリティ責任者及び情報セキュリティ責任者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。

イ　統括情報セキュリティ責任者は、特権を付与されたID及びパスワードの変更について、外部委託事業者に行わせてはならない。

ア　外部委託事業者が外部から内部のネットワーク又は情報システムにアクセスする場合は、統括情報セキュリティ責任者及び当該情報システムを管理する情報セキュリティ責任者の許可を得なければならない。

イ　統括情報セキュリティ責任者は、内部のネットワーク又は情報システムに対する外部からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない。

ウ　統括情報セキュリティ責任者は、外部からのアクセスを認める場合、通信途上の盗聴を防御する措置を講じなければならない。

ア　統括情報セキュリティ責任者及び情報セキュリティ責任者は、職員等のパスワードに関する情報を厳重に管理しなければならない。

イ　統括情報セキュリティ責任者及び情報セキュリティ責任者は、職員等に対してパスワードを発行する場合は、仮のパスワードを発行し、ログイン後直ちに仮のパスワードを変更させなければならない。

ア　統括情報セキュリティ責任者及び情報セキュリティ責任者は、情報システム開発、導入、保守等の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。

イ　統括情報セキュリティ責任者及び情報セキュリティ責任者は、機器及びソフトウェアの調達に当たっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。

ア　関係者の連絡先

イ　発生した事案に係る報告すべき事項

ウ　発生した事案への対応措置

エ　再発防止措置の策定

ア　情報セキュリティポリシー及び情報セキュリティ実施手順の遵守

イ　委託先の責任者、委託内容、作業者、作業場所の特定

ウ　提供されるサービスレベルの保証

エ　従業員に対する教育の実施

オ　提供された情報の目的外利用及び受託者以外の者への提供の禁止

カ　業務上知り得た情報の守秘義務

キ　再委託に関する制限事項の遵守

ク　委託業務終了時の情報資産の返還、廃棄等

ケ　委託業務の定期報告及び緊急時報告義務

コ　町による監査、検査

サ　町による事故時等の公表

シ　情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)