情報セキュリティポリシーとは，湧水町が所掌する情報資産に関する情報セキュリティ対策について，総合的，体系的かつ具体的に取りまとめたものを総称する。情報セキュリティポリシーは，本町が所掌する情報資産に関する業務に携わる全職員，非常勤及び臨時職員等(以下「職員等」という。)に浸透させ，普及させ，及び定着させるものであり，安定的な規範であることが要請される。しかしながら一方では，技術の進歩に伴う情報セキュリティを取り巻く急速な状況の変化へ柔軟に対応することも必要である。

このようなことから，情報セキュリティポリシーを一定の普遍性を備えた部分(基本方針)と情報資産を取り巻く状況の変化に依存する部分(対策基準)に分けて策定することとした。

具体的には，情報セキュリティポリシーを，①情報セキュリティ基本方針及び②情報セキュリティ対策基準の2階層に分け，それぞれを策定することとする。また，情報セキュリティポリシーに基づき，情報システムごとの具体的な情報セキュリティ対策の実施手順は，必要に応じ策定することとする。

第1章　情報セキュリティ基本方針

1　目的

本基本方針は，本町が保有する情報資産の機密性，完全性及び可用性を維持するため，本町が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。

2　定義

(1)　ネットワーク

コンピュータ等を相互に接続するための通信網，その構成機器(ハードウェア及びソフトウェア)をいう。

(2)　情報システム

コンピュータ，ネットワーク及び電磁的記録媒体で構成され，情報処理を行う仕組みをいう。

(3)　情報セキュリティ

情報資産の機密性，完全性及び可用性を維持することをいう。

(4)　情報セキュリティポリシー

本基本方針及び情報セキュリティ対策基準をいう。

(5)　機密性

情報にアクセスすることを認められた者だけが，情報にアクセスできる状態を確保することをいう。

(6)　完全性

情報が破壊，改ざん又は消去されていない状態を確保することをいう。

(7)　可用性

情報にアクセスすることを認められた者が，必要なときに中断されることなく，情報にアクセスできる状態を確保することをいう。

(8)　マイナンバー利用事務系(個人番号利用事務系)

個人番号利用事務(社会保障，地方税若しくは防災に関する事務)又は戸籍事務等に関わる情報システム及びデータをいう。

(9)　LGWAN接続系

LGWANに接続された情報システム及びその情報システムで取り扱うデータをいう(マイナンバー利用事務系を除く。)。

(10)　インターネット接続系

インターネットメール，ホームページ管理システム等に関わるインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。

(11)　通信経路の分割

LGWAN接続系とインターネット接続系の両環境間の通信環境を分離した上で，安全が確保された通信だけを許可できるようにすることをいう。

3　対象とする脅威

情報資産に対する脅威として，以下の脅威を想定し，情報セキュリティ対策を実施する。

(1)　不正アクセス，ウイルス攻撃，サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去，重要情報の詐取，内部不正等

(2)　情報資産の無断持ち出し，無許可ソフトウェアの使用等の規定違反，設計・開発の不備，プログラム上の欠陥，操作・設定ミス，メンテナンス不備，内部・外部監査機能の不備，外部委託管理の不備，マネジメントの欠陥，機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等

(3)　地震，落雷，火災等の災害によるサービス及び業務の停止等

(4)　大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等

(5)　電力供給の途絶，通信の途絶，水道供給の途絶等のインフラの障害からの波及等

4　適用範囲

(1)　行政機関の範囲

本基本方針は，町長部局，議会事務局，監査委員会，農業委員会，教育委員会及び水道事業に適用する。

(2)　情報資産の範囲

本基本方針が対象とする情報資産は，次のとおりとする。ただし，各小学校，各中学校及び各幼稚園が教育のために用いる情報資産については，対象としない。

①　ネットワーク及び情報システム並びにこれらに関する設備及び電磁的記録媒体

②　ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)

③　情報システムの仕様書及びネットワーク図等のシステム関連文書

5　職員等の遵守義務

職員等は，情報セキュリティの重要性について共通の認識を持ち，業務の遂行に当たっては情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。

6　情報セキュリティ対策

上記3の脅威から情報資産を保護するために，以下の情報セキュリティ対策を講じる。

(1)　組織体制

本町の情報資産について，情報セキュリティ対策を推進する全庁的な組織体制を確立する。

(2)　情報資産の分類と管理

本町の保有する情報資産を機密性，完全性及び可用性に応じて分類し，当該分類に基づき情報セキュリティ対策を行う。

(3)　情報システム全体の強靭性の向上

情報セキュリティの強化を目的とし，業務の効率性・利便性の観点を踏まえ，情報システム全体に対し，次の三段階の対策を講じる。

①　マイナンバー利用事務系においては，原則として，他の領域との通信をできないようにした上で，端末からの情報持ち出し不可設定や端末への多要素認証の導入等により，住民情報の流出を防ぐ。

②　LGWAN接続系においては，LGWANと接続する業務用システムと，インターネット接続系の情報システムとの通信経路を分割する。なお，両システム間で通信する場合には，無害化通信を実施する。

③　インターネット接続系においては，不正通信の監視機能の強化等の高度な情報セキュリティ対策を実施する。高度な情報セキュリティ対策として，都道府県及び市区町村のインターネットとの通信を集約した上で，自治体情報セキュリティクラウドの導入等を実施する。

(4)　物理的セキュリティ

サーバ，電算室，通信回線及び職員等のパソコン等の管理について，物理的な対策を講じる。

(5)　人的セキュリティ

情報セキュリティに関し，職員等が遵守すべき事項を定めるとともに，十分な教育及び啓発を行う等の人的な対策を講じる。

(6)　技術的セキュリティ

コンピュータ等の管理，アクセス制御，不正プログラム対策，不正アクセス対策等の技術的対策を講じる。

(7)　運用

情報システムの監視，情報セキュリティポリシーの遵守状況の確認，外部委託を行う際のセキュリティ確保等，情報セキュリティポリシーの運用面の対策を講じるものとする。また，情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適切に対応するため，緊急時対応計画を策定する。

7　情報セキュリティ監査及び自己点検の実施

情報セキュリティポリシーの遵守状況を検証するため，定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。

8　情報セキュリティポリシーの見直し

情報セキュリティ監査及び自己点検の結果，情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には，情報セキュリティポリシーを見直す。

9　情報セキュリティ対策基準の策定

上記6，7及び8に規定する対策等を実施するために，具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。

10　情報セキュリティ実施手順の策定

情報セキュリティ対策基準に基づき，情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を必要に応じて策定するものとする。

なお，情報セキュリティ実施手順は，公にすることにより本町の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。

第2章　情報セキュリティ対策基準

本対策基準は，情報セキュリティ基本方針を実行に移すための，本市における情報資産に関する情報セキュリティ対策の基準を定めたものである。

1　組織体制

(1)　最高情報統括責任者(CIO：Chief　Information　Officer)

副町長を最高情報統括責任者とし，本町における情報通信技術の活用による住民の利便性の向上及び行政運営改善等に関する最終決定権限及び責任を有するものとする。

(2)　最高情報セキュリティ責任者(CISO：Chief　Information　Security　Officer，以下「CISO」という。)

副町長を兼ねてCISOとし，本町における全てのネットワーク，情報システム等の情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有するものとする。

(3)　統括情報セキュリティ責任者

①　企画財政課長をCISO直属の統括情報セキュリティ責任者とする。統括情報セキュリティ責任者はCISOを補佐しなければならない。

②　統括情報セキュリティ責任者は，本町の全てのネットワークにおける開発，設定の変更，運用，見直し等を行う権限及び責任を有する。

③　統括情報セキュリティ責任者は，本町の全てのネットワークにおける情報セキュリティ対策に関する権限及び責任を有する。

④　統括情報セキュリティ責任者は，情報セキュリティ責任者，情報システム管理者及び情報システム担当者に対して，情報セキュリティに関する指導及び助言を行う権限を有する。

⑤　統括情報セキュリティ責任者は，本町の情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合に，CISOの指示に従い，CISOが不在の場合には自らの判断に基づき，必要かつ十分な措置を行う権限及び責任を有する。

⑥　統括情報セキュリティ責任者は，本町の共通的なネットワーク，情報システム及び情報資産に関する情報セキュリティの維持・管理を行う権限及び責任を有する。

⑦　統括情報セキュリティ責任者は，緊急時等の円滑な情報共有を図るため，CISO，統括情報セキュリティ責任者，情報セキュリティ責任者，情報システム管理者，情報システム担当者を網羅する連絡体制を含めた緊急連絡網を整備しなければならない。

⑧　統括情報セキュリティ責任者は，緊急時にはCISOに早急に報告を行うとともに，回復のための対策を講じなければならない。

⑨　統括情報セキュリティ責任者は，情報セキュリティ関係規程に係る課題及び問題点を含む運用状況を適時に把握し，必要に応じてCISOにその内容を報告しなければならない。

(4)　情報セキュリティ責任者

①　各課長及び事務局長を情報セキュリティ責任者とする。

②　情報セキュリティ責任者は，その所管する課及び事務局の情報セキュリティ対策に関する権限及び責任を有する。

③　情報セキュリティ責任者は，その所管する課及び事務局において所有している情報システムにおける開発，設定の変更，運用の見直し等を行う統括的な権限及び責任を有する。

④　情報セキュリティ責任者は，その所管する課及び事務局において，情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合には，統括情報セキュリティ責任者及びCISOへ速やかに報告を行い，指示を仰がなければならない。

⑤　情報セキュリティ責任者は，その所管する課及び事務局において所有している情報システムについて，緊急時等における連絡体制の整備，情報セキュリティポリシーの遵守に関する意見の集約並びに職員，非常勤職員及び臨時職員等(以下「職員等」という。)に対する教育，訓練，助言及び指示を行う。

(5)　情報システム管理者

①　各情報システムの担当課長及び事務局長を当該情報システムに関する情報システム管理者とする。

②　情報システム管理者は，所管する情報システムにおける開発，設定の変更，運用の見直し等を行う権限及び責任を有する。

③　情報システム管理者は，所管する情報システムに係る情報セキュリティ実施手順の維持・管理を行う。

(6)　情報システム担当者

情報システム管理者の指示等に従い，情報システムの開発，設定の変更，運用，更新等の作業を行う者を，情報システム担当者とする。

(7)　兼務の禁止

①　情報セキュリティ対策の実施において，やむを得ない場合を除き，承認又は許可の申請を行う者とその承認者又は許可者は，同じ者が兼務してはならない。

②　情報セキュリティ監査の実施において，やむを得ない場合を除き，監査を受ける者とその監査を実施する者は，同じ者が兼務してはならない。

3　情報資産の分類と管理

(1)　情報資産の分類

本町における情報資産は，機密性，完全性及び可用性により次のとおり分類し，必要に応じて取扱制限を行うものとする。

機密性による情報資産の分類

完全性による情報資産の分類

可用性による情報資産の分類

(2)　情報資産の管理

①　管理責任

(ア)　情報セキュリティ責任者は，その所管する情報資産について管理責任を有する。

(イ)　情報資産が複製又は伝送された場合には，複製等された情報資産も(1)の分類に基づき管理しなければならない。

②　情報資産の分類の表示

職員等は，情報資産について，ファイル(ファイル名，ファイルの属性(プロパテ(イ)，ヘッダー・フッター等)，格納する電磁的記録媒体のラベル，文書の隅等に，情報資産の分類を表示し，必要に応じて取扱制限についても明示する等適切な管理を行わなければならない。

③　情報の作成

(ア)　職員等は，業務上必要のない情報を作成してはならない。

(イ)　情報を作成する者は，情報の作成時に(1)の分類に基づき，当該情報の分類と取扱制限を定めなければならない。

(ウ)　情報を作成する者は，作成途上の情報についても，紛失や流出等を防止しなければならない。また，情報の作成途上で不要になった場合は，当該情報を消去しなければならない。

④　情報資産の入手

(ア)　庁内の者が作成した情報資産を入手した者は，入手元の情報資産の分類に基づいた取扱いをしなければならない。

(イ)　庁外の者が作成した情報資産を入手した者は，(1)の分類に基づき，当該情報の分類と取扱制限を定めなければならない。

(ウ)　情報資産を入手した者は，入手した情報資産の分類が不明な場合，情報セキュリティ責任者に判断を仰がなければならない。

⑤　情報資産の利用

(ア)　情報資産を利用する者は，業務以外の目的に情報資産を利用してはならない。

(イ)　情報資産を利用する者は，情報資産の分類に応じて，適正な取扱いをしなければならない。

(ウ)　情報資産を利用する者は，電磁的記録媒体に情報資産の分類が異なる情報が複数記録されている場合，最高度の分類に従って，当該電磁的記録媒体を取り扱わなければならない。

⑥　情報資産の保管

(ア)　情報セキュリティ責任者又は情報システム管理者は，情報資産の分類に従って，情報資産を適切に保管しなければならない。

(イ)　情報セキュリティ責任者又は情報システム管理者は，情報資産を記録した電磁的記録媒体を長期保管する場合は，書込禁止の措置を講じなければならない。

(ウ)　情報セキュリティ責任者又は情報システム管理者は，利用頻度が低い電磁的記録媒体や情報システムのバックアップで取得したデータを記録する電磁的記録媒体を長期保管する場合は，自然災害を被る可能性が低い場所に保管しなければならない。

(エ)　情報セキュリティ責任者又は情報システム管理者は，機密性2以上，完全性2又は可用性2の情報を記録した電磁的記録媒体を保管する場合，耐火，耐熱，耐水及び耐湿を講じた施錠可能な場所に保管しなければならない。

⑦　情報の送信

電子メール等により機密性2以上の情報を送信する者は，必要に応じ暗号化又はパスワード設定を行わなければならない。

⑧　情報資産の運搬

(ア)　車両等により機密性2以上の情報資産を運搬する者は，必要に応じ鍵付きのケース等に格納し，暗号化又はパスワードの設定を行う等，情報資産の不正利用を防止するための措置を講じなければならない。

(イ)　機密性2以上の情報資産を運搬する者は，情報セキュリティ責任者に許可を得なければならない。

⑨　情報資産の提供・公表

(ア)　機密性2以上の情報資産を外部に提供する者は，必要に応じ暗号化又はパスワードの設定を行わなければならない。

(イ)　機密性2以上の情報資産を外部に提供する者は，情報セキュリティ責任者に許可を得なければならない。

(ウ)　情報セキュリティ責任者は，住民に公開する情報資産について，完全性を確保しなければならない。

⑩　情報資産の廃棄

(ア)　情報資産の廃棄行う者は，情報を記録している電磁的記録媒体が不要になった場合，記録されている情報の機密性に応じ，電磁的記録媒体の初期化等，情報を復元できないように処置した上で廃棄しなければならない。

(イ)　情報資産の廃棄を行う者は，行った処理について，日時，担当者及び処理内容を記録しなければならない。

(ウ)　情報資産の廃棄を行う者は，情報セキュリティ責任者の許可を得なければならない。

4　情報システム全体の強靭性の向上

(1)　マイナンバー利用事務系

①　マイナンバー利用事務系と他の領域との分離

マイナンバー利用事務系と他の領域を通信できないようにしなければならない。マイナンバー利用事務系と外部との通信をする必要がある場合は，通信経路の限定(MACアドレス，IPアドレス)及びアプリケーションプロトコル(ポート番号)のレベルでの限定を行わなければならない。また，その外部接続先についてもインターネット等と接続してはならない。ただし，国等の公的機関が構築したシステム等，十分に安全性が確保された外部接続先については，この限りではなく，インターネット等からLGWAN―ASPを経由してマイナンバー利用事務系にデータの取り込みを可能とする。

②　情報のアクセス及び持ち出しにおける対策

(ア)　情報のアクセス対策

情報システムが正規の利用者かどうかを判断する認証手段のうち，二つ以上を併用する認証(多要素認証)を利用しなければならない。また，業務毎に専用端末を設置することが望ましい。

(イ)　情報の持ち出し不可設定

原則として，USBメモリ等の電磁的記録媒体による端末からの情報持ち出しができないように設定しなければならない。

(2)　LGWAN接続系

①　LGWAN接続系とインターネット接続系の分割

LGWAN接続系とインターネット接続系は両環境間の通信環境を分離した上で，必要な通信だけを許可できるようにしなければならない。なお，メールやデータをLGWAN接続系に取り込む場合は，次の実現方法等により，無害化通信を図らなければならない。

(ア)　インターネット環境で受信したインターネットメールの本文のみをLGWAN接続系に転送するメールテキスト化方式

(イ)　インターネット接続系の端末から，LGWAN接続系の端末へ画面を転送する方式

(ウ)　危険因子をファイルから除去し，又は危険因子がファイルに含まれていないことを確認し，インターネット接続系から取り込む方式

(3)　インターネット接続系

①　インターネット接続系においては，通信パケットの監視，ふるまい検知等の不正通信の監視機能の強化により，情報セキュリティインシデントの早期発見と対処及びLGWANへの不適切なアクセス等の監視等の情報セキュリティ対策を講じなければならない。

②　都道府県及び市区町村のインターネットとの通信を集約する自治体情報セキュリティクラウドに参加するとともに，関係省庁や都道府県等と連携しながら，情報セキュリティ対策を推進しなければならない。

5　物理的セキュリティ

(1)　サーバ等の管理

①　機器の取付け

情報システム管理者は，サーバ等の機器の取付けを行う場合，火災，水害，埃，振動，温度，湿度等の影響を可能な限り排除した場所に設置し，容易に取り外せないよう適切に固定する等，必要な措置を講じなければならない。

②　サーバの冗長化

(ア)　情報システム管理者は，重要情報を格納しているサーバ，セキュリティサーバ，住民サービスに関するサーバ及びその他の基幹サーバを冗長化し，同一データを保持しなければならない。

(イ)　情報システム管理者は，メインサーバに障害が発生した場合に，速やかにセカンダリサーバを起動し，システムの運用停止時間を最小限にしなければならない。

③　機器の電源

(ア)　情報システム管理者は，統括情報セキュリティ責任者及び施設管理部門と連携し，サーバ等の機器の電源について，停電等による電源供給の停止に備え，当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。

(イ)　情報システム管理者は，統括情報セキュリティ責任者及び施設管理部門と連携し，落雷等による過電流に対して，サーバ等の機器を保護するための措置を講じなければならない。

④　通信ケーブル等の配線

(ア)　統括情報セキュリティ責任者及び情報システム管理者は，施設管理部門と連携し，通信ケーブル及び電源ケーブルの損傷等を防止するために，配線収納管を使用する等必要な措置を講じなければならない。

(イ)　統括情報セキュリティ責任者及び情報システム管理者は，主要な箇所の通信ケーブル及び電源ケーブルについて，施設管理部門から損傷等の報告があった場合，連携して対応しなければならない。

(ウ)　統括情報セキュリティ責任者及び情報システム管理者は，ネットワーク接続口(ハブのポート等)を他者が容易に接続できない場所に設置する等適切に管理しなければならない。

(エ)　統括情報セキュリティ責任者，情報システム管理者は，自ら又は情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が配線を変更，追加できないように必要な措置を施さなければならない。

⑤　機器の定期保守及び修理

(ア)　情報システム管理者は，可用性2のサーバ等の機器の定期保守を実施しなければならない。

(イ)　情報システム管理者は，電磁的記録媒体を内蔵する機器を外部の事業者に修理させる場合，内容を消去した状態で行わせなければならない。内容を消去できない場合，情報システム管理者は，外部の事業者に故障を修理させるにあたり，修理を委託する事業者との間で，守秘義務契約を締結するほか，秘密保持体制の確認などを行わなければならない。

⑥　庁外への機器の設置

統括情報セキュリティ責任者及び情報システム管理者は，庁外にサーバ等の機器を設置する場合，CISOの承認を得なければならない。また，定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。

⑦　機器の廃棄等

情報システム管理者は，機器を廃棄，リース返却等をする場合，機器内部の記憶装置から全ての情報を消去の上，復元不可能な状態にする措置を講じなければならない。

(2)　管理区域の管理

①　管理区域の構造等

(ア)　管理区域とは，ネットワークの基幹機器及び重要な情報システムを設置し，当該機器等の管理及び運用を行うための部屋や電磁的記録媒体の保管庫をいう。

(イ)　統括情報セキュリティ責任者及び情報システム管理者は，管理区域を地階又は1階に設けてはならない。

(ウ)　統括情報セキュリティ責任者及び情報システム管理者は，施設管理部門と連携して，管理区域から外部に通ずるドアは必要最小限とし，鍵，監視機能，警報装置等によって許可されていない立入りを防止しなければならない。

(エ)　統括情報セキュリティ責任者及び情報システム管理者は，管理区域内の機器等に転倒及び落下防止等の耐震対策，防火措置，防水措置等を講じなければならない。

(オ)　統括情報セキュリティ責任者及び情報システム管理者は，管理区域に配置する消火薬剤や消防用設備等が機器及び電磁的記録媒体等に影響を与えないようにしなければならない。

②　管理区域の入退室管理等

(ア)　情報システム管理者は，管理区域への入退室を許可された者のみに制限し，入退室管理簿の記載による入退室管理を行わなければならない。

(イ)　職員等及び外部委託事業者は，管理区域に入室する場合，身分証明書等を携帯し，求めにより提示しなければならない。

(ウ)　情報システム管理者は，外部からの訪問者が管理区域に入る場合には，必要に応じて立ち入り区域を制限した上で，管理区域への入退室を許可された職員等が付き添うものとし，外見上職員等と区別できる措置を講じなければならない。

③　機器等の搬入出

(ア)　情報システム管理者は，管理区域に搬入する機器等が既存の情報システムに与える影響について，あらかじめ職員又は委託した業者に確認を行わせなければならない。

(イ)　情報システム管理者は，管理区域の機器等の搬入出について，職員を立ち会わせなければならない。

(3)　通信回線及び通信回線装置の管理

①　統括情報セキュリティ責任者は，庁内の通信回線及び通信回線装置を施設管理部門と連携し，適切に管理しなければならない。また，通信回線及び通信回線装置に関連する文書を適切に保管しなければならない。

②　統括情報セキュリティ責任者は，外部へのネットワーク接続を必要最低限に限定し，できる限り接続ポイントを減らさなければならない。

③　統括情報セキュリティ責任者は，行政系のネットワークを総合行政ネットワーク(LGWAN)に集約するように努めなければならない。

④　統括情報セキュリティ責任者は，機密性2以上の情報資産を取り扱う情報システムに通信回線を接続する場合，必要なセキュリティ水準を検討の上，適切な回線を選択しなければならない。また，必要に応じ，送受信される情報の暗号化を行わなければならない。

⑤　統括情報セキュリティ責任者は，ネットワークに使用する回線について，伝送途上に情報が破壊，盗聴，改ざん，消去等が生じないように十分なセキュリティ対策を実施しなければならない。

⑥　統括情報セキュリティ責任者は，可用性2の情報を取り扱う情報システムが接続される通信回線について，継続的な運用を可能とする回線を選択しなければならない。また，必要に応じ，回線を冗長構成にする等の措置を講じなければならない。

(3)　職員等の利用する端末や電磁的記録媒体等の管理

①　情報セキュリティ責任者は，執務室等で利用するパソコン等の機器及び電磁的記録媒体について，盗難防止のための必要な措置を講じなければならない。また，電磁的記録媒体については，情報が必要とされなくなった時点で速やかに記録した情報を消去しなければならない。

②　情報システム管理者は，情報システムへのログインパスワードの入力を必要とするように設定しなければならない。

③　情報システム管理者は，取り扱う情報の重要度に応じてパスワード以外にICカード認証等の二要素認証を併用しなければならない。

④　情報システム管理者は，パソコン端末等におけるデータの暗号化等の機能を有効に利用しなければならない。端末にセキュリティチップが搭載されている場合，その機能を有効に活用しなければならない。

5　人的セキュリティ

(1)　職員等の遵守事項

①　職員等の遵守事項

(ア)　情報セキュリティポリシー等の遵守

職員等は，情報セキュリティポリシー及び実施手順を遵守しなければならない。また，情報セキュリティ対策について不明な点，遵守することが困難な点等がある場合は，速やかに情報セキュリティ責任者に相談し，指示を仰がなければならない。

(イ)　業務以外の目的での使用の禁止

職員等は，業務以外の目的で情報資産の外部への持ち出し，情報システムへのアクセス，電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。

(ウ)　パソコン端末や電磁的記録媒体等の持ち出し及び外部における情報処理作業の制限

職員等は，本町のパソコン端末，電磁的記録媒体，情報資産及びソフトウェアを外部に持ち出す場合や外部で情報処理業務を行う場合には，情報セキュリティ責任者の許可を得なければならない。

(エ)　支給以外のパソコン端末及び電磁的記録媒体等の業務利用

職員等は，支給以外のパソコン端末及び電磁的記録媒体等を原則業務に利用してはならない。ただし，業務上必要な場合は，情報セキュリティ責任者の許可を得て利用することができる。なお，当該パソコンを外部へ持ち出す際も情報セキュリティ責任者の許可を要するものとする。

(オ)　持ち出し及び持ち込みの記録

情報セキュリティ責任者は，端末等の持ち出し及び持ち込みについて，記録を作成し，保管しなければならない。

(カ)　パソコン端末におけるセキュリティ設定変更の禁止

職員等は，パソコン端末のソフトウェアに関するセキュリティ機能の設定を情報システム管理者の許可なく変更してはならない。

(キ)　机上の端末等の管理

職員等は，パソコン端末，電磁的記録媒体及びそれらの情報が印刷された文書等について，第三者に使用されること又は情報セキュリティ責任者の許可なく情報を閲覧されることがないように，離席時のパソコン端末のロックや電磁的記録媒体，文書等の容易に閲覧されない場所への保管等，適切な措置を講じなければならない。

(ク)　退職時等の遵守事項

職員等は，異動，退職等により業務を離れる場合には，利用していた情報資産を返却しなければならない。また，その後も業務上知り得た情報を漏らしてはならない。

②　非常勤及び臨時職員等への対応

(ア)　情報セキュリティポリシー等の遵守

情報セキュリティ管理者は，非常勤及び臨時職員等に対し，採用時に情報セキュリティポリシー等のうち，非常勤及び臨時職員等が守るべき内容を理解させ，また実施及び遵守させなければならない。

(イ)　情報セキュリティポリシー等の遵守に対する同意

情報セキュリティ責任者は，非常勤及び臨時職員等の採用の際，必要に応じ，情報セキュリティポリシー等を遵守する旨の同意書への署名を求めるものとする。

(ウ)　インターネット接続及び電子メール使用等の制限

情報セキュリティ管理者は，非常勤及び臨時職員等にパソコンやモバイル端末による作業を行わせる場合において，インターネットへの接続及び電子メールの使用等が不要の場合，これを利用できないようにしなければならない。

③　情報セキュリティポリシー等の掲示

情報セキュリティ責任者は，職員等が常に情報セキュリティポリシー及び実施手順を閲覧できるように掲示しなければならない。

④　外部委託事業者に対する説明

情報システム管理者は，ネットワーク及び情報システムの開発・保守等を外部委託事業者に発注する場合，外部委託事業者から再委託を受ける事業者も含めて，情報セキュリティポリシー等のうち外部委託事業者が守るべき内容の遵守及びその機密事項を説明しなければならない。

(2)　研修・訓練

①　CISOは，定期的に情報セキュリティに関する研修・訓練を実施しなければならない。

②　研修計画については，職員等が定期的に情報セキュリティ研修を受講できるようにしなければならない。

③　研修は，統括情報セキュリティ責任者，情報セキュリティ責任者，情報セキュリティ管理者，情報システム管理者，情報システム担当者及びその他職員等に対して，それぞれの役割，情報セキュリティに関する理解度等に応じたものにしなければならない。

④　CISOは，緊急時対応を想定した訓練を定期的に実施しなければならない。

⑤　全ての職員等は，定められた研修・訓練に参加しなければならない。

(3)　情報セキュリティインシデントの報告

①　職員等は，情報セキュリティインシデントを認知した場合，速やかに情報セキュリティ責任者に報告し，報告を受けた情報セキュリティ責任者は，統括情報セキュリティ責任者及び必要に応じてCISOに報告しなければならない。

②　職員等は，住民等外部から情報セキュリティインシデントについての報告を受けた場合は，情報セキュリティ責任者及び統括情報セキュリティ責任者を経由して，CISOに報告しなければならない。

③　統括情報セキュリティ責任者は，報告のあった情報セキュリティインシデントについて，原因を究明し，記録を保存しなければならない。また，究明した原因により再発防止策を検討し，CISOに報告しなければならない。

④　CISOは，統括情報セキュリティ責任者から報告された再発防止策について，実施するために必要な措置を指示しなければならない。

(4)　ID及びパスワード等の管理

①　ICカード等の取扱い

(ア)　認証に用いるICカード等を，職員等間で共有してはならない。

(イ)　パソコン等の端末の操作上必要としないときは，ICカード等とICカードリーダ又はパソコン等の端末のスロット等から抜いておかなければならない。

(ウ)　情報セキュリティ責任者は，ICカード等の管理状況について，定期的に確認を行わなければならない。万が一，紛失があった場合は，統括情報セキュリティ責任者に速やかに報告し，当該カード等のアクセスを拒否する措置を講じなければならない。

②　IDの取扱い

(ア)　自己が利用している個人用のIDは，他人に利用させてはならない。

(イ)　共用IDを利用する場合は，共用IDの利用者以外に利用させてはならない。

③　パスワードの取扱い

(ア)　パスワードは，他者に知られないように管理しなければならない。

(イ)　個人用のIDに使用されるパスワードは，自己の責任において定期的に変更し，他者が想像しにくいものにしなければならない。

(ウ)　個人用のIDに使用されるパスワードは，パソコン等の端末に記憶させてはならない。

6　技術的セキュリティ

(1)　コンピュータ及びネットワークの管理

①　文書サーバの設定等

(ア)　情報システム管理者は，文書サーバを課または事務局の単位で構成し，職員等が他の課または事務局のフォルダ及びファイルを閲覧及び使用できないように設定しなければならない。

(イ)　情報システム管理者は，住民の個人情報，人事記録等，特定の職員等しか取扱えないデータについて，別途ディレクトリを作成する等の措置を講じ，同一部署等であっても担当職員以外の職員等が閲覧及び使用できないようにしなければならない。

②　バックアップの実施

統括情報セキュリティ責任者及び情報システム管理者は，ファイルサーバ等に記録された情報について，サーバの冗長化対策に関わらず必要に応じて定期的にバックアップを実施しなければならない。

③　情報システム仕様書等の管理

統括情報セキュリティ責任者及び情報システム管理者は，ネットワーク構成図，情報システム仕様書について，記録媒体に関わらず，業務上必要とする者以外の者が閲覧したり，紛失等がないよう，適切に管理しなければならない。

④　ログの取得等

(ア)　統括情報セキュリティ責任者及び情報システム管理者は，各種ログ及び情報セキュリティの確保に必要な記録を取得し，一定の期間保存しなければならない。

(イ)　統括情報セキュリティ責任者及び情報システム管理者は，取得したログを定期的に点検又は分析する機能を設け，必要に応じて悪意ある第三者等からの不正侵入，不正操作等の有無について点検又は分析を実施しなければならない。

⑤　ネットワークの接続制御，経路制御等

(ア)　統括情報セキュリティ責任者は，フィルタリング及びルーティングについて，設定の不整合が発生しないようにファイアウォール，ルータ等の通信ソフトウェア等を設定しなければならない。

(イ)　統括情報セキュリティ責任者は，不正アクセスを防止するため，ネットワークに適切なアクセス制御を施さなければならない。

⑥　外部ネットワークとの接続制限等

(ア)　情報システム管理者は，所管するネットワークを外部ネットワークと接続しようとする場合には，CISO及び統括情報セキュリティ責任者の許可を得なければならない。

(イ)　情報システム管理者は，接続をしようとする外部ネットワークに係るネットワーク構成，機器構成，セキュリティ技術等を詳細に調査し，庁内の全てのネットワーク，情報システム等の情報資産に影響が生じないことを確認しなければならない。

(ウ)　情報システム管理者は，接続した外部ネットワークの瑕疵によりデータの漏えい，破壊，改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため，当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。

(エ)　統括情報セキュリティ責任者及び情報システム管理者は，ウェブサーバ等をインターネットに公開する場合，庁内ネットワークへの侵入を防御するために，ファイアウォール等を外部ネットワークとの境界に設置した上で接続しなければならない。

(オ)　情報システム管理者は，接続した外部ネットワークのセキュリティに問題が認められ，情報資産に脅威が生じることが想定される場合には，統括情報セキュリティ責任者の判断に従い，速やかに当該外部ネットワークを物理的に遮断しなければならない。

⑦　電子メールのセキュリティ管理

(ア)　統括情報セキュリティ責任者は，大量のスパムメール等の受信又は送信を検知した場合は，メールサーバの運用を停止しなければならない。

(イ)　統括情報セキュリティ責任者は，電子メールの送受信容量の上限を設定し，上限を超える電子メールの送受信を不可能にしなければならない。

(ウ)　情報セキュリティ責任者は，職員等が電子メールの送信等により情報資産を無断で外部に持ち出すことが不可能となるような措置をしなければならない。

⑧　電子メールの利用制限

(ア)　職員等は，業務上必要のない送信先に電子メールを送信してはならない。

(イ)　職員等は，複数人に電子メールを送信する場合，必要がある場合を除き，他の送信先の電子メールアドレスが分からないようにしなければならない。

(ウ)　職員等は，重要な電子メールを誤送信した場合，情報セキュリティ責任者に報告しなければならない。

(エ)　職員等は，個人情報を含むファイル等を電子メールにより送受信してはならない。

⑨　無許可ソフトウェアの導入等の禁止

(ア)　統括情報セキュリティ責任者は，パソコン端末に無断でソフトウェアを導入できないよう制限しなければならない。

(イ)　情報システム管理者は，新たなソフトウェアを導入した場合は，ソフトウェアのライセンスを管理しなければならない。

(ウ)　職員等は，不正にコピーしたソフトウェアを利用してはならない。

⑩　機器構成の変更の制限

(ア)　職員等は，パソコン端末に対し機器の改造及び増設・交換を行ってはならない。

(イ)　職員等は，業務上，パソコン端末に対し機器の改造及び増設・交換を行う必要がある場合には，統括情報セキュリティ責任者及び情報システム管理者の許可を得なければならない。

⑪　無許可でのネットワーク接続の禁止

職員等は，統括情報セキュリティ責任者の許可なくパソコン端末を外部のネットワークに接続してはならない。

⑫　業務以外の目的でのウェブ閲覧の禁止

(ア)　職員等は，業務以外の目的でウェブを閲覧してはならない。

(イ)　統括情報セキュリティ責任者は，職員等のウェブ利用について，明らかに業務に関係のないサイトを閲覧していることを発見した場合は，情報セキュリティ責任者に通知し適切な措置を求めなければならない。

(2)　アクセス制御

①　アクセス制御等

(ア)　アクセス制御

統括情報セキュリティ責任者又は情報システム管理者は，所管するネットワーク又は情報システムごとにアクセスする権限のない職員等がアクセスできないように，システム上制限しなければならない。

(イ)　利用者IDの取扱い

統括情報セキュリティ責任者及び情報システム管理者は，利用者の登録，変更，抹消等の情報管理，職員等の異動，出向，退職者に伴う利用者IDの取扱いなど人事管理部門と連携し，点検を行わなければならない。

(ウ)　管理者権限を付与されたIDの管理等

統括情報セキュリティ責任者及び情報システム管理者は，管理者権限等の特権を付与されたIDを利用する者を必要最小限にし，当該IDのパスワードの漏えい等が発生しないよう，当該ID及びパスワードを厳重に管理しなければならない。

②　自動識別の設定

統括情報セキュリティ責任者及び情報システム管理者は，ネットワークで使用される機器について，機器固有情報によって端末とネットワークとの接続の可否が自動的に識別されるようシステムを設定しなければならない。

③　認証情報の管理

統括情報セキュリティ責任者又は情報システム管理者は，職員等に対してパスワードを発行する場合は，仮のパスワードを発行し，ログイン後直ちに仮のパスワードを変更させなければならない。

(3)　システム開発，導入，保守等

①　情報システムの調達

(ア)　統括情報セキュリティ責任者及び情報システム管理者は，情報システム開発，導入，保守等の調達に当たっては，調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。

(イ)　統括情報セキュリティ責任者及び情報システム管理者は，機器及びソフトウェアの調達に当たっては，当該製品のセキュリティ機能を調査し，情報セキュリティ上問題のないことを確認しなければならない。

②　情報システムの開発

(ア)　システム開発における責任者及び作業者の特定

情報システム管理者は，システム開発の責任者及び作業者を特定しなければならない。

(イ)　システム開発における責任者，作業者のIDの管理

情報システム管理者は，システム開発の責任者及び作業者が使用するIDを管理し，開発完了後，開発用IDを削除しなければならない。

(ウ)　システム開発に用いるハードウェア及びソフトウェアの管理

情報システム管理者は，システム開発の責任者及び作業者が使用するハードウェア及びソフトウェアを特定しなければならない。

③　情報システムの導入

(ア)　開発環境と運用環境の分離

情報システム管理者は，システム開発，保守及びテスト環境とシステム運用環境を可能な限り分離しなければならない。

(イ)　移行手順の明確化

情報システム管理者は，システム開発・保守及びテスト環境からシステム運用環境への移行について，システム開発・保守計画の策定時に手順を明確にしなければならない。

(ウ)　テスト

情報システム管理者は，新たに情報システムを導入する場合，既に稼働している情報システムに接続する前に十分な試験を行わなければならない。また，その際に，個人情報及び機密性の高い生データをテストデータとして使用してはならない。

④　システム開発・保守に関連する資料等の整備・保管

情報システム管理者は，システム開発・保守に関連する資料及びシステム関連文書を適切に整備・保管しなければならない。

⑤　情報システムの変更管理

情報システム管理者は，情報システムを変更した場合，プログラム仕様書等の変更履歴を作成しなければならない。

⑥　開発・保守用のソフトウェアの更新等

情報システム管理者は，開発・保守用のソフトウェア等を更新又はパッチの適用をする場合，他の情報システムとの整合性を確認しなければならない。

(4)　不正プログラム対策

①　統括情報セキュリティ責任者の措置事項

統括情報セキュリティ責任者は，不正プログラム対策として，次の事項を措置しなければならない。

(ア)　外部ネットワークから受信したファイルは，インターネットのゲートウェイにおいてコンピュータウイルス等の不正プログラムのチェックを行い，不正プログラムのシステムへの侵入を防止しなければならない。

(イ)　外部ネットワークに送信するファイルは，インターネットのゲートウェイにおいてコンピュータウイルス等不正プログラムのチェックを行い，不正プログラムの外部への拡散を防止しなければならない。

(ウ)　コンピュータウイルス等の不正プログラム情報を収集し，必要に応じ職員等に対して注意喚起しなければならない。

②　情報システム管理者の措置事項

情報システム管理者は，不正プログラム対策に関し，次の事項を措置しなければならない。

(ア)　情報システム管理者は，その所掌するサーバ及びパソコン等の端末に，コンピュータウイルス等の不正プログラム対策ソフトウェアをシステムに常駐させなければならない。

(イ)　不正プログラム対策ソフトウェア及びそのパターンファイルは，常に最新の状態に保たなければならない。

(ウ)　インターネットに接続していないシステムにおいて，電磁的記録媒体を使う場合，コンピュータウイルス等の感染を防止するために，本町が管理している媒体以外を職員等に利用させてはならない。

③　職員等の遵守事項

職員等は，不正プログラム対策に関し，次の事項を遵守しなければならない。

(ア)　パソコン端末において，不正プログラム対策ソフトウェアが導入されている場合は，当該ソフトウェアの設定を変更してはならない。

(イ)　外部からデータ又はソフトウェアを取り入れる場合には，必ず不正プログラム対策ソフトウェアによるチェックを行わなければならない。

(ウ)　差出人が不明又は不自然に添付されたファイルを受信した場合は，速やかに削除しなければならない。

(エ)　添付ファイルが付いた電子メールを送受信する場合には，不正プログラム対策ソフトウェアでチェックを行わなければならない。

(オ)　コンピュータウイルスの不正プログラムに感染した場合又は感染が疑われる場合は，被害の拡大を防ぐ処置を慎重に検討し，該当の端末においてLANケーブルの取り外しや，通信を行わない設定への変更などを実施しなければならない。

(5)　不正アクセス対策

①　攻撃への対処

CISO及び統括情報セキュリティ責任者は，サーバ等に攻撃を受けた場合又は攻撃を受けるリスクがある場合は，システムの停止を含む必要な措置を講じなければならない。また，総務省，都道府県等と連絡を密にして情報の収集に努めなければならない。

②　記録の保存

CISO及び統括情報セキュリティ責任者は，サーバ等に攻撃を受け，当該攻撃が不正アクセス禁止法違反等の犯罪の可能性がある場合には，攻撃の記録を保存するとともに，警察及び関係機関との緊密な連携に努めなければならない。

③　内部からの攻撃

統括情報セキュリティ責任者及び情報システム管理者は，職員等及び外部委託事業者が使用しているパソコン等の端末からの庁内のサーバ等に対する攻撃や外部のサイトに対する攻撃を監視しなければならない。

④　職員等による不正アクセス

統括情報セキュリティ責任者及び情報システム管理者は，職員等による不正アクセスを発見した場合は，当該職員等が所属する課または事務局の情報セキュリティ責任者に通知し，適切な処置を求めなければならない。

⑤　標的型攻撃

統括情報セキュリティ責任者及び情報システム管理者は，情報システムにおいて，標的型攻撃による内部への侵入を防止するために，人的対策や入口対策を講じなければならない。また，内部に侵入した攻撃を早期検知して対処するために，通信をチェックする等の内部対策を講じなければならない。

7　運用

(1)　情報システムの監視

①　統括情報セキュリティ責任者及び情報システム管理者は，セキュリティに関する事案を検知するため，情報システムを常時監視しなければならない。

②　統括情報セキュリティ責任者及び情報システム管理者は，重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。

③　統括情報セキュリティ責任者及び情報システム管理者は，外部と常時接続するシステムを常時監視しなければならない。

(2)　情報セキュリティポリシーの遵守状況の確認

①　遵守状況の確認及び対処

情報セキュリティ責任者は，情報セキュリティポリシーの遵守状況について確認を行い，問題を認めた場合には，速やかにCISO及び統括情報セキュリティ責任者に報告しなければならない。

②　パソコン端末及び電磁的記録媒体等の利用状況調査

統括情報セキュリティ責任者は，不正アクセス，不正プログラム等の調査のために，職員等が使用しているパソコン端末及び電磁的記録媒体等のログ，電子メールの送受信記録等の利用状況を調査することができる。

③　職員等の報告義務

職員等は，情報セキュリティポリシーに対する違反行為を発見した場合，直ちに統括情報セキュリティ責任者及び情報セキュリティ責任者に報告を行わなければならない。

(3)　侵害時の対応等

CISOは，情報セキュリティインシデント，情報セキュリティポリシーの違反等により情報資産に対するセキュリティ侵害が発生した場合又は発生するおそれがある場合において，連絡，証拠保全，被害拡大の防止，復旧，再発防止等の措置を迅速かつ適切に実施するために，緊急時対応計画を定めておき，当該計画に従って適切に対処しなければならない。

(4)　例外措置

①　例外措置の許可

情報セキュリティ責任者及び情報システム管理者は，情報セキュリティ関係規定を遵守することが困難な状況で，行政事務の適正な遂行を継続するため，遵守事項とは異なる方法を採用し又は遵守事項を実施しないことについて合理的な理由がある場合には，CISOの許可を得て，例外措置を取ることができる。

②　緊急時の例外措置

情報セキュリティ責任者及び情報システム管理者は，行政事務の遂行に緊急を要する等の場合であって，例外措置を実施することが不可避のときは，事後速やかにCISOに報告しなければならない。

(5)　法令遵守

職員等は，職務の遂行において使用する情報資産を保護するために，次の法令のほか関係法令を遵守し，これに従わなければならない。

①　地方公務員法(昭和25年法律第261号)

②　著作権法(昭和45年法律第48号)

③　不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

④　個人情報の保護に関する法律(平成15年法律第57号)

⑤　行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)

⑥　湧水町個人情報保護条例(平成17年条例第200号)

⑦　湧水町電子計算組織に係る個人情報の保護に関する条例(平成17年条例第14号)

(6)　懲戒処分等

①　懲戒処分

情報セキュリティポリシーに違反した職員等及びその監督責任者は，その重大性，発生した事案の状況等に応じて，地方公務員法による懲戒処分の対象とする。

②　違反時の対応

職員等の情報セキュリティポリシーに違反する行動を確認した場合には，速やかに次の措置を講じなければならない。

(ア)　統括情報セキュリティ責任者が違反を確認した場合は，統括情報セキュリティ責任者は当該職員等が所属する課または事務局の情報セキュリティ責任者に通知し，適切な措置を求めなければならない。

(イ)　情報システム管理者等が違反を確認した場合は，違反を確認した者は速やかに統括情報セキュリティ責任者及び当該職員等が所属する課または事務局の情報セキュリティ責任者に通知し，適切な措置を求めなければならない。

(ウ)　情報セキュリティ責任者の指導によっても改善されない場合，統括情報セキュリティ責任者は，当該職員等のネットワーク又は情報システムを使用する権利を停止あるいは剥奪することができる。その後速やかに，統括情報セキュリティ責任者は，職員等の権利を停止あるいは剥奪した旨をCISO及び当該職員等が所属する課または事務局の情報セキュリティ責任者に通知しなければならない。

8　外部サービスの利用

(1)　外部委託

①　外部委託事業者の選定基準

(ア)　情報セキュリティ責任者は，外部委託事業者の選定にあたり，委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。

(イ)　情報セキュリティ責任者は，クラウドサービスを利用する場合は，情報の機密性に応じたセキュリティレベルが確保されているサービスを利用しなければならない。

②　契約項目

情報システムの運用，保守等を外部委託する場合には，外部委託事業者との間で必要に応じて次の情報セキュリティ要件を明記した契約を締結しなければならない。

(ア)　情報セキュリティポリシー及び情報セキュリティ実施手順の遵守

(イ)　委託事業者の責任者，委託内容，作業者，作業場所の特定

(ウ)　提供されるサービスレベルの保証

(エ)　外部委託事業者にアクセスを許可する情報の種類と範囲，アクセス方法

(オ)　外部委託事業者の従業員に対する教育の実施

(カ)　提供された情報の目的外利用及び受託者以外の者への提供の禁止

(キ)　業務上知り得た情報の守秘義務

(ク)　再委託に関する制限事項の遵守

(ケ)　委託業務終了時の情報資産の返還，廃棄等

(コ)　委託業務の定期報告及び緊急時報告義務

(サ)　町による監査，検査

(シ)　町による情報セキュリティインシデント発生時の公表

(ス)　情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)

9　評価・見直し

(1)　監査

①　実施方法

CISOは，情報セキュリティ監査統括責任者を指名し，ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について，必要に応じて監査を行わせなければならない。

②　監査を行う者の要件

情報セキュリティ監査統括責任者は，監査を実施する場合には，被監査部門から独立し，監査及び情報セキュリティに関する専門知識を有する者に対して，監査の実施を依頼しなければならない。

③　報告

情報セキュリティ監査統括責任者は，監査結果を取りまとめ，CISOに報告する。

④　監査結果への対応

CISOは，監査結果を踏まえ，指摘事項を所管する情報セキュリティ責任者に対し，当該事項への対処を指示しなければならない。また，指摘事項を所管していない情報セキュリティ責任者に対しても，同種の課題及び問題点がある可能性が高い場合には，当該課題及び問題点の有無を確認させなければならない。

⑤　情報セキュリティポリシー及び関係規程等の見直し等への活用

CISOは，監査結果を情報セキュリティポリシー及び関係規程等の見直し，その他情報セキュリティ対策の見直し時に活用しなければならない。

(2)　自己点検

①　実施方法

情報セキュリティ責任者及び情報システム管理者は，所管するネットワーク及び情報システムについて，必要に応じて自己点検を実施しなければならない。

②　報告

情報セキュリティ責任者及び情報システム管理者は，自己点検結果と自己点検結果に基づく改善策を取りまとめ，CISOに報告しなければならない。

③　自己点検結果の活用

(ア)　職員等は，自己点検の結果に基づき，自己の権限の範囲内で改善を図らなければならない。

(イ)　CISOは，この点検結果を情報セキュリティポリシー及び関係規程等の見直し，その他情報セキュリティ対策の見直し時に活用しなければならない。

附則