Contract
療養費支給申請書検索システムに係るデータ作成業務仕様書
1 目的
兵庫県後期高齢者医療広域連合(以下「広域連合」という。)は、後期高齢者医療の療養費に係る給付適正化業務の効果的・効率的な運営に資するため、はり・きゅう・あんま・マッサージ等に係る療養費支給申請書(以下「申請書」という。)について、申請書検索システム(以下「検索システム」という。)に適合する申請書のデータベース化を行う。本業務では、検索システムに使用する毎月のデータを作成する。
2 業務概要
申請書画像化、申請書のデータパンチ及び広域連合が提供する申請書属性データとの結合処理
3 契約期間
令和 2 年 4 月 1 日から令和 3 年 3 月 31 日まで
4 業務内容
広域連合が提供する申請書を検索システムで使用できるよう、申請書画像化、申請書のデータパンチ及び広域連合が提供する申請書属性データとの結合処理を行い、広域連合が指定する方法で納品する。
作業にあたっては、「A 広域連合が提供するデータ等」を使用し、「B 受託者が行う処
理」に従って実施すること。
A 広域連合が提供するデータ等
※ 広域連合が提供するデータ等は、当月業務完了後、速やかに返却すること。
A1 申請書
① 毎月 5 日までに 1 ヶ月分(前々月審査分)の申請書を提供予定。
A2 申請書属性データ
① 毎月 5 日までに 1 ヶ月分(前々月審査分)のデータを提供予定。
② CSV 形式のテキストデータ。
③ 項目等は 別紙「兵庫県後期高齢者医療広域連合から提供するデータ」を参照。
④ 広域連合がデータを保存したCD-R等の媒体を提供する。
B 受託者が行う処理
B1 申請書画像化
①「A1 申請書」を画像化。
ファイル名を半角英数 20 桁(SHGYYMMX99999999.tif)で付与。
命名規則:SH(固定)GYYMM(処理年☎)X(種別)99(冊番) 999999(画像番号)
※ X(種別):レセプト種類が【はり・きゅう】の場合は「H」
レセプト種類が【あんま・マッサージ】の場合は「A」
※ 99(冊番) 999999(画像番号):任意の数字
② 1 件の申請書につき、1 ファイルを作成。
③ 1 件の申請書に対し、複数の続紙がある場合も 1 ファイルとして作成。
※ xxxxによる読み取り作業に際しては、全ての申請書を対象として、読み取り前に申請書左上のホッチキス針を外す必要がある。読み取り作業後にホッチキス針を留め直す必要はないが、保険者番号・被保険者番号順に並べて返却すること。
※ 添付されている続紙がA4 以外の用紙の場合は、A4 に収まる大きさで読み取り
を行うものとする。(続紙については、申請書と同程度の数量があるものと見込まれる。)
④ 全ての申請書に表紙がついているため、1 枚目は画像化しないこと。
⑤ 画像化した申請書の左上に「➃」を印字させること。
B2 データパンチ
①「A1 申請書」から以下の 7 項目をデータパンチ。
No | 項目名 | 桁 | 備考 |
B2_1 | 被保険者番号 | 8 | 被保険者番号(HHS_BNG)に対応。 |
B2_2 | 診療年☎ | 6 | 診療年☎(SNRY_YM)に対応。 |
B2_3 | 費用金額 | 13 | 費用金額(HIY_KGK)に対応。 |
B2_4 | 往療診の有無 | 1 | 申請書「施術内容欄」の「往療料 4 ㎞まで」及び「往療料 4 ㎞ 超」欄。空欄または「0 円」:0、「1円」以上:1 |
B2_5 | 往療日数 | 2 | 申請書「施術内容欄」の「往療料 4 ㎞まで」及び「往療料 4 ㎞ 超」欄。「合計回数」 |
B2_6 | 施術部位数 | 2 | 申請書の負傷名の数 【はり・きゅう】不要 【あんま・マッサージ】 申請書「施術内容欄」の「マッサージ」欄「局所」 |
B2_7 | 傷病名 | 1 | 【はり・きゅう】 申請書「施術内容欄」の「傷病名」 1:神経痛 2:リウマチ 3:頸腕症候群 4:五十肩 5:腰痛症 6:頸椎捻挫後遺症 7:その他 1~7 の数値を記載。多数の場合は、数字の小さいほうを記載。 【あんま・マッサージ】不要 |
B3 CSV データ作成
①「A2 申請書属性データ」及び「B2 データパンチ」を結合して下表「CSV データ」のデータを作成。
※ データ結合は以下の 3 項目により結び付けを行う。
「A2 申請書属性データ」中の「被保険者番号」「診療年☎」「費用金額」
「B2 データパンチ」中の「被保険者番号」「診療年☎」「費用金額」
※データの 1 行目に各項目名を追加する。
②「備考」欄が「★」で始まる項目は、「A2 申請書属性データ」から引用する。
③「備考」欄が「◎」で始まる項目は、「B2 データパンチ」から引用する。
④ B3_2 項目についてはデータ入力する。
⑤「A2 申請書属性データ」しかないものについては、CSV データは作成しない。
⑥ B3_8 項目について「A2 申請書属性データ」での「都道府県コード」、「レセプト種別コード」、「医療機関市区町村コード」、「医療機関コード」のデータを組み合わせて 10桁にて作成。
⑦ 各項目は「“ ”」で囲んで「,」で区切る。
ファイル名を半角英数RHSKYSNSS_KEYJH_GYYMM(処理年☎).csv で付与。
表【CSV データ】
No | 項目名 | 備考 |
B3_1 | 電算管理番号 | ★電算管理番号 (DNSN_KNR_BNG) ※半角英数 12 桁 |
B3_2 | 画像ファイル名 | 「B1 申請書画像化」で付与したファイル名を取得。 ※半角英数 20 桁 ※可能な限り手作業を排除し、ツール化すること。 |
B3_3 | 性別コード | ★性別コード (SEX_CD) |
B3_4 | 和暦生年☎日 | ★生年☎日和暦 (DNSN_KNR_BNG) |
B3_5 | 保険者番号 | ★保険者番号 (HKNS_BNG) |
B3_6 | 被保険者番号 | ◎B2_1「被保険者番号」 ※半角英数 8 桁 ※桁数に足りない場合は「0」で補う |
B3_7 | 被保険者氏名 | ★被保険者氏名(漢字)(HHS_SHMKJ) |
B3_8 | 医療機関番号 | ★医療機関コード (IRYKKN_CD) |
B3_9 | 医療機関名 | ★医療機関名(漢字) (IRYKKN_NM_KJ) |
B3_10 | 診療年☎ | ◎B2_2「診療年☎」 |
B3_11 | 請求年☎ | ★請求年☎ (SEIKY_YM) |
B3_12 | レセプト種類コード | ★レセプト種類コード (RSPT_SHRI_CD) |
B3_13 | 費用金額 | ◎B2_3「費用金額」 ※頭に「0」は不要 |
B3_14 | 給付割合 | ★給付割合 (KF_ERI) |
B3_15 | 施術日数 | ★診療実日数 (SNRY_JNSS) |
B3_16 | 往療料の有無 | ◎B2_4「往療料の有無」 |
B3_17 | 往療日数 | ◎B2_5「往療日数」 |
B3_18 | 施術部位数 | ◎B2_6「施術部位数」 |
B3_19 | 傷病名 | ◎B2_7「傷病名」 ※あんまについては「空白」とする |
※「備考」欄が「★」で始まる項目の括弧内にアルファベットで記載しているものは、別紙「兵庫県後期高齢者医療広域連合から提供するデータ」の項目記号名
B4 CSV データ微修正
①「B3 CSV データ作成」処理により、結合エラーが発生した場合は、「A1 申請書」を再度参照し、必要があれば広域連合に確認のうえ、データの確認・修正を行うことにより、データ精度の向上を図る。
B5 結合エラーリスト作成
①「B4 CSV データ微修正」を行ってもなお、結合不能となるデータが発生した場合は、
「結合エラーリスト」を作成して広域連合に報告する。
※ 返戻等により、「A2 申請書属性データ」はあるが「A1 申請書」がないものなどが想定される。
B6 処理結果報告書作成
以下の項目を記載した処理結果報告書を作成する。
① 広域連合から提供された「A1 申請書」の枚数とその内訳
② 広域連合から提供された「A2 申請書属性データ」の件数とその内訳
③「A2 申請書属性データ」はあったが「A1 申請書」がなかったものの件数
④ 受託者が「B3 CSV データ作成」で作成したデータの件数 他
5 納品物
(1)下表No.1 及び No.2 はDVD-Rに格納して納品すること。
※上記については、広域連合及び広域連合が指定する点検業者にそれぞれ納品するため、同じものを2枚作成すること。
(2)ファイルは全て暗号化すること。(アタッシュケースによる。)
(3)下表No.3 及び No.4 は紙ベースで提出すること。
No | 対象作業 | 納品物 | 備考 |
1 | B1 申請書画像化 | 申請書画像データ | ・解像度 200dpi 相当以上 ・モノクロ ・取り込みサイズA4 ・マルチTIFF 形式 |
2 | B3 CSV データ作成 | CSV データ | ・テキストデータ ・文字コードはシフト JIS |
3 | B5 結合エラーリスト作成 | 結合エラーリスト | |
4 | B6 処理結果報告書作成 | 処理結果報告書 |
※ No.1 及び No.2 については広域連合が使用する検索システムに取り込み可能な形式とする。
なお、これらの納品物は、本業務における成果物として、成果物の著作権は広域連合に帰属するものとする。
6 納期限
広域連合が「A1 申請書」を提供した☎の最終営業日 午後 5 時 30 分まで
7 納品場所
(1)上記の 5 の表No.1 及びNo.2
兵庫県後期高齢者医療広域連合事務局及び広域連合が指定する点検業者事務所(xxxxxxxxxxx0xx)
(2)上記の 5 の表No.3 及びNo.4
兵庫県後期高齢者医療広域連合事務局
8 予定データ件数
年間 約 127,920 件
※ 申請書には続紙が添付されており、続紙は申請書と同程度の数量があるものと見込まれる。
※ 実際のデータ件数は予定データ件数より増減する場合がある。
(内訳)
・毎☎ 約 10,660 件(はり・きゅう:約 7,500 件、あんま・マッサージ:約 3,160 件)
9 テストデータの作成
検索システムへの適合性を確認するため、受託者は以下のスケジュールに沿って、テストデータを作成し、広域連合へ納品すること。
なお、テストデータ作成(申請書運搬含む)に関する全ての費用は受託者の負担とする。
(1)テストデータ件数:約 100 件程度
(2)テスト用申請書およびデータの引き渡し:令和 2 年 4 ☎ 1 日
(3)テストデータ納期:令和 2 年 4 ☎ 6 日 午後 5 時 30 分まで
(4)補正処理:テストを行った結果、納品されたデータが検索システムに適合しない場合、適合する形に改善し、再度速やかにテストデータを納品すること。
※ テストデータの作成に係る作業及び申請書等の運搬については、当仕様書の「11
セキュリティ等」を遵守すること。
10 費用負担
(1)広域連合が受託者に提供するデータ及び受託者が広域連合に提出する成果物等にかかる業務履行場所と広域連合事務所及び広域連合が指定する点検業者事務所との運搬経費は受託者の負担とする。
(2)受託者が納品するデータを保存した媒体(DVD-R)については、受託者の負
担とする。
11 セキュリティ等
受託者は、兵庫県後期高齢者医療広域連合個人情報保護条例(平成 19 年 3 ☎ 29 日
条例第 19 号)、別記「個人情報取扱特記事項」、兵庫県後期高齢者医療広域連合情報セキュリティ基本方針及び兵庫県後期高齢者医療広域連合情報セキュリティ対策基準を遵守し、個人情報の漏えい、滅失、毀損の防止その他の個人情報保護に必要な措置を講じなくてはならない。
これらの措置を講じるにあたり、以下の(1)から(7)の事項に留意しなくてはならない
(1)情報セキュリティ等に関する計画書の提出
受託者は広域連合から最初に個人情報が提供される前に、次に掲げる事項が記載された書類を広域連合に提出しなくてならない。
・当業務履行場所の住所、位置
・受託者の通常の連絡先及び緊急時の連絡先
・運搬要員及び運搬方法
・運搬用の施錠可能なケースの施錠管理者
・上記の「4 業務内容」で示した業務ごとの業務役割分担図(統括責任者、システム管理者、担当者等)
・本業務で使用する電子機器(パソコン、ハードディスク等)の内容・構成、及び本業務で使用する個人情報の外部出力にかかる状況を記録するためにインストールしたソフトウェア等の名称
・個人情報の盗難や紛失などの事故が発生した場合に備えた事業継続計画書
(2)運搬方法
申請書等の書類及びCD-R、DVD-R等の保存媒体の搬出入及び搬送については、飛散、誤送、毀損、紛失等が発生しないよう十分な対策を講じることとし、
事前に広域連合に承認を得たうえで以下のとおり行うものとする。
・申請書等の書類及び画像データ等を保存した媒体(CD-R、DVD-R等)は施錠可能なケースに入れて、受託者自身が運搬(この運搬に用いる施錠可能なケースは受託者が用意すること)し、施錠及びxxは受渡し責任者が行うこと。なお、保存媒体中のデータはパスワード等を設定し、別途、広域連合から受託者へ通知するものとする。
(3)業務履行場所
本業務に係る個人情報を取り扱う部屋にはオートロック、暗証番号、電子キー、生体認証等により関係者以外の立ち入りを禁止すること。また、入退室管理簿等により、入退室した者を把握できるようにすること。
(4)保管場所
本業務に係る個人情報は、施錠が可能な保管庫に保管すること。
作業のため個人情報をサーバ等のハードディスク(以下「電子機器」という。)に 保存する場合、当該機器は(3)の業務履行場所同様、入退室者が管理でき施錠さ れた部屋に設置し、移動が不可能なようにチェーン等で固定する措置を講じること。
(5)電子機器の管理
・当該業務にかかる個人情報を保存した電子機器は外部ネットワークに接続してはならない。
・電子機器に個人情報にかかるデータを保存する場合は、全てパスワード等を設定し暗号化しなくてはならない。
・業務に必要のある場合を除き、電子機器から個人情報にかかるデータを印刷及び外部媒体に出力してはならない。これを担保するため、データの出力状況を全て記録し、これを適正に管理すること。また、この記録を契約終了または解除後 5年間保管しておき、広域連合の求めがあれば提供すること。
(6)立入検査等の受入れ
広域連合は、受託者の個人情報の管理情報を確認するため、年 1 回及び必要と認められた場合は随時、受託者の業務履行場所等へ立入検査を実施するものとし、受託者は、この立入検査に協力しなくてはならない。
(7)個人情報の破棄
受託者は、契約が終了もしくは解除されときは、本業務に使用した個人情報を以下のとおり確実に破棄すること。
・記録媒体を物理的に破壊する等、当該個人情報が判読、復元できないように確実な方法により廃棄する。若しくは、サーバ等のハードディスクに記録された個人
情報をデータ消去用ソフトウエア等によって、当該個人情報が判読、復元できないように確実に消去しなければならない。
・廃棄又は消去に際しては事前に広域連合に連絡し、広域連合から立会いを求めら
れたときはこれに応じなければならない。
・個人情報を破棄したときは、完全に廃棄した旨の証明書(情報項目、媒体名、量、廃棄又は消去の方法、責任者、立会者、破棄又は消去の年☎日が記載された書面)を広域連合に提出しなければならない。
12 目的外使用の禁止
本業務の目的以外で、本業務のために広域連合が提供したデータ及び受託者が広域連合に提出するため作成したデータ等を使用・複製すること及び第三者へ提供することを禁止する。
13 再委託の制限
本業務の再委託は禁止する。
14 支払条件
本業務の委託料は、「5 納品物」のxx、No1「申請書画像データ」として納品されたデータの件数に応じて、1 件あたりの単価に基づいて支払われるものとする。
15 契約不適合の特約
受託者は、履行検査合格後 90 日以内において、納品物に契約の内容に適合しないものがあれば、受託者の負担で、広域連合が指定する期間内に作業のやり直し、補正等の作業を行うこととする。
16 その他
(1)本作業に伴い、特段の処理過程がある場合は広域連合の求めに応じてその処理過程を明らかにしたマニュアルを作成し、納品すること。
(2)エラーが発生した場合は広域連合の指示に従い、速やかに、他のエラー等発生状況
の確認及び当該エラーに対する修正等を行うとともに広域連合へ状況報告を行うこと。
(3)本仕様書に基づき締結される業務委託契約の内容が履行されない状況が生じた
場合や、文書により業務改善を通知したものが一定期間過ぎても改善が図られな いとき及び、個人情報取扱特記事項に記載する情報の漏えい等が発生した場合は、広域連合は契約を解除し、それによって生じた損害については受託者が賠償する 責任を負うものとする。
(4)この仕様書に定めのない事項又は作業内容に疑義が生じた場合は、広域連合及び受
託者の両者がその都度協議し定めるものとする。
項目名 | 項目記号名 | データ型 | 桁数 |
請求年月 | SEIKY_YM | CHAR | 6 |
履歴番号 | RRK_NO | CHAR | 2 |
✲保険者番号 | HHS_BNG | CHAR | 8 |
レセプト種類コード | RSPT_SHRI_CD | CHAR | 1 |
給付区分コード | KF_KBN_CD | CHAR | 2 |
診療年月 | SNRY_YM | CHAR | 6 |
都道府県コード | TDFKN_CD | CHAR | 2 |
医療機関市区町村コード | IRYKKN_SKTSN_CD | CHAR | 2 |
医療機関コード | IRYKKN_CD | CHAR | 5 |
診療科目コード | SNRY_KMK_CD | CHAR | 2 |
保険種別コード | HKN_SHBT_CD | CHAR | 1 |
保険者番号 | HKNS_NO | CHAR | 8 |
性別コード | SEX_CD | CHAR | 1 |
生年月日和暦 | BRTH_YMD_WRK | CHAR | 7 |
診療開始年月日1 | SNRY_KIS_YMD1 | CHAR | 8 |
診療開始年月日2 | SNRY_KIS_YMD2 | CHAR | 8 |
診療開始年月日3 | SNRY_KIS_YMD3 | CHAR | 8 |
転帰1 | TNKI1 | CHAR | 1 |
転帰2 | TNKI2 | CHAR | 1 |
診療実日数 | SNRY_JNSS | NUMBER | 2 |
給付割合 | KF_WRI | CHAR | 3 |
請求点数 | SEIKY_TNSU | NUMBER | 7 |
決定点数 | KTTI_TNSU | NUMBER | 7 |
一部負担額 | IFGK | NUMBER | 13 |
減免区分コード | GMN_KBN_CD | CHAR | 1 |
減額割合 | GNGK_WRI | CHAR | 3 |
減額金額 | GNGK_KGK | NUMBER | 13 |
所得者区分コード | STKS_KBN_CD | CHAR | 1 |
療養費番号 | RYH_BNG | CHAR | 7 |
費用金額 | HIY_KGK | NUMBER | 13 |
保険者負担額 | HKNS_FTN_GK | NUMBER | 13 |
一部負担相当額 | IF_SOTGK | NUMBER | 13 |
自己負担額 | JKO_FTN_GK | NUMBER | 13 |
高額療養費現物給付金額 | KGRH_GK_KGK | NUMBER | 13 |
状態区分コード | JOTAI_KBN_CD | CHAR | 2 |
電算管理番号 | DNSN_KNR_BNG | CHAR | 30 |
第三者区分コード | D3SH_KBN_CD | CHAR | 1 |
処理年月日 | SYR_YMD | CHAR | 8 |
医療機関名(漢字) | IRYKKN_NM_KJ | NCHAR | 30 |
✲保険者氏名(漢字) | HHS_SHMKJ | NCHAR | 40 |
個人情報取扱特記事項
(個人情報を取扱う際の基本的事項)
第1 乙は、個人情報(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。)第2条第8項に規定する特定個人情報を含む。以下同じ。)保護の重要性を認識し、個人の権利利益を侵害することのないよう、関係法令に従い、個人情報を適正に取り扱わなければならない。
(秘密の保持)
第2 乙は、この契約による業務(以下「本件委託業務」という。)を処理するにあたって知り得た個人情報を正当な理由なく他人に知らせ、又は不当な目的に使用してはならない。
2 乙は、本件委託業務に従事する者(以下「業務従事者」という。)が在職中及び退職後においても、前項の規定を遵守するように必要な措置を講じなければならない。
3 前2項の規定は、この契約の契約期間満了後又は契約解除後も同様とする。
(適正な管理)
第3 乙は、本件委託業務に係る個人情報の漏えい、き損、滅失又は改ざん(以下「漏えい等」という。)の防止その他の個人情報の適正な管理のために必要な措置を講じなければならない。
(業務従事者への監督及び教育)
第4 乙は、業務従事者に対し、個人情報の安全管理が図られるよう、個人情報の適正な取扱いについて必要かつ適切な監督及び教育を行わなければならない。
(再委託等の禁止又は制限)
第5 乙は、甲が同意した場合を除き、本件委託業務の処理を第三者に委託(以下「再委託」という。)してはならない。
2 乙は、本件委託業務の処理を再委託しようとする場合又は再委託の内容を変更しようとする場合は、あらかじめ書面を甲に提出して甲の同意を得なければならない。
3 前項の場合、乙は、再委託先にこの契約に基づく一切の義務を遵守させるとともに、甲に対して、再委託先の全ての行為及びその結果について責任を負うものとする。
4 乙は、再委託先との契約において、再委託先に対する管理及び監督の手続及び方法並びに秘密保持その他の安全管理措置について具体的に規定しなければならない。
5 乙は、再委託先に対して本件委託業務の処理を委託した場合は、その履行状況を管理・監督するとともに、甲の求めに応じて、管理・監督の状況を甲に対して適宜報告しなければならない。
(目的外利用及び提供の禁止)
第6 乙は、甲の同意がある場合を除き、本件委託業務の履行により知り得た個人情報をこの契約の目的以外に利用し、又は第三者に提供してはならない。
(複写又は複製の禁止)
第7 乙は、甲の同意がある場合を除き、本件委託業務を処理するため甲から貸与された個人情報が記録された資料等をこの契約の目的以外に複写し、又は複製してはならない。
(個人情報の安全管理)
第8 乙は、本件委託業務を処理するにあたり、個人情報を取り扱う場所(以下「作業場所」という。)を特定し、あらかじめ甲に届け出なければならない。その特定した作業場所を変更しようとするときも、同様とする。
2 乙は、甲が同意した場合を除き、個人情報を作業場所から持ち出してはならない。
3 乙は、個人情報を運搬する場合は、その方法(以下「運搬方法」という。)を特定し、あらかじめ甲に届け出なければならない。その特定した運搬方法を変更しようとするときも、同様とする。
4 乙は、個人情報を、秘匿性等その内容に応じて、次の各号の定めるところにより管理しなければならない。
⑴ 個人情報は、金庫、施錠が可能な保管庫又は施錠若しくは入退室管理の可能な保管xxに保管しなければならない。
⑵ 個人情報を電子データとして保存又は持ち出す場合は、暗号化処理又はこれと同等以上の保護措置をとらなければならない。
⑶ 個人情報を電子データで保管する場合、当該データが記録された記録媒体及びそのバックアップデータの保管状況並びに記録された個人情報の正確性について、定期的に点検しなければならない。
⑷ 個人情報を管理するための台帳を整備し、個人情報の受渡し、使用、複写又は複製、保管、廃棄等の取扱いの状況、年月日及び担当者を記録しなければならない。
(事故報告義務)
第9 乙は、本件委託業務の処理に関して個人情報の漏えい等の事態が生じ、又は生じるおそれがあることを知ったときは、当該漏えい等に係る個人情報の内容、数量、発生場所、発生状況等を速やかに甲に報告し、その指示に従わなければならない。この契約の契約期間満了後又は契約解除後も同様とする。
(検査等の実施)
第 10 甲は、乙が本件委託業務を処理するにあたって取扱っている個人情報の取扱状況について、必要があると認めるときは、乙に対し報告を求め、又は検査することができるものとする。
2 乙は、甲から前項の指示があったときは、速やかに、これに従わなければならない。
(契約の解除及び損害賠償)
第 11 甲は、乙がこの個人情報取扱特記事項に違反していると認めたときは、契約の解除及び損害賠償の請求をすることができるものとする。
(漏えい等が発生した場合の責任)
第 12 乙は,本件委託業務に係る個人情報の漏えい等の事態が発生した場合において,その責めに帰すべき理由により甲又は第三者に損害を与えたときは,その損害を賠償しなければならない。
(収集の制限)
第 13 乙は、本件委託業務を処理するにあたって個人情報を収集するときは、当該業務を処理するために必要な範囲内で、適法かつxxな手段により収集しなければならない。
(返還、廃棄又は消去)
第 14 乙は、本件委託業務を処理するために甲から引き渡され、又は乙自ら作成し若しくは取得した個人情報について、本件委託業務完了後速やかに甲の指示に基づいて返還、廃棄又は消去しなければならない。
2 乙は、第1項の個人情報を廃棄する場合、記録媒体を物理的に破壊する等当該個人情報が判読、復元できないように確実な方法により廃棄しなければならない。
3 乙は、ハードディスク等に記録された第1項の個人情報を消去する場合、データ消去用ソフトウエア等を使用し、通常の方法では当該個人情報が判読、復元できないように確実に消去しなければならない。
4 乙は、第1項の個人情報を廃棄又は消去したときは、完全に廃棄又は消去した旨の証明書(情報項目、媒体名、数量、廃棄又は消去の方法、責任者、立会者、廃棄又は消去の年月日が記載された書面)を甲に提出しなければならない。
5 乙は、廃棄又は消去に際し、甲から立会いを求められたときはこれに応じなければならない。
(目的)
第1条 本基本方針は、兵庫県後期高齢者医療広域連合(以下、「広域連合」という。)が保有する情報資産の機密性、完全性及び可用性を維持するため、広域連合が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。
(定義)
第2条 この基本方針において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1) ネットワーク
コンピュータ等を相互に接続するための通信網、その構成機器(ハードウエア及びソフトウエア) をいう。
(2) 情報システム
コンピュータ、ネットワーク及び記録媒体で構成され、情報処理を行う仕組みをいう。
(3) 情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
(4) 情報セキュリティポリシー
本基本方針及び情報セキュリティ対策基準をいう。
(5) 機密性
情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
(6) 完全性
情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(7) 可用性
情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
(8) システム利用団体
広域連合の情報システムを利用する兵庫県内の全ての市町
(9) 職員
広域連合の職員(一般職、特別職を問わない。また、非常勤職員、臨時職員及び契約等により当該業務に従事する者を含む。)をいう。
(10) 利用者
システム利用団体において広域連合の情報システムを利用する者をいう。
(11) 外部委託事業者
広域連合から情報システムの開発・運用や、データの保管等を委託された外部委託事業者をいう。
(12) 監査
広域連合の管理の下にある情報資産に対して実施する情報セキュリティ監査をいう。
(対象とする脅威)
第3条 情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。
(1) 部外者の侵入、不正アクセス、ウイルス攻撃、サービス不能攻撃等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去等
(2) 情報資産の無断持ち出し、無許可ソフトウエアの使用等の規定違反、プログラム上の欠陥、操作ミス、故障等の非意図的要因による情報資産の漏えい・破壊・消去等
(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等
(適用範囲と情報資産の範囲)
第4条 本基本方針が適用される範囲は、職員、利用者及び外部委託事業者とする。
2 本基本方針が対象とする情報資産は、次のとおりとする。
(1) 広域連合が管理するすべてのネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体並びに情報システムへ入力する紙媒体の情報
(2) 前項に関するネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)
(3) 前二項に関する情報システムの仕様書及びネットワーク図等のシステム関連文書
(遵守義務)
第5条 職員、利用者及び外部委託事業者は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。
(情報セキュリティ対策)
第6条 第3条の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。
(1) 組織体制
広域連合の情報資産について、情報セキュリティ対策を推進する全組織的な組織体制を確立する。
(2) 情報資産の分類と管理
広域連合の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。
(3) 物理的セキュリティ
サーバ等、情報システムxx、通信回線等及び職員のパソコン等の管理について、物理的な対策を講じる。
(4) 人的セキュリティ
情報セキュリティに関し、職員、利用者及び外部委託事業者が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。
(5) 技術的セキュリティ
コンピュータ等の管理、アクセス制御、不正プログラム対策及び不正アクセス対策等の技術的対策を講じる。
(6) 運用
情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じるものとする。また、情報資産への侵害が発生した場合等に迅速かつ適切に対応するため、緊急時対応計画を策定する。
(情報セキュリティ監査及び自己点検の実施)
第7条 情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。
(情報セキュリティポリシーの見直し)
第8条 情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直す。
(情報セキュリティ対策基準の策定)
第9条 第6条から第8条に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。
(情報セキュリティ実施手順の策定)
第10条 情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。
2 情報セキュリティ実施手順は、公にすることにより広域連合の事業運営に重大な支障を及ぼすおそれがあることから非公開とする。
附則
(施行期日)
この基本方針は、平成19年6月25日より施行する。附則
この基本方針は、平成27年12月28日より施行する。
第1章 対象範囲
(適用の範囲)
第1条 本対策基準が適用される範囲は、職員、利用者及び外部委託事業者とする。
(情報資産の範囲)
第2条 本対策基準が対象とする情報資産は、次のとおりとする。
(1) 広域連合が管理する全てのネットワーク及び情報システム及びこれらに関する設備、電磁的記録媒体並びに情報システムへ入力する紙媒体の情報(以下「紙媒体情報」という。)
(2) 前項に関するネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)
(3) 前二項に関する情報システムの仕様書及びネットワーク図等のシステム関連文書
図1 情報資産の範囲別紙参照
第2章 組織体制
(最高情報統括責任者)
第3条 広域連合長を、最高情報統括責任者(CIO;Chief Information Officer)とする。最高情報統括責任者は、広域連合が管理する全てのネットワーク、情報システム等の情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。
2 最高情報統括責任者は、必要に応じ、情報セキュリティに関する専門的な知識及び経験を有した専門家をアドバイザーとして置くものとする。
(統括情報セキュリティ責任者)
第4条 広域連合事務局長を、最高情報統括責任者直属の統括情報セキュリティ責任者(CISO;Chief Information Security Officer)とする。統括情報セキュリティ責任者は最高情報統括責任者を補佐しなければならない。
2 統括情報セキュリティ責任者は、広域連合が管理する全てのネットワーク及び情報システムにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。
3 統括情報セキュリティ責任者は、広域連合が管理する全てのネットワーク及び情報システムにおける情報セキュリティ対策に関する権限及び責任を有する。
4 統括情報セキュリティ責任者は、情報セキュリティ管理者、情報システム管理者及び情報システム担当者に対して、情報セキュリティに関する指導及び助言を行う権限を有する。
5 統括情報セキュリティ責任者は、広域連合の情報資産に対する侵害が発生した場合又は侵害のおそれがある場合に、最高情報統括責任者の指示に従い、最高情報統括責任者が不在の場合には自らの判断に基づき、必要かつ十分な措置を行う権限及び責任を有する。
6 統括情報セキュリティ責任者は、広域連合の共通的なネットワーク、情報システム及び情報資産に関する情報セキュリティ実施手順の維持・管理を行う権限及び責任を有する。
7 統括情報セキュリティ責任者は、緊急時等の円滑な情報共有を図るため、最高情報統括責任者、統括情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者、情報システム担当者及び利用責任者を網羅する連絡体制を整備しなければならない。
8 統括情報セキュリティ責任者は、情報セキュリティポリシーの遵守に関する意見の集約及び職員、利用者及び外部委託事業者に対する教育、訓練、助言及び指示を行う。
(情報セキュリティ管理者)
第5条 広域連合の課長を、情報セキュリティ管理者とする。
2 情報セキュリティ管理者はその所管する課の情報セキュリティ対策に関する権限及び責任を有する。
3 情報セキュリティ管理者は、その所掌する課において、情報資産に対する侵害が発生した場合又は侵害のおそれがある場合には、統括情報セキュリティ責任者及び最高情報統括責任者へ速やかに報告を行い、指示を仰がなければならない。
(情報システム管理者)
第6条 情報システム課長を、当該情報システムに関する情報システム管理者とする。
2 情報システム管理者は、所管する情報システムにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。
3 情報システム管理者は、所管する情報システムにおける情報セキュリティに関する権限及び責任を有する。
4 情報システム管理者は、所管する情報システムに係る情報セキュリティ実施手順の作成・維持・管理を行う。
(情報システム担当者)
第7条 情報システム管理者の指示等に従い、情報システムの開発、設定の変更、運用、更新等の作業を行う者を、情報システム担当者とする。
(情報セキュリティ委員会)
第8条 広域連合の情報セキュリティ対策を統一的に行うため、情報セキュリティ委員会において、情報セキュリティポリシー等、情報セキュリティに関する重要な事項を決定する。
2 委員会の委員長は最高情報統括責任者をもって充てる。
3 委員会の委員は統括情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者をもって充てる。
(システム利用団体)
第9条 広域連合の情報システムは、システム利用団体との共同による開発・利用を基本とする。また、システム利用団体は、情報システムの運用にあたり情報セキュリティの維持向上に努めるものとする。
(利用責任者)
第10条 システム利用団体に情報システムの利用責任者(以下、「利用責任者」という。)を置く。
2 利用責任者は、システム利用団体において選任する。
3 利用責任者は、システム利用団体においてこの情報セキュリティポリシー及び情報システム管理者が定める実施手順が遵守されるよう必要な措置を講じなければならない。
4 利用責任者は、システム利用団体において、情報資産に対する侵害が発生した場合又は侵害のおそれがある場合には、情報セキュリティ管理者及び情報システム管理者(不在の場合は統括情報セキュリティ責任者)へ速やかに報告を行い、指示を仰がなければならない。
(利用者)
第11条 利用者は、この情報セキュリティポリシー及び実施手順を遵守し、情報システムを適正に利用しなければならない。
(兼務の禁止)
第12条 情報セキュリティ対策の実施において、やむを得ない場合を除き、承認又は許可の申請を行う者とその承認者又は許可者は、同じ者が兼務してはならない。
2 監査を受ける者とその監査を実施する者は、やむを得ない場合を除き、同じ者が兼務してはならない。
図2 情報セキュリティ推進体制別紙参照
図3 情報セキュリティ連絡体制別紙参照
第3章 情報資産の分類と管理について
(情報資産の分類)
第13条 広域連合における情報資産は、機密性、完全性及び可用性を踏まえ、次のとおり分類する。また、必要に応じ取扱制限を行うものとする。
分類 | 分類基準 |
Ⅰ | ・業務上必要とする最小限の者のみが扱う情報で、情報が脅威にさらされた場合に組織運営に被害を受ける情報又はプライバシー等へ重大な影響を及ぼす情報 |
・公開することを予定していない情報で、情報が脅威にさらされた場 合に実害を受ける危険性が高い情報 | |
Ⅱ | ・公開することを予定していない情報で、情報が脅威にさらされた場合に実害を受ける危険性は低いが保護すべきと判断される情報 |
Ⅲ | ・外部に公開する情報 |
・上記以外の情報 |
(管理責任)
第14条 情報セキュリティ管理者は、その所管する情報資産について管理責任を有する。
2 利用責任者は、その所管する情報資産について管理責任を有する。
3 情報資産が複製又は伝送された場合には、複製等された情報資産も前条の分類に基づき管理しなければならない。
(情報の作成及び入手)
第15条 職員、利用者及び外部委託事業者は、業務上必要のない情報を作成、入手してはならない。
2 職員及び利用者は、情報を第13条の分類に基づき、適切に管理しなければならない。
(情報資産の利用)
第16条 職員、利用者及び外部委託事業者は、業務以外の目的に情報資産を利用してはならない。
2 職員、利用者及び外部委託事業者は、情報資産の分類に応じ、適切な取扱いをしなければならない。
(情報資産の保管)
第17条 情報セキュリティ管理者又は情報システム管理者は、情報資産の分類に従って、情報資産を適切に保管しなければならない。
(情報の送信)
第18条 分類Ⅰの情報は、電子メール等により送信を行ってはならない。
2 業務上やむを得ず送信をする場合は、情報セキュリティ管理者に許可を得たうえで、必要に応じて暗号化又はパスワード設定を行わなければならない。
(情報資産の運搬)
第19条 車両等により分類Ⅰの情報資産を運搬する場合は、必要に応じ鍵付きのケース等に格納し、暗号化又はパスワードの設定を行う等、情報資産の不正利用を防止するための措置を講じなければならない。
2 分類Ⅰの情報資産を運搬する場合は、情報セキュリティ管理者に許可を得なければならない。
(情報資産の提供・公表)
第20条 分類Ⅰの情報資産を外部に提供する場合は、必要に応じ暗号化又はパスワードの設定を行わなければならない。
2 分類Ⅰの情報資産を外部に提供する場合は、情報セキュリティ管理者に許可を得なければならない。
3 情報セキュリティ管理者は、外部に公開する情報資産について、完全性を確保しなければならない。
(情報資産の廃棄)
第21条 分類Ⅰの情報資産を記録している記録媒体が不要になった場合、記録媒体の初期化等、情報を復元できないように処置した上で廃棄しなければならない。
2 情報資産の廃棄を行う場合は、行った処理について、日時、担当者及び処理内容を記録しなければならない。
3 情報資産の廃棄を行う場合は、情報セキュリティ管理者の許可を得なければならない。
第4章 物理的セキュリティ
第1節 サーバ等の管理
(機器の取付け)
第22条 情報システム管理者及び利用責任者は、サーバ等の機器の取付けを行う場合、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切に固定する等、必要な措置を講じなければならない。
(サーバの二重化)
第23条 情報システム管理者は、重要情報を格納しているサーバ、セキュリティサーバ、住民サービスに関するサーバ及びその他の基幹サーバを二重化し、ミラーリング等により同一データを保持しなければならない。
2 情報システム管理者は、メインサーバに障害が発生した場合に、速やかにセカンダリサーバを起動し、システムの運用停止時間を最小限にしなければならない。
(機器の電源)
第24条 情報システム管理者は、統括情報セキュリティ責任者及び施設管理部門と連携し、サーバ等の機器の電源について、停電等による電源供給の停止に備え、当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。
2 情報システム管理者は、統括情報セキュリティ責任者及び施設管理部門と連携し、落雷等による過電流に対して、サーバ等の機器を保護するための措置を講じなければならない。
(通信ケーブル等の配線)
第25条 統括情報セキュリティ責任者、情報システム管理者及び利用責任者は、施設管理部門と連携し、通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。
2 統括情報セキュリティ責任者、情報システム管理者及び利用責任者は、主要な箇所の通信ケーブル及び電源ケーブルについて、施設管理部門から損傷等の報告があった場合、連携して対応しなければならない。
3 統括情報セキュリティ責任者、情報システム管理者及び利用責任者は、ネットワーク接続口(ハブのポート等)を他者が容易に接続できない場所に設置する等適切に管理しなければならない。
4 統括情報セキュリティ責任者、情報システム管理者及び利用責任者は、自ら又は情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が配線を変更、追加できないように必要な措置を施さなければならない。
(機器の保守及び修理)
第26条 情報システム管理者は、迅速な保守体制を確保しなければならない。
2 情報システム管理者は、記憶媒体を内蔵する機器を外部の事業者に修理させる場合、内容を消去した状態で行わせなければならない。内容を消去できない場合、情報システム管理者は、外部の事業者に故障を修理させるにあたり、修理を委託する事業者との間で、守秘義務契約を締結する他、秘密保持体制の確認などを行わなければならない。
(広域連合事務局以外への機器の設置)
第27条 統括情報セキュリティ責任者及び情報システム管理者は、広域連合事務局以外にサーバ等の機器を設置する場合、最高情報統括責任者の承認を得なければならない。
2 業務委託によって前項を実施する場合、第22条から第26条及び第28条から第30条に準ずる内容を満たしていることを確認するとともに、サーバ等設置場所の管理者との間でその遵守について明記した契約を締結しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。
(機器の廃棄等)
第28条 情報システム管理者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、すべての情報を消去の上、復元不可能な状態にする措置を講じなければならない。
第2節 管理区域の管理
(管理区域の構造等)
第29条 管理区域とは、広域連合事務局内においてネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理並びに運用を行うための部屋及び電磁的記録媒体並びに紙媒体情報の保管庫となる部屋をいう。
2 統括情報セキュリティ責任者及び情報システム管理者は、施設管理部門と連携して、管理区域から外部に通ずるドアは必要最小限とし、鍵等によって許可されていない立入りを防止しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、管理区域内の機器等に、転倒及び落下防止等の耐震対策、防火措置等を講じなければならない。
(管理区域の入退室管理等)
第30条 情報システム管理者は、管理区域への入退室を許可された者のみに制限し、ICカード、指紋認証等の生体認証又は入退室管理簿の記載等による入退室管理を行わなければならない。
2 職員及び外部委託事業者は、管理区域に入室する場合、身分証明書等を携帯し、求めにより提示しなければならない。
3 情報システム管理者は、外部からの訪問者が管理区域に入る場合には、必要に応じて立ち入り区域を制限した上で、管理区域への入退室を許可された職員が付き添うものとし、外見上職員と区別できる措置を講じなければならない。
4 情報システム管理者は、分類Ⅰの情報資産を扱うシステムを設置している管理区域について、
当該情報システムに関連しないコンピュータ、通信回線装置、外部記録媒体等を持ち込ませないようにしなければならない。
(機器等の搬入出)
第31条 情報システム管理者は、搬入する機器等が、既存の情報システムに与える影響について、あらかじめ職員又は外部委託事業者に確認を行わせなければならない。
2 情報システム管理者は、管理区域の機器等の搬入出について、職員を立ち会わせなければならない。
第3節 通信回線及び通信回線装置の管理
(通信回線及び通信回線装置の管理)
第32条 統括情報セキュリティ責任者は、広域連合事務局内の通信回線及び通信回線装置を、施設管理部門と連携し、適切に管理しなければならない。また、通信回線及び通信回線装置に関連する文書を適切に保管しなければならない。
2 統括情報セキュリティ責任者は、広域連合事務局外部へのネットワーク接続を必要最低限に限定し、できる限り接続ポイントを減らさなければならない。
3 統括情報セキュリティ責任者は、分類Ⅰの情報資産を取り扱う情報システムに通信回線を接続する場合、必要なセキュリティ水準を検討の上、適切な回線を選択しなければならない。また、必要に応じ、送受信される情報の暗号化を行わなければならない。
4 統括情報セキュリティ責任者は、ネットワークに使用する回線について、伝送途上に情報が破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策を実施しなければならない。また、無線LAN の使用は認めてはならない。
第4節 パソコン等の管理
(パソコン等の管理)
第33条 情報システム管理者は、執務室等のパソコン等の端末について、盗難防止のための物理的措置を講じなければならない。
2 情報システム管理者は、情報システムへのログインパスワードの入力を必要とするように設定しなければならない。
第5章 人的セキュリティ
第1節 遵守事項
(情報セキュリティポリシー等の遵守)
第34条 職員、利用者及び外部委託事業者は、情報セキュリティポリシー及び実施手順を遵守しなければならない。また、情報セキュリティ対策について不明な点、遵守することが困難な点等がある場合は、速やかに情報セキュリティ管理者に相談し、指示を仰がなければならない。
(業務以外の目的での使用の禁止)
第35条 職員、利用者及び外部委託事業者は、業務以外の目的で情報資産の外部への持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。
(パソコン等の端末の持ち出し及び外部における情報処理作業の制限)
第36条 最高情報統括責任者は、分類Ⅰの情報資産を外部で処理する場合における安全管理措置を定めなければならない。
2 職員及び外部委託事業者は、広域連合が管理するパソコン等の端末、記録媒体、情報資産及びソフトウエアを外部に持ち出す場合には、情報セキュリティ管理者の許可を得なければならない。
3 職員及び外部委託事業者は、外部で情報処理業務を行う場合には、情報セキュリティ管理者の許可を得なければならない。
4 システム利用団体は、広域連合が管理する機器等の撤去、移設等(軽微なものを除く)を行おうとする場合には、事前に統括情報セキュリティ責任者の許可を得なければならない。
(パソコン等の端末等の持込)
第37条 職員及び外部委託事業者は、私物のパソコン及び記録媒体を広域連合事務局内に持ち込んではならない。
(パソコン等の端末におけるセキュリティ設定変更の禁止)
第38条 職員及び外部委託事業者は、パソコン等の端末のソフトウエアに関するセキュリティ機能の設定を情報システム管理者の許可なく変更してはならない。
(机上の端末等の管理)
第39条 職員及び外部委託事業者は、パソコン等の端末や記録媒体、情報が印刷された文書等及び紙媒体情報について、第三者に使用されること、又は情報セキュリティ管理者の許可なく情報を閲覧されることがないように、離席時の端末のロックや記録媒体、文書等の容易に閲覧されない場所への保管等、適切な措置を講じなければならない(クリアデスク・クリアスクリーン)。
(退職時等の遵守事項)
第40条 職員、利用者及び外部委託事業者は、異動、退職等により業務を離れる場合には、利用していた情報資産を、返却しなければならない。また、その後も業務上知り得た情報を漏らしてはならない。
(非常勤、臨時職員及び契約等により当該業務に従事する者への対応)
第41条 広域連合の非常勤、臨時職員及び契約等により当該業務に従事する者に対しては、次に掲げる事項を実施しなければならない。
(1) 情報セキュリティポリシー等の遵守に対する同意
情報セキュリティ管理者は、非常勤、臨時職員及び契約等により当該業務に従事する者の採用時等の際、必要に応じ、情報セキュリティポリシー等を遵守する旨の同意書への署名を求めるものとする。
(2) インターネット接続及び電子メール使用等の制限
情報セキュリティ管理者は、非常勤、臨時職員及び契約等により当該業務に従事する者にパソコン等の端末による作業を行わせる場合において、インターネットへの接続及び電子メールの使用等が不要の場合、これを利用できないようにしなければならない。
(情報セキュリティポリシー等の掲示)
第42条 情報セキュリティ管理者は、職員、利用者及び外部委託事業者が常に情報セキュリティポリシー及び実施手順を閲覧できるように掲示するとともに、周知しなければならない。
第2節 研修・訓練
(情報セキュリティに関する研修・訓練)
第43条 最高情報統括責任者は、定期的に情報セキュリティに関する研修(個人情報、個人番号及び特定個人情報(以下「特定個人情報等」という。)の保護に関する研修を含む。以下同じ。)・訓練を実施しなければならない。
(研修計画の立案及び実施)
第44条 最高情報統括責任者は、職員及び利用者に対する情報セキュリティに関する研修計画を定期的に立案し、情報セキュリティ委員会の承認を得なければならない。
2 研修計画において、職員及び利用者は毎年度最低1回は情報セキュリティ研修を受講できるようにしなければならない。
3 研修は、統括情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者、情報システム担当者、その他職員及び利用者に対して、それぞれの役割、情報セキュリティに関する理解度等に応じたものにしなければならない。
4 最高情報統括責任者は、毎年度1回、情報セキュリティ委員会に対して、職員及び利用者の情報セキュリティ研修の実施状況について報告しなければならない。
(研修・訓練への参加)
第45条 職員及び利用者は、定められた研修・訓練に参加しなければならない。第3節 事故、欠陥等の報告
(内部からの事故等の報告)
第46条 職員、利用者及び外部委託事業者は、情報セキュリティに関する事故、システム上の欠陥及び誤動作を発見した場合、速やかに情報セキュリティ管理者に報告しなければならない。
2 報告を受けた情報セキュリティ管理者は、当該事故等が情報システムに関連する場合、速やかに統括情報セキュリティ責任者及び情報システム管理者に報告しなければならない。
3 情報セキュリティ管理者は、報告のあった事故等について、必要に応じて最高情報統括責任者に報告しなければならない。
(住民等外部からの事故等の報告)
第47条 職員、利用者及び外部委託事業者は、広域連合が管理するネットワーク及び情報システム等の情報資産に関する事故、欠陥について、住民等外部から報告を受けた場合、情報セキュリティ管理者に報告しなければならない。
2 報告を受けた情報セキュリティ管理者は、当該事故等が情報システムに関連する場合、速やかに統括情報セキュリティ責任者及び情報システム管理者に報告しなければならない。また、当該事故等がネットワークに関連する場合は、統括情報セキュリティ責任者に報告しなければならない。
3 情報セキュリティ管理者は、当該事故等について、必要に応じて最高情報統括責任者に報告しなければならない。
(事故等の分析・記録等)
第48条 統括情報セキュリティ責任者は、事故等を引き起こした部門の情報セキュリティ管理者及び情報システム管理者と連携し、これらの事故等を分析し、記録を保存しなければならない。
第4節 ID及びパスワード等の管理
(IDの取扱い)
第49条 職員、利用者及び外部委託事業者は、自己の管理するIDに関し、次の事項を遵守しなければならない。
(1) 自己が利用しているIDは、他人に利用させてはならない。
(2) 共用IDを利用する場合は、共用IDの利用者以外に利用させてはならない。
(パスワードの取扱い)
第50条 職員、利用者及び外部委託事業者は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。
(1) パスワードを秘密にし、パスワードの照会等には一切応じてはならない。
(2) パスワードを記載したメモを作成してはならない。
(3) パスワードは十分な長さとし、文字列は想像しにくいものにしなければならない。
(4) パスワードが流出したおそれがある場合には、情報セキュリティ管理者に速やかに報告し、パスワードを速やかに変更しなければならない。
(5) パスワードは定期的に、又はアクセス回数に基づいて変更し、古いパスワードを再利用してはならない。
(6) 複数の情報システムを扱う職員、利用者及び外部委託事業者は、同一のパスワードをシステム間で用いてはならない。
(7) 仮のパスワードは、最初のログイン時点で変更しなければならない。
(8) パソコン等の端末のパスワードの記憶機能を利用してはならない。
(9) 職員、利用者及び外部委託事業者間でパスワードを共有してはならない。
第6章 技術的セキュリティ
第1節 コンピュータ及びネットワークの管理
(文書サーバの設定等)
第51条 情報システム管理者は、職員及び外部委託事業者が使用できる文書サーバの容量を設定し、職員及び外部委託事業者に周知しなければならない。
2 情報システム管理者は、文書サーバを課の単位で構成し、職員及び外部委託事業者が他課のフォルダ及びファイルを閲覧及び使用できないように、設定しなければならない。
3 情報システム管理者は、特定個人情報等及び人事記録等、特定の職員等しか取扱えないデータについて、別途ディレクトリを作成する等の措置を講じ、同一課であっても、担当以外の職員及び外部委託事業者が閲覧及び使用できないようにしなければならない。
(バックアップの実施)
第52条 統括情報セキュリティ責任者及び情報システム管理者は、ファイルサーバ等に記録された情報について、サーバの二重化対策に関わらず、必要に応じて定期的にバックアップを実施しなければならない。
(システム管理記録及び作業の確認)
第53条 情報システム管理者は、所管する情報システムの運用において実施した作業について、作業記録を作成しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、所管するシステムにおいて、システム変更等の作業を行った場合は、作業内容について記録を作成し、窃取、改ざん等をされないように適切に管理しなければならない。
3 統括情報セキュリティ責任者、情報システム管理者又は情報システム担当者及び契約により操作を認められた外部委託事業者がシステム変更等の作業を行う場合は、2 名以上で作業し、互いにその作業を確認しなければならない。
(情報システム仕様書等の管理)
第54条 統括情報セキュリティ責任者及び情報システム管理者は、ネットワーク構成図、情報システム仕様書について、記録媒体に関わらず、業務上必要とする者以外の者が閲覧したり、紛失等がないよう、適切に管理しなければならない。
(アクセス記録の取得等)
第55条 統括情報セキュリティ責任者及び情報システム管理者は、各種アクセス記録及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。
2 重要システム等の管理を外部委託する場合は、各種アクセス記録及び情報セキュリティの確保
に必要な記録を取得させなければならず、その旨を契約に明記しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、アクセス記録等が窃取、改ざん、誤消去等されないように必要な措置を講じなければならない。
4 統括情報セキュリティ責任者及び情報システム管理者は、システムから自動出力したアクセス記録等について、必要に応じ、外部記録媒体にバックアップしなければならない。
(障害記録)
第56条 統括情報セキュリティ責任者及び情報システム管理者は、職員、利用者及び外部委託事業者からのシステム障害の報告、システム障害に対する処理結果又は問題等を、障害記録として記録し、適切に保存しなければならない。
(ネットワークの接続制御、経路制御等)
第57条 統括情報セキュリティ責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウエア等を設定しなければならない。
2 統括情報セキュリティ責任者は、不正アクセスを防止するため、ネットワークに適切なアクセス制御を施さなければならない。
(ネットワークの領域分割)
第58条 情報システム管理者は、特に重要なネットワーク及び情報システムについては、他のネットワーク及び情報システムと領域を分割しなければならない。
(外部ネットワークとの接続制限等)
第59条 情報システム管理者は、所管するネットワークを広域連合の管理外のネットワーク(以下、「外部ネットワーク」という。)と接続しようとする場合には、最高情報統括責任者及び統括情報セキュリティ責任者の許可を得なければならない。
2 情報システム管理者は、接続しようとする外部ネットワークに係るネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、所管するすべてのネットワーク、情報システム等の情報資産に影響が生じないことを確認しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、ウェブサーバ等をインターネットに公開する場合、所管するネットワークへの侵入を防御するために、ファイアウォール等を外部ネットワークとの境界に設置したうえで接続しなければならない。
4 情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、統括情報セキュリティ責任者の判断に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。
(ネットワークの盗聴対策)
第60条 統括情報セキュリティ責任者は、機密性の高い情報を扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じなければならない。
(電子メールのセキュリティ管理)
第61条 統括情報セキュリティ責任者は、職員以外の外部の者により、外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。
2 統括情報セキュリティ責任者は、大量のスパムメール等の受信又は送信を検知した場合は、メールサーバの運用を停止しなければならない。
3 統括情報セキュリティ責任者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。
4 統括情報セキュリティ責任者は、職員が使用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を職員に周知しなければならない。
(電子メールの利用制限)
第62条 職員及び外部委託事業者は、自動転送機能を用いて、電子メールを転送してはならない。
2 職員及び外部委託事業者は、業務上必要のない送信先に電子メールを送信してはならない。
3 職員及び外部委託事業者は、複数人に電子メールを送信する場合、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにしなければならない。
4 職員及び外部委託事業者は、重要な電子メールを誤送信した場合、情報セキュリティ管理者に報告しなければならない。
5 職員及び外部委託事業者は、ウェブで利用できるフリーメール、ネットワークストレージサービス等を使用してはならない。
(暗号化)
第63条 職員は、情報資産の分類により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合には、最高情報統括責任者が定めた暗号化又はパスワード設定の方法を使用して、送信しなければならない。
(無許可ソフトウエアの導入等の禁止)
第64条 職員、外部委託事業者は、サーバ、パソコン等に無断でソフトウエアを導入してはならない。
2 利用者においては、広域連合が管理する機器等に無断でソフトウエアを導入してはならない。
3 職員、利用者及び外部委託事業者は、業務上の必要がある場合は、統括情報セキュリティ責任者及び情報システム管理者の許可を得て、ソフトウエアを導入することができる。
4 職員、利用者及び外部委託事業者は、不正にコピーしたソフトウエアを利用してはならない。
(機器構成の変更の制限)
第65条 職員、利用者及び外部委託事業者は、サーバ、パソコン等に対し機器の改造及び増設・交換を行ってはならない。
2 職員、利用者及び外部委託事業者は、業務上、サーバ、パソコン等に対し機器の改造及び増設・交換を行う必要がある場合には、統括情報セキュリティ責任者及び情報システム管理者の許可を得なければならない。
(無許可でのネットワーク接続の禁止)
第66条 職員、利用者及び外部委託事業者は、統括情報セキュリティ責任者の許可なくサーバ、パソコン等をネットワークに接続してはならない。
(業務以外の目的でのウェブ閲覧の禁止)
第67条 職員及び外部委託事業者は、業務以外の目的でウェブを閲覧してはならない。
2 統括情報セキュリティ責任者は、職員及び外部委託事業者のウェブ利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、情報セキュリティ管理者に通知し適切な措置を求めなければならない。
第2節 アクセス制御
(アクセス制御)
第68条 統括情報セキュリティ責任者又は情報システム管理者は、所管するネットワーク又は情報システムごとにアクセスする権限のない職員、利用者及び外部委託事業者がアクセスできないように、システム上制限しなければならない。
(利用者IDの取扱い)
第69条 統括情報セキュリティ責任者及び情報システム管理者は、利用者の登録、変更、抹消等
の情報管理、職員、利用者及び外部委託事業者の異動、出向、退職者等に伴う利用者IDの取扱い等の方法を定めなければならない。
2 職員、利用者及び外部委託事業者は、業務上必要がなくなった場合は、利用者登録を抹消するよう、統括情報セキュリティ責任者又は情報システム管理者に通知しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、利用されていないIDが放置されないよう、点検しなければならない。
(特権を付与されたIDの管理等)
第70条 統括情報セキュリティ責任者及び情報システム管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者の特権を代行する者は、統括情報セキュリティ責任者及び情報システム管理者が指名し、最高情報統括責任者が認めた者でなければならない。
3 最高情報統括責任者は、代行者を認めた場合、速やかに統括情報セキュリティ責任者、情報セキュリティ管理者及び情報システム管理者に通知しなければならない。
4 統括情報セキュリティ責任者及び情報システム管理者は、特権を付与されたID及びパスワードの変更について、外部委託事業者に行わせてはならない。
5 統括情報セキュリティ責任者及び情報システム管理者は、特権を付与されたID及びパスワードについて、職員、利用者及び外部委託事業者の端末等のパスワードよりも定期変更、入力回数制限等のセキュリティ機能を強化しなければならない。
(外部からのアクセス等の制限)
第71条 職員、外部委託事業者が広域連合事務局内部のみで使用するネットワーク又は情報システムに外部からアクセスする場合は、統括情報セキュリティ責任者及び当該情報システムを管理する情報システム管理者の許可を得なければならない。
2 統括情報セキュリティ責任者は、内部のネットワーク又は情報システムに対する外部からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない。
3 統括情報セキュリティ責任者は、外部からのアクセスを認める場合、システム上利用者の本人確認を行う機能を確保しなければならない。
4 統括情報セキュリティ責任者は、外部からのアクセスを認める場合、通信途上の盗聴を防御するために暗号化等の措置を講じなければならない。
5 統括情報セキュリティ責任者及び情報システム管理者は、外部からのアクセスに利用するパソコン等の端末を職員、利用者及び外部委託事業者に貸与する場合、セキュリティ確保のために必要な措置を講じなければならない。
6 職員、利用者及び外部委託事業者は、持ち込んだ又は外部から持ち帰ったパソコン等の端末を内部のネットワークに接続する前に、コンピュータウイルスに感染していないこと、パッチの適用状況等を確認しなければならない。
(パスワードに関する情報の管理)
第72条 統括情報セキュリティ責任者又は情報システム管理者は、職員、利用者及び外部委託事業者のパスワードに関する情報を厳重に管理しなければならない。パスワードファイルを不正利用から保護するため、オペレーティングシステム等でパスワード設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。
2 統括情報セキュリティ責任者又は情報システム管理者は、職員、利用者及び外部委託事業者に対してパスワードを発行する場合は、仮のパスワードを発行し、ログイン後直ちに仮のパスワードを変更させなければならない。
(特権による接続時間の制限)
第73条 情報システム管理者は、特権によるネットワーク及び情報システムへの接続時間を必要
最小限に制限しなければならない。第3節 システム開発、導入、保守等
(情報システムの調達)
第74条 統括情報セキュリティ責任者及び情報システム管理者は、情報システム開発、導入、保守等の調達にあたっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、機器及びソフトウエアの調達にあたっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。
(情報システムの開発)
第75条 情報システムの開発にあたっては、次に掲げる事項を遵守しなければならない。
(1) システム開発における責任者及び作業者の特定
情報システム管理者は、システム開発の責任者及び作業者を特定しなければならない。
(2) システム開発における責任者、作業者のIDの管理
ア 情報システム管理者は、システム開発の責任者及び作業者が使用するIDを管理し、開発完了後、開発用IDを削除しなければならない。
イ 情報システム管理者は、システム開発の責任者及び作業者のアクセス権限を設定しなければならならない。
(3) システム開発に用いるハードウエア及びソフトウエアの管理
ア 情報システム管理者は、システム開発の責任者及び作業者が使用するハードウエア及びソフトウエアを特定しなければならない。
イ 情報システム管理者は、利用を認めたソフトウエア以外のソフトウエアが導入されている場合、当該ソフトウエアをシステムから削除しなければならない。
(情報システムの導入)
第76条 情報システムの導入にあたっては、次に掲げる事項を遵守しなければならない。
(1) 開発環境と運用環境の分離及び移行手順の明確化
ア 情報システム管理者は、システム開発・保守及びテスト環境からシステム運用環境への移行について、システム開発・保守計画の策定時に手順を明確にしなければならない。 イ 情報システム管理者は、移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮しなけれ
ばならない。
(2) テスト
ア 情報システム管理者は、新たに情報システムを導入する場合、既に稼働している情報システムに接続する前に十分な試験を行わなければならない。
イ 情報システム管理者は、運用テストを行う場合、あらかじめ擬似環境による操作確認を行わなければならない。
ウ 情報システム管理者は、特定個人情報等及び機密性の高い生データを、テストデータに使用してはならない。
(システム開発・保守に関連する資料等の保管)
第77条 情報システム管理者は、システム開発・保守に関連する資料及び文書を適切な方法で保管しなければならない。
2 情報システム管理者は、テスト結果を一定期間保管しなければならない。
3 情報システム管理者は、情報システムに係るソースコードを適切な方法で保管しなければならない。
(情報システムにおける入出力データの正確性の確保)
第78条 情報システム管理者は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。
2 情報システム管理者は、故意又は過失により情報が改ざんされる又は漏えいするおそれがある場合に、これを検出するチェック機能を組み込むように情報システムを設計しなければならない。
3 情報システム管理者は、情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。
(情報システムの変更管理)
第79条 情報システム管理者は、情報システムを変更した場合、プログラム仕様書等の変更履歴を作成しなければならない。
(開発・保守用のソフトウエアの更新等)
第80条 情報システム管理者は、開発・保守用のソフトウエア等を更新、又はパッチの適用をする場合、他の情報システムとの整合性を確認しなければならない。
第4節 不正プログラム対策
(統括情報セキュリティ責任者の措置事項)
第81条 統括情報セキュリティ責任者は、不正プログラム対策として、次の事項を措置しなければならない。
(1) 外部ネットワークから受信したファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムのシステムへの侵入を防止しなければならない。
(2) 外部ネットワークに送信するファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等不正プログラムのチェックを行い、不正プログラムの外部への拡散を防止しなければならない。
(3) コンピュータウイルス等の不正プログラム情報を収集し、必要に応じ職員、利用者及び外部委託事業者に対して注意喚起しなければならない。
(4) 所掌するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウエアを常駐させなければならない。
(5) 不正プログラム対策ソフトウエアのパターンファイルは、常に最新の状態に保たなければならない。
(6) 不正プログラム対策のソフトウエアは、常に最新の状態に保たなければならない。
(情報システム管理者の措置事項)
第82条 情報システム管理者は、不正プログラム対策に関し、次の事項を措置しなければならない。
(1) 情報システム管理者は、その所掌するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウエアをシステムに常駐させなければならない。
(2) 不正プログラム対策ソフトウエアのパターンファイルは、常に最新の状態に保たなければならない。
(3) 不正プログラム対策のソフトウエアは、常に最新の状態に保たなければならない。
(4) インターネットに接続していないシステムにおいて、記録媒体を使う場合、コンピュータウイルス等の感染を防止するために、広域連合が管理している媒体以外を職員、利用者及び外部委託事業者に利用させてはならない。また、不正プログラムの感染、侵入が生じる可能性が著しく低い場合を除き、不正プログラム対策ソフトウエアを導入し、定期的に当該ソフトウエア及びパターンファイルの更新を実施しなければならない。
(遵守事項)
第83条 職員、利用者及び外部委託事業者は、不正プログラム対策に関し、次の事項を遵守しなければならない。
(1) パソコン等の端末において、不正プログラム対策ソフトウエアが導入されている場合は、当該ソフトウエアの設定を変更してはならない。
(2) 外部からデータ又はソフトウエアを取り入れる場合には、必ず不正プログラム対策ソフトウエアによるチェックを行わなければならない。
(3) 差出人が不明又は不自然に添付されたファイルを受信した場合は、速やかに削除しなければならない。
(4) 端末に対して、不正プログラム対策ソフトウエアによるフルチェックを定期的に実施しなければならない。
(5) 添付ファイルが付いた電子メールを送受信する場合は、不正プログラム対策ソフトウエアでチェックを行わなければならない。
(6) 統括情報セキュリティ責任者が提供するウイルス情報を、常に確認しなければならない。
(7) コンピュータウイルス等の不正プログラムに感染した場合は、LAN ケーブルの即時取り外し又は機器の電源遮断を行わなければならない。
第5節 不正アクセス対策
(統括情報セキュリティ責任者の措置事項)
第84条 統括情報セキュリティ責任者は、不正アクセス対策として、以下の事項を措置しなければならない。
(1) 使用されていないポートを閉鎖しなければならない。
(2) 不正アクセスによるウェブページの改ざんを防止するために、データの書換えを検出し、統括情報セキュリティ責任者及び情報システム管理者へ通報するよう、設定しなければならない。
(攻撃の予告)
第85条 最高情報統括責任者、統括情報セキュリティ責任者及び利用責任者は、サーバ等に攻撃を受けることが明確になった場合、システムの停止を含む必要な措置を講じなければならない。また、関係機関と連絡を密にして情報の収集に努めなければならない。
(記録の保存)
第86条 最高情報統括責任者、統括情報セキュリティ責任者及び利用責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス禁止法違反等の犯罪の可能性がある場合には、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。
(内部からの攻撃)
第87条 統括情報セキュリティ責任者、情報システム管理者及び利用責任者は、職員、利用者及び外部委託事業者が使用しているパソコン等の端末からの内部のサーバ等に対する攻撃や外部のサイトに対する攻撃を監視しなければならない。
(職員、利用者及び外部委託事業者による不正アクセス)
第88条 統括情報セキュリティ責任者、情報システム管理者及び利用責任者は、職員、利用者及び外部委託事業者による不正アクセスを発見した場合は、当該職員、利用者及び外部委託事業者が所属する課の情報セキュリティ管理者又は利用責任者に通知し、適切な処置を求めなければならない。
(サービス不能攻撃)
第89条 統括情報セキュリティ責任者、情報システム管理者及び利用責任者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用
できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。
(標的型攻撃)
第90条 統括情報セキュリティ責任者、情報システム管理者及び利用責任者は、情報システムにおいて、標的型攻撃による内部への侵入を防止するために、教育や自動再生無効化等の人的対策や入口対策を講じなければならない。また、内部に侵入した攻撃を早期検知して対処するために、通信をチェックする等の内部対策を講じなければならない。
第6節 セキュリティ情報の収集
(セキュリティホールに関する情報の収集・共有及びソフトウエアの更新等)
第91条 統括情報セキュリティ責任者及び情報システム管理者は、セキュリティホールに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じて、ソフトウエア更新等の対策を実施しなければならない。
(不正プログラム等のセキュリティ情報の収集・周知)
第92条 統括情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じ対応方法について、職員、利用者及び外部委託事業者に周知しなければならない。
第7章 運用
第1節 情報システムの監視
(情報システムの監視)
第93条 統括情報セキュリティ責任者及び情報システム管理者は、セキュリティに関する事案を検知するため、情報システムを常時監視しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、重要なアクセスログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、外部と常時接続するシステムを常時監視しなければならない。
第2節 情報セキュリティポリシーの遵守状況の確認
(遵守状況の確認及び対処)
第94条 統括情報セキュリティ責任者及び情報セキュリティ管理者は、情報セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合には、速やかに最高情報統括責任者に報告しなければならない。
2 最高情報統括責任者は、発生した問題について、適切かつ速やかに対処しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的に確認を行い、問題が発生していた場合には適切かつ速やかに対処しなければならない。
(端末及び記録媒体等の利用状況調査)
第95条 最高情報統括責任者及び最高情報統括責任者が指名した者は、不正アクセス、不正プログラム等の調査のために、職員、利用者及び外部委託事業者が使用しているパソコン等の端末、記録媒体のアクセス記録、電子メールの送受信記録等の利用状況を調査することができる。
(職員、利用者及び外部委託事業者の報告義務)
第96条 職員、利用者及び外部委託事業者は、情報セキュリティポリシーに対する違反行為を発見した場合、直ちに統括情報セキュリティ責任者及び情報セキュリティ管理者に報告を行わなければならない。
2 違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると統括情報セキュリティ責任者が判断した場合は、緊急時対応計画に従って適切に対処しなければならない。
第3節 侵害時の対応
(緊急時対応について)
第97条 情報セキュリティ委員会は、情報セキュリティに関する事故、情報セキュリティポリシ ーの違反等により情報資産への侵害が発生した場合又は発生するおそれがある場合において連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適切に実施しなければならない。
2 緊急時の対応のためには、以下の内容を定めなければならない。
(1) 関係者の連絡先
(2) 発生した事案に係る報告すべき事項
(3) 発生した事案への対応措置
(4) 再発防止措置の策定
第4節 システム利用団体との情報の授受等
(システム利用団体との情報システムに関する必要な情報の授受等)
第98条 情報システム管理者は、システム利用団体と情報システムに関する必要な情報を授受等する際に、その取扱いに関する事項を定め、最高情報統括責任者の許可を得て、システム利用団体と当該内容を明記した合意文書を取り交わさなければならない。
第5節 外部委託
(外部委託先の選定基準)
第99条 情報セキュリティ管理者は、外部委託先の選定にあたり、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。
2 情報セキュリティ管理者は、情報セキュリティマネジメントシステムの国際規格の認証取得状況等を参考にして、事業者を選定しなければならない。
(契約項目)
第100条 特定個人情報等を取扱う事務の全部又は一部を外部委託する場合若しくは情報システムの運用等を外部委託する場合には、委託事業者との間で必要に応じて、次の情報セキュリティ要件を明記した契約を締結しなければならない。
(1) 情報セキュリティポリシー及び情報セキュリティ実施手順の遵守
(2) 委託先の責任者、委託内容、作業者、作業場所の特定
(3) 提供されるサービスレベルの保証
(4) 従業員に対する教育の実施
(5) 提供された情報の目的外利用及び受託者以外の者への提供の禁止
(6) 提供された情報の複製等の禁止
(7) 業務上知り得た情報の守秘義務
(8) 情報の保護について委託事業者の代表者及び従業員からの誓約書提出義務
(9) 再委託に関する制限事項の遵守
(10) 委託業務終了時の情報資産の返還、廃棄等
(11) 委託業務の定期報告及び緊急時報告義務
(12) 広域連合による監査、検査
(13) 広域連合による事故時等の公表
(14) 情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)
(確認・措置等)
第101条 情報セキュリティ管理者は、外部委託事業者(再委託先を含む。)において必要なセキュリティ対策が確保されていることを定期的に確認し、必要に応じ、前条の契約に基づき措置しなければならない。また、その内容を統括情報セキュリティ責任者に報告するとともに、その重要度に応じて最高情報統括責任者に報告しなければならない。
第6節 例外措置
(例外措置の許可)
第102条 情報セキュリティ管理者及び情報システム管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合には、最高情報統括責任者の許可を得て、例外措置を取ることができる。
(緊急時の例外措置)
第103条 情報セキュリティ管理者及び情報システム管理者は、行政事務の遂行に緊急を要する等の場合であって、例外措置を実施することが不可避のときは、事後速やかに最高情報統括責任者に報告しなければならない。
(例外措置の申請書の管理)
第104条 最高情報統括責任者は、例外措置の申請書及び審査結果を適切に保管しなければならない。
第7節 法令遵守
(法令遵守)
第105条 職員、利用者及び外部委託事業者は、職務の遂行において使用する情報資産を保護するために、次の法令のほか関係法令を遵守し、これに従わなければならない。
(1) 地方公務員法(昭和二十五年十二月十三日法律第二百六十一号)
(2) 著作権法(昭和四十五年法律第四十八号)
(3) 不正アクセス行為の禁止等に関する法律(平成十一年法律第百二十八号)
(4) 個人情報の保護に関する法律(平成十五年五月三十日法律第五十七号)
(5) 兵庫県後期高齢者医療広域連合個人情報保護条例(平成十九年条例第十九号)
(6) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)
(7) 各システム利用団体が施行する個人情報保護条例等第8節 違反時の対応
(懲戒処分)
第106条 情報セキュリティポリシーに違反した職員及びその監督責任者は、その重大性、発生した事案の状況等に応じて、地方公務員法及び関係法令(広域連合の条例及び規則を含む。)等による懲戒処分の対象とする。
(違反時の対応)
第107条 職員、利用者及び外部委託事業者の情報セキュリティポリシーに違反する行動を確認した場合には、速やかに次の措置を講じなければならない。
(1) 統括情報セキュリティ責任者が違反を確認した場合は、統括情報セキュリティ責任者は当該
職員、利用者及び外部委託事業者が所属する課の情報セキュリティ管理者に通知し、適切な措置を求めなければならない。
(2) 情報システム管理者等が違反を確認した場合は、違反を確認した者は速やかに統括情報セキュリティ責任者及び当該職員、利用者及び外部委託事業者が所属する課の情報セキュリティ管理者又は利用責任者に通知し、適切な措置を求めなければならない。
(3) 情報セキュリティ管理者又は利用責任者の指導によっても改善されない場合、統括情報セキュリティ責任者は、当該職員、利用者及び外部委託事業者のネットワーク又は情報システムを使用する権利を停止あるいは剥奪することができる。その後速やかに、統括情報セキュリティ責任者は、職員、利用者及び外部委託事業者の権利を停止あるいは剥奪した旨を最高情報統括責任者及び当該職員、利用者及び外部委託事業者が所属する課の情報セキュリティ管理者又は利用責任者に通知しなければならない。
第8章 評価・見直し
第1節 監査
(実施方法)
第108条 情報セキュリティ委員会は、情報セキュリティ監査統括責任者を指名し、ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、定期的に又は必要に応じて監査を行わせなければならない。
(監査を行う者の要件)
第109条 情報セキュリティ監査統括責任者は、監査を実施する場合には、被監査部門から独立した者に対して、監査の実施を依頼しなければならない。
2 監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者でなければならない。
(監査実施計画の立案及び実施への協力)
第110条 情報セキュリティ監査統括責任者は、監査を行うに当たって、監査実施計画を立案し、情報セキュリティ委員会の承認を得なければならない。
2 被監査部門は、監査の実施に協力しなければならない。
(外部委託事業者に対する監査)
第111条 外部委託事業者に委託している場合、情報セキュリティ監査統括責任者は外部委託事業者から下請けとして受託している事業者も含めて、情報セキュリティポリシーの遵守について監査を定期的に又は必要に応じて行わなければならない。
(報告)
第112条 情報セキュリティ監査統括責任者は、監査結果を取りまとめ、情報セキュリティ委員会に報告する。
(保管)
第113条 情報セキュリティ監査統括責任者は、監査の実施を通して収集した監査証拠、監査報告書の作成のための監査調書を、紛失等が発生しないように適切に保管しなければならない。
(監査結果への対応)
第114条 最高情報統括責任者は、監査結果を踏まえ、指摘事項を所管する情報セキュリティ管理者に対し、当該事項への対処を指示しなければならない。また、指摘事項を所管していない情報セキュリティ管理者に対しても、同種の課題及び問題点がある可能性が高い場合には、当該課題及び問題点の有無を確認させなければならない。
(情報セキュリティポリシーの見直し等への活用)
第115条 情報セキュリティ委員会は、監査結果を情報セキュリティポリシーの見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。
第2節 自己点検
(実施方法)
第116条 統括情報セキュリティ責任者及び情報システム管理者は、所管するネットワーク及び情報システムについて、定期的に又は必要に応じ自己点検を実施しなければならない。
2 統括情報セキュリティ責任者は、情報セキュリティ管理者と連携して、所管する部局における情報セキュリティポリシーに沿った情報セキュリティ対策状況について、毎年度又は必要に応じ自己点検を行わなければならない。
(報告)
第117条 統括情報セキュリティ責任者、情報システム管理者は、自己点検結果と自己点検結果に基づく改善策を取りまとめ、情報セキュリティ委員会に報告しなければならない。
(自己点検結果の活用)
第118条 職員、利用者及び外部委託事業者は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。
2 情報セキュリティ委員会は、この点検結果を情報セキュリティポリシーの見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。
第3節 情報セキュリティポリシーの見直し
(情報セキュリティポリシーの見直し)
第119条 情報セキュリティ委員会は、情報セキュリティポリシーについて情報セキュリティ監査及び自己点検の結果並びに情報セキュリティに関する状況の変化等をふまえ、必要があると認めた場合、その見直しを行うものとする。
附 則
この対策基準は、平成19 年6月25 日から施行する。附 則
この対策基準は、平成23 年4月1日から施行する。附 則
この対策基準は、平成25 年7月3日から施行する。附 則
この対策基準は、平成27 年9月1日から施行する。附 則
この対策基準は、平成27 年12 月28 日から施行する。附 則
この対策基準は、平成28 年4月1日から施行する。
データセンター
保険者NWセキュリティ装置
専用ネットワーク市町
保険者NWセキュリティ装置
責任分界点
センター機器
スイッチ
国保連合会保険者専用ネットワーク
(広域イーサ)
広域FW
広域L2スイッチ
業務用端末等
情報セキュリティ対策基準第27条第2項の対象範囲
(情報セキュリティ確保について契約で明記)
広域連合事務局
事務用端末等
保険者NWセキュリティ装置
広域L2スイッチ
既存ネットワーク市町
保険者NWセキュリティ装置
広域FW
責任分界点
業務用端末等
F/W(ルータ)
業務用端末等
: 保険者ネットワーク設置機器
: 広域連合整備機器
インターネット
2重線で囲まれる部分は、情報セキュリティ対策基準
: 情報システムへ入力する紙媒体情報
兵庫県後期高齢者医療広域連合
情報システムの担当課長
最高情報統括責任者(CIO)
広域連合長
情報セキュリティ委員会
統括情報セキュリティ責任者(CISO)
広域連合事務局長
情報システム管理者
情報システム課長
情報セキュリティ管理者
広域連合各課長
利用責任者
各利用団体で選任
システム利用団体
利用者
外部委託事業者
職員等
情報システム担当者
情報セキュリティ推進体制
情報セキュリティ連絡体制 | ||
国 等 関 係 機 関 ※ | ||
情報セキュリティ委員会 | 広域 | 連合長不在の場合 |
最高情報統括責任者(CIO) | ||
広域連合長 | ||
統括情報セキュリティ責任者(CISO) | ||
広域連合事務局長 | ||
情報セキュリティ管理者 | 情報システム管理者 | |
広域連合各課長 | 情報システム課長 | |
情報セキュリティに関する事故等を認知した者 | 情報システム担当者 | |
※ 厚生労 | 働省その他国の関係機関や警察等 |