大宜味村国税連携ネットワークシステムのセキュリティ対策に関する規程

○大宜味村国税連携ネットワークシステムのセキュリティ対策に関する規程

平成25年10月1日

訓令第32号

(趣旨)

第1条　この規程は、本村における国税連携ネットワークシステムのセキュリティ対策(以下「セキュリティ対策」という。)を総合的に実施するため、必要な事項を定めるものとする。

(定義)

第2条　この規程において使用する用語は、電気通信回線その他の電気通信設備に関する技術基準及び情報通信の技術の利用における安全性及び信頼性を確保するために必要な事項に関する基準(平成22年総務省告示第284号。以下第26条において「基準」という。)において使用する用語の例による。

(セキュリティ統括責任者)

第3条　村長は、セキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。

2　セキュリティ統括責任者は、副村長をもって充てる。

(システム管理者)

第4条　国税連携ネットワークシステムの適切な管理を行うため、システム管理者を置く。

2　システム管理者は、総務課長をもって充てる。

(セキュリティ責任者)

第5条　国税連携ネットワークシステムを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。

2　セキュリティ責任者は、財務課長をもって充てる。

(セキュリティ会議)

第6条　セキュリティ会議は、セキュリティ統括責任者が招集するとともに、議長を務める。

2　セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。

(1)　システム管理者

(2)　セキュリティ責任者

3　セキュリティ会議は、次に掲げる事項を所掌し、審議する。

(1)　国税連携ネットワークシステムのセキュリティ対策の決定及び見直し

(2)　前号のセキュリティ対策の遵守状況の確認

(3)　セキュリティ対策の監査の実施

(4)　セキュリティ対策の教育及び研修の実施

4　議長は、必要があると認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。

5　セキュリティ会議の庶務は、財務課において処理する。

(アクセス管理を行う機器)

第7条　次に掲げる国税連携ネットワークシステムの構成機器について、アクセス管理を行う。

(1)　サーバ

(2)　業務端末

2　前項に規定するアクセス管理は、パスワードの入力により操作をする者(以下「操作者」という。)の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。

(アクセス管理責任者)

第8条　前条に規定するアクセス管理を実施するため、アクセス管理責任者を置く。

2　アクセス管理責任者は、財務課長をもって充てる。

(パスワードの管理)

第9条　アクセス管理責任者は、パスワードの管理に関し、次に掲げる事項を実施する。

(1)　パスワードの管理の方法を定めること。

(2)　操作者の管理簿を作成すること。

(操作者の責務)

第10条　操作者は、前条第1号の規定により定めるパスワードの管理方法を遵守しなければならない。

(オペレーティングシステムの管理)

第11条　アクセス管理責任者は、第7条に規定するアクセス管理を実施するもののほか、国税連携ネットワークシステムに係る構成機器のオペレーティングシステムについて必要なセキュリティ対策を実施する。

(操作履歴の記録)

第12条　アクセス管理責任者は、操作履歴を5年間遡って解析できるよう保管するものとする。

(不正アクセスの脅威度)

第13条　国税連携ネットワークシステムのセキュリティを侵犯する不正行為の脅威度については、次の表の脅威度の欄に掲げる3つのレベルに区分する。


脅威度	事象	事例
レベル3	税務情報に脅威を及ぼすおそれの高い事象	(1)　税務情報が記録されている磁気ディスク、本人確認情報を保護する上で重要なソフトウェア、ドキュメント等のある場所への無権限者の侵入 (2)　ファイアウォールを通過した不正アクセス (3)　業務端末等の不審な操作の検出 (4)　コンピュータウィルス等の侵入によるシステムの異常動作 (5)　税務情報保護に関する重大な脆弱性の発見
レベル2	税務情報に脅威を及ぼすおそれの低い事象	(1)　国税連携ネットワークシステムに関係があるが、税務情報が記録されていない磁気ディスク及び税務情報の保護とは関係がないソフトウェア、ドキュメント等のある場所への無権限者の侵入 (2)　ファイアウォールを通過しなかった不正アクセス (3)　ウイルス対策ソフトによるコンピュータウイルス等の検出
レベル1	税務情報に脅威を及ぼすおそれのない事象	国税連携ネットワークシステムに直接関係のない備品のある場所への無権限者の侵入

(状況の把握)

第14条　システム管理者、アクセス管理責任者又はその権限の委任を受けた者(以下「システム管理者等」という。)は、前条に規定する不正行為の脅威度がレベル2又はレベル3に該当する可能性が高いと認めたときは、沖縄県の国税連携ネットワークシステム担当部署に通報し、かつ、地方税法施行規則(昭和29年総理府令第23号)第2条の4に規定する総務大臣に指定された法人(以下「指定法人」という。)においても状況の把握を行うよう要請しなければならない。

(緊急対応策の実施)

第15条　システム管理者等は、前条に定める状況を把握した運用監視の強化等の緊急措置を実施しなければならない。

(1)　指定法人、関係する都道府県の国税連携ネットワークシステム担当部署、ベンダー等の協力の下で緊急措置の実施を行うこと。

(2)　不正行為の脅威度がレベル3に該当する可能性が高い場合は、必要に応じて、システムの停止(一部切り離し又は一部停止を含む。)等緊急措置を行うこと。

(3)　指定法人、他の地方公共団体等が緊急措置を講ずる必要がある場合は、当該団体に緊急措置の実施を要請する。

(不正行為の脅威度の判定)

第16条　システム管理者等は、指定法人、関係する都道府県の国税連携ネットワークシステム担当部署、ベンダー等の協力の下で、当該事象の脅威度を判定しなければならない。

(緊急対応時のセキュリティ会議の開催)

第17条　不正行為の脅威度がレベル2又はレベル3に該当する場合、住民サービスに対する影響及び広報の必要性が生じる可能性が高いこと等を踏まえ、システム管理者等は、必要に応じてセキュリティ統括責任者又はその委任を受けた者にセキュリティ会議の開催を求めなければならない。

2　セキュリティ会議は、システムの停止による(一部切離し又は一部停止を含む。)住民への対応、広報等の重要事項について決定(必要に応じ、事後承認)を行う。この場合において、その開催については、原因解明作業又は対応策の実施作業と並行して、随時行う。

(村長への報告)

第18条　前条のセキュリティ会議により決定した事項について、セキュリティ統括責任者は、決定事項を村長へ報告しなければならない。

(システムの停止)

第19条　村長は、セキュリティ統括責任者の報告を踏まえ、村民の個人情報の漏洩のおそれ又は保護が不適切であると判断したときは、国税連携ネットワークシステムの停止を行うことができる。

(原因の解明)

第20条　システム管理者等は、必要に応じて、指定法人、関係する都道府県の国税連携ネットワークシステム担当部署、ベンダー等と協力し、収集した記録等により、原因を解明しなければならない。

(緊急措置の見直し及び恒久対策の立案)

第21条　システム管理者等は、前条の規定により解明した原因等に基づき、次の対応を行わなければならない。

(1)　既に実施した緊急措置を見直し、必要に応じてシステム復旧等を行うこと。

(2)　恒久対策の立案を行うこと。

(3)　指定法人、関係する都道府県の国税連携ネットワークシステム担当部署、関係する市区町村の国税連携ネットワーク担当部署に連絡すること。

(情報資産管理)

第22条　村長は、国税連携ネットワークシステムの情報資産(国税連携ネットワークシステムに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)を適正に管理するため管理責任者を置く。

2　情報資産のうち、税務情報及び当該税務情報が記録されたサーバに係る帳票の管理者(以下「税務情報管理責任者」という。)並びにこれら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、財務課長をもって充てる。

3　税務情報以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)を置き、総務課長をもってこれに充てる。

(税務情報管理責任者)

第23条　税務情報等に係る税務情報管理責任者は、当該税務情報等を取り扱うことができる者を指定するものとする。

2　前項の税務情報管理責任者は、税務情報等の漏洩、滅失及び毀損の防止その他の税務情報等の適切な管理のための必要な措置をとらなければならない。

3　税務情報管理責任者は、税務情報等が記録されたサーバに係る帳票の管理の方法を定めなければならない。

(情報資産管理責任者)

第24条　情報資産管理責任者は、財務課長と協議して、国税連携ネットワークシステムのオペレーション計画を定めるものとする。

2　前項の管理責任者は、「大宜味村情報セキュリティポリシー」に準拠し、当該情報資産の管理をするものとする。

(委託を受けようとする者の管理体制等の調査)

第25条　国税連携ネットワークシステムを管理し、又は利用する部署の長は、国税連携ネットワークシステムのセキュリティ対策を外部委託しようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査しなければならない。

(委託契約書への記載事項)

第26条　外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。

(1)　情報が記録された資料の保管、返還及び破棄に関する事項

(2)　情報が記録された資料の目的外使用及び複製並びに複写及び第三者への提供の禁止に関する事項

(3)　情報の秘密の保持に関する事項

(4)　事故等の報告に関する事項

(5)　国税ネットワークシステムに係る事務の実施に必要な基準と同様のセキュリティ対策を実施する事項

(6)　国税ネットワークシステムに係る業務のほか、電子申告の審査サーバーの運営又は年金特徴に係る業務を行う場合には、当該業務について基準と同様のセキュリティ対策を実施する事項

(7)　定期に指定法人の監査を受ける事項

(8)　指定法人による監査の結果、事務の実施に必要な電気通信回線その他電気通信設備を有せず、又は基準に適合したセキュリティ対策が実施されていないと認められた場合には、委託契約を解除することができる事項

(9)　再委託を行う場合には、事前申請及び承認を求める事項

(10)　前各号に定めるもののほか、村長が定める事項

(受託者の管理状況の調査)

第27条　国税連携ネットワークシステムを管理し、又は利用する部署の長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。

附則

この訓令は、平成25年10月1日から施行する。