情報セキュリティポリシー

更新日:

ページID:P0007379

印刷する

本市では、市民の皆様や事業者の方等の情報をさまざまな脅威から守るための基本的な考え方をまとめたものとして、「情報セキュリティ基本方針」を策定しています。また、この基本方針に基づき情報セキュリティ対策を実施するための基準を定めたものとして、「情報セキュリティ対策基準」を定めています。基本方針、対策基準を合わせて「情報セキュリティポリシー」と呼んでいます。

情報セキュリティポリシー階層図

情報セキュリティ基本方針

平成15年(2003年)4月 策定
平成16年(2004年)8月 改定
平成20年(2008年)5月 全部改定
平成23年(2011年)8月 改定
平成27年(2015年)8月 改定
令和元年(2019年)5月 改定
令和3年(2021年)4月 改定
令和5年(2023年)1月 改定

八王子市

1 総則

1-1 目的

本市が保有する情報資産(情報システムに関連する情報資産のみならず、本市で取り扱う全ての情報資産を対象とする。)をさまざまな脅威から守り、市政に対する信頼を深めるため、情報セキュリティに関する基本的な事項を定め、情報セキュリティの確保に努めることを目的とする。

1-2 セキュリティ対策の体系

本市の情報セキュリティを確保するため、情報セキュリティ対策基準及び情報セキュリティ実施手順を定める。

  1. 情報セキュリティ対策基準
    本基本方針に基づき、情報セキュリティ対策を実施するに当たり、組織体制、遵守事項及び判断基準等について統一的に定めたもの
  2. 情報セキュリティ実施手順
    情報セキュリティ対策基準に基づき、各課単位を基本とし(八王子市立小中学校及び義務教育学校においては各学校単位とする。)、情報セキュリティを確保するための具体的な手順を定めたもの

1-3 用語の定義

  1. ネットワーク
    コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)
  2. 情報システム
    コンピュータ、ネットワーク及び記憶媒体で構成され、情報処理を行う仕組み
  3. 情報資産
    情報及び情報を管理する仕組みの総称
  4. 情報セキュリティ
    保有する情報資産を脅威から守ること。
  5. 情報セキュリティポリシー
    情報資産を脅威から守るための対策及び情報セキュリティを確保するための組織体制と運用方法を規定したもの。情報セキュリティ基本方針及び情報セキュリティ対策基準の2階層で構成される。
  6. 機密性
    情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保すること。
  7. 完全性
    情報が破壊、改ざん又は消去されていない状態を確保すること。
  8. 可用性
    情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保すること。
  9. 脅威
    情報システムや本市に損害を与える可能性がある原因のこと。 
  10. マイナンバー利用事務系
    個人番号利用事務(社会保障、地方税若しくは防災に関する事務)又は戸籍事務等に関わる情報システム及びデータをいう。
  11. LGWAN 接続系
    LGWAN(総合行政ネットワーク)に接続された情報システム及びその情報システムで取り扱うデータをいう(マイナンバー利用事務系を除く。)。 
  12. インターネット接続系
    インターネットメール、ホームページ管理システム等のインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。 
  13. 通信経路の分割
    LGWAN 接続系とインターネット接続系の両環境間の通信環境を分割した上で、安全が確保された通信だけを許可できるようにすること。
  14. 無害化通信
    インターネットメール本文のテキスト化や端末への画面転送等により、不正プログラムが侵入せず、安全が確保された通信のこと。
  15. 都区市町村情報セキュリティクラウド
    東京都及び都内市区町村が情報セキュリティの確保のため、共同利用による高度なセキュリティ対策を実施するもの。
  16. 外部サービス
    事業者等の庁外の組織が情報システムの一部又は全部の機能を提供するものをいう。ただし、当該機能において 市の情報が取り扱われる場合に限る。

1-4 適用範囲

本基本方針が対象とする情報資産及び対象範囲は次のとおりとする。

  1. 情報資産の範囲
    a ネットワーク、情報システム及びこれらに関する設備並びに電磁的・光学的記憶媒体など
    b ネットワーク及び情報システムで取り扱う情報
    c 文書(情報システムに関連するデータを入力するための文書、印刷した文書、仕様書、ネットワーク図、各種レセプト類なども含む。)
  2. 対象範囲
    上記1で規定された情報資産を取り扱う全ての者(以下「対象者」という。)とする。

2 遵守義務

対象者は、その取り扱いに細心の注意を払うとともに、次の事項を遵守しなければならない。

  1. 職員の遵守事項
    職員は、情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。
  2. 職員以外の者の遵守事項
    職員以外で市の情報資産を取り扱うことが認められた者は、その取り扱いについて職員の指示に従わなければならない。

3 情報セキュリティ対策

脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。

  1. 組織体制
    本市の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確立する。
  2. 情報資産の分類と管理
    本市の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。
  3. 情報システム全体の強靭性の向上
    情報セキュリティの強化を目的とし、業務の効率性・利便性の観点を踏まえ、情報システム全体に対し、次の三段階の対策を講じる。
    a マイナンバー利用事務系においては、原則として、他の領域との通信をできないようにした上で、端末からの情報持ち出し制限や端末への多要素認証の導入等により、住民情報の流出を防ぐ。
    b LGWAN 接続系においては、LGWAN と接続する業務用システムと、インターネット接続系の情報システムとの通信経路を分割する。なお、両システム間で通信する場合には、無害化通信を実施する。
    c インターネット接続系においては、不正通信の監視機能の強化等の高度な情報セキュリティ対策を実施する。高度な情報セキュリティ対策として、東京都と市区町村のインターネットとの通信を集約した上で、都区市町村情報セキュリティクラウドの導入を実施する。 
  4. 物理的セキュリティ
    文書、サーバ、情報システム、通信回線、パソコン等の管理について、物理的な対策を講じる。
  5. 人的セキュリティ
    情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。
  6. 技術的セキュリティ
    コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。
  7. 運用
    情報システムの監視、情報セキュリティポリシーの遵守状況の確認、業務委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じるものとする。また、情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適正に対応するため、緊急時対応計画を策定する。
  8. 業務委託と外部サービスの利用
    業務委託する場合には、情報セキュリティ要件を明記した契約を締結し、委託事業者において必要なセキュリティ対策が確保されていることを確認する。また、外部サービスを利用する場合には、利用に係る規定を整備し対策を講じる。

4 情報セキュリティ監査及び自己点検の実施

情報セキュリティ対策を継続的に向上させるため、定期的または必要に応じて情報セキュリティ監査及び自己点検を実施する。

5 情報セキュリティポリシーの見直し

情報セキュリティ監査の結果及び情報セキュリティに関する状況の変化などにより、改善すべき事項が判明した際には、速やかに情報セキュリティポリシーを見直す。

このページに掲載されている情報のお問い合わせ先

総合経営部デジタル推進課(情報管理担当)
八王子市元本郷町三丁目24番1号
電話:042-620-7444 
ファックス:042-627-5939

お問い合わせメールフォーム