直方市国税連携ネットワークシステムのセキュリティ対策に関する要綱

○直方市国税連携ネットワークシステムのセキュリティ対策に関する要綱

平成28年1月29日

告示第13号

第1章　総則(第1条・第2条)

第2章　セキュリティ組織(第3条―第6条)

第3章　アクセス管理(第7条―第19条)

第4章　情報資産管理(第20条―第22条)

第5章　委託管理(第23条―第25条)

附則

第1章　総則

(趣旨)

第1条　この要綱は、本市における国税連携ネットワークシステムのセキュリティ対策(以下「セキュリティ対策」という。)を総合的に実施するため、必要な事項を定めるものとする。

(定義)

第2条　この要綱において使用する用語の定義は、電気通信回線その他の電気通信設備に関する技術基準及び情報通信の技術の利用における安全性及び信頼性を確保するために必要な事項に関する基準(平成25年5月総務省告示第206号。以下「通信基準」という。)で使用する用語の例による。

第2章　セキュリティ組織

(セキュリティ統括責任者)

第3条　市長は、セキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。

2　セキュリティ統括責任者は、情報管理担当部長をもって充てる。

(システム管理者)

第4条　国税連携ネットワークシステムの適切な管理を行うため、システム管理者を置く。

2　システム管理者は、情報管理担当課長をもって充てる。

(セキュリティ責任者)

第5条　国税連携ネットワークシステムを利用する税務担当課においてセキュリティ対策を実施するため、セキュリティ責任者を置く。

2　セキュリティ責任者は、税務担当課長をもって充てる。

(セキュリティ会議)

第6条　セキュリティ対策の実施に関し必要な事項を審議するために、セキュリティ会議を設置する。

2　セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。

(1)　システム管理者

(2)　セキュリティ責任者

(3)　情報管理担当係長

3　セキュリティ会議は、次に掲げる事項を所掌する。

(1)　セキュリティ対策の決定及び見直しに関すること。

(2)　セキュリティ対策の遵守状況の確認に関すること。

(3)　第3章第16条に定める緊急時の対応

(4)　セキュリティ対策の教育及び研修の実施

4　セキュリティ会議の会議は、セキュリティ統括責任者が招集するとともに、議長を努める。

5　議長は、必要があると認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。

6　セキュリティ会議の庶務は、税務担当課において処理する。

第3章　アクセス管理

(アクセス管理を行う機器)

第7条　次に掲げる国税連携ネットワークシステムの構成機器について、アクセス管理を行う。

(1)　サーバ

(2)　業務端末

2　前項のアクセス管理は、パスワードの入力により前項の機器の操作をする者(以下「操作者」という。)の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。

(アクセス管理責任者)

第8条　前条のアクセス管理を実施するため、アクセス管理責任者を置く。

2　アクセス管理責任者は、情報管理担当課長をもって充てる。

(パスワードの管理)

第9条　アクセス管理責任者は、次に掲げる事務を行うものとする。

(1)　パスワードの管理の方法を定めること。

(2)　国税連携ネットワークシステムに係る構成機器のオペレーティングシステムについて必要なセキュリティ対策に関すること。

(操作者の責務)

第10条　操作者は、前条第1号の規定によりアクセス管理責任者が定めるパスワードの管理方法を遵守しなければならない。

(不正アクセスの脅威度)

第11条　国税連携ネットワークシステムのセキュリティを侵犯する不正行為の脅威度については、次の表のとおりとする。


脅威度	事象	事例
レベル1	税務情報に脅威を及ぼすおそれのない事象	国税連携ネットワークシステムに直接関係のない備品のある場所への無権限者の侵入
レベル2	税務情報に脅威を及ぼすおそれの低い事象	(1)　国税連携ネットワークシステムに直接関係のない備品のある場所への無権限者の侵入 (2)　ファイアウォールを通過しなかった不正アクセス (3)　ウイルス対策ソフトによるコンピュータウイルス等の検出
レベル3	税務情報に脅威を及ぼすおそれの高い事象	(1)　税務情報が記録されている記憶媒体、本人確認情報を保護するうえで重要なソフトウェア、ドキュメント等のある場所への無権限者の侵入 (2)　ファイアウォールを通過した不正アクセス (3)　業務端末等の不審な操作の検出 (4)　コンピュータウイルス等の侵入によるシステムの異常動作 (5)　税務情報保護に関する重大な脆弱性の発見

(状況の把握)

第12条　システム管理者、アクセス管理責任者又はその権限の委任を受けた者(以下「システム管理者等」という。)は、前条で定める不正行為の脅威度がレベル2又はレベル3に該当する可能性が高いと認めたときは、福岡県の国税連携ネットワークシステム担当部署に通報し、かつ、地方税法施行規則(昭和29年総理府令第23号)第2条の4に規定する総務大臣に指定された法人(以下「指定法人」という。)においても状況の把握を行うよう要請しなければならない。

(緊急対応策の実施)

第13条　システム管理者等は、次に定める緊急措置を実施しなければならない。

(1)　指定法人、関係する都道府県の国税連携ネットワークシステム担当部署、ベンダー等(以下「関係機関等」という。)の協力の下で緊急措置の実施を行うこと。

(2)　不正行為の脅威度がレベル3に該当する可能性が高い場合は、必要に応じて、システムの停止(一部切離し又は一部停止を含む。)等緊急措置を行うこと。

(3)　指定法人、他の地方公共団体等が緊急措置を講ずる必要がある場合は、当該団体に緊急措置の実施を要請する。

(不正行為の脅威度の判定)

第14条　システム管理者等は、関係機関等の協力の下で、当該事象の脅威度を判定しなければならない。

(緊急対応時のセキュリティ会議の開催)

第15条　システム管理者は、不正行為の脅威度がレベル2又はレベル3に該当する場合、住民サービスに対する影響や広報の必要性が生じる可能性が高いこと等を踏まえ、必要に応じてセキュリティ統括責任者又はその委任を受けた者にセキュリティ会議の開催を求めなければならない。

2　セキュリティ会議は、システムの停止(一部切離し及び一部停止を含む。)による住民への対応、広報等の重要事項について決定を行う。ただし、緊急を要する場合はこの限りでない。

3　セキュリティ会議の開催は、原因解明作業や対応策の実施作業と並行して、随時行う。

(市長への報告)

第16条　前条のセキュリティ会議により決定した事項について、セキュリティ統括責任者は、決定事項を市長へ報告しなければならない。

(システムの停止)

第17条　市長は、セキュリティ統括責任者の報告を踏まえ、市民の個人情報の漏えいのおそれがある、又は保護が不適切であると判断したときは、国税連携ネットワークシステムの停止を行うことができるものとする。

(原因の解明)

第18条　システム管理者等は、必要に応じて、関係機関等と協力し、収集したログ等により、原因を解明しなければならない。

(緊急措置の見直し及び関係機関への連絡)

第19条　システム管理者等は、前条の規定により解明した原因等に基づき、次の対応を行わなければならない。

(1)　既に実施した緊急措置を見直し、必要に応じてシステム復旧等を行うこと。

(2)　指定法人、関係する都道府県の国税連携ネットワークシステム担当部署、関係する市区町村の国税連携ネットワーク担当部署に連絡する。

第4章　情報資産管理

(情報資産管理)

第20条　市長は、国税連携ネットワークシステムの情報資産(国税連携ネットワークシステムに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び記憶媒体をいう。以下同じ。)を適正に管理するため管理責任者を置く。

2　情報資産のうち、税務情報及び当該税務情報が記録された帳票の管理者(以下「税務情報管理責任者」という。)は、税務担当課長をもって充てる。

3　情報資産のうち、税務情報及び当該税務情報が記録された帳票以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、情報管理担当課長をもって充てる。

(税務情報に係る管理責任者)

第21条　税務情報管理責任者は、当該税務情報を取り扱うことができる者を指定するものとする。

2　税務情報管理責任者は、税務情報の漏えい、滅失及び毀損の防止その他の税務情報の適切な管理のための必要な措置をとらなければならない。

3　税務情報管理責任者は、税務情報が記録された帳票の管理の方法を定めなければならない。

(その他の情報資産管理責任者)

第22条　税務情報に係る情報資産以外の情報資産の管理責任者は、当該情報資産の管理の方法(操作者の指定を含む。)を定めるものとする。

2　前項の管理責任者は、税務担当課長と協議して、国税連携ネットワークシステムのオペレーション計画を定めるものとする。

第5章　委託管理

(委託を受けようとする者の管理体制等の調査)

第23条　国税連携ネットワークシステムを管理又は利用する税務の担当部長は、国税連携ネットワークシステムを外部委託しようとするときは、あらかじめ、委託しようとする者における情報の保護に関する管理体制について調査しなければならない。

(委託契約書への記載事項)

第24条　外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。

(1)　情報が記録された資料の保管、返還及び破棄に関する事項

(2)　情報が記録された資料の目的外使用及び複製並びに複写及び第三者への提供の禁止に関する事項

(3)　情報の秘密の保持に関する事項

(4)　事故等の報告に関する事項

(5)　国税ネットワークシステムに係る事務の実施に必要な電気通信回線その他電気通信設備を有し、通信基準と同様のセキュリティ対策を実施する事項

(6)　国税ネットワークシステムに係る業務のほか、電子申告の審査サーバの運営又は年金特徴に係る特別徴収業務を行う場合には、当該業務についての通信基準と同様のセキュリティ対策の実施に関する事項

(7)　再委託を行う場合には、事前申請及び承認を求める事項

(8)　前各号に定めるもののほか、市長が定める事項

(受託者の管理状況の調査)

第25条　システム管理者は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。

附則

この告示は、公布の日から施行し、平成28年1月1日から適用する。