「むつ市情報セキュリティポリシー」を改訂しました（令和７年度）

　市の情報資産を保護し、市民の皆様が安心して行政サービスを利用できるよう、「むつ市情報セキュリティポリシー」を改訂しました。
　現代社会において、情報通信ネットワークやシステムの利用は不可欠ですが、同時に個人情報漏えい、不正アクセス、サイバー攻撃、操作ミス、自然災害、さらには感染症による機能不全など、多様な脅威に常に晒されています。
　市では、市民の皆様の大切な個人情報や行政運営上の重要な情報を多数取り扱っています。これらの情報資産をあらゆる脅威から守ることは、市民の皆様の権利と利益を確実に保護し、市の行政サービスを安定かつ継続的に提供していく上で不可欠です。
　この改訂は、最新の脅威に対応し、より強固な情報セキュリティ体制を確立するためのものです。今後も情報セキュリティ対策を徹底し、市民の皆様からの信頼に応えてまいります。

情報セキュリティポリシー第５版概要

１　情報資産とは

情報資産とは、業務を実施するのに必要な情報およびそれを扱う情報システムをいう。

２　組織体制

【組織図】

３　情報資産の分類と管理

(1)　情報資産の分類
　情報資産をその内容に応じて分類し、 その重要度に応じた情報セキュリティ対策を行う。
　※改訂内容：機密性３→自治体機密性３（A～C）に細分化
(2)　管理台帳の作成
　漏えいや改ざん、紛失、盗難、破壊などの脅威から守るべき情報資産を職場ごとに洗い出し、台帳に記載する。管理台帳は、情報セキュリティ対策の核となるもので、情報資産の状況を常に反映させる必要があるため、随時更新しなけれならない。
(3)　コピーした情報の扱い
　電子情報をコピーした情報も原本と同様、適切に管理しなければならない。
(4)　業務目的外の利用
　業務以外の目的による情報資産の利用は禁止する。
(5)　情報資産の保管
　一定の基準以上の情報資産は施錠可能な場所に保管する。
(6)　情報の送信
　個人情報等（機密性２以上）を電子メール等により外部に送信する場合は、必要に応じパスワード等による暗号化を行わなければならない。
(7)　情報資産の運搬
　情報資産（機密性２以上）を運搬する場合は、情報セキュリティ管理者の許可を受け、鍵付きのケース等に入れ、暗号化又はパスワードの設定を行う。
(8)　電磁的記録媒体の廃棄
　電磁的記録媒体および文書等が不要になった場合は、物理的に破壊するなど、情報を復元できないようにしたうえで廃棄しなければならない。

４　人的セキュリティ

(1)　情報セキュリティポリシーとは
　組織の中にある情報資産を、様々な脅威から守るための規約を文書化したものが情報セキュリティポリシーという。
(2)　パソコン、モバイル端末等の持ち出し
　パソコン、モバイル端末等を外部へ持ち出す場合は、所属長（情報性セキュリティ管理者）の許可を得て、記録を作成すること 。
    また、安全管理措置に関する規定を遵守しなければならない。
(3)　支給以外のパソコン、モバイル端末等の業務利用
　支給以外のパソコンやモバイル端末等を業務に利用してはならない。
    ただし、CISOの判断、総務部長（統括情報セキュリティ責任者）の定める実施手順に従い、所属長の許可を得て利用することは可能。
(4)　USBメモリ等の利用制限
　USBメモリ等の電磁的記録媒体による情報持ち出しができないように設定しなければならない。
(5)　離席時の対応
　離席時にはパソコンやモバイル端末をロックしなければならない。
(6)　事故等の報告
　情報セキュリティに関する事故、システム上の欠陥および誤動作を発見した場合は、速やかに情報セキュリティ管理者に報告する。
(7)　パスワードの取り扱い
　パスワードは秘密にし、照会等には一切応じてはいけない。

５　技術的セキュリティ

(1)　業務目的外の利用
　業務以外の電子メール送信を禁止する。
(2)　複数人に同時送信する場合
　必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにしなければならない。
(3)　誤送信した場合
　電子メールを誤送信した場合は、情報セキュリティ管理者に報告する。
(4)　無許可ソフトウエアの利用
　業務上必要がある場合は、統括情報セキュリティ責任者および情報システム管理者の許可を得て、利用することができる。
(5)　不正コピーの禁止
　ソフトウエアの不正コピーは違法行為であり、一切認められない。
(6)　パソコン、モバイル端末等の接続制限
　パソコン、モバイル端末等を、情報システム管理者によって定められたネットワークと異なるネットワークに接続してはならない。
　また、端末の電源起動時のパスワード（BIOSパスワード、ハードディスクパスワード等）を併用しなければならない。
(7)　機器構成の変更制限
    パソコンやモバイル端末に対し機器の改造および増設・交換を行ってはならない。
(8)　業務目的外の利用
　業務以外の目的で、Web閲覧を行ってはいけない 。
(9)　コンピュータウイルス対策
　コンピュータウイルスが含まれている可能性がある場合は、添付ファイルを開かずに削除する。　明らかに本市を攻撃対象とする標的型攻撃メール等であると判断できた場合は、速やかに情報セキュリティ管理者に報告する。
　コンピュータウイルスの感染が疑われる場合は、LANケーブルの即時取り外し又は無線機能の無効化を行う。
(11)　不正アクセス対策
　内部端末からの庁内サーバ等に対する攻撃や外部サイトへの攻撃を監視し、発見した場合は、当該端末の配置する情報セキュリティ管理者に通知し、適正な処理を求める。
(12)　クラウドサービスの利用に対する対応
　リスクアセスメントの結果を踏まえ、Web会議等の目的で、LGWAN接続系の業務端末からインターネット経由で、特定のクラウドサービスを安全に利用するための対策を講じる。

６　運用

　職員がポリシーに違反した場合、地方公務員法およびむつ市職員の懲戒処分の基準に関する要綱等に基づき、懲戒処分の対象となる。

７　業務委託と外部サービスの利用

　業務委託を行う場合には、委託事業者を選定し、情報セキュリティ要件を明記した契約を締結し、委託事業者において必要なセキュリティ対策が確保されていることを確認し、必要に応じて契約に基づき措置を講じる。
　また、委託事業者に実施させるセキュリティ対策の定期的な確認や、業務委託契約時、委託実施期間中および終了後について、地方公共団体が講じるべき措置や委託事業者に求めるべき対策を規定する。
　約款による外部サービス、クラウドサービスを利用する場合には、利用にかかる規定を整備し対策を講じる。ソーシャルメディアサービスを利用する場合には、ソーシャルメディアサービスの運用手順を定め、ソーシャルメディアサービスで発信できる情報を規定し、利用するソーシャルメディアサービスごとの責任者を定める。

８　評価・見直し

　情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査および自己点検を実施し、運用改善を行い、情報セキュリティの向上を図る。
  情報セキュリティポリシーの見直しが必要な場合は、適宜情報セキュリティポリシーの見直しを行う。

９　情報セキュリティ監査および自己点検の実施

　情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査および自己点検を実施する。

10　情報セキュリティポリシーの見直し

　情報セキュリティ監査および自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合および情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、 情報セキュリティポリシーを見直す。

11　情報セキュリティ対策基準の策定

　上記に規定する対策等を実施するために、具体的な遵守事項および判断基準等を定める情報セキュリティ対策基準を策定する。

12　情報セキュリティ実施手順の策定

　情報セキュリティ対策基準に基づき、 情報セキュリティ対策を実施するための具体的な手 順を定めた情報セキュリティ実施手順を策定する。

 

関連資料

基本方針宣言(72KB)

むつ市情報セキュリティポリシー第５版(696KB)

むつ市CSIRT設置要綱(118KB)

CSIRT体制図(474KB)