横浜市教育委員会情報セキュリティ管理規程

○横浜市教育委員会情報セキュリティ管理規程

令和5年3月31日

教委達第4号

横浜市教育委員会情報セキュリティ管理規程を次のように定める。

横浜市教育委員会情報セキュリティ管理規程(平成17年8月横浜市教育委員会達第6号)の全部を改正する。

(目的)

第1条　この規程は、横浜市教育委員会(以下「教育委員会」という。)の保有する情報資産の取扱いに関し措置すべき事項を定めることにより、当該情報資産に対して機密性、完全性及び可用性の維持を図ること並びに当該情報資産の適正な運用による行政の信頼性の確保を図ることを目的とする。

(定義)

第2条　この規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1)　課等　横浜市教育委員会事務局事務分掌規則(平成22年3月横浜市教育委員会規則第11号)第1条に規定する課及び室、横浜市立学校条例(昭和39年3月横浜市条例第19号)別表に規定する小学校、中学校、義務教育学校、高等学校及び特別支援学校、横浜市立図書館規則(平成6年1月横浜市教育委員会規則第1号)第36条に規定する課並びに横浜市立図書館条例(昭和39年3月横浜市条例第49号)第1条に規定する市立図書館(横浜市中央図書館及び横浜市山内図書館を除く。)をいう。

(2)　情報システム　ある目的を達成するためのハードウェア、ソフトウェア、ネットワーク等により構築する電子計算機処理の環境をいう。

(3)　行政文書　横浜市教育委員会行政文書管理規則(平成12年3月横浜市教育委員会規則第8号)第2条第1項及び横浜市立学校行政文書管理規則(平成12年6月横浜市教育委員会規則第12号)第2条第1項に規定する行政文書をいう。

(4)　システム関連文書　情報システムの開発及び運用に用いる行政文書をいう。

(5)　データ　情報システムで扱う電磁的記録(電子的方式、磁気的方式、その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。)をいう。

(6)　記録媒体　データを記録した磁気ディスク、磁気テープその他の媒体をいう。

(7)　個人情報　個人情報の保護に関する法律(平成15年法律第57号)第2条第1項に規定する個人情報をいう。

(8)　特定個人情報　行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第8項に規定する特定個人情報をいう。

(9)　情報資産　課等が保有し、又は外部委託する情報システム、システム関連文書、情報システム利用時の認証に関する情報、データ及び記録媒体並びに個人情報及び特定個人情報を含む行政文書をいう。

(10)　機密性　情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。

(11)　完全性　情報が破壊され、改ざんされ又は消去されていない状態を確保することをいう。

(12)　可用性　情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。

(13)　情報セキュリティ　情報資産の機密性、完全性及び可用性を維持することをいう。

(14)　情報セキュリティ対策　情報セキュリティの実現を目的として実施する対策をいう。

(15)　職員　地方公務員法(昭和25年法律第261号)第3条に規定する一般職及び特別職の職員のうち、情報資産を使用する職員をいう。

(16)　横浜市教育委員会情報セキュリティポリシー　横浜市教育委員会情報セキュリティ管理規程、横浜市教育委員会情報セキュリティ管理要綱及び横浜市教育委員会情報セキュリティ対策共通実施手順からなる、情報セキュリティに関する規程類の総称をいう。

(17)　情報セキュリティ事故　情報資産の盗難、漏えい、改ざん、破壊等の機密性、完全性及び可用性が脅かされる事象をいう。

(基本理念)

第3条　教育委員会は、保有する情報資産が、市民の安全と福祉の向上に資することを目的として市民から管理を負託されたものであることを基本認識とし、この市民の信頼に応えられるよう全力を挙げて適正に保護及び管理するものとする。

(対象とする脅威)

第4条　情報資産に対する脅威として、次に掲げる脅威を想定した、情報セキュリティ対策を実施する。

(1)　不正アクセス、ウイルス攻撃及びサービス不能攻撃等のサイバー攻撃並びに部外者の侵入、内部不正等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取等

(2)　情報資産の無断持出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等

(3)　地震、落雷、火災等の災害による情報資産の損壊及び滅失並びにサービス及び業務の停止等

(4)　大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等

(5)　電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等

(職員の責務)

第5条　職員は、第3条に定める基本理念及び情報セキュリティの重要性について認識し、情報資産を適切に取り扱わなければならない。

2　職員は、情報資産の取扱いに当たっては、次に掲げる法令等を遵守しなければならない。

(1)　不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

(2)　著作権法(昭和45年法律第48号)

(3)　個人情報の保護に関する法律

(4)　横浜市個人情報の保護に関する条例(令和4年12月横浜市条例第38号)

(5)　行政手続における特定の個人を識別するための番号の利用等に関する法律

(6)　横浜市行政手続における特定の個人を識別するための番号の利用等に関する法律の施行に関する条例(平成27年9月横浜市条例第52号)

(7)　サイバーセキュリティ基本法(平成26年法律第104号)

(組織体制)

第6条　第4条の脅威から情報資産を保護するため、教育委員会に情報セキュリティ総括責任者、情報セキュリティ運用責任者、情報セキュリティ担当者及び情報資産管理者を置き、情報セキュリティ対策を推進する。

2　情報セキュリティ総括責任者は、教育長をもって充て、情報セキュリティ運用責任者及び情報セキュリティ担当者を総括し、これらの者に対し情報セキュリティに関する事項について指示及び指導を行い、横浜市最高情報統括責任者等設置規則(平成27年3月横浜市規則第36号)第5条に規定する最高情報セキュリティ責任者が設置する横浜市情報セキュリティ委員会において決定した事項について、教育委員会の情報セキュリティ対策を決定する。

3　情報セキュリティ運用責任者は、総務課長をもって充て、情報セキュリティ総括責任者を補佐するとともに、課等の職員への情報セキュリティ対策の実施の徹底を図るため、情報セキュリティ担当者に対し情報セキュリティ対策に係る指示及び指導を行う。

4　情報セキュリティ担当者は、課等の長をもって充て、取り扱う情報資産の情報資産管理者と密に連携して、課等内の情報セキュリティ対策を実施するとともに、情報資産を利用する課等の職員に対して指導及び監督を行う。

5　情報資産管理者は、別に定める情報資産の分類に応じた情報資産を主管する課等の長又は担当課長をもって充て、当該情報資産を利用する職員が所属する課等の情報セキュリティ担当者と密に連携して、当該情報資産の適正な維持管理を実施するとともに、当該情報資産を利用する職員に対して指導及び監督を行う。

(情報セキュリティ対策)

第7条　情報セキュリティ総括責任者は、次の各号に掲げる情報セキュリティ対策を実施する。

(1)　情報資産の機密性、完全性及び可用性に応じた分類並びに当該分類に基づく管理

(2)　情報システム全体の強靭性向上

(3)　物理的・人的・技術的における情報セキュリティ対策

(4)　横浜市教育委員会情報セキュリティポリシーの運用

(5)　情報セキュリティ事故発生時の対応

(6)　業務委託及び外部サービス利用時における情報セキュリティの確保

(情報セキュリティ監査及び自己点検の実施)

第8条　情報セキュリティ担当者は、前条の情報セキュリティ対策の実施状況を年1回及び必要に応じ監査及び自己点検し、問題がある場合には、速やかに是正しなければならない。

2　情報セキュリティ総括責任者は、課等の情報セキュリティ対策の実施状況を必要に応じ監査及び自己点検し、問題がある場合には、是正を命じることができる。

3　前2項に規定する監査は、客観性を確保するために、外部の専門的知識・見識を有する者の協力を得て実施することができる。

(横浜市教育委員会情報セキュリティポリシーの見直し)

第9条　情報セキュリティ総括責任者は、情報セキュリティ監査及び自己点検の結果並びに情報セキュリティに関する状況の変化等を踏まえ、横浜市教育委員会情報セキュリティポリシーを年1回及び必要に応じ見直さなければならない。

(例外措置)

第10条　情報セキュリティ担当者は、この規程を遵守することが困難な状況で、事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合には、情報セキュリティ総括責任者の許可を得て、例外措置をとることができる。

2　情報セキュリティ担当者は、事務の遂行に緊急を要する等の場合であって、前項に定める例外措置をとることが避けられないときは、前項の規定にかかわらず、情報セキュリティ総括責任者の許可を得ずに、例外措置をとることができる。

3　前項の規定により例外措置をとった場合、当該情報セキュリティ担当者は、速やかに情報セキュリティ総括責任者にその旨を報告しなければならない。

(委任)

第11条　この規程に定めるもののほか、この規程の施行に関し必要な事項は、情報セキュリティ総括責任者が定める。

附則

この達は、令和5年4月1日から施行する。

-2024.01.01作成-2024.01.01内容現在
例規の内容についてのお問合せ先：各担当局課
担当局課が不明な場合及び例規集の利用方法についてのお問合せ先：
総務局総務部法制課TEL 045-671-2093 E-mail so-reiki(at)city.yokohama.lg.jp
迷惑メール対策のため、メールアドレスの表記を一部変更しております。
メール送信の際は、(at)を@に置き換えてご利用ください。
(C) 2024 City of Yokohama. All rights reserved.