第１条　この規程は、「住民基本台帳法（昭和42年法律第81号）」及び「電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準（平成14年総務省告示第334号）」に基づき、住民基本台帳ネットワークシステムの運用に係る責任体制を明確にするとともに、本人確認情報等の安全を確保するために必要となる事項を定めることを目的とする。

第２条　住民基本台帳ネットワークシステムのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。

２　セキュリティ統括責任者は、副町長をもって充てる。

第３条　住民基本台帳ネットワークシステムの総合的な管理を適切に行うため、システム管理者を置く。

２　システム管理者は、次の各号に掲げる事務を統括する。

(１)　入退室管理

(２)　アクセス管理

(３)　緊急時対応

(４)　情報資産管理

(５)　その他セキュリティ統括責任者が必要と認める事項

３　この規程のほか前項の事務に関し必要な事項については、別に定める。

４　システム管理者は、町民課長をもって充てる。

第４条　住民基本台帳ネットワークシステムを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。

２　セキュリティ責任者は、保健福祉グループ主幹又は主査（福祉住民担当）をもって充てる。

第５条　セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。

２　セキュリティ会議は、セキュリティ統括責任者のほか、次の各号に掲げる者をもって組織する。

(１)　システム管理者

(２)　セキュリティ責任者

(３)　その他セキュリティ統括責任者が必要と認める者

３　セキュリティ会議は、住民基本台帳ネットワークシステムの運用上、特に重要なものとして、次の各号に掲げる事項を審議する。

(１)　セキュリティ対策

(２)　緊急時計画に基づく対策

(３)　監査及び教育・研修

(４)　その他必要な事項

４　議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができるものとする。

５　セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部局の長に対し必要な措置を講ずるよう指示することができるものとする。

第６条　セキュリティ会議の事務局は、町民課に置く。

第７条　システム管理者は、次の各号に掲げる住民基本台帳ネットワークシステムの運用が行われる室の区分に応じ、当該各号に定める入退室の管理を行うものとする。

(１)　住民基本台帳ネットワークシステムのデータ、セキュリティ情報等の保管室及びサーバ、ネットワーク機器の設置室　入退室を行う場合には、システム管理者から事前に許可を得ている者のみが入退室を行い、その都度、システム管理者に申し出るとともに、入退室管理簿（別記第１号様式）にその旨記載するものとする。また、入退室者識別のため、入退室に当たっては、名札を着用するものとする。

(２)　業務端末の設置室　入退室を行う場合には、システム管理者から事前に許可を得た者のみが入退室を行い、識別を行うために、名札を着用するものとする。

第８条　セキュリティ統括責任者及びシステム管理者は、入退室の管理状況を把握するため、システム責任者等から報告を聴取し、又は調査を行い、関係部局の長に必要な措置を講ずるよう指示することができるものとする。

第９条　システム管理者は、次に掲げる住民基本台帳ネットワークシステムの構成機器（以下「サーバ等」という。）について、アクセス管理を行うものとする。

(１)　サーバ

(２)　業務端末

(３)　住民基本台帳カード発行端末

第10条　前条のアクセス管理は、サーバ等の操作を行う者（以下「操作者」をいう。）が使用する操作者用ＩＣカード（以下「ＩＣカード」という。）及びパスワードにより操作者の個人認証を行うこと並びにその操作履歴を記録することにより行うものとする。

第11条　操作者は、この規程に定めるＩＣカード及びパスワードの管理方法を遵守しなければならない。

第12条　セキュリティ責任者は、ＩＣカードを必要とする場合には、ＩＣカード貸与申出書（別記第２号様式）により、ＩＣカードの貸与をシステム管理者に申し出るものとする。

２　システム管理者は、ＩＣカード貸与申出書の提出を受けたときは、当該申出理由にある業務が住民基本台帳法に規定する業務であるかどうかについて検討の上、適当であると認める場合には、ＩＣカード貸与通知書（別記第３号様式）によりセキュリティ責任者に対し通知するとともに、セキュリティ責任者を通じ操作者にＩＣカードを貸与し、ＩＣカード管理簿（総括）（別記第４号様式その１）にその旨記載するものとする。

３　セキュリティ責任者は、操作者にＩＣカードを貸与した場合には、ＩＣカード受領書（別記第５号様式）を徴し、システム管理者に提出するとともに、ＩＣカード管理簿（セキュリティ責任者用）（別記第４号様式その２）に受領した旨記載するものとする。

第13条　操作者は、ＩＣカードを紛失又は盗難等にあわないよう、責任をもって管理するものとし、またＩＣカードの他者への貸与及び申出の業務の目的以外の利用を行ってはならない。

２　セキュリティ責任者は、操作者のＩＣカードの管理状況をＩＣカード管理簿（セキュリティ責任者用）等により常に把握するとともに、その利用状況について定期的に確認するものとする。

第14条　サーバ等及びＩＣカードのパスワードの設定又は変更を行う場合には、システム管理者が立会いの上、外部に漏えいしないように十分に配慮し、操作者本人が行うものとする。

２　前項において設定又は変更を行うパスワードを、当該サーバ等又はＩＣカード内以外の場所に保存しないものとする。

第15条　パスワードの有効期間は最長１年とする。

２　操作者が設定又は変更するパスワードは、アルファベットの大文字・小文字、数字及び記号の３種類以上を使用した８文字以上の組み合わせとし、他者に容易に推測されるような規則性のあるもの又は特定のものを用いないものとする。また、システム管理者は操作者に１年を超えない期間において、必要に応じパスワードを変更させることができるものとする。

３　システム管理者及び操作者は、パスワードが外部に漏えいすることがないよう責任を持って管理するものとする。

４　セキュリティ責任者は、パスワードが外部に漏えいしないように、定期的に状況を確認するものとする。

第16条　操作者は、ＩＣカードを紛失、盗難、汚損及び破損（以下「紛失等」という。）した場合は、直ちにセキュリティ責任者に報告しなければならない。

２　セキュリティ責任者は、前項の報告を受けたときは、速やかにＩＣカード紛失等報告書（別記第６号様式）によりシステム管理者に報告しなければならない。

３　システム管理者は、セキュリティ責任者から前項の報告を受けたときは、直ちに当該ＩＣカードを廃止するものとする。

第17条　セキュリティ責任者は、操作者が前条の規定により、ＩＣカードを紛失等した場合には、必要に応じＩＣカード再貸与申出書（別記第７号様式）によりＩＣカードの再貸与の申出を行うものとする。

２　システム管理者は、セキュリティ責任者から前項の申出を受けたときは、第12条第２項及び第３項に準じ、ＩＣカードを再貸与するとともに、その旨ＩＣカード管理簿（総括）に記載するものとする。

３　セキュリティ責任者は、前２項により、再貸与の申出及び再貸与を受けたときは、それぞれその旨ＩＣカード管理簿（セキュリティ責任者用）に記載するものとする。

第18条　セキュリティ責任者は、操作者の退職、人事異動等に際しては、操作者からＩＣカードを速やかにかつ確実に回収するものとする。

２　セキュリティ責任者は、前項により回収したＩＣカードを、ＩＣカード返還届（別記第８号様式）に添えて速やかにシステム管理者に返還するとともに、ＩＣカード管理簿（セキュリティ責任者用）にその旨記載するものとする。

３　システム管理者は、前項によりＩＣカードの返還を受けたときは、ＩＣカード管理簿（総括）にその旨記載するものとする。

第19条　操作者は、ＩＣカードを使用するときには、必ずＩＣカード使用簿（別記第９号様式）に記録するものとする。

第20条　システム管理者は、サーバ本体に蓄積される住民基本台帳ネットワークシステムの操作履歴を、サーバ本体から、記録媒体に定期的に記録し、７年間保存するものとする。

２　前条のＩＣカード使用簿及び前項の操作履歴については、定期的な監査に提出するものとする。

第21条　システム管理者は、この規程に定めるもののほか、アクセス管理において必要な事項について、システム担当者を指定して行わせることができるものとする。

第22条　この規程に定めるもののほか、アクセス管理に関し、必要な事項については、システム管理者が別に定めるものとし、セキュリティ責任者に対し、その都度通知するものとする。

第23条　セキュリティ管理者は、住民基本台帳ネットワークシステムを構成するハードウェア、ソフトウェア及びネットワーク等の障害並びに不正行為等による本人確認情報等に対する脅威の発生に対応するため、緊急時対応計画を策定するものとする。

２　前項の計画の策定に当たっては、第５条の規定に基づき招集されるセキュリティ会議において承認を得なければならない。

３　第１項の計画のほか、緊急時における体制の整備に必要な事項は、システム管理者が別に定める。

第24条　システム管理者は、情報資産を設置する建物及び室に関する環境について、必要な措置を講じるものとする。

第25条　システム管理者は、情報資産について、次に掲げる区分に応じ、別に定めるところにより、適切な管理を行うものとする。

(１)　本人確認情報

(２)　出力帳票

(３)　操作者用ＩＣカード

(４)　ハードウェア

(５)　ソフトウェア

(６)　その他の情報資産

第26条　システム管理者は、外部委託により、庁舎外にサーバ等の機器を設置する場合には、受託者に対して幌延町における管理と同等の管理を実施させるものとする。

第27条　システム管理者は、住民基本台帳ネットワークシステムに係る業務を外部委託しようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。

第28条　外部委託に係る契約書には、次の各号に掲げる事項を記載するものとする。

(１)　情報の秘密保持に関する事項

(２)　関係法令及び関係規程等の遵守に関する事項

(３)　再委託の禁止又は制限に関する事項

(４)　損害賠償責任に関する事項

(５)　情報資産の物理的保護に関する事項

(６)　情報が記録された資料の管理に関する事項

(７)　入退室管理に関する事項

(８)　事故等の報告に関する事項

(９)　情報の保護に対する意識の啓発及び教育に関する事項

２　システム管理者は、委託契約を締結する際に、受託者に対し、秘密保持等に関する誓約書を提出させるものとする。

第29条　システム管理者は、障害時や緊急時等に備え、受託者との連絡体制を構築するものとする。

第30条　システム管理者は、外部委託に係るセキュリティ対策の実施状況について、定期的に調査するものとする。