庄原市情報セキュリティ基本方針

庄原市情報セキュリティ基本方針（令和8年4月1日版）

（目的）

第１条　この訓令は、市が保有する情報資産の機密性（許可された者のみが情報にアクセスできることを確実にすることをいう。以下同じ。）、完全性（情報並びに処理方法の精度及び完全さ（抜け、漏れのないこと）を確保することをいう。以下同じ。）及び可用性（許可された使用者が必要なときに情報及び関連する資産にアクセスできることを確実にすることをいう。以下同じ。）を確保するため、情報資産の取扱い及び情報セキュリティ対策の基本的な考え方並びに方策（以下「基本方針」という。）を定め、本市における情報資産の管理を徹底することを目的とする。

（用語の定義）

第２条　この基本方針において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(１)　電子計算処理組織　コンピュータのハードウェア及びソフトウェア、ネットワーク、記録媒体、周辺機器、設備等で構成されるものであって、これら全体で業務処理を行うための情報処理の総体をいう。

(２)　情報資産　電子計算処理組織の運用並びに開発において取扱う全ての情報をいう。なお、情報資産には紙等の有体物に出力された情報も含むものとする。

(３)　情報セキュリティ　情報資産の機密性を保持し、正確性及び完全性を維持し、並びに定められた範囲での利用可能な状態を維持することをいう。

(４)　セキュリティポリシー　この基本方針及び第９条に基づき策定する対策基準をいう。

（対象機関）

第３条　この基本方針は、市長、教育委員会、選挙管理委員会、監査委員、公平委員会、農業委員会、固定資産評価審査委員会、病院管理者及び議会を対象とする。

（職員等の義務）

第４条　市の保有する情報資産に関する業務に携わるすべての職員及び外部受託者（以下「職員等」という。）は、情報セキュリティの重要性について共通の認識を持つとともに、業務の遂行に当たっては、セキュリティポリシーを遵守する義務を負う。

（情報セキュリティ管理体制）

第５条　市の保有する情報資産について、情報セキュリティ対策を推進するため、庄原市情報マネジメント規則（平成17年庄原市規則第162号。以下「規則」という。）に基づく最高情報統括責任者を長とする管理体制を確立するものとする。

（情報資産の分類）

第６条　情報資産については、その重要度に応じて分類し、その重要度に応じた情報セキュリティ対策を行うものとする。

（情報資産への脅威）

第７条　情報資産に対する脅威の発生度合いや脅威が発生した場合の影響を考慮し、特に認識すべき脅威は次のとおりとする。

(１)　部外者による故意の不正アクセス又は不正操作によるデータやプログラムの持ち出し、盗聴、改ざん並びに消去及び機器並びに媒体の盗取等

(２)　職員等による意図しない誤操作、故意の不正アクセス又は不正操作によるデータやプログラムの持ち出しまたは持ち込み、盗聴、改ざん並びに消去及び機器並びに媒体の盗取、既定外の端末接続によるデータ漏えい、ウィルス感染等

(３)　地震、落雷、火災等の災害並びに事故、故障等によるサービス及び業務の停止

（情報セキュリティ対策）

第８条　前条に定める脅威から情報資産を保護するため、次のセキュリティ対策を講じるものとする。

(１)　物理的セキュリティ対策　電子計算処理組織を設置する施設への不正な立入りの防止及び情報資産を損傷、妨害等から保護するための物理的な対策

(２)　人的セキュリティ対策　情報セキュリティに関する権限や責任を定め、職員等に基本方針及び情報セキュリティに関する法令等の内容を周知徹底するなど、十分な教育及び啓発のため必要な対策

(３)　技術的及び運用におけるセキュリティ対策　コンピュータの管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策及び運用面の対策並びに緊急事態が発生した場合に迅速な対応を可能とするための危機管理対策

（対策基準の策定）

第９条　前条に定める情報セキュリティ対策を講じるに当たっては、遵守すべき行為、判断等の基準を統一的に定めるため、必要となる基本的な要件を明記した対策基準を策定するものとする。

２　対策基準は、公開することにより本市の行政運営に重大な支障を及ぼすおそれのある情報資産であることから非公開とする。

（実施手順の策定）

第10条　セキュリティポリシーを遵守して情報セキュリティ対策を実施するため、個々の電子計算処理組織について具体的な手順を明記した実施手順を策定するものとする。

２　実施手順は、公開することにより本市の行政運営に重大な支障を及ぼす恐れのある情報資産であることから非公開とする。

（情報セキュリティ監査及び自己点検の実施）

第11条　規則第17条第２項の規定により、セキュリティポリシーが遵守されていることを検証するため、定期的に又は必要に応じて情報セキュリティ監査及び自己点検を実施するものとする。

（評価及び見直し）

第12条　最高情報統括責任者は、規則第５条に規定する庄原市情報マネジメント監督会議において前条の情報セキュリティ監査の実施による検証及び自己点検の結果並びに情報セキュリティを取り巻く状況の変化に対応するため、セキュリティポリシー及び実施手順の見直しを適宜行うこととする。