○三川町国税連携ネットワークシステムの管理運用に関する規程
平成23年11月1日
訓令第9号
(目的)
第1条 この規程は、本町における国税連携ネットワークシステム(以下「国税連携ネット」という。)の保守管理に必要な措置を講じ、当該システムの円滑かつ適正な運用と情報保護対策を図ることを目的とする。
(定義)
第2条 この規程において使用する用語の定義は、「電気通信回線その他の電気通信設備に関する技術基準及び情報通信の技術の利用における安全性及び信頼性を確保するために必要な事項に関する基準(平成22年総務省告示第284号)」(以下「国税連携ネット基準」という。)で使用する用語の例による。
(情報セキュリティ責任者)
第3条 町長は、国税連携ネットのセキュリティ対策を総合的に実施するため、情報セキュリティ責任者を置く。
2 情報セキュリティ責任者は、副町長をもって充てる。
(情報システム管理者)
第4条 本町における国税連携ネットに係る総合行政ネットワークの総括的な管理と情報保護を行うため、情報システム管理者を置く。
2 情報システム管理者は、企画調整課長をもって充てる。
(セキュリティ管理者)
第5条 国税連携ネットを利用する部署におけるセキュリティ対策を実施するため、セキュリティ管理者を置く。
2 セキュリティ管理者は、町民課長をもって充てる。
(セキュリティ会議)
第6条 情報セキュリティ責任者はセキュリティ会議を招集するとともに議長を務める。
2 セキュリティ会議は、情報セキュリティ責任者のほかに次に掲げる者をもって組織する。
(1) 情報システム管理者
(2) セキュリティ管理者
(3) 企画調整課職員
(4) 町民課職員
3 セキュリティ会議は、次に掲げる事項を所掌し、審議する。
(1) セキュリティ対策の決定及び見直し
(2) セキュリティ対策の遵守状況の確認
(3) 緊急時の対応
(4) セキュリティ対策の監査の実施
(5) セキュリティ対策の教育及び研修の実施
4 議長は、必要があると認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
5 セキュリティ会議の庶務は、町民課において処理する。
(アクセス管理)
第7条 次に掲げる国税連携ネットの構成機器である業務端末について、アクセス管理を行う。
2 前項のアクセス管理は、パスワードの入力により操作をする者(以下「操作者」という。)の正当な権限の確認と操作履歴を記録することにより行うものとする。
(アクセス管理責任者)
第8条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、町民課長をもって充てる。
(パスワードの管理)
第9条 アクセス管理責任者は、パスワードの管理に関し、次に掲げる事項を実施する。
(1) パスワードの管理の方法を定めること。
(2) 操作者の管理簿を作成すること。
(操作者の責務)
第10条 操作者は、前条第1号の規定により定めるパスワードの管理方法を遵守しなければならない。
(オペレーティングシステムの管理)
第11条 アクセス管理責任者は、アクセス管理を実施するほか、国税連携ネットに係る構成機器のオペレーティングシステムについて必要なセキュリティ対策を実施する。
(操作履歴の記録)
第12条 アクセス管理責任者は、操作履歴を、5年間さかのぼって解析できるよう、保管するものとする。
(不正アクセスの脅威度)
第13条 国税連携ネットのセキュリティを侵犯する不正行為の脅威度については、次の3区分とする。
(1) レベル1(税務情報に脅威を及ぼすおそれのない事象(事務室内への不正侵入))
(2) レベル2(税務情報に脅威を及ぼすおそれの低い事象(国税連携ネットに関係があるが、税務情報が記録されていない磁気ディスク並びに税務情報の保護とは関係がないソフトウェア及びドキュメント等のある場所への無権限者の侵入、ファイアウォールを通過しなかった不正アクセス、ウイルス対策ソフトによるコンピュータウイルス等の検出))
(3) レベル3(税務情報に脅威を及ぼすおそれの高い事象(税務情報が記録されている磁気ディスク並び本人確認情報を保護するうえで重要なソフトウェア及びドキュメント等のある場所への無権限者の侵入、ファイアウォールを通過した不正アクセス、業務端末等の不審な操作の検出、コンピュータウイルス等の侵入によるシステムの異常動作、税務情報保護に関する重大な脆弱性の発見))
(状況の把握)
第14条 情報システム管理者、セキュリティ管理者又はその権限の委任を受けた者(以下「情報システム管理者等」という。)は、前条で定める不正行為の脅威度がレベル2又はレベル3に該当する可能性が高いと認めたときは、山形県の国税連携ネット担当部署に通報し、かつ、地方税法施行規則(昭和29年総理府令第23号)第2条の4に規定する総務大臣に指定された法人(以下「指定法人」という。)においても状況の把握を行うよう要請しなければならない。
2 情報システム管理者等は、指定法人、関係する都道府県の国税連携ネット担当部署、ベンダー等の協力の下で、当該事象の脅威度を判定しなければならない。
(緊急対応策の実施)
第15条 情報システム管理者等は、前条に定める状況を把握した場合、運用監視の強化等次の緊急措置を実施しなければならない。
(1) 指定法人、関係する都道府県の国税連携ネット担当部署、ベンダー等の協力の下で緊急措置の実施を行うこと。
(2) 不正行為の脅威度がレベル3に該当する可能性が高い場合は、必要に応じて、システムの停止(一部切り離し又は一部停止を含む。)等緊急措置を行うこと。
(3) 指定法人、他の地方公共団体等が緊急措置を講ずる必要がある場合は、当該団体に緊急措置の実施を要請すること。
(緊急対応時のセキュリティ会議の開催)
第16条 情報システム管理者等は、第14条の規定による不正行為の脅威度の判定がレベル2又はレベル3に該当する場合、住民サービスに対する影響や広報の必要性が生じる可能性が高いこと等を踏まえ、必要に応じて情報セキュリティ責任者又はその委任を受けた者にセキュリティ会議の開催を求めなければならない。
2 セキュリティ会議は、システムの停止による(一部切り離し、一部停止を含む。)住民への対応、広報等の重要事項について決定(必要に応じ、事後承認)を行う。この場合において、その開催については、原因解明作業や対応策の実施作業と並行して、随時行う。
(町長への報告)
第17条 前条のセキュリティ会議により決定した事項について、情報セキュリティ責任者は、決定事項を町長へ報告しなければならない。
(システムの停止)
第18条 町長は、情報セキュリティ責任者の報告を踏まえ、町民の個人情報の漏洩のおそれ、又は保護が不適切であると判断したときは、国税連携ネットの停止を行うことができる。
(原因の解明)
第19条 情報システム管理者等は、必要に応じて、指定法人、関係する都道府県の国税連携ネット担当部署、ベンダー等と協力し、収集したログ等により、原因を解明しなければならない。
(緊急措置の見直し及び恒久対策の立案)
第20条 情報システム管理者等は、前条の規定により解明した原因等に基づき、次の対応を行わなければならない。
(1) 既に実施した緊急措置を見直し、必要に応じてシステム復旧等を行うこと。
(2) 恒久対策の立案を行うこと。
(3) 指定法人、関係する都道府県の国税連携ネット担当部署、関係する市区町村の国税連携ネット担当部署に連絡すること。
(税務システムにおける管理)
第21条 セキュリティ管理者は、税務システム(電子計算機、端末機、電気通信関係装置、電気通信回線、プログラム等の全部又は一部により構成され、町税に関する記録を管理及び町税に関する事務を処理するためのシステムをいう。)と国税連携ネットの連携について適正な管理運営を図るために、税務情報管理者を指定することとする。
2 税務情報管理者の指定は、前項のシステムを取り扱う職員の中から選任する。
3 税務情報管理者は、国税連携ネット基準に規定されている接続条件及びセキュリティ対策等システムの適正な管理を行うために必要な措置を講ずるほか、税務システム上の連携に関する事故等が発生した場合は、直ちにセキュリティ管理者に状況を報告しなければならない。
(委託を行う場合の調査)
第22条 国税連携ネットを外部委託しようとするときは、あらかじめ、委託先業者における情報の保護に関する管理体制等について調査しなければならない。
(委託契約書への記載事項)
第23条 外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。
(1) 情報が記録された資料の保管、返還及び破棄に関する事項
(2) 情報が記録された資料の目的外使用、複製及び複写並びに第三者への提供の禁止に関する事項
(3) 情報の秘密の保持に関する事項
(4) 事故等の報告に関する事項
(5) 国税連携ネットに係る事務の実施に必要な国税連携ネット基準と同様のセキュリティ対策を実施する事項
(6) 国税連携ネットに係る業務のほか、電子申告の審査サーバの運営又は年金特徴に係る業務を行う場合には、当該業務についての国税連携ネット基準と同様のセキュリティ対策を実施する事項
(7) 定期に、指定法人の監査を受ける事項
(8) 指定法人による監査の結果、事務の実施に必要な電気通信回線その他電気通信設備を有せず、又はこの基準に適合したセキュリティ対策が実施されていないと認められた場合には、委託契約を解除することができる事項
(9) 再委託を行う場合には、事前申請及び承認を求める事項
(10) 前各号に定めるもののほか、町長が定める事項
(委託先事業者等の管理状況の調査)
第24条 セキュリティ管理者は、必要に応じ委託先事業者等における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
(その他)
第25条 この規程に定めるもののほか、必要な事項は町長が別に定める。
附則
この規程は、平成23年11月1日から施行する。
附則(平成24年4月1日訓令第15号)抄
(施行期日)
1 この訓令は、平成24年4月1日から施行する。