情報セキュリティポリシーの構成

　情報セキュリティポリシーは2層で構成されています
　ポリシーは統一的なルールとしての「情報セキュリティ基本方針」とセキュリティ状況の変化に対応した「情報セキュリティ対策基準」の2層に分けて構成しています。(下表参照)
　なお、情報セキュリティ対策基準については、セキュリティ対策に関する具体的なことがらが含まれているため非公開とさせていただきます。

　本市は、ICTを活用した持続可能なまちづくりを推進しているところである。
　本市の情報システムが取り扱う情報には、市民の個人情報のみならず行政運営上重要な情報など、外部への漏えい等が発生した場合には極めて重大な結果を招く情報が多数含まれていることから、取り扱う情報を様々な脅威から防御することは、市民の財産、プライバシー等を守るためにも、また、事務の安定的な運営のためにも必要不可欠なものである。
　本市は、市民が安心・信頼して行政サービスを利用することができるようにするとともに、継続的かつ安定的な行政事務の執行を確保するために、情報資産の機密性、完全性及び可用性(注)を維持するための対策（情報セキュリティ対策）を整備するものである。

（注）：国際標準化機構（ISO）が定めるもの(ISO7498-2：1989)
　機密性（confidentiality）：情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。
　完全性（integrity）　：情報及び処理の方法の正確さ及び完全である状態を安全防御すること。
　可用性（availability）　：許可された利用者が必要な時に情報にアクセスできることを確実にすること。

(1)　情報セキュリティ
　情報資産の機密の保持、正確性及び完全性の維持並びに定められた範囲での利用可能な状態を維持することをいう。

(2)　ネットワーク
　電子計算機等を相互に接続するための通信回線及びその構成機器（ハードウェア及びソフトウェア）をいう。

(3)　情報システム
　電子計算機、ネットワーク、記憶媒体等により、処理を行う仕組みをいう。

(4)　情報資産
　情報システムで取り扱うすべての電磁的データをいう。

(5)　マイナンバー利用事務系
　個人番号利用事務（社会保障、地方税若しくは防災に関する事務）又は戸籍事務等に関わる情報システム及びその情報システムで取り扱うデータをいう。

(6)　LGWAN接続系
　LGWANに接続された情報システム及びその情報システムで取り扱うデータをいう（マイナンバー利用事務系を除く）。

(7)　インターネット接続系
　インターネットメール、ホームページ管理システム等に関わるインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。

(8)　校務系情報
　児童生徒の成績、出欠席、健康診断結果及び指導要録、教員の個人情報等、学校が所有する情報資産のうち、学校・学級の管理運営、学習指導、生徒指導及び生活指導等に活用することを想定しており、かつ、児童生徒がアクセスすることが想定されていないものをいう。

(9)　教育系情報
　児童生徒のワークシート及び作品等、学校が所有する情報資産のうち、それら情報を学校における教育活動において活用することを想定しており、かつ当該情報に教員及び児童生徒がアクセスすることが想定されている情報をいう。

(10)　学校情報システム
　校務系情報又は教育系情報を取り扱う札幌市が所管するネットワークに接続していない情報システムをいう。
 

(1) 組織
　ポリシーは、本市のすべての執行機関（市長、教育委員会、選挙管理委員会、人事委員会、監査委員、農業委員会、固定資産評価審査委員会、公営企業管理者及び消防長）及び議会事務局を対象とする。

(2) 情報資産
　ポリシーは、上記⑴の組織で取り扱う情報資産を対象とする。クラウドサービス上で取り扱う情報資産についても対象とする。ただし、学校情報システム及び当該システムで取り扱う情報資産については、対象から除く。

　ポリシーは、本市の情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ管理の最上位の位置付けとする。

　本市の情報資産に接するすべての職員（特別職、非常勤職員及び臨時職員を含む。以下同じ。）は、情報セキュリティの重要性について共通の認識を持つとともに、業務の遂行に当たってポリシーを遵守する義務を負うものとする。
　また、情報資産を取り扱う委託事業者等に対しても、契約を通じて、又は別途取り決めを行うことにより、ポリシーを遵守させるための措置を講じなければならない。 

　本市の情報資産について、情報セキュリティ対策を推進し、管理するための組織・体制を確立し、その役割、責任等を定める。

　情報セキュリティインシデント対応及び外部との情報共有を役割とした統一的な体制「CSIRT（シーサート）」を構築する。 

　情報資産を機密性、完全性、可用性及びマイナンバー利用事務系のデータの取り扱いの有無によって分類及び一覧化し、その情報資産に求める対策群に応じた情報セキュリティ対策を行うものとする。

　情報セキュリティに対する脅威とは、情報セキュリティを脅かす好ましからぬ事態及び事故をいう。
　特に認識すべき脅威は、次のとおりである。
(1)　意図的（計画的）な人為的脅威
　故意の不正アクセス、サービス不能攻撃又は不正操作による機器又は情報資産の破壊、盗難、改ざん、消去、無断持ち出し、ソフトウェアのライセンス違反、APT攻撃等。

(2)　偶発的な人為的脅威
　誤操作等よって起きる情報資産の破壊、漏えい、消去等及び搬送中の事故等による情報資産の盗難、漏えい、紛失等。

　また、開発・設計・設定・メンテナンスの不備によるシステム障害や、委託先管理・マネジメントの欠如による情報資産の盗難、漏えい、紛失等。

(3)　環境的脅威
　地震、落雷、火災、水害、停電、パンデミック（業務執行体制の維持が困難となるような大規模な感染症の流行）等の災害又は事故による情報資産の破壊、消失、サービス又は業務の停止等。 

　情報セキュリティに対する脅威から本市の情報資産を保護するために次の対策を講ずる。
(1)　人的セキュリティ対策
　情報セキュリティに関する権限や責任を定め、十分な教育及び啓発により、すべての職員、委託事業者等にポリシーの内容を周知徹底するなど、守るべき行動基準及び判断基準を定める。

(2)　物理的セキュリティ対策
　不正侵入又は盗難から情報資産を保護するために、区域の設置等情報資産への物理的なアクセスを制御するための対策を講ずる。

(3)　技術面及び運用面におけるセキュリティ対策
　情報資産を外部又は内部からの不正アクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術面の対策及び委託等による情報システム開発・運用保守の基準、ポリシー遵守状況の確認等の運用面の対策を講ずる。クラウドサービス等（ハウジングサービス、ホスティングサービスを含む。）を利用する場合は、サービス提供者との責任分界点を定め、必要となる対策を講ずる。

(4)　情報システム全体の強靭性の向上
　ア　マイナンバー利用事務系においては、原則として、他の領域との通信をできないようにした上で、端末からの情報持ち出し不可設定や端末への多要素認証の導入等により、住民情報の流出を防ぐための措置を講ずる。ただし、国等の公的機関が構築したシステム等、十分に安全性が確保された外部接続先については、この限りではなく、インターネット等からマイナンバー利用事務系との双方向でのデータの移送を可能とする。
　イ　マイナンバー利用事務系の端末・サーバ等と専用回線により接続されるクラウドサービス上の情報システムの領域については、マイナンバー利用事務系として扱い、他の領域とはネットワークを分離する。ただし、国が提供するガバメントクラウドを利用する場合で、特段の理由がある場合（修正プログラムの適用、ソフトウェアのアクティベーションの実施及び管理コンソール接続）については、例外的にインターネット接続を可能とする。
　ウ　札幌市所管のネットワーク（マイナンバー利用事務系除く）の情報システムを、専用回線を用いてクラウドサービス上へ配置することを情報システム部長が認める場合は、その領域を札幌市所管のネットワーク（マイナンバー利用事務系除く）として扱う。
　エ　インターネット接続系の端末・サーバ等と接続されるクラウドサービス上の情報システムの領域については、インターネット接続系として扱う。ただし、情報システム部が選定あるいは設置したクラウドサービスについてはその限りではない。インターネット接続系においては、通信パケットの監視、ふるまい検知等の不正通信の監視機能の強化により、情報セキュリティインシデントの早期発見と対処及びLGWANへの不適切なアクセス等の監視等の情報セキュリティ対策を講ずる。また、都道府県及び市区町村のインターネットとの通信を集約する自治体情報セキュリティクラウドに参加するとともに、関係省庁や都道府県等と連携しながら、情報セキュリティ対策を推進する。
　オ　業務の効率性・利便性の向上を目的として、インターネット接続系に主たる業務端末と入札情報や職員の情報等重要な情報資産を配置する場合、必要な情報セキュリティ対策を講じた上で、対策の実施について事前に外部による確認を実施し、配置後も定期的に外部監査を実施する。

(5)　危機管理対策
　緊急事態が発生した際に迅速な対応を可能とするための危機管理対策を講ずる。 

　対策基準を遵守して情報セキュリティ対策を実施するために、情報資産に対する脅威及び情報資産に求める対策群に対応する対策基準の基本的な要件に基づき、各部局の長等が所管する情報資産の情報セキュリティ実施手順（以下「実施手順」という。）を策定する。 

　ポリシーが遵守されていることを検証するため、定期的に情報セキュリティ監査及び自己点検を実施する。また、情報セキュリティに関する状況が変化した場合には必要に応じて情報セキュリティ監査及び自己点検を実施する。 

 情報セキュリティ監査及び自己点検の結果等により、ポリシーに定める事項及び情報セキュリティ対策の評価を実施するとともに、情報セキュリティを取り巻く状況の変化に対応するため、保有する情報及び利用する情報システムに係る脅威の発生の可能性及び発生時の損失等を分析し、リスクを検討したうえで、ポリシーの見直しを実施する。

　ポリシー及び実施手順に違反した職員については、その重大性、発生した事案の状況等に応じて懲戒処分の対象となることがある。 

　ポリシー及び実施手順は、公表することにより本市の行政運営に重大な支障を及ぼすおそれのある事項を含んでいることから、基本方針を公開とし、対策基準及び実施手順は非公開とする。また、情報セキュリティ監査の概要については、公開とする。