○三木町国税連携ネットワークシステム運用管理規程
平成29年10月1日
規程第6号
目次
第1章 総則(第1条・第2条)
第2章 セキュリティ組織(第3条―第5条)
第3章 アクセス管理等(第6条―第8条)
第4章 情報資産管理責任者(第9条)
第5章 委託管理(第10条―第12条)
第6章 緊急時の対応等(第13条―第15条)
第7章 その他(第16条・第17条)
附則
第1章 総則
(趣旨)
第1条 この規程は、三木町において運用する国税連携ネットワークシステム(以下「国税連携システム」という。)の適正な運用及び管理を行うため、三木町情報セキュリティポリシーに定めるもののほか、必要な事項を定めるものとする。
(用語の定義)
第2条 この規程における用語の定義は、電気通信回線その他の電気通信設備に関する技術基準及び情報通信の技術の利用における安全性及び信頼性を確保するために必要な事項に関する基準(平成25年総務省告示第206号。以下「技術基準」という。)の定めるところによる。
第2章 セキュリティ組織
(セキュリティ統括責任者)
第3条 国税連携システムのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副町長をもって充てる。
(システム管理責任者)
第4条 国税連携システムを適正に管理するため、システム管理責任者を置く。
2 システム管理責任者は、税務課長をもって充てる。
(セキュリティ会議)
第5条 セキュリティ統括責任者は、セキュリティ会議を設け、議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1) システム管理責任者
(2) アクセス管理責任者
(3) 税務情報管理責任者
3 セキュリティ会議は、次に掲げる事項を所掌し、審議する。
(1) システムのセキュリティ対策の決定及び見直しに関すること。
(2) システムのセキュリティ対策の遵守状況の確認に関すること。
(3) 緊急時の対応に関すること。
(4) 監査の実施に関すること。
(5) 教育・研修の実施に関すること。
4 前項第3号の事項を審議した場合は、その決定した内容を町長に報告するものとする。
5 議長は、必要と認められるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
6 セキュリティ会議の庶務は、議長の命を受けて税務課において処理する。
第3章 アクセス管理等
(アクセス管理)
第6条 システム管理責任者は、国税連携システムの利用端末について、アクセス管理を行うものとする。
2 アクセス管理は、国税連携システムの機器を操作する者(以下「操作者」という。)の正当な権限をパスワードにより確認することにより行うものとする。
(パスワードの管理)
第7条 システム管理責任者は、パスワードの管理に関し、次に掲げる事項を実施する。
(1) パスワードの管理の方法を定めること。
(2) 操作者の管理簿を作成すること。
(操作者の責務)
第8条 操作者は、前条第1号の規定により定めるパスワードの管理の方法を遵守しなければならない。
第4章 情報資産管理責任者
第9条 国税連携システムの情報資産(国税連携システムに係る全ての情報並びにソフトウェア、ハードウェア、及び光ディスク等をいう。以下同じ。)を管理するため、情報資産管理責任者を置き、システム管理責任者をもって充てる。
2 情報資産管理責任者は、情報資産を取り扱うことができる者を指定するとともに、当該税務情報の漏えい、滅失及び毀損の防止その他情報資産の適切な管理のために必要な措置を講じなければならない。
第5章 委託管理
(委託を受けようとする者の管理体制等の調査)
第10条 システム管理責任者は、国税連携システムの運用その他の管理を外部委託しようとする場合は、あらかじめ委託を受けようとする者における情報の保護に関する管理体制等について調査しなければならない。
(委託契約書への記載事項)
第11条 外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。
(1) 情報が記録された資料の保管、返還及び破棄に関する事項
(2) 情報が記録された資料の目的外使用及び複製並びに複写及び第三者への提供の禁止に関する事項
(3) 情報の秘密保持に関する事項
(4) 事故等の報告に関する事項
(5) 技術基準に適合したセキュリティ対策を実施する事項
(6) システムに係る業務のほか、電子申告の審査サーバの運営又は年金特徴に係る業務を行う場合には、当該業務についての基準と同様のセキュリティ対策を実施する事項
(7) 定期に、指定法人の監査を受ける事項
(8) 指定法人による監査の結果、業務の実施に必要な電気通信回線その他電気通信設備を有せず、又は技術基準に適合したセキュリティ対策が実施されていないと認められた場合には、委託契約を解除することができる事項
(9) 再委託を行う場合には、事前申請及び承認を求める事項
(10) その他情報の保護に関し必要と認める事項
(受託者の管理状況の調査)
第12条 システムを管理し、又は利用する部署の長は、必要に応じ、当該受託者における受託業務に係るセキュリティ対策の実施状況について調査するものとする。
第6章 緊急時の対応等
(緊急時の対応)
第13条 システム管理者及びアクセス管理責任者は、システムのセキュリティを侵犯する不正行為(以下「不正行為」という。)が行われた可能性が高いと認めるときは、香川県のシステム担当部署に通報し、かつ、地方税法施行規則(昭和29年総理府令第23号)第2条の4に規定する総務大臣に指定された法人(以下「指定法人」という。)において状況を把握し報告するよう要請しなければならない。
2 システム管理者等は、前項の報告を受けたときは、指定法人、関係する都道府県及び市区町村のシステム担当部署、指定法人の承認を受けた登録委託先事業者等(以下「指定法人等」という。)の協力を求め、運用監視の強化、原因解明作業、対応策の実施作業等(以下「緊急措置」という。)を実施しなければならない。
3 システム管理者等は、別表に定める不正行為の脅威度(以下「脅威度」という。)のレベル2に該当する不正行為が行われた可能性が高いと認めるとき、又は指定法人等において税務情報の保護に関する重大なぜい弱性が発見されたときは、必要に応じて、システムの全部若しくは一部停止又は一部切離し(以下「システムの停止等」という。)を行うものとする。
4 システム管理者等は、指定法人、他の地方公共団体等において緊急措置及びシステムの停止等を講ずる必要があると認めるときは、当該団体にその実施を要請するものとする。
(不正行為確認後の対応)
第14条 システム管理者等は、不正行為が行われたことを認めたときは、指定法人等の協力を求め、当該不正行為について脅威度を判定し、及び当該不正行為が発生した原因を解明しなければならない。
(原因解明後の対応等)
第15条 システム管理者等は、前条の規定により解明した原因に基づき、次の対応を行わなければならない。
(1) 既に実施した緊急措置及びシステムの停止等を見直し、必要に応じてシステムの復旧等を行うこと。
(2) 当該不正行為を防止するための恒久的な対策を行うこと。
第7章 その他
(教育及び研修)
第16条 国税連携システムに携わる全ての職員は、当該操作及びセキュリティ対策に関する教育又は研修を受けなければならない。
(その他)
第17条 この規程に定めるものの他、必要な事項は別に定める。
附則
この規程は、平成29年10月1日から施行する。
別表(第13条、第14条、第15条関係)
不正行為の脅威度
脅威度 | 事象 |
レベル2 (税務情報に脅威を及ぼすおそれの高い事象) | (1) 税務情報が記録されている磁気ディスク、本人確認情報を保護するうえで重要なソフトウェア、文書データ等への無権限者による不正アクセスの検出 (2) ファイアウォールを通過した不正アクセスの検出 (3) 業務端末機等の不審な操作の検出 (4) コンピュータウイルス等の侵入によるシステムの異常動作 |
レベル1 (税務情報に脅威を及ぼすおそれの低い事象) | (1) システムに関係があるが、税務情報が記録されていない磁気ディスク及び税務情報の保護とは関係がないソフトウェア、文書データ等への無権限者による不正アクセスの検出 (2) ファイアウォールを通過しなかった不正アクセスの検出 (3) コンピュータウイルス等の検出 |