情報セキュリティ対策

中野区が真に豊かで持続可能な地域社会をつくりあげていくためには、区民の個人情報や行政運営上重要な情報資産を様々な脅威から守り、区民の財産やプライバシー等の保護及び事務の安定的な運営を確保することが重要であることから、情報セキュリティ対策について基本方針を定め、これに基づき情報セキュリティマネジメントシステム(ISMS)体制を構築・運用し、積極的に取り組みます。

（1）体制
中野区は、区長のリーダーシップの下、最高情報安全責任者（CISO）を中心とした情報セキュリティ体制を確立し、情報セキュリティに対する責任を明確にします。

（2）対象となるリスク
中野区は、以下のリスクを想定し、情報セキュリティ対策を実施します。

• 部外者の侵入による情報資産の破壊・盗難、故意の不正アクセス又は不正操作による情報資産の破壊・持出・盗聴・改ざん・消去等
• 職員又は外部委託事業者による情報資産の持出、誤操作、アクセスのための認証情報又はパスワードの不適切管理、故意の不正アクセス又は不正行為による破壊・盗聴・改ざん・消去等、搬送中の事故による情報資産の盗難、規定外の端末接続による漏洩等

地震、落雷、火災等の災害、不正プログラム及び事故、故障等によるサービス及び業務の停止等

（3）講ずる対策
中野区は、情報資産の機密性、完全性及び可用性を確保するため、以下の対策を講じます。

• 物理的セキュリティ
  施設への不正な立入り、情報資産への損傷・妨害等から保護するために物理的な対策を講じます。
• 人的セキュリティ
  情報セキュリティに関する権限や責任を定め、職員及び外部委託事業者に情報セキュリティ対策の内容を周知徹底する等十分な教育が行われるように必要な対策を講じます。
• 技術的セキュリティ
  コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じます。
• 運用
  情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じます。

（4）情報セキュリティインシデント等への対応

• 情報資産に対する侵害が発生した場合等に迅速かつ適切に対応するため、事業継続計画（ICT-BCP)を策定します。
• 中野区は、情報セキュリティインシデントに備えた体制を整備し、情報セキュリティインシデントが発生した場合、その原因を迅速に究明し、その影響を最小限に止めるとともに再発防止に努めます。
  

（5）リスクマネジメント
中野区は、情報資産の様々なリスクに適切に対処するため、リスクアセスメントを実施した上で、対応策を定め、リスクマネジメントを行います。

（6）監査
中野区は、情報セキュリティポリシー等が遵守されていること検証するため、定期的に監査を実施します。

（7）違反等への処分
中野区は、情報セキュリティに関連する違反行為に対して、法令及び区の規定に従い厳正に処分を行います。

（8）環境の整備
中野区は、本基本方針に従い遵守すべき行為及び判断等の基準をさだめた情報安全対策基準や情報システムにおける情報セキュリティ対策を実施するための具体的な手順を定めた情報安全対策実施手順など区のルールを整備し、その周知と共に確実に実行できる環境を整備します。

（9）評価及び見直しの実施
中野区は、監査の結果等により、情報セキュリティポリシーに定める事項及び情報セキュリティ対策の評価を実施するとともに、情報セキュリティを取り巻く状況の変化に対応するために、情報セキュリティポリシー等の見直しを実施します。

（1）職員は、情報セキュリティに関するルールを遵守します。

（2）職員は、業務以外の目的で文書の作成や閲覧、情報システムへのアクセス、メールの使用及びインターネットへのアクセス等を行いません。

（3）職員は、情報の紛失や漏えい等がないように、文書等を適正に保管し、パソコン等情報機器の使用にあたってはルールを厳守します。

（4）職員は、情報セキュリティに関する理解促進とスキルの向上を図るため、継続的に研修を受講し、情報セキュリティに対する自覚をもって日々の業務を遂行します。

中野区では、情報セキュリティ体制の一層の強化を図るため、2016年度から情報セキュリティマネジメントシステム（以下、「ISMS」という。）体制を構築・運用しています。
2017年度からはISMSの国際規格であるISO/IEC 27001時20分13（JIS Q 27001時20分14）の認証を取得・維持しています。

• 中野区情報安全対策基本方針（PDF形式：149KB）