タイプC - - タイプE
5 LGWAN - タイプD - タイプD
6 広域ネットワーク - - タイプF -
*項番1は、インターネット(公衆網)上にセキュリティ対策を施さずにデータ通信を行 うもので、現在ではいずれの接続先においても認められるものではありません。
第三者公的機関・・・共同受付センター(国保連合会)、住民基本台帳ネットワーク全国センター等 SSL(Secure Socket Layer)・・・インターネット上で情報を暗号化して送受信する通信規約。
FSS(File Security System)・・・IC カードを使用したPCへの認証機能、データ通信及びファイルの 暗号化を行えるソフトウェア。
VPN(Virtual Private Network)・・・公衆回線をあたかも専用回線のように利用できるサービス。
LGWAN(Local Government Wide Area Network)・・・地方公共団体間を相互接続した広域通信網。
広域ネットワーク・・・国保連合会への保険者レセプト管理システムに代表される広域通信網。
-74-枚方市
第三者公的機関
(外部結合タイプA)
1 物理的セキュリティ対策 厳密な施錠、入退室管理の実施
⑴ サーバは、専用の部屋(以下「サーバ室」)に設置されている。
⑵ サーバ室は、不正な侵入を防止するため、施錠設備を設けるとともに、その鍵を適正に管理し、また 適正な入退室管理を行っている。
2 技術的セキュリティ対策
⑴ 保管管理
① データセンターでのデータの保管管理が適正に行われている。
② ネットワーク上で、瞬時にバックアップ出来るような技術的措置が講じられている。
③ 地方公共団体の庁舎内に管理者用端末を設置し、ユーザ ID、パスワードの設定、アクセス管理等を 地方公共団体が管理できる。
④ ログの保存、更新履歴の確認等、厳密なアクセス管理が実施されている。
⑤ 電子文書の更新履歴の確認がされている。
⑥ 電子文書の盗難、漏洩、改ざんを防止する措置が実施されている。
⑦ セキュリティの重要性を最大限尊重し、SSL通信を滞りなく継続するためにサーバ証明書が保有 されている。
⑵ コンピュータウィルス対策
① 情報システムにコンピュータウィルス対策ソフトを導入するなどの適切なウィルス対策を講じ、コ ンピュータウィルス対策ソフトの定義ファイルを常に最新のものに更新している。
⑶ 機器等の廃棄及び修理
① サーバ、端末機等の情報機器を廃棄する場合は、内蔵されたハードディスク等の補助記憶装置に記 録されたすべての情報を第三者に再生されることがないよう、記録された情報をすべて消去している。
② 記録媒体を廃棄する場合は、記録されたすべての情報を第三者に再生されることがないよう、記録 された情報をすべて消去している。
SSL
-75-⑷ ネットワーク
① ネットワークを構築・運用する上で、高度なセキュリティ対策を必要とするネットワーク機器は、
サーバ室に設置している。
② ネットワークには、不正アクセスを防止する機能としてファイアウォール、監視する機能として侵 入検知装置等を設置し、情報の漏洩、毀損等を防止している。
③ 常に、ネットワークの情報セキュリティが確保されているか監視し、ネットワークへ接続している 機器に関して、管理簿を作成し、これを最新の状態で管理している。
3 人的セキュリティ対策
① 事故報告等緊急時の措置が講じられている。
② 従事者に対するセキュリティ教育を実施している。
③ 業務上知りえた情報の守秘義務を課している。
4 本市における技術的セキュリティ対策 (1) ネットワーク
① 庁内に設置された業務端末から、安全かつ確実に相手方に接続するため、ファイアウォールへ業務端 末を限定するための端末情報を設定する。
(2) その他
① システム実施手順書に端末を限定する旨を記載する。
-76-枚方市
ASP事業者
(外部結合タイプB)
1 物理的セキュリティ対策 厳密な施錠、入退室管理の実施
⑴ サーバは、専用の部屋(以下「サーバ室」)に設置されている。
⑵ サーバ室は、不正な侵入を防止するため、施錠設備を設けるとともに、その鍵を適正に管理し、また 適正な入退室管理を行っている。
2 技術的セキュリティ対策
⑴ 保管管理
① データセンターでのデータの保管管理が適正に行われている。
② ネットワーク上で、瞬時にバックアップ出来るような技術的措置が講じられている。
③ 地方公共団体の庁舎内に管理者用端末を設置し、ユーザ ID、パスワードの設定、アクセス管理等を 地方公共団体が管理できる。
④ ログの保存、更新履歴の確認等、厳密なアクセス管理が実施されている。
⑤ 電子文書の更新履歴の確認がされている。
⑥ 電子文書の盗難、漏洩、改ざんを防止する措置が実施されている。
⑦ セキュリティの重要性を最大限尊重し、SSL通信を滞りなく継続するためにサーバ証明書が保有 されている。
⑵ コンピュータウィルス対策
① 情報システムにコンピュータウィルス対策ソフトを導入するなどの適切なウィルス対策を講じ、コ ンピュータウィルス対策ソフトの定義ファイルを常に最新のものに更新している。
⑶ 機器等の廃棄及び修理
① サーバ、端末機等の情報機器を廃棄する場合は、内蔵されたハードディスク等の補助記憶装置に記 録されたすべての情報を第三者に再生されることがないよう、記録された情報をすべて消去している。
② 記録媒体を廃棄する場合は、記録されたすべての情報を第三者に再生されることがないよう、記録 された情報をすべて消去している。
SSL VPN
-77-⑷ ネットワーク
① ネットワークを構築・運用する上で、高度なセキュリティ対策を必要とするネットワーク機器は、
サーバ室に設置している。
② ネットワークには、不正アクセスを防止する機能としてファイアウォール、監視する機能として侵 入検知装置等を設置し、情報の漏洩、毀損等を防止している。
③ 常に、ネットワークの情報セキュリティが確保されているか監視し、ネットワークへ接続している 機器に関して、管理簿を作成し、これを最新の状態で管理している。
3 人的セキュリティ対策
①事故報告等緊急時の措置が講じられている。
②従事者に対するセキュリティ教育を実施している。
③業務上知りえた情報の守秘義務を課している。
-78-枚方市
ASP事業者
(外部結合タイプC)
1 物理的セキュリティ対策 厳密な施錠、入退室管理の実施
⑴ サーバは、専用の部屋(以下「サーバ室」)に設置されている。
⑵ サーバ室は、不正な侵入を防止するため、施錠設備を設けるとともに、その鍵を適正に管理し、また 適正な入退室管理を行っている。
2 技術的セキュリティ対策
⑴ 保管管理
① データセンターでのデータの保管管理が適正に行われている。
② ネットワーク上で、瞬時にバックアップ出来るような技術的措置が講じられている。
③ 地方公共団体の庁舎内に管理者用端末を設置し、ユーザ ID、パスワードの設定、アクセス管理等を 地方公共団体が管理できる。
④ ログの保存、更新履歴の確認等、厳密なアクセス管理が実施されている。
⑤ 電子文書の更新履歴の確認がされている。
⑥ 電子文書の盗難、漏洩、改ざんを防止する措置が実施されている。
⑦ セキュリティの重要性を最大限尊重し、SSL通信を滞りなく継続するためにサーバ証明書が保有 されている。
⑵ 認証
① 端末機のオペレーティングシステムの起動時には、職員が保有するICカードによる認証とID、
パスワードの入力を要求する。
② 端末機から業務サーバへのアクセスについては、ICカードを利用して接続を制限し、業務に必要 のないデータの閲覧を禁止している。
③ 端末機からサーバへのアクセスに際しては、当該端末機とサーバとの間に暗号化通信により保護さ れた仮想の専用ネットワーク(VPN)を生成し、万一の盗聴に対処している。
④ 各システムへのアクセスについて、ICカードの挿入確認と各システムが独自で持つID、パス SSL(FSS)
VPN
-79-ワードの入力を要求する。
⑤ 端末機からサーバへのアクセスについては、自動的に履歴を記録することにより、責任関係を明確 にし、情報の漏洩、毀損等に対処している。
⑶ コンピュータウィルス対策
① 情報システムにコンピュータウィルス対策ソフトを導入するなどの適切なウィルス対策を講じ、コ ンピュータウィルス対策ソフトの定義ファイルを常に最新のものに更新している。
⑷ 機器等の廃棄及び修理
① サーバ、端末機等の情報機器を廃棄する場合は、内蔵されたハードディスク等の補助記憶装置に記 録されたすべての情報を第三者に再生されることがないよう、記録された情報をすべて消去している。
② 記録媒体を廃棄する場合は、記録されたすべての情報を第三者に再生されることがないよう、記録 された情報をすべて消去している。
⑸ ネットワーク
① ネットワークを構築・運用する上で、高度なセキュリティ対策を必要とするネットワーク機器は、
サーバ室に設置している。
② ネットワークには、不正アクセスを防止する機能としてファイアウォール、監視する機能として侵 入検知装置等を設置し、情報の漏洩、毀損等を防止している。
③ 常に、ネットワークの情報セキュリティが確保されているか監視し、ネットワークへ接続している 機器に関して、管理簿を作成し、これを最新の状態で管理している。
3 人的セキュリティ対策
①事故報告等緊急時の措置が講じられている。
②従事者に対するセキュリティ教育を実施している。
③業務上知りえた情報の守秘義務を課している。