11. 不測事態とは情報セキュリティの確保及び維持に重大な影響を与える災害障害セキュリティ侵害等の事態をいう 12. 役職員等とは当組合の役員職員並びにこれに準ずる者( 嘱託職員臨時職員パートタイマーアルバイト等及び当組合との間に委任契約又は雇用契約が成立した者 ) をいう 1

情報セキュリティ基本規程 ( 目的 ) 第 1 条本規程は当組合の情報セキュリティ基本方針に基づき当組合における情報セキュリティの維持及び推進を行うために必要な基本的事項を定めたものであり当組合における情報セキュリティマネジメントシステム ( 組織的に情報セキュリティの維持及び向上のための施策を立案運用見直し及び改善すること ) を確立することを目的とする ( 定義 ) 第 2 条本規程における用語の定義は次の各号に定めるとおりとする 1. 情報とは有形無形を問わず当組合が保有する一切の情報( 当組合固有の情報の他契約その他の正当な手段に基づき入手した組合員及び利用者その他の第三者から取得した情報を含む ) をいう 2. 情報資産とは有形無形を問わず情報を含む媒体と伝達手段をいう全ての紙面媒体情報システム等と口頭や電気通信等で伝達される情報を含む 3. 情報システムとは情報を取り扱う機器装置等のハードウェアソフトウェアプログラム伝送経路等及びこれらにより構成される電子システム及びその収納施設等をいい情報に関連する一切の資産及び処理方法を含む 4. リスクとは想定される脅威( 情報資産に対して損害を与える要因をいう以下同じ ) が情報資産に対して損害を与える可能性をいう 5. リスク評価とは情報資産について脅威に対する脆弱性を分析しかつリスクが顕在化した場合の事業に対する影響度を評価することをいう 6. 情報セキュリティとは情報資産に対し 1 機密性 ( 正当に許可した者だけが当該情報資産にアクセスできること ) 2 完全性 ( 正確及び完全であるよう情報資産を不正な改ざん及び破壊から保護すること ) 及び3 可用性 ( 正当にアクセスを許可された者が使用許諾の範囲内で必要な時に円滑に当該情報資産にアクセスできること ) を確保し維持することをいう 7. サイバーセキュリティ事案とは情報通信ネットワークや情報システム等の悪用によりサイバー空間を経由して行われる不正侵入情報の窃取改ざんや破壊情報システムの作動停止や誤作動不正プログラムの実行等サイバーセキュリティが脅かされる事案をいう 8. 対象情報とはリスク評価の結果情報セキュリティの確保及び維持が必要と判断した情報をいう 9. 対象情報システムとはリスク評価の結果情報セキュリティの確保及び維持が必要と判断した情報システムをいう 10. 対象情報資産とは対象情報及び対象情報システムの総称をいう 4-20-1

11. 不測事態とは情報セキュリティの確保及び維持に重大な影響を与える災害障害セキュリティ侵害等の事態をいう 12. 役職員等とは当組合の役員職員並びにこれに準ずる者( 嘱託職員臨時職員パートタイマーアルバイト等及び当組合との間に委任契約又は雇用契約が成立した者 ) をいう 13. 課とは課及びこれに準じる組織をいう ( 適用範囲 ) 第 3 条本規程は役職員等に適用する ( 情報セキュリティ管理体制 ) 第 4 条当組合は情報の機密性安全性可用性を維持するために情報セキュリティに係る管理者を定めその役割責任を明確にする 2 理事会はシステムリスクの重要性を十分に認識した上でシステムを統括管理する役員を定める 3 情報セキュリティ委員会は委員長副委員長情報セキュリティ総括管理者情報システム管理者情報セキュリティ部門管理者により構成されるものとする 4 情報セキュリティ委員会は当組合における情報セキュリティ維持及び向上に必要な基準規程類を制定しこれらの周知徹底運用及び見直し改善を図るとともに施策等の審議評価見直し及び改善を行う 5 情報セキュリティ委員会は情報セキュリティに関する不測事態が生じた場合の連絡体制を整備運営及び見直し改善を行う 6 委員長は組合長とし当組合における情報セキュリティに係る業務について統括的責任と権限を有するものである 7 副委員長は専務とし委員長を補佐し委員長が万一職務を遂行することが不可能になった場合には委員長の代理となってその職務を遂行する 8 情報セキュリティ総括管理者 ( 以下総括管理者という ) は参事とし情報セキュリティ委員会及び本規程に従い当組合における情報セキュリティに係る業務を実施する責任と権限を有するものとする 9 情報システム管理者は企画管理課長とし総括管理者を補佐し当組合の情報システムのセキュリティに係る業務について責任と権限を有するものとする 10 情報セキュリティ部門管理者 ( 以下部門管理者という ) は各課長各所長とし総括管理者の指示に従い当該課における情報セキュリティに係る業務について一義的な責任と権限を有する者をいう ( 教育 ) 第 5 条委員長は総括管理者情報システム管理者と協議の上役職員等に対し情報セキュリティ意識の向上を図り情報セキュリティ管理体制規程類及び関係法令等を理解させるた 4-20-2

めに必要な研修実施計画を策定する第 4 章組織 ( 情報セキュリティ基本規程 ) 2 総括管理者及び部門管理者は前項に基づき研修等を実施する ( システムリスク管理態勢 ) 第 6 条システムリスクについて役職員がその重要性を十分認識し定期的なレビューを行う 2 情報セキュリティ委員長はシステム障害やサイバーセキュリティ事案 ( 以下システム障害等という ) の未然防止と発生時の迅速な復旧対応について経営上の重大な課題と認識し態勢を整備する 3 情報セキュリティ委員会はコンピュータシステムのネットワーク化の進展等によりリスクが顕在化した場合その影響が連鎖し広域化深刻化する傾向にある等経営に重大な影響を与える可能性があることを十分踏まえリスク管理態勢を整備し適宜見直しを行う 4 部門管理者は自課が保有する情報資産について定期的にリスク評価を実施し自課が保有する対象情報資産を把握しなければならない 5 部門管理者は自課においてリスク評価の周知徹底実施運用を行い自課の役職員等への指示を行う ( 対象情報資産に関する情報セキュリティ ) 第 7 条役職員等は自己が扱う対象情報資産を適切に管理しなければならない 2 役職員等は対象情報資産の管理にあたり個人情報取扱規程その他の情報セキュリティに関連する規程類を遵守しなければならない 3 総括管理者は関係課長と協議の上役職員等が対象情報資産を適切に管理するために必要な施策の周知徹底運用を行い定期的又はシステム基盤等の変更の都度見直し改善を図る 4 部門管理者は前項の施策に基づき自課の役職員等が自課の対象情報資産を適切に管理するよう周知徹底運用を行い自課の役職員等への指示を行う 5 役職員等は対象情報資産の使用及び管理に際し情報セキュリティに関連する規程要領等を遵守しなければならない ( 対象情報システムに関する情報セキュリティ ) 第 8 条情報システム管理者は当組合の保有する対象情報システムについてその設計開発から導入運用保守を通じ対象情報システムの重要度や特性に適合した情報セキュリティの確保維持のための施策 ( コンピュータウィルスからの保護記録情報のバックアップ情報システムの運用の記録ネットワークの管理情報システムの付属媒体の管理電子メールのセキュリティアクセス制御不正アクセス対策を含むがこれらに限らない ) を講じるものとする 2 情報システム管理者は対象情報システムネットワーク等のサイバーセキュリティに対しサイバー攻撃の施策 ( ファイヤウォールの設置抗ウィルスソフトの導入脆弱性診断これらに限らない ) を講じるものとする 4-20-3

3 情報システム管理者はシステムデータネットワーク管理上のセキュリティに関して統括を行う 4 情報システム管理者はコンピュータシステムの不正使用防止対策不正アクセス防止対策コンピュータウィルス等の不正プログラムの侵入防止対策等を行う 5 情報システム管理者は関係課長と協議の上対象情報システムを適切に管理するために必要な施策の周知徹底運用を行い定期的又はシステム基盤等の変更の都度見直し改善を図る 6 部門管理者は前項の施策に基づき自課の対象情報システムを適切に管理するために周知徹底運用を行い自課の役職員等への指示を行う 7 役職員等は対象情報システムの利用及び管理に際し情報セキュリティに関連する規程要領等を遵守しなければならない 8 当組合はインターネット取引をする場合の利用者に対して留意事項を説明するための適切な措置を講じるものとする ( 人的セキュリティ ) 第 9 条情報システム管理者は関係課長と協議の上職制規程等に役職員等の情報セキュリティ管理体制における役割及び責任に関する規定を作成し理事会において決定する 2 役員は就任時に情報セキュリティの確保維持に関する必要な事項を定めた誓約書等を組合に提出するものとする 3 職員等の採用を行う責任者はその採用の時に情報セキュリティの確保維持に関する必要な事項を定めた誓約書等を当該職員等から取得するものとする 4 派遣職員の受入責任者は受け入れの時に情報セキュリティの確保維持に関する必要な事項を定めた誓約書等を当該派遣職員から取得するものとする 5 総括管理者は関係課長と協議の上役職員等及び派遣職員の受入に関する規程類において前 3 項に定める誓約書等の取得のために必要な事項等を確保するとともにこれに係る周知徹底運用及び見直し改善を図る ( 取引先等に関する情報セキュリティ ) 第 10 条部門管理者は対象情報資産を取引先等の第三者に開示する場合対象情報資産を第三者に預ける場合その他第三者が対象情報資産を知り得る場合は当該第三者との間で情報セキュリティの確保維持のために必要な契約を締結する等の適切な措置を講じなければならない 2 部門管理者は前項の場合当該第三者による当該対象情報資産の適切な情報セキュリティの確保維持のために必要な監督に努めるものとする 3 総括管理者は関係課長と協議の上取引先等の第三者との契約に関する規程類において第 1 項に定める適切な措置を講じるために必要な事項等を確保するとともにこれに係る周知徹底運用及び見直し改善を図る 4-20-4

( 保管環境に関する情報セキュリティ ) 第 4 章組織 ( 情報セキュリティ基本規程 ) 第 11 条総括管理者は対象情報資産を保管する建物区画書棚等について当該対象情報資産につき不当なアクセス紛失盗難等を防止するため管理区域の入退出管理その他の適切な措置を講じるものとする 2 総括管理者は関係課長と協議の上適切な措置を講じるために必要な事項等を確保するとともにこれに係る周知徹底運用及び見直し改善を図る ( 事業継続計画 ) 第 12 条総括管理者は不測事態が生じた場合においても事業活動に支障を来たさない又は支障を最小限化するための計画 ( 以下事業継続計画という ) を立案策定周知及び見直し改善を行うものとする 2 部門管理者は自課の対象情報資産について不測事態が生じた場合又はその兆候を知った場合直ちに事業継続計画を実行するとともに当該不測事態の原因究明を行う 3 総括管理者は事業継続計画の実効性について定期的に見直し必要に応じ改善を図るものとする 4 総括管理者は関係課長と協議の上管理責任者が事業継続計画の策定等を行うために必要な事項等を確保するとともにこの周知徹底運用及び見直し改善を図る ( 不測事態の報告等 ) 第 13 条役職員等は不測事態の発生又は発生の兆候を知った場合直ちにこれを所属する部門管理者に報告するものとする 2 部門管理者は前項の報告を受けた場合前条第 2 項に基づき速やかに事業継続計画を実行するとともに当該不測事態の原因究明を行う又不測事態の発生等につき総括管理者に報告し総括管理者は直ちにこれを委員長に報告するものとする 3 総括管理者は委員長の指示に基づき関係課長と協議の上当該不測事態の対応を行い事態の収束を図るものとする 4 総括管理者は不測事態の再発防止の観点から不測事態への対応結果につき必要に応じ情報セキュリティ委員会に報告する ( 自主点検 ) 第 14 条部門管理者は自課における情報セキュリティの確保維持について定期的に自主点検し改善を図らなければならない 2 部門管理者は前項の自主点検の結果を速やかに総括管理者及び監査課長に報告する 3 総括管理者は前項により提出を受けた自主点検の結果を評価しその結果に応じ改善を図るために必要な指導を部門管理者に対して行うものとする 4 総括管理者は監査課長その他関係課長と協議の上部門管理者が第 1 項の自主点検を実施するために必要な事項等を確保するとともにこの周知徹底運用及び見直し改善を図る ( 監査 ) 4-20-5

第 15 条監査課長は本規程並びに本規程に基づき規程類の遵守状況を監査しその結果を組合長に報告する 2 監査課長は前項の監査の結果を部門管理者に通知し必要に応じて改善を図るための助言提案を行うものとする 3 総括管理者は前項の監査の結果に応じ部門管理者に対して改善を図るための指導を行うものとする ( 規程等の遵守 ) 第 16 条役職員等は情報セキュリティの重要性を認識の上本規程及びその他の関係規程類関係法令その他の規範及び第三者との契約に定められた事項を遵守しなければならない ( 違反時の措置 ) 第 17 条本規程及びその他の関係規程類に違反した場合就業規則等に基づき懲戒処分その他の処分に付することがある ( 規程等の見直し改善 ) 第 18 条総括管理者は本規程及びその他の関係規程類の実効性を確保するために第 13 条に基づき報告を受けた不測事態の発生原因及び自主点検結果等を考慮の上定期的にこれらを見直し必要に応じ改善を図るものとする 2 総括管理者は部門管理者に対し前項の見直し改善が確実に行われるように指導する 3 当組合以外における不正不祥事件も参考に情報セキュリティ管理態勢のPDCAサイクルによる継続的な改善を図る ( 規程の改廃 ) 第 19 条この規程の改廃は理事会において決定する附則この規程は平成 17 年 3 月 26 日から実施する平成 20 年 7 月 25 日一部改正平成 28 年 3 月 19 日一部改正 4-20-6