【情報セキュリティポリシー】

１．目的
この広島県西部農業共済組合情報セキュリティポリシー（以下「ポリシー」という。）は、農業共済ネットワーク化情報システム（以下「ネットワークシステム」という。）等の組合の情報資産を保護管理し、情報セキュリティの確保を図ることを目的とする。

２．定義
　　用語の定義は、次のとおりとする。
　
(1)情報セキュリティ
　　情報資産の機密性、安全性及び可用性を維持することをいう。
　　�@機密性：情報にアクセスを許可された者だけが情報にアクセスすることを確実にすること。（情報が漏えいしないようにすること。）
　�A安全性：情報及び処理方法が、正確であること及び完全であることを保護すること。（情報が改ざんされないようにすること。情報システムが勝手に変更されないようにすること。）
　�B可用性：許可された利用者が、必要なときに情報及び関連する資産にアクセスできることを確実にすること。（災害や故障などにより、情報が使えなくならないようにすること。）

(2)情報機器
　電子計算機等情報処理を行う装置

(3)ネットワーク
　情報機器（ハードウエア及びソフトウエア）を相互に接続する通信網

(4)情報システム
　農業共済事業を行うため農林水産省及び全国農業共済協会が提供するネットワークシステム及び情報機器を用いて業務を行うための仕組み

(5)農業共済関係情報
　　農業共済事業を行うにあたって利用及び創出される電子情報

(6)個人情報
　　　組合員等情報等、個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）。

(7)情報資産
　�@情報システム
　�A情報機器及びネットワークで取扱うデータ

(8)拠点
　　組合本所、課、各支所、連絡所の業務を行う区分

(9)ユーザアカウント
　　ユーザＩＤ及びパスワードが一体となって本人であることを識別し、情報システムを利用できる権限を定めたもの。
　(10)外部記憶媒体
　　ＦＤ、ＭＯ等の記憶媒体

３．情報セキュリティ基本方針
　(1)基本方針　　
　　組合が保有管理する情報資産を様々な脅威から保護し、情報資産の機密性、安全性及び可用性を維持するため、組合が行う情報セキュリティに関する対策の基本方針を定める。また、基本方針に対する具体的な対策基準については「情報セキュリティ対策基準」の各項目で定める。
　(2)管理体制
　　情報セキュリティ対策を管理するために、参事、課長、支所長で構成する「情報セキュリティ委員会」（以下「委員会」という。）を組織する。委員会の構成、事業等については、別に定める情報セキュリティ委員会規程の定めるところによる。
　(3) 情報セキュリティ対策
　　情報資産への様々な脅威から情報資産を保護するために、次の対策を講ずるものとする。
　�@人的セキュリティ対策
　　情報セキュリティに関する権限や責任及び遵守すべき事項を明確に定め、役職員に対する周知徹底を図るとともに、十分な教育、啓発が行われるよう必要な対策を講ずる。
　�A物理的セキュリティ対策
　　電子計算機及びネットワーク機器を設置する施設への不正な立入り、情報資産への損傷、盗難等から保護するための物理的な対策を講ずる。
　�B技術的セキュリティ対策
　　情報資産を不正アクセス等から保護するため、情報資産へのアクセス制御、ネットワーク管理等の対策を講ずる。
　�C運用セキュリティ対策
　　　情報システムの監視、情報セキュリティ対策の遵守状況の確認等、ポリシー運用面の対策を講ずる。また、緊急事態が発生した場合に迅速かつ適切な対応が可能となるよう危機管理体制を整備する。

４．適用範囲
　　このポリシーの適用範囲は次のとおりとする。

(1)組合が保有する全ての情報資産

(2)組合が保有する情報資産に接するすべての職員（臨時職員等を含む。）及びシステムの開発等を業者に委託する場合はこの業者

５．実施手順書の作成
　　構築された情報システムについて、それぞれの情報システムの管理運営の状況を勘案し、具体的な実施手順を定める。実施手順は、別に定める情報システム管理運営実施手順書の定めるところによる。

６．情報セキュリティ対策基準
　
(1)情報セキュリティ管理体制
　　組合の情報セキュリティに関する管理体制は次のとおりとする。
　　�@組合の情報セキュリティに関する事項の統括及び決定者として、セキュリティ管理責任者（以下「管理責任者」という。）を置く。
　　　管理責任者は、参事がこれにあたる。
　　�A管理責任者を補佐し組合の情報セキュリティに関する事項の指導監督者として、セキュリティ副管理責任者（以下「副管理責任者」という。）を置く。
副管理責任者は、課長及び支所長がこれにあたる。
　　�B副管理責任者を補佐し組合の情報セキュリティに関する事項の実施者として、セキュリティ管理者（以下「管理者」という。）を置く。
管理者は、情報処理管理規則に定めるシステム管理者がこれにあたる。
　　�Cネットワークシステムの各事業システム等ごとの情報セキュリティに関する事項の実施者として、拠点ごとに事業システム等担当者（以下「担当者」という。）を置く。
担当者は、副管理責任者が指名する。
　　�D前項�@〜�Aの者をもって「情報セキュリティ委員会」を組織し、組合内の情報セキュリティ対策に関する事項について協議決定する。　

(2)情報機器の設置
　　情報機器の設置については、次の事項に留意する。
　　�@情報機器は、火災、水害、ほこり、電界、磁界、振動、温度、湿度等の影響を受けにくい場所に設置する。
　　�A個人情報等を管理する重要なサーバはサーバルーム又はそれに準ずる安全な場所に設置する。
　　�Bハードウエアは、盗難に遭わないよう必要な措置を講ずる。　

(3)ネットワーク接続
　　組合の所有する情報機器以外をネットワークに接続してはならない。ただし、管理責任者が必要と認めた場合はこの限りでない。

(4)情報機器の持出
　　情報機器を拠点外に持ち出してはならない。ただし、管理責任者が必要と認めた場合はこの限りでない。なお、この場合は次の事項を遵守しなければならない。
　　�@情報機器を拠点外に持ち出す場合は、ハードディスク等記憶媒体に個人情報を保存したまま持ち出さないこと。
　　�A情報機器が盗難に遭わないよう細心の注意を払うこと。

(5)外部記憶媒体の管理
　　個人情報等、重要な農業共済関係情報を保存した外部記憶媒体を机上等に放置してはならない。これらは鍵の掛かる場所に保管されなければならない。

(6)外部記憶媒体の持出
　　管理責任者が必要と認める場合を除き、個人情報等、重要な農業共済関係情報を保存した外部記憶媒体を拠点外に持ち出してはならない。

(7)職員の責務
　　職員は、次の事項を遵守しなければならない。
　　�@本ポリシーに定められた事項を遵守すること。
　　�A本ポリシーに定められた事項に疑問等がある場合は、速やかに副管理責任者に相談し、指示を受けること。
　　�B情報資産は業務の目的においてのみ使用すること。
　　�C情報機器の使用を終了または中断するときは適切な操作をすること。
　　�D情報機器を管理者の許可無く移動、設置しないこと。
　　�E管理者の許可無く情報機器に周辺装置等を接続しないこと。
　　�F管理者の許可無く情報機器にソフトウエア等をインストールしないこと。
　　�Gその他管理者が問題があると判断する行為を行わないこと。

(8)個人情報の保護
　　個人情報の取扱いにあたっては、次の事項を遵守しなければならない。
　　�@個人情報の利用目的を特定し、利用の目的の範囲を超えないこと。
　　�A個人データの漏えい、滅失又はき損を防止し、正確性を確保すること。
　　�B次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供しないこと。ただし、次に掲げる場合であっても必ず副管理責任者の指示を仰ぐこと。
　　　ア．法令に基づく場合
　　　イ．人の生命等の保護のために必要ある場合で、本人の同意を得ることが困難なとき。
　　　ウ．公衆衛生の向上等の保護のために必要ある場合で、本人の同意を得ることが困難なとき。
　　　エ．国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合で、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(9)ユーザアカウントの付与等
　　ユーザアカウントの付与は副管理責任者が行い、次のとおり管理されなければならない。
　　�@副管理責任者は、職員が利用する情報システムの必要に応じてユーザアカウントを付与する。
　　�A職員の人事異動等によりユーザアカウントの変更の必要がある場合は、速やかに変更を行う。
　　�B使用しなくなったユーザアカウントは、速やかに停止・削除する。

(10)パスワード等の管理
　　職員は、付与されたユーザアカウントに関し、次の事項を遵守しなければならない。
　　�@パスワードを秘密にし、パスワードの照会に応じないこと。
　　�Aパスワードを記録したメモ等を、第三者が容易に発見できる場所に保管しないこと。
　　�Bパスワードの設定にあたっては、推測されやすいもの又は解読されやすいものを避けること。
　　�Cパスワードは、随時変更を行うこと。

(11)ネットワークシステムの運用
　　ネットワークシステムの運用にあたっては、各システムの操作手引書（手順書）に従い操作し、定められた以外の方法でデータの更新を行ってはならない。ただし、あらかじめ副管理責任者の承認を得た方法により行う場合はこの限りではない。

(12)インターネット接続
　　インターネット接続を行う場合は、次の事項を遵守しなければならない。
　　�@業務の目的以外でインターネットに接続しないこと。
　　�A業務上不必要なファイルやソフトウエア等をダウンロードしないこと。
　　�Bインターネット上のフリーメールを利用しないこと。
　　�C公序良俗に反する行為を行わないこと。
　　�Dその他、副管理責任者が運用上問題があると判断する行為を行わないこと。

(13)電子メールの受発信
　　電子メールを使用する場合は、次の事項を遵守しなければならない。
　　�@業務の目的以外で電子メールを使用しないこと。
　　�A発信元不明のメールや、不審な添付ファイルに対して操作を加えないこと。また、これを発見したときは直ちに管理者に報告すること。
　　�B定められたサイズ以上のメールは送信しないこと。
　　�Cその他、副管理責任者及び管理者が運用上問題があると判断するメールの受発信を行わないこと。

(14)コンピュータウイルス
　　�@情報機器は、ウイルス対策が施されていなければならない。また、ウイルス対策ソフトのパターンファイル等は最新に維持されていなければならない。
　　�A外部から持ち込んだ記憶媒体を情報機器に使用する場合は、事前にウイルスの検索を行わなくてはならない。

(15)バックアップ
　　�@副管理責任者及び管理者は情報資産のバックアップを定期的に取得し、安全な場所に保管しなければならない。
　　�A管理者及び担当者は管理する事業システム等のバックアップを定期的に取得し、安全な場所に保管しなければならない。

(16)情報資産の把握と管理
　　�@管理者は、情報システムのハードウエア、ソフトウエア及びネットワークの構成に関する管理台帳を整備し、最新の状態を維持しなければならない。
　　�A管理者は、情報システムのソフトウエアの使用権を適切に管理し、著作権等を侵害しないよう努めなければならない。

(17)監視
　　副管理責任者及び管理者は、情報システムが適正に運用されているかを確認するため、情報システム内のファイル等を所有者の許可なく閲覧することができる。また、業務上不適切と判断されるファイル等を発見した場合は、副管理責任者に報告し、副管理責任者は所有者を指導した上で、ファイル等を削除することとする。

(18)情報システムの業者委託
　　情報システムの開発等を業者に委託する際には、当該委託に係る契約書に次の事項を明記しなければならない。
　　�@電子情報の秘密保持に関する事項
　　�A再委託の禁止又は制限に関する事項
　　�B情報資産の指示された目的外への使用及び第三者への提示の禁止に関する事項
　　�C電子情報の複写及び複製の禁止に関する事項
　　�D事故発生時における報告義務に関する事項
　　�E前期各事項の定めに違反した場合の契約解除等の措置及び損害賠償に関する事項

(19)情報機器の修理及び廃棄
　　�@ハードディスク等記憶装置が含まれる情報機器を業者に修理させる場合は、記憶装置に保存されている情報を消去しなければならない。なお、この情報を消去することが不可能な場合は、修理に係る契約書に守秘義務に関する事項を明記しなければならない。
　　�Aハードディスク等記憶装置が含まれる情報機器を廃棄する場合は、記憶装置に保存されている情報の消去又は記憶装置の破壊等を行い、記憶情報が復元不可能な状態にしなければならない。

(20)外部記憶媒体の破棄
　　外部記憶媒体を破棄する場合は、記憶媒体に保存されている情報の消去又は記憶媒体の破壊等を行い、記憶情報が復元不可能な状態にしなければならない。

(21)啓発等
　　管理責任者は、研修会等を開催し情報セキュリティの維持に関する啓発に努めなければならない。

(22)懲罰
　　このポリシーに違反した職員は、その重大性、発生した事案の状況等に応じて、本組合の規則に基づき処分されることがある。

(23)監査
　　管理責任者は、このポリシーの実行性を検証するため定期的に監査を行う。
　
附則
　(1)改正
　　管理責任者は、このポリシーの改定が必要と認めるときは、情報セキュリティ委員会に諮り改正する。
　(2)実施
　　このポリシーは、平成18年4月1日から実施する。