山形県立産業技術短期大学校土木施工管理・測量計算CADソフトウェア保守業務（令和8年3月24日入札）

山形県立産業技術短期大学校土木施工管理・測量計算CADソフトウェア保守業務（令和8年3月24日入札） 一般競争入札の公告地方自治法(昭和22年法律第67号)第234条第１項の規定により、土木施工管理・測量計算ＣＡＤソフトウェア保守業務の調達について、一般競争入札を次のとおり行う。令和８年３月４日山形県立産業技術短期大学校長 佐藤俊一１ 入札の場所及び日時(1) 場所 山形市松栄二丁目２番１号 山形県立産業技術短期大学校本部棟第一会議室(２階)(2) 日時 令和８年３月24日(火)午前11時00分２ 入札に付する事項(1) 調達をする役務の名称及び数量土木施工管理・測量計算ＣＡＤソフトウェア保守業務 一式(2) 調達をする役務の仕様等 入札説明書及び仕様書による。(3) 契約期間 令和８年４月1日から令和９年３月31日まで(4) 入札方法 総価により行う。落札決定に当たっては、入札書に記載された金額に当該金額の100分の10に相当する金額を加算した金額(当該金額に１円未満の端数があるときは、その端数を切り捨てた金額)をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。３ 入札参加者の資格次に掲げる要件を全て満たす者であること。(1) 地方自治法施行令(昭和22年政令第16号)第167条の４第１項各号に規定する者に該当しないこと。(2) 山形県税(山形県税に附帯する税外収入を含む。)又は消費税を滞納していないこと。(3) 雇用保険、健康保険、厚生年金保険等の社会保険に加入している者(加入する義務のない者を除く。)であること。(4) １年以上引き続き業として当該競争入札に付する契約に係る業務を営んでいること。(5) 山形県競争入札参加資格者指名停止要綱に基づく指名停止措置を受けていないこと。(6) 山形県財務規則(昭和39年３月県規則第９号。以下「規則」という。)第125条第５項の競争入札参加資格者名簿(様式第104号によるものに限る。)に登載されていること。(7) 次のいずれにも該当しないこと(地方自治法施行令第 167条の４第１項第３号に規定する者に該当する者を除く。)。イ 役員等(入札参加者が個人である場合にはその者を、入札参加者が法人である場合にはその役員又はその支店若しくは契約を締結する事務所の代表者をいう。以下同じ。)が暴力団員による不当な行為の防止等に関する法律(平成３年法律第 77号)第２条第６号に規定する暴力団員(以下「暴力団員」という。)又は暴力団員でなくなった日から５年を経過しない者(以下「暴力団員等」という。)であること。ロ 暴力団(暴力団員による不当な行為の防止等に関する法律第２条第２号に規定する暴力団をいう。以下同じ。)又は暴力団員等が経営に実質的に関与していること。ハ 役員等が自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、暴力団又は暴力団員等を利用する等していること。ニ 役員等が、暴力団又は暴力団員等に対して資金等を供給し、又は便宜を供与する等直接的あるいは積極的に暴力団の維持及び運営に協力し、又は関与していること。ホ 役員等が暴力団又は暴力団員等と社会的に非難されるべき関係を有していること。(8) 山形県内に本店又は営業所等を有すること。４ 契約条項を示す場所、入札説明書及び仕様書の交付場所並びに契約に関する事務を担当する部局等(1) 契約条項を示す場所及び契約に関する事務を担当する部局等山形市松栄二丁目２番１号 山形県立産業技術短期大学校総務課 電話番号023(643)8682(2)入札説明書及び仕様書の交付場所等 山形県立産業技術短期大学校総務課で交付するほか山形県のホームページ(https://www.pref.yamagata.jp/)からもダウンロードできる。５ 入札保証金及び契約保証金(1) 入札保証金 免除する。(2) 契約保証金 契約金額の100分の10に相当する金額以上の額。ただし、規則第135条各号のいずれかに該当する場合は、契約保証金を免除する。６ 入札の無効入札に参加する者に必要な資格のない者のした入札、入札に関する条件に違反した入札その他規則第122条の２の規定に該当する入札は、無効とする。７ その他(1) この公告による入札に参加を希望する者は、一般競争入札参加資格確認申請書及び２の(１)の役務の仕様に適合するものとして作成した応札に係る役務の仕様書(以下「応札役務仕様書」という。)を令和８年３月13日(金)午後４時までに山形県立産業技術短期大学校総務課に提出すること。(2) (1)により提出された応札役務仕様書については、２の(1)の役務の仕様に適合しているかどうかを審査し、審査の結果適合しないと認められた場合は、当該応札役務仕様書を提出した者は、この入札に参加することができない。(3) この契約においては、契約書の作成を必要とする。この場合において、当該契約書には、談合等に係る契約解除及び賠償に関する定め、再委託の禁止に関する定め、個人情報の保護に関する定めを設けるものとする。(4) この入札及び契約は、県の都合により調達手続の停止等があり得る。(5) 詳細については入札説明書による。(6) 当該契約に係る予算が成立しない場合は、この公告は効力を有しない。 入札説明書等配布一覧表役務の名称［ 土木施工管理・測量計算ＣＡＤソフトウェア保守業務 ］No 名 称 部数等１入札説明書(添付様式)・一般競争入札参加資格確認申請書・競争入札に係る応札役務仕様書等審査申請書・一般競争入札仕様書等に関する質問書・入札書・委任状１部２ 委託仕様書 １部３ 応札役務仕様書(提出用) １部(注)上記内容について、落丁等がないか確認してください。山形県立産業技術短期大学校入 札 説 明 書土木施工管理・測量計算ＣＡＤソフトウェアの保守業務の調達に係る入札公告に基づく一般競争入札については、関係法令及び山形県財務規則(昭和39年３月県規則第９号。以下「規則」という。)に定めるもののほか、この入札説明書によるものとする。１ 担当部局等(1) 契約に関する事務を担当する部局等〒990-2473 山形市松栄二丁目２番１号山形県立産業技術短期大学校 総務課契約担当 電話番号023-643-8682(2) 仕様書に関する事務を担当する部局等〒990-2473 山形市松栄二丁目２番１号山形県立産業技術短期大学校 土木エンジニアリング科 電話番号023-643-8431２ 入札参加者の資格(1) 「山形県競争入札参加資格者指名停止要綱に基づく指名停止措置を受けていないこと」とは、入札参加資格審査日(一般競争入札参加資格確認申請書(以下「申請書」という。)の提出期限の日)から開札日までの期間中のいずれの日においても指名停止措置を受けていないことをいう。(2) 公告で指定された期限までに申請書を提出しない者及び入札参加資格が無いと認められた者は、本件入札に参加することができない。３ 入札参加者資格及び応札役務仕様書の審査等(1) 本件入札に参加を希望する者は、入札公告の「入札参加者の資格」を有することを証するための申請書並びに本件調達役務に係る応札役務仕様書を、公告で指定された提出場所へ提出し、入札参加資格並びに応札役務仕様書の審査を受けなければならない。(2) 提出書類ア 入札参加者の資格に関する書類競争入札参加資格者名簿(物品及び役務の調達)に登載されている者ａ 一般競争入札参加資格確認申請書(別紙様式第１号)イ 応札する役務の仕様に関する書類(ｱ) 競争入札に係る応札役務仕様書等審査申請書(別紙様式第２号)(ｲ) 応札役務仕様書本件調達役務の仕様に適合するものとして応札する役務の内容について下記により作成すること。① 調達をする役務の仕様書の内容を網羅していること。② 調達をする役務の実施に必要な人員体制を明示していること。③ 調達する役務に従事する職員の氏名を明示していること。④ 緊急時の連絡体制を明示していること。(3) 上記(2)の書類を郵送で提出する場合は、書留郵便に限る。(4) 申請書を提出した者は、入札日の前日までに添付書類に関し説明又は協議を求められた場合はこれに応じるものとし、必要な場合には添付書類の追加に応じるものとする。なお、その指示に応じないときは、入札参加資格がないものとみなす。(5) 応札役務仕様書の審査については、当該仕様書等が入札公告で示した仕様書に基づき作成され、その内容及び実施体制等が役務の的確な実施に必要な要件を具備しているかを判断するものとし、必要に応じその内容の補正等を指示する場合があり、提出者はこれに応じるものとする。(6) 申請書及び応札役務仕様書の作成及び提出に係る費用は、申請者の負担とする。４ 入札参加資格審査結果及び応札役務仕様書の審査結果の通知(1) 入札参加資格及び応札役務仕様書の審査は、その提出期限の日を基準日として行うものとし、その結果は令和８年３月18日(水)までに通知する。(2) 本件入札への参加は、前項の通知により、入札参加資格を有し、かつ、応札役務仕様書の審査においてその内容が本件調達役務の実施要件に適合すると認められたものについてのみ行うことができるものとする。５ 仕様書に関する質問等(1) 仕様書に関し質問がある場合は、令和８年３月13日(金)午前11時までに契約担当部局に別紙様式第７号により持参又は郵送(書留郵便に限る。)で提出すること。なお、郵送による場合は、上記期限まで契約担当部局に到達しなければならない。(2) (1)の質問に対する回答は、入札執行の日時までの期間、山形県のホームページ(https://www.pref.yamagata.jp/)に掲載する。６ 入札の辞退等(1) 入札参加者は、入札書を提出するまでの間は、いつでも入札を辞退することができる。 入札を辞退する場合は、書面により行うものとする。この場合は、辞退する役務等の名称、入札日、辞退する者の氏名又は名称、辞退する理由を記載した書面に代表者印を押印し、入札を執行する日時までに提出するものとする。(2) 入札参加者が入札執行時刻に遅れた場合は、本件入札を棄権したものとみなす。７ 入札(1) 入札書の様式は、入札書(別紙様式第８号)による。(2) 入札書は入札公告の「入札の場所及び日時」に持参するものとするが、郵送による提出も認める。(書留郵便に限る。)(3) 入札書は封筒に入れて厳封し、表に「氏名又は名称」及び「役務の名称」を記載すること。(4) 入札書を郵便により提出する場合は二重封筒とし、入札書を中封筒に厳封の上、上記(3)の内容を記載し、表封筒に「入札書在中」と朱書きすること。なお、令和８年３月23日(月)午後４時までに契約担当部局に必着とし、当該日時までに到達しなかった場合は棄権とみなす。(5) 入札者は名刺を提出し、代理人をして入札に関する行為をさせようとする者は、委任状(別紙様式第９号)を作成し提出させること。(6) 入札者又は入札者の代理人は、当該入札に関する他の入札者の代理をすることはできない。また、法人の代表者(支店長等の受任者を含む。)が自ら入札する場合は、当該入札に関して他の入札者となることはできない。(7) 入札価格には、輸送費、登録及び関税等通常の取引において必要とされる諸経費を含む総額とする。８ 開札入札者又はその代理人は開札に立ち会うものとする。入札者又はその代理人が立ち会わない場合においては、入札事務に関係のない山形県職員を立ち合わせて開札を行う。開札に立ち会わない入札者は、開札結果の通知に必要な返信用封筒に、受取人の住所、氏名又は名称等を明記のうえ、所定の料金の切手を貼ったものを入札書とともに提出しなければならない。９ 入札の無効次に掲げる入札は無効とする。(1) 入札公告に示した入札参加資格のない者(入札参加資格があることを確認された者で、開札時において入札公告に示した入札参加資格を満たさなくなった者を含む。)のした入札(2) 申請書に虚偽の記載をした者のした入札(3) 委任状を持参しない代理人のした入札(4) 入札の公正な執行を妨げ、又は公正な価格の成立を害し、若しくは不正の利益を得るため連合したと認められる入札(5) 同一の事項につき２通以上の入札書を契約担当者に提出した入札(6) 金額、氏名等の入札要件が確認できない入札書、記名押印を欠く入札書又は入札金額を訂正した入札書を契約担当者に提出した入札(7) その他入札に関する条件に違反した入札10 再度入札予定価格の制限の範囲内の価格の入札がないときは、直ちに再度の入札を行う場合がある。再度の入札を辞退するときは、入札書に「辞退」と記載し、提出すること。入札を一度辞退した者は、当該入札案件の再度の入札に参加することはできない。11 落札者の決定方法(1) 規則第 120 条第１項の規定により作成された公告２の(1)の総価の予定価格の範囲内で最低の価格をもって入札(有効な入札に限る。)を行った者を落札者とする。(2) 落札となるべき同価の入札をした者が二人以上あるときは、直ちに当該入札者にくじを引かせて落札者を決定する。この場合において、当該入札者のうち立ち会わない者又はくじを引かない者があるときは、当該入札執行事務に関係のない山形県職員にこれに代わってくじを引かせ落札者を決定する。(3) 落札者の決定の時までに入札参加資格を満たさなくなった者は落札者としない。12 その他(1) 申請書に虚偽の記載をした場合においては、山形県競争入札参加資格者指名停止要綱に基づく指名停止措置を行うことがある。(2) 入札参加者の連合、その他の理由により入札を公正に執行することができないと認められるときは、当該入札参加者を入札に参加させず、又は入札の執行を延期し、若しくは取り止めることがある。(3) 入札をした者は、入札後、契約条項又は入札条件等の不明を理由として異議を申立てることができない。(4) 落札者は予約完結権を他に譲渡することができない。(5) 入札者又はその代理人は、即日口頭落札決定通知を受領するための印鑑(入札書に使用する印鑑に限る。ただし、代理人の場合は当該代理人の印鑑とする。)を持参すること。なお、当該印鑑を持参できない場合は、入札執行時の指示により落札決定を通知する。(6) 本件契約の条項は、別に示す契約書による。(7) 契約締結にあたっては、４により通知を受けた応札役務仕様書の内容を変更することはできない。(8) その他必要とする入札に関する条件については、入札執行時の指示による。別紙様式第１号(一般競争入札参加資格確認申請書)年 月 日山形県産業技術短期大学校長 佐藤 俊一 殿住所又は所在地氏名又は名称代 表 者 氏 名 印一般競争入札参加資格確認申請書下記役務の調達に係る入札参加資格について確認されたく申請します。なお、公告された資格を有することについては事実と相違ないことを誓約します。記１ 調達役務の入札公告日及び名称(1) 入札公告日 令和８年３月４日(2) 役務の名称 土木施工管理・測量計算ＣＡＤソフトウェア保守業務※登録番号 ※確認印※申請者は記入しないでください。別紙様式第２号(競争入札に係る応札物品仕様書等審査申請書)年 月 日山形県立産業技術短期大学校長 佐藤 俊一 殿住所又は所在地氏名又は名称代 表 者 氏 名 印競争入札に係る応札役務仕様書等審査申請書下記役務の調達に係る応札役務仕様書等について、別添のとおり提出しますので審査されたく申請します。記１ 調達役務の入札公告日及び名称(1) 入札公告日 令和８年３月４日(2) 役務の名称 土木施工管理・測量計算ＣＡＤソフトウェア保守業務２ 提出書類(1) 応札役務仕様書(2) 応札役務の実施に必要な人員体制図(従事者の氏名、緊急時の連絡体制含む)別紙様式第７号(一般競争入札仕様書等に関する質問書)年 月 日山形県立産業技術短期大学校長 佐藤 俊一 殿住所又は所在地氏名又は名称代 表 者 氏 名 印競 争 入 札 に 関 す る 質 問 書下記役務の調達に係る仕様書等について、下記のとおり質問します。記１ 調達役務の入札公告日及び名称(1) 入札公告日 令和８年３月４日(2) 役務の名称 土木施工管理・測量計算ＣＡＤソフトウェア保守業務２ 質問事項等別紙様式第８号(入札書)※１ 入札者の「住所又は所在地」並びに「氏名又は名称及び代表者名」は、必ず記載すること。(代理人が入札する場合であっても、記載すること。その場合、押印は不要。 )※２ 代理人が入札する場合は、※１の記載に加え、〔 〕欄に記名・押印のうえ入札すること。入 札 書年 月 日山形県立産業技術短期大学校校 長 佐藤 俊一 殿入札者 住 所 又 は 所 在 地氏名又は名称及び代表者名㊞〔 代理人氏名 ㊞ 〕山形県財務規則及び山形県契約約款により入札条件を承認し、下記のとおり入札します。記入 札 金 額 ￥入札保証金額 免 除役 務 の 名 称及 び 規 格土木施工管理・測量計算ＣＡＤソフトウェア保守業務(規格は仕様書のとおり)数 量 一式納 入 場 所又は引渡場所山形県立産業技術短期大学校履 行 期 間又は履行期限令和８年４月１日から令和９年３月３１日摘 要※１※２別紙様式第９号(委任状)委 任 状年 月 日山形県立産業技術短期大学校長 佐藤 俊一 殿住所又は所在地氏名又は名称代 表 者 氏 名 ㊞私は を代理人と定め、下記の権限を(使用印鑑 )委任します。記１ 土木施工管理・測量計算ＣＡＤソフトウェア保守業務の入札並びに見積に関する一切の件２ 委 任 期 間年 月 日 から年 月 日 まで 1委 託 仕 様 書第１ 総則１ 業務名称土木施工管理・測量計算ＣＡＤソフトウェア保守業務２ 契約期間令和８年４月１日から令和９年３月３１日３ システム要件(保守対象のソフトウェア)(１)ライセンス数(以下はいずれも福井ｺﾝﾋﾟｭｰﾀ株式会社のソフトウェア)① TREND-ONE Ver.9 21本(21 ﾗｲｾﾝｽ)② EX-TREND武蔵 Ver.25 1本(5 ﾗｲｾﾝｽ)③ TREND-CORE Ver.11 5本(5 ﾗｲｾﾝｽ)④ TREND-POINT Ver.12 4本(4 ﾗｲｾﾝｽ)⑤ TREND-FIELD 4本(4 ﾗｲｾﾝｽ)(⑤の内容：タブレットPC内のソフトウェアとなり、内訳は、土木基本ｾｯﾄ、縦横断観測、TS出来形観測とする。)(２)システム利用対象者山形県立産業技術短期大学校土木エンジニアリング科の教員及び学生第２ 業務内容１ 作業項目本業務の作業項目は、福井コンピュータ株式会社が提供する各ソフトウェアに設定された「安心パック」に相当するものとし、次のとおりとする。(１)プログラム保守１)最新版プログラムへのバージョンアップの対応２)上記に伴うネットワーク環境・利用条件等の変更への対応３)上記に係る実行環境の設定、動作テスト及び検証(２)サポート保守１)ＣＡＤの操作方法等に関する電話による問合せへの対応(フリーダイアルの電話サポート)２)ＣＡＤの操作方法等に関するリモートサポート(３)基本サービスその他、マニュアル交換保証など基本サービスに含まれる第３ 業務成果物受託者は、「成果物一覧」にある成果物を納品すること。なお、様式及びデータのファイル形式については別途指示する。また、成果物一覧以外に必要な書類等については、県及び受託者で協議して定めるものとする。2成 果 物 一 覧１ 業務完了報告書印刷物：２部(ﾊﾞｰｼﾞｮﾝｱｯﾌﾟ完了時)２ その他(必要な資料・打合せ記録簿等)印刷物：２部電子データ第４ セキュリティ及び受託者が遵守すべき事項(１) 受託者は、業務上知りえた個人情報などを一切漏洩してはならない。(２) 受託者は、「山形県情報セキュリティポリシー」を遵守し、業務の遂行上知り得た事項は、県の許可なく公表または引用してはならない。(添付資料)・ 山形県情報セキュリティポリシー(山形県情報セキュリティ基本方針及び山形県情報セキュリティ対策基準)第５ 適正な労働条件の確保(１)受託者は、従事者の雇用にあたっては、労働基準法、最低賃金法及び労働安全衛生法等の労働関係法令を遵守するものとする。山形県情報セキュリティ基本方針本県は、自らＩＴ社会の模範たる構成員となり、ＩＴ社会の健全な発展に寄与するとともに、本県が保有する県基幹高速通信ネットワークをはじめとする情報システム及び電子情報(以下「本県の情報資産」という。)の管理を適正に実施し、県民の権利、利益を守り、行政の安定的継続的な運営を実現するため、ここに山形県情報セキュリティ基本方針を制定する。１ 職員一人一人がＩＴ社会における模範となるよう努める。２ 適切な技術的施策を講じ、本県の情報資産に対する不正な侵入、改ざん、破壊、利用妨害などが発生しないよう、また、これが漏えいなどすることのないよう努める。３ 外部の情報資産に対して不正な侵入、改ざん、破壊、利用妨害などをすることがないよう努める。４ 本県の情報資産にセキュリティ上問題が発生した場合、その原因を迅速に究明し、その被害を最小限に止めるよう努める。５ 本県の情報資産のうち特に重要なものについては、必要なとき確実に利活用できるよう十分な備えに努める。６ 上記の活動を継続的に実施し、かつ、新たな脅威にも対応できるよう、情報セキュリティ管理体制を確立する。平成14年4月1日 施行平成20年4月1日 改正施行-1-山形県情報セキュリティ対策基準目次第１章 総則第２章 組織体制第３章 情報資産の分類と管理第４章 情報システム全体の強靭性の向上第５章 物理的セキュリティ第６章 人的セキュリティ第７章 技術的セキュリティ第８章 遵守状況の確認第９章 障害時の対応第10章 業務委託と外部サービスの利用第11章 法令遵守第12章 違反時の対応等第13章 評価・見直し第14章 例外措置第15章 実施手順第16章 委任-2-第１章 総則１．１ 目的山形県情報セキュリティ対策基準(以下「本対策基準」という。)は、山形県情報セキュリティ基本方針(以下「基本方針」という。)に基づき、本県が保有する情報資産を脅威から保護するための情報セキュリティ対策を実施するにあたっての組織体制、管理方法、遵守すべき事項及び判断基準等について基本的な事項を定めることを目的とする。１．２ 用語の定義本対策基準における主な用語の定義は以下のとおりとする。(１)情報セキュリティポリシー基本方針及び本対策基準をいう。(２)情報資産次に掲げるもので、本県が保有又は契約により使用等するものをいう。① 下記(３)から(７)に掲げるもの② ①で取り扱う情報(これらを印刷した帳票及び文書を含む。)③ ①にアクセス又は管理区域へ出入りするために用いるICカード、USBトークン及びこれらに類するもの(以下「ICカード等」という。)④ 情報システムの仕様書、ネットワーク構成図及び開発・保守に関する資料等の文書(３)パソコン等機器パソコン、モバイルノートパソコン、スマートフォン及びタブレット型コンピュータ等の機器並びにこれらに含まれる電磁的記録媒体をいう。(４)サーバ等機器情報を格納しているサーバ及びこれに含まれる電磁的記録媒体並びに通信回線装置等のネットワークを構成する基幹機器をいう。(５)電磁的記録媒体磁気ディスク、光学ディスク、磁気テープ及びフラッシュメモリ記憶装置等(スマートフォン及びタブレット型コンピュータ等の機器に含まれるものを含む。)のデータを記録・保持するための媒体又は装置全体をいう。(６)ネットワークパソコン等機器又はサーバ等機器(以下「パソコン・サーバ等」という。)を相互に利用するための通信回線網及びこれを構成する基幹機器をいう。(７)情報システムパソコン・サーバ等、電磁的記録媒体、ネットワーク、クラウドサービス(インターネット上で利用できるアプリケーション等のサービスをいう。)及びソフトウェアで構成された情報処理又は通信に用いる機器及び仕組みをいう。(８)脅威次に掲げるもの及びこれに類するもので、情報資産に係るものをいう。① 部外者等の無断侵入、窃取、不正アクセス、不正プログラム(不正かつ有害な動作を行う意図で作成された悪意のあるプログラム等をいう。 )による攻撃及び標的型攻撃等の意図的要因並びに委託-3-事業者等の過失等の非意図的要因による情報資産の漏えい・破壊・改ざん・消去等② 職員等の情報セキュリティポリシーに係る違反行為等の意図的要因並びにプログラム上の欠陥、人為的ミス(誤操作、電子メールの誤送信、紛失等をいう。)及び故障等の非意図的要因による情報資産の漏えい・破壊・改ざん・消去等③ 地震、落雷及び火災等の災害並びにサービス不能攻撃等の予期しない大量アクセス等による情報システムの停止等(９)情報セキュリティ情報資産について、次に掲げるものを維持することをいう。① 機密性(Confidentiality)情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。② 完全性(Integrity)情報が破壊、改ざん又は消去されていない状態を確保することをいう。③ 可用性(Availability)情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。(10)情報セキュリティインシデント単独又は一連の脅威のうち、情報セキュリティを脅かす又はその確率が高い事象をいう。(11)職員常勤の職員をいう。(12)職員等職員、非常勤職員をいう。(13)事業継続計画自然災害等の問題発生シナリオに基づいて具体的な作業手順を定め、事業などが停止する時間を可能な限り少なくする目的で作られる管理策や計画をいう。(14) マイナンバー利用事務系(個人番号利用事務系)個人番号利用事務(社会保障、地方税若しくは防災に関する事務)又は戸籍事務等に関わる情報システム及びデータをいう。(15) LGWAN 接続系人事給与、財務会計及び文書管理等LGWAN に接続された情報システム及びその情報システムで取り扱うデータをいう。(16) インターネット接続系インターネットメール、ホームページ管理システム等に関わるインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。(17) 通信経路の分割LGWAN 接続系とインターネット接続系の両環境間の通信環境を分離した上で、安全が確保された通信だけを許可できるようにすることをいう。(18) 無害化通信インターネットメール本文のテキスト化や端末への画面転送等により、コンピューターウィルス等の不正プログラムの付着がない等、安全が確保された通信をいう。-4-(19)標準準拠システム等地方公共団体情報システムの標準化に関する法律(令和３年法律第40号)第６条第１項及び第7条第１項に規定する標準化基準に適合する基幹業務システム及び関連システム等の業務システムをいう。(20)重要情報住民の個人情報や企業の経営情報等をいう。１．３ 適用範囲(１)組織の範囲本対策基準が適用される行政機関は、知事部局、教育委員会、議会事務局、選挙管理委員会、人事委員会、監査委員、公安委員会、警察本部、労働委員会、収用委員会、海区漁業調整委員会、内水面漁場管理委員会、企業局及び病院事業局(以下「各部局」という。)とする。(２)情報資産の範囲本対策基準は、各部局が管理する情報資産を対象とする。ただし、第３章以下の規定は、警察本部が管理する情報資産について、及び山形県県立学校教育情報セキュリティ対策基準が対象とする情報資産は、第６章の６．６情報セキュリティインシデントの報告及び対応等を除き適用しない。第２章 組織体制２．１ 組織・管理体制山形県DX推進本部設置要綱により設置された山形県DX推進本部(以下「本部」という。)を情報セキュリティポリシーに関する最高意思決定機関として、本県における情報セキュリティに係る方針を決定し、その維持及び向上を図るとともに、次の体制により情報セキュリティ対策を推進する。(１)最高情報セキュリティ責任者(Chief Information Security Officer、以下「CISO」という。)副知事を、CISOとする。CISOは、次に掲げる権限と責任を有する。① 本県における情報セキュリティ対策全般に関する統括的な権限と責任を有する。② 情報セキュリティを含む情報管理全般に関する専門的な知識及び経験を有する専門家をアドバイザーとして置くことができる。③ 本対策基準の改定をすることができる。④ CISOが不在の場合は、統括情報セキュリティ責任者がその権限を代行する。(２)統括情報セキュリティ責任者みらい企画創造部長を、統括情報セキュリティ責任者とする。統括情報セキュリティ責任者は、次に掲げる権限と責任を有する。① CISOを補佐する。② 情報セキュリティ責任者に対して、情報セキュリティに関する指導及び助言を行う。③ 情報セキュリティインシデント(軽微なものを除く。)が発生した場合は、CISOの指示のもと、必要かつ十分な措置を行う。(３)副統括情報セキュリティ責任者みらい企画創造部次長を、副統括情報セキュリティ責任者とする。副統括情報セキュリティ責任者-5-は、次に掲げる権限と責任を有する。① 統括情報セキュリティ責任者を補佐する。② 情報セキュリティインシデント(軽微なものを除く。)が発生した場合において、CISO及び統括情報セキュリティ責任者が不在の場合はこれに代わり必要かつ十分な措置を行う。(４)情報セキュリティ責任者本部の本部員(以下「部局長」という。)を、情報セキュリティ責任者とする。情報セキュリティ責任者は、次に掲げる権限と責任を有する。① 各部局の情報セキュリティに関する統括的な権限と責任を有する。② 各部局の情報セキュリティ管理者及び情報システム管理者に対して、情報セキュリティに関する指導及び助言を行う。(５)情報セキュリティ管理者各所属長を、各所属における情報セキュリティ管理者とする。情報セキュリティ管理者は、各所属における情報セキュリティについて次に掲げる権限と責任を有する。① 各所属における情報セキュリティ対策に関して、適切な運用及び管理を行う。② 所管する情報資産を適正に管理するとともに、情報セキュリティポリシーの適切な運用に関して、所属する職員等に指導を行う。(６)情報システム管理者各情報システムを所管する所属の長を、情報システム管理者とする。情報システム管理者は、所管する情報システムについて次に掲げる権限と責任を有する。① 著しく不適切な利用等が認められる者がある場合は、その者の利用を制限又は停止する事ができる。② 所管する情報システムの情報セキュリティに関する維持管理を行う。③ 情報システムに関する実施手順の策定及び維持管理を行うとともに、情報主管課長と連携し、緊急時の連絡体制について利用する職員等に周知徹底を図る。 (７)情報主管課長等情報セキュリティポリシーの運用を適切に実施するため、情報主管課を定めるものとし、みらい企画創造部ＤＸ推進課を情報主管課とし、同部ＤＸ推進課長を情報主管課長とする。情報主管課長は、次に掲げる権限と責任を有する。① 県としての情報セキュリティの考え方・取組みを明確にする。② 情報セキュリティポリシーに基づき、山形県として満たすべき情報セキュリティの基準を明確にし、それを実現し、維持するため、本対策基準に基づき実施手順を整備する。③ 情報セキュリティインシデントが発生した際に迅速な対応ができるよう、各部局との連携のもとに山形県としての組織体制や連絡網を確立するとともに、山形県全体の情報セキュリティ管理体制の統括事務を所掌する。④ 軽微な情報セキュリティインシデントが発生した場合は、自らの判断により必要かつ十分な措置を行うことができる。(８)山形県情報セキュリティ等監査員班統括情報セキュリティ責任者は、情報資産における情報セキュリティ対策状況について確認するため、山形県情報セキュリティ等監査員班長を指名し、山形県情報セキュリティ等監査員班を組織するものとする。-6-(９)情報化推進・セキュリティ委員会情報セキュリティ責任者は、情報セキュリティポリシーを各部局の日常業務の中で具体的に運用するため、各部局、各総合支庁ごと情報化推進・セキュリティ委員会を組織するものとする。(10)情報セキュリティインシデント対策班(Computer Security Incident Response Team、以下「CSIRT」という。)情報セキュリティインシデントの防止に向けた取組みを行うとともに、発生時において、その状況等を正確に把握し、被害拡大の防止、復旧及び再発防止等の対策を迅速かつ的確に行うため、次に掲げるところによりCSIRTの体制を整備するものとする。① 統括情報セキュリティ責任者、副統括情報セキュリティ責任者、情報主管課長及び情報主管課をCSIRTとする。② 統括情報セキュリティ責任者をCSIRT責任者、副統括情報セキュリティ責任者をCSIRT副責任者、情報主管課長をCSIRT管理者とする。③ CSIRT責任者は、情報セキュリティインシデントに対し必要かつ十分な措置をCSIRT管理者に指示する。④ CSIRT副責任者は、CSIRT責任者を補佐する。また、情報セキュリティインシデントの公表について、情報セキュリティインシデントが発生した部局(以下「インシデント発生部局」という。)に対し指示及び支援を行う。⑤ CSIRT管理者は、CSIRT責任者の指示のもと、情報セキュリティインシデントに対し必要かつ十分な措置を行う。⑥ CSIRT管理者は、情報セキュリティに関して県内市町村、関係機関及び委託事業者等との情報共有を行う。⑦ CSIRT管理者は、県内市町村から情報セキュリティインシデントの報告を受けた場合は、必要に応じ回復のための支援を行う。(11)標準準拠システム等をクラウドサービス上で利用する際の組織体制情報主管課長及び情報システム管理者は、標準準拠システム等をクラウドサービス上で利用する際には、複数の事業者の存在・責任の所在を確認し、複数の事業者が存在する場合は、必要な連絡体制を構築しなければならない。また、クラウドサービス利用における情報セキュリティ対策に取り組む十分な組織体制を確立しなければならない。第３章 情報資産の分類と管理３．１ 情報資産の管理責任情報セキュリティ管理者及び情報システム管理者は、所管する情報資産について管理責任を有する。３．２ 情報資産の分類情報セキュリティ管理者及び情報システム管理者は、所管する情報資産について、別に定める実施手順に基づき、表１、表２及び表３に定める機密性、完全性、可用性に関する基準により分類を行うものとする。表１ 機密性による情報資産の分類-7-分類 分類基準自治体機密性３Ａ行政事務で取り扱う情報資産のうち、「行政文書の管理に関するガイドライン」(平成23年４月１日内閣総理大臣決定)に定める秘密文書に相当する文書自治体機密性３Ｂ行政事務で取り扱う情報資産のうち、漏えい等が生じた際に、個人の権利利益の侵害の度合いが大きく、事務又は業務の規模や性質上、取扱いに非常に留意すべき情報資産自治体機密性３Ｃ行政事務で取り扱う情報資産のうち、自治体機密性３Ｂ以上に相当する機密性は要しないが、基本的に公表することを前提としていないもので、業務の規模や性質上、取扱いに留意すべき情報資産自治体機密性２行政事務で取り扱う情報資産のうち、自治体機密性３に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産自治体機密性１自治体機密性２又は自治体機密性３の情報資産以外の情報資産表２ 完全性による情報資産の分類分類 分類基準自治体完全性２行政事務で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、住民の権利が侵害される、又は行政事務の適正な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産自治体完全性１自治体完全性２の情報資産以外の情報資産表３ 可用性による情報資産の分類分類 分類基準自治体可用性２行政事務で取り扱う情報資産のうち、滅失、紛失、又は当該情報資産が利用不可能であることにより、住民の権利が侵害される、又は行政事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産自治体可用性１自治体可用性２の情報資産以外の情報資産３．３ 情報資産の管理情報セキュリティ管理者及び情報システム管理者は、所管する情報資産(クラウドサービスに保存される情報資産も含む。)の取扱いについて管理方法を定め、情報資産の分類又はその内容に応じその取扱いを制限しなければならない。また当該情報資産について、所属する職員等に対し、次に掲げるところ及び別に定める実施手順により取り扱うよう指導しなければならない。(１)取扱い制限の遵守-8-取扱い制限のある情報資産を取り扱う場合は、これを遵守すること。(２)情報の秘匿情報をパソコン等機器又は電磁的記録媒体に保存する場合は、当該情報の情報資産の分類等に応じて、パスワード等による暗号化又は当該機器等の管理区域への保管等の方法によりこれを秘匿すること。(３)作成途中の情報の管理自治体機密性２以上の情報について、作成途中であっても紛失や流出等を防止し、作成途中で不要になった場合は、これを消去すること。(４)他所属が所管する情報資産の取扱い他の所属が所管する情報資産について、当該他所属が定めた情報資産の分類に基づき取り扱うこと。 (５)情報資産の廃棄等情報資産を廃棄やリース返却等を行う場合は、次に掲げるところにより行うこと。① 当該媒体を所管する情報セキュリティ管理者又は情報システム管理者の許可を得ること。② 記録されている情報の自治体機密性に応じ、情報資産の情報を復元できないように処置すること。③ 行った処理について、日時、担当者及び処理内容等を記録すること。④ 標準準拠システム等のクラウドサービス上での利用における全ての情報資産について、クラウドサービスの利用終了時期を確認し、クラウドサービスで扱う情報資産が適切に移行及び削除されるよう管理すること。３．４ パソコン等機器、電磁的記録媒体及びソフトウェアの管理(１)パソコン等機器、電磁的記録媒体及びソフトウェアの管理情報セキュリティ管理者及び情報システム管理者は、所管するパソコン等機器、電磁的記録媒体及びソフトウェアの管理について、次に掲げるところにより行うものとする。① パソコン等機器及び電磁的記録媒体の貸出及び返却について、記録を作成し保管しなければならない。② ソフトウェアについて、そのライセンスを適切に管理しなければならない。また、開発元のサポートが終了したソフトウェアについては、原則として速やかにその使用を終了しなければならない。 また、緊急性及び重要性に応じて情報セキュリティ責任者に報告しなければならない。④ 情報主管課長は、情報セキュリティインシデントを認知した場合は、その状況を確認し、緊急性及び重要性に応じて統括情報セキュリティ責任者及び副統括情報セキュリティ責任者に報告を行うと-15-ともに、統括情報セキュリティ責任者の指示又は自らの判断のもと、当該インシデントに係る情報セキュリティ管理者及び情報システム管理者に対し、被害拡大防止及び復旧のための対策を指示し、又は自らこれを講じなければならない。⑤ 統括情報セキュリティ責任者は、情報セキュリティインシデントの報告を受けた場合はその状況を確認し、被害拡大防止及び復旧のための対策について情報主管課長に対し指示しなければならない。また、その内容についてCISOに報告しなければならない。⑥ 情報主管課長は、同様の情報セキュリティインシデントが別の情報システムにおいても発生している可能性を検討し、必要に応じて当該情報システムを所管する情報システム管理者へ確認を指示しなければならない。⑦ 情報セキュリティインシデントにより、個人情報・特定個人情報の漏えい等が発生した場合、必要に応じて個人情報保護委員会へ報告しなければならない。(２)情報セキュリティインシデントの公表情報セキュリティインシデントについて外部公表を行う場合は、次に掲げるところにより行うものとする。① 副統括情報セキュリティ責任者は、インシデント発生部局における「山形県広報広聴事務取扱要綱」の規定による広報監(以下「発生部局の広報監」という。)に対し、外部公表に係る指示及び支援を行わなければならない。② 外部公表は、発生部局の広報監が行うものとし、その内容について副統括情報セキュリティ責任者に報告しなければならない。③ 副統括情報セキュリティ責任者は、公表した内容について統括情報セキュリティ責任者に報告しなければならない。(３)関係機関等との連携情報主管課長は、当該情報セキュリティインシデントが不正アクセス禁止法違反等の犯罪の可能性がある場合は、攻撃の記録を保存するとともに、警察及び関係機関との密接な連携に努めなければならない。(４)情報セキュリティインシデントの原因究明・記録等情報主管課長並びに発生した情報セキュリティインシデントに係る情報セキュリティ管理者及び情報システム管理者は、互いに連携して当該インシデントの原因を究明するとともに、その内容、原因、処理結果等を記録し、適切に保存しなければならない。(５)情報セキュリティインシデントの再発防止① CISOは、情報セキュリティインシデントの報告を受けた場合は、その内容を確認し、統括情報セキュリティ責任者に対し再発防止策を実施するために必要な措置を指示しなければならない。② 統括情報セキュリティ責任者は、CISO の指示のもと、再発防止のための対策について情報セキュリティ責任者に対し指示し、又は自らこれを行わなければならない。また、その内容についてCISOに報告しなければならない。③ 情報セキュリティ責任者は、再発防止の対策について指示を受けた場合はこれを実施し、その内容について統括情報セキュリティ責任者へ報告しなければならない。６．７ ID及びパスワード等の取扱い-16-職員等は、ID、パスワード及びICカード等の取扱いについて、次に掲げるところにより行うものとする。(１)ID及びパスワードの取扱い① 自己の管理するID及びパスワードを、他人に利用させてはならない。② 情報システム等でやむを得ずID及びパスワードを共用利用する場合は、共用利用者以外に利用させてはならない。③ パスワードは秘密にし、パスワードを記載したメモ等を第三者が容易に閲覧できる場所に掲示等してはならない。また、業務上必要がなくなった場合は速やかにこれを廃棄しなければならない。④ パスワードは十分な長さとし、文字列は他人が容易に想像できないものにしなければならない。⑤ ID及びこれに係るパスワードが流出した、又はそのおそれがある場合は、速やかにパスワードを変更するとともに、「6.6.情報セキュリティインシデントの報告及び対応等」に掲げるところにより報告等を行わなければならない。⑥ 情報システム管理者から与えられた仮のパスワード(初期パスワード含む)について、情報システムへ初めてログインした時点で変更しなければならない。⑦ パソコン等機器のパスワードの記憶機能について、情報主管課より提供された以外のものを使用してはならない。(２)ICカード等の取扱い① ICカード等を業務上必要のない者に貸し出してはならない。② ICカード等をパソコン等機器に接続したまま離席してはならない。③ ICカード等を紛失した場合は、「6.6.情報セキュリティインシデントの報告及び対応等」に掲げるところにより報告等を行わなければならない。第７章 技術的セキュリティ７．１ 機器及びネットワークの管理(１)機器及びネットワークの管理情報システム管理者は、所管する情報システムについて、次に掲げるところにより機器及びネットワークの管理等を行うものとする。① バックアップの実施(ア)業務システムのデータベースやサーバ等機器に記録された情報について、当該機器の冗長化対策にかかわらず、必要に応じて定期的にバックアップを実施しなければならない。(イ)重要な情報を取り扱うサーバ装置については、適切な方法でサーバ装置のバックアップを取得しなければならない。(ウ)重要な情報を取り扱う情報システムを構成する通信回線装置については、運用状態を復元するために必要な設定情報等のバックアップを取得し保管しなければならない。(エ)標準準拠システム等のクラウドサービス上での利用において、クラウドサービス事業者のバックアップ機能を利用する場合、クラウドサービス事業者にバックアップ機能の仕様を要求し、その仕様を確認しなければならない。また、その機能の仕様が要件を満たすことを確認しなければならない。クラウドサービス事業者からバックアップ機能を提供されない場合やバックアップ機能を利-17-用しない場合は、自らバックアップ機能の導入に関する責任を負い、バックアップに関する機能を設け、情報資産のバックアップを行わなければならない。② 情報システムの運用において実施した作業について、作業記録を作成し適切に管理しなければならない。 ③ 情報システムの変更等の作業を行った場合は、作業内容について記録を作成するとともに、これを漏えいし、又は改ざん若しくは消去等されないよう適正に管理し、運用・保守によって機器の構成や設定情報等に変更があった場合は、情報セキュリティ対策が適切であるか確認し、必要に応じて見直さなければならない。④ 情報システムの仕様書及びネットワーク構成図について、記録媒体にかかわらず、業務上必要とする者以外の者の閲覧、紛失等がないよう、適正に管理しなければならない。⑤ 各種ログ及び情報セキュリティの確保に必要な情報を取得するとともに、これを改ざん及び誤消去されないよう必要な措置を講じた上で、一定の期間保管しなければならない。⑥ ログとして取得する項目、保存期間及び取扱い方法等について定め、適正にログを管理しなければならない。⑦ 悪意ある第三者等からの不正侵入及び不正操作等の有無について、取得したログを必要に応じて点検又は分析しなければならない。なお、標準準拠システム等をクラウドサービス上での利用の際には、クラウドサービス事業者が収集し、保存する記録(ログ等)に関する保護(改ざんの防止等)の対応について、ログ管理等に関する対策や機能に関する情報を確認し、記録(ログ等)に関する保護が実施されているのか確認しなければならない。⑧ 標準準拠システム等のクラウドサービス上での利用において、情報セキュリティ監査等のために必要となった場合のクラウドサービス事業者の環境内で生成されるログ等の情報(デジタル証拠)について、クラウドサービス事業者から提供されるログ等の監視機能を利用して取得することで十分では無い場合は、クラウドサービス事業者に提出を要求するための手続を明確にしなければならない。⑨ 職員等からの情報システムに関する障害の報告及びその処理結果又は問題等を、障害記録として記録し、適正に保存しなければならない。⑩ フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等の設定情報を管理しなければならない。⑪ 不正アクセスを防止するため、ネットワークに適正なアクセス制御を施さなければならない。⑫ 保守又は診断のために、外部の通信回線から内部の通信回線に接続された機器等に対して行われるリモートメンテナンスに係る情報セキュリティを確保しなければならない。また、情報セキュリティ対策について、定期的な確認により見直さなければならない。７．２ 外部ネットワーク等との接続(１)外部ネットワーク等との接続情報システム管理者は、所管する情報システムについて外部のネットワーク及び情報システム(以下「外部ネットワーク等」という。)との接続を行う場合は、次に掲げるところにより行うものとする。① 基幹ネットワークを外部ネットワーク等と接続する場合は、情報主管課長の承認を得た上でこれを行わなければならない。② 接続しようとする外部ネットワーク等に係るネットワーク構成、機器構成及び情報セキュリティ-18-技術等を調査しなければならない。③ 接続した外部ネットワーク等の管理者の瑕疵によりデータの漏えい・破壊・改ざん・消去等又は情報システムの停止等による業務への影響が生じた場合に対処するため、当該外部ネットワーク等の管理者による損害賠償責任を契約上担保しなければならない。④ ウェブサーバ等をインターネット上に公開する場合、次のセキュリティ対策を実施しなければならない。(ア)庁内ネットワークへの侵入を防御するために、ファイアウォール等を外部のネットワークとの境界に設置した上で接続しなければならない。(イ)脆弱性が存在する可能性が増大することを防止するため、ウェブサーバが備える機能のうち、必要な機能のみを利用しなければならない。(ウ)ウェブサーバからの不用意な情報漏えいを防止するための措置を講じなければならない。(エ)情報システム管理者は、ウェブコンテンツの編集作業を行う主体を限定しなければならない。(オ)インターネットを介して転送される情報の盗聴及び改ざんの防止のため、全ての情報に対する暗号化及び電子証明書による認証の対策を講じなければならない。【推奨事項】⑤ 接続した外部ネットワーク等のセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合は、速やかに当該外部ネットワークを遮断しなければならない。７．３ 無線LANの盗聴対策情報システム管理者は、所管する情報システムにおいて無線LANを利用する場合、解読が困難な暗号化及び認証技術を使用しなければならない。７．４ 電子メールのセキュリティ管理及び利用制限情報主管課長が所管する電子メールのセキュリティ管理及び利用制限は、次に掲げるところによるものとする。(１)電子メールのセキュリティ管理情報主管課長は、電子メールのセキュリティ管理等について、次に掲げるところにより行うものとする。① 権限のない利用者により、基幹ネットワークを経由した外部から外部への電子メールの中継処理が行われることを不可能とするよう、メールサーバの設定を行わなければならない。② スパムメール等が内部から送信されていることを検知した場合は、必要に応じてメールサーバの運用を停止しなければならない。③ 電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。④ 所管するドメインについて、外部の者により詐称されないよう送信ドメインの認証を行わなければならない。⑤ 添付ファイルが付いた電子メールを送受信する場合は、不正プログラム対策ソフトウェアでチェックを行わなければならない。インターネット接続系で受信したインターネットメール又はインターネット経由で入手したファイルをLGWAN接続系に取込む場合は無害化しなければならない。(２)電子メールの利用制限情報システムの開発、運用又は保守等のため庁舎内に常駐している委託事業者等による電子メール-19-アドレスの利用は原則禁止とする。ただし、業務上やむを得ないと情報主管課長が認めた場合はこの限りではない。７．５ Web会議サービスの利用時の対策Web 会議サービスの利用にあたっては、別に定める実施手順に従い、情報セキュリティ対策を実施しなければならない。７．６ ソーシャルメディアサービスの利用ソーシャルメディアサービスの利用にあたっては、別に定める実施手順を遵守しなければならない。 ７．７ アクセス制御(１)情報システム管理者によるアクセス制御等情報システム管理者は、所管する情報システムへのアクセス制御等について、次に掲げるところにより行うものとする。① 情報システムで取り扱う情報資産の分類又はその内容に応じ、アクセス権限を有する職員等及びその権限の内容を、必要最小限としなければならない。② アクセスする権限のない職員等がアクセスできないよう、ICカード等又はユーザID等によりシステム上制限しなければならない。③ 利用者の登録、変更及び抹消等の情報管理並びに職員等の異動、出向及び退職等に伴うユーザ IDの取扱い等の方法を定めなければならない。④ ユーザIDに不要なアクセス権限が付与されていないか定期的に確認しなければならない。⑤ 管理者権限等の特権を付与されたID を利用する者を必要最小限にし、当該ID及びこれに係るパスワードの漏えい等が発生しないよう厳重に管理しなければならない。⑥ 職員等の認証に関する情報を厳重に管理しなければならない。認証情報ファイルを不正利用から保護するため、オペレーティングシステム等で認証情報設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。⑦ 認証情報が、悪意ある第三者等によって窃取された際の被害を最小化するための措置及び、内部からの不正操作や誤操作を防止するための措置を講じなければならない。⑧ 特権を付与されたID及びパスワードについて、人事異動の際のパスワードの変更、入力回数制限等のセキュリティ機能を強化しなければならない。⑨ 所管する情報システムの情報資産の分類又はその内容に応じて、適正な強度のログインパスワードを設定しなければならない。⑩ 外部のネットワークからのアクセスを認める場合、通信途上の盗聴を防御するために通信の暗号化等の措置を講じなければならない。⑪ 特権によるネットワーク及び情報システムへの接続時間を必要最小限とするよう努めなければならない。(２)職員等による外部からのアクセス等の制限情報セキュリティ管理者は、職員等による外部のネットワークからのアクセス等について、次に掲げるところにより行わなければならない。① 職員等に外部からネットワーク又は情報システムへアクセスさせる場合は、当該システムを所管-20-する情報システム管理者の承認を得なければならない。② ネットワーク又は情報システムに対する外部からのアクセスを、これを必要とする合理的理由を有する最小限の者に限定しなければならない。７．８ システム開発・導入・保守等情報システム管理者は、情報システムの開発・導入・保守等について、次に掲げるところにより行うものとする。(１)機器等の調達に係る運用規程の整備① 機器等の選定基準を運用規程として整備しなければならない。必要に応じて、選定基準の一つとして、機器等の開発等のライフサイクルで不正な変更が加えられないような対策を講じなければならない。② 情報セキュリティ対策の視点を加味して、機器等の納入時の確認・検査手続を整備しなければならない。(２)機器等及び情報システムの調達① 情報システムに係る開発・導入・保守等の調達にあたっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。また、業務システムに誤ったプログラム処理が組み込まれないよう、不具合を考慮した技術的なセキュリティ機能を調達仕様書に記載しなければならない。② 機器又はソフトウェアの調達にあたっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。(３)情報システムの開発① 開発に使用するIDを適切に管理し、開発完了後に不要となる場合は、これを消去しなければならない。② 開発に用いるハードウェア及びソフトウェアを特定し、情報セキュリティ上問題のないことを確認し、それ以外のものを利用させてはならない。③ 利用を認めた以外のソフトウェアが情報システムに導入されている場合は、これを消去しなければならない。④ アプリケーション・コンテンツの開発時の対策ウェブアプリケーションの開発において、セキュリティ要件として定めた仕様に加えて、既知の種類のウェブアプリケーションの脆弱性を排除するための対策を講じなければならない。(４)情報システムの導入① 情報システムの開発、保守及びテスト環境と運用環境を可能な限り分離しなければならない。② 情報システムの開発・保守計画の策定時にシステム運用環境への移行の手順を明確にしなければならない。③ 移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う業務への影響が最小限になるよう配慮しなければならない。④ 導入する情報システム又はサービスに求められる可用性を満たすことを確認した上で導入しなければならない。⑤ 導入する情報システム又はサービスを既に稼動している情報システムに接続する前に十分な試験を行わなければならない。またこの場合において、機密性２以上の情報を試験に使用してはならな-21-い。⑥ 業務システムに誤ったプログラム処理が組み込まれないよう、不具合を考慮したテスト計画を策定し、確実に検証が実施されるよう、必要かつ適切に委託事業者の監督を行わなければならない。⑦ 機器等の納入時又は情報システムの受入れ時(ア)機器等の納入時又は情報システムの受入れ時の確認・検査において、調達仕様書等定められた検査手続に従い、情報セキュリティ対策に係る要件が満たされていることを確認しなければならない。(イ)情報システムが構築段階から運用保守段階へ移行する際に、当該情報システムの開発事業者から運用保守事業者へ引継がれる項目に、情報セキュリティ対策に必要な内容が含まれていることを確認しなければならない。(５) 情報システムの基盤を管理又は制御するソフトウェア導入時の対策① 情報セキュリティの観点から情報システムの基盤を管理又は制御するソフトウェアを導入する端末、サーバ装置、通信回線装置等及びソフトウェア自体を保護するための措置を講じなければならない。【推奨事項】② 利用するソフトウェアの特性を踏まえ、以下の全ての実施手順を整備しなければならない。 (ア)情報システムの基盤を管理又は制御するソフトウェアの情報セキュリティ水準の維持に関する手順(イ)情報システムの基盤を管理又は制御するソフトウェアで発生した情報セキュリティインシデントを認知した際の対処手順(６) 情報システムの基盤を管理又は制御するソフトウェア運用時の対策① 情報システムの基盤を管理又は制御するソフトウェアを運用・保守する場合は、以下の全てのセキュリティ対策を実施しなければならない。【推奨事項】(ア)情報システムの基盤を管理又は制御するソフトウェアのセキュリティを維持するための対策(イ)脅威や情報セキュリティインシデントを迅速に検知し、対応するための対策② 利用を認めるソフトウェアについて、定期的な確認による見直しを行わなければならない。(７)情報システムの開発・保守に関する資料の保管情報システムの開発・保守に関する資料を適正に整備・保管しなければならない。① 情報システムを新規に構築し、又は更改する際には、情報システム台帳のセキュリティ要件に係る内容を記録又は記載し、当該内容について情報主管課長に報告しなければならない。② 所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、以下を全て含む情報システム関連文書を整備しなければならない。【推奨事項】・情報システムを構成するサーバ装置及び端末関連情報・情報システムを構成する通信回線及び通信回線装置関連情報③ 所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、以下を全て含む実施手順を整備しなければならない。・情報システム構成要素ごとの情報セキュリティ水準の維持に関する手順・情報セキュリティインシデントを認知した際の対処手順・情報システムが停止した際の復旧手順(８)入出力データの正当性の確保① 情報システムに入力されるデータについて、範囲及び妥当性のチェック機能並びに不正な文字列-22-の入力を除去する機能が組み込まれるよう、情報システムを設計しなければならない。② ウェブアプリケーションやウェブコンテンツにおいて、次のセキュリティ対策を実施しなければならない。(ア)利用者の情報セキュリティ水準の低下を招かぬよう、アプリケーション及びウェブコンテンツの提供方式等を見直ししなければならない。(イ)運用中のアプリケーション・コンテンツにおいて、定期的に脆弱性対策の状況を確認し、脆弱性が発覚した際は必要な措置を講じなければならない。(ウ)ウェブアプリケーションやウェブコンテンツにおいて、故意又は過失による情報の漏えい・破壊・改ざん・消去等のおそれがある場合に、これを検出するチェック機能が組み込まれるよう、情報システムを設計しなければならない。③ 情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるよう、情報システムを設計しなければならない。(９)変更管理情報システムの変更をした場合は、プログラム仕様書等の変更履歴を作成しなければならない。(10)開発・保守用のソフトウェアの更新等開発・保守用のソフトウェアを更新又はこれにパッチを適用する場合は、関連する他の情報システムへ影響を与えることがないよう、その整合性を確認しなければならない。(11)システム更新又は統合時の検証等情報システムを更新又は統合する際は、長時間停止や誤作動による業務への影響が生じないよう、更新等の前にその体制及び計画等について検証等を行わなければならない。(12)情報システムについての対策の見直し対策の推進計画等に基づき情報システムの情報セキュリティ対策を適切に見直さなければならない。 また、本県内で横断的に改善が必要となる情報セキュリティ対策の見直しによる改善指示に基づき、情報セキュリティ対策を適切に見直さなければならない。なお、措置の結果については、情報主管課長へ報告しなければならない。７．９ 不正プログラム対策(１)情報主管課長による対策情報主管課長は、不正プログラム対策について、次に掲げるところにより行うものとする。① 外部ネットワーク等から送受信するファイルは、基幹ネットワークのゲートウェイにおいて不正プログラムのチェックを行い、これの基幹ネットワークへの侵入及び外部への拡散を防がなければならない。② 不正プログラムに関する情報を収集し、必要に応じ職員等に対して注意喚起を行わなければならない。(２)情報システム管理者による対策情報システム管理者は、所管する情報システムの不正プログラム対策について、以下に掲げるところにより行うものとする。① ネットワーク接続を要する情報システムにおいて、パソコン・サーバ等に、不正プログラム対策ソフトウェアを常駐させるとともに、不正プログラムのパターンファイル等を常に最新の状態に保たなければならない。② ネットワークに接続しない情報システムにおける電磁的記録媒体の使用について、使用を認めた-23-以外のものを職員等に利用させてはならない。③ ネットワークに接続しない情報システムにおいて、不正プログラムの感染及び侵入が生じる可能性が著しく低い場合を除き、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェア及びパターンファイルの更新を実施しなければならない。④ 不正プログラム対策ソフトウェアを導入しているパソコン・サーバ等に対して、不正プログラム対策ソフトウェアによるフルチェックを定期的に実施しなければならない。⑤ 不正プログラム対策ソフトウェア等の設定変更権限については、一括管理し、情報システム管理者が許可した職員を除く職員等に当該権限を付与してはならない。⑥ 標準準拠システム等のクラウドサービス上での利用において、仮想マシンを設定する際には不正プログラムへの対策(必要なポート、プロトコル及びサービスだけを有効とすることやマルウェア対策及びログ取得等の実施)を確実に実施しなければならない。SaaS 型を利用する場合は、これらの対応が、クラウドサービス事業者側でされているのか、サービスを利用する前に確認しなければならない。また、サービスを利用している状況下では、これらのセキュリティ対策が適切にされているのか定期的にクラウドサービス事業者に報告を求めなければならない。７．10 不正アクセス対策(１)基幹ネットワークの不正アクセス対策情報主管課長は、基幹ネットワークの不正アクセス対策について、次に掲げるところにより行うものとする。① 使用されていないポートを閉鎖しなければならない。② 不要なサービスについて、機能を消去又は停止しなければならない。③ 情報システムに攻撃を受けることが明確になった場合は、「5.6.情報セキュリティインシデントの報告及び対応等」に準じ、報告等及び情報システムの停止を含む必要な措置を講じるとともに、関係機関と連絡を密にして情報の収集、提供を行わなければならない。④ 基幹ネットワーク内のパソコン・サーバ等に対する攻撃及びこれらからの外部ネットワーク等に対する攻撃を監視しなければならない。⑤ 標準準拠システム等をクラウドサービス上で利用するにあたって、情報セキュリティポリシーにおける不正アクセス対策に関する事項が、クラウドサービスにおいて実現できるのか又はクラウドサービス事業者の提供機能等により実現できるのか、利用前にクラウドサービス事業者に確認しなければならない。⑥ 標準準拠システム等をクラウドサービス上で利用する際に、委託事業者等に管理権限を与える場合、多要素認証を用いて認証させ、クラウドサービスにアクセスさせなければならない。⑦ パスワードなどの認証情報の割り当てがクラウドサービス側で実施される場合、その管理手順等が、情報セキュリティポリシーを満たすことを確認しなければならない。(２)サービス不能攻撃対策情報システム管理者は、外部のネットワークからアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。(３)標的型攻撃対策電子メールに係る情報システムを所管する情報システム管理者は、所管するネットワークについて、-24-標的型攻撃による不正プログラムの侵入を防止するために、自動再生無効化等の入口対策を講じなければならない。また、侵入した攻撃を早期検知して対処するために、通信をチェックする等の内部対策を講じなければならない。７．11 セキュリティ情報の収集(１)セキュリティ情報の収集情報主管課長及び情報システム管理者は、セキュリティ情報の収集について、次に掲げるところにより行うものとする。① サーバ装置、端末及び通信回線装置等におけるセキュリティホールに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。② 情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認知した場合は、情報セキュリティインシデントを未然に防止するための対策を速やかに講じなければならない。③ 標準準拠システム等をクラウドサービス上での利用する際には、クラウドサービス事業者に対して、利用するクラウドサービスに影響し得る技術的脆弱性の管理内容について情報を求め、業務に対する影響や保有するデータへの影響について特定する。そして、技術的脆弱性に対する脆弱性管理の手順について、クラウドサービス事業者に確認しなければならない。(２)不正プログラム情報の収集情報主管課長は、不正プログラムに関する情報等のセキュリティ情報を収集し、必要に応じ対応方法について、職員等に周知しなければならない。第８章 遵守状況の確認８．１ 情報システムの監視情報システム管理者は、所管する情報システムの監視について、次に掲げるところにより行うものとする。(１)情報システムの運用・保守時の対策① 情報システムの運用・保守において、情報システムに実装された監視を含むセキュリティ機能を適切に運用しなければならない。 ② 情報システムの情報セキュリティ対策について新たな脅威の出現、運用、監視等の状況により見直しを適時検討し、必要な措置を講じなければならない。③ 重要な情報を取り扱う情報システムについて、危機的事象発生時に適切な対処が行えるよう運用をしなければならない。(２)情報システムの監視機能① 情報システム運用時の監視に係る運用管理機能要件を策定し、監視機能を実装しなければならない。② 情報システムの運用において、情報システムに実装された監視機能を適切に運用しなければならない。③ 新たな脅威の出現、運用の状況等を踏まえ、情報システムにおける監視の対象や手法を定期的に-25-見直さなければならない。④ サーバ装置上での情報セキュリティインシデントの発生を監視するため、当該サーバ装置を監視するための措置を講じなければならない。(３)情報システムの監視① セキュリティに関する事案を検知するため、情報システムを常時監視し、その記録を保存しなければならない。② 重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。また、利用するクラウドサービスで使用する時刻の同期についても適切になされているのか確認しなければならない。③ 標準準拠システム等をクラウドサービス上での利用する際には、必要となるリソースの容量・能力が確保できるクラウドサービス事業者を選定しなければならない。また、利用するクラウドサービスの使用において必要な監視機能を確認するとともに監視により、業務継続の上で必要となる容量・能力を予測し、業務が維持できるように努めなければならない。④ 標準準拠システム等をクラウドサービス上での利用する際には、イベントログ取得に関するポリシーを定め、利用するクラウドサービスがその内容を満たすことを確認し、クラウドサービス事業者からログ取得機能が提供される場合は、そのログ取得機能が適切かどうか、ログ取得機能を追加して実装すべきかどうかを検討しなければならない。⑤ 標準準拠システム等をクラウドサービス上での利用する際には、クラウドサービス利用における重大なインシデントに繋がるおそれのある以下の重要な操作に関して、手順化し、確認しなければならない。(ア)サーバ、ネットワーク、ストレージなどの仮想化されたデバイスのインストール、変更及び削除(イ)クラウドサービス利用の終了手順(ウ)バックアップ及び復旧８．２ 情報セキュリティポリシー遵守状況の確認(１)情報セキュリティポリシー遵守状況の確認① 情報セキュリティ管理者は、定期的又は必要に応じ所属職員等の情報セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合は、速やかに情報主管課長に報告しなければならない。② 情報主管課長は、発生した問題について、適正かつ速やかに対処しなければならない。③ 情報システム管理者は、ネットワーク及びサーバ等機器のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的又は必要に応じ確認を行い、問題がある場合は適正かつ速やかに対処しなければならない。(２)機器等の利用状況調査情報主管課長は、不正アクセス及び不正プログラム等の確認のため、パソコン等機器、電磁的記録媒体のログ及び電子メールの送受信記録等の利用状況を調査することができる。第９章 障害時の対応-26-９．１ 緊急時対応計画の策定情報システム管理者は、緊急時対応計画の策定について、次に掲げるところにより行うものとする。(１)緊急時対応計画の策定① 情報セキュリティインシデントが発生した場合において連絡、証拠保全、被害拡大の防止、影響範囲の特定、復旧、再発防止等の措置を迅速かつ適切に実施するために、緊急時対応計画を定めておき、発生時には当該計画に従って適正に対処しなければならない。② 標準準拠システム等をクラウドサービス上での利用する際には、クラウドサービス事業者と情報セキュリティインシデント管理における責任と役割の分担を明確にし、これらを踏まえてクラウドサービスの障害時を想定した緊急時対応計画を定めておき、セキュリティ侵害時には当該計画に従って適正に対処しなければならない。(２)緊急時対応計画に定める事項緊急時対応計画には、次に掲げる内容を定めなければならない。① 関係者の連絡先② 発生した事案に係る報告すべき事項③ 発生した事案への対応措置④ 再発防止措置の策定(３)緊急時対応計画の見直し情報セキュリティを取り巻く状況の変化や組織体制の変動等に対し、必要に応じて緊急時対応計画の規定を見直さなければならない。９．２ 事業継続計画との整合県が事業継続計画を整備する場合、本部は、当該計画と情報セキュリティポリシー等の整合性を検討し、必要に応じ情報セキュリティポリシーの見直しを行うものとする。第10章 業務委託と外部サービス(クラウドサービス)の利用10．１ 業務委託等情報システム管理者は、業務委託等について、次に掲げるところにより行うものとする。(１)委託等事業者に係る運用規程の整備業務委託に係る以下の内容を全て含む運用規程を整備しなければならない。① 委託等事業者への提供を認める情報及び委託する業務の範囲を判断する基準(以下「委託判断基準」という。)② 委託等事業者の選定基準(２)業務委託実施前の対策① 業務委託の実施までに、以下を全て含む事項を実施しなければならない。(ア)委託する業務内容の特定-27-(イ)委託事業者の選定条件を含む仕様の策定(ウ)仕様に基づく委託事業者の選定(エ)情報セキュリティ要件を明記した契約の締結(契約項目)重要な情報資産を取扱う業務を委託する場合は、委託等事業者との間で必要に応じて次の情報セキュリティ要等に係る要件を契約に含めなければならない。 ・山形県情報セキュリティポリシー及び実施手順の遵守・個人情報漏えい防止のための技術的安全管理措置に関する取り決め・ 当該事業者の責任者、委託等の内容、作業者の所属、作業場所の特定・ 提供されるサービスレベルの保証・ 当該事業者にアクセスを許可する情報の種類と範囲、アクセス方法の明確化など、情報のライフサイクル全般(作成、入手、利用、保管、送信、運搬、提供、公表、廃棄等)での管理方法・ 業務従事者に対する情報セキュリティ教育の実施・ 提供された情報の目的外利用及び当該事業者以外の者への提供の禁止・ 業務上知り得た情報の守秘義務・ 再委託等に関する制限事項の遵守・ 業務終了時の情報資産の返還、廃棄等・ 業務の定期報告及び緊急時報告義務・ 県による情報セキュリティに関する監査・検査の受け入れ・ 情報セキュリティインシデント発生時の県による公表に対する同意・ 情報セキュリティポリシーを遵守しなかったこと及び当該事業者の瑕疵による損害賠償等(オ)委託事業者又は入札参加者に重要情報を提供する場合は、秘密保持契約(NDA)の締結② 業務委託の実施までに、委託の前提条件として、以下を全て含む事項の実施を委託事業者に求めなければならない。(ア)仕様に準拠した提案(イ)契約の締結(ウ)委託事業者において重要情報を取り扱う場合は、秘密保持契約(NDA)の締結(３)業務委託実施期間中の対策① 業務委託の実施期間において、以下を全て含む対策を実施しなければならない。(ア)委託判断基準に従った重要情報の提供(イ)契約に基づき委託事業者に実施させる情報セキュリティ対策の履行状況の定期的な確認及び措置の実施(ウ)情報主管課長へ措置内容の報告(重要度に応じてCISOに報告)(エ)委託した業務において、情報セキュリティインシデントの発生若しくは情報の目的外利用等を認知した場合又はその旨の報告を職員等より受けた場合における、委託事業の一時中断などの必要な措置を含む、契約に基づく対処の要求②業務委託の実施期間において、以下を全て含む対策の実施を委託事業者に求めなければならない。(ア)情報の適正な取扱いのための情報セキュリティ対策(イ)契約に基づき委託事業者が実施する情報セキュリティ対策の履行状況の定期的な報告(ウ)委託した業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合における、委託事業の一時中断などの必要な措置を含む対処-28-(４)業務委託終了時の対策①業務委託の終了に際して、以下を全て含む対策を実施しなければならない。(ア)業務委託の実施期間を通じてセキュリティ対策が適切に実施されたことの確認を含む検収(イ)委託事業者に提供した情報を含め、委託事業者において取り扱われた情報が確実に返却、廃棄又は抹消されたことの確認②業務委託の終了に際して、以下を全て含む対策の実施を委託事業者に求めなければならない。(ア)業務委託の実施期間を通じてセキュリティ対策が適切に実施されたことの報告を含む検収の受検(イ)提供を受けた情報を含め、委託業務において取り扱った情報の返却、廃棄又は抹消(５)セキュリティ教育の実施状況の確認委託先を含む関係者については委託先等で情報セキュリティに関する教育が行われていることを確認しなければならない。10．２ 情報システムに関する業務委託情報システム管理者は、情報システムに関する業務委託について、次に掲げるところにより行うものとする。(１) 情報システムに関する業務委託における共通的対策情報システムに関する業務委託の実施までに、情報システムに本県の意図せざる変更が加えられないための対策に係る選定条件を委託事業者の選定条件に加え、仕様を策定しなければならない。(２) 情報システムの構築を業務委託する場合の対策情報システムの構築を業務委託する場合は、契約に基づき、以下を全て含む対策の実施を委託事業者に求めなければならない。① 情報システムのセキュリティ要件の適切な実装② 情報セキュリティの観点に基づく試験の実施③ 情報システムの開発環境及び開発工程における情報セキュリティ対策(３) 情報システムの運用・保守を業務委託する場合の対策① 情報システムの運用・保守を業務委託する場合は、情報システムに実装されたセキュリティ機能が適切に運用されるための要件について、契約に基づき、委託事業者に実施を求めなければならない。② 情報システムの運用・保守を業務委託する場合は、委託事業者が実施する情報システムに対する情報セキュリティ対策を適切に把握するため、当該対策による情報システムの変更内容について、契約に基づき、委託事業者に速やかな報告を求めなければならない。(４) 本県向けに情報システムの一部の機能を提供するサービスを利用する場合の対策① 外部の一般の者が本県向けに重要情報を取り扱う情報システムの一部の機能を提供するサービス(クラウドサービスを除く。)(以下「業務委託サービス」という。)を利用するため、情報システムに関する業務委託を実施する場合は、委託事業者の選定条件に業務委託サービスに特有の選定条件を加えなければならない。② 業務委託サービスに係るセキュリティ要件を定め、業務委託サービスを選定しなければならない。③ 委託事業者の信頼性が十分であることを総合的・客観的に評価し判断しなければならない。④ 業務委託サービスを利用する場合には、情報セキュリティ責任者へ当該サービスの利用申請を行わなければならない。-29-⑤ 情報セキュリティ責任者は、業務委託サービスの利用申請を受けた場合は、当該利用申請を審査し、利用の可否を決定しなければならない。⑥ 情報セキュリティ責任者は、業務委託サービスの利用申請を承認した場合は、承認済み業務委託サービスとして記録し、業務委託サービス管理者を指名しなければならない。10．３ 外部サービス(クラウドサービス)の利用(自治体機密性２以上の情報を取り扱う場合)外部サービス(クラウドサービス)の利用(自治体機密性２以上の情報を取り扱う場合)にあたっては、別に定める実施手順を遵守しなければならない。10．４ 外部サービス(クラウドサービス)の利用(自治体機密性２以上の情報を取り扱わない場合)外部サービス(クラウドサービス)の利用(自治体機密性２以上の情報を取り扱わない場合)にあたっては、別に定める実施手順を遵守しなければならない。 第11章 法令遵守11．１ 法令遵守(１)法令遵守職員等は、職務の遂行において使用する情報資産を保護するために、次の法令のほか、関係法令を遵守し、これに従わなければならない。① 地方公務員法(昭和25年12月13日法律第261号)② 著作権法(昭和45年法律第48号)③ 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)④ 個人情報の保護に関する法律(平成15年5月30日法律第57号)⑤ 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成 25 年法律第27号)⑥ サイバーセキュリィティ基本法(平成26年法律第104号)⑦ 個人情報の保護に関する法律施行条例(令和４年12月県条例第37号)(２)情報システム管理者は、標準準拠システム等をクラウドサービス上での利用する際に、クラウドサービスに商用ライセンスのあるソフトウェアをインストールする(IaaS 等でアプリケーションを構築)場合は、そのソフトウェアのライセンス条項への違反を引き起こす可能性があるため、利用するソフトウェアにおけるライセンス規定に従わなければならない。第12章 違反時の対応等12．１ 違反時の対応及び処分等(１)違反時の処分職員等の情報セキュリティポリシーに係る違反行為が認められるときは、当該職員等は発生した事案の状況等に応じて、懲戒処分その他の処分の対象となる。-30-(２)違反時の対応違反行為への対応は、次に掲げるところによるものとする。① 職員等は、他の職員等の情報セキュリティポリシーに係る違反行為を認知した場合は、速やかに当該職員等が所属する情報セキュリティ管理者に報告し、適正な措置を求めなければならない。② 情報セキュリティ管理者は、所属する職員等の情報セキュリティポリシーに係る違反行為を認知した場合は、速やかに情報主管課長及び当該違反行為に係る情報システム管理者に報告するとともに、当該職員等に是正の指導を行わなければならない。③ 情報主管課長及び当該違反行為に係る情報システム管理者は、所管する情報システムに関して職員等の情報セキュリティポリシーに係る違反行為を認知した場合は、当該職員等が所属する情報セキュリティ管理者に通知し、適正な措置を求めなければならない。④ 情報セキュリティ管理者の指導によっても改善されない場合、情報システム管理者は、所管する情報システムについて、当該職員等の利用を停止することができる。第13章 評価・見直し13．１ 情報セキュリティ監査(１)情報セキュリティ監査の実施情報セキュリティ監査は、次に掲げるところにより行うものとする。① 山形県情報セキュリティ等監査員班は、ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、定期的に又は必要に応じて監査を行わなければならない。② 山形県情報セキュリティ等監査員班は、情報セキュリティ監査に係る実施要綱を定めなければならない。③ 被監査所属の情報セキュリティ管理者及び監査対象の情報システムを所管する情報システム管理者は、情報セキュリティ監査の実施に協力しなければならない。13．２ 自己点検(１)自己点検の実施情報セキュリティ対策に関する自己点検は、次に掲げるところにより行うものとする。① 情報セキュリティ管理者は、情報セキュリティポリシーの運用及び管理状況について、定期的又は必要に応じ自己点検を行わなければならない。② 情報システム管理者は、所管する情報システムについて、定期又は必要に応じ情報セキュリティ対策状況に関する自己点検を行わなければならない。③ 情報セキュリティ管理者及び情報システム管理者は、自己点検実施後は点検結果と改善策を取りまとめ、自己の権限の範囲内で改善を図った上で、情報主管課長に報告しなければならない。④ 情報主管課長は、報告を受けた点検結果について、情報セキュリティポリシーの見直しに活用しなければならない。13．３ 情報セキュリティポリシーの見直し本部は、必要があると認めた場合は、情報セキュリティポリシーの運用状況を確認するとともに、その-31-結果及び情報セキュリティに係る環境の変化等を踏まえ、その見直しを行うものとする。第14章 例外措置14．１ 例外措置の許可情報セキュリティ管理者及び情報システム管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合は、統括情報セキュリティ責任者の承認を得て、例外措置を講じることができる。14．２ 緊急時の例外措置情報セキュリティ管理者及び情報システム管理者は、災害対応等行政事務の遂行に緊急を要し、例外措置をとることが避けられない場合は、事後速やかに統括情報セキュリティ責任者に報告しなければならない。14．３ 例外措置の記録統括情報セキュリティ責任者は、情報セキュリティ管理者又は情報システム管理者により例外措置がとられた場合は、その内容について記録し、一定期間保管しなければならない。第15章 実施手順15．１ 実施手順本対策基準に定める事項のほか、情報セキュリティポリシーの運用にあたって遵守すべき実施手順のうち情報主管課長が所管するものは、別表のとおりとする。15．２ 実施手順の公開等(１)実施手順の公開等① 実施手順は、公にすることにより本県の行政運営に重大な支障を及ぼすおそれがあることから原則として非公開とする。② 職員等以外の者がその業務の遂行上実施手順を参照する必要がある場合は、その者に対してのみこれを開示することができ、その者はこれに関して守秘義務を負うものとする。第16章 委任16．１ 情報主管課長への委任(１)情報主管課長への委任次に掲げる事項については、情報主管課長に委任する。-32-① 県の組織に関する条例又は規則の改正に伴う本対策基準の規定の整備及び見直し② 本対策基準別表の整備及び見直し③ 本対策基準別表に掲げる実施手順の整備及び見直し附則本規程は、平成20年４月１日から施行する。附則本規程は、平成21年４月１日から施行する。附則本規程は、平成22年４月１日から施行する。附則本規程は、平成23年４月１日から施行する。附則本規定は、平成28年４月１日から施行する。附則本規定は、平成29年４月１日から施行する。附則本規定は、平成31年４月１日から施行する。附則本規定は、令和２年４月１日から施行する。附則本規定は、令和３年４月１日から施行する。附則本規定は、令和４年10月25日から施行する。附則本規定は、令和５年４月１日から施行する。 附則本規定は、令和５年10月11日から施行する。附則本規定は、令和７年４月１日から施行する。別表 実施手順大分類 小分類 実施手順情報資産 分類管理 情報資産の分類と管理に関する実施手順(H23.3.31(R7.4.1最終改正))電子情報の持ち出しに係る取扱基準(H20.12.1(R5.4.1最終改正))物理的セキュリティ人的セキュリティ端末管理 情報系パソコン運用管理手順(H22.8.31(H29.11.6最終改正))山形県庁イントラ情報システム利用要綱-33-技術的セキュリティ イントラ情報システム(H20.8.14(R2.2.1最終改正))山形県庁イントラ情報システム「サービス利用者の認証」の利用手順(R2.4.1最終改正)山形県庁イントラ情報システム「電子メール」の利用手順(R2.2.1最終改正)山形県庁イントラ情報システム「インターネット」の利用手順(R4.12.22最終改正)山形県庁イントラ情報システム「文書管理」の利用手順(H26.4.1最終改正)山形県庁イントラ情報システム「共有ワークスペース」の利用手順(R2.2.1最終改正)イントラ情報システム「セキュアファイル交換」の利用手順(R2.2.1)インターネット接続に係る特定通信の利用手順(R2.2.1)仮想ＰＣ運用管理手順(R2.2.1)ネットワーク管理山形県基幹高速通信ネットワーク外部機関利用要綱(H16.9.10(R3.4.1最終改正))山形県基幹高速通信ネットワーク外部機関接続要綱(H17.7.1(R3.4.1最終改正))テレワーク テレワークにおける情報セキュリティ対策実施手順(R2.12.14)在宅勤務制度(試行含む)に係るパソコン貸し出し要綱(H29.8.1(R2.1.1最終改正))山形県サテライトオフィス(試行含む)に係るパソコン貸し出し要綱(R29.8.1(R2.1.1最終改正))リモート接続システム利用要領(R2.1.1(R5.4.1最終改正))短期モバイル端末貸出要領(H29.9.14(R5.4.1最終改正))長期モバイル端末貸出要領(H29.8.1(R5.4.1最終改正))Web会議サービスWeb会議ツール「Zoom」利用要領(R2.5.12(R5.4.1最終改正))障害時の対応 情報システムの対応情報資産に関する危機管理方針(H14.3)山形県基幹高速通信ネットワーク障害対応マニュアル(H22.3.30(R3.4.1最終改正))-34-外部サービスの利用外部サービス 外部サービス(クラウドサービス)の利用(自治体機密性２以上の情報を取り扱う場合)に関する実施手順(R7.4.1)外部サービス(クラウドサービス)の利用(自治体機密性２以上の情報を取り扱わない場合)に関する実施手順(R7.4.1)評価・見直し 情報セキュリティ監査山形県情報セキュリティ監査実施要綱(R4.7.11)-35-(参考資料)情報セキュリティポリシー関連規程について情報セキュリティの確保のため特に遵守又は参照すべき主な関連規程について、下記に示す。(１)関連規程のうち、情報主管課が所管するもの(２)関連規程のうち、情報主管課以外が所管するもの大分類 小分類 関連規程情報資産 情報公開 山形県情報公開条例(H9.12.22(R4.12.23最終改正)、総務部)個人情報 個人情報の保護に関する法律施行条例(R4.12.23、総務部)文書管理 山形県公文書管理規程(R2.3.27(R5.4.1最終改正)、総務部)文書事務の手引(H7.3.31(R2.11最終改正)、総務部)総合行政ネットワークにおける電子公文書取扱要領(H16.1.6(R2.4.1最終改正)、総務部)電子メール及び電子掲示板を利用した電子文書取扱要領(H16.1.6(R2.4.1最終改正)、総務部)物理的セキュリティ人的セキュリティ技術的セキュリティインシデント対応 山形県広報広聴事務取扱要綱(H9.4.1(R5.4.1最終改正)、総務部)障害時の対応 危機管理 山形県危機管理要綱(H17.4.1(R4.4.1最終改正)、防災くらし安心部)山形県大規模災害発生時の災害対策本部事務局活動マニュアル(R4.6最終改正、防災くらし安心部)外部サービスの利用ソーシャルメディアサービス山形県ソーシャルメディア広報活用ガイドライン(R7.4.1総務部)違反時の対応懲戒処分 懲戒処分の基準(R2.10.1最終改正、総務部)懲戒処分の基準(R2.7.1最終改正、教育委員会)大分類 小分類 関連規程組織体制 山形県デジタル化推進本部設置要綱(H12.9.26(R2.11.19最終改正))情報資産 文書管理 山形県行政手続等における情報通信の技術の利用に関する条例(H18.12.19)物理的セキュリティ人的セキュリティ技術的セキュリティシステム調達 山形県情報システム導入標準ガイドライン(R3.4.1(R4.10.25最終改正)) 応札機器仕様書(別紙),応札役務仕様書,土木施工管理・測量計算ＣＡＤソフトウェア保守業務,項目,業務内容,応札役務の可否,1,保守対象ソフトウェア,TREND-ONE Ver9 21本(21ライセンス),ＥＸ－ＴＲＥＮＤ武蔵 Ver25 1本(5ライセンス),ＴＲＥＮＤ－ＣＯＲＥ Ver11 5本(5ライセンス),TREND-POINT Ver12 4本(4ﾗｲｾﾝｽ),TREND-FIELD 4本(4ﾗｲｾﾝｽ) 【ﾀﾌﾞﾚｯﾄPC内ｿﾌﾄｳｪｱ、内訳は、土木基本ｾｯﾄ、縦横断観測、TS出来形観測】,2,プログラムの保守,(１)最新版プログラムへのバージョンアップの対応,(２)上記バージョンアップに伴うネットワーク環境・利用条件等の変更への対応,(３)上記対応に係る実行環境の設定、動作テスト及び検証,3,サポート対応,(１)ＣＡＤの操作方法等に関する電話による問い合わせへの対応,(２)ＣＡＤの操作方法等に関するリモートサポート,4,基本サービス,(１)マニュアル交換保証など基本サービスに含まれるもの,5,人員体制,役務の実施に必要な人員体制、職員の氏名、緊急時の連絡体制,人員体制図等を添付,&C&P／&N,