【総務部総務厚生課】山形県職員ストレスチェック業務委託（令和7年4月25日入札）

【総務部総務厚生課】山形県職員ストレスチェック業務委託（令和7年4月25日入札） 一般競争入札の公告地方自治法(昭和22年法律第67号)第234条第１項の規定により、山形県職員ストレスチェック業務の調達について、一般競争入札を次のとおり行う。令和７年４月３日山形県知事 吉村 美栄子１ 入札の場所及び日時(1) 場所 山形県山形市松波二丁目８番１号 山形県庁 ２階 入札室(2) 日時 令和７年４月25日(金)午後１時２ 入札に付する事項(1) 調達をする役務の名称及び数量 山形県職員ストレスチェック業務 一式(2) 調達をする役務の仕様等 入札説明書及び仕様書による(3) 契約期間 契約締結の日から令和８年３月16日まで(4) 入札方法 総価により行う。落札決定に当たっては、入札書に記載された金額に当該金額の100分の10に相当する金額を加算した金額(当該金額に１円未満の端数があるときは、その端数金額を切り捨てた金額)をもって落札価格とするので、入札者は、消費税及び地方消費税に係る課税事業者であるか免税事業者であるかを問わず、見積もった契約金額の110分の100に相当する金額を入札書に記載すること。３ 入札参加者の資格次に掲げる要件を全て満たす者であること。(1) 地方自治法施行令(昭和22年政令第16号)第167条の４第１項各号に規定する者に該当しないこと。(2) 山形県税(山形県税に附帯する税外収入を含む。)又は消費税を滞納していないこと。(3) 雇用保険、健康保険、厚生年金保険等の社会保険に加入していること(加入する義務のない者を除く。)(4) １年以上引き続き業として当該競争入札に付する契約に係る業務を営んでいること。(5) 山形県競争入札参加資格者指名停止要綱に基づく指名停止措置を受けていないこと。(6) 山形県財務規則(昭和39年３月県規則第９号。以下「規則」という。)第125条第５項の競争入札参加資格者名簿(以下「競争入札参加資格者名簿」という。)に登載されていること。(7) 次のいずれにも該当しないこと(地方自治法施行令第 167条の４第１項第３号に規定する者に該当する者を除く。)。イ 役員等(入札参加者が個人である場合にはその者を、入札参加者が法人である場合にはその役員又はその支店若しくは契約を締結する事務所の代表者をいう。以下同じ。)が暴力団員による不当な行為の防止等に関する法律(平成３年法律第 77 号)第２条第６号に規定する暴力団員(以下「暴力団員」という。)又は暴力団員でなくなった日から５年を経過しない者(以下「暴力団員等」という。)であること。ロ 暴力団(暴力団員による不当な行為の防止等に関する法律第２条第２号に規定する暴力団をいう。以下同じ。)又は暴力団員等が経営に実質的に関与していること。ハ 役員等が自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもって、暴力団又は暴力団員等を利用する等していること。ニ 役員等が、暴力団又は暴力団員等に対して資金等を供給し、又は便宜を供与する等直接的あるいは積極的に暴力団の維持及び運営に協力し、又は関与していること。ホ 役員等が暴力団又は暴力団員等と社会的に非難されるべき関係を有していること。(8) 情報セキュリティマネジメントシステム(ISMS)適合性評価制度に関してJISQ27001(ISO/IEC27001)の基準に適合することによる認証を受けていること。(9) 過去５年以内に、２の(1)の役務と同種、かつ、ストレスチェック受検対象者が3,000人以上の規模の契約を締結し、履行した実績があることを証明できること。４ 契約条項を示す場所、入札説明書及び仕様書の交付場所等並びに契約に関する事務を担当する部局等(1) 契約条項を示す場所及び契約に関する事務を担当する部局等山形市松波二丁目８番１号 山形県総務部総務厚生課健康管理担当電話番号023(630)2032(2) 入札説明書及び仕様書の交付場所等山形県総務部総務厚生課で交付するほか、山形県のホームページ(http://www.pref.yamagata.jp/)からもダウンロードできる。５ 入札保証金及び契約保証金(1) 入札保証金 免除する。(2) 契約保証金 契約金額の100分の10に相当する金額(当該金額に１円未満の端数があるときは、その端数金額を切り上げた金額)以上の額。ただし、規則第135条各号のいずれかに該当する場合は、契約保証金を免除する。６ 入札の無効入札に参加する者に必要な資格のない者のした入札、入札に関する条件に違反した入札その他規則第122条の２の規定に該当する入札は、無効とする。７ その他(1) この公告による入札に参加を希望する者は、一般競争入札参加資格確認申請書を令和７年４月14日(月)午後４時までに山形県総務部総務厚生課健康管理担当に提出すること。(2) この契約においては、契約書の作成を必要とする。この場合において、当該契約書には、談合等に係る契約解除及び賠償に関する定め、再委託の禁止に関する定め並びに個人情報の保護に関する定めを設けるものとする。(3) この入札及び契約は、県の都合により調達手続の停止等があり得る。(4) 詳細については入札説明書による。 入札説明書等配布一覧表調達する役務の名称［山形県職員ストレスチェック業務］No 名 称 部数等１入札説明書(添付様式)・一般競争入札参加資格確認申請書(様式第１号)・質問書(様式第２号)・入札書(様式第３号)・委任状(様式第４号)１部２ 山形県職員ストレスチェック業務委託仕様書 １部３山形県心理的な負担の程度を把握するための検査等制度(ストレスチェック制度)実施要領１部４ 山形県情報セキュリティポリシー １部５ 山形県職員ストレスチェック業務委託契約書(書式) １部(注)上記内容について、落丁等がないか確認してください。山形県総務部総務厚生課入 札 説 明 書山形県職員ストレスチェック業務の調達に係る入札公告に基づく一般競争入札については、関係法令及び山形県財務規則(昭和39年３月県規則第９号。以下「規則」という。)に定めるもののほか、この入札説明書によるものとする。１ 担当部局等(1) 契約及び仕様書に関する事務を担当する部局等(以下「契約担当部局等」という。)〒990－8570 山形県山形市松波二丁目８番１号山形県総務部総務厚生課健康管理担当 電話番号023(630)2032２ 入札参加者の資格(1) 「山形県競争入札参加資格者指名停止要綱に基づく指名停止措置を受けていないこと」とは、入札参加資格審査日(一般競争入札参加資格確認申請書又は競争入札参加資格審査申請書(以下「申請書」という。)の提出期限の日)から開札日までの期間中のいずれの日においても指名停止措置を受けていないことをいう。(2) 公告で指定された期限までに申請書を提出しない者及び入札参加資格が無いと認められた者は、本件入札に参加することができない。３ 入札参加資格の審査等(1) 本件入札に参加を希望する者は、入札公告の「入札参加者の資格」を有することを証するため、申請書及び添付書類(以下「申請書等」という。)を、公告で指定された提出場所へ提出し、入札参加資格の有無について契約担当者の審査を受けなければならない。(2) 提出書類ア 入札参加者の資格に関する書類(ｱ) 一般競争入札参加資格確認申請書(別紙様式第１号)(ｲ) 情報セキュリティマネジメントシステム(ＩＳＭＳ)適合性評価制度に関してJISQ27001(ISO/IEC27001)の基準に適合することによる認証を受けていることを証する書類(写し)(ｳ) 過去５年以内に、公告２の(1)の役務と同種、かつ、ストレスチェック受検対象者が3,000人以上の規模の契約を締結し、履行した実績があることを証する書類(写し可)(3) 上記(2)の書類を郵送で提出する場合は、書留郵便に限る。電子メールで提出する場合は、PDF形式で送付すること。(4) 申請書を提出した者は、入札日の前日までに添付書類に関し説明又は協議を求められた場合はこれに応じるものとし、必要な場合には添付書類の追加に応じるものとする。なお、その指示に応じないときは、入札参加資格がないものとみなす。(5) 申請書の作成及び提出に係る費用は、申請者の負担とする。４ 入札参加資格審査結果の通知(1) 入札参加資格の審査は、その提出期限の日を基準日として行うものとし、その結果は令和７年４月21日(月)までに通知する。５ 仕様書に関する質問等(1) 仕様書に関し質問がある場合は、令和７年４月 14 日(月)午後４時までに契約担当部局等に別紙様式第２号により持参、郵送(書留郵便に限る。)又は電子メール(PDF形式)で提出すること。なお、郵送等による場合は、上記期限まで契約担当部局に到達しなければならない。(2) (1)の質問に対する回答は、質問者あて書面により行うとともに、その回答書は、当該回答を行った日の翌日から入札執行の日時までの期間、山形県総務部総務厚生課及び山形県ホームページにおいて閲覧に供する。６ 入札の辞退等(1) 入札参加者は、入札書を提出するまでの間は、いつでも入札を辞退することができる。入札を辞退する場合は、書面により行うものとする。この場合は、辞退する役務の名称、入札日、辞退する者の氏名又は名称、辞退する理由を記載した書面に代表者印を押印し、入札を執行する日時までに提出するものとする。(2) 入札参加者が入札執行時刻に遅れた場合は、本件入札を棄権したものとみなす。７ 入札(1) 入札書の様式は、入札書(別紙様式第３号)による。(2) 入札書は入札公告の「入札の場所及び日時」に持参するものとするが、郵送による提出も認める。(書留郵便に限る。)(3) 入札書は封筒に入れて厳封し、表に「氏名又は名称」及び「役務の名称」を記載すること。(4) 入札書を郵便により提出する場合は二重封筒とし、入札書を中封筒に厳封の上、上記(3)の内容を記載し、表封筒に「入札書在中」と朱書きすること。なお、令和７年４月24日(木)午後５時までに契約担当部局に必着とし、当該日時までに到達しなかった場合は棄権とみなす。(5) 入札者は名刺を提出し、代理人をして入札に関する行為をさせようとする場合は、委任状(別紙様式第４号)を作成し提出させること。(6) 入札者又は入札者の代理人は、当該入札に関する他の入札者の代理をすることはできない。また、法人の代表者(支店長等の受任者を含む。)が自ら入札する場合は、当該入札に関して他の入札者となることはできない。(7) 入札価格には、役務の遂行に必要な打合せ等の付随業務に係る旅費、日当、使用料、その他一切の諸経費を含む総額とする。(8) 入札に際し、入札書に記載される入札金額に対応した積算内訳書(クラウド型システム(Ｗｅｂ)による受検と紙面による受検の１人当たりの単価による積算とし、単価には役務の遂行に必要な共通経費等の一切の諸経費を含む。)を提出すること。８ 開札入札者又はその代理人は開札に立ち会うものとする。入札者又はその代理人が立ち会わない場合においては、入札事務に関係のない山形県職員を立ち会わせて開札を行う。開札に立ち会わない入札者は、開札結果の通知に必要な返信用封筒に、受取人の住所、氏名又は名称等を明記のうえ、所定の料金の切手を貼ったものを入札書とともに提出しなければならない。９ 入札の無効次に掲げる入札は無効とする。(1) 入札公告に示した入札参加資格のない者(入札参加資格があることを確認された者で、開札時において入札公告に示した入札参加資格を満たさなくなった者を含む。 )のした入札(2) 申請書に虚偽の記載をした者のした入札(3) 委任状を持参しない代理人のした入札(4) 入札の公正な執行を妨げ、又は公正な価格の成立を害し、若しくは不正の利益を得るため連合したと認められる入札(5) 同一の事項につき２通以上の入札書を契約担当者に提出した入札(6) 金額、氏名等の入札要件が確認できない入札書、記名押印を欠く入札書又は入札金額を訂正した入札書を契約担当者に提出した入札(7) その他入札に関する条件に違反した入札10 再度入札予定価格の制限の範囲内の価格の入札がないときは、直ちに再度の入札を行う場合がある。再度の入札を辞退するときは、入札書に「辞退」と記載し、提出すること。入札を一度辞退した者は，当該入札案件の再度の入札に参加することはできない。11 落札者の決定方法(1) 規則第 120 条第１項の規定により作成された公告２の(1)の予定価格の範囲内で最低の価格をもって入札(有効な入札に限る。)を行った者を落札者とする。(2) 落札となるべき同価の入札をした者が二人以上あるときは、直ちに当該入札者にくじを引かせて落札者を決定する。この場合において、当該入札者のうち立ち会わない者又はくじを引かない者があるときは、当該入札執行事務に関係のない山形県職員にこれに代わってくじを引かせ落札者を決定する。(3) 落札者の決定の時までに入札参加資格を満たさなくなった者は落札者としない。12 その他(1) 申請書に虚偽の記載をした場合においては、山形県競争入札参加資格者指名停止要綱に基づく指名停止措置を行うことがある。(2) 入札参加者の連合、その他の理由により入札を公正に執行することができないと認められるときは、当該入札参加者を入札に参加させず、又は入札の執行を延期し、若しくは取り止めることがある。(3) 入札をした者は、入札後、契約条項又は入札条件等の不明を理由として異議を申立てることができない。(4) 落札者は予約完結権を他に譲渡することができない。(5) 入札者又はその代理人は、即日口頭落札決定通知を受領するための印鑑(入札書に使用する印鑑に限る。ただし、代理人の場合は当該代理人の印鑑とする。)を持参すること。なお、当該印鑑を持参できない場合は、入札執行時の指示により落札決定を通知する。(6) 本件契約の条項は、別に示す契約書(書式)による。(7) その他必要とする入札に関する条件については、入札執行時の指示による。 1山形県職員ストレスチェック業務委託仕様書１ 委託業務の名称山形県職員ストレスチェック業務委託２ 委託期間契約締結の日から令和８年３月16日まで３ 委託業務の目的労働安全衛生法(昭和47年法律第57号)第66条の10に規定する心理的な負担の程度を把握するための検査(以下「ストレスチェック」という。)の実施により、職員自身のストレスへの気付きを促すとともに、職員のメンタルヘルス不調の早期発見を図るほか、集団分析を行い、職場環境の改善につなげることを目的とする。４ 履行場所山形県総務部総務厚生課が指定する場所５ 部局毎の対象職員数及び実施時期部局毎の対象職員数(見込み)とストレスチェックの実施時期については下表のとおりとする。なお、長期不在者を対象とした実施時期は別途設定する。また、具体的な実施期間は別途協議のうえ決定することとし、対象職員数は変更する場合がある。区分部局実施期間クラウド型システム(Ｗｅｂ)紙面 合 計知事部局 令和７年６月 4,900人 400人 5,300人企業局 令和７年６月 200人 — 200人病院事業局 令和７年９月 30人 2,550人 2,580人教育委員会 令和７年９月 3,650人 200人 3,850人合 計 － 8,780人 3,150人 11,930人６ 業務の概要(１)ストレスチェックストレスチェックは、平成27年４月15日付け官報に公示された「心理的な負担の程度を把握するための検査及び面接指導の実施並びに面接指導結果に基づき事業者が講ずるべき措置に関する指針」(以下「指針」という。)において望ましいとされている、「職業性ストレス簡易調査票」(以下「調査票」という。)を用いて行うこととし、詳細については、別に定める「山形県心理的な負担の程度を把握するための検査等制度(ストレスチェック制度)実施要領」(以下「実施要領」という。)により実施するものとする。(２)閲覧制限の管理適切な業務運営と個人情報管理のため、利用機能や閲覧情報の範囲制限を行うこと2とする。なお、当該制限は５に掲げる部局毎に管理することとし、他の部局に係る情報について参照、分析等は行えないこととする。(３)管理者区分別による権限５に掲げる部局毎に管理者区分別の権限を設定するものとする。知事部局においては、職員情報の登録やシステム関連の設定等を行うシステム管理者(総務厚生課で別に指定する職員。以下「管理者」という。)、ストレスチェック実施者(産業医及び総務厚生課保健師。以下「実施者」という。)、ストレスチェック実施事務従事者(総務厚生課、各総合支庁総務課、こども医療療育センター総務課及び看護部の職員。以下「実施事務従事者」という。)、人事担当者(人事担当職員)、管理監督者(所属長)の区分とし、それぞれの管理者区分別に利用機能や閲覧情報の制限を設定するものとする。また、知事部局以外の部局においても同様に権限の設定を行うものとする(知事部局以外の部局に係る権限については、別途打合せにより設定するものとする。)。管理者区分別の利用機能及び閲覧情報の制限は、原則として下表のとおりとし、契約締結後速やかに管理者、実施者及び実施実務従事者が機能を利用できるようにすることとする。区 分機 能管理者実施者※１実施事務従事者※１人事担当者管理監督者※２職員情報の登録・修正・削除 〇システム環境の設定等 〇受検状況(受検者数、未受検者一覧)の確認 〇 〇 〇 〇 〇個人結果の閲覧 〇 〇 〇個人結果の閲覧(同意のあったものに限る) 〇 〇 〇 〇 〇高ストレス者一覧の確認・出力 〇 〇 〇医師による面接指導の勧奨 〇 〇面接指導の申出者の確認 〇 〇 〇集団分析結果の確認・出力 〇 〇 〇 〇 〇実施結果の集計 〇 〇 〇 〇※１管轄地域の所属のみ。実施者及び実施事務従事者ごとの閲覧可能範囲については別途指示する。※２自所属のみ。７ システムの設定(１)システム設定要件3① 対象者数は５のとおりとする。② 管理者区分別に権限を設定することとし、指定した範囲以外の一切の情報について閲覧できないようにすること。なお、管理者毎のＩＤ振分け数や詳細権限の条件は、別途打合せにより確定するものとする。③ 職員(受検者)がストレスチェックを受検できる期間(集団分析の対象とする期間)は、５に掲げる期間とするが、当該期間以外であっても、受検できるようにすること。なお、当該期間以外に受検した場合、集団分析、面接指導の申出等は行わないこととする。④ 職員(受検者)のストレスチェック結果をＷｅｂ上で閲覧、分析、印刷できるように各種設定を行うこと。⑤ 職員(受検者)の回答データ、ストレスチェック結果、集団分析結果等の各種データについては、ＣＳＶ形式等のファイルとして保存することができること。 また、発注者の求めに応じて当該データを提供すること。⑥ 発注者は、ストレスチェックを実施するために、事前に所属、職員情報データ、職員の過去３年分に実施したストレスチェックのデータ等をＣＳＶ形式等のファイルとして受注者に提供するものとする。提供するファイルの単位やレイアウトについては発注者が指定するものとし、受注者は必要に応じ加工のうえシステムに取り込むこととする。なお、部局により職員情報データの形式や複数ファイルによるデータ提供等(「所属元データ」と「所属元詳細データ」を別々に提供する等)、取扱いが異なる場合があるため、別途打合せにより確認するものとする。過去３年分のストレスチェックデータについて、発注者は、部局ごとにデータを提出するものとする。受注者は、現所属部局と当該データにおける所属部局が異なる職員についても、過去３年分の結果を比較できるように設定すること。⑦ 職員(受検者)自身が、システムログイン後にログインパスワードを変更できること。なお、ログインパスワードの設定要件は発注者が指定できるものとする。また、管理者において利用者のログインパスワードを初期化することができること。(２)信頼性要件① ５に掲げる対象職員数分を扱っても問題が生じない信頼性を有すること。② 複数の職員が同時に使用した場合、データの整合性が失われ、処理が停止することがないよう対策を講じること。③ 各サーバは、システムで求められる運用を考慮し、重要なものについては負荷分散構成、クラスタ構成等により信頼性を確保すること。④ 商用電源による電力供給が停止した場合でも、ハードウェア、ソフトウェア及びデータが破損しないよう給電対策を講じること。⑤ 職員の回答データ及び職員情報データは、契約期間中、１日１回、バックアップを行い、バックアップデータは必要に応じて発注者にＣＳＶファイル等として提供することができること。(３)セキュリティ要件① 山形県情報セキュリティポリシー(「山形県情報セキュリティ基本方針」及び「山4形県情報セキュリティ対策基準」)を遵守すること。② 情報セキュリティマネジメントシステム(ＩＳＭＳ)適合性評価制度に関してJISQ27001(ISO/IEC27001)の認証を取得していること。③ 受注者において、職員情報、ストレスチェック結果、集団分析結果等のデータベースへのアクセスは、権限を有する者が必要な項目のみ可能とすること。④ クラウド型システム(Ｗｅｂ)との接続は、暗号化通信ＳＳＬ(ＴＬＳ１．２以上)により実施できること。⑤ 本業務に関する全てのデータ及び記録については、業務完了後、速やかに破棄するとともに破棄方法、破棄実施日等について発注者に報告すること。８ 詳細機能(１)一般職員向けシステム機能① 職員(受検者)が使用する庁内ネットワークに接続されたパソコン、職員(受検者)個人が所有するスマートフォン等からクラウド型システム(Ｗｅｂ)を使用できること。② 調査票を用いてストレスチェックを行えるシステムであること。③ 職員(受検者)が、パソコン等の画面上から各種チェック項目に回答すると、調査票からのフィードバックとして、その場で個人のストレス評価結果をグラフやメッセージで表示できる機能を有していること。なお、結果の通知は、次の内容を表示できること。ア 個人のストレスプロフィール(個人毎のストレスの特徴や傾向を数値、図表等で示したもので、次の３つの項目毎の点数を含むこと)ａ 職場における当該職員の心理的な負担の原因に関する項目ｂ 当該職員の心理的な負担による心身の自覚症状に関する項目ｃ 職場における他の職員による当該職員への支援に関する項目イ ストレスの程度(高ストレスに該当するかどうかを示した評価結果)ウ セルフケアのためのアドバイス④ 職員(受検者)が、自身のストレスチェック結果を事業者側に提供することについて、「同意する」又は「同意しない」の意思表示ができること。なお、一度意思表示をした後でも変更できることが可能であること。⑤ 受検の結果、高ストレス者に該当した場合は、画面上で実施者から医師による面接指導の勧奨(メッセージ)を行うとともに、実施者あてに面接指導の申出を行う機能を有していること。また、面接指導の申出を行った場合、実施者あてに面接指導申出の通知メールが送信される機能を有していること。なお、面接指導の申出を行った場合は、自身のストレスチェック結果を事業者側に提供することに同意したものとし、その旨をあらかじめ画面上に表示すること。⑥ 職員(受検者)自身の過去(３年分)のストレス評価結果を閲覧できること。(２)管理者等向けシステム機能一般職員向けシステム機能で蓄積された職員の受検データをもとに、以下の分析5機能を有すること。なお、分析のためにはあらかじめ職員個人の所属や役職等の属性を別途定義する仕組みがあり、それらを指定しての閲覧が可能であること。① 職員(受検者)個々及び所属単位での受検状況等を確認できること。② 職員(受検者)個人のストレスチェック結果実施者及び実施事務従事者は、職員個人のストレスチェック結果のデータ分析が参照できること。また、本人による「事業者側へのストレスチェック結果の提供に対する同意」を得ている場合、人事担当者及び管理監督者が職員個人のストレスチェック結果を参照できること。ア 参照できる項目には、次の内容が含まれること。ａ 本人の事業者側への結果提供に関する同意の有無ｂ 職員番号、氏名、性別、所属等について管理者があらかじめ登録する項目ｃ 質問選択値ｄ 因子毎のストレス評価値ｅ 簡易採点法に基づく結果ｆ ストレスに関する症状、不調の９項目(※)※平成22年12月、労働政策審議会により建議された「今後の職場における安全衛生対策について～職場におけるメンタルヘルス対策の推進～」において、独立行政法人労働安全衛生総合研究所が提案した「疲労」、「不安」及び「抑うつ」の３尺度に基づく９項目をいう。ｇ 指針に基づいた高ストレス判断のための情報である「心身のストレス反応」(29項目)の６尺度の合計値、「仕事のストレス要因」(17項目)の９尺度(仕事の量、仕事の質、身体的負担度等)の合計値、及び「周囲のサポート」(９項目)の３尺度(上司からのサポート、同僚からのサポート等)の合計値がそれぞれに得られること。イ 指定した期間による分析が行えること。 ウ 職員個人の回答結果データについて、氏名、性別、所属、簡易採点法に基づく結果、勤務地、時間外勤務時間等の抽出条件を指定した絞り込み検索機能を有すること。エ 参照データはＣＳＶファイル等としてダウンロードできること。オ 上記アｄ、ｅ、ｆ、ｇの集計結果から高ストレス者等、面接指導勧奨対象候補者を任意の条件で抽出できること。③ 高ストレス者の選定「労働安全衛生法に基づくストレスチェック制度実施マニュアル」(令和３年２月改訂 厚生労働省労働基準局安全衛生部労働衛生課産業保健支援室)に基づく評価基準で選定できること。④ 高ストレス者の抽出職員(受検者)の受検後、実施者及び実施事務従事者は、高ストレス該当者を一覧で抽出し、確認できる仕組みを有すること。⑤ 面接指導対応実施者は、面接指導の申出を行った職員の一覧より、次の運用ができること。6ア 面接指導を希望した職員の情報を一覧で参照できること。イ アの情報について個別確認ができること。⑥ 所属、集団毎の集計、分析実施期間が終了し、受注者において集計、分析を行った後、実施者、実施事務従事者、人事担当者及び管理監督者は、次の機能により所属、集団毎の分析結果を確認できること(実施者及び実施事務従事者は管轄地域分に限る。また、管理監督者は自所属分に限る。)。この場合、ＰＤＦファイル等をダウンロードして確認する方法でも可とする。なお、管理者区分別の権限の範囲内で、複数の所属等を抽出した場合は、クラウド型システムとは別の集計ツール等を活用し確認する方法でも可とする。また、当該分析結果及びクに記載するレポートについては、ストレスチェックの実施終了日から１ヶ月後程度を目途に確認できること。ア 発注者において指定した所属、集団毎(複数の所属を対象、一の所属を細分化した単位等)に、仕事上の心理的なストレス要因を評価し、それが職員のストレス(ストレス反応)や健康リスクにどの程度影響を与えているかについて、厚生労働省「作業関連疾患の予防に関する研究」の成果物である「仕事のストレス判定図」(以下「判定図」という。)により確認できること。イ 上記アの結果については、報告書としても利用可能な形式で出力することが可能なものであること。ウ 勤務地別、年代別、性別、職種別、時間外勤務時間別等の属性について、３つ以上の抽出条件を指定した絞り込み検索機能を有すること。エ 所属等の絞り込みをした単位で、ストレスによる健康リスク、判定図及び調査票の結果を評価できること。オ 判定図については、所属、集団毎に男女別々と男女混合で評価できること。カ 判定図及び調査票の結果において、構成人数が９人以下の所属にあっては、集団分析は行わないこと。キ 素点換算表に基づいて算出した19尺度の評価については、所属、集団毎に各尺度の評価点も確認できること。ク 受注者は、調査票の結果を集計し、職場の回答の傾向等を示したレポートを作成すること。各部局におけるレポートの作成例は「別紙サンプル１から４」のとおりとするが、詳細については別途、打合せにより設定するものとする。 10.1%17.9% 18.2%14.8%11.5%25.0%26.1%13.4%0.0%5.0%10.0%15.0%20.0%25.0%30.0%時間外別高ストレス者率６ 職場の分析結果総合健康リスクの所属数分布仕事の量的負担コントロール(Ａ)職場の支援(Ｂ)総合健康リスク＊(Ａ)×(Ｂ)／１００１２０超所属数ABC部局 110 100 110 0＊総合健康リスクは、「仕事の量的負担―仕事のコントロール」判定図の健康リスクと、「上司の支援―同僚の支援」判定図の健康リスクを総合して評価した値であり、仕事のストレス要因が、職場の職員の健康にどの程度の影響があるかの目安になるもの。例えば、総合健康リスクが１２０の場合には、職場での総合的な仕事のストレスによる健康問題が２０％多めに発生すると予想される。 (健康リスクが１２０を超えている場合は、何らかの仕事のストレスに関する問題が職場で生じている場合が多いと言われている。)仕事のストレス判定図仕事の量的負担コントロール(Ａ)職場の支援(Ｂ)総合健康リスク＊(Ａ)×(Ｂ)／１００医師職 101 89 89看護職 118 101 119医療技術職 102 100 102事務職 102 94 95技労職 112 115 128その他(臨任、非常勤)99 105 103健康リスク平均値(全国１００とした場合)職務の種類健康リスク平均値◆全国平均 ■病院事業局平均5 6 7 8 910114 5 6 7 8 9 10同僚の支援上司の支援4 5 6 7 8 910114 5 6 7 8 9 10 11仕事のコントロール仕事の量的負荷※ 参考【衛生委員会ごと】面接指導者数面接指導の結果就業上の措置について意見があった者XX年度28 28 100.0% 2 7.1%前年度 32 22 68.8% 4 18.2%XX年度1,264 1,132 89.6% 147 13.0%前年度 1,282 1,166 91.0% 173 14.8%XX年度587 561 95.6% 77 13.7%前年度 583 561 96.2% 76 13.5%XX年度276 274 99.3% 30 10.9%前年度 271 268 98.9% 42 15.7%XX年度239 199 83.3% 39 19.6%前年度 242 209 86.4% 34 16.3%XX年度2,394 2,194 91.6% 295 13.4% 0 0前年度 2,410 2,226 92.4% 329 14.8% 0 0仕事の量的負担コントロール(Ａ)職場の支援(Ｂ)総合健康リスク＊(Ａ)×(Ｂ)／１００101 88 88110 101 111111 98 108106 99 104110 100 110110 100 110事務局A病院B病院C病院健康リスク平均値高ストレス者への対応割合(ｃ／ｂ％)産業医の面接指導対象者数a受検者数ｂ受検率ｂ／a(％)高ストレス者数ｃD病院合計事務局A病院B病院C病院D病院ABC部局全体○区分別実施率及び高ストレス者割合R● 前年度 前々年度 R● 前年度 前々年度●●●全体 3,749 3,171 84.6% (85.3%) (85.8%) 303 9.6% (8.9%) (7.4%)1 分析対象集団 １ 381 349 91.6% (94.1%) (92.9%) 38 10.9% (10.3%) (7.0%)2 分析対象集団 ２ 75 58 77.3% (85.3%) (67.6%) 6 10.3% (9.4%) (6.0%)3 分析対象集団 ３ 2261 1880 83.1% (83.7%) (84.1%) 190 10.1% (8.5%) (7.3%)4 分析対象集団 ４ 1032 884 85.7% (85.6%) (88.2%) 69 7.8% (9.0%) (7.7%)集計分析対象外(出向、派遣等) 6 4 66.7% (27.3%) (71.4%) 1 25.0% (0.0%) (0.0%)※実施対象者数については、長期不在者(育休等)を除く。 期 間 ：令和●年●月●日～●日＊ 実施者数のうち未回答部分があるものを除いた人数 ※平均点数について、仕事の量的負荷は、数値が大きいほどストレス度が高くなり、仕事のコントロール、上司の支援及び同僚の支援は、数値が小さいほどストレス度が高くなる。 ※健康リスクは、仕事のストレス要因がどの程度職員の健康に影響を与えるか(職員のストレス反応、検査の異常値、 病気の発生等の健康問題の危険度)を、全国平均を100とした場合、その職場の健康リスクがどの程度高いか低いかを示すもの。数値が大きいほど健康リスクが高くなる。 ○仕事のストレス判定図 ◆全国平均 ■●●●平均 ●実施区分別平均※全国平均は、平成11年に労働省が調査・研究した数値。職業は教員や公務員だけではない。また、調査時は メンタルヘルス対策が現在ほど重要視されていなかったため、健康リスクは高めであると思われる。 令和●年度 ●●●集計・分析結果No 実施区分実施対象者数(人)実施者数(人)実施率高ストレス者数(人)高ストレス者率4 5 6 7 8 910114 5 6 7 8 9 10 11仕事のコントロール仕事の量的負荷5 6 7 8 910114 5 6 7 8 9 10同僚の支援上司の支援R● 前年度 R● 前年度 R● 前年度◆ 全国平均 - - - 8.7 7.9 7.5 8.1 100 (100) 100 (100) 100 (100)■ ●●●平均 3,171 1,787 1,384 8.8 8.2 8.1 8.5 98 (98) 91 (88) 89 (86)① 分析対象集団 １ 349 237 112 8.7 8.3 8.8 9.1 97 (98) 80 (79) 78 (77)② 分析対象集団 ２ 58 31 27 7.1 8.5 8.1 8.8 84 (82) 88 (82) 74 (67)③ 分析対象集団 ３ 1,880 1212 668 8.8 8.3 8 8.3 98 (97) 93 (89) 91 (86)④ 分析対象集団 ４ 884 307 577 8.9 7.9 7.9 8.6 101 (101) 91 (89) 93 (89)No. 実施区分回答者数＊ 平均点数 健康リスク(全国平均：100)全体(人)男(人) 女(人)量的負荷コントロール上司の支援同僚の支援量-コントロール判定(A)職場の支援判定(B)総合健康リスク(A)×(B)/100●●●平均①分析対象集団１②分析対象集団２④分析対象集団４③分析対象集団３全国平均全国平均①分析対象集団１●●●平均②分析対象集団２③分析対象集団３④分析対象集団４低ストレス 低ストレス高ストレス高ストレス●●●全体の実施結果(詳細)１ 男女別R● 対前年比 R● 対前年比 R● 対前年比男 1787 ▲ 50 186 54 10.4% 3.2女 1384 ▲ 12 117 ▲ 38 8.5% ▲ 2.6２ 年代別R● 対前年比 R● 対前年比 R● 対前年比- 19歳 3 ▲ 1 0 ▲ 1 0.0% ▲ 25.020 - 29歳 326 3 24 4 7.4% 1.230 - 39歳 468 ▲ 2 59 6 12.6% 1.340 - 49歳 829 1 96 17 11.6% 2.050歳 - 1545 ▲ 63 124 ▲ 10 8.0% ▲ 0.3３ 時間外数別R● 対前年比 R● 対前年比 R● 対前年比 00 - 10 939 ▲ 13 66 ▲ 2 7.0% -0.1 11 - 20 608 6 52 ▲ 1 8.6% ▲ 0.3 21 - 30 528 15 48 12 9.1% 2.1 31 - 40 379 ▲ 27 38 11 10.0% 3.4 41 - 50 242 ▲ 51 26 ▲ 13 10.7% ▲ 2.6 51 - 60 129 ▲ 8 19 6 14.7% 5.2 61 - 70 87 ▲ 22 10 ▲ 3 11.5% ▲ 0.4 71 - 80 97 ▲ 8 13 1 13.4% 2.0 81 - 90 54 11 9 5 16.7% 7.491 - 100 23 ▲ 2 3 ▲ 3 13.0% ▲ 11.0 101 - 42 ▲ 6 11 ▲ 5 26.2% ▲ 7.1 未回答 43 43 8 8 - -４ 職位別R● 対前年比 R● 対前年比 R● 対前年比一般級 210 ▲ 5 23 4 11.0% 2.2係長級 60 4 6 1 10.0% 1.1主査級 100 6 13 ▲ 2 13.0% ▲ 3.0補佐級 122 1 16 0 13.1% ▲ 0.1課長級 58 ▲ 9 1 ▲ 1 1.7% ▲ 1.3次長級 9 0 1 1 11.1% 11.1教諭・助教諭 1722 ▲ 80 176 8 10.2% 0.9講師 172 20 9 ▲ 3 5.2% ▲ 2.7養護教諭等 76 2 6 0 7.9% ▲ 0.2実習助手 126 ▲ 8 12 ▲ 2 9.5% ▲ 0.9主寄指 27 ▲ 1 3 ▲ 2 11.1% ▲ 6.8寄宿指導員 33 5 5 2 15.2% 4.5技労長・技労職 114 13 11 3 9.6% 1.7教頭 85 4 2 ▲ 2 2.4% ▲ 2.5校長 51 0 0 ▲ 1 0.0% ▲ 2.0会計年度任用職員 206 ▲ 14 19 10 9.2% 5.1※養護教諭等：養護教諭及びその臨時職員※主寄指：主任寄宿指導員時間外数実施者数(人) 高ストレス者数(人) 高ストレス者率職 位実施者数(人) 高ストレス者数(人) 高ストレス者率性 別実施者数(人) 高ストレス者数(人) 高ストレス者率年 代実施者数(人) 高ストレス者数(人) 高ストレス者率仕事のストレス判定図 (期 間 ： ➊令和●年●月●日～●日、➋令和●年●月●日～●日)◆全国平均 ■●●●平均 ●●●所属■ 2.8 ■ 3.3➊ 2.8 ➊ 2.8➋ 2.7 ➋ 2.9■ 2.6 ■ 3.5➊ 2.6 ➊ 3.5➋ 2.6 ➋ 3.5■ 2.6 ■ 3.1➊ 3.5 ➊ 3.1➋ 3.5 ➋ 3.0■ 3.4 ■ 3.2➊ 3.3 ➊ 3.0➋ 3.4 ➋ 3.0■ 2.9 ■ 3.5➊ 2.6 ➊ 3.2➋ 2.7 ➋ 3.3■ 3.4 ■ 3.2➊ 3.2 ➊ 3.0➋ 3.3 ➋ 3.1■ 3.0➊ 2.5 ■ 3.6➋ 2.6 ➊ 3.5■ 3.2 ➋ 3.6➊ 2.5 ■ 3.0➋ 2.4 ➊ 3.1■ 3.4 ➋ 3.1パスワードの再設定を必須にしない。もしくは、再設定させるとしても、イントラのパスワードと同じ要件にしてほしい(英字、および数字を組み合わせて８文字以上１４文字以下) ➊ 2.7 ■ 3.5➋ 2.7 ➊ 3.5[グラフの説明] ➋ 3.5 ●●●平均 ■ 3.4 ●●所属 ➊ 3.0 (①：R● ②：前年度) ➋ 3.1※値が小さく棒グラフが短いほどストレス度が高いことを示しています。 ※棒グラフが■の範囲に入る項目については注意が必要です。 家族や友人からのサポート仕事や生活の満足感職場環境によるストレス抑うつ感仕事のコントロール度身体愁訴あなたの技能の活用度【ストレス反応に影響を与える他の因子】上司からのサポートあなたが感じている仕事の適性度 同僚からのサポート働きがい心理的な仕事の負担(質)イライラ感自覚的な身体的負担度疲労感職場の対人関係でのストレス不安感令和●年度 ●●●ストレスチェック制度集計・分析結果(●●所属分)※全国平均の平均点数は、男女比に応じ男性版で算出。 【ストレスの原因と考えられる因子】 【ストレスによっておこる心身の反応】心理的な仕事の負担(量)活気4 5 6 7 8 910114 5 6 7 8 9 10 11仕事のコントロール仕事の量的負荷5 6 7 8 910114 5 6 7 8 9 10同僚の支援上司の支援全体(人)男(人) 女(人)量的負荷コントロール上司の支援同僚の支援量-コントロール判定(A)職場の支援判定(B)総合健康リスク(A)×(B)/100◆ 全国平均 - - - 8.7 7.9 7.5 8.1 100 100 100■ ●●●平均 3,171 1,787 1,384 8.8 8.2 8.1 8.5 98 91 89➊ 令和●年度 ●●所属 188 122 66 8.8 7.8 8.3 8.8 101 87 88➋ 前年度 ●●所属 188 122 66 8.9 8.0 8.4 8.7 100 86 86No. 実施区分回答者数 平均点数 健康リスク(全国平均：100)●●●平均●●●平均全国平均全国平均①今年度②前年度②前年度①今年度低ストレス 低ストレス高ストレス 高ストレス●●所属の実施結果(詳細)(各課)実施人数・実施率R● 前年度 前々年度3,749 3,171 84.6% (85.3%) (85.8%)210 188 89.5% (94.0%) (91.4%)44 38 86.4% (93.6%) (91.3%)22 21 95.5% (81.8%) (77.3%)17 14 82.4% (86.7%) (88.9%)16 15 93.8% (100.0%) (100.0%)9 9 100.0% (100.0%) (100.0%)34 32 94.1% (96.2%) (88.9%)17 17 100.0% (100.0%) (100.0%)41 35 85.4% (95.9%) (93.0%)10 7 70.0%１ 男女別R● 対前年比 R● 対前年比 R● 対前年比男 122 0 15 2 12.3% 1.6女 66 0 9 ▲ 2 13.6% ▲ 3.0２ 年代別R● 対前年比 R● 対前年比 R● 対前年比- 19歳 0 0 0 0 0.0% 0.020 - 29歳 22 ▲ 1 2 ▲ 1 9.1% ▲ 4.030 - 39歳 22 ▲ 3 4 2 18.2% 10.240 - 49歳 92 12 15 4 16.3% 2.650歳 - 52 ▲ 8 3 ▲ 5 5.8% ▲ 7.6３ 時間外数別R● 対前年比 R● 対前年比 R● 対前年比 00 - 10 67 9 7 0 10.4% ▲ 1.6 11 - 20 47 ▲ 1 8 6 17.0% 12.9 21 - 30 47 17 5 3 10.6% 4.0 31 - 40 14 ▲ 7 1 ▲ 2 7.1% ▲ 7.1 41 - 50 10 ▲ 11 2 ▲ 3 20.0% ▲ 3.8 51 - 60 1 ▲ 1 1 0 100.0% 50.0 61 - 70 0 ▲ 2 0 ▲ 1 0.0% -50 71 - 80 1 ▲ 5 0 ▲ 3 0.0% ▲ 50.0 81 - 90 0 0 0 0 0.0% 0.091 - 100 0 0 0 0 0.0% 0.0 101 - 1 1 0 0 0.0% 0.0 未回答 0 0 - -４ 職位別R● 対前年比 R● 対前年比 R● 対前年比一般級 57 ▲ 1 6 ▲ 1 10.5% ▲ 1.5係長級 17 ▲ 2 1 0 5.9% 0.6主査級 38 4 7 0 18.4% ▲ 2.2補佐級 41 ▲ 2 7 ▲ 2 17.1% ▲ 3.9課長級 13 0 0 0 0.0% 0.0技労職 2 ▲ 1 0 0 0.0% 0.0会計年度任用職員 17 2 3 3 17.6% 17.6次長級 3 0 0 0 0.0% 0.0時間外数実施者数(人) 高ストレス者数(人) 高ストレス者率職 位実施者数(人) 高ストレス者数(人) 高ストレス者率高ストレス者数(人) 高ストレス者率年 代実施者数(人) 高ストレス者数(人) 高ストレス者率D課E課F課G課性 別実施者数(人)H課I課実施者数(人)※実施率●●●全体●●所属C課A課B課所 属実施対象者数(人)※ 1山形県心理的な負担の程度を把握するための検査等制度(ストレスチェック制度)実施要領第１章 総則(目的)第１条 本要領は、労働安全衛生法(昭和47年法律第57号)第66条の10第1項の規定に基づき、職員の心理的な負担の程度を把握するための検査及び面接指導並びに面接指導結果に基づく講ずべき措置(以下「ストレスチェック制度」という。)を実施するにあたり、その実施方法等を定めるものとする。２ ストレスチェック制度の実施方法等については、本要領に定めるほか、労働安全衛生法その他の法令の定めによる。(対象者)第２条 本要領は、山形県職員安全衛生管理規程(以下「規程」という。)第２条第1号に規定する職員のうち、次に掲げる職員(国及び他地方公共団体等に派遣している職員を含む。)を対象とする。(１)一般職の常勤職員。(２)再任用短時間勤務職員。(３)任期が1年以上(任期の更新により１年以上になることが見込まれる場合を含む。)の次の職員。イ 臨時的任用職員。ロ フルタイムの会計年度任用職員。ハ パートタイムの会計年度任用職員。(勤務時間数が同種の業務に従事する常勤職員の１週間の所定勤務時間数の２分の１(通常週19時間)以上の職員。)(制度の趣旨等の周知)第３条 規程第５条に規定する職員安全衛生管理者は、次の内容を山形県庁イントラ情報システム(以下「イントラ」という。)に掲載する等により、ストレスチェック制度の趣旨等を職員に周知する。(１)ストレスチェック制度は、職員自身のストレスへの気付き及びその対処の支援並びに職場環境の改善を通じて、メンタルヘルス不調となることを未然に防止するー次予防を目的とし、メンタルヘルス不調者の発見を一義的な目的とするものではないこと。(２)職員はストレスチェックを受ける義務はないが、専門医療機関に通院中などの特別な事情がない限り、一次予防の観点からストレスチェックを受けることが望ましいこと。(３)ストレスチェックの結果は直接本人に通知され、本人の同意なく職員安全衛生管理者、人事主管課長(人事管理担当職員を含む。)及び所属長の三者(以下「職員安全衛生管理者等」という。)が結果を入手することはないこと。(４)職員安全衛生管理者等が入手した結果は、本人の健康管理の目的のために使用し、それ以外の目的に利用することはないこと。2(要領改正手続き)第４条 本要領を改正する場合は、職員健康関係事業検討会の意見を参考に、職員安全衛生委員会において調査審議を行い、その結果に基づいて改正を行うものとする。第２章 ストレスチェック制度の実施体制(ストレスチェック制度担当者)第５条 ストレスチェック制度の実施の管理等を担当する者は、規程第７条に規定する職員安全衛生管理責任者とする。(ストレスチェックの実施者)第６条 ストレスチェックの実施者は、産業医及び総務厚生課保健師とする。２ 実施者のうち、本庁産業医を実施代表者とし、その他の産業医及び総務厚生課保健師を共同実施者とする。(ストレスチェックの実施事務従事者)第７条 ストレスチェックの実施事務従事者は、総務厚生課及び各総合支庁総務課の職員並びにこども医療療育センター総務課及び看護部の職員とし、実施者の指示のもと、ストレスチェックの日程の調整・連絡、調査票の配布、回収及びデータ入力等の各種事務処理を担当させる。(面接指導の実施者)第８条 ストレスチェックの結果に基づく面接指導の実施者は、産業医とする。なお、産業医が必要と認めた場合は、職員安全衛生管理者が指定する専門医による面接指導を実施することができるものとする。(ストレスチェック実施者等の公表)第９条 職員安全衛生管理者は、ストレスチェックの実施者、ストレスチェック実施事務従事者及び面接指導の実施者について、イントラに掲載する等の方法により職員に周知するものとする。第３章 ストレスチェック制度の実施方法第１節 ストレスチェック(実施時期及び期間)第10条 ストレスチェックは、原則として毎年度上半期に実施し、実施期間は実施代表者が別途通知する。２ 実施期間に、出張等の業務上の都合によりストレスチェックを受検できなかった職員に対しては、別途期間を設定して、ストレスチェックを実施する。３ 職員は、専門医療機関に通院中などの特別な事情がない限り、設定した期間においてストレスチェックを受検するよう努めなければならない。3(調査票及び方法)第11条 ストレスチェックは、職業性ストレス簡易調査票(様式第1号)を用い、職員安全衛生管理者が指定するストレスチェックシステム(以下「システム」という。) を利用して、オンラインで行う。ただし、システムが利用できない職員については、紙媒体で行う。(ストレスの程度の評価方法・高ストレス者の選定方法)第12条 ストレスチェックの個人結果の評価方法は、「労働安全衛生法に基づくストレスチェック制度実施マニュアル」(平成27年5月厚生労働省労働基準局安全衛生部労働衛生課産業保健支援室)(以下「マニュアル」という。)に示されている素点換算表を用いて換算し、その結果をレーダーチャートに示すことにより行うものとする。２ 高ストレス者の選定は、マニュアルに示されている「評価基準の例」を参考として、実施者が行うものとする。(ストレスチェック結果の通知方法)第13条 実施者は、受検した職員に対しシステム内で個人の結果を通知する。ただし、システムが利用できない職員に対しては、封筒に封入し紙媒体で配布する。(職員安全衛生管理者等への結果提供に関する同意の取得方法及び共有範囲)第14条 実施者は、ストレスチェックの結果を各職員に通知する際に、当該結果の内容を職員安全衛生管理者等に提供することについて同意するか否かの意思確認を行うものとする。２ 職員は、職員安全衛生管理者等への結果の提供に同意する場合は、システムの同意欄に確認入力をしなければならない。なお、紙媒体受検の場合は、結果通知に添付された同意書(様式第２号)を実施者あてに送付するものとする。３ 実施者は、前項の規定による職員からの同意書を受理したときは、ストレスチェック実施期間終了後、結果の内容を職員安全衛生管理者等に提供するものとする。(セルフケア)第15条 職員は、ストレスチェックを利用し、自分が抱えているストレスや体調の変化に気づき、それに対処する方法を身につけるように努めなければならない。 第２節 医師による面接指導(面接指導の申出の方法)第16条 ストレスチェックの結果、面接指導を受ける必要があると判定された職員が面接指導を希望する場合は、システムの同意欄及び面接指導の申出欄に確認入力をすることにより、職員安全衛生管理者に申し出なければならない。なお、紙媒体受検の場合は、結果通知に添付された面接指導申出書(様式第３号)を提出することにより、職員安全衛生管理者に申し出るものとする。２ 前項の申し出はストレスチェック実施期間の最終日(紙媒体受検の場合は結果通知日)から起算して30日以内に行うものとする。4３ 実施者は、面接指導を受ける必要があると判定された職員が、面接指導を申し出ない場合であっても、実施者が必要と認めた場合は、通常の健康相談の一環として実施する面談等を受けるよう勧奨することができる。(面接指導の実施方法)第17条 職員安全衛生管理者は、面接指導の実施日時及び場所等について、職員からの面接指導申し出期限の日から概ね1ヶ月以内に設定し、当該職員及び所属長に通知しなければならない。２ 通知を受けた所属長は、当該職員の分掌事務、時間外勤務状況等について勤務状況等情報提供書(様式第４号)により職員安全衛生管理者を通じて面接指導の実施者に情報を提供するとともに、職員が面接指導を受けることができるよう配慮しなければならない。３ 通知を受けた職員は、指定された日時及び場所において面接指導を受けるものとする。 この際、あらかじめ職員自己チェック表(様式第５号)を記載し、面接指導の実施者に提出しなければならない。４ 面接指導の実施者は、当該職員の同意を得た場合は、保健師、看護師又はメンタルヘルスコーディネーターを、面接指導に同席させることができるものとする。(面接指導結果に基づく医師の意見聴取)第18条 労働安全衛生法第66条の10第５項の規定に基づき、職員安全衛生管理者が面接指導の実施者から必要な措置についての意見を聴くに当たっては、就業上の措置の必要性の有無及び講ずべき措置の内容に関する意見を聴くものとする。２ 前項に規定する意見は、規程別表第２「指導区分及び事後措置の基準」(生活規正の面の項)に準ずるものとする。３ 第1項に規定する意見は、面接指導の実施者が、面接指導実施後30日以内に面接指導結果報告書(兼)事後措置に係る意見書(様式第６号)により職員安全衛生管理者に提出するものとする。(面接指導結果の人事主管課長等への通知)第19条 職員安全衛生管理者は、面接指導の実施者から就業上の措置が必要との意見が付された場合は、人事主管課長及び所属長(以下「人事主管課長等」という。)に対して当該意見の内容を通知する。(面接指導結果を踏まえた措置の実施方法)第20条 所属長は、前条に基づく通知を踏まえ、必要に応じ就業上の措置を講じなければならない。２ 所属長は、前項の規定により講じた措置又は講じようとする措置の内容に関する情報(措置を講じない場合にあってはその旨及びその理由)について、通知を受けた日から30日以内に、面接指導結果に対する事後措置に関する報告書(様式第７号)により職員安全衛生管理者を経由して産業医に報告しなければならない。３ 所属長は、就業上の措置を行うにあたり、必要があると認められる場合は、人事主管5課長と協議を行うものする。４ 所属長が就業上の措置を行う場合は、当該職員と十分な話し合いを行い、本人の同意を得るものとする。５ 所属長又は当該職員の求めに応じて、産業医、保健師、看護師又はメンタルヘルスコーディネーターが前項の話し合いに同席することができるものとする。６ 職員は、正当な理由がない限り、所属長が指示する就業上の措置に従わなければならない。(ストレスチェック及び面接指導を受けるのに要する時間の服務の取扱い)第21条 第10条第１項によるストレスチェックの実施及び第17条第３項による面接指導を受けるのに要する時間は、県職員の職務に専念する義務の特例に関する条例(昭和26年3月20日山形県条例第18号)第２条第１項第２号の規定に基づき職務専念義務を免除するものとする。第３節 集団ごとの集計・分析(集計・分析の対象集団及び方法)第22条 ストレスチェック結果の集団ごとの集計・分析は、原則として、所属単位で行う。２ 集団ごとの集計・分析は、マニュアルに示されている仕事のストレス判定図を用いて行うものとする。(集計・分析の共有範囲及び事後措置)第23条 実施者は、職員安全衛生管理者を通して人事主管課長等に、所属ごとに集計・分析したストレスチェック結果を提供するものとする。２ 所属長は、集計・分析された自所属のストレスチェックの結果を参考に、職場環境を把握し必要があれば問題点の改善を図るものとする。３ 実施者は、衛生委員会及び安全衛生委員会(以下「衛生委員会等」とする。)に集計・分析結果を提供するものとする。４ 職員安全衛生管理者は、所属ごとに集計・分析された結果を踏まえ、所属長等に対する研修を実施するとともに、必要に応じて職場環境の改善のための取組みについて意見を述べることができるものとする。第４章 記録の保存(ストレスチェック結果の記録の保存担当者及びセキュリティの確保)第24条 ストレスチェック結果の記録の保存担当者は、実施事務従事者として規定されている総務厚生課職員とする。保存担当者は、ストレスチェック結果が第三者に閲覧されることがないよう、責任をもって管理をしなければならない。(ストレスチェック結果の記録の保存期間・保存場所)第25条 ストレスチェック結果の記録(紙媒体で実施したチェック票及び面接指導の実施者から提出された面接指導結果報告書兼意見書を含む。)は、総務厚生課で５年間保6存する。総務厚生課長はこれらの記録が第三者に閲覧されることがないよう責任を持って管理する。(人事主管課長等に提供されたストレスチェック結果・面接指導結果等の保存方法)第26条 人事主管課長等は、職員の同意を得て提供されたストレスチェック結果、実施者から提供された集団ごとの集計・分析結果、面接指導結果報告書兼意見書を５年間保存する。２ 人事主管課長等は、これらの資料が第三者に閲覧されることがないよう、責任をもって管理をする。第５章 情報開示、訂正、追加及び削除と苦情処理(情報開示等の手続き)第27条 職員は、ストレスチェック制度に関して情報の開示等を求める際には、情報開示請求書(様式第８号)を電子メール又は郵送により職員安全衛生管理者に提出しなければならない。(苦情申し立ての手続き)第28条 職員は、ストレスチェック制度に関する情報の開示等について苦情の申し立てを行う際には、苦情申立書(様式第９号)を電子メール又は郵送により職員安全衛生管理者に提出しなければならない。(守秘義務)第29条 職員からの情報開示等や苦情申し立てに対応する総務厚生課の職員は、それらの職務を通じて知り得た職員の秘密(ストレスチェックの結果、その他の職員の健康情報等)を他人に漏らしてはならない。第６章 不利益な取扱いの防止(人事主管課長等が行わない行為)第30条 職員安全衛生管理者は、次の内容をイントラに掲載すること等により、ストレスチェック制度に関して、人事主管課長等が次の行為を行わないことを職員に周知する。(１)ストレスチェックの受検を強制すること。(２)ストレスチェックを受けない職員に対して、受けないことを理由として、その職員に不利益となる取扱いを行うこと。(３)ストレスチェック結果の内容を職員安全衛生管理者等に提供することに同意しない職員に対し、同意しないことを理由として、その職員に不利益となる取扱いを行うこと。(４)職員の同意を得て職員安全衛生管理者等に提供されたストレスチェック結果の内容を理由として、その職員に不利益となる取扱いを行うこと。(５)ストレスチェック結果に基づき、医師による面接指導の申出を行った職員に対し7て、申出を行ったことを理由として、その職員に不利益となる取扱いを行うこと。 (６)面接指導の結果に基づいて、就業上の措置を行うに当たって、面接指導を実施した医師の意見とその内容・程度が著しく異なる等医師の意見を勘案し必要と認められる範囲内となっていないものや、労働者の実情が考慮されていないものなど、労働安全衛生法その他の法令に定められた要件を満たさない内容で、その職員に不利益となる取扱いを行うこと。(７)面接指導の結果に基づいて、就業上の措置として、次に掲げる措置を行うこと。イ 退職勧奨を行うこと。ロ 期間を定めて任用される職員について任用の更新をしないこと。ハ 不当な動機・目的をもってなされたと判断されるような配置転換又は職位(役職)の変更を命じること。二 労働安全衛生法その他の労働関係法令に違反する措置を講じること。第７章 雑則(その他)第31条 本要領の実施にあたり必要な事項については、職員安全衛生管理者が定める。附 則この要領は平成28年４月１日から施行する。附 則この要領は平成28年12月１日から施行する。附 則この要領は平成29年４月１日から施行する。附 則この要領は平成31年４月１日から施行する。附 則この要領は令和２年４月１日から施行する。附 則この要領は令和７年４月１日から施行する。1職業性ストレス簡易調査票(57項目)Ａ あなたの仕事についてうかがいます。最もあてはまるものに○を付けてください。そ そま ちや ちう うあ がや がだ だ う う1. 非常にたくさんの仕事をしなければならない-------------------- １ ２ ３ ４2. 時間内に仕事が処理しきれない-------------------------------- １ ２ ３ ４3. 一生懸命働かなければならない-------------------------------- １ ２ ３ ４4. かなり注意を集中する必要がある------------------------------ １ ２ ３ ４5. 高度の知識や技術が必要なむずかしい仕事だ-------------------- １ ２ ３ ４6. 勤務時間中はいつも仕事のことを考えていなければならない------ １ ２ ３ ４7. からだを大変よく使う仕事だ---------------------------------- １ ２ ３ ４8. 自分のペースで仕事ができる---------------------------------- １ ２ ３ ４9. 自分で仕事の順番・やり方を決めることができる---------------- １ ２ ３ ４10. 職場の仕事の方針に自分の意見を反映できる-------------------- １ ２ ３ ４11. 自分の技能や知識を仕事で使うことが少ない-------------------- １ ２ ３ ４12. 私の部署内で意見のくい違いがある---------------------------- １ ２ ３ ４13. 私の部署と他の部署とはうまが合わない------------------------ １ ２ ３ ４14. 私の職場の雰囲気は友好的である------------------------------ １ ２ ３ ４15. 私の職場の作業環境(騒音、照明、温度、換気など)はよくない-- １ ２ ３ ４16. 仕事の内容は自分にあっている-------------------------------- １ ２ ３ ４17. 働きがいのある仕事だ---------------------------------------- １ ２ ３ ４Ｂ 最近1 か月間のあなたの状態についてうかがいます。最もあてはまるものに○を付けてください。なほ と し ほかと あき あば いとっん っど っし つんたど たき たば もどあった1. 活気がわいてくる-------------------------------------------- １ ２ ３ ４2. 元気がいっぱいだ-------------------------------------------- １ ２ ３ ４3. 生き生きする------------------------------------------------ １ ２ ３ ４4. 怒りを感じる------------------------------------------------ １ ２ ３ ４5. 内心腹立たしい---------------------------------------------- １ ２ ３ ４6. イライラしている-------------------------------------------- １ ２ ３ ４7. ひどく疲れた------------------------------------------------ １ ２ ３ ４8. へとへとだ-------------------------------------------------- １ ２ ３ ４9. だるい------------------------------------------------------ １ ２ ３ ４10. 気がはりつめている------------------------------------------ １ ２ ３ ４11. 不安だ------------------------------------------------------ １ ２ ３ ４回答日 所属名 職名氏名 職員番号 生年月日様式第１号212. 落着かない-------------------------------------------------- １ ２ ３ ４13. ゆううつだ-------------------------------------------------- １ ２ ３ ４14. 何をするのも面倒だ------------------------------------------ １ ２ ３ ４15. 物事に集中できない------------------------------------------ １ ２ ３ ４16. 気分が晴れない---------------------------------------------- １ ２ ３ ４17. 仕事が手につかない------------------------------------------ １ ２ ３ ４18. 悲しいと感じる---------------------------------------------- １ ２ ３ ４19. めまいがする------------------------------------------------ １ ２ ３ ４20. 体のふしぶしが痛む------------------------------------------ １ ２ ３ ４21. 頭が重かったり頭痛がする------------------------------------ １ ２ ３ ４22. 首筋や肩がこる---------------------------------------------- １ ２ ３ ４23. 腰が痛い---------------------------------------------------- １ ２ ３ ４24. 目が疲れる-------------------------------------------------- １ ２ ３ ４25. 動悸や息切れがする------------------------------------------ １ ２ ３ ４26. 胃腸の具合が悪い-------------------------------------------- １ ２ ３ ４27. 食欲がない-------------------------------------------------- １ ２ ３ ４28. 便秘や下痢をする-------------------------------------------- １ ２ ３ ４29. よく眠れない------------------------------------------------ １ ２ ３ ４Ｃ あなたの周りの方々についてうかがいます。最もあてはまるものに○を付けてください。非 か 多 全常 な くに り 少 ない次の人たちはどのくらい気軽に話ができますか？1. 上司-------------------------------------------------------- １ ２ ３ ４2. 職場の同僚-------------------------------------------------- １ ２ ３ ４3. 配偶者、家族、友人等---------------------------------------- １ ２ ３ ４あなたが困った時、次の人たちはどのくらい頼りになりますか？4. 上司-------------------------------------------------------- １ ２ ３ ４5. 職場の同僚-------------------------------------------------- １ ２ ３ ４6. 配偶者、家族、友人等---------------------------------------- １ ２ ３ ４あなたの個人的な問題を相談したら、次の人たちはどのくらいきいてくれますか？7. 上司-------------------------------------------------------- １ ２ ３ ４8. 職場の同僚-------------------------------------------------- １ ２ ３ ４9. 配偶者、家族、友人等---------------------------------------- １ ２ ３ ４Ｄ 満足度について満 満ま 不や 不あ 満や 満足 足 足 足1. 仕事に満足だ------------------------------------------------ １ ２ ３ ４2. 家庭生活に満足だ-------------------------------------------- １ ２ ３ ４ストレスチェック個人結果提供に関する同意書ストレスチェック実施者 殿ストレスチェックの個人結果を職員安全衛生管理者、人事主管課長(人事管理担当職員を含む)及び所属長に提供することについて□ 同意します。 年 月 日所属名職 名氏 名職員番号様式第２号ストレスチェック個人結果提供に同意する場合は、この用紙を記載のうえ、実施者に提出して下さい。(職員→実施者→職員安全衛生管理者)面接指導申出書職員安全衛生管理者 殿私は、ストレスチェックの結果、面接指導を受ける必要があると判定されましたので、医師の面接指導を希望します。なお、人事主管課長(人事管理担当職員を含む)及び所属長に、個人のストレスチェック判定結果を提供することに同意します。また、面接指導に際して必要な情報(時間外勤務や休暇取得の状況、分掌事務及び現在実施している業務上の配慮の有無等)を、所属長より面接指導を担当する医師に提供することについて同意します。年 月 日所属名職 名氏 名職員番号様式第３号(所属長→職員安全衛生管理者→面接指導の実施者)年 月 日面接指導実施医師 殿所属長名面接指導該当者職員の勤務状況等情報提供書当該職員の状況について下記のとおり情報提供いたします。記１ 職員の状況所属名 職名 氏 名(職員番号 )年数 現所属( 年目) 雇用形態□ 正職員 □ 再任用職員 □会計年度任用職員□ ６条、22条職員 □ その他( )２ 過去６ヶ月間の時間外勤務労働時間及び休暇取得の状況について５ヶ月前 ４ヶ月前 ３ヶ月前 ２ヶ月前 １ヶ月前 今月年月 年 月 年 月 年 月 年 月 年 月 年 月時間外労働時間時間 時間 時間 時間 時間 時間年休取得日数日 日 日 日 日 日休暇その他30日以上の病気休暇や休職等があった場合はこちらに記入ください。３ 当該職員の分掌事務について(既存の資料の添付可。責任性なども記載願います。)４ その他、当該職員について所属で配慮している事項等があれば記入願います。(育児時間等)様式第４号職員自己チェック表(面接指導用)これは、医師の面接指導に際し、御本人より仕事の過重性とストレスについて伺うものです。御本人が御記入の上、面接当日に御持参下さるようお願いいたします。なお、この用紙に記載された情報及び定期健康診断やその他の健康診断の結果は、面接指導及び産業医の指示による健康管理スタッフとの相談等にのみに利用いたします。ただし、面接医師が、就業上の配慮が必要と判断した場合は、必要な内容を人事主管課長等に通知する場合がありますので、御了承ください。以下について当てはまる箇所に□レしてください。１．仕事の過重性・ストレスについて(該当項目をチェックしてください。)そうだ まあそうだやや違う違う１ 労働時間(時間外労働)が長い □ □ □ □２ 不規則勤務である □ □ □ □３ 拘束時間の長い勤務である □ □ □ □４ 出張が多い業務である □ □ □ □５ 交替勤務が多い □ □ □ □６ 深夜勤務が多い □ □ □ □７ 人間関係のストレスが多い業務である □ □ □ □８ 作業環境①温度環境がよくない □ □ □ □②騒音が大きい □ □ □ □９ 精神的緊張性の高い職場①自分または他人に対し危険度の高い業務 □ □ □ □②過大なノルマがある業務 □ □ □ □③達成期限が短く限られている業務 □ □ □ □④トラブル・紛争処理業務 □ □ □ □⑤周囲の支援のない業務 □ □ □ □⑥困難な新規・立て直し業務 □ □ □ □１０ 通勤時間(片道) 通勤方法( )で( )分１１ 業務に関連しないストレス(家庭問題等) □ 低い □高い２．ストレスチェックの実施時期の業務は、 □繁忙期 □比較的閑散期 □通常どおり３．その他医師面接指導で相談したい事がありましたら御記入ください。●面接指導に健康管理スタッフの同席 □同意する □同意しない所属名 職名 氏名(職員番号 )様式第５号面接指導結果報告書(兼)事後措置に係る意見書(産業医面接用)面接指導結果報告書対象者(職員番号)氏名所属名男・女 年齢 歳勤務の状況(労働時間、労働時間以外の要因)○過去半年問で長時間労働(時間外労働40時間超)の有無 0.なし 1.あり( ヶ月)心理的な負担の状況(ストレスチェック結果)A.ストレスの要因 点B.心身の自覚症状 点C.周囲の支援 点(医学的所見に関する特記事項)治療中の心身の疾病 0.なし 1.あり( )その他心身の状況 0.なし 1.所見あり( )面接医師判定本人への指導区分*複数選択可0.措置不要1.要保健指導2.要経過観察3.要再面接(時期： )4.現病治療継続5.医療機関紹介6.専門医の面接指導要(その他特記事項)＊5又は6の場合面接結果報告書の写しを医療機関又は専門医に提供することについて同意 1.有 2.なし職場への指導等の必要性0.不要 1.要 ⇒下記意見書に記入事後措置に係る意見書 職員氏名 職員番号就業区分 要休業(Ａ) 要軽業(Ｂ) 要注意(Ｃ) 平常勤務(Ｄ)就業上の措置内容等労働時間の短縮(該当に○)0.特に指示なし 3.休日勤務(日直・当直業務含)の禁止又は制限1.時間外労働の制限 時間／月まで4.就業の禁止(休暇・休養の指示)2.時間外労働の禁止5.その他労働時間以外の項目(該当に○をつけて、措置の内容を具体的に記述)主要項目a.出張の制限 b.業務負担の軽減 c.作業の転換 d.深夜業の回数の減少e.昼間勤務への転換 f.就業場所の変更 g.その他１)２)３)措置期間 日・週・月 又は 年 月 日 ～ 年 月 日職場環境の改善に関する意見医療機関への受診等の配慮その他(連絡事項等)面接実施年月日 産業医氏名様式第６号(１)面接指導の結果、職場への指導の必要性がある場合は、職員安全管理者等に提出することに同意します。 職員氏名 (自署)面接指導結果報告書(兼)事後措置に係る意見書(専門医面接用)面接指導結果報告書対象者(職員番号)氏名所属名男・女 年齢 歳勤務の状況(労働時間、労働時間以外の要因)○過去半年問で長時間労働(時間外労働40時間超)の有無 0.なし 1.あり( ヶ月)心理的な負担の状況(ストレスチェック結果)A.ストレスの要因 点B.心身の自覚症状 点C.周囲の支援 点(医学的所見に関する特記事項)治療中の心身の疾病 0.なし 1.あり( )その他心身の状況 0.なし 1.所見あり( )面接医師判定本人への指導区分*複数選択可0.措置不要1.要保健指導2.要経過観察3.要再面接(時期： )4.現病治療継続5.医療機関紹介(その他特記事項)＊5の場合面接結果報告書の写しを医療機関に提供することについて同意 1.有 2.なし職場への指導等の必要性0.不要 1.要 ⇒下記意見書に記入事後措置に係る意見書 職員氏名 職員番号就業区分 要休業(Ａ) 要軽業(Ｂ) 要注意(Ｃ) 平常勤務(Ｄ)就業上の措置内容等労働時間の短縮(該当に○)0.特に指示なし 3.休日勤務(日直・当直業務含)の禁止又は制限1.時間外労働の制限 時間／月まで4.就業の禁止(休暇・休養の指示)2.時間外労働の禁止5.その他労働時間以外の項目(該当に○をつけて、措置の内容を具体的に記述)主要項目a.出張の制限 b.業務負担の軽減 c.作業の転換 d.深夜業の回数の減少e.昼間勤務への転換 f.就業場所の変更 g.その他１)２)３)措置期間 日・週・月 又は 年 月 日 ～ 年 月 日職場環境の改善に関する意見医療機関への受診等の配慮その他(連絡事項等)面接実施年月日医療機関名医師氏名様式第６号(２)産業医確認面接指導の結果、職場への指導等の必要性がある場合は、職員安全衛生管理者等に提出することに同意します。職員氏名 (自署)(所属長→職員安全衛生管理者→産業医)面接指導結果に対する事後措置に関する報告書年 月 日職員安全衛生管理者 殿所属長名年 月 日に面接指導を受けた下記職員に対する面接指導結果に対する事後措置の内容について、山形県心理的な負担の程度を把握するための検査等制度(ストレスチェック制度)実施要領第20条第２項の規定により、下記のとおり報告します。対象職員氏名所属内の事後措置の内容(上記職員に対して実施した措置の状況等)(注)この報告書は、面接指導結果報告書(兼)事後措置に係る意見書(様式第６号)の受理後、30日以内に総務部総務厚生課に提出してください。様式第７号ストレスチェック制度に関連する情報開示請求書年 月 日職員安全衛生管理者 殿請求者 所属名職 名氏 名職員番号電話番号自宅住所自宅電話番号山形県心理的な負担の程度を把握するための検査等制度(ストレスチェック制度)実施要領第27条の規定により、下記のとおり本人に関する情報の開示を請求します。内 容(どのような情報についての開示希望かを詳細に記載のこと)希望する開示方法 □ 記録の閲覧□ 用紙に出力したものの交付(郵送による交付の希望 □有)□ 複製物の交付(郵送による交付の希望 □有)＊技術的事情等により希望した方法による開示を実施することができない場合があります。＊実施機関記入欄 受付年月日(注)１ 開示方法で閲覧を選択した場合は、総務厚生課が指定した日時で、県庁舎２階職員診療所内健康管理室で行うことになります。２ ＊印の欄は記入しないでください。様式第８号ストレスチェック制度に関する情報の開示等についての苦情申立書年 月 日職員安全衛生管理者 殿請求者 所属名職 名氏 名職員番号電話番号自宅住所自宅電話番号心理的な負担の程度を把握するための検査等制度に関する情報の開示等について下記のとおり苦情を申し立てます。申立内容情報開示請求日 年 月 日情報開示請求結果 □ 開示(□全部 □一部) □ 非開示＊実施機関記入欄 受付年月日注)1 申立内容について、必要に応じて面接により確認させていただくことがあります。２ 情報開示請求日及び請求結果について御記入下さい。３ ＊印の欄は記入しないでください。様式第９号 山形県情報セキュリティ基本方針本県は、自らＩＴ社会の模範たる構成員となり、ＩＴ社会の健全な発展に寄与するとともに、本県が保有する県基幹高速通信ネットワークをはじめとする情報システム及び電子情報(以下「本県の情報資産」という。)の管理を適正に実施し、県民の権利、利益を守り、行政の安定的継続的な運営を実現するため、ここに山形県情報セキュリティ基本方針を制定する。１ 職員一人一人がＩＴ社会における模範となるよう努める。２ 適切な技術的施策を講じ、本県の情報資産に対する不正な侵入、改ざん、破壊、利用妨害などが発生しないよう、また、これが漏えいなどすることのないよう努める。３ 外部の情報資産に対して不正な侵入、改ざん、破壊、利用妨害などをすることがないよう努める。４ 本県の情報資産にセキュリティ上問題が発生した場合、その原因を迅速に究明し、その被害を最小限に止めるよう努める。５ 本県の情報資産のうち特に重要なものについては、必要なとき確実に利活用できるよう十分な備えに努める。６ 上記の活動を継続的に実施し、かつ、新たな脅威にも対応できるよう、情報セキュリティ管理体制を確立する。平成14年4月1日 施行平成20年4月1日 改正施行-1-山形県情報セキュリティ対策基準目次第１章 総則第２章 組織体制第３章 情報資産の分類と管理第４章 情報システム全体の強靭性の向上第５章 物理的セキュリティ第６章 人的セキュリティ第７章 技術的セキュリティ第８章 遵守状況の確認第９章 障害時の対応第10章 業務委託と外部サービスの利用第11章 法令遵守第12章 違反時の対応等第13章 評価・見直し第14章 例外措置第15章 実施手順第16章 委任-2-第１章 総則１．１ 目的山形県情報セキュリティ対策基準(以下「本対策基準」という。)は、山形県情報セキュリティ基本方針(以下「基本方針」という。)に基づき、本県が保有する情報資産を脅威から保護するための情報セキュリティ対策を実施するにあたっての組織体制、管理方法、遵守すべき事項及び判断基準等について基本的な事項を定めることを目的とする。１．２ 用語の定義本対策基準における主な用語の定義は以下のとおりとする。(１)情報セキュリティポリシー基本方針及び本対策基準をいう。(２)情報資産次に掲げるもので、本県が保有又は契約により使用等するものをいう。① 下記(３)から(７)に掲げるもの② ①で取り扱う情報(これらを印刷した帳票及び文書を含む。)③ ①にアクセス又は管理区域へ出入りするために用いるICカード、USBトークン及びこれらに類するもの(以下「ICカード等」という。)④ 情報システムの仕様書、ネットワーク構成図及び開発・保守に関する資料等の文書(３)パソコン等機器パソコン、モバイルノートパソコン、スマートフォン及びタブレット型コンピュータ等の機器並びにこれらに含まれる電磁的記録媒体をいう。(４)サーバ等機器情報を格納しているサーバ及びこれに含まれる電磁的記録媒体並びに通信回線装置等のネットワークを構成する基幹機器をいう。(５)電磁的記録媒体磁気ディスク、光学ディスク、磁気テープ及びフラッシュメモリ記憶装置等(スマートフォン及びタブレット型コンピュータ等の機器に含まれるものを含む。)のデータを記録・保持するための媒体又は装置全体をいう。(６)ネットワークパソコン等機器又はサーバ等機器(以下「パソコン・サーバ等」という。)を相互に利用するための通信回線網及びこれを構成する基幹機器をいう。(７)情報システムパソコン・サーバ等、電磁的記録媒体、ネットワーク、クラウドサービス(インターネット上で利用できるアプリケーション等のサービスをいう。)及びソフトウェアで構成された情報処理又は通信に用いる機器及び仕組みをいう。(８)脅威次に掲げるもの及びこれに類するもので、情報資産に係るものをいう。① 部外者等の無断侵入、窃取、不正アクセス、不正プログラム(不正かつ有害な動作を行う意図で作成された悪意のあるプログラム等をいう。)による攻撃及び標的型攻撃等の意図的要因並びに委託-3-事業者等の過失等の非意図的要因による情報資産の漏えい・破壊・改ざん・消去等② 職員等の情報セキュリティポリシーに係る違反行為等の意図的要因並びにプログラム上の欠陥、人為的ミス(誤操作、電子メールの誤送信、紛失等をいう。)及び故障等の非意図的要因による情報資産の漏えい・破壊・改ざん・消去等③ 地震、落雷及び火災等の災害並びにサービス不能攻撃等の予期しない大量アクセス等による情報システムの停止等(９)情報セキュリティ情報資産について、次に掲げるものを維持することをいう。① 機密性(Confidentiality)情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。② 完全性(Integrity)情報が破壊、改ざん又は消去されていない状態を確保することをいう。③ 可用性(Availability)情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。(10)情報セキュリティインシデント単独又は一連の脅威のうち、情報セキュリティを脅かす又はその確率が高い事象をいう。(11)職員常勤の職員をいう。(12)職員等職員、非常勤職員をいう。(13)事業継続計画自然災害等の問題発生シナリオに基づいて具体的な作業手順を定め、事業などが停止する時間を可能な限り少なくする目的で作られる管理策や計画をいう。(14) マイナンバー利用事務系(個人番号利用事務系)個人番号利用事務(社会保障、地方税若しくは防災に関する事務)又は戸籍事務等に関わる情報システム及びデータをいう。(15) LGWAN 接続系人事給与、財務会計及び文書管理等LGWAN に接続された情報システム及びその情報システムで取り扱うデータをいう。(16) インターネット接続系インターネットメール、ホームページ管理システム等に関わるインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。(17) 通信経路の分割LGWAN 接続系とインターネット接続系の両環境間の通信環境を分離した上で、安全が確保された通信だけを許可できるようにすることをいう。(18) 無害化通信インターネットメール本文のテキスト化や端末への画面転送等により、コンピューターウィルス等の不正プログラムの付着がない等、安全が確保された通信をいう。 -4-(19)標準準拠システム等地方公共団体情報システムの標準化に関する法律(令和３年法律第40号)第６条第１項及び第7条第１項に規定する標準化基準に適合する基幹業務システム及び関連システム等の業務システムをいう。(20)重要情報住民の個人情報や企業の経営情報等をいう。１．３ 適用範囲(１)組織の範囲本対策基準が適用される行政機関は、知事部局、教育委員会、議会事務局、選挙管理委員会、人事委員会、監査委員、公安委員会、警察本部、労働委員会、収用委員会、海区漁業調整委員会、内水面漁場管理委員会、企業局及び病院事業局(以下「各部局」という。)とする。(２)情報資産の範囲本対策基準は、各部局が管理する情報資産を対象とする。ただし、第３章以下の規定は、警察本部が管理する情報資産について、及び山形県県立学校教育情報セキュリティ対策基準が対象とする情報資産は、第６章の６．６情報セキュリティインシデントの報告及び対応等を除き適用しない。第２章 組織体制２．１ 組織・管理体制山形県DX推進本部設置要綱により設置された山形県DX推進本部(以下「本部」という。)を情報セキュリティポリシーに関する最高意思決定機関として、本県における情報セキュリティに係る方針を決定し、その維持及び向上を図るとともに、次の体制により情報セキュリティ対策を推進する。(１)最高情報セキュリティ責任者(Chief Information Security Officer、以下「CISO」という。)副知事を、CISOとする。CISOは、次に掲げる権限と責任を有する。① 本県における情報セキュリティ対策全般に関する統括的な権限と責任を有する。② 情報セキュリティを含む情報管理全般に関する専門的な知識及び経験を有する専門家をアドバイザーとして置くことができる。③ 本対策基準の改定をすることができる。④ CISOが不在の場合は、統括情報セキュリティ責任者がその権限を代行する。(２)統括情報セキュリティ責任者みらい企画創造部長を、統括情報セキュリティ責任者とする。統括情報セキュリティ責任者は、次に掲げる権限と責任を有する。① CISOを補佐する。② 情報セキュリティ責任者に対して、情報セキュリティに関する指導及び助言を行う。③ 情報セキュリティインシデント(軽微なものを除く。)が発生した場合は、CISOの指示のもと、必要かつ十分な措置を行う。(３)副統括情報セキュリティ責任者みらい企画創造部次長を、副統括情報セキュリティ責任者とする。副統括情報セキュリティ責任者-5-は、次に掲げる権限と責任を有する。① 統括情報セキュリティ責任者を補佐する。② 情報セキュリティインシデント(軽微なものを除く。)が発生した場合において、CISO及び統括情報セキュリティ責任者が不在の場合はこれに代わり必要かつ十分な措置を行う。(４)情報セキュリティ責任者本部の本部員(以下「部局長」という。)を、情報セキュリティ責任者とする。情報セキュリティ責任者は、次に掲げる権限と責任を有する。① 各部局の情報セキュリティに関する統括的な権限と責任を有する。② 各部局の情報セキュリティ管理者及び情報システム管理者に対して、情報セキュリティに関する指導及び助言を行う。(５)情報セキュリティ管理者各所属長を、各所属における情報セキュリティ管理者とする。情報セキュリティ管理者は、各所属における情報セキュリティについて次に掲げる権限と責任を有する。① 各所属における情報セキュリティ対策に関して、適切な運用及び管理を行う。② 所管する情報資産を適正に管理するとともに、情報セキュリティポリシーの適切な運用に関して、所属する職員等に指導を行う。(６)情報システム管理者各情報システムを所管する所属の長を、情報システム管理者とする。情報システム管理者は、所管する情報システムについて次に掲げる権限と責任を有する。① 著しく不適切な利用等が認められる者がある場合は、その者の利用を制限又は停止する事ができる。② 所管する情報システムの情報セキュリティに関する維持管理を行う。③ 情報システムに関する実施手順の策定及び維持管理を行うとともに、情報主管課長と連携し、緊急時の連絡体制について利用する職員等に周知徹底を図る。(７)情報主管課長等情報セキュリティポリシーの運用を適切に実施するため、情報主管課を定めるものとし、みらい企画創造部ＤＸ推進課を情報主管課とし、同部ＤＸ推進課長を情報主管課長とする。情報主管課長は、次に掲げる権限と責任を有する。① 県としての情報セキュリティの考え方・取組みを明確にする。② 情報セキュリティポリシーに基づき、山形県として満たすべき情報セキュリティの基準を明確にし、それを実現し、維持するため、本対策基準に基づき実施手順を整備する。③ 情報セキュリティインシデントが発生した際に迅速な対応ができるよう、各部局との連携のもとに山形県としての組織体制や連絡網を確立するとともに、山形県全体の情報セキュリティ管理体制の統括事務を所掌する。④ 軽微な情報セキュリティインシデントが発生した場合は、自らの判断により必要かつ十分な措置を行うことができる。(８)山形県情報セキュリティ等監査員班統括情報セキュリティ責任者は、情報資産における情報セキュリティ対策状況について確認するため、山形県情報セキュリティ等監査員班長を指名し、山形県情報セキュリティ等監査員班を組織するものとする。-6-(９)情報化推進・セキュリティ委員会情報セキュリティ責任者は、情報セキュリティポリシーを各部局の日常業務の中で具体的に運用するため、各部局、各総合支庁ごと情報化推進・セキュリティ委員会を組織するものとする。(10)情報セキュリティインシデント対策班(Computer Security Incident Response Team、以下「CSIRT」という。)情報セキュリティインシデントの防止に向けた取組みを行うとともに、発生時において、その状況等を正確に把握し、被害拡大の防止、復旧及び再発防止等の対策を迅速かつ的確に行うため、次に掲げるところによりCSIRTの体制を整備するものとする。① 統括情報セキュリティ責任者、副統括情報セキュリティ責任者、情報主管課長及び情報主管課をCSIRTとする。② 統括情報セキュリティ責任者をCSIRT責任者、副統括情報セキュリティ責任者をCSIRT副責任者、情報主管課長をCSIRT管理者とする。③ CSIRT責任者は、情報セキュリティインシデントに対し必要かつ十分な措置をCSIRT管理者に指示する。④ CSIRT副責任者は、CSIRT責任者を補佐する。 また、情報セキュリティインシデントの公表について、情報セキュリティインシデントが発生した部局(以下「インシデント発生部局」という。)に対し指示及び支援を行う。⑤ CSIRT管理者は、CSIRT責任者の指示のもと、情報セキュリティインシデントに対し必要かつ十分な措置を行う。⑥ CSIRT管理者は、情報セキュリティに関して県内市町村、関係機関及び委託事業者等との情報共有を行う。⑦ CSIRT管理者は、県内市町村から情報セキュリティインシデントの報告を受けた場合は、必要に応じ回復のための支援を行う。(11)標準準拠システム等をクラウドサービス上で利用する際の組織体制情報主管課長及び情報システム管理者は、標準準拠システム等をクラウドサービス上で利用する際には、複数の事業者の存在・責任の所在を確認し、複数の事業者が存在する場合は、必要な連絡体制を構築しなければならない。また、クラウドサービス利用における情報セキュリティ対策に取り組む十分な組織体制を確立しなければならない。第３章 情報資産の分類と管理３．１ 情報資産の管理責任情報セキュリティ管理者及び情報システム管理者は、所管する情報資産について管理責任を有する。３．２ 情報資産の分類情報セキュリティ管理者及び情報システム管理者は、所管する情報資産について、別に定める実施手順に基づき、表１、表２及び表３に定める機密性、完全性、可用性に関する基準により分類を行うものとする。表１ 機密性による情報資産の分類-7-分類 分類基準自治体機密性３Ａ行政事務で取り扱う情報資産のうち、「行政文書の管理に関するガイドライン」(平成23年４月１日内閣総理大臣決定)に定める秘密文書に相当する文書自治体機密性３Ｂ行政事務で取り扱う情報資産のうち、漏えい等が生じた際に、個人の権利利益の侵害の度合いが大きく、事務又は業務の規模や性質上、取扱いに非常に留意すべき情報資産自治体機密性３Ｃ行政事務で取り扱う情報資産のうち、自治体機密性３Ｂ以上に相当する機密性は要しないが、基本的に公表することを前提としていないもので、業務の規模や性質上、取扱いに留意すべき情報資産自治体機密性２行政事務で取り扱う情報資産のうち、自治体機密性３に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産自治体機密性１自治体機密性２又は自治体機密性３の情報資産以外の情報資産表２ 完全性による情報資産の分類分類 分類基準自治体完全性２行政事務で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、住民の権利が侵害される、又は行政事務の適正な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産自治体完全性１自治体完全性２の情報資産以外の情報資産表３ 可用性による情報資産の分類分類 分類基準自治体可用性２行政事務で取り扱う情報資産のうち、滅失、紛失、又は当該情報資産が利用不可能であることにより、住民の権利が侵害される、又は行政事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産自治体可用性１自治体可用性２の情報資産以外の情報資産３．３ 情報資産の管理情報セキュリティ管理者及び情報システム管理者は、所管する情報資産(クラウドサービスに保存される情報資産も含む。)の取扱いについて管理方法を定め、情報資産の分類又はその内容に応じその取扱いを制限しなければならない。また当該情報資産について、所属する職員等に対し、次に掲げるところ及び別に定める実施手順により取り扱うよう指導しなければならない。(１)取扱い制限の遵守-8-取扱い制限のある情報資産を取り扱う場合は、これを遵守すること。(２)情報の秘匿情報をパソコン等機器又は電磁的記録媒体に保存する場合は、当該情報の情報資産の分類等に応じて、パスワード等による暗号化又は当該機器等の管理区域への保管等の方法によりこれを秘匿すること。(３)作成途中の情報の管理自治体機密性２以上の情報について、作成途中であっても紛失や流出等を防止し、作成途中で不要になった場合は、これを消去すること。(４)他所属が所管する情報資産の取扱い他の所属が所管する情報資産について、当該他所属が定めた情報資産の分類に基づき取り扱うこと。(５)情報資産の廃棄等情報資産を廃棄やリース返却等を行う場合は、次に掲げるところにより行うこと。① 当該媒体を所管する情報セキュリティ管理者又は情報システム管理者の許可を得ること。② 記録されている情報の自治体機密性に応じ、情報資産の情報を復元できないように処置すること。③ 行った処理について、日時、担当者及び処理内容等を記録すること。④ 標準準拠システム等のクラウドサービス上での利用における全ての情報資産について、クラウドサービスの利用終了時期を確認し、クラウドサービスで扱う情報資産が適切に移行及び削除されるよう管理すること。３．４ パソコン等機器、電磁的記録媒体及びソフトウェアの管理(１)パソコン等機器、電磁的記録媒体及びソフトウェアの管理情報セキュリティ管理者及び情報システム管理者は、所管するパソコン等機器、電磁的記録媒体及びソフトウェアの管理について、次に掲げるところにより行うものとする。① パソコン等機器及び電磁的記録媒体の貸出及び返却について、記録を作成し保管しなければならない。② ソフトウェアについて、そのライセンスを適切に管理しなければならない。また、開発元のサポートが終了したソフトウェアについては、原則として速やかにその使用を終了しなければならない。 また、緊急性及び重要性に応じて情報セキュリティ責任者に報告しなければならない。④ 情報主管課長は、情報セキュリティインシデントを認知した場合は、その状況を確認し、緊急性及び重要性に応じて統括情報セキュリティ責任者及び副統括情報セキュリティ責任者に報告を行うと-15-ともに、統括情報セキュリティ責任者の指示又は自らの判断のもと、当該インシデントに係る情報セキュリティ管理者及び情報システム管理者に対し、被害拡大防止及び復旧のための対策を指示し、又は自らこれを講じなければならない。⑤ 統括情報セキュリティ責任者は、情報セキュリティインシデントの報告を受けた場合はその状況を確認し、被害拡大防止及び復旧のための対策について情報主管課長に対し指示しなければならない。また、その内容についてCISOに報告しなければならない。⑥ 情報主管課長は、同様の情報セキュリティインシデントが別の情報システムにおいても発生している可能性を検討し、必要に応じて当該情報システムを所管する情報システム管理者へ確認を指示しなければならない。⑦ 情報セキュリティインシデントにより、個人情報・特定個人情報の漏えい等が発生した場合、必要に応じて個人情報保護委員会へ報告しなければならない。(２)情報セキュリティインシデントの公表情報セキュリティインシデントについて外部公表を行う場合は、次に掲げるところにより行うものとする。① 副統括情報セキュリティ責任者は、インシデント発生部局における「山形県広報広聴事務取扱要綱」の規定による広報監(以下「発生部局の広報監」という。)に対し、外部公表に係る指示及び支援を行わなければならない。② 外部公表は、発生部局の広報監が行うものとし、その内容について副統括情報セキュリティ責任者に報告しなければならない。③ 副統括情報セキュリティ責任者は、公表した内容について統括情報セキュリティ責任者に報告しなければならない。(３)関係機関等との連携情報主管課長は、当該情報セキュリティインシデントが不正アクセス禁止法違反等の犯罪の可能性がある場合は、攻撃の記録を保存するとともに、警察及び関係機関との密接な連携に努めなければならない。(４)情報セキュリティインシデントの原因究明・記録等情報主管課長並びに発生した情報セキュリティインシデントに係る情報セキュリティ管理者及び情報システム管理者は、互いに連携して当該インシデントの原因を究明するとともに、その内容、原因、処理結果等を記録し、適切に保存しなければならない。(５)情報セキュリティインシデントの再発防止① CISOは、情報セキュリティインシデントの報告を受けた場合は、その内容を確認し、統括情報セキュリティ責任者に対し再発防止策を実施するために必要な措置を指示しなければならない。② 統括情報セキュリティ責任者は、CISO の指示のもと、再発防止のための対策について情報セキュリティ責任者に対し指示し、又は自らこれを行わなければならない。また、その内容についてCISOに報告しなければならない。③ 情報セキュリティ責任者は、再発防止の対策について指示を受けた場合はこれを実施し、その内容について統括情報セキュリティ責任者へ報告しなければならない。６．７ ID及びパスワード等の取扱い-16-職員等は、ID、パスワード及びICカード等の取扱いについて、次に掲げるところにより行うものとする。(１)ID及びパスワードの取扱い① 自己の管理するID及びパスワードを、他人に利用させてはならない。② 情報システム等でやむを得ずID及びパスワードを共用利用する場合は、共用利用者以外に利用させてはならない。③ パスワードは秘密にし、パスワードを記載したメモ等を第三者が容易に閲覧できる場所に掲示等してはならない。また、業務上必要がなくなった場合は速やかにこれを廃棄しなければならない。④ パスワードは十分な長さとし、文字列は他人が容易に想像できないものにしなければならない。⑤ ID及びこれに係るパスワードが流出した、又はそのおそれがある場合は、速やかにパスワードを変更するとともに、「6.6.情報セキュリティインシデントの報告及び対応等」に掲げるところにより報告等を行わなければならない。⑥ 情報システム管理者から与えられた仮のパスワード(初期パスワード含む)について、情報システムへ初めてログインした時点で変更しなければならない。⑦ パソコン等機器のパスワードの記憶機能について、情報主管課より提供された以外のものを使用してはならない。(２)ICカード等の取扱い① ICカード等を業務上必要のない者に貸し出してはならない。② ICカード等をパソコン等機器に接続したまま離席してはならない。③ ICカード等を紛失した場合は、「6.6.情報セキュリティインシデントの報告及び対応等」に掲げるところにより報告等を行わなければならない。第７章 技術的セキュリティ７．１ 機器及びネットワークの管理(１)機器及びネットワークの管理情報システム管理者は、所管する情報システムについて、次に掲げるところにより機器及びネットワークの管理等を行うものとする。① バックアップの実施(ア)業務システムのデータベースやサーバ等機器に記録された情報について、当該機器の冗長化対策にかかわらず、必要に応じて定期的にバックアップを実施しなければならない。(イ)重要な情報を取り扱うサーバ装置については、適切な方法でサーバ装置のバックアップを取得しなければならない。(ウ)重要な情報を取り扱う情報システムを構成する通信回線装置については、運用状態を復元するために必要な設定情報等のバックアップを取得し保管しなければならない。(エ)標準準拠システム等のクラウドサービス上での利用において、クラウドサービス事業者のバックアップ機能を利用する場合、クラウドサービス事業者にバックアップ機能の仕様を要求し、その仕様を確認しなければならない。また、その機能の仕様が要件を満たすことを確認しなければならない。クラウドサービス事業者からバックアップ機能を提供されない場合やバックアップ機能を利-17-用しない場合は、自らバックアップ機能の導入に関する責任を負い、バックアップに関する機能を設け、情報資産のバックアップを行わなければならない。② 情報システムの運用において実施した作業について、作業記録を作成し適切に管理しなければならない。 ③ 情報システムの変更等の作業を行った場合は、作業内容について記録を作成するとともに、これを漏えいし、又は改ざん若しくは消去等されないよう適正に管理し、運用・保守によって機器の構成や設定情報等に変更があった場合は、情報セキュリティ対策が適切であるか確認し、必要に応じて見直さなければならない。④ 情報システムの仕様書及びネットワーク構成図について、記録媒体にかかわらず、業務上必要とする者以外の者の閲覧、紛失等がないよう、適正に管理しなければならない。⑤ 各種ログ及び情報セキュリティの確保に必要な情報を取得するとともに、これを改ざん及び誤消去されないよう必要な措置を講じた上で、一定の期間保管しなければならない。⑥ ログとして取得する項目、保存期間及び取扱い方法等について定め、適正にログを管理しなければならない。⑦ 悪意ある第三者等からの不正侵入及び不正操作等の有無について、取得したログを必要に応じて点検又は分析しなければならない。なお、標準準拠システム等をクラウドサービス上での利用の際には、クラウドサービス事業者が収集し、保存する記録(ログ等)に関する保護(改ざんの防止等)の対応について、ログ管理等に関する対策や機能に関する情報を確認し、記録(ログ等)に関する保護が実施されているのか確認しなければならない。⑧ 標準準拠システム等のクラウドサービス上での利用において、情報セキュリティ監査等のために必要となった場合のクラウドサービス事業者の環境内で生成されるログ等の情報(デジタル証拠)について、クラウドサービス事業者から提供されるログ等の監視機能を利用して取得することで十分では無い場合は、クラウドサービス事業者に提出を要求するための手続を明確にしなければならない。⑨ 職員等からの情報システムに関する障害の報告及びその処理結果又は問題等を、障害記録として記録し、適正に保存しなければならない。⑩ フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等の設定情報を管理しなければならない。⑪ 不正アクセスを防止するため、ネットワークに適正なアクセス制御を施さなければならない。⑫ 保守又は診断のために、外部の通信回線から内部の通信回線に接続された機器等に対して行われるリモートメンテナンスに係る情報セキュリティを確保しなければならない。また、情報セキュリティ対策について、定期的な確認により見直さなければならない。７．２ 外部ネットワーク等との接続(１)外部ネットワーク等との接続情報システム管理者は、所管する情報システムについて外部のネットワーク及び情報システム(以下「外部ネットワーク等」という。)との接続を行う場合は、次に掲げるところにより行うものとする。① 基幹ネットワークを外部ネットワーク等と接続する場合は、情報主管課長の承認を得た上でこれを行わなければならない。② 接続しようとする外部ネットワーク等に係るネットワーク構成、機器構成及び情報セキュリティ-18-技術等を調査しなければならない。③ 接続した外部ネットワーク等の管理者の瑕疵によりデータの漏えい・破壊・改ざん・消去等又は情報システムの停止等による業務への影響が生じた場合に対処するため、当該外部ネットワーク等の管理者による損害賠償責任を契約上担保しなければならない。④ ウェブサーバ等をインターネット上に公開する場合、次のセキュリティ対策を実施しなければならない。(ア)庁内ネットワークへの侵入を防御するために、ファイアウォール等を外部のネットワークとの境界に設置した上で接続しなければならない。(イ)脆弱性が存在する可能性が増大することを防止するため、ウェブサーバが備える機能のうち、必要な機能のみを利用しなければならない。(ウ)ウェブサーバからの不用意な情報漏えいを防止するための措置を講じなければならない。(エ)情報システム管理者は、ウェブコンテンツの編集作業を行う主体を限定しなければならない。(オ)インターネットを介して転送される情報の盗聴及び改ざんの防止のため、全ての情報に対する暗号化及び電子証明書による認証の対策を講じなければならない。【推奨事項】⑤ 接続した外部ネットワーク等のセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合は、速やかに当該外部ネットワークを遮断しなければならない。７．３ 無線LANの盗聴対策情報システム管理者は、所管する情報システムにおいて無線LANを利用する場合、解読が困難な暗号化及び認証技術を使用しなければならない。７．４ 電子メールのセキュリティ管理及び利用制限情報主管課長が所管する電子メールのセキュリティ管理及び利用制限は、次に掲げるところによるものとする。(１)電子メールのセキュリティ管理情報主管課長は、電子メールのセキュリティ管理等について、次に掲げるところにより行うものとする。① 権限のない利用者により、基幹ネットワークを経由した外部から外部への電子メールの中継処理が行われることを不可能とするよう、メールサーバの設定を行わなければならない。② スパムメール等が内部から送信されていることを検知した場合は、必要に応じてメールサーバの運用を停止しなければならない。③ 電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。④ 所管するドメインについて、外部の者により詐称されないよう送信ドメインの認証を行わなければならない。⑤ 添付ファイルが付いた電子メールを送受信する場合は、不正プログラム対策ソフトウェアでチェックを行わなければならない。インターネット接続系で受信したインターネットメール又はインターネット経由で入手したファイルをLGWAN接続系に取込む場合は無害化しなければならない。(２)電子メールの利用制限情報システムの開発、運用又は保守等のため庁舎内に常駐している委託事業者等による電子メール-19-アドレスの利用は原則禁止とする。ただし、業務上やむを得ないと情報主管課長が認めた場合はこの限りではない。７．５ Web会議サービスの利用時の対策Web 会議サービスの利用にあたっては、別に定める実施手順に従い、情報セキュリティ対策を実施しなければならない。７．６ ソーシャルメディアサービスの利用ソーシャルメディアサービスの利用にあたっては、別に定める実施手順を遵守しなければならない。 ７．７ アクセス制御(１)情報システム管理者によるアクセス制御等情報システム管理者は、所管する情報システムへのアクセス制御等について、次に掲げるところにより行うものとする。① 情報システムで取り扱う情報資産の分類又はその内容に応じ、アクセス権限を有する職員等及びその権限の内容を、必要最小限としなければならない。② アクセスする権限のない職員等がアクセスできないよう、ICカード等又はユーザID等によりシステム上制限しなければならない。③ 利用者の登録、変更及び抹消等の情報管理並びに職員等の異動、出向及び退職等に伴うユーザ IDの取扱い等の方法を定めなければならない。④ ユーザIDに不要なアクセス権限が付与されていないか定期的に確認しなければならない。⑤ 管理者権限等の特権を付与されたID を利用する者を必要最小限にし、当該ID及びこれに係るパスワードの漏えい等が発生しないよう厳重に管理しなければならない。⑥ 職員等の認証に関する情報を厳重に管理しなければならない。認証情報ファイルを不正利用から保護するため、オペレーティングシステム等で認証情報設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。⑦ 認証情報が、悪意ある第三者等によって窃取された際の被害を最小化するための措置及び、内部からの不正操作や誤操作を防止するための措置を講じなければならない。⑧ 特権を付与されたID及びパスワードについて、人事異動の際のパスワードの変更、入力回数制限等のセキュリティ機能を強化しなければならない。⑨ 所管する情報システムの情報資産の分類又はその内容に応じて、適正な強度のログインパスワードを設定しなければならない。⑩ 外部のネットワークからのアクセスを認める場合、通信途上の盗聴を防御するために通信の暗号化等の措置を講じなければならない。⑪ 特権によるネットワーク及び情報システムへの接続時間を必要最小限とするよう努めなければならない。(２)職員等による外部からのアクセス等の制限情報セキュリティ管理者は、職員等による外部のネットワークからのアクセス等について、次に掲げるところにより行わなければならない。① 職員等に外部からネットワーク又は情報システムへアクセスさせる場合は、当該システムを所管-20-する情報システム管理者の承認を得なければならない。② ネットワーク又は情報システムに対する外部からのアクセスを、これを必要とする合理的理由を有する最小限の者に限定しなければならない。７．８ システム開発・導入・保守等情報システム管理者は、情報システムの開発・導入・保守等について、次に掲げるところにより行うものとする。(１)機器等の調達に係る運用規程の整備① 機器等の選定基準を運用規程として整備しなければならない。必要に応じて、選定基準の一つとして、機器等の開発等のライフサイクルで不正な変更が加えられないような対策を講じなければならない。② 情報セキュリティ対策の視点を加味して、機器等の納入時の確認・検査手続を整備しなければならない。(２)機器等及び情報システムの調達① 情報システムに係る開発・導入・保守等の調達にあたっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。また、業務システムに誤ったプログラム処理が組み込まれないよう、不具合を考慮した技術的なセキュリティ機能を調達仕様書に記載しなければならない。② 機器又はソフトウェアの調達にあたっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。(３)情報システムの開発① 開発に使用するIDを適切に管理し、開発完了後に不要となる場合は、これを消去しなければならない。② 開発に用いるハードウェア及びソフトウェアを特定し、情報セキュリティ上問題のないことを確認し、それ以外のものを利用させてはならない。③ 利用を認めた以外のソフトウェアが情報システムに導入されている場合は、これを消去しなければならない。④ アプリケーション・コンテンツの開発時の対策ウェブアプリケーションの開発において、セキュリティ要件として定めた仕様に加えて、既知の種類のウェブアプリケーションの脆弱性を排除するための対策を講じなければならない。(４)情報システムの導入① 情報システムの開発、保守及びテスト環境と運用環境を可能な限り分離しなければならない。② 情報システムの開発・保守計画の策定時にシステム運用環境への移行の手順を明確にしなければならない。③ 移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う業務への影響が最小限になるよう配慮しなければならない。④ 導入する情報システム又はサービスに求められる可用性を満たすことを確認した上で導入しなければならない。⑤ 導入する情報システム又はサービスを既に稼動している情報システムに接続する前に十分な試験を行わなければならない。またこの場合において、機密性２以上の情報を試験に使用してはならな-21-い。⑥ 業務システムに誤ったプログラム処理が組み込まれないよう、不具合を考慮したテスト計画を策定し、確実に検証が実施されるよう、必要かつ適切に委託事業者の監督を行わなければならない。⑦ 機器等の納入時又は情報システムの受入れ時(ア)機器等の納入時又は情報システムの受入れ時の確認・検査において、調達仕様書等定められた検査手続に従い、情報セキュリティ対策に係る要件が満たされていることを確認しなければならない。(イ)情報システムが構築段階から運用保守段階へ移行する際に、当該情報システムの開発事業者から運用保守事業者へ引継がれる項目に、情報セキュリティ対策に必要な内容が含まれていることを確認しなければならない。(５) 情報システムの基盤を管理又は制御するソフトウェア導入時の対策① 情報セキュリティの観点から情報システムの基盤を管理又は制御するソフトウェアを導入する端末、サーバ装置、通信回線装置等及びソフトウェア自体を保護するための措置を講じなければならない。【推奨事項】② 利用するソフトウェアの特性を踏まえ、以下の全ての実施手順を整備しなければならない。 (ア)情報システムの基盤を管理又は制御するソフトウェアの情報セキュリティ水準の維持に関する手順(イ)情報システムの基盤を管理又は制御するソフトウェアで発生した情報セキュリティインシデントを認知した際の対処手順(６) 情報システムの基盤を管理又は制御するソフトウェア運用時の対策① 情報システムの基盤を管理又は制御するソフトウェアを運用・保守する場合は、以下の全てのセキュリティ対策を実施しなければならない。【推奨事項】(ア)情報システムの基盤を管理又は制御するソフトウェアのセキュリティを維持するための対策(イ)脅威や情報セキュリティインシデントを迅速に検知し、対応するための対策② 利用を認めるソフトウェアについて、定期的な確認による見直しを行わなければならない。(７)情報システムの開発・保守に関する資料の保管情報システムの開発・保守に関する資料を適正に整備・保管しなければならない。① 情報システムを新規に構築し、又は更改する際には、情報システム台帳のセキュリティ要件に係る内容を記録又は記載し、当該内容について情報主管課長に報告しなければならない。② 所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、以下を全て含む情報システム関連文書を整備しなければならない。【推奨事項】・情報システムを構成するサーバ装置及び端末関連情報・情報システムを構成する通信回線及び通信回線装置関連情報③ 所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、以下を全て含む実施手順を整備しなければならない。・情報システム構成要素ごとの情報セキュリティ水準の維持に関する手順・情報セキュリティインシデントを認知した際の対処手順・情報システムが停止した際の復旧手順(８)入出力データの正当性の確保① 情報システムに入力されるデータについて、範囲及び妥当性のチェック機能並びに不正な文字列-22-の入力を除去する機能が組み込まれるよう、情報システムを設計しなければならない。② ウェブアプリケーションやウェブコンテンツにおいて、次のセキュリティ対策を実施しなければならない。(ア)利用者の情報セキュリティ水準の低下を招かぬよう、アプリケーション及びウェブコンテンツの提供方式等を見直ししなければならない。(イ)運用中のアプリケーション・コンテンツにおいて、定期的に脆弱性対策の状況を確認し、脆弱性が発覚した際は必要な措置を講じなければならない。(ウ)ウェブアプリケーションやウェブコンテンツにおいて、故意又は過失による情報の漏えい・破壊・改ざん・消去等のおそれがある場合に、これを検出するチェック機能が組み込まれるよう、情報システムを設計しなければならない。③ 情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるよう、情報システムを設計しなければならない。(９)変更管理情報システムの変更をした場合は、プログラム仕様書等の変更履歴を作成しなければならない。(10)開発・保守用のソフトウェアの更新等開発・保守用のソフトウェアを更新又はこれにパッチを適用する場合は、関連する他の情報システムへ影響を与えることがないよう、その整合性を確認しなければならない。(11)システム更新又は統合時の検証等情報システムを更新又は統合する際は、長時間停止や誤作動による業務への影響が生じないよう、更新等の前にその体制及び計画等について検証等を行わなければならない。(12)情報システムについての対策の見直し対策の推進計画等に基づき情報システムの情報セキュリティ対策を適切に見直さなければならない。 また、本県内で横断的に改善が必要となる情報セキュリティ対策の見直しによる改善指示に基づき、情報セキュリティ対策を適切に見直さなければならない。なお、措置の結果については、情報主管課長へ報告しなければならない。７．９ 不正プログラム対策(１)情報主管課長による対策情報主管課長は、不正プログラム対策について、次に掲げるところにより行うものとする。① 外部ネットワーク等から送受信するファイルは、基幹ネットワークのゲートウェイにおいて不正プログラムのチェックを行い、これの基幹ネットワークへの侵入及び外部への拡散を防がなければならない。② 不正プログラムに関する情報を収集し、必要に応じ職員等に対して注意喚起を行わなければならない。(２)情報システム管理者による対策情報システム管理者は、所管する情報システムの不正プログラム対策について、以下に掲げるところにより行うものとする。① ネットワーク接続を要する情報システムにおいて、パソコン・サーバ等に、不正プログラム対策ソフトウェアを常駐させるとともに、不正プログラムのパターンファイル等を常に最新の状態に保たなければならない。② ネットワークに接続しない情報システムにおける電磁的記録媒体の使用について、使用を認めた-23-以外のものを職員等に利用させてはならない。③ ネットワークに接続しない情報システムにおいて、不正プログラムの感染及び侵入が生じる可能性が著しく低い場合を除き、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェア及びパターンファイルの更新を実施しなければならない。④ 不正プログラム対策ソフトウェアを導入しているパソコン・サーバ等に対して、不正プログラム対策ソフトウェアによるフルチェックを定期的に実施しなければならない。⑤ 不正プログラム対策ソフトウェア等の設定変更権限については、一括管理し、情報システム管理者が許可した職員を除く職員等に当該権限を付与してはならない。⑥ 標準準拠システム等のクラウドサービス上での利用において、仮想マシンを設定する際には不正プログラムへの対策(必要なポート、プロトコル及びサービスだけを有効とすることやマルウェア対策及びログ取得等の実施)を確実に実施しなければならない。SaaS 型を利用する場合は、これらの対応が、クラウドサービス事業者側でされているのか、サービスを利用する前に確認しなければならない。また、サービスを利用している状況下では、これらのセキュリティ対策が適切にされているのか定期的にクラウドサービス事業者に報告を求めなければならない。７．10 不正アクセス対策(１)基幹ネットワークの不正アクセス対策情報主管課長は、基幹ネットワークの不正アクセス対策について、次に掲げるところにより行うものとする。① 使用されていないポートを閉鎖しなければならない。② 不要なサービスについて、機能を消去又は停止しなければならない。③ 情報システムに攻撃を受けることが明確になった場合は、「5.6.情報セキュリティインシデントの報告及び対応等」に準じ、報告等及び情報システムの停止を含む必要な措置を講じるとともに、関係機関と連絡を密にして情報の収集、提供を行わなければならない。④ 基幹ネットワーク内のパソコン・サーバ等に対する攻撃及びこれらからの外部ネットワーク等に対する攻撃を監視しなければならない。⑤ 標準準拠システム等をクラウドサービス上で利用するにあたって、情報セキュリティポリシーにおける不正アクセス対策に関する事項が、クラウドサービスにおいて実現できるのか又はクラウドサービス事業者の提供機能等により実現できるのか、利用前にクラウドサービス事業者に確認しなければならない。⑥ 標準準拠システム等をクラウドサービス上で利用する際に、委託事業者等に管理権限を与える場合、多要素認証を用いて認証させ、クラウドサービスにアクセスさせなければならない。⑦ パスワードなどの認証情報の割り当てがクラウドサービス側で実施される場合、その管理手順等が、情報セキュリティポリシーを満たすことを確認しなければならない。(２)サービス不能攻撃対策情報システム管理者は、外部のネットワークからアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。(３)標的型攻撃対策電子メールに係る情報システムを所管する情報システム管理者は、所管するネットワークについて、-24-標的型攻撃による不正プログラムの侵入を防止するために、自動再生無効化等の入口対策を講じなければならない。また、侵入した攻撃を早期検知して対処するために、通信をチェックする等の内部対策を講じなければならない。７．11 セキュリティ情報の収集(１)セキュリティ情報の収集情報主管課長及び情報システム管理者は、セキュリティ情報の収集について、次に掲げるところにより行うものとする。① サーバ装置、端末及び通信回線装置等におけるセキュリティホールに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。② 情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認知した場合は、情報セキュリティインシデントを未然に防止するための対策を速やかに講じなければならない。③ 標準準拠システム等をクラウドサービス上での利用する際には、クラウドサービス事業者に対して、利用するクラウドサービスに影響し得る技術的脆弱性の管理内容について情報を求め、業務に対する影響や保有するデータへの影響について特定する。そして、技術的脆弱性に対する脆弱性管理の手順について、クラウドサービス事業者に確認しなければならない。(２)不正プログラム情報の収集情報主管課長は、不正プログラムに関する情報等のセキュリティ情報を収集し、必要に応じ対応方法について、職員等に周知しなければならない。第８章 遵守状況の確認８．１ 情報システムの監視情報システム管理者は、所管する情報システムの監視について、次に掲げるところにより行うものとする。(１)情報システムの運用・保守時の対策① 情報システムの運用・保守において、情報システムに実装された監視を含むセキュリティ機能を適切に運用しなければならない。 ② 情報システムの情報セキュリティ対策について新たな脅威の出現、運用、監視等の状況により見直しを適時検討し、必要な措置を講じなければならない。③ 重要な情報を取り扱う情報システムについて、危機的事象発生時に適切な対処が行えるよう運用をしなければならない。(２)情報システムの監視機能① 情報システム運用時の監視に係る運用管理機能要件を策定し、監視機能を実装しなければならない。② 情報システムの運用において、情報システムに実装された監視機能を適切に運用しなければならない。③ 新たな脅威の出現、運用の状況等を踏まえ、情報システムにおける監視の対象や手法を定期的に-25-見直さなければならない。④ サーバ装置上での情報セキュリティインシデントの発生を監視するため、当該サーバ装置を監視するための措置を講じなければならない。(３)情報システムの監視① セキュリティに関する事案を検知するため、情報システムを常時監視し、その記録を保存しなければならない。② 重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。また、利用するクラウドサービスで使用する時刻の同期についても適切になされているのか確認しなければならない。③ 標準準拠システム等をクラウドサービス上での利用する際には、必要となるリソースの容量・能力が確保できるクラウドサービス事業者を選定しなければならない。また、利用するクラウドサービスの使用において必要な監視機能を確認するとともに監視により、業務継続の上で必要となる容量・能力を予測し、業務が維持できるように努めなければならない。④ 標準準拠システム等をクラウドサービス上での利用する際には、イベントログ取得に関するポリシーを定め、利用するクラウドサービスがその内容を満たすことを確認し、クラウドサービス事業者からログ取得機能が提供される場合は、そのログ取得機能が適切かどうか、ログ取得機能を追加して実装すべきかどうかを検討しなければならない。⑤ 標準準拠システム等をクラウドサービス上での利用する際には、クラウドサービス利用における重大なインシデントに繋がるおそれのある以下の重要な操作に関して、手順化し、確認しなければならない。(ア)サーバ、ネットワーク、ストレージなどの仮想化されたデバイスのインストール、変更及び削除(イ)クラウドサービス利用の終了手順(ウ)バックアップ及び復旧８．２ 情報セキュリティポリシー遵守状況の確認(１)情報セキュリティポリシー遵守状況の確認① 情報セキュリティ管理者は、定期的又は必要に応じ所属職員等の情報セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合は、速やかに情報主管課長に報告しなければならない。② 情報主管課長は、発生した問題について、適正かつ速やかに対処しなければならない。③ 情報システム管理者は、ネットワーク及びサーバ等機器のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的又は必要に応じ確認を行い、問題がある場合は適正かつ速やかに対処しなければならない。(２)機器等の利用状況調査情報主管課長は、不正アクセス及び不正プログラム等の確認のため、パソコン等機器、電磁的記録媒体のログ及び電子メールの送受信記録等の利用状況を調査することができる。第９章 障害時の対応-26-９．１ 緊急時対応計画の策定情報システム管理者は、緊急時対応計画の策定について、次に掲げるところにより行うものとする。(１)緊急時対応計画の策定① 情報セキュリティインシデントが発生した場合において連絡、証拠保全、被害拡大の防止、影響範囲の特定、復旧、再発防止等の措置を迅速かつ適切に実施するために、緊急時対応計画を定めておき、発生時には当該計画に従って適正に対処しなければならない。② 標準準拠システム等をクラウドサービス上での利用する際には、クラウドサービス事業者と情報セキュリティインシデント管理における責任と役割の分担を明確にし、これらを踏まえてクラウドサービスの障害時を想定した緊急時対応計画を定めておき、セキュリティ侵害時には当該計画に従って適正に対処しなければならない。(２)緊急時対応計画に定める事項緊急時対応計画には、次に掲げる内容を定めなければならない。① 関係者の連絡先② 発生した事案に係る報告すべき事項③ 発生した事案への対応措置④ 再発防止措置の策定(３)緊急時対応計画の見直し情報セキュリティを取り巻く状況の変化や組織体制の変動等に対し、必要に応じて緊急時対応計画の規定を見直さなければならない。９．２ 事業継続計画との整合県が事業継続計画を整備する場合、本部は、当該計画と情報セキュリティポリシー等の整合性を検討し、必要に応じ情報セキュリティポリシーの見直しを行うものとする。第10章 業務委託と外部サービス(クラウドサービス)の利用10．１ 業務委託等情報システム管理者は、業務委託等について、次に掲げるところにより行うものとする。(１)委託等事業者に係る運用規程の整備業務委託に係る以下の内容を全て含む運用規程を整備しなければならない。① 委託等事業者への提供を認める情報及び委託する業務の範囲を判断する基準(以下「委託判断基準」という。)② 委託等事業者の選定基準(２)業務委託実施前の対策① 業務委託の実施までに、以下を全て含む事項を実施しなければならない。(ア)委託する業務内容の特定-27-(イ)委託事業者の選定条件を含む仕様の策定(ウ)仕様に基づく委託事業者の選定(エ)情報セキュリティ要件を明記した契約の締結(契約項目)重要な情報資産を取扱う業務を委託する場合は、委託等事業者との間で必要に応じて次の情報セキュリティ要等に係る要件を契約に含めなければならない。 ・山形県情報セキュリティポリシー及び実施手順の遵守・個人情報漏えい防止のための技術的安全管理措置に関する取り決め・ 当該事業者の責任者、委託等の内容、作業者の所属、作業場所の特定・ 提供されるサービスレベルの保証・ 当該事業者にアクセスを許可する情報の種類と範囲、アクセス方法の明確化など、情報のライフサイクル全般(作成、入手、利用、保管、送信、運搬、提供、公表、廃棄等)での管理方法・ 業務従事者に対する情報セキュリティ教育の実施・ 提供された情報の目的外利用及び当該事業者以外の者への提供の禁止・ 業務上知り得た情報の守秘義務・ 再委託等に関する制限事項の遵守・ 業務終了時の情報資産の返還、廃棄等・ 業務の定期報告及び緊急時報告義務・ 県による情報セキュリティに関する監査・検査の受け入れ・ 情報セキュリティインシデント発生時の県による公表に対する同意・ 情報セキュリティポリシーを遵守しなかったこと及び当該事業者の瑕疵による損害賠償等(オ)委託事業者又は入札参加者に重要情報を提供する場合は、秘密保持契約(NDA)の締結② 業務委託の実施までに、委託の前提条件として、以下を全て含む事項の実施を委託事業者に求めなければならない。(ア)仕様に準拠した提案(イ)契約の締結(ウ)委託事業者において重要情報を取り扱う場合は、秘密保持契約(NDA)の締結(３)業務委託実施期間中の対策① 業務委託の実施期間において、以下を全て含む対策を実施しなければならない。(ア)委託判断基準に従った重要情報の提供(イ)契約に基づき委託事業者に実施させる情報セキュリティ対策の履行状況の定期的な確認及び措置の実施(ウ)情報主管課長へ措置内容の報告(重要度に応じてCISOに報告)(エ)委託した業務において、情報セキュリティインシデントの発生若しくは情報の目的外利用等を認知した場合又はその旨の報告を職員等より受けた場合における、委託事業の一時中断などの必要な措置を含む、契約に基づく対処の要求②業務委託の実施期間において、以下を全て含む対策の実施を委託事業者に求めなければならない。(ア)情報の適正な取扱いのための情報セキュリティ対策(イ)契約に基づき委託事業者が実施する情報セキュリティ対策の履行状況の定期的な報告(ウ)委託した業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合における、委託事業の一時中断などの必要な措置を含む対処-28-(４)業務委託終了時の対策①業務委託の終了に際して、以下を全て含む対策を実施しなければならない。(ア)業務委託の実施期間を通じてセキュリティ対策が適切に実施されたことの確認を含む検収(イ)委託事業者に提供した情報を含め、委託事業者において取り扱われた情報が確実に返却、廃棄又は抹消されたことの確認②業務委託の終了に際して、以下を全て含む対策の実施を委託事業者に求めなければならない。(ア)業務委託の実施期間を通じてセキュリティ対策が適切に実施されたことの報告を含む検収の受検(イ)提供を受けた情報を含め、委託業務において取り扱った情報の返却、廃棄又は抹消(５)セキュリティ教育の実施状況の確認委託先を含む関係者については委託先等で情報セキュリティに関する教育が行われていることを確認しなければならない。10．２ 情報システムに関する業務委託情報システム管理者は、情報システムに関する業務委託について、次に掲げるところにより行うものとする。(１) 情報システムに関する業務委託における共通的対策情報システムに関する業務委託の実施までに、情報システムに本県の意図せざる変更が加えられないための対策に係る選定条件を委託事業者の選定条件に加え、仕様を策定しなければならない。(２) 情報システムの構築を業務委託する場合の対策情報システムの構築を業務委託する場合は、契約に基づき、以下を全て含む対策の実施を委託事業者に求めなければならない。① 情報システムのセキュリティ要件の適切な実装② 情報セキュリティの観点に基づく試験の実施③ 情報システムの開発環境及び開発工程における情報セキュリティ対策(３) 情報システムの運用・保守を業務委託する場合の対策① 情報システムの運用・保守を業務委託する場合は、情報システムに実装されたセキュリティ機能が適切に運用されるための要件について、契約に基づき、委託事業者に実施を求めなければならない。② 情報システムの運用・保守を業務委託する場合は、委託事業者が実施する情報システムに対する情報セキュリティ対策を適切に把握するため、当該対策による情報システムの変更内容について、契約に基づき、委託事業者に速やかな報告を求めなければならない。(４) 本県向けに情報システムの一部の機能を提供するサービスを利用する場合の対策① 外部の一般の者が本県向けに重要情報を取り扱う情報システムの一部の機能を提供するサービス(クラウドサービスを除く。)(以下「業務委託サービス」という。)を利用するため、情報システムに関する業務委託を実施する場合は、委託事業者の選定条件に業務委託サービスに特有の選定条件を加えなければならない。② 業務委託サービスに係るセキュリティ要件を定め、業務委託サービスを選定しなければならない。③ 委託事業者の信頼性が十分であることを総合的・客観的に評価し判断しなければならない。④ 業務委託サービスを利用する場合には、情報セキュリティ責任者へ当該サービスの利用申請を行わなければならない。-29-⑤ 情報セキュリティ責任者は、業務委託サービスの利用申請を受けた場合は、当該利用申請を審査し、利用の可否を決定しなければならない。⑥ 情報セキュリティ責任者は、業務委託サービスの利用申請を承認した場合は、承認済み業務委託サービスとして記録し、業務委託サービス管理者を指名しなければならない。10．３ 外部サービス(クラウドサービス)の利用(自治体機密性２以上の情報を取り扱う場合)外部サービス(クラウドサービス)の利用(自治体機密性２以上の情報を取り扱う場合)にあたっては、別に定める実施手順を遵守しなければならない。10．４ 外部サービス(クラウドサービス)の利用(自治体機密性２以上の情報を取り扱わない場合)外部サービス(クラウドサービス)の利用(自治体機密性２以上の情報を取り扱わない場合)にあたっては、別に定める実施手順を遵守しなければならない。 第11章 法令遵守11．１ 法令遵守(１)法令遵守職員等は、職務の遂行において使用する情報資産を保護するために、次の法令のほか、関係法令を遵守し、これに従わなければならない。① 地方公務員法(昭和25年12月13日法律第261号)② 著作権法(昭和45年法律第48号)③ 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)④ 個人情報の保護に関する法律(平成15年5月30日法律第57号)⑤ 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成 25 年法律第27号)⑥ サイバーセキュリィティ基本法(平成26年法律第104号)⑦ 個人情報の保護に関する法律施行条例(令和４年12月県条例第37号)(２)情報システム管理者は、標準準拠システム等をクラウドサービス上での利用する際に、クラウドサービスに商用ライセンスのあるソフトウェアをインストールする(IaaS 等でアプリケーションを構築)場合は、そのソフトウェアのライセンス条項への違反を引き起こす可能性があるため、利用するソフトウェアにおけるライセンス規定に従わなければならない。第12章 違反時の対応等12．１ 違反時の対応及び処分等(１)違反時の処分職員等の情報セキュリティポリシーに係る違反行為が認められるときは、当該職員等は発生した事案の状況等に応じて、懲戒処分その他の処分の対象となる。-30-(２)違反時の対応違反行為への対応は、次に掲げるところによるものとする。① 職員等は、他の職員等の情報セキュリティポリシーに係る違反行為を認知した場合は、速やかに当該職員等が所属する情報セキュリティ管理者に報告し、適正な措置を求めなければならない。② 情報セキュリティ管理者は、所属する職員等の情報セキュリティポリシーに係る違反行為を認知した場合は、速やかに情報主管課長及び当該違反行為に係る情報システム管理者に報告するとともに、当該職員等に是正の指導を行わなければならない。③ 情報主管課長及び当該違反行為に係る情報システム管理者は、所管する情報システムに関して職員等の情報セキュリティポリシーに係る違反行為を認知した場合は、当該職員等が所属する情報セキュリティ管理者に通知し、適正な措置を求めなければならない。④ 情報セキュリティ管理者の指導によっても改善されない場合、情報システム管理者は、所管する情報システムについて、当該職員等の利用を停止することができる。第13章 評価・見直し13．１ 情報セキュリティ監査(１)情報セキュリティ監査の実施情報セキュリティ監査は、次に掲げるところにより行うものとする。① 山形県情報セキュリティ等監査員班は、ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、定期的に又は必要に応じて監査を行わなければならない。② 山形県情報セキュリティ等監査員班は、情報セキュリティ監査に係る実施要綱を定めなければならない。③ 被監査所属の情報セキュリティ管理者及び監査対象の情報システムを所管する情報システム管理者は、情報セキュリティ監査の実施に協力しなければならない。13．２ 自己点検(１)自己点検の実施情報セキュリティ対策に関する自己点検は、次に掲げるところにより行うものとする。① 情報セキュリティ管理者は、情報セキュリティポリシーの運用及び管理状況について、定期的又は必要に応じ自己点検を行わなければならない。② 情報システム管理者は、所管する情報システムについて、定期又は必要に応じ情報セキュリティ対策状況に関する自己点検を行わなければならない。③ 情報セキュリティ管理者及び情報システム管理者は、自己点検実施後は点検結果と改善策を取りまとめ、自己の権限の範囲内で改善を図った上で、情報主管課長に報告しなければならない。④ 情報主管課長は、報告を受けた点検結果について、情報セキュリティポリシーの見直しに活用しなければならない。13．３ 情報セキュリティポリシーの見直し本部は、必要があると認めた場合は、情報セキュリティポリシーの運用状況を確認するとともに、その-31-結果及び情報セキュリティに係る環境の変化等を踏まえ、その見直しを行うものとする。第14章 例外措置14．１ 例外措置の許可情報セキュリティ管理者及び情報システム管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合は、統括情報セキュリティ責任者の承認を得て、例外措置を講じることができる。14．２ 緊急時の例外措置情報セキュリティ管理者及び情報システム管理者は、災害対応等行政事務の遂行に緊急を要し、例外措置をとることが避けられない場合は、事後速やかに統括情報セキュリティ責任者に報告しなければならない。14．３ 例外措置の記録統括情報セキュリティ責任者は、情報セキュリティ管理者又は情報システム管理者により例外措置がとられた場合は、その内容について記録し、一定期間保管しなければならない。第15章 実施手順15．１ 実施手順本対策基準に定める事項のほか、情報セキュリティポリシーの運用にあたって遵守すべき実施手順のうち情報主管課長が所管するものは、別表のとおりとする。15．２ 実施手順の公開等(１)実施手順の公開等① 実施手順は、公にすることにより本県の行政運営に重大な支障を及ぼすおそれがあることから原則として非公開とする。② 職員等以外の者がその業務の遂行上実施手順を参照する必要がある場合は、その者に対してのみこれを開示することができ、その者はこれに関して守秘義務を負うものとする。第16章 委任16．１ 情報主管課長への委任(１)情報主管課長への委任次に掲げる事項については、情報主管課長に委任する。-32-① 県の組織に関する条例又は規則の改正に伴う本対策基準の規定の整備及び見直し② 本対策基準別表の整備及び見直し③ 本対策基準別表に掲げる実施手順の整備及び見直し附則本規程は、平成20年４月１日から施行する。附則本規程は、平成21年４月１日から施行する。附則本規程は、平成22年４月１日から施行する。附則本規程は、平成23年４月１日から施行する。附則本規定は、平成28年４月１日から施行する。附則本規定は、平成29年４月１日から施行する。附則本規定は、平成31年４月１日から施行する。附則本規定は、令和２年４月１日から施行する。附則本規定は、令和３年４月１日から施行する。附則本規定は、令和４年10月25日から施行する。附則本規定は、令和５年４月１日から施行する。 附則本規定は、令和５年10月11日から施行する。附則本規定は、令和７年４月１日から施行する。別表 実施手順大分類 小分類 実施手順情報資産 分類管理 情報資産の分類と管理に関する実施手順(H23.3.31(R7.4.1最終改正))電子情報の持ち出しに係る取扱基準(H20.12.1(R5.4.1最終改正))物理的セキュリティ人的セキュリティ端末管理 情報系パソコン運用管理手順(H22.8.31(H29.11.6最終改正))山形県庁イントラ情報システム利用要綱-33-技術的セキュリティ イントラ情報システム(H20.8.14(R2.2.1最終改正))山形県庁イントラ情報システム「サービス利用者の認証」の利用手順(R2.4.1最終改正)山形県庁イントラ情報システム「電子メール」の利用手順(R2.2.1最終改正)山形県庁イントラ情報システム「インターネット」の利用手順(R4.12.22最終改正)山形県庁イントラ情報システム「文書管理」の利用手順(H26.4.1最終改正)山形県庁イントラ情報システム「共有ワークスペース」の利用手順(R2.2.1最終改正)イントラ情報システム「セキュアファイル交換」の利用手順(R2.2.1)インターネット接続に係る特定通信の利用手順(R2.2.1)仮想ＰＣ運用管理手順(R2.2.1)ネットワーク管理山形県基幹高速通信ネットワーク外部機関利用要綱(H16.9.10(R3.4.1最終改正))山形県基幹高速通信ネットワーク外部機関接続要綱(H17.7.1(R3.4.1最終改正))テレワーク テレワークにおける情報セキュリティ対策実施手順(R2.12.14)在宅勤務制度(試行含む)に係るパソコン貸し出し要綱(H29.8.1(R2.1.1最終改正))山形県サテライトオフィス(試行含む)に係るパソコン貸し出し要綱(R29.8.1(R2.1.1最終改正))リモート接続システム利用要領(R2.1.1(R5.4.1最終改正))短期モバイル端末貸出要領(H29.9.14(R5.4.1最終改正))長期モバイル端末貸出要領(H29.8.1(R5.4.1最終改正))Web会議サービスWeb会議ツール「Zoom」利用要領(R2.5.12(R5.4.1最終改正))障害時の対応 情報システムの対応情報資産に関する危機管理方針(H14.3)山形県基幹高速通信ネットワーク障害対応マニュアル(H22.3.30(R3.4.1最終改正))-34-外部サービスの利用外部サービス 外部サービス(クラウドサービス)の利用(自治体機密性２以上の情報を取り扱う場合)に関する実施手順(R7.4.1)外部サービス(クラウドサービス)の利用(自治体機密性２以上の情報を取り扱わない場合)に関する実施手順(R7.4.1)評価・見直し 情報セキュリティ監査山形県情報セキュリティ監査実施要綱(R4.7.11)-35-(参考資料)情報セキュリティポリシー関連規程について情報セキュリティの確保のため特に遵守又は参照すべき主な関連規程について、下記に示す。(１)関連規程のうち、情報主管課が所管するもの(２)関連規程のうち、情報主管課以外が所管するもの大分類 小分類 関連規程情報資産 情報公開 山形県情報公開条例(H9.12.22(R4.12.23最終改正)、総務部)個人情報 個人情報の保護に関する法律施行条例(R4.12.23、総務部)文書管理 山形県公文書管理規程(R2.3.27(R5.4.1最終改正)、総務部)文書事務の手引(H7.3.31(R2.11最終改正)、総務部)総合行政ネットワークにおける電子公文書取扱要領(H16.1.6(R2.4.1最終改正)、総務部)電子メール及び電子掲示板を利用した電子文書取扱要領(H16.1.6(R2.4.1最終改正)、総務部)物理的セキュリティ人的セキュリティ技術的セキュリティインシデント対応 山形県広報広聴事務取扱要綱(H9.4.1(R5.4.1最終改正)、総務部)障害時の対応 危機管理 山形県危機管理要綱(H17.4.1(R4.4.1最終改正)、防災くらし安心部)山形県大規模災害発生時の災害対策本部事務局活動マニュアル(R4.6最終改正、防災くらし安心部)外部サービスの利用ソーシャルメディアサービス山形県ソーシャルメディア広報活用ガイドライン(R7.4.1総務部)違反時の対応懲戒処分 懲戒処分の基準(R2.10.1最終改正、総務部)懲戒処分の基準(R2.7.1最終改正、教育委員会)大分類 小分類 関連規程組織体制 山形県デジタル化推進本部設置要綱(H12.9.26(R2.11.19最終改正))情報資産 文書管理 山形県行政手続等における情報通信の技術の利用に関する条例(H18.12.19)物理的セキュリティ人的セキュリティ技術的セキュリティシステム調達 山形県情報システム導入標準ガイドライン(R3.4.1(R4.10.25最終改正))