○地方公共団体組織認証基盤における白老町認証局の運営に関する規程
平成15年10月21日
訓令第13号
目次
第1章 総則(第1条―第3条)
第2章 認証方針決定機能(第4条―第8条)
第3章 認証局運営機能(第9条―第17条)
第4章 かぎ情報等の利用(第18条―第20条)
第5章 かぎ情報等の発行(第21条―第25条)
第6章 かぎ情報等の更新及び廃棄(第26条・第27条)
第7章 かぎ情報等の事故及び失効(第28条・第29条)
第8章 かぎ情報等の管理(第30条―第32条)
第9章 監査(第33条―第47条)
第10章 雑則(第48条)
附則
第1章 総則
(目的)
第1条 この規程は、地方公共団体組織認証基盤(以下「組織認証基盤」という。)における本町の認証局機能(以下「町認証局」という。)について、基本的な事項を定め、その適正かつ円滑な運営を図ることを目的とする。
(1) 「公開かぎ」とは、公開かぎ暗号で使用される電子的なかぎ対の公開される方のかぎをいう。
(2) 「証明書」とは、公開かぎ及び発行対象を識別する情報を含むデータに組織認証基盤における町認証局が、発行対象の正当性を保証する電子署名を付与して、発行されるデータをいう。
(3) 「公開かぎ証明書」とは、前号における証明書の公開かぎに対応付けられた証明書をいう。
(4) 「秘密かぎ」とは、公開かぎ証明書の発行を受けたもののみが利用可能な電子的なかぎをいう。
(5) 「かぎ情報等」とは、組織認証基盤における町認証局によって発行された公開かぎ証明書及び公開かぎ証明書に対応する秘密かぎ並びに公開かぎ証明書及び秘密かぎ情報を格納した媒体をいう。
(6) 「かぎ格納媒体」とは、秘密かぎの格納媒体をいう。
(7) 「PIN」とは、かぎ格納媒体から秘密かぎを利用する際に必要な符号である個人識別番号をいう。
(8) 「CP」とは、証明書ポリシーの意味であり、組織認証基盤における町認証局のかぎ情報等の発行方針及び利用に関する原則を定めるもので、文書交換証明書証明書ポリシー、職責証明書証明書ポリシー、アプリケーション証明書証明書ポリシー及び相互認証証明書証明書ポリシーから構成される。
(9) 「CPS」とは、認証局運用規程の意味であり、組織認証基盤における町認証局の管理運営に関する原則を定めるもので、都道府県域認証局運用規程、アプリケーション認証局運用規程及びブリッジ認証局運用規程から構成される。
(地方公共団体組織認証基盤の管理運営機能)
第3条 町は、組織認証基盤の管理運営機能として次に掲げる機能を置く。
(1) 認証方針決定機能
(2) 認証局運営機能
(3) 監査機能
第2章 認証方針決定機能
(認証方針決定機能の位置付け)
第4条 認証方針決定機能は、組織認証基盤の管理運営に係る基本的方針を決定する。
(認証方針決定機能の所管)
第5条 町における認証方針決定機能は、町長が担うものとする。
(認証方針決定機能の役割)
第6条 認証方針決定機能は、次の各号に掲げる事項について、決定及び承認の役割を担うものとする。
(1) 認証局運営機能に関する事項
(2) かぎ情報等の利用に関する事項
(3) 認証局運営機能に対する監査に関する事項
(認証方針決定機能の責務)
第7条 認証方針決定機能は、CP及びCPSに基づき、組織認証基盤における町認証局が適正かつ円滑に機能するようにしなければならない。
(監査)
第8条 認証方針決定機能は、第3条第3号に規定する監査機能に対して、認証局運営機能の実施状況について、定期又は随時に監査を実施させなければならない。
2 認証方針決定機能は、前項の監査により改善を要するとされた事項については、認証局運営機能に対し、速やかに適切な措置を講じさせなければならない。
第3章 認証局運営機能
(認証局運営機能の役割)
第9条 認証局運営機能は、町認証局のかぎ情報等に関する受付、審査、登録及び発行事務(総合行政ネットワーク運営主体(以下「LGWAN運営主体」という。)が担う認証局システムの運用機能を除く。)を遂行するものとする。
(認証局運営機能の体制)
第10条 認証局運営機能は、次の各号に掲げる者を置く。
(1) 認証局責任者
(2) 審査承認者
(3) 審査担当者
(4) 受付担当者
2 前項各号に掲げる者は、認証方針決定機能が任命する。
3 第1項に掲げられた者は、かぎ格納媒体の紛失、秘密かぎの危殆化(盗難、漏えい等により他人によって使用され得る状態になることをいう。以下同じ。)等の事故及び災害発生の緊急時において速やかに対応が可能な体制をとるものとする。
(職務の兼務)
第11条 前条第1項各号に掲げる者は、認証局運営の適正を図るため、次に掲げる条件を満たさなければならない。
(4) 受付担当者は、前条第1項第1号の者と兼務してはならない。
(認証局責任者)
第12条 認証局責任者は、認証局運営機能に携わる要員に対する方針指示、作業指示及び作業結果の確認などを行い、認証局運営機能を統括する。
(審査承認者)
第13条 審査承認者は、かぎ情報等の発行申請、更新申請及び失効申請の審査結果の承認を行う。
(審査担当者)
第14条 審査担当者は、かぎ情報等の発行申請、更新申請及び失効申請の審査事務を行う。
(受付担当者)
第15条 受付担当者は、かぎ情報等の発行申請、更新申請及び失効申請の受付、申請者との連絡調整、申請書類等の整理及び発行事務のLGWAN運営主体との手続並びに発行におけるかぎ情報等の配布を行う。
(証明書の種類、かぎ情報等の使用用途及び利用期間)
第16条 認証局運営機能が発行する証明書の種類、かぎ情報等の使用用途及び利用期間は、CPで定められたとおりとする。
(かぎ情報等の発行対象)
第17条 認証局運営機能が発行するかぎ情報等の発行対象は、かぎ情報等管理者とする。
第4章 かぎ情報等の利用
(利用体制の整備)
第18条 町認証局より発行されるかぎ情報等の適正かつ円滑な利用を行うため、次の各号に掲げる者を置く。
(1) かぎ情報等管理者
(2) かぎ情報等行使者
(かぎ情報等管理者)
第19条 かぎ情報等管理者は、町認証局より発行されるかぎ情報等の発行要否を判断し、発行、更新、廃止及び失効の申請事務を行うとともに、かぎ情報等の保管及び利用の管理を行う。
2 かぎ情報管理者は、かぎ情報等を慎重に取り扱うとともに、破損、紛失、盗難及び不正使用等の事故のないよう適切な措置を講じて、厳重に保管及び管理しなければならない。
3 かぎ情報等管理者は、PINをかぎ格納媒体とは別に管理するものとし、第20条第1項で定めるかぎ情報等行使者以外に知られることのないように厳重に管理しなければならない。
4 かぎ情報等管理者は、かぎ情報等が適正に使用されるように、第20条第1項で定めるかぎ情報等行使者を監督しなければならない。
5 かぎ情報等管理者は、かぎ情報等を所有する課の課長をもって充てる。
(かぎ情報等行使者)
第20条 かぎ情報等を使用できる者は、かぎ情報等行使者のみとする。
2 かぎ情報等行使者は、かぎ情報等を所有する課の庶務担当主幹(主査)をもって充てる。
第5章 かぎ情報等の発行
(かぎ情報等の発行申請の受付)
第21条 かぎ情報等管理者は、かぎ情報等の発行申請を認証局責任者に申請する。
2 受付担当者は、かぎ情報等の発行申請が行われたときは、速やかにこれを受付け、審査担当者に審査依頼を行うものとする。
3 かぎ情報等の発行申請は、かぎ情報等(発行・更新・廃止)申請書(様式第1号)によるものとする。
(かぎ情報等の発行審査)
第22条 審査担当者は、受付担当者より審査依頼を受けたときは、速やかにこれを審査する。
2 審査担当者は、審査にあたっては、次の各号に掲げる事項を確認するものとする。
(1) 証明書の名義、申請組織及び申請事由が、当該証明書のCPに照らして妥当であること。
(2) 申請者が証明書の名義及び申請組織に照らして妥当であること。
3 審査担当者は、前項各号に定める事項が適当であると認めるときは、速やかに審査承認者に承認依頼を行うものとする。
(かぎ情報等の発行審査承認)
第23条 審査承認者は、審査担当者が行った審査が適当であると認めたときは、これを承認し、認証局責任者にかぎ情報等の発行を依頼する。
(かぎ情報等の発行)
第24条 認証局責任者は、審査承認者が承認したかぎ情報等発行申請に基づいて発行許可し、受付担当者にかぎ情報等の発行を指示する。
2 受付担当者は、前項の発行指示に基づき、速やかにかぎ情報等を発行し、配布を行うものとする。
3 受付担当者は、発行したかぎ情報等について、かぎ情報等管理台帳(様式第2号)に記載し、認証局責任者が発行記録を管理するものとする。
(代替使用のためのかぎ情報等)
第25条 かぎ情報等の発行においては、申請者からの要求により、代替使用のためのかぎ情報等を発行することができる。
第6章 かぎ情報等の更新及び廃止
(かぎ情報等の更新)
第26条 かぎ情報等管理者は、次の各号のいずれかに該当する場合は、速やかに認証局責任者へかぎ情報等の更新を申請しなければならない。
(1) かぎ情報等の有効期間満了前6ヶ月前より継続の更新申請があったとき。
(2) 組織変更等による証明書記載事項の変更に伴う更新申請があったとき。
(3) かぎ情報等の破損、紛失、盗難等の事故や失効に伴う更新申請があったとき。
(4) 前各号に掲げるほか、認証局運営機能が必要と認めた場合の更新申請があったとき。
(かぎ情報等の廃止)
第27条 かぎ情報等の廃止は、次の各号に掲げる場合に行うものとする。
(1) 認証局責任者に廃止申請があったとき。
(2) かぎ情報等の有効期間満了後一定期間内に更新申請がないとき。
第7章 かぎ情報等の事故及び失効
(1) かぎ格納媒体の物理的、電磁的破損による使用不能
(2) PINの忘失によるかぎ格納媒体の使用不能
(3) かぎ格納媒体の盗難、紛失
(4) 災害等によるかぎ格納媒体の所在不明
(5) PINの漏えい
(6) かぎ格納媒体の不正使用
(7) 前各号に掲げるほか、秘密かぎ情報の危殆化の疑いが生じた場合
2 認証局責任者は、かぎ情報等管理者からの失効の申請があった場合及び前条の報告書により報告があった場合は、当該かぎ情報等の失効を行うものとする。
第8章 かぎ情報等の管理
(かぎ格納媒体の廃棄)
第30条 認証局責任者は、かぎ情報等の更新又は廃止により不要となったかぎ格納媒体については、格納秘密かぎが不正に利用できないよう、かぎ情報等管理者が、裁断及び焼却等の方法により、確実な廃棄を行うことを確認しなければならない。
(かぎ情報等の発行等に関する記録)
第31条 かぎ情報等管理者は、かぎ情報等の発行、失効、有効期間満了、更新及び廃止並びに利用者の変更の都度、管理状況をかぎ情報等管理保管状況変更報告書(様式第5号)により、認証局責任者に報告しなければならない。
2 認証局責任者は、前項の規定により報告された事項について、必要事項をかぎ情報等管理台帳に記載し、整理しなければならない。
(使用状況等の調査)
第32条 認証局責任者は、かぎ情報等の保管、使用状況等必要な事項を適宜調査することができる。
2 認証局責任者は、前項の規定による調査に基づき、かぎ情報等の使用が適当でないと認めるときは、かぎ情報等管理者に対し、その改善を指導しなければならない。
第9章 監査
(監査の目的)
第33条 監査は、組織認証基盤における町認証局運営機能が、この規程に基づき適正かつ円滑に行われることを目的として実施する。
(監査機能)
第34条 監査機能は、認証方針決定機能の方針指示に基づき、前条に定める目的に沿った監査を実施する。
2 監査機能は、組織認証基盤の管理運営業務に係る監査を実施するに当たっては、次の各号に掲げる事項について十分な知識と経験を有していなければならない。
(1) 認証基盤アプリケーション
(2) 暗号化技術
3 監査機能は、認証方針決定機能及び認証局運営機能との間に利害関係があってはならない。
4 監査機能には、監査機能の責任者(以下「監査責任者」という。)を置く。
5 監査責任者は、認証方針決定機能が任命する。
(監査機能の責務)
第35条 監査は、町認証局の運営が、組織認証基盤に係るドキュメントの規定に準拠して、適切に行われているかを監査しなければならない。
(監査の種類)
第36条 監査の種類は、次の各号に掲げるとおりとする。
(1) 定期監査
(2) 随時監査
(監査の頻度)
第37条 定期監査は、少なくとも年1回行うものとする。
2 随時監査は、監査責任者が必要と認めたときに行うことができる。
(監査項目)
第38条 監査項目は、次の各号に掲げるとおりとする。
(1) セキュリティポリシーに関する事項
(2) 施設設備の安全性に関する事項
(3) 技術評価に関する事項
(4) 町認証局の運営に関する事項
(5) 町認証局の運営に関する事務の一部又は全部を外部機関に委託した場合の外部委託契約に関する事項
(6) 前各号に掲げるほか、監査機能が必要と認める事項
(権限)
第39条 監査機能は、町認証局の運営機能に従事する職員等(以下「職員等」という。)に対して、規程類のドキュメントに記載される内容について、その提出を求め、内容の説明を求めることができる。
2 監査機能は、職員等に対して、町認証局運営機能の事務を行う過程で作成されたデータその他の情報について、その提出及び内容の説明を求めることができる。
(監査計画)
第40条 監査責任者は、毎事業年度の始めにその年度内に実施すべき監査計画を作成するものとする。
(監査の実施)
第41条 監査責任者は、監査を実施しようとする場合には、あらかじめ認証局責任者に通知し、監査を行うものとする。
(監査の補助)
第42条 監査責任者は、認証局責任者の承認を得て、職員等に監査に関する事務を補助させることができる。
(監査の立会い)
第43条 監査責任者は、監査の実施に際して職員等の立会いを求めなければならない。
(監査報告書)
第44条 監査責任者は、監査を終了したときは、次に掲げる事項を記載した監査報告書を作成の上、これを認証方針決定機能に提出しなければならない。
(1) 監査を実施した年月日
(2) 監査の概要
(3) 監査の結果及び意見
(4) その他必要な事項
2 監査責任者は、求めがあったときには、総合行政ネットワーク運営協議会に監査報告書を提出しなければならない。
(事務等の報告)
第45条 監査責任者は、町認証局の管理運営業務上における事故又は異例事項その他業務運営に著しく影響を及ぼすと認められる事項については、文書又は口頭で認証局責任者に通知しなければならない。
(監査内容の非公開)
第47条 この規程に基づいて実施された監査の結果は、機密事項として扱うものとし、契約等によって特段の定めがある場合を除いて非公開とする。
第10章 雑則
(その他)
第48条 この規程に定めるもののほか、組織認証基盤における町認証局の運営に必要な事項は、別に定める。
附則
この訓令は、公布の日から施行する。
附則(平成17年4月28日訓令第3号)
この訓令は、平成17年5月1日から施行する。
附則(平成19年3月30日訓令第20号)
この訓令は、平成19年4月1日から施行する。
附則(平成21年4月1日訓令第12号)
この訓令は、平成21年4月1日から施行する。