○都留市特定個人情報取扱規程
(令和元年6月25日訓令第13号)
改正
令和5年3月28日訓令第1号
目次
第1章 総 則(第1条-第3条)
第2章 管理体制(第4条-第9条)
第3章 研 修(第10条)
第4章 特定個人情報等の取扱い(第11条-第18条)
第5章 情報システム上における安全の確保等(第19条-第24条)
第6章 個人番号利用事務等の業務の委託等(第25条)
第7章 情報漏えい等事案への対応(第26条・第27条)
第8章 監査又は点検の実施(第28条-第30条)
第9章 雑 則(第31条)
附則
第1章 総 則
(趣旨)
第1条
この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)に基づき、個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取り扱いを確保するために必要な事項を定めるものとする。
(定義)
第2条
この規程において用いる用語の定義は、番号法第2条、都留市行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく個人番号の利用及び特定個人情報の提供に関する条例(平成27年都留市条例第25号。以下「番号条例」という。)及び特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)(個人情報保護委員会策定)に定めるところによる。
(適用範囲)
第3条
この規程は、特定個人情報等を取り扱う市長、教育委員会、選挙管理委員会、監査委員、農業委員会、固定資産評価審査委員会及び議会並びに市が設立した地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。)に適用する。
第2章 管理体制
(総括責任者)
第4条
市長は、特定個人情報等の管理に関する事務を総括させるために、総括責任者を置く。
2
総括責任者は、総務部長の職にある者をもって充てる。
(保護責任者)
第5条
市長は、特定個人情報等を取り扱う各課等に保護責任者を置く。
2
保護責任者は、課長の職にある者をもって充てる。
3
保護責任者は、特定個人情報等を取り扱う職員(以下「事務取扱担当者」という。)及びその役割を指定し、事務取扱担当者一覧(様式第1号)を整備するものとする。
4
保護責任者は、事務取扱担当者が取り扱う特定個人情報等の範囲を明確化する。
5
保護責任者は、次に掲げる組織体制を整備する。
(1)
事務取扱担当者がこの規程等に違反している事実又は兆候を把握した場合の保護責任者への報告連絡体制
(2)
特定個人情報等の漏えい、滅失、毀損等(以下「情報漏えい等」という。)事案の発生又は兆候を把握した場合の職員から保護責任者への報告連絡体制
(3)
特定個人情報等を複数の課で取り扱う場合の各課の役割分担及び責任の明確化
(4)
情報漏えい等の事案の発生又は兆候を把握した場合の対応体制
(情報セキュリティ管理者)
第6条
市長は、庁内ネットワーク及び情報システムにおける情報セキュリティを管理させるために、情報セキュリティ管理者を置く。
2
情報セキュリティ管理者は、企画課長の職にある者をもって充てる。
(監査責任者)
第7条
市長は、特定個人情報等の管理の状況について監査させるために、監査責任者を置く。
2
監査責任者は、総務課長の職にある者をもって充てる。
(事務取扱担当者の監督)
第8条
総括責任者及び保護責任者は、特定個人情報等がこの規程等に基づき適正に取り扱われるよう、事務取扱担当者に対して、必要かつ適切な監督を行う。
(事務取扱担当者の責務)
第9条
事務取扱担当者は、番号法及び個人情報の保護に関する法律(平成15年法律第57号)の趣旨に則り、関連する法令、規程等の定め及び保護責任者の指示に従い、特定個人情報等を取り扱わなければならない。
第3章 研 修
(教育研修)
第10条
総括責任者は、事務取扱担当者に対し、特定個人情報等の取り扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。
2
保護責任者は、当該所属の事務取扱担当者に対し、特定個人情報等の適切な管理のために、教育研修への参加の機会を付与する等の必要な措置を講ずるものとする。
3
総括責任者は、教育研修を行うに当たり、研修計画(様式第2号)を策定し、研修計画に基づき教育研修を実施するものとする。
第4章 特定個人情報等の取扱い
(特定個人情報等の利用)
第11条
特定個人情報等の利用は、事務において必要最小限の範囲で行うものとし、保護責任者は、そのために必要な措置を講じなければならない。
2
保護責任者は、事務取扱担当者に対して、特定個人情報等の利用目的を達成するために必要最小限の範囲で利用権限を付し、利用権限を有しない者に特定個人情報等を利用させてはならない。
3
事務取扱担当者は、利用権限を有する場合であっても、業務上の目的以外の目的で特定個人情報等を利用してはならない。
4
事務取扱担当者は、業務上の目的で特定個人情報等を取り扱う場合であっても、次に掲げる行為については、保護責任者の承認を得た上で行うものとする。
(1)
特定個人情報等の複製
(2)
特定個人情報等の送信
(3)
特定個人情報等の外部への送付又は持出し
(4)
その他特定個人情報等の適切な管理に支障を及ぼすおそれのある行為
5
事務取扱担当者は、業務上の目的で特定個人情報等を複製した場合には、その複製についても特定個人情報等として、厳重に管理しなければならない。
(特定個人情報等の提供)
第12条
特定個人情報等は、番号法及び番号条例により認められている場合においてのみ提供することができる。
2
前項の提供に当たっては、厳重な管理方法によって行う。
3
個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合その他番号法及び番号条例で定める場合を除き、個人番号の提供を求めてはならない。
(文書及び電子媒体の管理)
第13条
事務取扱担当者は、保護責任者の指示に従い、特定個人情報等が記録されている文書及び電子媒体を定められた場所に施錠保管する等の方法により、適正に管理しなければならない。
2
特定個人情報等が記録された文書及び電子媒体を持ち運ぶ場合には、施錠可能な搬送容器を使用する等の適切な情報漏えい等及び盗難防止措置を講じなければならない。
(特定個人情報等の削除又は廃棄)
第14条
事務取扱担当者は、特定個人情報等が記録されている文書及び電子媒体が不要となった場合には、保護責任者の承認を得た上で、保護責任者の指示に従い、当該特定個人情報等の復元又は判読が不可能な方法により、削除又は廃棄を行うものとする。
2
前項に定める作業を委託する場合には、委託先が確実に削除し、又は廃棄したことについて証明書等により確認する。
3
保護責任者は、特定個人情報等が記録されている文書及び電子媒体を削除し、又は廃棄した場合には、特定個人情報等廃棄記録(様式第3号)を作成するものとし、その記録は常用文書として保管する。
4
特定個人情報が記録されている文書の保存年限は5年とする。
(特定個人情報ファイルの取扱状況の記録)
第15条
保護責任者は、特定個人情報ファイルの取扱状況を確認するため、特定個人情報ファイル管理台帳(様式第4号)を整備して、当該特定個人情報ファイルの利用及び保管等の状況について、以下の項目を記録する。
(1)
特定個人情報等(番号利用事務)の名称
(2)
特定個人情報ファイルの種類
(3)
事務取扱担当者の役職及び氏名
(4)
利用目的
(5)
特定個人情報ファイルに記録される項目及び本人として特定個人情報ファイルに記録される個人の範囲
(6)
特定個人情報ファイルに記録される特定個人情報等の収集方法
2
管理台帳は、毎年更新するものとし、旧台帳は5年間保管する。
(管理区域)
第16条
保護責任者は、特定個人情報等を取り扱う基幹的なサーバ等の情報システムを設置する区域(以下「管理区域」という。)を明確に設定しなければならない。
2
保護責任者は、管理区域について次に掲げる措置を講じなければならない。
(1)
管理区域に立ち入る権限を有する者の指定
(2)
管理区域に立ち入る者の用件の確認
(3)
入場又は退場に関する記録
(4)
部外者の識別化
(5)
部外者が立ち入る場合の職員の立ち会い
(6)
外部からの電子媒体及び情報機器の持ち込み、利用及び持ち出しの禁止
(取扱区域)
第17条
保護責任者は、情報漏えい等を防止するため、特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、物理的な安全管理措置を講ずる。
2
前項に定める区域は、保護責任者が管理する場所であって、事務取扱担当者以外の職員及び外部からの来庁者のアクセスを制限できる場所であることを原則とする。
(特定個人情報保護評価)
第18条
保護責任者は、特定個人情報ファイルを保有しようとする場合は、特定個人情報保護評価に関する規則(平成26年特定個人情報保護委員会規則第1号)及び特定個人情報保護評価指針の定めるところにより、当該特定個人情報ファイルを保有する前までに特定個人情報保護評価を実施するものとする。
2
保護責任者は、個人のプライバシー等の権利利益に影響を与える特定個人情報の漏えいその他の事態を発生させるリスクを軽減するための措置として特定個人情報保護評価書に記載した全ての措置を講ずるものとする。
第5章 情報システム上における安全の確保等
(アクセス制御)
第19条
保護責任者は、事務取扱担当者について、IDによる識別及びパスワード等による認証を行う機能を設定する等のアクセス制御を行うために、情報セキュリティ管理者に対して事務取扱担当者のアクセス権限の設定を依頼する。
2
アクセス権限を有する事務取扱担当者は、定期的にパスワードの変更を行い、パスワードの漏えい等が疑われる場合は、遅滞なくパスワードを変更するものとする。
3
保護責任者は、業務上必要がなくなった場合は、遅滞なくアクセス権限を抹消するよう、情報セキュリティ管理者に依頼する。
(アクセス記録)
第20条
情報セキュリティ管理者は、特定個人情報ファイルへのアクセス記録を10年間保管する。
2
保護責任者は、情報セキュリティ管理者に対して、当該保護責任者が管理する範囲の特定個人情報ファイルへのアクセス記録について、改ざん、窃取又は不正な削除の防止が適切になされているかを確認し、必要に応じて報告を求める。
(アクセス状況の監視)
第21条
情報セキュリティ管理者は、特定個人情報ファイルへの不正なアクセスの監視のため、特定個人情報ファイルへのアクセス記録をもとに特定個人情報等へのアクセス状況を月に1回又は随時に分析する。
(端末の限定)
第22条
保護責任者は、特定個人情報等の処理を行う端末を限定し、情報セキュリティ管理者に対して、端末へのソフトウェアの導入及び端末の認証等を依頼する。
(電子媒体の接続制限)
第23条
情報セキュリティ管理者は、特定個人情報等の情報漏えい等の防止のため、スマートフォン、デジタルカメラ、ICレコーダー及びUSBメモリ等の記録機能を有する電子媒体について、前条により限定する端末への接続を制限する。
(端末の盗難防止等)
第24条
情報セキュリティ管理者は、端末の盗難又は紛失の防止のため、セキュリティワイヤー等による端末の固定を行い、鍵の管理は情報セキュリティ管理者から指定を受けた者が行う。
第6章 個人番号利用事務等の業務の委託等
(業務の委託等)
第25条
保護責任者は、個人番号利用事務等の全部又は一部の委託をする場合には、委託を受ける者において、都留市が果たすべき安全管理措置と同等の措置が講じられることについて、あらかじめ確認する。
2
保護責任者は、前項の委託をする場合は、委託を受けた者との契約書に特定個人情報の取扱いに関する特記事項を規定するとともに、委託を受けた者において、都留市が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行う。
3
個人番号利用事務等の全部又は一部の委託を受けた者が再委託をする場合には、保護責任者は、委託をする個人番号利用事務等の取扱いについて適切な安全管理措置が図られることを確認した上で再委託の諾否を判断する。
第7章 情報漏えい等事案への対応
(事案の報告及び再発防止措置)
第26条
情報漏えい等の事案の発生又は兆候を把握した場合及び事務取扱担当者がこの規程等に違反している事実又は兆候を把握した場合等、安全確保上で問題となる事案が発生した場合に、その事実を知った事務取扱担当者その他の職員等は、速やかに当該特定個人情報を管理する保護責任者に報告する。
2
保護責任者は、被害の拡大防止又は復旧等のために必要な措置を速やかに講ずるものとし、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等のLANケーブルの抜線等を直ちに行うものとする。
3
保護責任者は、事案の発生した経緯及び被害状況等を調査し、速やかに総括責任者及び情報セキュリティ管理者に報告する。
4
総括責任者は、前項の報告があった場合、速やかに個人情報保護委員会に報告するものとし、重大事態に該当する事案又はそのおそれのある事案の場合は、直ちに個人情報保護委員会に報告する。
5
総括責任者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるものとする。
(公表等)
第27条
事案の内容及び影響等に応じて、事実関係及び再発防止策の公表を行い、当該事案に係る特定個人情報等に関して本人への対応等の措置を講ずる。
第8章 監査又は点検の実施
(監査)
第28条
監査責任者は、各課等における特定個人情報等の管理の状況について、1年に1回又は随時に監査を行い、その結果を総括責任者に報告する。
2
監査責任者は、監査を行うに当たり、監査計画(様式第5号)を立案し、総括責任者の承認を得る。
(点検)
第29条
保護責任者は、自ら管理責任を有する特定個人情報等の記録媒体、処理経路及び保管方法等について、3箇月に1回又は随時に点検を行い、必要があると認めるときは、総括責任者に報告する。
(評価及び見直し)
第30条
総括責任者は、監査又は点検の結果等を踏まえ、必要があると認めるときは、その見直し等の措置を講ずる。
第9章 雑 則
(その他)
第31条
この規程に定めるもののほか、必要な事項は、市長が別に定める。
附 則
この訓令は、令和元年6月25日から施行する。
附 則(令和5年3月28日訓令第1号)
この訓令は、令和5年4月1日から施行する。
様式第1号(第5条関係)
事務取扱担当者一覧
[別紙参照]
様式第2号(第9条関係)
研修計画
[別紙参照]
様式第3号(第14条関係)
廃棄記録
[別紙参照]
様式第4号(第15条関係)
管理台帳
[別紙参照]
様式第5号(第28条関係)
監査計画
[別紙参照]