○美作市個人情報取扱規程
令和5年3月27日
訓令第3号
(趣旨)
第1条 この訓令は、個人情報の保護に関する法律(平成15年法律第57号。以下「保護法」という。)第66条第1項及び行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第12条の規定に基づき、保有個人情報(保有する個人番号及び特定個人情報(以下「特定個人情報」という。)を含む。)の取扱い等に関し必要な事項を定めるものとする。
(定義)
第2条 この訓令において使用する用語は、特段の定めがある場合を除くほか、保護法及び番号法において使用する用語の例による。
(法令等の遵守)
第3条 保有個人情報の取扱いに当たっては、次に掲げる法令等を遵守しなければならない。
(1) 保護法
(2) 番号法
(4) 美作市情報セキュリティ管理規程(平成29年美作市訓令第2号)及び美作市情報セキュリティ対策基準(以下「美作市情報セキュリティポリシー」という。)
(管理体制)
第4条 保有個人情報の適切な取扱い及び安全管理措置の徹底を図るため、総括保護管理者、副総括保護管理者、監査責任者、保護管理者及び保護担当者を置き、それぞれ別表に定める者をもって充てる。
2 保護管理者は、毎年度(人事異動、事務の異動等により必要が生じた場合には、その都度)、保護担当者を指定するものとし、保護担当者を指定したときは、速やかに総務課長を通じて総括保護管理者に報告するものとする。
3 職員は、総括保護管理者、副総括保護管理者、保護管理者及び保護担当者の指示に従い、保有個人情報を取り扱わなければならない。
(特定個人情報に係る管理体制の特例)
第5条 特定個人情報を取り扱う事務を所管する課室の保護管理者は、毎年度(人事異動、事務の異動等により必要が生じた場合には、その都度)、当該事務を担当する職員を事務取扱担当者として指定するものとする。この場合において、保護管理者は、当該事務取扱担当者の役割及び取り扱う特定個人情報の範囲を明確にしなければならない。
2 保護管理者は、前項の規定により事務取扱担当者を指定した場合には、速やかに総務課長を通じて総括保護管理者に報告するものとする。
3 総括保護管理者及び保護管理者は、特定個人情報がこの訓令等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。
4 事務取扱担当者がこの訓令等に違反している事実又は兆候を把握した場合には、直ちに保護管理者に報告を行うものとする。
5 保護管理者は、前項の規定による報告を受けた場合には、事実確認その他の対応を行うとともに、遅滞なく副総括保護管理者に報告を行うものとする。
(教育研修)
第6条 総括保護管理者は、職員に対し、保有個人情報の取扱いについて理解を深め、その保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。
2 総括保護管理者は、保有個人情報を取り扱う情報システム(美作市情報セキュリティ管理規程第2条第4号に規定する情報システムをいう。以下同じ。)の管理に関する事務に従事する職員に対し、保有個人情報の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行うものとする。
3 総括保護管理者は、保護管理者及び保護担当者に対し、各課室における保有個人情報の適切な管理のための教育研修を定期的に実施するものとする。
4 総括保護管理者は、特定個人情報ファイルを取り扱う事務に従事する職員に対し、番号法第29条の2の規定によるサイバーセキュリティの確保に関する事項その他の事項に関する研修を行うものとする。
5 保護管理者は、当該課室の職員に対し、教育研修への参加の機会を付与する等保有個人情報の適切な管理のため必要な措置を講ずるものとする。
(入手等の制限)
第7条 保護管理者は、保有個人情報の内容等に応じ、当該保有個人情報の入手又は利用(以下「入手等」という。)の権限を有する職員の範囲及び当該権限の内容を、当該職員が業務を行う上で必要最小限の範囲に限る等の措置を講ずるものとする。
2 職員は、入手等の権限を有しない保有個人情報の入手等及び業務上の目的以外の目的での保有個人情報の入手等を行ってはならない。
3 特定個人情報は、番号法第20条の規定に反してこれを収集し、又は保管してはならない。
(複製等の制限)
第8条 保護管理者は、次に掲げる行為について、保有個人情報の内容等に応じ、職員が業務を行う上で支障がないと認められる必要最小限の範囲で行わせる等の措置を講ずるものとする。
(1) 保有個人情報の複製
(2) 保有個人情報の送信
(3) 保有個人情報が記録されている媒体及び電磁的記録(以下「媒体等」という。)の外部への送付又は持出し
(4) その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為
(誤りの訂正等)
第9条 職員は、誤り等を発見した場合には訂正等を行う等、保有個人情報の正確性が確保されるよう努めなければならない。
(媒体等の管理等)
第10条 保護管理者は、保有個人情報が記録されている媒体等(保有個人情報を取り扱う機器を含む。)の安全管理のため、当該保有個人情報の内容等に応じ、施錠可能な場所への保管の徹底、複数の職員による確認の励行その他必要な措置を講ずるものとする。
2 保有個人情報が記録されている媒体等を外部へ送付し、又は持ち出す場合には、原則として、パスワード等(パスワード、ICカード、生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等不正な入手等を防止するため必要な措置を講ずるものとする。
(取扱状況の記録)
第11条 保護管理者は、保有個人情報の内容等に応じ、台帳を整備する等の方法により、当該保有個人情報の利用及び保管等の状況について記録するものとする。
2 保護管理者は、前項の規定により記録した内容につき、改ざん、窃取又は不正な削除の防止のため必要な措置を講ずるとともに、分析等を行うものとする。
3 保護管理者は、当該課室が取り扱う個人情報ファイルに係る個人情報ファイル簿を作成し、及び作成した個人情報ファイル簿の管理を行うものとする。
4 保護管理者は、前項の規定により個人情報ファイル簿を作成し、変更し、又は廃止したときは、総括保護管理者に報告しなければならない。
(1) 書類 次に掲げる記録
ア 特定個人情報が記載された書類の利用・出力状況の記録
イ 特定個人情報が記載された書類の持出しの記録
ウ 申請書等の持出簿
エ その他必要と認める記録
(2) 情報システム 次に掲げる記録
ア 特定個人情報の利用・出力状況の記録
イ 特定個人情報の利用状況(ログイン実績、アクセスログ等)の記録
ウ その他必要と認める記録
(廃棄等)
第13条 保護管理者は、保有個人情報又は保有個人情報が記録されている媒体等(端末及びサーバに内蔵されているものを含む。)が不要となった場合には、当該保有個人情報の復元又は判読が不可能な方法により、当該情報の消去又は当該媒体等の廃棄(以下「廃棄等」という。)を行うものとする。
2 保護管理者は、廃棄等を行う場合には、美作市文書管理規程(平成17年美作市訓令第7号)の定めるところにより、その一覧を総務課長に提出し、記録を保存するものとする。
3 廃棄等を委託する場合(2以上の段階にわたる委託を含む。)には、必要に応じて職員がこれに立ち会い、又は写真等を付した証明書類を提出させる等の方法により、委託先において廃棄等が確実に行われていることを確認するものとする。
(サイバーセキュリティの確保)
第14条 保有個人情報を取り扱い、又は情報システムを構築し、若しくは利用するに当たっては、サイバーセキュリティ基本法(平成26年法律第104号)第26条第1項第2号に掲げるサイバーセキュリティに関する対策の基準等を参考として、取り扱う保有個人情報の性質等に照らして適正なサイバーセキュリティの水準を確保するものとする。
(1) 認証機能の設定その他保有個人情報の入手等の制御のために必要な措置(当該措置に係るパスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。)及びパスワード等の読取防止等を行うために必要な措置を含む。)
(2) 保有個人情報の入手等の状況の記録並びに当該記録内容の分析及びその改ざん、窃取又は不正な消去の防止のために必要な措置
(3) 情報システムへのアクセス状況の監視
(4) 情報システムの管理者権限の適切な設定
(5) 情報システムへの不正アクセスの防止及び不正プログラムによる保有個人情報の漏えい等の防止のために必要な措置
(6) 保有個人情報の暗号化のために必要な措置
(7) 保有個人情報を取り扱う情報システム端末の限定
(8) 情報システム端末への記録機能を有する機器・媒体の接続の制限
(9) 情報システム端末の盗難又は紛失の防止のために必要な措置
(10) 職員の情報システムにおける保有個人情報の取扱状況の確認
(11) 個人番号利用事務の実施に当たっては、接続する情報提供ネットワークシステム等の接続規程等が示す安全管理措置の遵守の徹底
(12) 個人番号利用事務の実施に当たっては、インターネットから独立する等の高いセキュリティ対策を踏まえた情報システムの構築や運用体制の整備
(情報システム室等における安全管理措置)
第16条 企画情報課長は、保護管理者と連携し、保有個人情報を取り扱う基幹的なサーバ等の機器を設置する室その他の区域(以下「情報システム室等」という。)について次に掲げる措置を講ずるものとする。
(1) 立入権限の設定並びに用件の確認、入退の記録、部外者についての識別化、部外者が立ち入る場合の職員の立会い又は監視設備による監視、外部電磁的記録媒体等の持込み、利用及び持出しの制限又は検査等
(2) 立入りに係る認証機能の設定並びにパスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。)及び当該パスワード等の読取防止等を行うために必要な措置(必要と認める場合に限る。)
(3) 出入口の特定化による入退の管理の容易化、所在表示の制限等(必要と認める場合に限る。)
(4) 施錠装置の設置その他外部からの不正な侵入を防止する措置
(5) 災害等によるサーバ等の機器の破損等を防止する措置
(保有個人情報の提供)
第17条 保護管理者は、保護法第69条第2項第3号及び第4号の規定に基づき行政機関等以外の者に保有個人情報を提供する場合には、保護法第70条の規定に基づき、原則として、提供先における利用目的、利用する業務の根拠法令、利用する記録範囲及び記録項目、利用形態等について提供先との間で書面(電磁的記録を含む。)を取り交わすものとする。
2 保護管理者は、保護法第69条第2項第3号及び第4号の規定に基づき行政機関等以外の者に保有個人情報を提供する場合には、保護法第70条の規定に基づき、安全確保の措置を要求するものとし、必要と認めるときは、提供前又は随時に実地の調査等を行い、措置状況を確認してその結果を記録するとともに、改善要求等の措置を講ずるものとする。
3 保護管理者は、保護法第69条第2項第3号の規定に基づき他の行政機関等に保有個人情報を提供する場合であって必要と認めるときは、保護法第70条の規定に基づき、前2項に規定する措置を講ずるものとする。
4 特定個人情報は、番号法第19条の規定に反しこれを提供してはならない。
(委託)
第18条 個人情報を取り扱う事務の全部又は一部の委託(以下「委託」という。)を行う場合には、あらかじめ当該委託先が個人情報の適切な管理を行う能力を有することを確認した上で行うものとする。
2 委託に係る契約書等には、次に掲げる事項を標準として必要な定めを置くとともに、委託先における責任者及び業務従事者の管理体制及び実施体制、個人情報の管理の状況についての検査に関する事項等必要な事項について書面で確認するものとする。
(1) 個人情報に関する秘密保持、利用目的以外の目的のための利用の禁止等の義務
(2) 再委託(再委託先が委託先の子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定する子会社をいう。)である場合も含む。以下同じ。)の制限又は事前承認等再委託に係る条件に関する事項
(3) 個人情報の複製等の制限に関する事項
(4) 個人情報の安全管理措置に関する事項
(5) 個人情報の漏えい等の事案の発生時における対応に関する事項
(6) 委託終了時における個人情報の消去及び媒体の返却に関する事項
(7) 法令及び契約に違反した場合における契約解除、損害賠償責任その他必要な事項
(8) 契約内容の遵守状況についての定期的報告に関する事項及び委託先における委託された個人情報の取扱状況を把握するための監査等に関する事項(再委託先の監査等に関する事項を含む。)
3 委託を行う個人情報の範囲は、当該委託業務の内容に照らして必要最小限でなければならない。
4 委託を行う場合には、個人情報の内容等に応じ、当該委託業務に係る作業の管理体制及び実施体制並びに個人情報の管理の状況について、少なくとも年1回以上、原則として実地検査により確認を行うものとする。
(提供又は委託のための加工)
第19条 保有個人情報を提供し、又は委託を行う場合には、必要に応じ、特定の個人を識別することができる記載の全部又は一部を削除し、又は別の記号等に置き換える等の措置を講ずるものとする。
(会議の開催)
第20条 総括保護管理者は、保有個人情報の管理に係る重要事項の決定、連絡・調整等を行うため必要があると認めるときは、定期又は随時に、関係職員等による会議を開催するものとする。
(安全管理上の問題への対応)
第21条 保有個人情報の漏えい等安全管理の上で問題となる事案又は問題となる事案の発生のおそれ(以下「事案等」という。)を認識した場合には、別記に定める措置を講じるものとする。
2 事案等が発生した場合であって、保護法第68条第1項の規定による委員会への報告及び同条第2項の規定による本人への通知又は番号法第29条の4第1項の規定による委員会への報告及び同条第2項の規定による本人への通知を要するときは、前項の措置と並行して速やかに所定の手続を行うとともに、委員会による事案の把握等に協力するものとする。
3 前項に掲げる規定に該当しない場合であっても、必要と認めるときは、当該事案等に係る事実関係及び再発防止策の公表、当該事案等に係る保有個人情報の本人への連絡等の措置を講ずるものとする。
(監査及び点検)
第22条 監査責任者は、保有個人情報の管理の状況について、定期に、及び必要に応じ随時に監査(外部監査を含む。以下同じ。)を行い、その結果を総括保護管理者に報告するものとする。
2 保護管理者は、各課室における保有個人情報の記録媒体、処理経路、保管方法等について、定期に、及び必要に応じ随時に点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告するものとする。
3 企画情報課長は、前2項の監査及び点検を行うに当たり、必要な協力を行うものとする。
(評価及び見直し)
第23条 総括保護管理者、保護管理者等は、監査又は点検の結果等を踏まえ、実効性等の観点から保有個人情報の適切な管理のための措置(この訓令の内容を含む。)について評価し、必要があると認めるときは、その見直し等の措置を講ずるものとする。
2 企画情報課長は、前項の評価及び見直しを行うに当たり、必要な協力を行うものとする。
(事務分掌等)
第24条 保有個人情報の管理に関する総括的な事務は、総務部総務課において行う。ただし、サイバーセキュリティ、情報システムその他の美作市情報セキュリティポリシーに関する事務は、企画振興部企画情報課において行う。
2 保有個人情報が複数の課室にまたがって取り扱われる場合には、それぞれの課室の保護管理者は、相互に協力するとともに、任務分担及び責任の明確化を適切に行うものとする。
(その他)
第25条 この訓令に定めるもののほか、必要な事項は、市長が別に定める。
附則
(施行期日)
1 この訓令は、令和5年4月1日から施行する。
(美作市特定個人情報等取扱規程の廃止)
2 美作市特定個人情報等取扱規程(平成30年美作市訓令第7号)は、廃止する。
別表(第4条関係)
名称 | 所掌する事務 | 事務を行う者 |
総括保護管理者 | 保有個人情報の管理に関する事務を総括する。 | 副市長 |
副総括保護管理者 | 総括保護管理者を補佐する。 | 総務部長 |
監査責任者 | 保有個人情報の管理の状況について監査する。 | 総務課参事又は総務課主幹 |
保護管理者 | 各課室における保有個人情報の適切な管理を確保する。 | 保有個人情報を取り扱う課室の長又はこれに代わる者 |
保護担当者 | 各課室における保有個人情報の管理に関する事務を担当する。 | 保有個人情報を取り扱う事務を担当する職員であって保護管理者が指定する者 |
別記(第21条関係)
対応手順
(1) 事案等を認識した職員は、直ちに当該保有個人情報を管理する保護管理者に報告する。この場合において、当該職員は、時間を要する事実確認を行う前に保護管理者に報告しなければならない。
(2) 保護管理者は、(1)の報告を受けた場合には、速やかに被害の拡大防止又は復旧等のために必要な措置を講ずる。ただし、外部からの不正アクセス又は不正プログラムの感染が疑われる当該端末等のLANケーブルを抜く等被害拡大防止のため直ちに行い得る措置については、直ちに行う。
(3) 保護管理者は、事案等の発生した経緯、被害状況等を調査し、総括保護管理者に報告する。ただし、特に重大と認める事案等が発生した場合には、直ちに総括保護管理者に当該事案の内容等について報告する。
(4) 総括保護管理者は、(3)の報告を受けた場合には、事案等の内容等に応じて、当該事案等の内容、経緯、被害状況等を市長に速やかに報告する。
(5) 保護管理者は、事案等の発生した原因を分析し、再発防止のために必要な措置を講ずるとともに、同種の業務を実施している課室等に再発防止措置を共有する。
(6) 保護管理者は、事案等に係る保有個人情報が特定個人情報である場合には、特定個人情報保護評価の再実施を行う。
注 保護管理者は、(2)の被害の拡大防止又は復旧等のために必要な措置、(3)の事案等の発生した経緯、被害状況等の調査並びに(5)の事案等の発生した分析及び再発防止のために必要な措置を実施するに当たり必要と認めるときは、企画情報課長と連携してこれを行うものとする。