○美馬市保有個人情報等取扱規程

平成27年12月21日

訓令第14号

(趣旨)

第1条 この訓令は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「法」という。)に定めるもののほか、美馬市個人情報保護条例(平成17年美馬市条例第231号。以下「保護条例」という。)及び行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく個人番号の利用及び特定個人情報の提供に関する条例(平成27年美馬市条例第39号。以下「番号条例」という。)に基づき、市の実施機関等が保有する個人情報、個人番号及び特定個人情報(以下「保有個人情報等」という。)の取扱いについて必要な事項を定める。

(定義)

第2条 この訓令において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) 個人情報 保護条例第2条第2号に規定する個人情報をいう。

(2) 個人番号 法第2条第5項に規定する個人番号をいう。

(3) 特定個人情報 法第2条第8項に規定する特定個人情報をいう。

(4) 個人情報ファイル 個人情報を含む情報の集合体であって、特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもののほか、特定の個人情報を容易に検索できるように体系的に構成したものとして個人情報の保護に関する法律施行令(平成15年政令第507号)で定めるものをいう。)

(5) 特定個人情報ファイル 法第2条第9項に規定する特定個人情報ファイルをいう。

(6) 実施機関等 保護条例第2条第1号に規定する実施機関及び会計管理者をいう。

(7) 部局等 美馬市行政組織条例(平成17年美馬市条例第7号)第2条に規定する部等、会計課、議会事務局、教育委員会事務局、選挙管理委員会事務局、公平委員会事務局、農業委員会事務局、固定資産評価審査委員会事務局、監査委員事務局及び消防本部をいう。

(8) 事務所管課 実施機関等の権限に属する事務を所管する課及び室等をいう。

(9) 職員等 再任用職員、臨時職員、任期付職員、非常勤職員等を含む実施機関の全職員をいう。

(統括保護責任者)

第3条 全ての保有個人情報等の取扱いに関して統括的な権限と責任を有する統括保護責任者を設置するものとし、副市長をもってこれに充てる。

2 統括保護責任者は、保有個人情報等の取扱いに係る規程等の整備、保有個人情報等の取扱いに関する指導監督及び教育研修の実施その他の保有個人情報等の取扱いに関する事務を統括する。

3 副市長は前項に規定する事務を企画総務部長に行わせることができる。

(保護責任者)

第4条 各部局等の保有個人情報等の取扱いに関する統括的な権限及び責任を有する保護責任者を置き、部局等の長をもってこれに充てる。

2 保護責任者は、各部局等の保有個人情報等について、緊急時における連絡体制の整備、取扱状況の評価並びに職員等に対する助言及び指示等を行う。

(保護管理者)

第5条 事務所管課の保有個人情報等を適切に管理する権限及び責任を有する保護管理者を置き、事務所管課の長をもってこれに充てる。

2 保護管理者は、所管する保有個人情報等の取扱事務における実施手順の作成、維持、管理を行うとともに、定められている事項について所属する職員等に実施及び遵守させなければならない。

(職員等の責務)

第6条 職員等は、法、保護条例及び番号条例の趣旨に則り、関連する法令及び規程等の定め並びに統括保護責任者、保護責任者及び保護管理者の指示に従い、保有個人情報等を取り扱わなければならない。

(取扱いの制限)

第7条 保護管理者は、保有個人情報等の秘匿性その内容に応じて、当該保有個人情報等を取り扱うことができる者(以下「保有個人情報等取扱者」という。)をその利用目的を達成するために必要最小限の職員等に限定して指定する。

2 保護管理者は、個人番号及び特定個人情報(以下「特定個人情報等」という。)を取り扱う必要がある場合、所属する保有個人情報等取扱者のうちから当該事務を取り扱う職員等(以下「事務取扱担当者」という。)並びにその役割を指定する。

3 保護管理者は、各事務取扱担当者が取り扱う特定個人情報等の範囲を次の各号のとおり指定する。

(1) 法第9条第1項及び第2項に規定する個人番号利用事務

(2) 法第9条第4項に規定する個人番号関係事務

(3) 法第9条第6項に規定する各議院審査等番号法第19条第13号から第17号までに基づき特定個人情報等の提供を受けた目的を達成するために必要な限度で利用する事務

(4) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難である場合

4 保有個人情報等取扱者以外の職員等は、原則として保有個人情報等に接してはならない。

5 事務取扱担当者以外の職員等は、保有個人情報等取扱者であっても保有個人情報等のうち特定個人情報等に接してはならない。

(アクセス制限)

第8条 保有個人情報等へアクセスすることができる保有個人情報等取扱者及び事務取扱担当者とその権限の内容を、アクセス制限により必要最小限にするための措置を講じる。

(複製等の制限)

第9条 保護管理者は、保有個人情報等の複製、送信、保有個人情報等が記録されている媒体(端末及びサーバーに内蔵されているものを含む。以下「媒体等」という。)の外部への送付又は持出の業務について、当該保有個人情報等の秘匿性等その内容に応じて、当該業務が行うことができる場合を限定する。

2 保有個人情報等取扱者及び事務取扱担当者は、前項の業務を行うときは、保護管理者の指示に従い、当該保有個人情報等の秘匿性等その内容に応じて、必要最小限の範囲においてこれらを行うとともに、漏えい、滅失又は毀損等(以下「情報漏えい等」という。)が発生しないよう取扱いに注意しなければならない。

(誤りの訂正等)

第10条 保有個人情報等取扱者及び事務取扱担当者は、保有個人情報等の内容に誤り等を発見した場合には、保護管理者の指示に従い、訂正等を行う。

(保有個人情報等の提供)

第11条 保護管理者は、保有個人情報等を実施機関以外のものに提供する場合には、次の措置を講ずるものとする。

(1) 当該提供先における保有個人情報等を取り扱う事務の目的、事務の根拠法令、当該提供先において利用する保有個人情報等の本人の類型及び項目名、利用形態等について確認すること。

(2) 当該提供先に対し、保護条例第8条第2項の措置を講じるとともに、必要があると認める場合は、実地調査等による当該措置状況を確認し、確認結果を記録し、及び所要の改善要求等を行うこと。

2 保護管理者は、法及び番号条例で限定的に明記された場合を除き、特定個人情報等を提供してはならない。

(個人番号の提供の求めの制限)

第12条 保有個人情報等のうち個人番号については、第7条第3項に規定する事務を処理するために必要な場合その他法及び番号条例で定める場合を除き、提供を求めてはならない。

(保有個人情報等の利用)

第13条 保有個人情報等取扱担当者は、保有個人情報等取扱事務の目的の範囲において、収集及び保管している保有個人情報等を利用して、個人情報ファイルを作成することができる。

2 事務取扱担当者は、第7条第3項に規定する事務を実施するために必要な範囲に限り、特定個人情報等を利用して、特定個人情報ファイルを作成することができる。

(保管の取扱い)

第14条 保有個人情報等取扱者及び事務取扱担当者は、保護管理者の指示に従い、保有個人情報等が記録されている媒体等を施錠可能なキャビネット、書庫等に安全に保管する。

2 保有個人情報等のうち特定個人情報等については、第7条第3項に規定する事務の範囲内において、利用する必要があると認められる場合に限り、事務取扱担当者が保管することができる。

3 保有個人情報等が記録された媒体等については、美馬市文書管理規程(平成17年美馬市訓令第4号。以下「文書管理規程」という。)に定める期間保管する。

4 特に特定個人情報ファイルについては、情報漏えい等を防止するために、インターネットに接続可能な端末やネットワーク上の共有フォルダ等に保存してはならない。

(廃棄等)

第15条 保有個人情報等取扱者及び事務取扱担当者は、保有個人情報等又は保有個人情報等が記録されている媒体等が不要となった場合には、保護管理者の指示に従い、当該保有個人情報等の復元又は判読が不可能な方法による当該情報等の消去又は当該媒体等の廃棄を行う。

2 保有個人情報等のうち個人番号については、第7条第3項に規定する事務を処理する必要がなくなった場合で、文書管理規程によって定められている保存期間を経過した場合には、個人番号をできるだけ速やかに削除又は廃棄する。

(保有個人情報等の取扱いの記録)

第16条 保有個人情報等取扱者及び事務取扱担当者は、必要に応じて保有個人情報等の秘匿性等その内容に応じた台帳等を整備して、当該保有個人情報等の利用、保管及び廃棄等の取扱いの状況について記録する。

(管理区域及び取扱区域)

第17条 統括保護責任者は、保有個人情報等を取り扱う情報システムを管理する管理区域及び保有個人情報等の取扱事務を実施する取扱区域を定める。

2 管理区域について、保有個人情報等の情報漏えい等を防止するために入退室制限や入退室記録のための仕組みを構築する。

3 取扱区域について、保有個人情報等の情報漏えい等を防止するため、壁又は間仕切りの設置及び座席配置の工夫改善を講じる。

(識別情報の設定)

第18条 情報システムを管理及び運用する事務所管課の保護管理者(以下「情報システム保護管理者」という。)は、情報システムで取り扱う保有個人情報等の秘匿性等その内容に応じて、保有個人情報等取扱者又は事務取扱担当者の識別情報を設定する。この場合の措置内容については第8条により設定した必要最小限のアクセス権限を具体化するものとする。

(アクセス記録)

第19条 情報システム保護管理者は、情報システムで取り扱う保有個人情報等の秘匿性等その内容に応じて、当該保有個人情報等へのアクセス状況を記録し、その記録(以下「アクセス記録」という。)を一定の期間保存し、及びアクセス記録を定期的に分析するために必要な措置を講じる。

(不正アクセス行為の防止)

第20条 情報システム保護管理者は、保有個人情報等を取り扱う情報システムについて、外部からの不正アクセス行為を防止するために必要な措置を講じる。

(不正プログラムによる情報漏えい等の防止)

第21条 情報システム保護管理者は、不正プログラムによる保有個人情報等の情報漏えい等の防止のため、ソフトウェアに関する公開された脆弱性の解消、把握された不正プログラムの感染防止に必要な措置を講じる。

(個人情報ファイル等の保護)

第22条 情報システム保護管理者は、情報システム内に保存されている個人情報ファイル及び特定個人情報ファイル(以下「個人情報ファイル等」という。)は、パスワードを付与する等の保護対策を講じる。

(バックアップ)

第23条 情報システム保護管理者は、情報システム内に保存されている個人情報ファイル等の重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講じる。

(端末の管理)

第24条 情報システム保護管理者は、保有個人情報等を取り扱う情報システム及び端末を適切に管理し、利用権限のない者には使用させてはならない。

(端末の盗難防止)

第25条 情報システム保護管理者は、端末の盗難又は紛失の防止のために必要な措置を講じる。

(業務の委託等)

第26条 保護管理者は保有個人情報等の取扱いに係る業務を外部に委託する場合には、保有個人情報等の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置を講ずるものとする。また、契約書に、次に掲げる事項を明記するとともに、委託先における責任者及び業務従事者の管理並びに実施体制及び保有個人情報等の管理状況についての検査に関する事項等について書面で確認するものとする。

(1) 保有個人情報等に関する秘密保持、目的外利用の禁止等の義務

(2) 再委託の制限又は事前承認等再委託に係る条件に関する事項

(3) 保有個人情報等の複製等の制限に関する事項

(4) 保有個人情報等の情報漏えい等の発生時における対応に関する事項

(5) 委託終了時における保有個人情報等の完全消去及び媒体等の返却に関する事項

(6) 違反した場合における契約解除、損害賠償責任に関する事項

(7) その他必要な事項

2 保有個人情報等の取扱いに係る業務を外部に委託する場合には、委託する保有個人情報等の秘匿性等その内容に応じて、委託先における保有個人情報等の管理の状況について、年1回以上の定期検査等により確認するものとする。

3 委託先において、保有個人情報等の取扱いに係る業務が再委託される場合には、委託先に第1項の措置を講じさせるとともに、再委託される業務に係る保有個人情報等の秘匿性等その内容に応じて、委託先を通じて又は委託元自らが前項の措置を実施する。保有個人情報等の取扱いに係る業務について再委託先が再々委託を行う場合以降も同様とする。

(情報漏えい等の対応)

第27条 職員等は、保有個人情報等の情報漏えい等の発生又は兆候を把握した場合には、直ちに保護管理者に報告しなければならない。

2 報告を受けた保護管理者は、直ちに統括保護責任者、保護責任者及び関係者等に報告するとともに、情報漏えい等の拡大を阻止するよう対策を講じなければならない。

3 保護管理者は、情報漏えい等の内容、原因、被害等を調査し、必要な再発防止の措置を講じたうえで、統括保護責任者、保護責任者及び関係者等に報告しなければならない。

(苦情や相談等の報告)

第28条 保有個人情報等取扱者は、保有個人情報等の取扱いについて、住民や事業者等の情報主体から苦情や相談等の申出を受けた場合には、その旨を統括保護責任者、保護責任者及び保護管理者に報告する。

(職員等への教育研修)

第29条 統括保護責任者は、職員等に対して、保有個人情報等の適切な取扱い等に関する教育研修を定期的に実施する。

(取扱状況の確認、評価及び見直し)

第30条 保護管理者は、定期的に保有個人情報等の取扱いの状況を記録した台帳等を確認し、必要があると認めるときは、その結果を統括保護責任者及び保護責任者に報告する。

2 統括保護責任者及び保護責任者は、保有個人情報等の適切な管理のため、前項の報告の結果等を踏まえ、実効性等の観点から保有個人情報等の媒体等、処理経路及び保管方法等を確認し、必要があると認めるときは、業務改善等の指示を行う。

(補則)

第31条 この訓令に定めるもののほか、保有個人情報等の取扱いに関して必要な事項は、市長が別に定める。

附 則

この訓令は、公表の日から施行する。

附 則(令和4年1月11日訓令第1号)

この訓令は、公表の日から施行する。

美馬市保有個人情報等取扱規程

平成27年12月21日 訓令第14号

(令和4年1月11日施行)

体系情報
第3編 執行機関/第1章 市長部局/第4節 情報管理・通信施設
沿革情報
平成27年12月21日 訓令第14号
令和4年1月11日 訓令第1号