○各務原市特定個人情報の取扱いに関する管理規程
平成27年12月28日
訓令第7号
目次
第1章 総則(第1条・第2条)
第2章 管理体制(第3条―第8条)
第3章 職員の責務(第9条・第10条)
第4章 特定個人情報等の取扱い(第11条―第16条)
第5章 情報システムにおける安全の確保等(第17条―第32条)
第6章 指定管理区域等の安全管理(第33条・第34条)
第7章 業務の委託(第35条・第36条)
第8章 安全確保上の問題への対応(第37条・第38条)
第9章 監査及び点検の実施(第39条―第41条)
第10章 雑則(第42条)
附則
第1章 総則
(趣旨)
第1条 この規程は、各務原市の保有する特定個人情報の適切な管理に関し、必要な事項を定めるものとする。
(定義)
第2条 この規程において使用する用語は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)において使用する用語の例による。
(1) ネットワーク 電子計算機を相互に接続するための通信網並びにその構成機器のハードウェア及びソフトウェアをいう。
(2) 情報システム 電子計算機、ネットワーク及び電磁的記録媒体(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって電子計算機による情報処理の用に供されるものに係る記録媒体をいう。以下同じ。)で構成され、情報処理を行う仕組みをいう。
(3) 端末 情報システムに接続して情報の閲覧、操作等ができる全ての情報機器をいう。
(4) 取扱区域 特定個人情報を取り扱う事務を実施する区域をいう。
(5) 管理区域 特定個人情報ファイルを取り扱う情報システムを管理する区域及び安全管理のために必要と認めて設定する区域をいう。
(6) 指定管理区域 管理区域のうち特定個人情報を取り扱う基幹的な電子計算機及びネットワークを設置する区域をいう。
第2章 管理体制
(総括責任者)
第3条 特定個人情報に係る総合的な安全管理措置(番号法第12条に規定する措置をいう。以下同じ。)を行うため、総括責任者を置く。
2 総括責任者は、今道副市長をもって充てる。
(統括保護責任者)
第4条 第6条に規定する保護責任者を統括し、及び総括責任者を補佐するため、統括保護責任者を置く。
2 統括保護責任者は、次に掲げる事項を所掌する。
(1) 特定個人情報の安全管理に関する教育及び訓練の企画及び実施に関すること。
(2) 特定個人情報の取扱状況の把握に関すること。
(3) その他特定個人情報の安全管理措置に関すること。
3 統括保護責任者は、総務部門の部長をもって充てる。
(副統括保護責任者)
第5条 統括保護責任者を補佐するため、個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)を所掌する課が置かれる部等に副統括保護責任者を置く。
2 副統括保護責任者は、個人番号利用事務等を所掌する課が置かれる部等の長及び会計管理者をもって充てる。
(保護責任者)
第6条 個人番号利用事務等を所掌する課等に保護責任者を置く。
2 保護責任者は、次に掲げる事項を所掌し、課等において必要な安全管理措置を講ずる。
(1) 特定個人情報の取得、利用、保管、提供並びに削除及び廃棄の管理に関すること。
(2) 取扱区域及び管理区域の設定に関すること。
(3) 特定個人情報を取り扱う職員及び当該職員が取り扱う特定個人情報の範囲の指定に関すること。
(4) 次に掲げる管理体制の整備に関すること。
ア 職員がこの規程に違反している事実を把握した場合若しくは特定個人情報の漏えい、滅失若しくは毀損(以下「情報漏えい等」という。)の事案が発生した場合又はこれらの兆候を把握した場合の報告及び連絡の体制
イ 特定個人情報を複数の課等で取り扱う場合の当該課等の任務の分担及び責任の明確化
(5) その他課等における特定個人情報の安全管理措置に関すること。
3 保護責任者は、個人番号利用事務等を所掌する課等の長をもって充てる。
(保護管理者)
第7条 情報システムで取り扱う特定個人情報について、安全の確保に必要な措置を講ずるため、保護管理者を置く。
2 保護管理者は、行政情報化を担当する課の長をもって充てる。
(監査責任者)
第8条 特定個人情報の管理状況に関する監査を行うため、監査責任者を置く。
2 監査責任者は、磯谷副市長をもって充てる。
第3章 職員の責務
(職員の責務)
第9条 職員は、番号法及び個人情報の保護に関する法律(平成15年法律第57号)の趣旨に則り、特定個人情報を適切に取り扱わなければならない。
2 総括責任者、統括保護責任者、副統括保護責任者及び保護責任者は、職員が特定個人情報を適切に取り扱うために必要かつ適切な監督を行うものとする。
(教育研修)
第10条 統括保護責任者は、特定個人情報の取扱いについて理解を深め、特定個人情報の保護に関する意識の高揚を図るため、職員に対して啓発その他必要な教育研修を行うものとする。
2 統括保護責任者は、特定個人情報を取り扱う情報システムの管理に関する事務に従事する職員に対し、情報システムの管理、運用及びセキュリティ対策に関する必要な教育研修を行うものとする。
3 統括保護責任者は、保護責任者に対し、特定個人情報の適切な管理に関する必要な教育研修を行うものとする。
4 保護責任者は、当該課等の職員に対し、特定個人情報の適切な管理のため、統括保護責任者が実施する教育研修への参加の機会を与える等の必要な措置を講ずるものとする。
第4章 特定個人情報等の取扱い
(個人番号の利用等の制限)
第11条 個人番号は、番号法又は各務原市個人番号の利用及び特定個人情報の提供に関する条例(平成27年条例第37号)(以下これらを「番号法等」という。)に規定する事務以外に利用してはならない。
2 個人番号利用事務等を処理するために必要な場合又は番号法等に規定する場合を除き、個人番号の提供を求めてはならない。
(複製等の制限)
第12条 職員は、業務上の目的であって、かつ、保護責任者が許可した場合以外は、次に掲げる行為をしてはならない。
(1) 特定個人情報の複製及び送信
(2) 特定個人情報が記録されている電磁的記録媒体の外部への送付又は持出し
(3) その他特定個人情報の適切な管理に支障を及ぼすおそれのある行為
2 職員は、特定個人情報の複製をする場合は必要最小限の範囲とし、当該複製をした特定個人情報が不要となったときは、速やかに削除し、又は廃棄しなければならない。
(保管場所)
第13条 職員は、保護責任者の指示に従い、特定個人情報を取り扱う情報機器又は特定個人情報が記録されている電磁的記録媒体若しくは書類を耐火金庫その他の施錠できる場所に保管しなければならない。
(利用及び保管の記録)
第14条 保護責任者は、特定個人情報ファイルの利用及び保管の状況を記録し、及び確認する方法を整備しなければならない。
(訂正)
第15条 職員は、特定個人情報の内容に誤りを発見した場合は、保護責任者の指示に従い、速やかに訂正しなければならない。
(削除又は廃棄)
第16条 職員は、特定個人情報ファイル又は特定個人情報が記録されている電磁的記録媒体(情報機器に内蔵されているものを含む。)が不要になったときは、保護責任者の指示に従い、復元又は判読が不可能な方法により削除又は廃棄をしなければならない。
2 保護責任者は、削除又は廃棄の状況を記録し、これを一定の期間保管しなければならない。
3 削除又は廃棄の作業を委託する場合は、委託先による削除又は廃棄の実施について、作業の立会い又は委託先が発行する証明書により確認するものとする。
第5章 情報システムにおける安全の確保等
(アクセス制御)
第17条 特定個人情報を取り扱う情報システムにアクセスする権限を有する職員の範囲は、必要最小限としなければならない。
2 職員は、業務上の目的以外の目的で特定個人情報を取り扱う情報システムにアクセスしてはならない。
3 保護管理者は、特定個人情報(情報システムにおいて取り扱う特定個人情報に限る。以下この章において同じ。)の内容に応じ、パスワード等(パスワード、ICカード認証情報及び生体情報並びにこれらに準ずるものをいう。以下同じ。)を使用した権限を識別する機能(以下「認証機能」という。)の設定を行うほか、アクセスを制御するために必要な措置を講ずるものとする。
4 保護管理者は、パスワード等の読取防止を行うために必要な措置を講ずるものとする。
(アクセスの状況に係る記録)
第18条 保護管理者は、特定個人情報へのアクセスの状況を記録し、当該記録を一定の期間保存し、定期的に、又は必要に応じて、分析するために必要な措置を講ずるものとする。
2 保護管理者は、アクセスの状況に係る記録の改ざん、窃取又は不正な削除の防止のために必要な措置を講ずるものとする。
(不適切なアクセスの監視)
第19条 保護管理者は、特定個人情報への不適切なアクセスを監視するために必要な措置を講ずるものとする。
(管理者の権限による操作範囲)
第20条 保護管理者は、情報システムの管理者の権限により操作又は処理ができる範囲を最小限とし、当該権限が不正に窃取されたときの被害の最小化又は市の内部の者による不正な操作又は処理の防止のために必要な措置を講ずるものとする。
(外部からの不正なアクセス等による被害の防止)
第21条 保護管理者は、特定個人情報を取り扱う情報システムへの外部からの不正なアクセスを防止するため、ファイアウォール(ネットワークにおいて情報システムへの不正な侵入を防御する電子計算機をいう。)の設定による通信経路の制御その他の必要な措置を講ずるものとする。
2 保護管理者は、特定個人情報を取り扱う情報システムについて、インターネットから独立する等の高いセキュリティ対策を踏まえたシステムの構築、運用体制の整備その他の外部からの不正なアクセスによる被害の防止のために必要な措置を講ずるものとする。
(通信経路等における情報漏えい等の防止)
第22条 保護管理者は、特定個人情報の内容に応じて、通信経路等における情報漏えい等を防止するため、当該通信経路等の暗号化その他の必要な措置を講ずるものとする。
(不正なプログラムによる情報漏えい等の防止)
第23条 保護管理者は、不正なプログラム(電子計算機に対する指令であって、一の結果を得ることができるように組み合わされたもののうち、電子計算機に害悪を及ぼすものをいう。以下同じ。)による情報漏えい等の防止のため、ソフトウェアに関する脆弱性の解消、不正なプログラムの感染への対策その他の必要な措置を講ずるものとする。
(暗号化)
第24条 職員は、取り扱う特定個人情報の内容に応じて、当該特定個人情報を電磁的記録媒体(情報機器に内蔵されているものを含む。)に保存する際は、適切に暗号化を行うものとする。
(入力情報の照合等)
第25条 職員は、特定個人情報の重要度に応じて、当該特定個人情報を入力する原票と入力した内容との照合、当該特定個人情報に係る処理をした前後の内容の確認、既存の特定個人情報との照合その他の必要な措置を講ずるものとする。
(バックアップの作成)
第26条 保護管理者は、特定個人情報の重要度に応じ、バックアップ(データの滅失又は毀損に備えて作成するデータの写しをいう。以下同じ。)を作成し、当該特定個人情報を保管するために必要な措置を講ずるものとする。
(情報システム設計書等の管理)
第27条 保護管理者は、特定個人情報を取り扱う情報システムの設計書、構成図等の書類について、外部への漏えいの防止のため、当該書類の保管、複製、廃棄等に関し必要な措置を講ずるものとする。
(端末の限定)
第28条 保護管理者は、特定個人情報を取り扱う端末を必要最小限としなければならない。
(端末の盗難等の防止)
第29条 保護責任者は、端末の盗難又は紛失の防止のため、端末の固定、管理区域における執務室の施錠その他の必要な措置を講ずるものとする。
2 職員は、保護責任者が必要があると認めるときを除き、端末を外部へ持ち出し、又は外部から持ち込んではならない。
(第三者の閲覧防止)
第30条 職員は、端末の使用に当たっては、第三者による閲覧の防止のため、離席時のログオフ(情報システムから切断して利用を終了することをいう。)の徹底その他の必要な措置を講ずるものとする。
(端末への接続制限)
第31条 保護管理者は、情報漏えい等の防止のため、記録機能を有する情報機器及び電磁的記録媒体の端末への接続の制限その他の必要な措置を講ずるものとする。
(電磁的記録媒体等の外部への持出し)
第32条 保護責任者は、特定個人情報が記録されている電磁的記録媒体又は書類を外部に持ち出す必要があるときは、追跡可能な移送手段の利用その他の必要な措置を講ずるものとする。
第6章 指定管理区域等の安全管理
(指定管理区域)
第33条 保護管理者は、指定管理区域を明確に設定しなければならない。
2 保護管理者は、指定管理区域について次に掲げる措置を講じなければならない。
(1) 指定管理区域に立ち入る権限を有する者の指定
(2) 指定管理区域に立ち入る者の用件の確認
(3) 入場又は退場の状況の記録
(4) 部外者の識別化
(5) 部外者が立ち入る場合の職員の立会い又は監視設備による監視
(6) 外部からの電磁的記録媒体及び情報機器の持込み、利用及び持出しの制限
3 保護管理者は、必要があると認めるときは、指定管理区域の出入口の特定化による入場及び退場の管理の容易化、所在の表示の制限等の措置を講ずるものとする。
4 保護管理者は、指定管理区域の入場又は退場の管理に関し必要があると認めるときは、出入口における認証機能の設定、出入口の施錠、警報装置又は監視設備の設置その他の措置を講ずるものとする。
5 保護管理者は、指定管理区域において耐震、防火、防水その他の災害に備えるために必要な措置を講ずるものとする。
(管理区域及び取扱区域)
第34条 保護責任者は、管理区域及び取扱区域を明確に設定しなければならない。
3 保護責任者は、取扱区域について、次に掲げる措置を講じなければならない。
(1) 部外者の原則立入禁止
(2) 部外者が立ち入る場合の職員の立会い
(3) 部外者による特定個人情報の閲覧、のぞき見等の防止
第7章 業務の委託
(特定個人情報取扱業務の委託)
第35条 特定個人情報を取り扱う業務を委託するときは、特定個人情報の適切な管理を行う能力を有する者を選定しなければならない。
2 特定個人情報を取り扱う業務を委託するときは、当該業務に係る契約書に次に掲げる事項を明記するとともに、委託先における責任者、実施体制その他の必要な事項について書面で確認しなければならない。
(1) 特定個人情報を取り扱う従業者の明確化に関する事項
(2) 従業者に対する監督及び教育に関する事項
(3) 秘密保持義務に関する事項
(4) 再委託における条件に関する事項
(5) 特定個人情報の目的外利用の禁止に関する事項
(6) 事業所内からの特定個人情報の持出しの禁止に関する事項
(7) 委託契約終了後の特定個人情報の返却又は廃棄に関する事項
(8) 契約内容の遵守状況について報告を求める旨の規定
(9) 市が必要があると認めるときに、委託先に対して実地の調査を行うことができる旨の規定
(10) 情報漏えい等が発生した場合の委託先の責任に関する事項
3 特定個人情報を取り扱う業務の委託先が当該業務を再委託するときは、委託先を通じて前項の措置を実施させるものとする。
(個人番号利用事務等の委託)
第36条 個人番号利用事務等の全部又は一部を委託するときは、委託先において番号法の規定により市が果たすべき安全管理措置と同等の措置を講じることができることをあらかじめ確認するとともに、必要かつ適切な監督を行うものとする。
2 保護責任者は、個人番号利用事務等の全部又は一部の委託を受けた者が当該事務を再委託するときは、適切に安全管理措置を講じることができることを確認し、再委託の可否を判断するものとする。
第8章 安全確保上の問題への対応
(事案の報告)
第37条 職員は、次の各号に掲げる場合は、直ちに保護責任者にその旨を報告しなければならない。
(1) 情報漏えい等の事案が発生し、又は兆候を把握したとき。
(2) 職員がこの規程に違反している事実又は兆候を把握したとき。
(3) その他安全確保上で問題となる事案が発生したとき。
2 保護責任者は、前項の規定により報告を受けた場合は、遅滞なく被害の拡大防止、復旧等のために必要な措置を講ずるものとする。この場合において、当該事案が外部からの不正なアクセス又は不正なプログラムの感染によるものであるときは、直ちに保護管理者に報告するものとする。
3 保護責任者は、事案の発生した経緯、被害状況、影響範囲等を調査し、副統括保護責任者に遅滞なく報告するものとする。ただし、重大と認める事案が発生したときは、直ちに副統括保護責任者に当該事案の内容、経緯、被害状況等を報告しなければならない。
4 副統括保護責任者は、前項の規定による報告を受けたときは、事案の内容等に応じて、遅滞なく当該事案の内容、経緯、被害状況等を統括保護責任者に報告するものとする。
5 統括保護責任者は、事案の内容等に応じて、遅滞なく当該事案の内容、経緯、被害状況等を総括責任者に報告するものとする。
6 総括責任者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるものとする。
(公表等)
第38条 総括責任者は、事案の内容、影響等に応じ、事実関係及び再発防止策の公表、当該事案に係る特定個人情報の本人への対応その他の措置を講ずるものとする。
2 総括責任者は、公表を行う事案について、当該事案の内容、経緯、被害状況等を速やかに国、県等の関係機関に報告し、及び情報を提供するものとする。
第9章 監査及び点検の実施
(監査)
第39条 監査責任者は、適切な安全管理措置の実施について検証するため、定期的に、又は必要に応じて、監査を行い、その結果を総括責任者に報告するものとする。
(点検)
第40条 保護責任者は、課等における特定個人情報が記録された電磁的記録媒体、特定個人情報の保管方法等について、定期的に、及び必要に応じて、点検を行い、その結果を統括保護責任者に報告するものとする。
2 保護管理者は、保護責任者に前項の点検の実施を指示することができる。
(見直し)
第41条 総括責任者、統括保護責任者、副統括保護責任者、保護責任者及び保護管理者は、監査及び点検の結果を踏まえ、必要があると認めるときは、安全管理措置の見直し等の措置を講ずるものとする。
第10章 雑則
(その他)
第42条 この規程に定めるもののほか、必要な事項は、市長が定める。
附則
この訓令は、平成28年1月1日から施行する。
附則(平成30年訓令第2号)
この訓令は、平成30年4月1日から施行する。
附則(令和2年訓令第4号)
この訓令は、令和2年4月1日から施行する。
附則(令和5年訓令第1号)
この訓令は、令和5年4月1日から施行する。
附則(令和5年訓令第4号)
この訓令は、令和5年4月1日から施行する。