各務原市個人情報の取扱いに関する管理規程

○各務原市個人情報の取扱いに関する管理規程

令和5年3月31日

訓令第6号

第1章　総則(第1条・第2条)

第2章　管理体制(第3条―第9条)

第3章　職員の責務(第10条・第11条)

第4章　保有個人情報等の取扱い(第12条―第21条)

第5章　情報システムにおける安全の確保等(第22条―第35条)

第6章　情報システム室等の安全管理(第36条)

第7章　保有個人情報の提供(第37条)

第8章　業務の委託(第38条・第39条)

第9章　安全確保上の問題への対応(第40条―第42条)

第10章　監査及び点検の実施(第43条―第45条)

第11章　雑則(第46条)

附則

第1章　総則

(趣旨)

第1条　この規程は、各務原市の保有個人情報の適切な管理に関し、必要な事項を定めるものとする。

(定義)

第2条　この規程において使用する用語は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)において使用する用語の例による。

2　この規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1)　安全管理措置　法第66条第1項に規定する措置をいう。

(2)　個人情報取扱事務　法令(条例を含む。以下同じ。)の定める所掌事務又は業務を遂行するため、保有個人情報を必要な限度で利用して行う事務をいう。

(3)　情報漏えい等　保有個人情報の漏えい、滅失又は毀損をいう。

(4)　ネットワーク　電子計算機を相互に接続するための通信網並びにその構成機器のハードウェア及びソフトウェアをいう。

(5)　情報システム　電子計算機、ネットワーク及び電磁的記録媒体(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって電子計算機による情報処理の用に供されるものに係る記録媒体をいう。以下同じ。)で構成され、情報処理を行う仕組みをいう。

(6)　端末　情報システムに接続して情報の閲覧、操作等ができる全ての情報機器をいう。

第2章　管理体制

(総括責任者)

第3条　保有個人情報に係る総合的な安全管理措置を行うため、総括責任者を置く。

2　総括責任者は、今道副市長をもって充てる。

(統括保護管理者)

第4条　第6条に規定する保護管理者を統括し、及び総括責任者を補佐するため、統括保護管理者を置く。

2　統括保護管理者は、次に掲げる事項を所掌する。

(1)　保有個人情報の安全管理に関する教育及び訓練の企画及び実施に関すること。

(2)　保有個人情報の取扱状況の把握に関すること。

(3)　その他保有個人情報の安全管理措置に関すること。

3　統括保護管理者は、総務部門の部長をもって充てる。

(副統括保護管理者)

第5条　統括保護管理者を補佐するため、副統括保護管理者を置く。

2　副統括保護管理者は、教育長、個人情報取扱事務を所掌する課等が置かれる部等の長、事務局長、消防長及び会計管理者をもって充てる。

(保護管理者)

第6条　個人情報取扱事務を所掌する課等に保護管理者を置く。

2　保護管理者は、次に掲げる事項を所掌し、課等において必要な安全管理措置を講ずる。

(1)　個人情報の取得、利用、保管、提供並びに削除及び廃棄の管理に関すること。

(2)　個人情報を取り扱う職員及び当該職員が取り扱う個人情報の範囲の指定に関すること。

(3)　次に掲げる管理体制の整備に関すること。

ア　職員がこの規程に違反している事実を把握した場合若しくは情報漏えい等の事案が発生した場合又はこれらの兆候を把握した場合の報告及び連絡の体制

イ　個人情報を複数の課等で取り扱う場合の当該課等の任務の分担及び責任の明確化

ウ　保有個人情報を情報システムで取り扱う場合の次条に規定する情報保護管理者との連携

(4)　その他課等における個人情報の安全管理措置に関すること。

3　保護管理者は、課等の長をもって充てる。

(情報保護管理者)

第7条　情報システムで取り扱う保有個人情報について、安全の確保に必要な措置を講ずるため、情報保護管理者を置く。

2　情報保護管理者は、行政情報化を担当する課の長をもって充てる。

(監査責任者)

第8条　個人情報の管理状況に関する監査を行うため、監査責任者を置く。

2　監査責任者は、磯谷副市長をもって充てる。

(委員会)

第9条　総括責任者は、保有個人情報の管理に係る重要事項の決定、連絡、調整等を行うため必要があると認めるときは、関係職員を構成員とする委員会を設け、定期に又は随時に開催する。この場合において、総括責任者は、事案に応じて専門的な知識及び経験を有する者等の参加を求めることができる。

第3章　職員の責務

(職員の責務)

第10条　職員は、法の趣旨に則り、関連する法令及び規程等の定め並びに総括責任者、統括保護管理者、副統括保護管理者、保護管理者及び情報保護管理者(以下「総括責任者等」という。)の指示に従い、保有個人情報を適切に取り扱わなければならない。

2　総括責任者等は、職員が保有個人情報を適切に取り扱うために必要かつ適切な監督を行うものとする。

(教育研修)

第11条　統括保護管理者は、保有個人情報の取扱いについて理解を深め、保有個人情報の保護に関する意識の高揚を図るため、職員に対して啓発その他必要な教育研修を行うものとする。

2　統括保護管理者は、保有個人情報を取り扱う情報システムの管理に関する事務に従事する職員に対し、情報システムの管理、運用及びセキュリティ対策に関する必要な教育研修を行うものとする。

3　統括保護管理者は、保護管理者に対し、保有個人情報の適切な管理に関する必要な教育研修を行うものとする。

4　保護管理者は、課等の職員に対し、保有個人情報の適切な管理のため、統括保護管理者が実施する教育研修への参加の機会を与える等の必要な措置を講ずるものとする。

第4章　保有個人情報等の取扱い

(保有個人情報の取扱いの制限)

第12条　保護管理者は、保有個人情報を取り扱う権限を有する職員の範囲及び権限の内容を当該職員が業務を行う上で必要最小限の範囲に限るものとする。

2　前項の権限を有しない職員は、当該保有個人情報を利用してはならない。

3　職員は、当該保有個人情報を取り扱う権限を有する場合であっても、業務上の目的以外の目的で当該保有個人情報を利用してはならず、利用は必要最小限にしなければならない。

(複製等の制限)

第13条　職員は、業務上の目的であって、かつ、保護管理者が許可した場合を除き、次に掲げる行為をしてはならない。

(1)　保有個人情報の複製及び送信

(2)　保有個人情報が記録されている電磁的記録媒体の外部への送付又は持出し

(3)　その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為

2　職員は、前項各号に掲げる行為をする場合は、必要最小限の範囲としなければならない。

(保管場所)

第14条　職員は、保護管理者の指示に従い、保有個人情報を取り扱う情報機器又は保有個人情報が記録されている電磁的記録媒体若しくは書類を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫その他の施錠できる場所に保管しなければならない。

(電磁的記録媒体の持出し)

第15条　職員は、保有個人情報が記録されている電磁的記録媒体を外部へ送付し、又は持ち出す場合には、原則としてパスワード等(パスワード、ICカード認証情報及び生体情報並びにこれらに準ずるものをいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講じなければならない。

(取扱状況の記録)

第16条　保護管理者は、保有個人情報の内容に応じて必要と認めるときは、台帳等を整備し、当該保有個人情報の利用、保管等の取扱状況を記録するものとする。

(誤送付等の防止)

第17条　職員は、保有個人情報を含む書類、電磁的記録、電磁的記録媒体等の誤送信、誤送付、誤交付又はウェブサイト等への誤掲載を防止するため、複数の職員による確認、チェックリストの活用等の必要な措置を講ずるものとする。

(訂正)

第18条　職員は、保有個人情報の内容に誤りを発見した場合は、保護管理者の指示に従い、速やかに訂正しなければならない。

(消去又は廃棄)

第19条　職員は、保有個人情報又は保有個人情報が記録されている電磁的記録媒体(情報機器に内蔵されているものを含む。)が不要になったときは、保護管理者の指示に従い、復元又は判読が不可能な方法により当該保有個人情報の消去又は当該媒体の廃棄をしなければならない。

2　消去又は廃棄の作業を委託する場合は、必要に応じて、委託先による消去又は廃棄の実施について、作業への立会い又は委託先が発行する証明書により確認するものとする。

(外的環境の把握)

第20条　保護管理者は、保有個人情報が外国において取り扱われるときは、当該外国の個人情報の保護に関する制度等を把握し、当該保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。

(個人情報取扱事務の届出)

第21条　保護管理者は、個人情報取扱事務を新たに開始しようとするときは、あらかじめ、次に掲げる事項を統括保護管理者に届け出なければならない。

(1)　個人情報取扱事務の名称

(2)　個人情報取扱事務の目的

(3)　個人情報取扱事務の根拠法令

(4)　個人情報の対象者

(5)　個人情報の内容

(6)　前各号に掲げるもののほか、統括保護管理者が必要と認める事項

2　保護管理者は、前項の規定による届出に係る個人情報取扱事務を廃止し、又は変更しようとするときは、あらかじめ、統括保護管理者に届け出なければならない。

3　前2項の規定にかかわらず、保護管理者は、緊急やむを得ないときは、個人情報取扱事務を開始し、廃止し、又は変更した時以後に届け出ることができる。

第5章　情報システムにおける安全の確保等

(アクセス制御)

第22条　保有個人情報を取り扱う情報システムにアクセスする権限を有する職員の範囲は、必要最小限としなければならない。

2　職員は、業務上の目的以外の目的で保有個人情報を取り扱う情報システムにアクセスしてはならない。

3　情報保護管理者は、保有個人情報(情報システムにおいて取り扱う保有個人情報に限る。第29条を除き、以下この章において同じ。)の内容に応じ、認証機能の設定を行うほか、アクセスを制御するために必要な措置を講ずるものとする。

4　情報保護管理者は、パスワード等の管理に関する定めを整備し、かつ、パスワード等の読取防止を行うために必要な措置を講ずるものとする。

(アクセスの状況に係る記録)

第23条　情報保護管理者は、保有個人情報の内容に応じて、アクセスの状況を記録し、当該記録を一定の期間保存し、及び定期的に分析するために必要な措置を講ずるものとする。

2　情報保護管理者は、アクセスの状況に係る記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講ずるものとする。

(不適切なアクセスの監視)

第24条　情報保護管理者は、保有個人情報への不適切なアクセスを監視するために必要な措置を講ずるものとする。

(管理者の権限による操作範囲)

第25条　情報保護管理者は、情報システムの管理者の権限により操作又は処理ができる範囲を最小限とし、当該権限が不正に窃取されたときの被害の最小化又は市の内部の者による不正な操作若しくは処理の防止のために必要な措置を講ずるものとする。

(外部からの不正なアクセス等による被害の防止)

第26条　情報保護管理者は、保有個人情報を取り扱う情報システムへの外部からの不正なアクセスを防止するため、ファイアウォール(ネットワークにおいて情報システムへの不正な侵入を防御する電子計算機をいう。)の設定による通信経路の制御その他の必要な措置を講ずるものとする。

(不正なプログラムによる情報漏えい等の防止)

第27条　情報保護管理者は、不正なプログラム(電子計算機に対する指令であって、一の結果を得ることができるように組み合わされたもののうち、電子計算機に害悪を及ぼすものをいう。以下同じ。)による情報漏えい等の防止のため、ソフトウェアに関する脆弱性の解消、不正なプログラムの感染への対策その他の必要な措置を講ずるものとする。

(暗号化)

第28条　職員は、取り扱う保有個人情報の内容に応じて、当該保有個人情報を電磁的記録媒体(情報機器に内蔵されているものを含む。)に保存する際は、適切に暗号化を行うものとする。

(入力情報の照合等)

第29条　職員は、保有個人情報の重要度に応じて、当該保有個人情報を入力する原票と入力した内容との照合、当該保有個人情報に係る処理をした前後の内容の確認、既存の保有個人情報との照合その他の必要な措置を講ずるものとする。

(バックアップの作成)

第30条　情報保護管理者は、保有個人情報の重要度に応じ、バックアップ(データの滅失又は毀損に備えて作成するデータの写しをいう。)を作成し、当該保有個人情報を保管するために必要な措置を講ずるものとする。

(情報システム設計書等の管理)

第31条　情報保護管理者は、保有個人情報を取り扱う情報システムの設計書、構成図等の書類について、外部への漏えいの防止のため、当該書類の保管、複製、廃棄等に関し必要な措置を講ずるものとする。

(端末の限定)

第32条　保護管理者は、保有個人情報を取り扱う端末を必要最小限としなければならない。

(端末の盗難等の防止)

第33条　保護管理者は、端末の盗難又は紛失の防止のため、端末の固定、執務室の施錠その他の必要な措置を講ずるものとする。

2　職員は、保護管理者が必要があると認めるときを除き、端末を外部へ持ち出し、又は外部から持ち込んではならない。

(第三者の閲覧防止)

第34条　職員は、端末の使用に当たっては、第三者による閲覧の防止のため、離席時のログオフ(情報システムから切断して利用を終了することをいう。)の徹底その他の必要な措置を講ずるものとする。

(端末への接続制限)

第35条　情報保護管理者は、情報漏えい等の防止のため、記録機能を有する情報機器及び電磁的記録媒体の端末への接続の制限その他の必要な措置を講ずるものとする。

第6章　情報システム室等の安全管理

第36条　情報保護管理者は、ネットワークの基幹機器及び重要な情報システムを設置し当該機器等の管理及び運用を行うための部屋その他の区域(以下この条において「情報システム室等」という。)について次に掲げる措置を講じなければならない。

(1)　情報システム室等に立ち入る権限を有する者の指定

(2)　情報システム室等に立ち入る者の用件の確認

(3)　入場又は退場の状況の記録

(4)　部外者の識別化

(5)　部外者が立ち入る場合の職員の立会い又は監視設備による監視

(6)　外部からの電磁的記録媒体及び情報機器の持込み、利用及び持出しの制限又は検査

2　情報保護管理者は、必要があると認めるときは、情報システム室等の出入口の特定化による入場及び退場の管理の容易化、所在の表示の制限等の措置を講ずるものとする。

3　情報保護管理者は、情報システム室等の入場又は退場の管理に関し必要があると認めるときは、出入口における認証機能の設定、出入口の施錠、警報装置又は監視設備の設置その他の措置を講ずるものとする。

4　情報保護管理者は、情報システム室等において耐震、防火、防水その他の災害に備えるために必要な措置を講ずるものとする。

第7章　保有個人情報の提供

第37条　保護管理者は、法第69条第2項第3号又は第4号の規定に基づき、行政機関等以外の者に保有個人情報を提供する場合において、法第70条の規定に基づき、原則として、提供先と次に掲げる事項を記載した書面(電磁的記録を含む。)を取り交わすとともに、安全確保の措置を要求しなければならない。

(1)　提供先における利用目的

(2)　利用する業務の根拠法令

(3)　利用する記録範囲及び記録項目、利用形態等

2　保護管理者は、前項の安全確保の措置について必要があると認めるときは、提供前又は随時に実地の調査等を実施してその措置状況を記録し、改善要求等の措置を講ずるものとする。

3　保護管理者は、法第69条第2項第3号の規定に基づき、他の行政機関等に保有個人情報を提供する場合において、必要があると認めるときは、法第70条の規定に基づき、前2項の規定を準用して措置を講ずるものとする。

第8章　業務の委託

(保有個人情報取扱業務の委託)

第38条　保有個人情報を取り扱う業務を委託するときは、保有個人情報の適切な管理を行う能力を有する者を選定しなければならない。

2　保有個人情報の取り扱う業務を委託するときは、取扱いを委託する個人情報の範囲は、委託する業務内容に照らして必要最小限でなければならない。

3　保有個人情報を取り扱う業務を委託するときは、当該業務に係る契約書に次に掲げる事項を明記するとともに、委託先における責任者、実施体制その他の必要な事項について書面で確認するものとする。この場合において、特に必要があると認めるときは、あわせて実地検査により確認するものとする。

(1)　秘密保持義務に関する事項

(2)　個人情報の目的外利用の禁止に関する事項

(3)　再委託における条件に関する事項

(4)　個人情報の複製等の制限に関する事項

(5)　個人情報の安全管理措置に関する事項

(6)　情報漏えい等の事案の発生時における対応に関する事項

(7)　委託契約終了後の個人情報の消去及び電磁的記録媒体の返却に関する事項

(8)　法令及び契約に違反した場合における契約解除及び損害賠償責任に関する事項

(9)　契約内容の遵守状況についての定期的報告に関する事項及び委託先における委託された個人情報の取扱状況を把握するための監査等に関する事項(再委託先の監査等に関する事項を含む。)

4　保護管理者は、保有個人情報を取り扱う業務の委託先が当該業務を再委託するときは、委託先を通じて前項の措置を実施させるものとする。

(派遣労働者の派遣を受ける場合の措置)

第39条　保有個人情報の取扱いに係る業務を派遣労働者(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和60年法律第88号)第2条第2号に規定する派遣労働者をいう。)に行わせる場合は、労働者派遣契約書に秘密保持義務等の保有個人情報の取扱いに関する事項を明記するものとする。

第9章　安全確保上の問題への対応

(事案の報告)

第40条　職員は、次の各号に掲げる場合は、直ちに保護管理者にその旨を報告しなければならない。

(1)　情報漏えい等の事案が発生し、又は兆候を把握したとき。

(2)　職員がこの規程に違反している事実又は兆候を把握したとき。

(3)　その他安全確保上で問題となる事案が発生したとき。

2　保護管理者は、前項の規定により報告を受けた場合は、直ちに被害の拡大防止、復旧等のために必要な措置を講ずるものとする。この場合において、当該事案が外部からの不正なアクセス又は不正なプログラムの感染によるものであるときは、直ちに情報保護管理者に報告するものとする。

3　保護管理者は、事案の発生した経緯、被害状況、影響範囲等を調査し、副統括保護管理者及び情報保護管理者に遅滞なく報告するものとする。ただし、特に重大な事案が発生したと認めるときは、直ちに副統括保護管理者及び情報保護管理者に当該事案の内容、経緯、被害状況等を報告しなければならない。

4　副統括保護管理者は、前項の規定による報告を受けたときは、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を統括保護管理者に報告するものとする。

5　統括保護管理者は、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を総括責任者に報告するものとする。

6　総括責任者は、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を市長に報告するものとする。

7　総括責任者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるものとする。

(個人情報保護委員会への報告等)

第41条　情報漏えい等の事案が生じた場合であって、法第68条第1項に規定する報告及び同条第2項に規定する通知を要するときは、速やかに所定の手続を行うとともに、個人情報保護委員会による事案の把握等に協力するものとする。

(公表等)

第42条　総括責任者は、事案の内容、影響等に応じ、事実関係及び再発防止策の公表、当該事案に係る保有個人情報の本人への対応その他の措置を講ずるものとする。

2　総括責任者は、公表を行う事案について、当該事案の内容、経緯、被害状況等を速やかに国、県等の関係機関に報告し、及び情報を提供するものとする。

第10章　監査及び点検の実施

(監査)

第43条　監査責任者は、適切な安全管理措置の実施について検証するため、定期的に、及び必要に応じて監査を行い、その結果を総括責任者に報告するものとする。

(点検)

第44条　保護管理者は、課等における保有個人情報が記録された電磁的記録媒体、保有個人情報の保管方法等について、定期的に、及び必要に応じて点検を行い、その結果を総括責任者及び統括保護管理者に報告するものとする。

2　保護管理者は、職員に前項の点検の実施を指示することができる。

(見直し)

第45条　総括責任者等は、監査及び点検の結果を踏まえ、必要があると認めるときは、安全管理措置の見直し等の措置を講ずるものとする。

第11章　雑則

(その他)

第46条　この規程に定めるもののほか、必要な事項は、市長が定める。

附則

この訓令は、令和5年4月1日から施行する。