○福津市特定個人情報の取扱いに関する管理規程
平成29年3月1日
訓令第1号
目次
第1章 総則(第1条―第3条)
第2章 管理体制(第4条―第6条)
第3章 職員の責務(第7条―第9条)
第4章 特定個人情報の取扱い(第10条―第18条)
第5章 情報システムにおける安全の確保等(第19条―第27条)
第6章 業務の委託等(第28条)
第7章 安全確保上の問題への対応(第29条)
第8章 点検及び監査等の実施(第30条)
附則
第1章 総則
(目的)
第1条 この訓令は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)に基づき、福津市が保有する特定個人情報を適切に取り扱うため、必要な事項を定める。
(適用の範囲)
第2条 市の保有する特定個人情報及び特定個人情報ファイルの取扱いは、番号法、福津市個人情報保護条例(平成17年福津市条例第10号)及びこの訓令の定めるところによる。
(1) 個人情報 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(2) 個人番号 番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう(同法第2条第6項及び第7項、同法第8条並びに第51条並びに同法附則第3条第1項から第3項まで及び第5項における個人番号)。
(3) 特定個人情報 個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第7条第1項及び第2項、同法第8条並びに第51条並びに同法附則第3条第1項から第3項まで及び第5項を除く。)をその内容に含む個人情報をいう。
(4) 個人情報ファイル 個人情報保護法第2条第1項に規定する個人情報を含む情報の集合物であって、次に掲げるものをいう。
イ 特定の個人情報について電子計算機を用いて検索することができるようにする体系的に構成したもの
ロ イに掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして個人情報の保護に関する法律施行令(平成15年政令第507号)で定めるもの
(5) 特定個人情報ファイル 個人番号をその内容に含む個人情報ファイルをいう。
(6) 情報照会者 番号法別表第2の第1欄に掲げる者(法令の規定により同表の第2欄に掲げる事務の全部又は一部を行うこととされている者がある場合にあっては、その者を含む。)をいう。
(7) 情報提供者 番号法別表第2の第3欄に掲げる者(法令の規定により同表の第4欄に掲げる特定個人情報の利用又は提供に関する事務の全部又は一部を行うこととされている者がある場合にあっては、その者を含む。)をいう。
(8) 個人番号利用事務 番号法第9条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。
(9) 個人番号関係事務 番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(10) 個人番号利用事務等 個人番号利用事務又は個人番号関係事務をいう。
(11) 個人番号利用事務実施者 個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう。
(12) 個人番号関係事務実施者 個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。
(13) 個人番号利用事務等実施者 個人番号利用事務実施者又は個人番号関係事務実施者をいう。
第2章 管理体制
(総括責任者)
第4条 市長は、各課における保有特定個人情報の管理に関する事務を総括させるために、総括責任者を置く。
2 総括責任者は、副市長の職にある者をもって充てる。
(取扱責任者及び取扱担当者)
第5条 保有特定個人情報を取り扱う各課に、取扱責任者を置き、必要がある場合は、取扱担当者を置くことができる。
2 取扱責任者は、事務を主管する所属課長をもって充てる。
3 取扱責任者は、保有特定個人情報の適切な管理を確保する任に当たる。保有特定個人情報を情報システムで取り扱う場合、システム管理者(第6条に規定する「システム管理者」をいう。)と連携して、その任に当たる。
4 取扱責任者は、保有特定個人情報を取り扱う職員(期間業務非常勤職員等を含む。以下同じ。)及び当該職員が取り扱う保有特定個人情報の範囲を指定する。
5 取扱責任者は、次に掲げる組織体制を整備する。
(1) 特定個人情報取扱者がこの訓令等に違反している事実又は兆候を把握した場合の報告連絡体制
(2) 特定個人情報の漏えい、滅失又は毀損等(以下「情報漏えい等」という。)事案の発生又は兆候を把握した場合の報告連絡体制
(3) 特定個人情報を複数の所属で取り扱う場合の各所属の役割分担及び責任の明確化
(4) 特定個人情報の情報漏えい等の事案の発生又は兆候を把握した場合の対応体制
6 取扱担当者は、取扱責任者を補佐し、各課における保有特定個人情報の管理に関する事務を担当するものとする。
(システム管理者)
第6条 情報システムを管理する課にシステム管理者を置く。
2 システム管理者は、情報化推進課長の職にある者をもって充てる。
3 システム管理者は、保有特定個人情報のうち情報システムで取り扱うものについての安全の確保等について必要な措置を講ずるものとする。
第3章 職員の責務
(総括責任者の責務)
第7条 総括責任者は、特定個人情報等が適正に取り扱われるよう、取扱責任者に対して必要、かつ、適切な監督を行うものとする。
2 統括責任者は、取扱責任者及び事務担当者に対し、特定個人情報等の適正な取扱い及び管理に必要な教育研修を行うものとする。
(取扱責任者の責務等)
第8条 取扱責任者は、特定個人情報等が適正に取り扱われるよう、当該課の職員に対して必要、かつ、適切な監督を行うものとする。
2 取扱責任者は、当該課の職員に対し、保有特定個人情報の適切な管理のために、総括責任者の実施する教育研修への参加の機会を与える等の必要な措置を講ずるものとする。
(職員の責務)
第9条 職員は、福津市個人情報保護条例及び番号法の趣旨に則り、関連する法令及び訓令等の定め並びに総括責任者、取扱責任者及び取扱担当者の指示に従い、保有特定個人情報を取り扱わなければならない。
2 職員は、保有特定個人情報の情報漏えい等の事案の発生又は兆候を把握した場合及び職員がこの訓令等に違反している事実又は兆候を把握した場合は、速やかに取扱責任者に報告しなければならない。
3 総括責任者及び取扱責任者は、保有特定個人情報がこの訓令等に基づき適正に取り扱われるよう、職員に対する必要かつ適切な監督を行うものとする。
第4章 特定個人情報の取扱い
(特定個人情報の利用)
第10条 特定個人情報の利用は、事務において必要最小限の範囲で行うものとし、取扱責任者は、そのために必要な措置を講ずるものとする。
2 利用権限を有しない職員は、保有特定個人情報にアクセスしてはならない。
3 職員は、利用権限を有する場合であっても、業務上の目的以外の目的で保有特定個人情報を利用してはならない。
4 職員は、業務上の目的で特定個人情報を取り扱う場合であっても、次に掲げる行為については、取扱責任者の承認を得た上で行うものとする。
(1) 保有特定個人情報の複製
(2) 保有特定個人情報の送信
(3) 保有特定個人情報が記録されている媒体の外部への送付又は持出し
(4) その他保有特定個人情報の適切な管理に支障を及ぼすおそれのある行為
(訂正)
第11条 職員は、保有特定個人情報の内容に誤り等を発見した場合には、取扱責任者の指示に従い、訂正等を行うものとする。
(特定個人情報の保存・管理)
第12条 職員は、取扱責任者の指示に従い、保有特定個人情報が記録されている機器、電子媒体、書類等を施錠できるキャビネット又は書庫等に保管を行うものとする。
(特定個人情報の削除・廃棄)
第13条 職員は、保有特定個人情報又は保有特定個人情報が記録されている文書及び電子媒体が不要となった場合には、取扱責任者の指示に従い、容易に復元できない方法により当該情報の消去又は当該媒体の廃棄を適切に行うものとする。
2 当該情報の消去又は当該媒体の廃棄をした場合には、削除又は廃棄した記録を保存しなければならない。これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認しなければならない。
(個人番号の利用の制限)
第14条 取扱責任者は、個人番号の利用に当たり、番号法に定められた事務に限るものとする。
(特定個人情報の提供の求めの制限)
第15条 職員は、個人番号利用事務等を処理するために必要な範囲を超えて、本人又は他の個人番号利用事務等実施者に対し個人番号の提供を求めてはならない。
(特定個人情報ファイルの作成の制限)
第16条 個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイルを作成してはならない。
(特定個人情報の収集・保管の制限)
第17条 番号法第19条各号のいずれかに該当する場合を除き、特定個人情報を収集又は保管してはならない。
(取扱区域)
第18条 取扱責任者は、保有特定個人情報を取り扱う事務を実施する区域を明確にし、物理的な安全管理措置を講じなければならない。
2 システム責任者は、サーバ室を管理するに当たり次の各号に掲げる措置を講ずるものとする。
(1) 入退室の管理
イ 入室する権限を有する者の指定等
ロ 入退室の記録
ハ 用件の確認
ニ 部外者が入室する場合における職員の立会い
(2) サーバ室の管理
外部からの不正な侵入を防止するための施錠装置の設置等
第5章 情報システムにおける安全の確保等
(アクセス制御)
第19条 保有特定個人情報の秘匿性及びその内容に応じて、当該保有特定個人情報にアクセスする権限を有する職員及びその権限を、業務を行う上で必要最小限の範囲に限るものとする。
2 保有特定個人情報にアクセスする権限を有しない職員は、保有特定個人情報にアクセスしてはならない。
3 職員は、保有特定個人情報にアクセスする権限を有する場合であっても、業務上の目的以外の目的で保有特定個人情報にアクセスしてはならない。
4 システム管理者は、ユーザーID、パスワード、磁気カード、ICカード又は生体情報等の識別方法により、事務担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証するために必要な措置を講じなければならない。
(アクセス記録)
第20条 システム管理者は、保有特定個人情報へのアクセス状況を記録し、その記録を一定の期間保存し、定期に又は随時に分析するために必要な措置を講ずるものとする。また、アクセス記録の改ざん、窃取又は不正な削除の防止のために必要な措置を講ずるものとする。
(外部からの不正アクセスの防止)
第21条 システム管理者は、保有特定個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定による経路制御等の必要な措置を講じなければならない。
(暗号化)
第22条 システム管理者は、保有特定個人情報の秘匿性等その内容に応じて、暗号化のために必要な措置を講じなければならない。
2 職員は、前項の規定を踏まえ、その処理する保有特定個人情報について、当該保有特定個人情報の秘匿性等その内容に応じて、適切に暗号化を行わなければならない。
(情報システム設計書等の管理)
第23条 取扱責任者は、保有特定個人情報に係る情報システムの設計書、構成図等の文書について外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講ずるものとする。
(端末の盗難防止等)
第24条 システム管理者は、端末の盗難又は紛失の防止のため、端末の固定、執務室の施錠等の必要な措置を講ずるものとする。
2 職員は、取扱責任者が必要があると認めるときを除き、端末を外部へ持ち出し、又は外部から持ち込んではならない。
(第三者の閲覧防止)
第25条 職員は、端末の使用に当たり、保有特定個人情報が第三者に閲覧されることがないよう、必要な措置を講ずるものとする。
(記録機能を有する機器・媒体の接続制限)
第26条 システム管理者は、保有特定個人情報の秘匿性等その内容に応じて、当該保有個人情報等の情報漏えい等の防止のため、外部記録機能を有する機器・媒体の情報システム端末等への接続の制限等の必要な措置を講ずるものとする。
(記録機能を有する媒体・書類の移送手段)
第27条 この訓令等の手続に基づき、特定個人情報が記録された電子媒体又は書類等を持ち出す必要が生じた場合には、容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講ずるものとする。
第6章 業務の委託等
(業務の委託等)
第28条 保有特定個人情報の取扱いに係る業務を外部に委託する場合には、特定個人情報の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置を講ずるものとする。また、契約書に、次に掲げる事項を明記するとともに、委託先における責任者及び業務従事者の管理及び実施体制、特定個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認しなければならない。
(1) 特定個人情報に関する秘密保持、目的外利用の禁止等の義務
(2) 再委託の制限又は事前承認等再委託に係る条件に関する事項
(3) 特定個人情報の複製等の制限に関する事項
(4) 保有特定個人情報の情報漏えい等の事案の発生時における対応に関する事項
(5) 委託終了時における特定個人情報の消去及び媒体の返却に関する事項
(6) 違反した場合における契約解除、損害賠償責任その他必要な事項
2 個人番号利用事務等の全部又は一部を委託する場合には、委託先において、番号法に基づき市が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。
3 個人番号利用事務等の全部又は一部の委託をする際には、委託を受けた者において、福津市が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行うものとする。
5 個人番号利用事務等の全部又は一部の委託を受けた者が再委託をする際には、委託をする個人番号利用事務等において取り扱う特定個人情報の適切な安全管理が図られることを確認した上で再委託の諾否を判断しなければならない。
6 保有特定個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等特定個人情報の取扱いに関する事項を明記しなければならない。
第7章 安全確保上の問題への対応
(事案の報告及び再発防止措置)
第29条 保有特定個人情報の情報漏えい等の事案の発生又は兆候を把握した場合及び職員がこの訓令等に違反している事実又は兆候を把握した場合等、安全確保上で問題となる事案が発生した場合に、その事実を知った職員は、直ちに当該保有特定個人情報を管理する取扱責任者に報告する。この場合において、情報漏えい等が外部からの不正アクセスや不正プログラムの感染によるものであるときには、取扱責任者は、システム管理者に報告しなければならない。
2 取扱責任者は、被害の拡大防止又は復旧等のために必要な措置を速やかに講ずるものとする。
3 取扱責任者は、事案の発生した経緯、被害状況等を調査し、総括責任者に報告する。ただし、特に重大と認める事案が発生した場合には、直ちに総括責任者に当該事案の内容等について報告しなければならない。
4 総括責任者は、前項の規定に基づく報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を市長に速やかに報告するとともに関係機関に報告しなければならない。
5 取扱責任者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるものとする。
6 統括責任者は、情報漏えい等が発生した事案について、その事実関係及び再発防止に向けた対策を公表するものとする。
第8章 点検及び監査等の実施
(取扱状況の把握及び安全管理措置の見直し)
第30条 取扱責任者は、必要に応じて特定個人情報等の取扱状況について、自ら行う点検又は他の課局等の長による監査を実施し、統括責任者に報告しなければならない。
2 取扱責任者は、前項に定める点検等の結果に基づき、安全管理措置の評価、見直し及び改善に取り組むものとする。
3 統括責任者は、第1項に定める報告を踏まえ、必要があると認めるときは、この訓令の見直し等の措置を講ずるものとする。
附則
この訓令は、平成29年3月1日から施行する。
附則(平成31年3月29日訓令第4号)
この訓令は、平成31年4月1日から施行する。
附則(令和2年3月10日訓令第4号)
この訓令は、令和2年4月1日から施行する。