○佐賀市特定個人情報の取扱いに関する管理規程

平成30年11月5日

訓令第7号

(趣旨)

第1条 この訓令は、別に定めがあるもののほか、本市における特定個人情報の適切な管理に関し必要な事項を定めるものとする。

(定義)

第2条 この訓令における用語の意義は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)及び佐賀市個人情報保護条例(平成17年佐賀市条例第20号。以下「条例」という。)で使用する用語の例による。

(特定個人情報総括保護管理者)

第3条 本市における特定個人情報の管理に関する事務を総括させるため、特定個人情報総括保護管理者(以下「総括保護管理者」という。)を置く。

2 総括保護管理者は、企画調整部に属する事務を所管する副市長の職にある者をもって充てる。

(保護管理者等)

第4条 特定個人情報を取り扱う課等(佐賀市事務分掌規則(平成17年佐賀市規則第5号)第2条第1項に規定する課、佐賀市事務分掌条例(平成17年佐賀市条例第11号)第1条第2項に規定する佐賀駅周辺整備構想推進室、佐賀市会計管理者の補助組織に関する規則(平成28年佐賀市規則第75号)第2条第1項に規定する室及び佐賀市支所設置条例(平成17年佐賀市条例第12号)第2条に規定する支所並びにこれらに相当するものをいう。)に、保護管理者を置く。

2 保護管理者は、課等の長をもって充てる。

3 保護管理者は、課等における特定個人情報の管理に関する事務を総括する。

4 保護管理者は、特定個人情報の電子計算機処理を行う場合は、当該処理を行う電子計算機(以下「情報システム」という。)を管理する者と連携して、前項の事務を行う。

5 保護管理者は、特定個人情報を取り扱う者(以下「事務取扱担当者」という。)を指名し、事務取扱担当者一覧表にて管理を行う。

6 保護管理者は、特定個人情報のうち、事務取扱担当者が取り扱う範囲を指定する。

7 保護管理者は、事務取扱担当者の中から保護担当者を指名することができる。

8 保護担当者は、保護管理者を補佐し、課等における特定個人情報の管理に関する事務を行う。

9 保護管理者は、次に掲げる管理体制を整備するものとする。

(1) 事務取扱担当者による特定個人情報の取扱いについて定める法令等の違反(以下「取扱違反」という。)の発生又は兆候を把握した場合の報告連絡体制

(2) 特定個人情報の漏えい、滅失又は毀損(以下「情報漏えい等」という。)の発生又は兆候を把握した場合の報告連絡体制

(3) 特定個人情報を複数の課等で取り扱う場合の各課等の任務分担及び責任の明確化

(4) 情報漏えい等の発生又は兆候を把握した場合の対応体制

(監査責任者)

第5条 本市における特定個人情報の管理の状況についての監査をさせるため、監査責任者を置く。

2 監査責任者は、情報課長の職にある者をもって充てる。

(教育研修)

第6条 総括保護管理者は、保護管理者及び事務取扱担当者に対し、特定個人情報の取扱いについて理解を深め、特定個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を実施するものとする。

2 総括保護管理者は、保護管理者及び保護担当者に対し、課等における特定個人情報の適切な管理のための教育研修を実施するものとする。

3 総括保護管理者は、特定個人情報を取り扱う情報システムの管理に関する事務に従事する者に対し、特定個人情報の適切な管理のため、情報システムの管理、運用及びセキュリティ対策に関し必要な教育研修を行うものとする。

4 保護管理者は、事務取扱担当者に対し、特定個人情報の適切な管理のため、総括保護管理者の実施する教育研修への参加の機会を与える等の必要な措置を講じなければならない。

(事務取扱担当者の責務)

第7条 事務取扱担当者は、番号法及び条例の趣旨にのっとり、関連する法令等の規定並びに総括保護管理者及び保護管理者の指示に従い、特定個人情報を取り扱わなければならない。

(アクセス制限)

第8条 保護管理者は、特定個人情報にアクセス(情報に接する行為をいう。以下同じ。)をする権限(以下「アクセス権限」という。)を有する事務取扱担当者及びその権限の内容を、業務を行う上で必要最小限の範囲に限るものとする。

2 アクセス権限を有しない職員は、特定個人情報にアクセスをしてはならない。

3 事務取扱担当者は、アクセス権限を有する場合であっても、業務上の目的以外の目的で特定個人情報にアクセスをしてはならない。

(複製等の制限)

第9条 保護管理者は、事務取扱担当者が業務上の目的で特定個人情報を取り扱う場合であっても、次に掲げる行為については、当該行為を行うことができる場合を限定し、事務取扱担当者は、保護管理者の指示に従うものとする。

(1) 特定個人情報の複製

(2) 特定個人情報の送信

(3) 特定個人情報が記録されている媒体の外部への送付又は持ち出し

(4) その他特定個人情報の適切な管理に支障を及ぼすおそれのある行為

(訂正)

第10条 事務取扱担当者は、特定個人情報の訂正を行う場合には、保護管理者の指示に従わなければならない。

(取扱状況の記録)

第11条 保護管理者は、特定個人情報の取扱状況を確認する手段を整備し、特定個人情報の利用、保管等の取扱いの状況について記録するものとする。

(個人番号の利用の制限)

第12条 事務取扱担当者は、番号法及び佐賀市個人番号の利用及び特定個人情報の提供に関する条例(平成27年佐賀市条例第21号)に定める事務の処理を行う場合に限り、個人番号を利用するものとする。

(個人番号の提供の求めの制限)

第13条 事務取扱担当者は、個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合その他番号法で定める場合を除き、個人番号の提供を求めてはならない。

(特定個人情報ファイルの作成の制限)

第14条 事務取扱担当者は、個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイルを作成してはならない。

(特定個人情報の提供の制限)

第15条 職員は、番号法第19条各号のいずれかに該当する場合を除き、特定個人情報を提供してはならない。

(特定個人情報の収集又は保管の制限)

第16条 職員は、番号法第19条各号のいずれかに該当する場合を除き、他人の特定個人情報を収集し、又は保管してはならない。

(取扱区域)

第17条 保護管理者は、特定個人情報を取り扱う事務を実施する区域を明確にし、物理的な安全管理措置を講じるものとする。

(業務の委託等)

第18条 個人番号利用事務等の取扱いに係る業務を外部に委託する場合には、保護管理者は、委託先において、番号法に基づき本市が果たすべき措置と同等の措置が講じられるか否かについて、あらかじめ確認するものとする。

2 委託契約を締結する場合においては、契約書等に次に掲げる事項並びに委託先における責任者及び業務従事者の管理及び実施体制、特定個人情報の管理の状況についての検査に関する事項等の必要な事項を明記するものとする。

(1) 特定個人情報に関する秘密保持、目的外利用の禁止等の義務

(2) 再委託の制限又は事前承認等再委託に係る条件に関する事項

(3) 特定個人情報の複製等の制限に関する事項

(4) 情報漏えい等の発生時における対応に関する事項

(5) 委託終了時における特定個人情報の消去及び特定個人情報が記録されている媒体の返却に関する事項

(6) 事務所等からの特定個人情報の持ち出しの禁止に関する事項

(7) 特定個人情報を取り扱う従事者の明確化並びに従事者の監督及び教育に関する事項

(8) 契約内容の遵守状況の報告に関する事項

(9) 委託先に対する実地調査に関する事項

(10) 違反した場合における契約解除、損害賠償責任その他必要な事項

3 保護管理者は、委託先における特定個人情報の管理状況について、年1回以上の定期検査等により確認を行うものとする。

4 委託先において、個人番号利用事務等の取扱いに係る業務が再委託される場合には、保護管理者は、再委託先において特定個人情報の適切な安全管理が図られることを確認した上で再委託の諾否を判断するものとする。

5 保護管理者は、委託先及び再委託先が本市の果たすべき措置と同等の措置を講じるよう必要かつ適切な監督を行うものとする。

6 特定個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等の特定個人情報の取扱いに関する事項を明記するものとする。

(安全確保上の脅威への対応及び再発防止措置)

第19条 取扱違反、情報漏えい等その他の特定個人情報の取扱いに係る安全の確保を脅かす事故の発生又は兆候(以下「安全確保上の脅威」という。)を把握した場合には、その安全確保上の脅威を把握した職員は、直ちに当該特定個人情報を管理する保護管理者に報告するものとする。

2 保護管理者は、安全確保上の脅威を把握した場合には、被害の拡大防止等のために必要な措置を速やかに講じるものとする。ただし、外部からの不正なアクセス又は不正なプログラムの感染が疑われる情報システムを構成する端末又はサーバのLANケーブルを抜く措置その他の被害拡大防止のため直ちに行い得る措置については、直ちに行う(職員に行わせることを含む。)ものとする。

3 保護管理者は、安全確保上の脅威を把握した場合には、経緯、被害状況等を調査し、総括保護管理者に報告するものとする。ただし、特に重大と認める安全確保上の脅威を把握した場合には、直ちに総括保護管理者にその内容について報告するものとする。

4 総括保護管理者は、前項の規定による報告を受けた場合には、安全確保上の脅威の内容等に応じ、その内容、経緯、被害状況等を市長に速やかに報告するものとする。

5 保護管理者は、安全確保上の脅威の原因を分析し、再発防止のために必要な措置を講じるものとする。

(公表等)

第20条 総括保護管理者は、前条の規定による安全確保上の脅威及び再発防止措置について、その内容、影響等に応じ、事実関係及び再発防止策の公表、特定個人情報の本人への対応等の措置を講じるものとする。

(監査)

第21条 監査責任者は、特定個人情報の適切な管理を検証するため、本市における特定個人情報の管理の状況について、定期又は随時に監査(外部監査を含む。以下同じ。)を行い、その結果を総括保護管理者に報告するものとする。

(点検)

第22条 保護管理者は、課等における特定個人情報の記録媒体、処理経路、保管方法等について、定期又は随時に点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告するものとする。

(評価及び見直し)

第23条 総括保護管理者及び保護管理者は、監査又は点検の結果等を踏まえ、特定個人情報の適切な管理のための措置について実効性等の観点から評価し、必要があると認めるときは、その見直し等の措置を講じるものとする。

(補則)

第24条 この訓令に定めるもののほか、必要な事項は、別に定める。

附 則

この訓令は、公布の日から施行する。

佐賀市特定個人情報の取扱いに関する管理規程

平成30年11月5日 訓令第7号

(平成30年11月5日施行)