○南アルプス市個人番号及び特定個人情報に関する取扱規程

平成27年12月18日

訓令第24号

目次

第1章 総則(第1条―第3条)

第2章 特定個人情報等の取得(第4条―第6条)

第3章 特定個人情報等の利用(第7条・第8条)

第4章 特定個人情報等の保存(第9条・第10条)

第5章 特定個人情報等の提供(第11条―第13条)

第6章 特定個人情報等の削除及び廃棄(第14条)

第7章 安全管理措置

第1節 総則(第15条)

第2節 組織的安全管理措置(第16条―第21条)

第3節 人的安全管理措置(第22条・第23条)

第4節 物理的安全管理措置(第24条―第27条)

第5節 技術的安全管理措置(第28条)

第8章 雑則(第29条・第30条)

附則

第1章 総則

(趣旨)

第1条 この訓令は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)及び南アルプス市個人情報保護条例(平成15年南アルプス市条例第251号。以下「条例」という。)に定めるもののほか、個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いの確保に関し、必要な事項を定めるものとする。

(定義)

第2条 この訓令において使用する用語の意義は、番号法及び条例において使用する用語の例による。

(市の責務)

第3条 市は、番号法その他の個人情報保護に関する法令等を遵守するとともに、実施するあらゆる事業を通じて特定個人情報等の保護に努めるものとする。

第2章 特定個人情報等の取得

(利用目的の特定及び変更)

第4条 市は、特定個人情報等を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定するものとする。

2 市は、利用目的を変更する場合は、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲で行うものとする。

3 市は、利用目的を変更した場合は、変更した利用目的について、本人に通知し、又は公表するものとする。

(取得に際しての利用目的の通知等)

第5条 市は、特定個人情報等を取得した場合は、あらかじめその利用目的を通知又は公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表するものとする。

2 前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式等で作られる記録を含む。)に記載された当該本人の特定個人情報等を取得する場合その他本人から直接書面に記載された当該本人の特定個人情報等を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

3 前2項の規定は、次に掲げる場合については、適用しない。

(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の権利利益を不当に侵害するおそれがあるとき。

(2) 利用目的を本人に通知し、又は公表することにより本市の権利又は正当な利益を侵害するおそれがあるとき。

(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(4) 取得の状況からみて利用目的が明らかであると認められるとき。

(取得の制限)

第6条 市は、番号法第19条各号のいずれかに該当する場合を除き、他人の特定個人情報等を収集してはならない。

2 市は、特定個人情報等を取得するときは、適法かつ適正な方法により行うものとする。

第3章 特定個人情報等の利用

(利用目的外の利用の制限)

第7条 市は、第4条の規定により特定された利用目的の達成のために必要な範囲を超えて特定個人情報等を取り扱わないものとする。

2 前項の規定にかかわらず、次の各号のいずれかに該当する場合は、第4条の規定により特定された利用目的の範囲を超えて特定個人情報等を取り扱うことができるものとする。

(1) 番号法第9条第4項の規定に基づくとき。

(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるとき。

(特定個人情報ファイルの作成の制限)

第8条 市は、番号法第19条第1号から第14号までのいずれかに該当して特定個人情報を提供し、又はその提供を受けることができる場合を除き、個人番号関係事務を処理するために必要な範囲を超えて特定個人情報ファイルを作成しないものとする。

第4章 特定個人情報等の保存

(特定個人情報等の保管)

第9条 市は、番号法第19条各号のいずれかに該当する場合を除き、他人の特定個人情報等を保管してはならない。

(データ内容の正確性の確保)

第10条 市は、第4条の規定により特定された利用目的の達成に必要な範囲内において、特定個人情報等を正確かつ最新の内容に保つよう努めるものとする。

第5章 特定個人情報等の提供

(特定個人情報等の提供)

第11条 市は、番号法第19条各号に該当する場合を除き、特定個人情報等を提供してはならない。

(提供の求めの制限)

第12条 市は、番号法第19条各号のいずれかに該当して特定個人情報の提供を受けることができる場合を除き、他人の個人番号の提供を求めてはならない。

(本人確認)

第13条 市は、本人又はその代理人から個人番号の提供を受けるときは、番号法第16条の規定により本人確認を行うものとする。

第6章 特定個人情報等の削除及び廃棄

(特定個人情報等の削除及び廃棄)

第14条 市は、個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)を処理する必要がなくなった場合で、かつ、所管法令等又は南アルプス市文書管理規程(平成15年南アルプス市訓令第6号。以下「文書管理規程」という。)において定められている保存期間を経過した場合は、個人番号をできるだけ速やかに削除又は廃棄しなければならない。

第7章 安全管理措置

第1節 総則

(特定個人情報等の安全管理)

第15条 市は、特定個人情報等の漏えい、滅失又は毀損の防止その他の特定個人情報等の安全管理のために、第2節から第5節までに定める措置を講ずるものとする。

2 市は、特定個人情報等を取り扱う事務の範囲を明確化し、明確化した当該事務において取り扱う特定個人情報等の範囲を明確にするものとする。

第2節 組織的安全管理措置

(事務取扱責任者)

第16条 前条第2項の規定により定められた事務の取扱いに当たり、事務取扱責任者及び事務取扱担当者を明確にするものとする。

2 事務取扱責任者は、個人番号利用事務等の実施及び電子計算機器管理業務を所管する課の長をもって充てる。

3 事務取扱責任者は、次に掲げる業務を所管する。

(1) 特定個人情報の利用申請の承認及び記録等の管理

(2) 特定個人情報等を取り扱う保管媒体の設置場所の指定及び変更の管理

(3) 特定個人情報等の管理区分及び権限についての設定及び変更の管理

(4) 特定個人情報等の取扱状況の把握

(5) 委託先における特定個人情報等の取扱状況等の監督

(6) 特定個人情報等の安全管理に関する教育・研修の実施

(7) 特定個人情報等管理責任者に対する報告

(8) その他所管部署における特定個人情報等の安全管理に関する事項

(特定個人情報等管理責任者)

第17条 特定個人情報等の安全管理のため、特定個人情報等管理責任者を置く。

2 特定個人情報等管理責任者は、総務部総務課長をもって充てる。

3 特定個人情報等管理責任者は、次に掲げる業務を所管する。

(1) 特定個人情報等の安全管理に関する規程の承認及び周知

(2) 事務取扱責任者からの報告聴取並びに助言及び指導

(3) 特定個人情報等の適正な取扱いに関する事務取扱担当者に対する教育・研修の企画

(4) その他特定個人情報等の安全管理に関する事項

(特定個人情報等総括責任者)

第18条 市は、特定個人情報等の安全管理及び適正な取扱いを総括するため、特定個人情報等総括責任者を置く。

2 特定個人情報等総括責任者は、総務部長をもって充てる。

3 特定個人情報等総括責任者は、次に掲げる業務を所管する。

(1) 特定個人情報等の安全管理及び適正な取扱いに係る総括

(2) 特定個人情報等管理責任者からの報告聴取並びに指導及び助言

(特定個人情報等の記録)

第19条 市は、この訓令に基づく運用状況を確認するため、特定個人情報等の取扱いの記録について、定期に又は随時に分析し、又は記録の改ざん、窃取又は不正な削除を防止するため、次に掲げる記録を一定の期間保存するものとする。

(1) 特定個人情報ファイルの利用及び出力状況の記録

(2) 書類及び媒体等の持出しの記録

(3) 特定個人情報ファイルの削除及び廃棄記録

(4) 削除及び廃棄を委託した場合のこれを証明する記録等

(5) 特定個人情報ファイルを情報システムで取り扱う場合の事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録

(情報漏えい等事案への対応)

第20条 職員等は、情報漏えい等の事案の発生若しくは兆候を把握したとき又はこの訓令に違反している事実又は兆候を把握したときは、速やかに事務取扱責任者に報告するものとする。

2 事務取扱責任者は、前項の報告を受けたときは、特定個人情報等管理責任者に報告するものとする。

3 特定個人情報等管理責任者は、前項による報告の内容を調査し、違反の事実が判明した場合は、遅滞なく特定個人情報等総括責任者に報告するものとする。

4 特定個人情報等総括責任者は、前項の報告を受けたときは、特定個人情報等管理責任者及び事務取扱責任者に対し、必要に応じて、次に掲げる措置を講ずるよう指示するものとする。

(1) 事実関係の調査及び原因の究明

(2) 影響を受ける可能性のある本人への連絡

(3) 個人情報保護委員会及び主務大臣等への報告

(4) 再発防止策の検討及び決定

(5) 事実関係及び再発防止策等の公表

(取扱状況の把握及び安全管理措置の見直し)

第21条 特定個人情報等管理責任者は、特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組むため、特定個人情報等の取扱状況を点検し、安全管理措置の見直しを行い、特定個人情報等総括責任者にその結果を報告するものとする。

2 特定個人情報等総括責任者は、前項の報告を受けたときは、必要に応じて、この訓令による安全管理措置の見直しを行うよう指示するものとする。

第3節 人的安全管理措置

(職員の監督及び教育)

第22条 事務取扱責任者は、特定個人情報等の安全管理のために、事務取扱担当者に対する必要かつ適切な監督及び教育を行うものとする。

(委託先の監督)

第23条 市は、個人番号利用事務等の全部又は一部を委託するときは、委託先において、番号法に基づき本市が果たすべき安全管理措置と同等の措置が講じられているか否かについてあらかじめ確認した上で、原則として委託契約において、特定個人情報等の安全管理について受託者が講ずべき措置を明らかにし、受託者に対する必要かつ適切な監督を行うものとする。

2 前項に規定する委託契約に当たっては、次に掲げる事項を規定しなければならない。

(1) 秘密保持義務に関すること。

(2) 事業所内からの特定個人情報等の持出しの禁止に関すること。

(3) 特定個人情報等の目的外利用の禁止に関すること。

(4) 再委託における条件に関すること。

(5) 情報漏えい事案が発生した場合の委託先の責任に関すること。

(6) 委託契約終了後の特定個人情報等の返却又は廃棄に関すること。

(7) 特定個人情報等を取り扱う従業者の範囲に関すること。

(8) 従業者に対する監督及び教育に関すること。

(9) 前各号に掲げる事項の遵守状況についての報告に関すること。

3 個人番号利用事務等の全部又は一部の委託を受けた者は、当該個人番号利用事務等を再委託する場合は、市長の許諾を得なければならない。

4 市長は、前項の許諾に当たっては、特定個人情報の適切な安全管理が図られることを確認した上で、再委託の諾否を決定しなければならない。

5 市長は、前項の規定による決定をしたときは、委託先が再委託先に対して必要かつ適切な監督を行っているかについて監督するものとする。

第4節 物理的安全管理措置

(特定個人情報等を取り扱う区域の管理)

第24条 市は、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、それぞれ次に掲げる安全管理措置を講ずるよう努めるものとする。

(1) 管理区域 入退室管理及び管理区域へ持ち込む機器等の制限

(2) 取扱区域 壁又は間仕切り等の設置及び事務取扱担当者以外の者の往来が少ない場所又は後ろから覗き見される可能性が低い場所への座席配置等

(機器及び電子媒体等の盗難等の防止)

第25条 市は、管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次に掲げる安全管理措置を講ずるものとする。

(1) 特定個人情報を取り扱う電子媒体又は書類等は、できる限り施錠できるキャビネット又は書庫等に保管すること。

(2) 特定個人情報ファイルを取り扱う機器は、セキュリティワイヤー等により固定すること。

(電子媒体等を持ち出す場合の漏えい等の防止)

第26条 市は、特定個人情報等が記録された電子媒体又は書類等を管理区域又は取扱区域の外に持ち出す場合は、次に掲げる措置を講ずるものとする。

(1) 持出しデータの暗号化及びパスワードを付与する等の保護措置を講じ、かつ、施錠できる搬送容器を使用する。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従うこと。

(2) 特定個人情報等が記載された書類等は、封かんして持ち出すこと。

(個人番号の削除、機器及び電子媒体等の廃棄)

第27条 市は、特定個人情報等が記録された電子媒体又は書類等について、所管法令等又は文書管理規程に定められた保存期間を経過した場合は、個人番号をできるだけ速やかに次に掲げる復元できない手段により削除又は廃棄するものとする。

(1) 特定個人情報等が記録された機器又は電子媒体等にあっては、データ削除専用ソフトウェアを利用し、又は物理的な破壊を行うこと。

(2) 特定個人情報等が記録された書類等にあっては、溶解、復元不可能な程度の細断、又は個人番号部分を復元できない程度のマスキングを行うこと。

(3) 特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合にあっては、データ復元用の専用ソフトウェア、プログラム及び装置等を用いなければ復元できない手段によること。

2 市は、個人番号若しくは特定個人情報ファイルを削除したとき、又は電子媒体等を廃棄したときは、当該削除又は廃棄した記録を保存するものとする。

3 前項の作業を委託する場合は、委託先が確実に削除又は廃棄したことについて、証明書等により確認するものとする。

第5節 技術的安全管理措置

(技術的安全管理措置)

第28条 市は、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行うものとする。

2 市の特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証するものとする。

3 市は、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するため、次に掲げる措置を講ずるものとする。

(1) 市の情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断すること。

(2) 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入すること。

(3) 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とするよう努めること。

(4) ログ等の分析を定期的に行い、不正アクセス等を検知すること。

(5) 情報システムの構成変更(許可されていない電子媒体、機器の接続及びソフトウェアのインストール等をいう。)を防止すること。

4 特定個人情報等をインターネット等により外部に送信する場合は、通信経路の暗号化を行うものとする。

第8章 雑則

(職員の義務)

第29条 職員又は職員であった者は、業務上知り得た特定個人情報等の内容を他人に知らせ、又は不当な目的に使用してはならない。

(その他)

第30条 この訓令に定めるもののほか、必要な事項は、市長が別に定める。

附 則

この訓令は、平成28年1月1日から施行する。

附 則(平成28年3月22日訓令第6号)

この訓令は、平成28年4月1日から施行する。

南アルプス市個人番号及び特定個人情報に関する取扱規程

平成27年12月18日 訓令第24号

(平成28年4月1日施行)

体系情報
南アルプス市規程・要綱集/第3編 執行機関/第1章 長/第4節 行政手続
沿革情報
平成27年12月18日 訓令第24号
平成28年3月22日 訓令第6号