○酒々井町が保有する特定個人情報の適正な取扱いに関する規程

平成29年8月1日

訓令第5号

目次

第1章 総則(第1条―第6条)

第2章 保有特定個人情報の取扱い(第7条―第17条)

第3章 情報システムにおける安全の確保等(第18条―第31条)

第4章 サーバ室等の安全管理(第32条・第33条)

第5章 保有特定個人情報の提供及び業務の委託等(第34条・第35条)

第6章 安全確保上の問題への対応(第36条・第37条)

第7章 監査及び点検の実施(第38条―第40条)

第8章 その他(第41条―第43条)

附則

第1章 総則

(目的)

第1条 この訓令は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく個人番号の利用及び特定個人情報の提供に関する条例(平成27年酒々井町条例第27号。以下「番号利用条例」という。)及び酒々井町個人情報保護条例(平成16年酒々井町条例第11号。以下「個人情報保護条例」という。)の規定に基づき、酒々井町(以下「本町」という。)の保有する特定個人情報の適切な管理のために必要な措置を定めることにより、当該特定個人情報の漏えい、滅失又は毀損(以下「情報漏えい等」という。)を防止し、適正な管理を図ることを目的とする。

(定義)

第2条 この訓令で使用する用語の意義は、番号法、個人情報保護条例及び本町情報セキュリティポリシーで使われる用語の例による。

(適用範囲)

第3条 この訓令が適用される行政機関は、町長(水道事業管理者の権限を行う町長を含む。)、教育委員会、選挙管理委員会、監査委員、農業委員会、固定資産評価審査委員会及び議会とする。

(管理体制)

第4条 本町の特定個人情報の管理体制は、次のとおりとする。

最高安全管理統括責任者

(1) 最高安全管理統括責任者は、副町長をもって充てる。

(2) 最高安全管理統括責任者は、本町が保有する保有個人情報及び個人番号(以下「特定個人情報」という。)の管理に関するに最終決定権限及び責任を有する。

(3) 最高安全管理統括責任者は、特定個人情報の管理に係る重要事項の決定、連絡調整等を行うため必要があると認める場合に、特定個人情報安全管理委員会を招集する。

安全管理統括責任者

(1) 安全管理統括責任者は、総務課長をもって充てる。

安全管理統括責任者は、最高安全管理統括責任者を補佐しなければならない。

(2) 安全管理統括責任者は、次に掲げる事務を行う任に当たる。

ア 保有する特定個人情報についての安全の確保等について統括的な権限及び責任を有する。

イ 各所属が保有する特定個人情報を把握するとともに、各所属が実施している安全管理措置に関する指導及び助言を行うこと。

ウ 保有する特定個人情報を取り扱うネットワークにおける開発、設定の変更、運用、見直し等を行なう権限及び責任を有する。

エ 保有する特定個人情報に対する侵害が発生した場合又は侵害のおそれのある場合に、最高安全管理統括責任者の指示に従い、最高安全管理統括責任者が不在の場合には、自らの判断に基づき、必要かつ十分な措置を行なう権限及び責任を有する。

オ 緊急時等の円滑な情報共有を図るため、最高安全管理統括責任者、安全管理統括責任者、特定個人情報管理者及び情報セキュリティ担当者を網羅する連絡体制を整備しなければならない。

カ 保有特定個人情報の情報漏えい等の事案に係る連絡調整、再発防止のための措置等の対応を行なわなければならない。

キ 所有している情報システムについて、特定個人情報の取扱いに関する管理規程の遵守に関する意見の集約及び職員(職員、非常勤職員及び臨時職員をいう。以下同じ。)に対する教育、訓練、助言及び指示を行なわなければならない。

特定個人情報管理者

(1) 特定個人情報管理者は、特定個人情報を取り扱う事務を所掌する所属の長をもって充てる。

(2) 特定個人情報管理者は、所管組織が保有する特定個人情報の安全管理に関する統括的な権限及び責任を有する。

(3) 特定個人情報管理者は、所管組織が保有する特定個人情報を取り扱う情報システムにおける開発、設定の変更、運用、見直し等を行う統括的な権限及び責任を有する。

(4) 特定個人情報管理者は、情報システムで取り扱う特定個人情報についての安全の確保等について必要な措置を講じなければならない。

(5) 特定個人情報管理者は、事務取扱担当者が取り扱う特定個人情報の範囲を明確にし、特定個人情報の取扱いに関する実施手順を定めなければならない。

(6) 特定個人情報管理者は、その所管する課等において所有している特定個人情報について、緊急時等における連絡体制の整備、特定個人情報の安全管理に関する意見の集約及び職員に対する教育、訓練、助言及び指示を行う。

(7) 特定個人情報管理者は、所管する課等において所有している特定個人情報を取り扱う情報システムにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。

(8) 特定個人情報管理者は、所管する課等において所有している特定個人情報を取り扱う情報システムにおける情報セキュリティに関する権限及び責任を有する。

(9) 特定個人情報管理者は、所管する情報システムに係る特定個人情報の安全管理実施手順の維持・管理を行う。

監査責任者

(1) 責任者を一人置くこととし、総務課長をもって充てる。

(2) 責任者は、保有特定個人情報の管理の状況について監査する任に当たる。

事務取扱担当者

(1) 事務取扱担当者は、関連する法令等並びに安全管理統括責任者及び特定個人情報管理者の指示に従い、特定個人情報を適正に取り扱わなければならない。

特定個人情報安全管理委員会

(1) 最高安全管理統括責任者は、本町が保有する特定個人情報の管理に係る重要事項の審議、連絡・調整等を行うため必要があると認めるときは、最高安全管理統括責任者、安全管理統括責任者、特定個人情報管理者を構成員とする特定個人情報安全管理委員会を設け、定期に又は随時に開催する。

特定個人情報管理者が整備する組織体制等

(1) 特定個人情報管理者は、次に掲げる組織体制を整備する。

ア 特定個人情報の情報漏えい等の事案の発生又は兆候を把握した場合の職員から責任者等への報告連絡体制

イ 特定個人情報を複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化

ウ 特定個人情報の情報漏えい等の事案の発生又は兆候を把握した場合の対応体制

特定個人情報の安全管理に関する統一的な窓口の設置

(1) 最高安全管理統括責任者は、特定個人情報の安全管理に関する事故の統一的な窓口の機能を有する組織を整備し、情報セキュリティに関する事故について課等により報告を受けた場合には、その状況を確認し、自らへの報告が行われる体制を整備しなければならない。

(2) 最高安全管理統括責任者による特定個人情報の安全管理に関する戦略の意思決定が行われた際には、その内容を関係課等に提供しなければならない。

(3) 特定個人情報に係る情報セキュリティ事故を認知した場合には、その重要度や影響範囲等を勘案し、マスコミへの通知・公表対応を行わなければならない。

(教育研修)

第5条 最高安全管理統括責任者は、保有特定個人情報の取扱いに従事する職員に対し、保有特定個人情報の取扱いについて理解を深め、特定個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。

2 最高安全管理統括責任者は、保有特定個人情報を取り扱う情報システムの管理に関する事務に従事する職員に対し、保有特定個人情報の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行う。

3 特定個人情報管理者は、当該課室等の職員に対し、保有特定個人情報の適切な管理のために、最高安全管理統括責任者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。

4 特定個人情報管理者は特定個人情報が管理規程等(番号法、番号利用条例、特定個人情報の安全管理規程、実施手順、個人情報保護条例その他関連する法令及び規程をいう。以下同じ。)に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。

5 前4項の措置を講ずる場合には、保有特定個人情報の取扱いに従事する派遣労働者についても、職員と同様の措置を講ずる。

(職員の責務)

第6条 職員は、管理規程等の定め並びに最高安全管理統括責任者、安全管理統括責任者及び特定個人情報管理者の指示に従い、保有特定個人情報を取り扱わなければならない。

2 職員は、情報漏えい等の事案の発生又は兆候を把握した場合又は事務取扱担当者が管理規程等に違反している事実若しくは兆候を把握した場合は、速やかに特定個人情報管理者に報告しなければならない。

第2章 保有特定個人情報の取扱い

(アクセス制限)

第7条 特定個人情報管理者は、保有特定個人情報の秘匿性等その内容に応じて、当該保有特定個人情報にアクセスする権限を付与する者をその利用目的を達成するために必要最小限の職員に限らなければならない。

2 アクセス権限を有しない職員は、保有特定個人情報にアクセスしてはならない。

3 職員は、アクセス権限を有する場合であっても、業務上の目的以外の目的で保有特定個人情報にアクセスしてはならない。

4 職員は、異動、退職等により特定個人情報を取り扱う事務を離れた場合には、当該特定個人情報にアクセスしてはならない。

(複製等の制限)

第8条 職員は、業務上の目的で保有特定個人情報を取り扱う場合であっても、次に掲げる行為については、特定個人情報管理者の指示に従い行う。

(1) 保有特定個人情報の複製

(2) 保有特特定個人情報の送信

(3) 保有特定個人情報が記録されている媒体の外部への送付又は持出し

(4) その他保有特定個人情報の適切な管理に支障を及ぼすおそれのある行為

(誤りの訂正等)

第9条 職員は、保有特定個人情報の内容に誤り等を発見した場合には、特定個人情報管理者の指示に従い、訂正等を行う。

(媒体の管理等)

第10条 職員は、特定個人情報管理者の指示に従い、保有特定個人情報が記録されている媒体(紙媒体を含む)を定められた場所に、原則として施錠した上で保管する。

(廃棄等)

第11条 職員は、特定個人情報が記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合には、特定個人情報管理者の承認を得た上で、安全管理統括責任者の指示に従い、当該保有特定個人情報の復元又は判読が不可能な方法により当該情報の削除又は当該媒体の廃棄を行う。

2 消去又は廃棄を委託する場合には、委託先が確実に消去又は廃棄を行ったことについて証明書等を記録し、確認する。

(保有特定個人情報の取扱状況の記録)

第12条 特定個人情報管理者は、特定個人情報ファイルの取扱状況を確認する手段を整備して、当該特定個人情報の利用、保管、提供及び廃棄等の取扱状況について記録し、定期又は随時に確認するとともに、記録の改ざん、窃取又は不正な削除の防止のために必要な措置を講ずる。

(個人番号の利用の制限)

第13条 個人番号の利用は、番号法があらかじめ限定的に定めた事務に限定する。

(特定個人情報の提供の求めの制限)

第14条 職員は、個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合その他番号法で定める場合を除き、個人番号の提供を求めてはならない。

(特定個人情報ファイルの作成の制限)

第15条 職員は、個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイルを作成してはならない。

(特定個人情報の収集・保管の制限)

第16条 職員は、番号法第19条各号のいずれかに該当する場合を除き、他人の個人番号を含む個人情報を収集又は保管してはならない。

(取扱区域)

第17条 安全管理統括責任者及び特定個人情報管理者は、特定個人情報を取り扱う事務を実施する区域を明確にし、物理的な安全管理措置を講ずる。

第3章 情報システムにおける安全の確保等

(アクセス制御)

第18条 安全管理統括責任者及び特定個人情報管理者は、保有特定個人情報(情報システムにおいて取り扱うものに限る。以下この章(第21条を除く。)において同じ。)の秘匿性等その内容に応じて、パスワード等(パスワード、ICカード、生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講ずる。

2 安全管理統括責任者及び特定個人情報管理者は、前項の措置を講ずる場合には、パスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。)、パスワード等の読取防止等を行うために必要な措置を講ずる。

(アクセス記録)

第19条 安全管理統括責任者及び特定個人情報管理者は、特定個人情報へのアクセス状況を記録し、その記録(以下「アクセス記録」という。)を一定の期間保存し、定期又は随時に分析するために必要な措置を講ずるとともに、アクセス記録の改ざん、窃取又は不正な削除の防止のために必要な措置を講ずる。

(アクセス状況の監視)

第20条 安全管理統括責任者及び特定個人情報管理者は、特定個人情報への不適切なアクセスの監視のために必要な措置を講ずる。

(管理者権限の設定)

第21条 安全管理統括責任者及び特定個人情報管理者は、情報システム担当者の権限を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため、当該権限を最小限とする等の必要な措置を講ずる。

(外部からの不正アクセスの防止)

第22条 安全管理統括責任者及び特定個人情報管理者は、特定個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定による経路制御等の必要な措置を講ずる。

(不正プログラムによる漏えい等の防止)

第23条 安全管理統括責任者及び特定個人情報管理者は、不正プログラムによる保有特定個人情報の情報漏えい等の防止のため、不正プログラムの感染防止等に必要な措置を講ずる。

(暗号化)

第24条 安全管理統括責任者及び特定個人情報管理者は、保有特定個人情報の秘匿性等その内容に応じて、その暗号化のために必要な措置を講ずる。

(入力情報の照合等)

第25条 職員は、情報システムで取り扱う特定個人情報の重要度に応じて、入力原票と入力内容との照合、処理前後の当該特定個人情報の内容の確認、既存の保有特定個人情報との照合等を行う。

(バックアップ)

第26条 安全管理統括責任者及び特定個人情報管理者は、保有特定個人情報の重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講ずる。

(情報システム設計書等の管理)

第27条 安全管理統括責任者及び特定個人情報管理者は、保有特定個人情報に係る情報システムの設計書、構成図等の文書について外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講ずる。

(端末の限定)

第28条 安全管理統括責任者及び特定個人情報管理者は、保有特定個人情報の秘匿性等その内容に応じて、その処理を行う端末を限定するために必要な措置を講ずる。

(端末の盗難防止等)

第29条 安全管理統括責任者及び特定個人情報管理者は、端末の盗難又は紛失の防止のため、端末の固定、執務室の施錠等の必要な措置を講ずる。

2 職員は、最高安全管理統括責任者が必要と認めるときを除き、端末を外部へ持ち出し、又は外部から持ち込んではならない。

(第三者の閲覧防止)

第30条 職員は、端末の使用に当たっては、保有特定個人情報が第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行う又は離席時に端末をロックする等の必要な措置を講ずる。

(記録機能を有する機器・媒体の接続制限)

第31条 安全管理統括責任者及び特定個人情報管理者は、保有特定個人情報の秘匿性等その内容に応じて、当該保有特定個人情報の情報漏えい等の防止のため、スマートフォン、USBメモリ等の記録機能を有する機器・媒体の情報システム端末等への接続の制限(当該機器の更新への対応を含む。)等の必要な措置を講ずる。

第4章 サーバ室等の安全管理

(入退管理)

第32条 安全管理統括責任者及び特定個人情報管理者は、保有特定個人情報を取り扱う基幹的なサーバ等の機器を設置する室その他の区域(以下「サーバ室等」という。)に立ち入る権限を有する者を定めるとともに、用件の確認、入退の記録、部外者についての識別化、部外者が立ち入る場合の職員の立会い又は監視設備による監視、外部電磁的記録媒体等の持込み、利用及び持ち出しの制限又は検査等の措置を講ずる。また、特定個人情報を記録する媒体を保管するための施設を設けている場合においても、必要があると認めるときは、同様の措置を講ずる。

2 安全管理統括責任者及び特定個人情報管理者は、必要があると認めるときは、サーバ室等の出入口の特定化による入退の管理の容易化、所在表示の制限等の措置を講ずる。

3 安全管理統括責任者及び特定個人情報管理者は、サーバ室等及び保管施設の入退の管理について、必要があると認めるときは、立入りに係る認証機能を設定する等必要な措置を講ずる。

(サーバ室等の管理)

第33条 安全管理統括責任者及び特定個人情報管理者は、外部からの不正な侵入に備え、サーバ室等に施錠装置、警報装置、監視設備の設置等の措置を講ずる。

2 安全管理統括責任者及び特定個人情報管理者は、災害等に備え、サーバ室等に、耐震、防火、防煙、防水等の必要な措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の措置を講ずる。

第5章 保有特定個人情報の提供及び業務の委託等

(保有特定個人情報の提供)

第34条 特定個人情報管理者は、番号法で限定的に明記された場合を除き、特定個人情報を提供してはならない。

(業務の委託等)

第35条 特定個人情報管理者は保有特定個人情報の取扱いに係る業務を外部に委託する場合には、特定個人情報の適切な管理を行う能力を有しない者を選定することがないよう、ISMS認証の取得や財務状況を確認する等の必要な措置を講ずる。

2 特定個人情報管理者は保有特定個人情報の取扱いに係る業務を外部に委託する場合には、契約書に、次に掲げる事項を明記する。

(1) 特定個人情報に関する秘密保持義務

(2) 事業所内からの特定個人情報の持出しの禁止

(3) 特定個人情報の目的外利用の禁止

(4) 再委託の制限又は事前承認等再委託に係る条件に関する事項

(5) 情報漏えい等の事案の発生時における委託先の対応に関する事項

(6) 委託終了時における特定個人情報の返却又は廃棄に関する事項

(7) 特定個人情報を取り扱う従業員の管理

(8) 従業者に対する監督・教育

(9) 契約内容の遵守状況の報告義務及び調査に関する事項

(10) 特定個人情報の複製等の制限に関する事項

(11) 違反した場合における契約解除、損害賠償責任その他必要な事項

3 特定個人情報管理者は、保有特定個人情報の取扱いに係る業務を外部に委託する場合には、委託先において、番号法に基づき本町が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認するとともに、本町が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行う。

4 特定個人情報の取扱いに係る業務の委託を受けた者が再委託をする際には、再委託先において取り扱う特定個人情報の適切な安全管理が図られることを確認した上で再委託の諾否を判断しなければならない。再委託先が再々委託を行う場合以降も同様とする。

5 保有特定個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には、特定個人情報管理者は、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記しなければならない。

第6章 安全確保上の問題への対応

(事案の報告及び再発防止措置)

第36条 保有特定個人情報の情報漏えい等の事案の発生又は兆候を把握した場合及び事務取扱担当者が管理規程等に違反している事実又は兆候を把握した場合等、安全確保上で問題となる事案が発生した場合に、その事実を知った職員は、速やかに当該保有特定個人情報を管理する特定個人情報管理者に報告する。

2 特定個人情報管理者は、被害の拡大防止又は復旧等のために必要な措置を講ずる。

3 特定個人情報管理者は、事案の発生した経緯、被害状況等を調査し、安全管理統括責任者及び最高安全管理統括責任者に報告する。ただし、重大と認める事案が発生した場合には、直ちに安全管理統括責任者及び最高安全管理統括責任者に当該事案の内容等について報告する。

4 特定個人情報管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずる。

(公表等)

第37条 事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る本人への対応等の措置を講ずる。

第7章 監査及び点検の実施

(監査)

第38条 監査責任者は、特定個人情報の取扱状況について、毎年度、定期又は随時に監査を行う。

2 監査責任者は、毎年度、監査実施計画を立案し、監査の対象とする事務及び所属を決定する。実施機関以外の者に委託又は指定管理を行っている場合は、委託先等における特定個人情報の取扱状況についても監査の対象としなければならない。

3 監査の対象となった所属は、監査の実施に協力しなければならない。

4 監査責任者は、監査結果を取りまとめ、最高安全管理統括責任者に報告するとともに、監査の対象となった所属の特定個人情報管理者に送付する。

5 監査責任者は、監査の実施を通して収集した監査証拠、監査報告書の作成のための監査調書を紛失等が発生しないように適切に保管しなければならない。

6 安全管理統括責任者は、監査結果を踏まえ、改善を要する事項につき関係する所属の特定個人情報管理者に対し対応を指示しなければならない。指示を受けた特定個人情報管理者は、改善策を作成し、安全管理統括責任者に提出し、承認を受けなければならない。

(点検)

第39条 特定個人情報管理者は、自ら管理責任を有する保有特定個人情報の記録媒体、処理経路、保管方法等について、定期に又は随時に点検を行い、必要があると認めるときは、その結果を最高安全管理統括責任者及び安全管理統括責任者に報告する。

(評価及び見直し)

第40条 保有特定個人情報の適切な管理のための措置については、最高安全管理統括責任者、安全管理統括責任者及び特定個人情報管理者は、点検の結果等を踏まえ、必要があると認めるときは、実施手順の見直し等の措置を講ずるものとする。

第8章 その他

(他の規程等との調整)

第41条 情報システムに係る情報セキュリティ対策については、本町が保有する特定個人情報の適正管理に関する基本方針及びこの訓令に定めるもののほか、本町情報セキュリティポリシーの規定を適用する。

(法令等違反事案への対応)

第42条 関係する法令、条例、この訓令等の規定に違反した職員、当該職員の違反行為を隠ぺい又は黙認した職員及び違反行為を行った職員を指導監督する地位にある職員については、地方公務員法(昭和25年法律第261号)第29条の規定に基づく懲戒処分の対象とするとともに、違反行為の悪質性に応じて刑事告発の対象とするなど厳正に対応する。

(細則)

第43条 この訓令に定めるもののほか、この訓令の実施のための手続その他について必要な事項は別に定める。

附 則

この訓令は、公示の日から施行する。

酒々井町が保有する特定個人情報の適正な取扱いに関する規程

平成29年8月1日 訓令第5号

(平成29年8月1日施行)

体系情報
第3類 行政一般/第1章
沿革情報
平成29年8月1日 訓令第5号