○玉村町特定個人情報等取扱規程
平成30年3月31日
規程第4号
目次
第1章 総則(第1条―第4条)
第2章 安全管理措置
第1節 組織的安全管理措置及び人的安全管理措置(第5条―第13条)
第2節 物理的安全管理措置(第14条―第17条)
第3節 技術的安全管理措置(第18条―第21条)
第3章 特定個人情報等の取扱い(第22条―第30条)
第4章 個人番号利用事務等の業務の委託等(第31条―第35条)
第5章 安全確保上の問題への対応(第36条)
第6章 監査及び点検の実施(第37条―第39条)
第7章 雑則(第40条)
附則
第1章 総則
(目的)
第1条 この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)及び特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)(平成26年特定個人情報保護委員会告示第6号。以下「ガイドライン」という。)に基づき、本町の実施機関が行う個人番号利用事務及び個人番号関係事務及びこれらに関連して特定個人情報等を取り扱う事務(以下「個人番号利用事務等」という。)において、特定個人情報等の適正な取扱いを確保することを目的として必要な事項を定める。なお、本規程に特段の定めのないものについては、法令及び本町情報セキュリティポリシーの定めに従うこととする。
2 この規程は、特定個人情報の取得、保管、利用、提供、開示、訂正、利用停止及び廃棄の各段階における留意事項及び安全管理措置について定めるものとする。
(定義)
第2条 この規程において用いる用語の定義は、番号法、ガイドラインに定めるところによるほか、次のとおりとする。
(1) 実施機関 町長、教育委員会、選挙管理委員会、監査委員、農業委員会、上水道事業管理者、会計管理者及び議長をいう。
(2) 職員等 本町に所属する一般職(定年前再任用短時間勤務職員、臨時的任用職員を含む。)及び特別職の職員をいう。
(3) 外部有識者等 本町から報酬等の支払を受ける外部有識者及びその他の法定調書等の作成対象となる者をいう。
(4) 扶養親族 所得税法(昭和40年法律第33号)第83条に定める配偶者控除の対象となる控除対象配偶者、同法第83条の2に定める配偶者特別控除の対象となる配偶者、同法第条に定める扶養控除の対象となる控除対象扶養親族、健康保険法(大正11年法律第70号)第3条第7項に定める被扶養者、地方公務員等共済組合法(昭和37年法律第152号)第2条第1項第2号に定める被扶養者並びに地方税法(昭和25年法律第226号)第45条の3の2、同法第317条の3の2及び地方税法施行規則(昭和29年総理府令第23号)第2条の3の2において給与所得者の扶養控除等(異動)申告書に記載することとされている控除対象扶養親族以外の扶養親族をいう。
(5) 源泉徴収票等 源泉徴収票(給与所得、退職所得及び公的年金等の源泉徴収票をいう。以下同じ。)及び給与支払報告書等(給与・公的年金等支払報告書及び退職所得の特別徴収票をいう。以下同じ。)をいう。
(6) 支払調書等 報酬、料金、契約金及び賞金の支払調書、不動産の使用料等の支払調書、不動産等の譲受けの対価の支払調書、非居住者に支払われる給与、報酬、年金及び賞金の支払調書をいう。
(7) 雇用保険等 雇用保険、健康保険及び厚生年金保険をいう。
(8) 特定個人情報 個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。)を含む個人情報をいう。
(9) 特定個人情報等 個人番号及び特定個人情報を併せたものをいう。
(10) 特定情報ファイル 個人情報を含む情報の集合物であって、特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして個人情報の保護に関する法律施行令(平成15年12月10日政令第507号。以下「個人情報保護法施行令」という)で定めるものをいう。
(11) 特定個人情報ファイル 個人番号をその内容に含む個人情報ファイルをいう。
(12) 個人番号利用事務 行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第9条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。
(13) 個人番号関係事務 番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(14) 特定個人情報等取扱者 特定個人情報等を取り扱う事務の担当者をいう。
ア 個人番号利用事務実施者 個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう。
イ 個人番号関係事務実施者 個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。
(15) 事務取扱担当者 本町内において、特定個人情報等を取り扱う事務に従事する者をいう。
(16) 事務取扱責任者 特定個人情報等の管理に関する責任を担うものをいう。
(17) 管理区域 特定個人情報ファイルを取り扱う情報システムを管理する区域をいう。
(18) 取扱区域 特定個人情報等を取り扱う事務を実施する区域をいう。
(事務の範囲)
第3条 実施機関が行う個人番号利用事務は、玉村町行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく個人番号の利用及び特定個人情報の提供に関する条例(平成27年条例第28号。以下「番号条例」という。)に規定する事務とする。
2 実施機関が行う個人番号関係事務は、番号法に基づき、職員等、外部有識者等、扶養親族その他の個人から特定個人情報等の提供を受け、当該特定個人情報等が記載された法定調書等を作成し、他の個人番号利用事務等実施者に提出することとなる次に掲げる事務とする。
(1) 源泉徴収票等作成事務 所得税法、地方税法等の定めにより、源泉徴収義務者として、職員等から特定個人情報等の提供を受け、当該特定個人情報等が記載された源泉徴収票等を作成し、所轄の税務署長及び職員等が居住する市区町村長に提出等する事務
(2) 支払調書等作成事務 所得税法の定めにより、外部有識者等から特定個人情報等の提供を受け、当該特定個人情報等が記載された支払調書等を作成し、所轄の税務署長に提出する事務
(3) 雇用保険等関連事務 雇用保険法(昭和49年法律第116号)、健康保険法(大正11年法律第71号)及び厚生年金保険法(昭和29年法律第115号)の定めにより、事業主として、雇用保険等に加入する者から特定個人情報等の提供を受け、当該特定個人情報等が記載された被保険者資格取得届等を作成し、所轄の公共職業安定所又は日本年金機構(年金事務所)に提出等する事務
(4) 年金関係事務 職員等又は扶養親族から提出のあった国民年金第3号被保険者関係届を群馬県市町村共済組合又は日本年金機構に提出する事務
(5) 共済組合関係事務 共済組合員及びその扶養親族から提出のあった各種共済関連書類を群馬県市町村共済組合に提出する事務
(6) 財産形成貯蓄関係事務 租税特別措置法(昭和32年法律第26号)、その他関係法令の定めにより、本町に所属する正規職員から提出のあった特定個人情報が記載された財産形成貯蓄に関する申告書を財形貯蓄取扱金融機関に提出する事務
(取り扱う特定個人情報等の範囲)
第4条 前条において本町が個人番号を取り扱う事務において使用される個人番号及び個人番号と関連付けて管理される特定個人情報は、次のとおりとする。ただし、次に掲げる事項に該当するか否かが定かでない場合は、事務取扱責任者が判断する。
(1) 職員等以外の個人から、番号法第16条に基づく本人確認の措置を実施する際に提示を受けた個人確認書類(個人番号カード、通知カード、身分確認書類等)及びこれらの写し
(2) 本町が税務署等の行政機関等に提出するために作成した法定調書及びこれらの控え
(3) 本町が法定調書を作成する上で、職員等以外の個人から受領する個人番号が記載された申告書等
(4) 前3号に掲げるもののほか、個人番号と関連付けて保存される情報
第2章 安全管理措置
第1節 組織的安全管理措置及び人的安全管理措置
(組織体制)
第5条 個人番号利用事務等の特定個人情報等の適正な取扱い及び円滑な運用・管理を図るため、特定個人情報保護管理責任者(以下「管理責任者」という。)を置く。
2 管理責任者は、副町長をもって充てる。
3 管理責任者は、特定個人情報等取扱者を補佐し、特定個人情報等取扱者に対して必要、かつ、適切な監督を行うこととする。
4 管理責任者は、次に掲げる組織体制を整備する。
(1) 特定個人情報等取扱者がこの規程等に違反している事実又は兆候を把握した場合の報告連絡体制
(2) 特定個人情報等の漏えい、滅失又は毀損等(以下「情報漏えい等」という。)事案の発生又は兆候を把握した場合の報告連絡体制
(3) 特定個人情報等の情報漏えい等の事案の発生又は兆候を把握した場合の対応体制
(事務取扱責任者の責務)
第6条 事務取扱責任者は、個人番号利用事務については事務を所管する課長をもって充て、個人番号関連事務については、事務取扱担当者の所属課長をもって充てる。
2 事務取扱責任者は、この規程に定められた事項を理解し、遵守するとともに、事務取扱担当者を指名し、事務取扱担当者にこれを理解させ、遵守させるための教育訓練、安全対策の実施及びに周知徹底等の措置を実施する責任を負うとともに、次の業務を所管する。
(1) 本規程及び委託先の選定基準の承認及び周知
(2) 特定個人情報の安全管理に関する教育及び研修の企画
(3) 特定個人情報の利用申請の承認及び記録等の管理
(4) 管理区域及び取扱区域の設定
(5) 特定個人情報の取扱区分及び権限についての設定及び変更の管理
(6) 特定個人情報の取扱状況の把握
(7) 委託先における特定個人情報の取扱状況等の監督
(8) 特定個人情報の安全管理に関する教育及び研修の実施
(9) 前各号に掲げるもののほか、本町における特定個人情報の安全管理に関すること。
(事務取扱担当者の監督)
第7条 事務取扱責任者は、特定個人情報等がこの規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要、かつ、適切な監督を行うものとする。
(事務取扱担当者の責務)
第8条 第3条にある事務に携わる事務取扱担当者は、特定個人情報の取得、保管、利用、提供、開示、訂正、利用停止、廃棄又は委託処理等、特定個人情報を取り扱う業務に従事する際、個人情報保護、及び番号法その他の関連法令、特定個人情報ガイドライン、この規程その他の庁内規程並びに事務取扱責任者の指示した事項に従い、特定個人情報の保護に十分な注意を払ってその業務を行うものとする。
2 特定個人情報の漏えい等、番号法若しくはその他の関連法令、特定個人情報ガイドライン、この規程又はその他の庁内規程に違反している事実又は兆候を把握した場合、速やかに事務取扱責任者に報告するものとする。
3 各部署において個人番号が記載された書類等の受領をする事務取扱担当者は、個人番号の確認等の必要な事務を行った後はできるだけ速やかにその書類を受け渡すこととし、自分の手元に個人番号を残してはならない。
(監査責任者)
第9条 監査責任者を一人置くこととし、企画課長をもって充てる。監査責任者は、特定個人情報等の管理の状況について監査する任に当たる。
(教育研修)
第10条 管理責任者は、特定個人番号等取扱者に対し、特定個人情報等の取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。ただし、本町情報セキュリティポリシーに基づく情報セキュリティ教育で同種の研修を実施している場合はこの限りでない。
2 管理責任者は、特定個人情報等を取り扱う情報システムの管理に関する事務に従事する職員に対し、特定個人情報等の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行う。
3 管理責任者は、当該課等の特定個人番号等取扱者に対し、特定個人情報等の適切な管理のために、教育研修への参加の機会を付与する等の必要な措置を講ずる。
(取扱事務手順の策定)
第11条 特定個人情報を取り扱う事務処理において、特定個人情報が記載された書類の提出から削除又は廃棄記録について、必要に応じて特定個人情報取扱事務手順を作成する。
(運用状況の記録)
第12条 事務取扱担当者は、この規程に基づく運用状況を確認するため、以下の項目につき、システムログ及び利用実績を記録するものとする。
(1) 特定個人情報の取得及び特定個人情報ファイルへの入力状況
(2) 特定個人情報ファイルの利用及び出力状況の記録
(3) 書類及び媒体等の持ち出しの記録
(4) 特定個人情報ファイルの削除又は廃棄記録
(5) 削除又は廃棄を委託した場合、これを証明する記録等
(6) 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の利用状況(ログイン実績、アクセスログの記録)
(取扱状況の確認手段)
第13条 事務取扱担当者は、特定個人情報ファイルの取扱状況を確認するための手段として、特定個人情報管理台帳に次の事項を記録するものとする。この場合において、特定個人情報管理台帳には、特定個人情報等は記載しないものとする。
(1) 特定個人情報ファイルの種類、名称
(2) 責任者、取扱部署
(3) 利用目的
(4) 削除又は廃棄状況
(5) アクセス権を有する者
第2節 物理的安全管理措置
(特定個人情報等を取り扱う区域の管理)
第14条 特定個人情報の漏えいを防ぐため、取り扱う区域に対し次の措置を講じるものとする。
(1) 管理区域 入退室管理及び持ち込む機器及び電子媒体等を制限する。
(2) 取扱区域 事務取扱責任者は、特定個人情報等を取扱う事務を実施する区域を明確にし、できる限り物理的な安全管理措置を講ずる。
(機器及び電子媒体等の盗難等の防止)
第15条 特定個人情報等の盗難又は紛失等を防止するため、管理区域及び取扱区域における機器、電子媒体及び書類等は施錠できるキャビネット、書庫等に保管しなければならない。この場合において、施錠できる場所に保管できない場合は、それと同様の措置を講じなければならない。
(電子媒体等を持出す場合の漏えい等の防止)
第16条 特定個人情報等が記載された電子媒体又は書類の持ち出し(特定個人情報等の管理区域又は取扱区域外への移動)は、次に掲げる場合を除き禁止する。
(1) 個人番号利用事務及び個人番号関係事務に係る外部委託先に委託事務を実施する上で必要と認められる範囲でデータを提供する場合
(2) 行政機関等への法定調書の提出等、本町が実施する個人番号関係事務に関して個人番号利用事務実施者に対し、データ又は書類を提出する場合
2 前項の規定により特定個人情報等が記録された電子媒体又は書類等の持ち出しを行う場合には、持ち出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用等の安全策を講ずるものとし、庁内での書類等の移動であっても、特定個人番号が見えない措置を講じなければならない。ただし、行政機関等に法定調書等をデータで提出する場合は、行政機関等が指定する提出方法に従うものとする。
(削除又は廃棄段階における物理的安全管理措置)
第17条 個人番号利用事務又は個人番号関係事務を行う必要がなくなった場合で、所管法令等において定められている保存期間等を経過した場合には、個人番号を速やかに復元できない手段で削除又は廃棄する。
2 個人番号若しくは特定個人情報ファイルを削除した場合又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。
3 これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認するものとする。
第3節 技術的安全管理措置
(アクセス制御)
第18条 情報システムを使用して、個人番号利用事務又は個人番号関係事務を行う場合、アクセス制御により特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
(アクセス者の識別と認証)
第19条 特定個人情報等を取り扱う情報システムは、ユーザーID、パスワード等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証する。
(外部からの不正アクセスの防止)
第20条 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するため、次の措置を講ずる。
(1) ファイアウォールの設置
(2) セキュリティ対策ソフトウェア等の導入
(3) ログ等の定期的な分析
(情報漏えい等の防止)
第21条 特定個人情報等を外部に送信する場合、通信経路における特定個人情報等の情報漏えい等を防止するため、通信経路の暗号化、データの暗号化、パスワードによる保護等の措置を講ずる。
第3章 特定個人情報等の取扱い
(収集する段階)
第22条 特定個人情報等取扱者は、第3条に規定する「事務の範囲」に掲げる事務を処理するために必要があるときは、利用目的をあらかじめ明示した上で、必要最小限の範囲で個人番号の提供を求めるものとする。
2 特定個人情報等取扱者は、個人番号利用事務等において個人番号を収集する際に、本人確認を行うこととする。
(1) 身元確認 特定個人情報等取扱者は、原則として、個人番号カード、運転免許証等の身元確認書類により、身元確認を行うこととする。ただし、個人番号関係事務において、以前に身元確認を行った職員等及び外部有識者等、本人に相違ないことが明らかに判断できる者については、特定個人情報等取扱者が職員等を知覚し、本町に所属する職員等であることを認識することにより身元確認を行うことができる。
また、これらの方法により身元確認を行うことが困難であると認められる場合は、「行政手続における特定の個人を識別するための番号の利用等に関する法律施行規則(平成26年総務省令第3号)」に準じて身元確認を行う。
(2) 番号確認 特定個人情報等取扱者は、第3条に規定する事務において個人番号を収集する場合には、個人番号カード、通知カード又は個人番号が記載された住民票の写し若しくは住民票記載事項証明書など主務省令で定める書類の提示を受けることにより、番号確認を行うものとする。ただし、これらの書類の提示を受けることが困難であると認められる場合には、これに代えて以下のいずれかの措置をとるものとする。
ア 地方公共団体情報システム機構への確認(個人番号利用事務実施者)
イ 都道府県知事保存本人確認情報の確認(都道府県知事)
ウ 住民基本台帳の確認(市町村長)
エ 過去に本人確認の上、特定個人情報ファイルを作成している場合には、当該特定個人情報ファイルの確認
オ 官公署又は個人番号利用事務実施者・個人番号関係事務実施者から発行・発給された書類その他これに類する書類であって個人番号利用事務実施者が適当と認める書類(i個人番号、ii氏名、iii生年月日又は住所が記載されているもの)
(利用する段階)
第23条 特定個人情報等の利用は、事務において必要最小限の範囲で行うものとし、管理責任者は、そのために必要な措置を講じなければならない。
2 管理責任者は、特定個人情報等取扱者に対して、特定個人情報等の利用目的を達成するために必要最小限の範囲でアクセス権限を付与し、アクセス権限を有しない者に特定個人情報等を利用させてはならない。
3 特定個人情報等取扱者は、アクセス権限を有する場合であっても、業務上の目的以外の目的で特定個人情報等を利用してはならない。
4 個人番号利用事務等を行うために提供を受けた特定個人情報等は、当該事務以外の事務において利用してはならない。ただし、番号法及び番号条例により情報連携が認められている場合を除く。
5 特定個人情報等取扱者は、業務上の目的で特定個人情報等を取り扱う場合であっても、次に掲げる行為については、管理責任者の承認を得た上で行う。
(1) 特定個人情報等の複製
(2) 特定個人情報等の送信
(3) 特定個人情報等が記録されている媒体の外部への送付又は持ち出し
(4) その他特定個人情報等の適切な管理に支障を及ぼすおそれのある行為
6 特定個人情報等取扱者は、特定個人情報等取扱者以外の者による特定個人情報等の覗き見を防止するため、第14条第2項に規定する取扱区域であって、適切な作業スペースを確保し、適切に管理された区域内において、個人番号利用事務等を行うものとする。
(保存する段階)
第24条 特定個人情報等が記載された文書は、関係法令及び玉村町文書管理規定(平成15年規程第2号)(以下「文書管理規程」という。)に定める期間保存する。
2 特定個人情報等が記載された文書及び電子媒体は、施錠可能な場所に保管する等の方法により適正に管理する。
3 特定個人情報が電磁的記録による場合は、インターネットに接続された情報通信機器及び端末にその情報を保存してはならない。なお、特定個人情報等をパソコン又は記録媒体等に保存する場合は、暗号化及びパスワードにより秘匿した状態で保存しなければならない。
(提供する段階)
第25条 特定個人情報等は、番号法及び番号条例により認められている場合においてのみ提供することができる。
2 前項の提供に当たっては、厳重な管理方法によって行わなければならない。
3 個人番号利用事務等を処理するために必要な場合で、番号法及び番号条例で定める場合を除き、個人番号の提供を求めてはならない。
(削除・廃棄を行う段階)
第26条 特定個人情報等が記録された文書及び電子媒体は、関係法令及び文書管理規定により定められた保存期間を超えた場合に削除・廃棄を行うものとする。
2 特定個人情報等が記録された文書及び電子媒体の削除・廃棄に当たっては、管理責任者の指示により、復元できない方法により適切に行うものとする。なお、外部事業者による機密文書リサイクルサービス又は同等のサービスを利用する場合は、利用後に廃棄の証明書を受領しなければならない。電子媒体の削除・廃棄を委託する場合も、同様とする。
(特定個人情報等の取扱状況の記録)
第27条 管理責任者は、文書又は記録媒体等による特定個人情報ファイルの取扱状況を確認する手段として、当該特定個人情報ファイルの利用及び保管等の状況を記録する特定個人情報ファイル利用・保管等記録簿を作成する。ただし、個人情報保護の目的で同様の書類を作成している場合はこの限りでない。
(1) 特定個人情報ファイルの利用・出力状況の記録
(2) 書類・媒体等の持出しの記録
(3) 特定個人情報ファイルの削除・廃棄記録
(4) 特定個人情報ファイルの削除・廃棄を委託した場合、これを確認する記録等
(取扱区域)
第28条 管理責任者は、情報漏えい等を防止するため、特定個人情報等を取り扱う事務を実施する区域を明確にし、物理的な安全管理措置を講ずる。
2 前項に定める区域は、管理責任者が管理する場所であって、管理責任者が所管する職員又は特定個人情報を取り扱う委託業者が不在の場合には施錠、巡回警備、遠隔監視等により第三者の潜入を防止しなければならない。
(情報システムにおける安全の確保等)
第29条 管理責任者は、情報システムにおいて特定個人情報等を取り扱う場合は、本町情報セキュリティポリシーに基づき、必要な安全管理措置を講ずるものとする。
(特定個人情報保護評価)
第30条 管理責任者は、特定個人情報ファイルを保有しようとする場合は、特定個人情報保護評価指針の定めるところにより、当該特定個人情報ファイルを保有する前までに特定個人情報保護評価を実施するものとする。
2 管理責任者は、個人のプライバシー等の権利利益に影響を与え得る特定個人情報の漏えいその他の事態を発生させるリスクを軽減するための措置として特定個人情報保護評価書に記載した全ての措置を講ずるものとする。
第4章 個人番号利用事務等の業務の委託等
(業務の委託等)
第31条 管理責任者は、個人番号利用事務等の委託をする場合には、委託を受ける者において、本町が果たすべき安全管理措置と同等の措置が講じられることについて、あらかじめ確認する。
2 管理責任者は、前項の委託をする場合は、委託を受けた者との契約書に、特定個人情報等の取扱いに関する特記事項を規定するとともに、委託を受けた者において、本町が果たすべき安全管理措置と同等の措置が講じられるよう必要、かつ、適切な監督を行う。
3 個人番号利用事務等の委託を受けた者がやむを得ず再委託をする場合には、管理責任者は、委託をする個人番号利用事務等において取り扱う特定個人情報等の適切な安全管理が図られることを確認した上で再委託の諾否を判断する。
(委託先の選定)
第32条 委託先の選定は次の事項により本町の定める水準を満たしているかについて確認を行うものとする。
(1) 設備
(2) 技術水準
(3) 従業者に対するに対する監督及び教育の状況
(4) 経営環境状況
(5) 特定個人情報の安全管理の状況
(6) 暴力団員による不当な行為の防止等に関する法律(平成3年法律第77号)に規定される暴力団に該当しないこと。
(委託契約書の規定)
第33条 第32条にある委託先に安全管理措置を遵守させるため、委託契約書には次の事項を盛り込むものとする。
(1) 秘密保持義務に関する規定
(2) 事業所内からの特定個人情報の持出しの禁止
(3) 特定部部局の個人情報の目的外利用の禁止
(4) 再委託における条件
(5) 漏えい事案等が発生した場合の委託先の責任に関する規定
(6) 委託契約終了後の特定個人情報の返却又は廃棄に関する規定
(7) 従業者に対する監督及び教育に関する規定
(8) 契約内容の遵守状況について報告を求める規定に関する規定
(9) 特定個人情報を取り扱う従業者の明確化に関する規定
(10) 委託者が委託先に対して実地の調査を行うことができる規定
(責任部署)
第34条 本町の委託先の管理については、委託業務を所管する課を責任部署とする。
2 総務課は委託先において特定個人情報の安全管理が適切に行われていることについて必要に応じて確認を行うものとする。
(再委託)
第35条 委託先は、本町が必要と認めた場合において、委託を受けた個人番号利用事務又は個人番号関係事務の全部又は一部を再委託することができるものとする。ただし、再委託に際しては届出により事前に本町の許可を得なければならない。
第5章 安全確保上の問題への対応
(事案の報告及び対応)
第36条 情報漏えい等の事案の発生又は兆候を把握した場合及び特定個人情報等取扱者がこの規程等に違反している事実又は兆候を把握した場合等、安全確保上で問題となる事案が発生した場合に、その事実を知った特定個人情報等取扱者その他の職員等は、速やかに当該特定個人情報等を管理する管理責任者に報告する。
2 管理責任者は、情報漏えい等の事案の発生又は兆候を把握した場合には、速やかに情報セキュリティ事件・事故(システム障害・情報漏えい等)対策マニュアルに基づき対応するとともに、危機レベルに応じた連絡体制に従って報告する。
第6章 監査及び点検の実施
(監査)
第37条 監査責任者は、個人番号利用事務等における特定個人情報等の適正な取扱いを確保するため、監査を実施し、その結果を管理責任者に報告するものとし、監査体制及び監査の実施方法については、本町情報セキュリティポリシーに基づくセキュリティ監査に関する基準に準じることとする。
(点検)
第38条 管理責任者は、第5条第3項に定める管理表に定める事務について、自ら管理責任を有する特定個人情報等の管理状況を定期的に点検するものとする。
(評価及び見直し)
第39条 管理責任者は、特定個人情報等の適切な管理のための措置については、監査又は点検の結果等を踏まえ、実効性等の観点から評価し、必要があると認めるときは、その見直し等の措置を講ずる。ただし、本町情報セキュリティポリシーに基づく情報セキュリティ改善を実施する業務について、同様の措置を行う場合はこの限りでない。
第7章 雑則
(その他)
第40条 この規程の実施に必要な要綱等は、別途、管理責任者が定めることができる。
附則
この規程は、平成30年4月1日から施行する。
附則(令和2年10月13日規程第12号)
この規程は、公布の日から施行し、令和2年4月1日から適用する。
附則(令和5年3月29日規程第2号)
この規程は、令和5年4月1日から施行する。