○魚津市特定個人情報の取扱いに関する管理規程

平成29年7月18日

訓令第7号

目次

第1章 総則(第1条―第3条)

第2章 特定個人情報の管理体制等(第4条―第12条)

第3章 教育研修(第13条)

第4章 職員等の責務(第14条)

第5章 特定個人情報の適切な取扱い(第15条―第28条)

第6章 情報システム上における安全の確保等(第29条―第46条)

第7章 情報システム室等の安全管理(第47条・第48条)

第8章 特定個人情報の提供及び業務の委託等(第49条・第50条)

第9章 安全確保上の問題への対応(第51条・第52条)

第10章 監査及び点検の実施(第53条―第55条)

第11章 細則(第56条)

附則

第1章 総則

(趣旨)

第1条 この規程は、魚津市個人情報保護条例(平成16年魚津市条例第3号。以下「保護条例」という。)第8条第1項及び魚津市特定個人情報の安全管理に関する基本方針(平成29年魚津市告示第107号)に基づき、市の保有する特定個人情報の適正な取扱いについて、必要な事項を定めるものとする。

(定義)

第2条 この規程において使用する用語は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)及び保護条例において使用する用語の例による。

(適用範囲)

第3条 この規程は、実施機関(保護条例第2条第1号に規定する実施機関をいう。第50条において同じ。)について適用する。

第2章 特定個人情報の管理体制等

(最高情報保護責任者)

第4条 市に最高情報保護責任者を置き、副市長をもって充てる。

2 最高情報保護責任者は、市における特定個人情報の管理に関する最終決定権限及び責任を有する。

(情報保護責任者)

第5条 市に情報保護責任者を置き、総務部長をもって充てる。

2 情報保護責任者は、市における特定個人情報の管理に関する事務を総括する。

3 情報保護責任者は、市における特定個人情報の適正な取扱いを実施するため、次に掲げる組織体制を整備する。

(1) 事務取扱担当者(職員、非常勤職員及び臨時職員(以下「職員等」という。)であって特定個人情報を取り扱う者をいう。以下同じ。)が取扱規程等に違反している事実又は兆候を把握した場合の、情報保護責任者等への報告連絡体制

(2) 特定個人情報の漏えい、滅失又は毀損等(以下「情報漏えい等」という。)の事案の発生又は兆候を把握した場合の、職員等から情報保護責任者等への報告連絡体制

(3) 情報漏えい等の事案の発生又は兆候を把握した場合の対応体制

(4) 特定個人情報を複数の部署で取り扱う場合の、各部署の任務分担及び責任の明確化

(情報保護管理者)

第6条 特定個人情報を取り扱う各課等に情報保護管理者を置き、当該課等の長をもって充てる。

2 情報保護管理者は、所属する課等における特定個人情報の適切な管理を確保する。

3 情報保護管理者は、所管する事務であって特定個人情報を取り扱うもの及び当該事務に係る事務取扱担当者を指定し、事務取扱担当者に対し必要かつ適切な監督を行うものとする。

4 情報保護管理者は、特定個人情報を情報システムで取り扱う場合、当該情報システムの管理者及び情報システム管理者(第8条の情報システム管理者をいう。)と連携してその任に当たらなければならない。

(情報保護担当者)

第7条 特定個人情報を取り扱う各課等に情報保護担当者を置き、当該課等の課長代理又は庶務担当係長のうちから当該課等の情報保護管理者が指定する者をもって充てる。

2 情報保護担当者は、情報保護管理者を補佐し、所属する課等における特定個人情報の管理に関する事務を担当する。

(情報システム管理者等)

第8条 市に情報システム管理者を置き、企画部情報広報課長をもって充てる。

2 情報システム管理者は、庁内ネットワーク及び自らが管理する情報システムにおける特定個人情報に係る情報セキュリティについて管理する。

3 情報システム管理者は、必要があると認めるときは、情報システム管理者を補佐するため、所属の職員のうちから情報システム担当者を指定することができる。

(教育責任者)

第9条 市に教育責任者を置き、総務部長をもって充てる。

2 教育責任者は、事務取扱担当者その他職員等における特定個人情報の取扱いに関する教育を計画し、実施する。

(監査責任者)

第10条 市に監査責任者を置き、総務部総務課長をもって充てる。

2 監査責任者は、特定個人情報の管理の状況に関する監査を計画し、実施する。

(情報化推進委員会の役割)

第11条 特定個人情報の管理に係る重要事項の決定及び市内部における連絡、調整等については、魚津市情報化推進委員会(魚津市情報化推進委員会設置規程(平成20年魚津市訓令第1号)第1条の魚津市情報化推進委員会をいう。)において行う。

(厳正な対処)

第12条 市長は、職員等が特定個人情報の取扱いに関し、番号法、保護条例、この規程その他関係法令に違反したときは、その重大性、発生した事案の状況等に応じて、当該職員等及びその監督責任者を地方公務員法(昭和25年法律第261号)に基づく懲戒処分その他処分の対象として、厳正に対処する。

第3章 教育研修

第13条 教育責任者は、事務取扱担当者その他職員等に対し、特定個人情報の取扱いについて理解を深め、特定個人情報の保護に関する意識の高揚を図るため、啓発その他必要な教育研修を行うものとする。

2 教育責任者は、特定個人情報を取り扱う情報システムの管理に関する事務に従事する職員等に対し、特定個人情報の適切な管理のため、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行うものとする。

3 教育責任者は、情報保護管理者及び情報保護担当者に対し、各課等における特定個人情報の適切な管理のため、必要な教育研修を行うものとする。

4 情報保護管理者は、当該課等の事務取扱担当者その他の職員等に対し、特定個人情報の適切な管理のために、教育責任者の実施する教育研修への参加の機会を付与する等必要な措置を講じなければならない。

第4章 職員等の責務

第14条 事務取扱担当者は、番号法及び保護条例の趣旨にのっとり、関連する法令の定め並びに情報保護責任者、情報保護管理者及び情報保護担当者の指示に従い、特定個人情報を取り扱わなければならない。

2 職員等は、次の各号のいずれかに該当する事案の発生又はその兆候を把握した場合は、直ちに情報保護管理者に報告しなければならない。

(1) 情報漏えい等

(2) 事務取扱担当者のこの規程への違反

第5章 特定個人情報の適切な取扱い

(アクセス制限)

第15条 情報保護管理者は、特定個人情報にアクセスする権限(以下「アクセス権限」という。)を有する者を指定するに当たっては、その利用目的を達成するために必要最小限の事務取扱担当者に限定してアクセス権限を設定しなければならない。

2 情報保護管理者は、アクセス権限を事務取扱担当者個人単位で管理するとともに、特定個人情報を取り扱う事務において事務取扱担当者にID及びパスワード等(パスワード、IDカード、生体情報等をいう。以下同じ。)の共用をさせてはならない。

3 事務取扱担当者は、アクセス権限を有する場合であっても、業務上の目的以外の目的で特定個人情報にアクセスしてはならない。

4 アクセス権限を有しない職員等は、事務取扱担当者になりすます等不正な手段を用いて、特定個人情報にアクセスしてはならない。

(複製等の制限)

第16条 情報保護管理者は、事務取扱担当者が業務上の目的で特定個人情報を取り扱う場合であっても、次に掲げる行為については、その内容等に応じて当該行為を制限しなければならない。

(1) 特定個人情報の複製

(2) 特定個人情報の送信

(3) 特定個人情報が記録されている電磁的記録媒体(電磁的記録であって電子計算機による情報処理の用に供されるものに係る記録媒体をいう。以下同じ。)及び書類等(以下「媒体等」という。)の外部への送付又は持ち出し

(4) その他特定個人情報の適切な管理に支障を及ぼすおそれのある行為

2 事務取扱担当者は、業務上の目的以外の目的で、電磁的方法(電子的方法、磁気的方法その他の人の知覚によって認識することができない方法をいう。)その他いかなる方法を用いても特定個人情報を複製してはならない。

3 事務取扱担当者は、実施手順に定められた場合を除き、業務上の目的であっても特定個人情報を複製してはならない。この場合において、業務上の目的で特定個人情報を複製した場合には、事務取扱担当者は、その複製された特定個人情報についても特定個人情報として、第18条及び第19条の規定を適用し厳重に管理しなければならない。

(誤り等の訂正等)

第17条 事務取扱担当者は、特定個人情報の内容に誤り等を発見した場合には、遅滞なく情報保護管理者に報告し、その指示に従い訂正等を行わなければならない。

(媒体等の管理等)

第18条 事務取扱担当者は、情報保護管理者の指示に従い、特定個人情報が記録されている媒体等を定められた場所に施錠して保管しなければならない。この場合において、情報保護管理者が必要と認めるときは、当該媒体等を耐火金庫等で保管しなければならない。

2 前項に規定する保管場所の鍵の管理は、事務取扱担当者が行うものとする。

(廃棄等)

第19条 事務取扱担当者は、特定個人情報及び特定個人情報が記録されている媒体等が不要となった場合には、情報保護責任者の承認を得た上で、情報保護管理者の指示に従い、当該特定個人情報の復元又は判読が不可能な方法により当該特定個人情報の削除又は当該媒体等の廃棄を行わなければならない。この場合において、事務取扱担当者は、当該特定個人情報の削除又は当該媒体等の廃棄をした記録を保存するものとする。

2 事務取扱担当者は、当該特定個人情報の削除又は当該媒体等の廃棄を委託する場合には、委託先が確実に削除し、又は廃棄したことについて証明書等により確認しなければならない。

3 情報保護管理者は、特定個人情報が記録されている媒体等を廃棄した際には特定個人情報を廃棄した記録を作成し、7年間保管するものとする。

(特定個人情報の取扱状況の記録)

第20条 情報保護管理者は、特定個人情報ファイルの取扱状況を確認するために、特定個人情報の利用及び保管等の取扱状況について、次に掲げる項目その他必要な事項を記録するものとする。

(1) 特定個人情報(個人番号利用事務)の名称

(2) 特定個人情報ファイルの種類及び名称

(3) 取扱部署名並びに事務取扱担当者の役職及び氏名

(4) 利用目的

(5) 特定個人情報ファイルに記録される項目及び本人として特定個人情報ファイルに記録される個人の範囲

(6) 特定個人情報ファイルに記録される特定個人情報の収集方法

2 情報保護管理者は、前項に規定する特定個人情報の利用及び保管等の取扱い状況を記録するために、あらかじめ特定個人情報管理台帳を整備するものとする。

3 情報保護管理者は、前項の特定個人情報管理台帳を随時改訂しなければならない。この場合において、改訂を行った際は、改訂前の特定個人情報管理台帳の内容が確認できるよう一定期間保管しなければならない。

4 第2項の規定にかかわらず、情報保護管理者は、第1項に規定する記録事項を個人情報取扱事務登録簿に記録することで、特定個人情報管理台帳の整備に代えることができる。

(個人番号の利用の制限)

第21条 情報保護責任者は、個人番号を利用する事務を、番号法及び魚津市行政手続における個人番号の利用等に関する条例(平成27年魚津市条例第29号)に定められた事務に限定するものとする。

(個人番号の提供の求めの制限)

第22条 職員等は、個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合その他番号法で定める場合を除き、個人番号の提供を求めてはならない。

(特定個人情報ファイルの作成の制限)

第23条 職員等は、個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイルを作成してはならない。

(特定個人情報の収集又は保管の制限)

第24条 職員等は、番号法第19条各号のいずれかに該当する場合を除き、特定個人情報を収集し、又は保管してはならない。

(管理区域)

第25条 情報保護管理者は、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)を明確にし、管理区域に物理的な安全管理措置を講ずるものとする。

(取扱区域)

第26条 情報保護管理者は、特定個人情報を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、事務取扱担当者以外の職員等及び外部からの来庁者による情報漏えい等の発生を防止するための設備等を設置するものとする。

(機器及び媒体等の盗難等の防止)

第27条 情報保護管理者は、管理区域及び取扱区域における特定個人情報を取り扱う機器及び媒体等の盗難又は紛失等を防止するために、物理的な安全管理措置を講ずるものとする。

2 情報保護管理者は、特定個人情報を取り扱う機器及び媒体等を庁舎内において移動等させる場合には所定の手続により行わせるものとし、紛失、盗難等が生じないよう留意しなければならない。

(情報システム管理者等の協力)

第28条 情報システム管理者は、情報保護管理者が各課等における特定個人情報の適正な取扱いを実現するために、庁内ネットワーク及び情報システムにおける情報セキュリティの管理の観点から、情報保護管理者に協力するとともに技術的な助言及び指導を行うものとする。

2 前項の規定は、特定個人情報を情報システムで取り扱う場合における当該情報システムの管理者に準用する。

第6章 情報システム上における安全の確保等

(アクセス制御)

第29条 情報保護管理者は、事務取扱担当者が情報システムを用いて特定個人情報を取り扱う時は、IDによる識別、パスワード等による認証を行う機能(以下「認証機能」という。)を設定する等のアクセス制御を行うために、事務取扱担当者の情報システムへのログインの認証及びアクセス権限を設定しなければならない。

2 情報保護管理者は、前項のアクセス制御を行うために、ID及びパスワード等の管理が徹底されるよう事務取扱担当者を指導監督するほか、パスワード等の読取防止等を行うために必要な設備等を設置するものとする。

3 事務取扱担当者は、情報保護管理者の指示に従ってID及びパスワード等を取り扱わなければならない。

4 事務取扱担当者は、定期的にパスワードの変更を行わなければならない。ただし、パスワード等の漏えい等が疑われる場合は、遅滞なくパスワードを変更しなければならない。

5 情報保護管理者は、業務上必要がなくなったアクセス権限について、遅滞なく抹消しなければならない。

6 情報保護管理者は、事務取扱担当者へのアクセス権限の付与状況を管理し、人事異動、課内での事務担当の変更等に即時に対応できるよう、随時見直しを行うものとする。

(アクセス記録)

第30条 情報システム管理者は、情報保護管理者ごとに当該情報保護管理者が管理する範囲の特定個人情報ファイルのアクセス記録を抽出する機能の提供及び当該情報保護管理者が管理する範囲の特定個人情報ファイル等のアクセス記録を参照する権限の付与を行うものとする。

2 情報システム管理者は、前項の機能を提供するために、特定個人情報ファイルのアクセス記録を一定期間保管しなければならない。

3 情報保護管理者は、自らが管理する範囲の特定個人情報ファイルのアクセス記録について、改ざん、窃取、不正な削除等の不適切なアクセスの防止が適切になされているかを定期又は随時に確認し、必要に応じて情報システム管理者に前項のアクセス記録の提供等を求めるものとする。

(アクセス状況の監視)

第31条 情報保護管理者は、特定個人情報への不適切なアクセスの監視のために、自らが管理する範囲の特定個人情報ファイルのアクセス記録をもとに、特定個人情報へのアクセス状況を定期又は随時に分析するものとする。

(管理者権限の設定)

第32条 情報保護管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。

(外部からの不正アクセスの防止等)

第33条 情報保護管理者は、特定個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため、特定個人情報を取り扱う基幹的なサーバ等をインターネット等の外部のネットワーク(総合行政ネットワーク(総務省組織令(平成12年政令第246号)に規定する地方公共団体総合行政ネットワークをいう。)を除く。)に接続しないほか、必要に応じてファイアウォールの設定による経路制御を行う等必要な措置を講じなければならない。

(不正プログラムによる情報漏えい等の防止)

第34条 情報保護管理者は、不正プログラムによる情報漏えい等の防止のため、ソフトウェアに関する公開された脆弱性の解消、把握された不正プログラムの感染防止等に必要な措置(導入したソフトウェアを常に最新の状態に保つことを含む。)を講ずるものとする。

2 情報保護管理者は、特定個人情報を取り扱う情報システムが魚津市情報セキュリティポリシーのうち情報セキュリティ対策基準において規定する情報セキュリティ対策が厳格に運用されていることを定期又は随時に確認するものとする。

(情報システムでの作業の際の特定個人情報の処理)

第35条 事務取扱担当者は、情報システム上で一時的に加工等の処理を行うため特定個人情報の複製等を行う場合には、第16条に定めるところにより、複製等の対象を最小限に限り、処理終了後は不要となった情報を速やかに消去しなければならない。

2 情報保護管理者は、前項の複製等を行った特定個人情報の消去の実施状況を随時確認するものとする。

(暗号化)

第36条 事務取扱担当者は、特定個人情報ファイルを機器又は電磁的記録媒体に保存する必要がある場合、原則として、暗号化又はパスワードにより秘匿しなければならない。

2 事務取扱担当者は、車両等により特定個人情報が記録された機器又は媒体等を運搬する場合には、特定個人情報の暗号化その他の容易に特定個人情報が判明しないための措置その他必要な措置を講じなければならない。

(入力情報の照合等)

第37条 事務取扱担当者は、情報システムで取り扱う特定個人情報の重要度に応じて、入力原票と入力内容との照合、処理前後の当該特定個人情報の内容の確認、既存の特定個人情報との照合等を行わなければならない。

(バックアップの作成)

第38条 情報保護管理者は、特定個人情報のバックアップを作成し、当該特定個人情報の重要性に応じて分散保管等の必要な措置を講じなければならない。

2 情報保護管理者は、特定個人情報ファイルのバックアップの実施状況を把握し、必要に応じて情報保護責任者に報告するものとする。

(特定個人情報の処理を行う端末の限定)

第39条 情報保護管理者は、特定個人情報の処理を行う端末を限定し、当該端末へ必要となるソフトウェアの導入、端末の認証等の設定を行わなければならない。

2 情報保護管理者は、事務取扱担当者以外の職員等が前項の規定により特定個人情報の処理を行う端末とされた端末(以下「特定個人情報処理端末」という。)を操作しないよう指導及び監督しなければならない。

(特定個人情報処理端末の盗難防止等)

第40条 情報保護管理者は、特定個人情報処理端末の盗難及び紛失の防止のため、端末の固定、不在時の執務室の施錠その他の必要な措置を講じなければならない。

2 前項の規定による執務室の鍵の管理は、情報保護管理者が行うものとする。

(特定個人情報処理端末画面の閲覧防止)

第41条 情報保護管理者は、特定個人情報処理端末の画面が事務取扱担当者以外の者に閲覧されることがないよう、のぞき込みを防止するための設備を設置する等必要な措置を講じなければならない。

2 事務取扱担当者は、特定個人情報処理端末の使用に当たっては、当該端末の使用時に特定個人情報が第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行い、かつ、離席時には当該端末をロックする等必要な措置を講じなければならない。

(記録機能を有する機器及び電磁的記録媒体の特定個人情報処理端末への接続制限)

第42条 情報保護管理者は、情報漏えい等の防止のため、スマートフォン、デジタルカメラ、ICレコーダ、USBメモリ等の記録機能を有する機器及び電磁的記録媒体の特定個人情報処理端末への接続を制限(当該機器の更新への対応を含む。)しなければならない。

2 情報保護管理者は、前項に規定する接続制限が遵守されるよう事務取扱担当者その他職員等を指導し、監督するものとする。

(特定個人情報処理端末の外部への持ち出し等の制限)

第43条 事務取扱担当者は、情報保護管理者が必要であると認めるときを除き、特定個人情報処理端末を外部へ持ち出し、又は外部から持ち込んではならない。

(情報システムの調達、開発、導入、保守、廃棄等)

第44条 特定個人情報に係る情報システムの調達、開発、導入、保守、廃棄等に当たっては、魚津市情報セキュリティポリシーのうち情報セキュリティ対策基準において規定する情報セキュリティ対策に従わなければならない。

2 情報保護管理者は、特定個人情報に係る情報システムの調達、開発、導入、保守、廃棄等の作業を担当する職員等が特定個人情報の閲覧、複製その他の操作を行う場合には、当該担当者を事務取扱担当者として指定し、行うことのできる操作の範囲及び操作することのできる特定個人情報の範囲を限定し、漏えい、滅失、毀損等の事故がないよう指導し、及び監督する。

3 情報保護管理者は、特定個人情報に係る情報システムの調達、開発、導入、保守、廃棄等の作業を委託する事業者が特定個人情報の閲覧、複製その他の操作を行う場合には、当該事業者を特定個人情報を取り扱う事務の委託先とみなし、第8章の規定を適用して、当該委託先を監督しなければならない。

(情報システム設計書等の管理)

第45条 情報保護管理者は、特定個人情報に係る情報システムの設計書、構成図等の情報システムの設計に係る文書について、外部に知られることがないよう、定められた場所で施錠の上保管し、複製を制限し、当該文書を廃棄する場合には復元不能な方法で廃棄するものとする。この場合において、当該保管場所の鍵の管理は、情報システム管理者が行わなければならない。

(情報システム管理者等の協力)

第46条 情報システム管理者は、情報保護管理者が情報システム上で特定個人情報を取り扱う際に、庁内ネットワーク及び情報システムにおける情報セキュリティの管理の観点から、情報保護管理者に協力するとともに技術的な助言及び指導を行うものとする。

2 前項の規定は、特定個人情報を情報システムで取り扱う場合における当該情報システムの管理者に準用する。

第7章 情報システム室等の安全管理

(情報システム室等の入退管理)

第47条 情報保護責任者は、管理区域のうち特定個人情報を扱う情報システムに係る基幹的なサーバ等の機器を設置する区域(以下「情報システム室等」という。)に立ち入る権限を有する者を定めるとともに、情報システム室等に立ち入る者に関する、用件の確認、入退の記録、部外者についての識別化、部外者が立ち入る場合の職員等の立会い又は監視設備による監視、電子媒体等の持込み、利用及び持ち出しの制限又は検査等の措置を講ずるものとする。

2 情報保護管理者は、必要があると認めるときは、情報システム室等の出入口の特定化による入退の管理の容易化、所在表示の制限等の措置を講ずるものとする。

3 情報保護管理者は、必要があると認めるときは、特定個人情報を記録する媒体等を保管するための施設(以下「保管施設」という。)を情報システム室等とみなして、当該施設において前2項の措置と同様の措置を講ずるものとする。

4 情報保護管理者は、情報システム室等及び保管施設の入退の管理について必要があると認めるときは、立入りに係る認証機能を設定し、当該認証機能に係るパスワード等の管理に関する定めを整備(その定期又は随時の見直しを含む。)し、及び当該パスワード等の読取防止等を行うために必要な措置を講ずるものとする。

(情報システム室等の管理)

第48条 情報保護管理者は、外部からの不正な侵入に備え、情報システム室等に施錠装置、警報装置及び監視設備の設置等の措置を講ずるものとする。

2 情報保護管理者は、災害等に備え、情報システム室等に耐震、防火、防煙、防水等の災害等の対応に必要な措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の情報システムの継続的な稼働のために必要な措置を講ずるものとする。

第8章 特定個人情報の提供及び業務の委託等

(特定個人情報の提供)

第49条 情報保護管理者は、番号法第19条各号のいずれかに該当する場合を除き、特定個人情報を提供してはならない。

2 事務取扱担当者は、特定個人情報を照会し、及び提供した場合には、番号法の規定により次に掲げる事項を記録し、当該記録を7年間保存しなければならない。

(1) 情報照会者及び情報提供者の名称

(2) 提供の求めの日時及び提供があったときはその日時

(3) 特定個人情報の項目

(4) 前3号に掲げるもののほか、行政手続における特定の個人を識別するための番号の利用等に関する法律に規定する個人番号、個人番号カード、特定個人情報の提供等に関する命令(平成26年総務省令第85号)第47条第1項各号に掲げる事項

3 情報保護管理者は、魚津市行政手続における個人番号の利用等に関する条例第4条第2項の規定に基づき、同条例第2条第1号の実施機関に特定個人情報を提供する場合において、必要があると認めるときは、前項の措置を講じなければならない。

(業務の委託等)

第50条 特定個人情報の取扱いに関する事務を外部に委託する場合には、委託先において番号法に基づき市が果たすべき安全管理措置と同等の措置が講じられるか否かについてあらかじめ確認し、個人情報の適切な管理を行う能力を有しない者を委託先として選定することがないよう、必要な措置を講ずるものとする。

2 前項の委託に係る契約を締結する際は、契約書に次に掲げる事項を明記するほか、委託先における事務責任者及び事務従事者(この項において「従業者」という。)の管理体制、複製等の制限その他必要な事項について書面で確認するものとする。

(1) 特定個人情報に係る秘密保持義務に関する事項

(2) 事業所内からの特定個人情報の持ち出しの禁止に関する事項

(3) 特定個人情報の目的外利用の禁止に関する事項

(4) 特定個人情報を取り扱う従業者の明確化

(5) 従業者に対する監督及び教育に関する事項

(6) 契約内容の遵守状況の報告に関する事項

(7) 再委託の制限又は事前に承認を得て行う再委託の条件

(8) 委託契約終了後の特定個人情報の返還又は廃棄に関する事項

(9) 市が必要であると認めるときに委託先に対して行う実地調査に関する事項

(10) 情報漏えい等の事案が発生した場合の委託先の対応及び責任に関する事項

3 特定個人情報の取扱いに関する事務を外部に委託する場合には、委託する特定個人情報の秘匿性等その内容に応じて、委託先における個人情報の管理の状況について、定期的に又は必要に応じて検査等により確認するとともに、委託先において市が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行うものとする。

4 委託先が、特定個人情報の取扱いに係る業務を再委託(再々委託を含む。以下同じ。)する場合は、再委託先の選定に当たって委託先に第1項の措置を講じさせるとともに、再委託される業務に係る特定個人情報の秘匿性等その内容に応じて、委託先を通じて又は委託元自らが前項に規定する措置を実施しなければならない。

5 個人番号利用事務等の全部又は一部の委託を受けた者が再委託をする際には、委託をする個人番号利用事務等において取り扱う特定個人情報の適切な安全管理が図られることを確認した上で再委託の諾否を判断する。

6 特定個人情報の取扱いに関する事務の全部又は一部の委託を受けた者(再委託又は再々委託を受けた者を含む。)が当該事務を派遣労働者、契約社員その他正社員以外の労働者に行わせるときは、当該労働者に係る労働契約書に特定個人情報の取扱いに関する事項を明記する等、当該労働者に特定個人情報の適切な取扱いを遵守させなければならない。

第9章 安全確保上の問題への対応

(事案の報告及び再発防止措置)

第51条 職員等は、情報漏えい等の事案の発生又は兆候を把握した場合、事務取扱担当者が取扱規程等に違反している事実又は兆候を把握した場合等、特定個人情報の安全確保上で問題となる事案又は問題となる事案の発生のおそれを認識したときは、直ちに情報保護管理者に報告しなければならない。

2 情報保護管理者は、前項の報告を受けたときは、被害の拡大防止又は復旧等のために必要な措置を速やかに講ずるものとする。この場合において、情報保護管理者は、外部からの不正アクセス又は不正プログラムの感染が疑われる場合に当該端末等のLANケーブルを抜く等、被害拡大防止のため直ちに行い得る措置があるときは、自ら又は職員等に命じて直ちに当該措置を行うものとする。

3 情報保護管理者は、特定個人情報の安全確保上で問題となる事案の発生した経緯、被害状況等を調査し、情報保護責任者及び最高情報保護責任者に報告するものとする。ただし、情報保護管理者は、安全確保上特に重大と認める事案が発生したときは、情報保護責任者及び最高情報保護責任者に直ちにその概要を報告しなければならない。

4 情報保護管理者は、特定個人情報の安全確保上で問題となる事案の発生した原因を分析し、再発防止のために必要な措置を講ずるものとする。

(公表等)

第52条 最高情報保護責任者は、発生した情報漏えい等の事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る特定個人情報の本人への対応等の措置を講ずるものとする。

2 前項の措置は、原則として、次の各号に掲げる区分に応じ、当該各号に定める措置を講ずるものとする。ただし、発生した事案が特定個人情報の安全確保上特に重大と認めるものであるときは、この限りでない。

(1) 組織内における報告及び被害の拡大防止

責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。

(2) 事実関係の調査及び原因の究明

事実関係を調査し、番号法に違反している事案又は番号法に違反するおそれのある事案が把握できた場合には、その原因の究明を行う。

(3) 影響範囲の特定

前号に規定する措置により把握した事実関係による影響の範囲を特定する。

(4) 影響を受ける可能性のある本人への連絡等

事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く。

(5) 個人情報保護委員会への報告

市は、番号法に違反している事案又は番号法に違反するおそれのある事案を把握した場合には、事実関係及び再発防止策等について、速やかに個人情報保護委員会に報告し、実施機関は、重大事態に該当する事案又はそのおそれのある事案が発覚した時点で、直ちにその旨を個人情報保護委員会に報告する。

(6) 再発防止策の検討及び実施

第2号に規定する措置により究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。

(7) 事実関係、再発防止策等の公表

事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等について、速やかに公表する。

第10章 監査及び点検の実施

(監査)

第53条 監査責任者は、特定個人情報の管理の状況について、定期又は随時に監査(外部監査を含む。以下同じ。)を行い、その結果を最高情報保護責任者に報告しなければならない。

(点検)

第54条 情報保護管理者は、自ら管理責任を有する特定個人情報を記録した媒体等、処理経路、保管方法等について、定期又は随時に点検を行い、必要があると認めるときは、その結果を最高情報保護責任者及び情報保護責任者に報告するものとする。

(評価及び見直し)

第55条 最高情報保護責任者及び情報保護責任者は、監査又は点検の結果等を踏まえ、実効性等の観点から特定個人情報の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずるものとする。

第11章 細則

第56条 この規程に定めるもののほか、必要な事項は、別に定める。

この訓令は、公表の日から施行する。

(令和2年9月17日訓令第5号)

この訓令は、公表の日から施行する。

(令和3年3月31日訓令第4号)

この訓令は、令和3年4月1日から施行する。

(令和4年2月16日訓令第1号)

この訓令は、公表の日から施行する。

魚津市特定個人情報の取扱いに関する管理規程

平成29年7月18日 訓令第7号

(令和4年2月16日施行)

体系情報
第3編 行政通則/第4章 情報管理
沿革情報
平成29年7月18日 訓令第7号
令和2年9月17日 訓令第5号
令和3年3月31日 訓令第4号
令和4年2月16日 訓令第1号