○高島市保有個人情報の安全管理の措置に関する取扱規程
令和5年9月1日
訓令第17号
目次
第1章 総則(第1条・第2条)
第2章 管理体制(第3条―第7条)
第3章 教育研修(第8条)
第4章 職員の責務(第9条)
第5章 保有個人情報の取扱い(第10条―第17条)
第6章 保有個人情報の提供(第18条)
第7章 保有個人情報の取扱いの委託等(第19条)
第8章 安全管理上の問題への対応(第20条―第22条)
第9章 監査および点検の実施(第23条―第25条)
第10章 情報セキュリティ(第26条)
第11章 雑則(第27条)
付則
別記
第1章 総則
(趣旨)
第1条 この訓令は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第66条第1項に定めるところにより、市が保有する個人情報(以下「保有個人情報」という。)の安全管理のための必要かつ適切な措置に関し、必要な事項を定めるものとする。
(定義)
第2条 この訓令において使用する用語の意義は、法および高島市個人情報の保護に関する法律施行条例(令和4年高島市条例第40号)に定めるところによる。
第2章 管理体制
(総括保護管理者)
第3条 総括保護管理者は市長を補佐し、保有個人情報の管理に関する事務を総括する任に当たる。
(保護管理者)
第4条 保護管理者は、各課等における保有個人情報の適切な管理を確保する任に当たる。ただし、保有個人情報を高島市情報システム管理運営規程(平成17年高島市訓令第53号)第2条第5号に規定する情報システム(以下「情報システム」という。)で取り扱う場合は、保護管理者は、当該情報システムの管理者と連携して、その任に当たる。
(保護担当者)
第5条 保護担当者は、保護管理者を補佐し、各課等における保有個人情報の管理に関する事務を担当する。
(監査責任者)
第6条 監査責任者は、保有個人情報の管理状況についての監査を行うものとする。
(保有個人情報の適切な管理のための体制)
第7条 保護管理者は、次に掲げる組織体制を整備する。
(1) 職員がこの訓令に違反している事実または兆候を把握した場合の総括保護管理者への報告連絡体制
(2) 保有個人情報の漏えい、滅失、改ざんまたは毀損等(以下「情報漏えい等」という。)の事案の発生または兆候を把握した場合の職員から総括保護管理者への報告連絡体制
(3) 同一保有個人情報を複数の課等で取り扱う場合の職務分担および責任の明確化
(4) 情報漏えい等の事案の発生または兆候を把握した場合の体制
第3章 教育研修
(教育研修)
第8条 総括保護管理者は、職員に対し、保有個人情報の取り扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発、その他必要な教育研修を定期的に行うものとする。
2 総括保護管理者は、保有個人情報を取り扱う情報システムの管理に関する事務に従事する職員に対し、保有個人情報の適切な管理のために、情報システムの管理、運用およびセキュリティ対策に関して必要な教育研修を定期的に行うものとする。
3 総括保護管理者は、保護管理者および保護担当者に対し、課等の現場における保有個人情報の適切な管理のための教育研修を定期的に実施するものとする。
4 保護管理者は、課等の職員に対し、保有個人情報の適切な管理のために、教育研修への参加の機会を付与するよう努めなければならない。
第4章 職員の責務
(職員の責務)
第9条 職員は、法の趣旨にのっとり、関連する法令および規程等の規定ならびに総括保護管理者、保護管理者および保護担当者の指示に従い、保有個人情報を取り扱わなければならない。
第5章 保有個人情報の取扱い
(アクセス制限)
第10条 保護管理者は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報にアクセスする権限を有する職員を必要最低限に限定しなければならない。
2 アクセス権限を有しない職員は、保有個人情報にアクセスしてはならない。
3 職員は、アクセス権限を有する場合であっても、業務上の目的以外の目的で保有個人情報にアクセスしてはならず、また、アクセスは必要最小限としなければならない。
(複製等の制限)
第11条 職員が業務上の目的で保有個人情報を取り扱う場合であっても、保護管理者は、次に掲げる行為については、当該保有個人情報の秘匿性等その内容に応じて、当該行為を行うことができる場合を必要最小限に限定するとともに、職員は、保護管理者の指示に従い行うものとする。
(1) 保有個人情報の複製
(2) 保有個人情報の送信
(3) 保有個人情報が記録されている媒体の外部への送付または持ち出し
(4) その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為
(誤りの訂正等)
第12条 職員は、保有個人情報の内容に誤り等を発見した場合には、保護管理者の指示に従い、その訂正等を行うものとする。
(媒体の管理等)
第13条 職員は、保護管理者の指示に従い、保有個人情報の記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、施錠ができるキャビネット等に保管するものとする。
2 職員は、保有個人情報が記録されている媒体を外部へ送付し、または持ち出す場合は、原則として、パスワード、ICカード、生体情報等(以下「パスワード等」という。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等、アクセス制御のために必要な措置を講ずるものとする。
(誤送付等の防止)
第14条 職員は、保有個人情報を含む電磁的記録または、媒体の誤送信、誤送付、誤交付、またはウェブサイト等への誤掲載を防止するため、個別の事務または事業において取り扱う保有個人情報の秘匿性等その内容に応じ、複数の職員による確認、チェックリストの活用等の必要な措置を講ずるものとする。
(廃棄等)
第15条 職員は、保有個人情報または保有個人情報が記録されている媒体(端末およびサーバに内蔵されているものを含む。)が不要となった場合は、保護管理者の指示に従い、当該保有個人情報の復元または判読が不可能な方法により当該保有個人情報の消去または当該媒体の廃棄を行うものとする。
2 保有個人情報の消去または保有個人情報が記録されている媒体の廃棄を委託する場合は、必要に応じて職員がその消去および廃棄に立ち会い、または写真等を付した消去および廃棄を証明する書類を受け取る等、委託先において消去および廃棄が確実に行われていることを確認するものとする。
(保有個人情報の取扱状況の記録)
第16条 保護管理者は、保有個人情報の取扱状況等を一元的に管理するための所定の個人情報ファイル簿を作成し、保有個人情報の利用および保管等の取り扱いの状況を記録しなければならない。
(外的環境の把握)
第17条 保護管理者は、保有個人情報を外国(民間事業者が提供するクラウドサービスを利用する場合においては、クラウドサービス提供事業者が所在する外国および個人データが保存されるサーバが所在する外国を含む。)において取り扱う場合は、当該外国の個人情報の保護に関する制度等を把握した上で、保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。
第6章 保有個人情報の提供
(保有個人情報の提供)
第18条 保護管理者は、法第69条第2項の規定に基づき行政機関等以外の者に保有個人情報を提供する場合は、法第70条の規定に基づき、原則として、提供先における利用目的、利用する業務の根拠法令、利用する記録範囲および記録項目、利用形態等について提供先との間で書面(電磁的記録を含む。)を取り交わすものとする。
2 保護管理者は、法第69条第2項第3号および第4号の規定に基づき行政機関等以外の者に保有個人情報を提供する場合は、法第70条の規定に基づき安全確保の措置を要求するとともに、必要があると認めるときは、提供前または随時に実地の調査等を行い、措置状況を確認してその結果を記録するとともに、改善要求等の措置を講ずるものとする。
第7章 保有個人情報の取扱いの委託等
(業務の委託等)
第19条 保有個人情報の取り扱いに係る業務の全部または一部を外部に委託する場合は、個人情報取扱業務委託特記事項(別記1)に定める措置を講じさせなければならない。
2 公の施設(地方自治法(昭和22年法律第67号)第244条第1項に規定する公の施設をいう。)の管理を指定管理者(同法第244条の2第3項に規定する指定管理者をいう。)に行わせる場合においては、指定管理者個人情報取扱特記事項(別記2)に定める措置を講じなければならない。
3 保有個人情報の取り扱いに係る業務を派遣労働者によって行わせる場合は、労働者派遣契約書に秘密保持義務等個人情報の取り扱いに関する事項を明記するものとする。
第8章 安全管理上の問題への対応
(事案の報告および再発防止措置)
第20条 保有個人情報の漏えい等安全管理の上で問題となる事案または問題となる事案の発生のおそれを認識した場合は、その事案等を認識した職員は、直ちに当該保有個人情報を管理する保護管理者に報告しなければならない。
2 保護管理者は、被害の拡大防止または復旧等のために必要な措置を速やかに講ずるものとする。ただし、外部からの不正アクセスや不正プログラムの感染が疑われる当該端末等の電源遮断など、被害拡大防止のため直ちに行い得る措置(職員に行わせることを含む。)については、直ちに行うものとする。
3 保護管理者は、事案の発生した経緯、被害状況等を調査し、総括保護管理者に報告しなければならない。ただし、特に重大と認める事案が発生した場合には、直ちに総括保護管理者に当該事案の内容等について報告しなければならない。
4 総括保護管理者は、前項の規定に基づく報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を市長に速やかに報告しなければならない。
5 保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講じるとともに、同種の業務を実施している各課等に再発防止措置を共有するものとする。
(法に基づく報告および通知)
第21条 保有個人情報の漏えい等が生じた場合であって法第68条第1項の規定による個人情報保護委員会(以下「委員会」という。)への報告および同条第2項の規定による本人への通知を要するものについては、前条の報告および措置と並行し、速やかに所定の手続きを行うとともに、委員会による事案の把握等に協力するものとする。
(公表等)
第22条 市長は、法第68条第1項の規定による委員会への報告および同条第2項の規定による本人への通知を要しない場合であっても、事務の内容、影響等に応じて事実関係および再発防止策を公表するとともに、当該事案に係る保有個人情報の本人への連絡等の措置を講ずるものとする。
2 市長は、公表が必要な保有個人情報の漏えいや市民の不安を招きかねない事案が発生した場合は、当該事案の内容、経緯、被害状況等について、速やかに委員会へ情報提供を行うものとする。
第9章 監査および点検の実施
(監査)
第23条 監査責任者は、保有個人情報の適切な管理を検証するため、法その他関係法令およびこの訓令に基づく適正な管理のための措置の状況を含む保有個人情報の管理の状況について定期および随時に監査を行うとともに、その結果を総括保護管理者に報告するものとする。
(点検)
第24条 保護管理者は、各課等における保有個人情報の記録媒体、処理経路、保管方法等について、定期および随時に点検を行うとともに、必要があると認めるときは、その結果を総括保護管理者に報告するものとする。
第10章 情報セキュリティ
(情報セキュリティ)
第26条 保有個人情報の安全管理のために必要な情報システムのセキュリティに関することは、高島市情報セキュリティポリシーによるものとする。
第11章 雑則
(その他)
第27条 この訓令に定めるほか、保有個人情報の安全管理に関し必要な事項は、市長が別に定めるものとする。
付則
この訓令は、令和5年9月1日から施行する。
別記1(第19条関係)
個人情報取扱業務委託特記事項
(基本的事項)
第1 乙は、この契約による業務を処理するための個人情報の取り扱いに当たっては、個人情報の保護の重要性を認識し、個人の権利利益を侵害することのないように、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)その他関係法令を遵守し、適切に取り扱わなければならない。
(秘密の保持)
第2 乙は、この契約による業務に関して知り得た個人情報の内容をみだりに他人に知らせ、または不当な目的に利用してはならない。この契約が終了し、または解除された後においても、また同様とする。
(適正な管理)
第3 乙は、この契約による業務を処理するための個人情報の漏えい、滅失、改ざん、毀損等の防止その他の個人情報の適切な管理のために、法その他関係法令に基づき、安全管理措置を講じなければならない。
2 乙は、前項の措置に係る規定等を整備するとともに、管理責任者および業務従事者の管理体制および実施体制ならびにこの契約による業務を処理するための個人情報の管理の状況に係る自己点検に関する事項等の必要な事項を定め、甲から報告を求められた場合は、書面により甲に通知しなければならない。
(従事者への監督および教育の実施)
第4 乙は、この契約による業務の処理に関し、個人情報を取り扱う従事者を明確にし、当該従事者が本特記事項を遵守するように監督するとともに、在職中および退職後においても、この契約による業務に関して知り得た個人情報の内容をみだりに他人に知らせ、または不当な目的に利用してはならないこと等、個人情報の保護に関して必要な事項について、教育および研修をしなければならない。
(取得の制限)
第5 乙は、この契約による業務を処理するために個人情報を取得するときは、業務の目的を達成するために必要な範囲内で、適法かつ公正な手段により行わなければならない。
(取扱制限)
第6 乙は、この契約による業務を処理するに当たって、個人情報を取り扱う権限を有する従事者およびその従事者に付与する権限を必要最小限のものとし、取り扱う権限を有しない従事者に個人情報の取り扱いをさせてはならない。
(目的外利用および第三者への提供の禁止)
第7 乙は、甲の指示または承諾がある場合を除き、この契約による業務に関して知り得た個人情報をこの契約による業務の目的以外の目的で利用または第三者に提供してはならない。
(消去等)
第8 乙は、この契約による業務を処理するための個人情報または個人情報が記録されている媒体(端末およびサーバに内蔵されているものを含む。)が不要となった場合は、甲の指示に従い、当該個人情報の復元または判読が不可能な方法により当該個人情報の消去または当該媒体の廃棄を行わなければならない。
(複製等の制限)
第9 乙は、この契約による業務を処理するための個人情報の複製および送信ならびに個人情報が記録されている媒体の個人情報を取り扱う事務を実施する区域外への送付または持ち出しをしてはならない。ただし、甲の指示または承諾がある場合は、この限りでない。
(再委託等の制限)
第10 乙は、この契約による業務を処理するための個人情報を自ら取り扱うものとし、甲の承諾を得た場合に限り、その取り扱いを再委託先(再委託先が乙の子会社である場合を含む。)に委託することができる。再委託先が再々委託を行う場合を含み(再々委託先が再委託先の子会社である場合を含む。)、以降もまた同様とする。
(再委託先等の安全管理措置)
第11 乙は、再委託を行う場合は、再委託先に対して本特記事項における安全管理措置を講じさせなければならない。再委託先が再々委託を行う場合を含み、以降もまた同様とする。
(資料等の返還等)
第12 乙は、この契約による業務を処理するために甲から提供を受け、または乙自らが取得し、もしくは作成した個人情報が記録された資料等(第9ただし書の規定により複製したものを含む。)を、この契約の終了後直ちに甲に返還し、または引き渡し、もしくは第8に規定する消去または廃棄をするものとする。ただし、甲が別に指示したときは、その方法によるものとする。
(点検および実地検査等)
第13 乙は、甲から報告を求められた場合は随時に、乙がこの契約による業務を処理するための個人情報の取扱状況および本特記事項の遵守状況について点検を実施し、甲に報告しなければならない。
2 甲は、乙がこの契約による業務を処理するための個人情報の取扱状況および本特記事項の遵守状況について、随時実地により乙に対して検査を行うことができる。
3 乙がこの契約による業務の処理を再委託する場合は、乙を通じて、または甲により前項の検査を実施する。再委託先が再々委託を行う場合を含み、以降もまた同様とする。
4 乙は、前3項に定める点検または実地検査の結果、甲からこの契約による業務を処理するための個人情報の取り扱いに関して改善を指示された場合は、その指示に従わなければならない。
(事故発生時等における対応)
第14 乙は、本特記事項に違反する事態が生じ、または生じるおそれのあることを知ったときは、直ちに甲に報告し、甲の指示に従うものとする。
2 乙は、本特記事項に違反した者に対し、法令または内部規程その他関係規程に基づき厳正に対処しなければならない。
(損害賠償)
第15 乙は、本特記事項に違反したことにより甲または第三者に損害を与えたときは、その損害を賠償しなければならない。
(契約の解除)
第16 甲は、乙が本特記事項に違反していると認めたときは、この契約を解除することができる。
注1 「甲」は高島市を、「乙」は受託者をいう。
2 個人情報に係る業務の処理の委託の実態に即して、適宜必要な事項を追加するものとする。
別記2(第19条関係)
指定管理者個人情報取扱特記事項
(基本的事項)
第1 乙は、この協定による業務を処理するための個人情報の取り扱いに当たっては、個人情報の保護の重要性を認識し、個人の権利利益を侵害することのないように、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)その他関係法令を遵守し、適切に取り扱わなければならない。
(保守および管理の主体)
第2 この協定による業務を処理するための個人情報の保有および管理の主体は、乙とする。ただし、甲および乙が相互に協議の上、別に定めを置くときは、この限りでない。
(秘密の保持)
第3 乙は、この協定による業務に関して知り得た個人情報の内容をみだりに他人に知らせ、または不当な目的に利用してはならない。この協定が終了し、または解除された後においても、また同様とする。
(適正な管理)
第4 乙は、この協定による業務を処理するための個人情報の漏えい、滅失、改ざん、毀損等の防止その他個人情報の適切な管理のために、法その他関係法令に基づき、安全管理措置を講じなければならない。
2 乙は、前項の措置に係る規定等を整備するとともに、管理責任者および業務従事者の管理体制および実施体制ならびにこの協定による業務を処理するための個人情報の管理の状況に係る自己点検に関する事項等の必要な事項を定め、甲から報告を求められた場合は、書面により甲に通知しなければならない。
(従事者への監督および教育の実施)
第5 乙は、この協定による業務の処理に関し、個人情報を取り扱う従事者を明確にし、当該従事者が本特記事項を遵守するように監督するとともに、在職中および退職後においても、この協定による業務に関して知り得た個人情報の内容をみだりに他人に知らせ、または不当な目的に利用してはならないこと等、個人情報の保護に関して必要な事項について、教育および研修をしなければならない。
(取得の制限)
第6 乙は、この協定による業務を処理するために個人情報を取得するときは、業務の目的を達成するために必要な範囲内で、適法かつ公正な手段により行わなければならない。
(取扱制限)
第7 乙は、この協定による業務を処理するに当たって、個人情報を取り扱う権限を有する従事者およびその従事者に付与する権限を必要最小限のものとし、取り扱う権限を有しない従事者に個人情報の取り扱いをさせてはならない。
(目的外利用および第三者への提供の禁止)
第8 乙は、甲の指示または承諾がある場合を除き、この協定による業務に関して知り得た個人情報をこの協定による業務の目的以外の目的で利用し、または第三者に提供してはならない。
(消去等)
第9 乙は、この協定による業務を処理するための個人情報または個人情報が記録されている媒体(端末およびサーバに内蔵されているものを含む。)が不要となった場合は、甲の指示に従い、当該個人情報の復元または判読が不可能な方法により当該個人情報の消去または当該媒体の廃棄を行わなければならない。
(複製等の制限)
第10 乙は、この協定による業務を処理するための個人情報の複製および送信ならびに個人情報が記録されている媒体の個人情報を取り扱う事務を実施する区域外への送付または持ち出しをしてはならない。ただし、甲の指示または承諾がある場合は、この限りでない。
(委託等の制限)
第11 乙は、この協定による業務を処理するための個人情報を自ら取り扱うものとし、甲の承諾を得た場合に限り、その取り扱いを委託先(委託先が乙の子会社である場合を含む。)に委託することができる。委託先が再委託を行う場合を含み(再委託先が委託先の子会社である場合を含む。)、以降もまた同様とする。
(委託先等の安全管理措置)
第12 乙は、委託を行う場合は、委託先に対して本特記事項における安全管理措置を講じさせなければない。委託先が再委託を行う場合を含み、以降もまた同様とする。
(資料等の返還等)
第13 乙は、この協定による業務を処理するために甲から提供を受け、または乙自らが取得し、もしくは作成した個人情報が記録された資料等(第10ただし書の規定により複製したものを含む。)を、この協定の終了後直ちに甲に返還し、または引き渡し、もしくは第9に規定する消去または廃棄するものとする。ただし、甲が別に指示したときは、その方法によるものとする。
(点検および実地検査等)
第14 乙は、甲から報告を求められた場合は随時に、乙がこの協定による業務を処理するための個人情報の取扱状況および本特記事項の遵守状況について点検を実施し、甲に報告しなければならない。
2 甲は、乙がこの協定による業務を処理するための個人情報の取扱状況および本特記事項の遵守状況について、随時実地により乙に対して検査を行うことができる。
3 乙がこの協定による業務の処理を委託する場合は、乙を通じて、または甲により前項の検査を実施する。委託先が再委託を行う場合を含み、以降もまた同様とする。
4 乙は、前3項に定める点検または実地検査の結果、甲からこの協定による業務を処理するための個人情報の取り扱いに関して改善を指示された場合は、その指示に従わなければならない。
(開示、訂正または利用停止の請求があった場合の対応)
第15 乙は、この協定による業務を処理するための個人情報の開示、訂正または利用停止の請求があった場合の対応に関する規定等を整備するとともに、必要な措置を講じなければならない。
(事故発生等における対応)
第16 乙は、本特記事項に違反する事態が生じ、または生じるおそれのあることを知ったときは、直ちに甲に報告し、甲の指示に従うものとする。
2 乙は、本特記事項に違反した者に対し、法令または内部規程その他関係規程に基づき厳正に対処しなければならない。
(損害賠償)
第17 乙は、本特記事項に違反したことにより甲または第三者に損害を与えたときは、その損害を賠償しなければならない。
(協定の解除)
第18 甲は、乙が本特記事項に違反していると認めたときは、この協定を解除することができる。
注1 「甲」は高島市を、「乙」は指定管理者をいう。
2 指定管理業務の内容に即して、適宜必要な事項を追加するものとする。