高島市特定個人情報等の安全管理の措置に関する取扱規程

○高島市特定個人情報等の安全管理の措置に関する取扱規程

令和6年3月31日

訓令第6号

(趣旨)

第1条　この訓令は、行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)および高島市個人番号の利用に関する条例(平成27年高島市条例第52号。以下「番号利用条例」という。)に定めるもののほか、特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体編)(平成26年特定個人情報保護委員会告示第6号。以下「ガイドライン」という。)に基づき、市の実施機関における個人番号および特定個人情報(以下「特定個人情報等」という。)の適正な取扱いに関する管理および運用について必要な事項を定める。

(定義)

第2条　この訓令において使用する用語の意義は、番号法、個人情報保護法、番号利用条例およびガイドライン(以下「関係法令等」という。)において定めるところによる。

(基本方針)

第3条　特定個人情報等の取扱いについては、関係法令等を遵守し、この訓令に定める事項を踏まえ、特定個人情報の適正な取扱いを確保するものとする。

(総括保護管理者)

第4条　総括保護管理者は市長を補佐し、特定個人情報等の管理に関する事務を総括する任に当たる。

(保護管理者)

第5条　保護管理者は、個人番号利用事務または個人番号関係事務(以下「個人番号利用事務等」という。)を実施する課等における特定個人情報等の適切な管理を確保する任に当たる。ただし、特定個人情報等を高島市情報システム管理運営規程(平成17年高島市訓令第53号)第2条第5号に規定する情報システム(以下「情報システム」という。)で取り扱う場合は、保護管理者は、当該情報システムの管理者と連携して、その任に当たる。

(事務取扱担当者)

第6条　事務取扱担当者は、関係法令等および保護管理者が指示した事項に従い、特定個人情報等の保護に十分な注意を払ってその業務を行うものとする。

(監査責任者)

第7条　監査責任者は、特定個人情報等の管理状況についての監査を行うものとする。

(特定個人情報等の適切な管理のための体制)

第8条　保護管理者は、次の事務を行うものとする。

2　事務取扱担当者の指定およびその役割の明確化

3　事務取扱担当者が取り扱う特定個人情報等の範囲の指定

4　次に掲げる組織体制の整備

(1)　職員がこの訓令に違反している事実または兆候を把握した場合の総括保護管理者への報告連絡体制

(2)　特定個人情報等の漏えい、滅失、改ざんまたは毀損等(以下「情報漏えい等」という。)の事案の発生または兆候を把握した場合の職員から総括保護管理者への報告連絡体制

(3)　同一特定個人情報等を複数の課等で取り扱う場合の職務分担および責任の明確化

(4)　情報漏えい等の事案の発生または兆候を把握した場合の体制

(事務取扱担当者の監督)

第9条　総括保護管理者および保護管理者は、特定個人情報等が本管理規程に基づき適正に取り扱われるよう、事務取扱担当者に対して、必要かつ適切な監督を行うものとする。

(教育研修)

第10条　総括保護管理者は、職員に対し、特定個人情報等の正確な取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。

2　総括保護管理者は、特定個人情報等を取り扱う情報システムの管理に関する事務に従事する職員に対し、特定個人情報等の適切な管理のために、情報システムの管理、運用およびセキュリティ対策に関して必要な教育研修を行うものとする。

3　総括保護管理者は、保護管理者および職員に対し、課等における特定個人情報等の適切な管理のために必要な教育研修を行うものとする。

4　保護管理者は職員に対し、教育研修の参加の機会を付与するとともに、研修未受講者に対して再受講の機会を付与する等の必要な措置を講ずるものとする。

(職員の責務)

第11条　職員は、関連法令等および本管理規程ならびに総括保護管理者および保護管理者の指示に従い、特定個人情報等を取り扱わなければならない。

(アクセス制限)

第12条　保護管理者は、特定個人情報等の秘匿性等その内容に応じて、当該特定個人情報等にアクセスする権限(以下「アクセス権限」という。)を有する職員を必要最低限にしなければならない。

2　アクセス権限を有しない職員は、特定個人情報等にアクセスしてはならない。

3　職員は、アクセス権限を有する場合であっても、業務上の目的以外の目的で特定個人情報等にアクセスしてはならず、アクセスは必要最小限としなければならない。

(複製等の制限)

第13条　職員は業務上の目的で特定個人情報等を取り扱う場合であっても、次に掲げる行為については、保護管理者の指示に従い行うものとする。

(1)　特定個人情報等の複製

(2)　特定個人情報等の送信

(3)　特定個人情報等が記録されている媒体の外部への送付または持ち出し

(4)　その他特定個人情報等の適切な管理に支障を及ぼすおそれのある行為

(誤りの訂正等)

第14条　職員は、特定個人情報等の内容に誤り等を発見した場合には、保護管理者の指示に従い、その訂正等を行うものとする。

(媒体の管理等)

第15条　職員は、保護管理者の指示に従い、特定個人情報等の記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、施錠ができるキャビネット等に保管するものとする。

2　職員は、特定個人情報等が記録されている媒体を外部へ送付または持ち出す場合は、パスワード、ICカード、生体情報等を使用して権限を識別する機能を設定する等アクセス制御のために必要な措置を講じなければならない。

(誤送付等の防止)

第16条　職員は、特定個人情報等を含む電磁的記録または媒体の誤送信、誤送付、誤交付、またはウェブサイト等への誤掲載を防止するため、個別の事務または事業において取り扱う特定個人情報等の秘匿性等その内容に応じ、複数の職員による確認、チェックリストの活用等の必要な措置を講じなければならない。

(廃棄等)

第17条　職員は、特定個人情報等または特定個人情報等が記録されている媒体(端末およびサーバに内蔵されているものを含む。)および書類等について、文書管理に関する規程等によって定められている保存期間を経過した場合には速やかに復元不可能な手段で削除または廃棄しなければならない。

2　職員は、特定個人情報等の消去または特定個人情報等が記録されている媒体の廃棄を委託する場合は、必要に応じて職員がその消去および廃棄に立ち会い、または写真等を付した消去および廃棄を証明する書類を受け取る等、委託先において消去および廃棄が確実に行われていることを確認するものとする。

(取扱区域)

第18条　保護管理者は、特定個人情報等を取り扱う事務を実施する区域(取扱区域)においては、事務取扱担当者等以外の者が特定個人情報等を閲覧できないように留意するほか、書類等の盗難または紛失等を防止するために施錠可能な場所への保管等の物理的な安全管理措置を講ずるものとする。

(特定個人情報等の取扱状況の記録)

第19条　保護管理者は、特定個人情報ファイルの取扱状況を確認する手段を整備し、当該特定個人情報等の利用および保管等の取扱状況について記録しなければならない。

(外的環境の把握)

第20条　保護管理者は、外国において特定個人情報等を取り扱う場合は、当該外国の個人情報の保護に関する制度等を把握した上で、特定個人情報等の安全管理のために必要かつ適切な措置を講じなければならない。

(特定個人情報等の提供)

第21条　保護管理者は、番号法第19条各号の規定に基づき市の機関以外の者に特定個人情報等を提供する場合は、別に定める記録表等に記録するものとする。ただし、情報提供ネットワークシステムを使用して特定個人情報等の提供を行う場合は、この限りでない。

2　保護管理者は、番号法第19条各号の規定に基づき市の機関以外の者に特定個人情報等を提供する場合には、安全確保の措置を要求するとともに、必要があると認めるときは、提供前または随時に実地の調査等を行い、改善要求等の措置を講ずるものとする。

3　保護管理者は、番号法に定められた場合を除き、特定個人情報等を提供してはならない。

(業務の委託等)

第22条　保護管理者は、個人番号利用事務等の全部または一部を委託する場合には、委託先において、番号法に基づき市が果たすべき安全管理措置と同等の措置が講じられているかあらかじめ確認しなければならない。

2　保護管理者は、個人番号利用事務等の全部または一部を委託する場合は、特定個人情報等取扱業務委託特記事項(別記1)に定める措置を講じさせなければならない。

3　保護管理者は、個人番号利用事務等の全部または一部を委託した場合、委託先における特定個人情報等の取扱状況を把握するものとする。

4　保護管理者は、個人番号利用事務等において全部または一部の委託を受けたものが再委託する場合には、委託をする個人番号利用事務において取り扱う特定個人情報等の適切な安全管理措置が図られていることを確認した上で再委託の諾否を判断するものとする。

(事案の報告および再発防止措置)

第23条　職員は、特定個人情報等の漏えい等安全管理の上で問題となる事案または問題となる事案の発生のおそれを認識した場合は直ちに当該特定個人情報等を管理する保護管理者に報告しなければならない。

2　保護管理者は、被害の拡大防止または復旧等のために必要な措置を速やかに講ずるものとする。ただし、外部からの不正アクセスや不正プログラムの感染が疑われる当該端末等の電源遮断など、被害拡大防止のため直ちに行い得る措置(職員に行わせることを含む。)については、直ちに行うものとする。

3　保護管理者は、事案の発生した経緯、被害状況等を調査し、総括保護管理者に報告しなければならない。ただし、特に重大と認める事案が発生した場合には、直ちに総括保護管理者に当該事案の内容等について報告しなければならない。

4　総括保護管理者は、前項の規定に基づく報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を市長に速やかに報告しなければならない。

5　保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講じるとともに、同種の業務を実施している各課等に再発防止措置を共有するものとする。

(公表等)

第24条　市長は、事案の内容、影響等に応じて、事実関係および再発防止策の公表、当該事案に係る本人への対応等の措置を講ずるものとする。

(監査)

第25条　監査責任者は、特定個人情報等の管理状況について、定期におよび必要があると認めるときは、随時に監査を行い、その結果を総括保護管理者に報告するものとする。

(点検)

第26条　保護管理者は、各課等における特定個人情報等の記録媒体、処理経路、保管方法等について、定期および随時に点検を行うとともに、必要があると認めるときは、その結果を総括保護管理者に報告するものとする。

(評価および見直し)

第27条　総括保護管理者および保護管理者は、第25条に規定する監査または前条に規定する点検の結果等を踏まえ、実効性等の観点から特定個人情報等の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずるものとする。

(情報セキュリティ)

第28条　特定個人情報等の安全管理のために必要な情報システムのセキュリティに関することは、高島市情報セキュリティポリシーによるものとする。

(その他)

第29条　この訓令に定めるほか、特定個人情報等の安全管理に関し必要な事項は、市長が別に定めるものとする。

付則

この訓令は、令和6年4月1日から施行する。

別記1(第22条関係)

特定個人情報等取扱業務委託特記事項

(基本的事項)

第1　乙は、この契約による業務を処理するための個人番号および特定個人情報(以下「特定個人情報等」という。)の取り扱いに当たっては、特定個人情報等の保護の重要性を認識し、個人の権利利益を侵害することのないように、行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)、個人情報保護委員会が定める特定個人情報等の適正な取扱いに関するガイドライン(以下「ガイドライン」という。)その他関係法令を遵守し、適切に取り扱わなければならない。

(秘密の保持)

第2　乙は、この契約による業務に関して知り得た特定個人情報等の内容をみだりに他人に知らせ、または不当な目的に利用してはならない。この契約が終了し、または解除された後においても、また同様とする。

(適正な管理)

第3　乙は、この契約による業務を処理するための特定個人情報等の漏えい、滅失、改ざん、毀損等の防止その他の特定個人情報等の適切な管理のために、番号法、法、ガイドラインその他関係法令に基づき、安全管理措置を講じなければならない。

2　乙は、前項の措置に係る規定等を整備するとともに、管理責任者および業務従事者の管理体制および実施体制ならびにこの契約による業務を処理するための特定個人情報等の管理の状況に係る自己点検に関する事項等の必要な事項を定め、甲から報告を求められた場合は、書面により甲に通知しなければならない。

(従事者への監督および教育の実施)

第4　乙は、この契約による業務の処理に関し、特定個人情報等を取り扱う従事者を明確にし、当該従事者が本特記事項を遵守するように監督するとともに、在職中および退職後においても、この契約による業務に関して知り得た特定個人情報等の内容をみだりに他人に知らせ、または不当な目的に利用してはならないこと等、特定個人情報等の保護に関して必要な事項について、教育および研修をしなければならない。

(取得の制限)

第5　乙は、この契約による業務を処理するために特定個人情報等を取得するときは、業務の目的を達成するために必要な範囲内で、適法かつ公正な手段により行わなければならない。

(取扱制限)

第6　乙は、この契約による業務を処理するに当たって、特定個人情報等を取り扱う権限を有する従事者およびその従事者に付与する権限を必要最小限のものとし、取り扱う権限を有しない従事者に特定個人情報等の取り扱いをさせてはならない。

(目的外利用および第三者への提供の禁止)

第7　乙は、甲の指示または承諾がある場合を除き、この契約による業務に関して知り得た特定個人情報等をこの契約による業務の目的以外の目的で利用または第三者に提供してはならない。

(消去等)

第8　乙は、この契約による業務を処理するための特定個人情報等または特定個人情報等が記録されている媒体(端末およびサーバに内蔵されているものを含む。)が不要となった場合は、甲の指示に従い、当該特定個人情報等の復元または判読が不可能な方法により当該特定個人情報等の消去または当該媒体の廃棄を行わなければならない。

(複製等の制限)

第9　乙は、この契約による業務を処理するための特定個人情報等の複製および送信ならびに特定個人情報等が記録されている媒体の特定個人情報等を取り扱う事務を実施する区域外への送付または持ち出しをしてはならない。ただし、甲の指示または承諾がある場合は、この限りでない。

(再委託等の制限)

第10　乙は、この契約による業務を処理するための特定個人情報等を自ら取り扱うものとし、甲の承諾を得た場合に限り、その取り扱いを再委託先(再委託先が乙の子会社である場合を含む。)に委託することができる。再委託先が再々委託を行う場合を含み(再々委託先が再委託先の子会社である場合を含む。)、以降もまた同様とする。

(再委託先等の安全管理措置)

第11　乙は、再委託を行う場合は、再委託先に対して本特記事項における安全管理措置を講じさせなければならない。再委託先が再々委託を行う場合を含み、以降もまた同様とする。

(資料等の返還等)

第12　乙は、この契約による業務を処理するために甲から提供を受け、または乙自らが取得し、もしくは作成した特定個人情報等が記録された資料等(第9ただし書の規定により複製したものを含む。)を、この契約の終了後直ちに甲に返還し、または引き渡し、もしくは第8に規定する消去または廃棄をするものとする。ただし、甲が別に指示したときは、その方法によるものとする。

(点検および実地検査等)

第13　乙は、甲から報告を求められた場合は随時に、乙がこの契約による業務を処理するための特定個人情報等の取扱状況および本特記事項の遵守状況について点検を実施し、甲に報告しなければならない。

2　甲は、乙がこの契約による業務を処理するための特定個人情報等の取扱状況および本特記事項の遵守状況について、随時実地により乙に対して検査を行うことができる。

3　乙がこの契約による業務の処理を再委託する場合は、乙を通じて、または甲により前項の検査を実施する。再委託先が再々委託を行う場合を含み、以降もまた同様とする。

4　乙は、前3項に定める点検または実地検査の結果、甲からこの契約による業務を処理するための特定個人情報等の取り扱いに関して改善を指示された場合は、その指示に従わなければならない。

(事故発生時等における対応)

第14　乙は、本特記事項に違反する事態が生じ、または生じるおそれのあることを知ったときは、直ちに甲に報告し、甲の指示に従うものとする。

2　乙は、本特記事項に違反した者に対し、法令または内部規程その他関係規程に基づき厳正に対処しなければならない。

(損害賠償)

第15　乙は、本特記事項に違反したことにより甲または第三者に損害を与えたときは、その損害を賠償しなければならない。

(契約の解除)

第16　甲は、乙が本特記事項に違反していると認めたときは、この契約を解除することができる。

注1　「甲」は高島市を、「乙」は受託者をいう。

2　特定個人情報等に係る業務の処理の委託の実態に即して、適宜必要な事項を追加するものとする。