○阿久比町特定個人情報の取扱いに関する管理規程
平成29年7月14日
訓令第3号
目次
第1章 総則(第1条―第4条)
第2章 特定個人情報に関する安全管理体制
第1節 組織的安全管理措置(第5条―第10条)
第2節 人的安全管理措置(第11条―第13条)
第3節 物理的安全管理措置(第14条―第16条)
第4節 技術的安全管理措置(第17条―第20条)
第3章 業務の委託等(第21条)
第4章 安全確保上の問題への対応(第22条)
第5章 監査及び点検の実施(第23条―第25条)
第6章 雑則(第26条)
附則
第1章 総則
(趣旨)
第1条 この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「法」という。)及び個人情報の保護に関する法律(平成15年法律第57号)に定めるもののほか特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)(平成26年特定個人情報保護委員会告示第6号)に基づき、阿久比町(以下「町」という。)における特定個人情報の適正な取扱いの管理及び運用について必要な事項を定めるものとする。
(1) 個人番号 法第2条第5項に規定する個人番号をいう。
(2) 特定個人情報 法第2条第8項に規定する特定個人情報をいう。
(3) 保有特定個人情報 実施機関の職員(臨時的に任用された職員及び非常勤職員を含む。以下同じ。)が職務上作成し、又は取得した特定個人情報であって、当該実施機関の職員が組織的に利用するものとして、当該実施機関が保有しているものをいう。ただし、公文書(阿久比町情報公開条例(平成12年阿久比町条例第1号)第2条第2号に規定する公文書をいう。)に記録されているものに限る。
(4) 特定個人情報ファイル 保有特定個人情報を含む情報の集合物であって、次に掲げるものをいう。
ア 一定の事務の目的を達成するために特定の保有特定個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
イ 前号に掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有特定個人情報を容易に検索することができるように体系的に構成したもの
(5) 個人番号利用事務 法第2条第10項に規定する個人番号利用事務をいう。
(6) 個人番号関係事務 法第2条第11項に規定する個人番号関係事務をいう。
(7) 情報システム 阿久比町情報セキュリティ基本方針(平成30年阿久比町訓令第1号。以下「基本方針」という。)第2条第4号に規定する情報システムをいう。
(8) 統括情報セキュリティ責任者 阿久比町情報セキュリティ対策基準(以下「対策基準」という。)第6条第2号に規定するネットワークにおける情報セキュリティ対策に関する管理を行う権限及び責任を有する者をいう。
(個人番号を取り扱う事務の範囲等)
第3条 個人番号を取り扱う事務の範囲は、法及び阿久比町行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく個人番号の利用及び特定個人情報の提供に関する条例(平成27年阿久比町条例第27号)に定めるところによる。
2 前項に規定する事務のうち、法第19条第7号の規定に基づき特定個人情報の提供を受ける場合であって、当該特定個人情報が法別表第2に規定する地方税関係情報であり、本人の同意が必要となる場合は、本人から同意を得なければならない。
(特定個人情報ファイルの作成の制限)
第4条 個人番号利用事務及び個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合その他法で定める場合を除き、特定個人情報ファイルを作成してはならない。
第2章 特定個人情報に関する安全管理体制
第1節 組織的安全管理措置
(総括保護管理者)
第5条 保有特定個人情報の管理に関する事務を総括させるために、総括保護管理者を置く。
2 総括保護管理者は、副町長をもって充てる。
(保護管理者及び保護担当者)
第6条 保有特定個人情報を取り扱う各課等に、保護管理者を置き、必要がある場合は、保護管理者が指定する保護担当者を置くことができる。
2 保護管理者は、当該課等の長をもって充てる。
3 保護管理者は、次に掲げる職務を行う。
(1) 各課等における保有特定個人情報の適切な管理の確保
(2) 保有特定個人情報を情報システムで取り扱う場合の適切な管理
(3) 保有特定個人情報を取り扱う職員(以下「事務取扱担当者」という。)及びその役割並びに取り扱う保有特定個人情報の範囲の指定
(4) 事務取扱担当者に対する必要かつ適切な監督
(5) 特定個人情報ファイルの取扱状況の確認
(6) 保有特定個人情報の安全確保上で問題となる事案が発生又はその兆候を把握した場合の総括保護管理者への報告及び連絡
(7) 保有特定個人情報を複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化
4 保護担当者は、保護管理者を補佐し、保護管理者の命により各課等における保有特定個人情報の管理に関する事務を担当する。
(監査責任者)
第7条 保有特定個人情報の管理の状況についての監査をさせるために、監査責任者を置く。
2 監査責任者は、総務部長をもって充てる。
(保管等)
第8条 事務取扱担当者は、保護管理者の指示に従い、保有特定個人情報が記録されている文書又は媒体(以下「記録文書等」という。)を金庫又は鍵付きキャビネットへ保管する。
2 事務取扱担当者は、必要に応じて記録文書等の持ち運び状況並びに特定個人情報ファイルの利用及び出力状況を記録するものとする。
(訂正)
第9条 事務取扱担当者は、保有特定個人情報の内容に誤り等を発見した場合は、保護管理者の指示に従い、訂正を行う。
(廃棄等)
第10条 事務取扱担当者は、保有特定個人情報が不要となった場合は、保護管理者の指示に従い、当該保有特定個人情報の復元又は判読が不可能な方法により当該保有特定個人情報の削除又は記録文書等の廃棄を行う。ただし、当該保有特定個人情報の削除又は記録文書等の廃棄を外部に委託する場合は、委託先が確実に削除又は廃棄したことについて、証明書等により確認するものとする。
2 事務取扱担当者は、前項の規定により保有特定個人情報を削除又は記録文書等を廃棄した場合は、その記録を保存する。
第2節 人的安全管理措置
(職員の責務)
第11条 職員は、この規程及び関連する法令等の定めに従い、保有特定個人情報を取り扱い、当該事務の執行に協力しなければならない。
(第三者の閲覧防止)
第12条 事務取扱担当者は、保有特定個人情報が第三者に閲覧されることがないよう、必要な措置を講じなければならない。
(教育研修)
第13条 総括保護管理者は、職員に対し、保有特定個人情報の取扱いについて理解を深め、特定個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。
2 総括保護管理者は、保有特定個人情報を取り扱う情報システムの管理に関する事務に従事する職員に対し、保有特定個人情報の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行う。
3 総括保護管理者は、保護管理者及び保護担当者に対し、各課等における保有特定個人情報の適切な管理のために必要な教育研修を行う。
4 保護管理者は、事務取扱担当者に対し、保有特定個人情報の適切な管理のために、総括保護管理者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。
第3節 物理的安全管理措置
(事務取扱に関する制限)
第14条 保護管理者は、事務取扱担当者が、保有特定個人情報に関して取り扱うべき権限の内容を必要最小限の範囲に限るものとする。
2 事務取扱担当者は、次に掲げる行為については、あらかじめ保護管理者の許可を受けなければならない。
(1) 保有特定個人情報の複製
(2) 保有特定個人情報の送信
(3) 記録文書等の外部への送付又は持出し
(4) その他保有特定個人情報の適切な管理に支障を及ぼすおそれのある行為
(取扱区域及び管理区域)
第15条 保有特定個人情報を取り扱う事務を実施する区域(以下「取扱区域」という。)は、事務取扱担当者が属する執務室とする。
2 保有特定個人情報を取り扱う情報システムを管理する区域(以下「管理区域」という。)は、前項に規定する取扱区域及び対策基準第2条第4号に規定する電算室とする。
3 電算室に入室する場合は、あらかじめ統括情報セキュリティ責任者の許可を受けなければならない。
4 取扱区域及び管理区域においては、電子錠による入退室制限を行う。
(端末の盗難防止等)
第16条 統括情報セキュリティ責任者は、端末の盗難又は紛失の防止のため、セキュリティワイヤーによる端末の固定、執務室の施錠等必要な措置を講ずる。
第4節 技術的安全管理措置
(アクセス制御等)
第17条 統括情報セキュリティ責任者は、保有特定個人情報(情報システムで取り扱うものに限る。以下この章において同じ。)の秘匿性等その内容に応じて、アクセス制御、不正アクセス対策、不正プログラム対策のために必要な措置を講ずる。
2 前項に規定する必要な措置に関しては、対策基準第58条から第63条までの例による。
(情報漏えい等の防止)
第18条 統括情報セキュリティ責任者は、インターネット等により外部に送信する場合における保有特定個人情報の漏えい、滅失若しくは毀損等(以下「情報漏えい等」という。)を防止するため又は保有特定個人情報のアクセス記録の改ざん、窃取若しくは不正な削除の防止のために必要な措置を講ずる。
2 前項に規定する必要な措置に関しては、対策基準第72条から第85条までの例による。
(暗号化)
第19条 事務取扱担当者は、特定個人情報ファイルを保存する場合は、原則として暗号化又はパスワードにより秘匿する。
(記録機能を有する機器又は媒体の接続制限)
第20条 統括情報セキュリティ責任者は、保有特定個人情報の情報漏えい等の防止のため、スマートフォン、USBメモリ等の記録機能を有する機器又は媒体の情報システム端末等への接続の制限等の必要な措置を講ずる。
第3章 業務の委託等
(個人番号利用事務等の委託)
第21条 個人番号利用事務等の全部又は一部を委託する場合は、委託先において町が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認し、同等の措置が講じられるよう必要かつ適切な監督を行う。
2 個人番号利用事務等の全部又は一部を委託する場合は、委託契約書に次に掲げる事項を明記する。
(1) 特定個人情報に関する秘密保持
(2) 特定個人情報の事業所内からの持出し及び目的外利用の禁止並びに複製の制限
(3) 特定個人情報を取り扱う従業者の明確化並びに従業者に対する監督及び教育に関する事項
(4) 再委託に係る条件
(5) 情報漏えい等の事案発生時における委託先の対応及び責任
(6) 契約完了時における特定個人情報の消去及び媒体の返却に関する事項
3 前2項の規定により、町において必要があると認めるときは、委託先に対し契約内容の遵守状況について報告を求めるとともに、実地の調査を行う。
4 委託先が個人番号利用事務等の全部又は一部を再委託する場合は、再委託先において町が果たすべき安全管理措置と同等の措置が講じられるか否かについて、確認した上で再委託の諾否を判断しなければならない。
5 前2項の規定は、再委託先が再々委託を行う場合について適用する。
第4章 安全確保上の問題への対応
(情報漏えい等の事案等への対応)
第22条 情報漏えい等の事案の発生若しくは兆候を把握した場合、事務取扱担当者がこの規程等に違反している事実若しくは兆候を把握した場合又はその他保有特定個人情報の安全確保上で問題となる事案が発生した場合、その事実を知った職員は、直ちに当該保有特定個人情報を管理する保護管理者に報告する。
2 保護管理者は、情報漏えい等の事案が発生した又は事務取扱担当者がこの規程等に違反している事実を把握したと判断した場合は、その経緯及び被害状況等を調査し、直ちに総括保護管理者に報告する。
3 前項に規定する保護管理者が総括保護管理者に対して行う報告は、必要に応じて当該保護管理者の所属する部の長を経由して行うものとする。
4 保護管理者は、情報漏えい等が外部からの不正アクセス又は不正プログラムの感染等情報システムによるものである場合は、統括情報セキュリティ責任者に報告するものとする。この場合において、統括情報セキュリティ責任者は、被害の拡大防止及び二次被害の発生防止のために必要な措置を速やかに講じ、又は講じるよう保護管理者に指示することができる。
5 総括保護管理者は、第2項の規定に基づく報告を受けた場合は、当該事案又は事実の内容、経緯及び被害状況等を町長及び関係当局等に速やかに報告するとともに、当該事案又は事実に係る保有特定個人情報の本人へ通知するものとする。
6 総括保護管理者は、情報漏えい等の事案が発生した原因を分析し、再発防止のために必要な措置を講ずる。
7 総括保護管理者は、情報漏えい等の事案の内容及び影響等に応じて、事実関係及び再発防止策を公表するものとする。
第5章 監査及び点検の実施
(監査)
第23条 監査責任者は、保有特定個人情報の管理の状況について、定期又は随時に監査(外部監査を含む。以下同じ。)を行い、その結果を総括保護管理者に報告する。
(点検)
第24条 保護管理者は、各課等における保有特定個人情報の記録媒体、処理経路、保管方法等について、定期又は随時に点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告する。
(評価及び見直し)
第25条 総括保護管理者及び保護管理者は、監査又は点検の結果等を踏まえ、実効性等の観点から保有特定個人情報の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずる。
第6章 雑則
(その他)
第26条 この規程に定めるもののほか、必要な事項は、町長が別に定める。
附則
この訓令は、平成29年7月14日から施行する。
附則(令和2年3月30日訓令第1号)
この訓令は、令和2年4月1日から施行する。
附則(令和5年3月30日訓令第3号)
この訓令は、令和5年4月1日から施行する。