○新居浜市特定個人情報の取扱いに関する管理規程
平成27年12月28日
訓令第9号
(趣旨)
第1条 この規程は、本市が保有する特定個人情報の適正な取扱いに関し必要な事項を定めるものとする。
(定義)
第2条 この規程において使用する用語は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)において使用する用語の例による。
(特定個人情報保護総括責任者)
第3条 特定個人情報の取扱いに関する安全管理措置を総合的に実施するため、特定個人情報保護総括責任者(以下「総括責任者」という。)を置く。
2 総括責任者は、副市長(統括)をもって充てる。
3 総括責任者は、特定個人情報の取扱いに関し、次に掲げる事項を実施するものとする。
(1) 監査又は教育研修の実施計画の策定
(2) 特定個人情報の漏えい、滅失、毀損等(以下「情報漏えい等」という。)の事案の発生時における指揮
(令2訓令9・一部改正)
(特定個人情報保護責任者)
第4条 個人番号利用事務及び個人番号関係事務(以下「個人番号利用事務等」という。)に関し、適切な安全管理措置を実施するため、特定個人情報保護責任者(以下「保護責任者」という。)を置く。
2 保護責任者は、個人番号利用事務等を所管する課所室等の長をもって充てる。
3 保護責任者は、特定個人情報を取り扱う職員(以下「事務取扱担当者」という。)及び当該職員が取り扱う特定個人情報の範囲を指定しなければならない。
(特定個人情報システム管理者)
第5条 特定個人情報を取り扱う情報システムに関し、適切な安全管理措置を実施するため、特定個人情報システム管理者(以下「システム管理者」という。)を置く。
2 システム管理者は、情報政策担当課長をもって充てる。
(特定個人情報監査責任者)
第6条 特定個人情報の管理の状況について監査を行うため、特定個人情報監査責任者(以下「監査責任者」という。)を置く。
2 監査責任者は、企画部長をもって充てる。
3 監査責任者は、特定個人情報の管理の状況について、定期に及び必要に応じ随時に点検又は監査を行い、その結果を総括責任者に報告するものとする。
(特定個人情報ファイルへのアクセス状況確認)
第7条 システム管理者は、特定個人情報ファイルへのアクセス状況を記録し、その記録を一定の期間保存しなければならない。
2 システム管理者は、取得したアクセス記録を定期的に点検し、又は分析するために必要な措置を講ずるものとする。
3 システム管理者は、取得したアクセス記録の改ざん、窃取又は不正な削除の防止のために必要な措置を講ずるものとする。
(特定個人情報ファイルの取扱状況確認)
第8条 保護責任者は、所管する事務における特定個人情報ファイルについて、特定個人情報ファイルの名称、利用目的、記録される項目、収集方法等を管理し、定期的に確認するものとする。
(事案等発生時の対応)
第9条 職員は、情報漏えい等の事案の発生又は兆候を把握したときは、直ちに保護責任者に報告しなければならない。
2 職員は、この規程の規定に違反している事実又は疑いを発見したときは、直ちに保護責任者に報告しなければならない。
3 保護責任者は、前2項の規定による報告を受けたときは、直ちに総括責任者に報告するとともに、必要な措置を講じなければならない。
4 総括責任者は、情報漏えい等の事案が発生したときは、次に掲げる措置をとらなければならない。
(1) 事実関係の調査及び原因の究明
(2) 影響を受ける可能性のある者への連絡
(3) 関係機関への報告
(4) 再発防止策の検討及び決定
(5) 事実関係、再発防止策等の公表
(監督)
第10条 総括責任者及び保護責任者は、相互に密接な連携を図るとともに、特定個人情報がこの規程の規定に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。
(教育研修)
第11条 総括責任者及び保護責任者は、事務取扱担当者に対し、特定個人情報の適正な取扱いについて理解を深め、特定個人情報の保護に関する意識の高揚を図るため、啓発その他必要な教育研修を行うものとする。
2 総括責任者及びシステム管理者は、特定個人情報を取り扱う情報システムの管理に関する事務に従事する職員に対し、特定個人情報の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行うものとする。
3 総括責任者は、保護責任者に対し、各課所室等における特定個人情報の適切な管理に関して必要な教育研修を行うものとする。
4 総括責任者及び保護責任者は、事務取扱担当者に対し、特定個人情報の適切な管理のために、教育研修への参加の機会を与える等の必要な措置を講ずるものとする。
(取扱区域)
第12条 保護責任者は、特定個人情報を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、物理的な安全管理措置を講ずるものとする。
(管理区域)
第13条 システム管理者は、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)を明確にし、物理的な安全管理措置を講ずるものとする。
2 管理区域の入退室については、システム管理者から事前に許可された者のみが鍵又は入退室管理カードを用いて行うことができるものとし、入退室の際は名札を着用しなければならない。
3 システム管理者は、前項の入退室に関する記録を行う。
(機器及び電子媒体等の安全管理)
第14条 保護責任者は、機器、電子媒体及び書類等の管理に関し、次に掲げる措置を講ずるものとする。
(1) 取扱区域及び管理区域における特定個人情報を取り扱う機器、電子媒体、書類等の盗難又は紛失の防止
(2) 許可された電子媒体又は機器以外のものについての使用制限及び記録機能を有する機器の情報システム端末等への接続の制限
(3) 事務取扱担当者が特定個人情報の記録された電子媒体又は書類を持ち出す場合の容易に個人番号が判明しない措置及び追跡可能な移送手段の利用等の安全対策
(特定個人情報ファイルの廃棄又は消去)
第15条 保管期間が経過した特定個人情報ファイルについては、復元又は判読が不可能となる措置を施した上で、速やかに廃棄し、又は消去する。
2 特定個人情報ファイルを廃棄し、又は消去した場合は、その記録を保存する。
(アクセス制御)
第16条 システム管理者は、情報システムを使用して個人番号利用事務等を行う場合において、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するため、次に掲げる事項を実施するものとする。
(1) 個人番号とひも付けてアクセスできる情報の範囲をアクセス制御により限定すること。
(2) 特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定すること。
(3) ユーザIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定すること。
2 システム管理者は、事務取扱担当者が正当なアクセス権を有する者であることを、ユーザID、パスワード、磁気・ICカード等の識別結果に基づき認証する。
(不正アクセス等の防止)
第17条 システム管理者は、特定個人情報を取り扱う情報システムを外部等からの不正アクセス又は不正ソフトウェアから保護する仕組み等を導入し、適切に管理するものとする。
(外部委託)
第18条 保護責任者は、個人番号利用事務等を外部に委託しようとするときは、次に掲げる事項を実施するものとする。
(1) 委託を受けようとする者における特定個人情報の保護に関する管理体制等について調査すること。
(2) 委託する事務の内容及び理由、当該事務に係る特定個人情報の保護に関する事項等について、あらかじめ総括責任者の承認を得ること。
(3) 受託者においても本市と同等の安全管理措置が図られるよう、委託先に対する適切な監督を行い、必要に応じて、受託者における当該外部委託に係る安全管理措置の実施状況について調査すること。
(4) 個人番号利用事務等の再委託は、書面により本市が許諾した場合に限るものとし、再委託先についても委託先と同等の安全管理措置が図られるよう、再委託先に対する適切な監督を行うこと。
(委託契約書への記載事項)
第19条 個人番号利用事務等の外部委託に係る契約書には、特定個人情報の保護に関し、次に掲げる事項を明記しなければならない。
(1) 特定個人情報の秘密保持に関すること。
(2) 事業所内からの特定個人情報の持ち出しの禁止に関すること。
(3) 特定個人情報が記録された資料等の目的外利用、複製、複写及び第三者への提供の禁止に関すること。
(4) 再委託の禁止又は制限に関すること。
(5) 情報漏えい等の事案が発生した場合の委託先の責任に関すること。
(6) 委託契約終了後の特定個人情報が記録された資料の返還又は廃棄に関すること。
(7) 特定個人情報を取り扱う従業員の明確化に関すること。
(8) 従業員に対する監督及び教育研修に関すること。
(9) 契約内容の遵守状況についての報告に関すること。
(10) 必要があると認める場合に実施する実地調査に関すること。
(11) 情報漏えい等の事案の報告に関すること。
附則
この訓令は、平成27年12月28日から施行する。
附則(令和2年3月31日訓令第9号)
この訓令は、令和2年4月1日から施行する。