○小野市個人情報の保護に関する取扱規程
令和5年3月31日
訓令第2号
小野市個人情報の保護に関する取扱規程(平成13年小野市訓令第4号)の全部を改正する。
(趣旨)
第1条 この規程は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)の規定に基づき、市が保有する個人情報の適正な取扱い及び管理を行うため、必要な事項を定めるものとする。
(1) 個人情報 法第2条第1項に規定するものをいう。
(2) 保有個人情報 法第60条第1項に規定するものをいう。
(3) 特定個人情報 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第2条第8項に規定するものをいう。
(4) 実施機関等 小野市個人情報の保護に関する法律施行条例(令和5年小野市条例第1号。以下「条例」という。)第2条第2項に規定する実施機関及び議会をいう。
(5) 記録媒体 個人情報が記録されている台帳、電子計算機から印字装置を用いて出力された帳票、磁気ディスクその他個人情報が記録されている一切の物をいう。
(最高個人情報統括管理者等の設置)
第3条 市の保有個人情報に関して、その保護施策の統一的な取扱い及び管理を行うため、最高個人情報統括管理者を設置し、副市長をもってこれに充てる。
2 保有個人情報の保護及び管理状況を把握し、最高個人情報統括管理者を補佐するため個人情報統括管理責任者を設置し、当該保有個人情報を取り扱う部等の長をもってこれに充てる。
3 保有個人情報の保有目的に応じた適正な管理を確保するため、個人情報管理責任者を設置し、当該保有個人情報を取り扱う課等の長をもってこれに充てる。
4 個人情報管理責任者を補佐し、保有個人情報の管理に関する事務を行うため、個人情報取扱監督者を設置し、当該保有個人情報を取り扱う係等の長又はそれに準ずる者をもってこれに充てる。
5 市の保有個人情報の管理の状況について監査を行うため、監査責任者を設置し、総務部長をもってこれに充てる。
6 市が保有する電子計算機器及び情報ネットワークを管理し、厳重にシステムの運用を行い、保有個人情報を適正に管理するため、情報システム管理者を設置し、情報管理担当課長をもってこれに充てる。
(個人情報保護調整会議)
第4条 最高個人情報統括管理者は、市の保有個人情報の管理に係る重要事項の決定、連絡、調整等を行うため、必要に応じて個人情報統括管理責任者、情報システム管理者及び関係職員を構成員とする会議を開催することができる。
(個人情報に関する教育研修)
第5条 最高個人情報統括管理者は、保有個人情報の取扱いに従事する職員に対し、保有個人情報の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を実施しなければならない。
2 最高個人情報統括管理者は、情報システム管理者を含む保有個人情報を取り扱う情報システム管理業務に従事する職員に対し、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を実施しなければならない。
3 最高個人情報統括管理者は、個人情報管理責任者及び個人情報取扱監督者に対し、各所属における保有個人情報の適切な管理のための教育研修を実施しなければならない。
4 個人情報管理責任者は、職員に対し保有個人情報の適切な管理のために、最高個人情報統括管理者の実施する教育研修への参加の機会を付与しなければならない。
(保有個人情報の取扱い)
第6条 個人情報管理責任者は、保有個人情報の秘匿性、特定の個人の識別の容易性、要配慮個人情報の有無並びに漏えいした場合に生じ得る被害の性質及び程度(以下「秘匿性等」という。)に応じて、当該保有個人情報にアクセスする権限を有する職員の範囲及び権限の内容を必要最小限の範囲に限定しなければならない。
2 職員は、業務上の目的以外の目的で保有個人情報にアクセスしてはならない。
3 職員は、次の各号に掲げる行為をするときは、個人情報管理責任者の承認を得るものとする。
(1) 保有個人情報の複製
(2) 保有個人情報の送信
(3) 記録媒体の外部への送付又は持ち出し
(4) 前3号に定めるもののほか、保有個人情報の適切な管理に支障を及ぼす恐れのある行為
4 職員は、保有個人情報の内容に誤り等を発見した場合には、個人情報管理責任者の指示により訂正等を行うものとする。
5 個人情報管理責任者は、職員が保有個人情報を含む電磁的記録又は記録媒体を誤って送付、送信、掲載等をしないよう必要な措置を講じなければならない。
(記録媒体の管理)
第7条 職員は、個人情報管理責任者の指示により保有個人情報の漏えい、改ざん、滅失、棄損等を防止するため、記録媒体を定められた場所に保管し、必要があると認めるときは、耐火金庫への保管、施錠等を行うとともにその使用等状況を記載した台帳を整備しなければならない。
2 職員は、記録媒体を外部へ持ち出す場合には、個人情報管理責任者の承認を得た上で、パスワードを使用する等アクセス制御のために必要な措置を講ずるとともに、返却後に個人情報管理責任者へ報告を行うものとする。
3 個人情報管理責任者は、記録媒体の内容及び種類に応じて保管の期間を定めるとともに、保有個人情報又は記録媒体が不要となった場合には、復元又は判読が不可能な方法により速やかに消去又は廃棄を行わなければならない。
4 前項の保有個人情報の消去又は記録媒体の廃棄を委託する場合(再委託を含む。)は、職員が消去若しくは廃棄に立ち会い、又は写真等を付した消去若しくは廃棄を証明する書類を提出させ、委託先において消去又は廃棄が確実に行われていることを確認しなければならない。
(特定個人情報の取扱い)
第8条 個人情報管理責任者は、特定個人情報の適正な取扱及び円滑な運用及び管理を図るため、特定個人情報を取り扱う職員を特定個人情報取扱事務担当者として指定し、その役割及び取り扱う特定個人情報の範囲を定めるものとする。
2 特定個人情報取扱事務担当者は、特定個人情報を含む電磁的記録をインターネットに接続された情報通信機器及び端末にその情報を保存してはならない。
3 特定個人情報を含む記録媒体は、施錠可能な場所に保管する等の方法により適正に管理するものとする。
4 個人情報管理責任者は、情報漏えい等を防止するため、特定個人情報を取り扱う事務を実施する区域を明確にし、物理的な安全管理措置を講ずるものとする。
5 前項に定める区域は、個人情報管理責任者が管理する場所であって、原則として施錠できる場所でなければならない。
(外的環境の把握)
第9条 保有個人情報が外国において取り扱われる場合、当該外国の個人情報の保護に関する制度等を把握した上で、保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。
(基幹システムのアクセス制御)
第10条 情報システム管理者は、住民記録や税等の業務に使用する基幹業務システム(以下「基幹システム」という。)で取り扱う保有個人情報(以下「基幹情報」という。)の秘匿性等に応じて、パスワード及び生体認証による多要素認証を設定する等アクセス制御のために必要な措置を講じなければならない。
2 情報システム管理者は、基幹システムへの不正なアクセスを防止するため、管理者権限の特権を最小限とし、通信経路制御等の必要な措置を講じなければならない。
3 情報システム管理者は、基幹情報へのアクセス状況を記録したもの(以下、「アクセス記録」という。)を一定の期間保存し、分析するとともに、アクセス記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講じなければならない。
4 情報システム管理者は、基幹情報への不適切なアクセスを監視するために必要な措置を講じなければならない。
5 情報システム管理者は、不正プログラムによる基幹情報の漏えい等の防止のため、ソフトウェアに関する公開された脆弱性の解消、把握された不正プログラムの感染防止等に必要な措置を講じなければならない。
6 情報システム管理者は、基幹情報の漏えい等の防止のため、USBメモリ等の外部記録媒体の基幹情報を取り扱う端末等(以下、「基幹端末」という。)への接続制限等必要な措置を講じなければならない。
(基幹端末の取扱い)
第11条 個人情報管理責任者は、基幹端末の盗難又は紛失の防止のため、基幹端末の固定、執務室の施錠等を行われなければならない。
2 職員は、情報システム管理者が必要であると認めるときを除き、基幹端末を外部へ持ち出し、又は外部から持ち込んではならない。
3 職員は、基幹端末の使用に当たって基幹情報が第三者に閲覧されることがないよう必要な措置を講じなければならない。
(基幹情報の保全)
第12条 情報システム管理者は、基幹情報の重要度に応じてバックアップを作成し、分散保管するために必要な措置を講じなければならない。
2 情報システム管理者は、基幹情報に係るシステムの設計書、構成図等の文書について外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講じなければならない。
(情報システム室等の管理)
第13条 情報システム管理者は、保有個人情報を取り扱うサーバ等の機器を設置する室その他の区域(以下「情報システム室等」という。)に立ち入る権限を有する者を定め、情報システム管理者の許可を得ていない者を入室させてはならない。
2 情報システム管理者は、部外者を情報システム室等に入室させる際には、次の各号に定める措置を講じなければならない。
(1) 用件の確認
(2) 入退の記録
(3) 部外者の識別化
(4) 職員の立会い又は監視設備による監視
(5) 外部記録媒体等の持込み、利用及び持ち出しの制限又は検査
(6) 電子錠等による情報システム室等への入退室の監視
3 情報システム管理者は、災害等に備え電子計算機室等に耐震、防火、防煙、防水等の対策に必要な設備を設置し、サーバ等の機器の予備電源の確保、配線の損傷防止等の措置を講じなければならない。
(サイバーセキュリティの確保)
第14条 情報システム管理者は、サイバーセキュリティ基本法(平成26年法律第104号)第26条第1項第2号に掲げられたサイバーセキュリティに関する対策の基準に準じ、取り扱う保有個人情報の性質等に照らして適正なサイバーセキュリティの水準を確保しなければならない。
(事案発生時の措置)
第15条 個人情報管理責任者は、保有個人情報の漏えい等安全管理について次の各号に掲げる重大な事案(以下「事案」という。)が発生したときは、情報システム管理者と連携し、速やかに被害の拡大防止及び復旧等のために必要な措置を講じなければならない。
(1) 個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)第43条各号に掲げるもの
(2) 行政手続における特定の個人を識別するための番号の利用等に関する法律第29条の4第1項及び第2項に基づく特定個人情報の漏えい等に関する報告等に関する規則(平成27年特定個人情報保護委員会規則第5号)第2条各号に掲げるもの
(3) 個人の権利利益を害するおそれが大きいものとして前2号に準ずるもの
2 個人情報管理責任者は、事案が発生したときは、当該事案の発生した経緯、被害状況等を調査し、情報システム管理者及び個人情報統括管理責任者を通じて最高個人情報統括管理者に対し、速やかにその旨を報告しなければならない。
3 最高個人情報統括管理者は、前項の報告を受けたときはその内容に応じて市長及び個人情報保護委員会等の関係機関へ報告しなければならない。
4 個人情報管理責任者は、情報システム管理者と共に事案の発生した原因を分析し、再発防止策を講ずるとともに、庁内にて再発防止措置を共有するものとする。
5 事案が発生したときは、事実関係及び再発防止策の公表、当該事案に係る保有個人情報の本人への通知を行うものとする。
(目的外利用及び提供の手続)
第16条 個人情報管理責任者は、法第69条第2項各号の規定により、利用目的以外の目的で、保有個人情報を利用又は提供しようとする場合は、個人情報の目的外利用に関する協議書(様式第1号)をもってあらかじめ個人情報統括管理責任者の承認を得た上で、最高個人情報統括管理者に協議しなければならない。
(1) 秘密の保持に関する事項
(2) 目的外利用及び第三者への提供禁止に関する事項
(3) 複写及び複製の禁止に関する事項
(4) 個人情報の適正管理及び安全管理措置に関する事項
(5) 個人情報に関する資料の返還又は廃棄に関する事項
(6) 前各号に掲げるもののほか、最高個人情報統括管理者が必要と認める事項
3 保有個人情報を実施機関等以外の者に提供しようとする個人情報管理責任者は、提供方法について情報システム管理者に協議を行わなければならない。
4 個人情報管理責任者は、実施機関等以外の者に保有個人情報を提供する場合は、次の各号に掲げる事項を相互に書面(電磁記録を含む。)で確認するとともに、安全確保の措置を要求し、必要があると認めるときは、実地調査を行わなければならない。
(1) 提供先における利用目的
(2) 利用する業務の根拠法令
(3) 利用する記録範囲及び記録項目
(4) 利用形態
5 保有個人情報を利用又は提供した個人情報管理責任者は、当該保有個人情報に係る業務が終了したときは、個人情報の利用・提供実績報告書(様式第2号)により速やかに最高個人情報統括管理者に報告しなければならない。
(委託に伴う措置)
第17条 個人情報管理責任者は、所管する個人情報取扱業務を外部に委託するときは、あらかじめ委託先の責任者及び業務従事者の管理体制及び実施体制並びに個人情報の管理体制の検査について書面で確認することとし、委託契約書には前条第2項各号に掲げるもののほか次に掲げる事項を明記しなければならない。
(1) 個人情報を取り扱う従業者の明確化に関する事項
(2) 従業者に対する監督及び必要な教育研修等の実施に関する事項
(3) 再委託の禁止又は制限に関する事項
(4) 法令及び契約に違反した場合における契約解除、損害賠償責任その他必要な事項
(5) 個人情報の漏えい等の事案発生時における対応、報告及び委託先の責任に関する事項
(6) 契約内容の遵守の状況についての定期的な報告義務に関する事項
(7) 委託先における個人情報の取扱状況を把握するための監査及び実地検査に関する事項(再委託先の監査等に関する事項を含む。)
2 個人情報管理責任者は、所管する特定個人情報取扱業務を外部に委託するときは、市が果たすべき安全管理措置と同等の措置が講じられていることをあらかじめ確認するとともに、前項に規定する事項に加え、次に掲げる事項を委託契約書に明記しなければならない。
(1) 委託先事業所内からの特定個人情報の持出禁止に関する事項
(2) 契約内容の遵守状況に係る委託元への報告義務に関する事項
(3) 委託者による予告なしでの監査、調査等の実施に関する事項
3 個人情報管理責任者は、保有個人情報の取扱いに係る業務を外部に委託する場合は、取扱いを委託する個人情報の範囲を業務内容に照らして必要最小限としなければならない。
4 個人情報管理責任者は、保有個人情報の取扱いに係る業務を外部に委託する場合は、委託業務に係る保有個人情報の秘匿性等に応じて、作業の管理体制及び実施体制並びに個人情報の管理の状況について、年1回以上、原則として実地検査により確認しなければならない。
5 個人情報管理責任者は、保有個人情報を提供又は業務委託する場合には、漏えい等による被害発生リスクを軽減するため、提供先の利用目的、委託業務の内容、保有個人情報の秘匿性等に応じて、個人情報の全部若しくは一部を削除し、又は別の記号等に置き換える等の措置を講ずるものとする。
6 委託先へ保有個人情報を提供する場合において、個人情報管理責任者は、提供方法について情報システム管理者に協議を行わなければならない。
7 個人情報管理責任者は、特定個人情報取扱業務の委託を受けた者について、市が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行うものとする。
2 委託先において、特定個人情報の取扱いに係る業務を再委託しようとする場合には、個人情報管理責任者は、再委託先において特定個人情報等の適切な安全管理措置が実施されることを確認した上で再委託の諾否を判断するものとする。
3 前2項の規定は、保有個人情報の取扱いに係る業務について再委託先が再々委託を行う場合以降も同様とする。
(派遣労働者の誓約書)
第19条 保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合は、派遣元の責任者又は本人から秘密保持その他適正管理に関する誓約書を提出させるものとする。
(監査及び点検の実施)
第20条 監査責任者は、保有個人情報の適切な管理を検証するため、この規程に記載する措置の状況を含む保有個人情報の管理状況について、定期及び必要に応じ随時に監査を行い、その結果を最高個人情報統括管理者に報告しなければならない。
2 個人情報管理責任者は、各課等における保有個人情報の記録媒体、処理経路、保管方法等について、定期に、及び必要に応じ随時に点検を行い、必要があると認めるときは、その結果を最高個人情報統括管理者に報告するものとする。
3 最高個人情報統括管理者は、監査又は点検の結果を踏まえ、実効性等の観点から保有個人情報の適切な管理のための措置について評価し、必要があると認めるときは、その措置を見直すものとする。
(特定個人情報保護評価)
第21条 個人情報管理責任者は、特定個人情報ファイルを保有しようとする場合は、特定個人情報保護評価に関する規則(平成26年特定個人情報保護委員会規則第1号)及び特定個人情報保護評価指針の定めるところにより、当該特定個人情報ファイルを保有する前までに特定個人情報保護評価を実施するものとする。
2 個人情報管理責任者は、個人のプライバシー等の権利利益に影響を与え得る特定個人情報等の漏えいその他の事態を発生させるリスクを軽減するための措置として、特定個人情報保護評価書に記載した全ての措置を講ずるものとする。
(補則)
第22条 この規程に定めるもののほか、必要な事項は市長が別に定める。
附則
(施行期日)
1 この規程は、令和5年4月1日から施行する。
(小野市電子計算機処理に係る情報処理要領の廃止)
2 小野市電子計算機処理に係る情報処理要領(平成14年小野市訓令第18号)は、廃止する。
(経過措置)
3 この規程の施行前にこの規程による改正前の小野市個人情報の保護に関する取扱規程の規定及び附則第2項の規定による廃止前の小野市電子計算機処理に係る情報処理要領の規定によりなされた協議、報告その他の行為は、この規程の相当規定によりなされた協議、報告その他の行為とみなす。
