○取手市特定個人情報等取扱規程
令和6年3月29日
訓令第6号
目次
第1章 総則(第1条~第3条)
第2章 管理体制(第4条~第11条)
第3章 教育及び研修(第12条)
第4章 特定個人情報等の取扱い(第13条~第25条)
第5章 個人番号利用事務等の業務の委託等(第26条)
第6章 情報漏えい等事案への対応(第27条・第28条)
第7章 監査又は点検の実施(第29条・第30条)
第8章 雑則(第31条)
付則
第1章 総則
(趣旨)
第1条 この訓令は,行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。),個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)及び特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)(以下「ガイドライン」という。)に基づき,個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いを確保することを目的とする。
(定義)
第2条 この訓令において用いる用語の定義は,番号法,取手市個人番号の利用及び特定個人情報の提供に関する条例(平成27年条例第37号。以下「番号条例」という。)及びガイドラインで使用する用語の例による。
(適用範囲)
第3条 この訓令は,市長,教育委員会,選挙管理委員会,監査委員,公平委員会,農業委員会,固定資産評価審査委員会,公営企業管理者及び消防長並びに議会並びに市が設立した地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。)に適用する。
第2章 管理体制
(特定個人情報保護総括責任者)
第4条 市は,特定個人情報等に係る総合的な安全管理措置を講ずるため,特定個人情報保護総括責任者(以下「総括責任者」という。)を置く。
2 総括責任者は,副市長の職にある者をもって充てる。
3 総括責任者に事故あるとき,又は総括責任者が欠けたときは,総務部の次長の職にある者(総務部に次長が置かれていないときは,個人情報保護制度主管課長)が総括責任者の職務を代理する。
(特定個人情報保護責任者)
第5条 市は,特定個人情報等を取り扱う各課等(取手市行政組織規則(平成10年規則第13号)第4条第1項及び第2項,第5条第1項並びに第6条に規定する課,室,所その他市の執行機関に置かれるこれらに準ずる組織をいう。以下同じ。)における特定個人情報等の取扱いに関する総括的な安全管理措置を講ずるため,特定個人情報保護責任者(以下「保護責任者」という。)を置く。
2 保護責任者は,課長等又はこれに代わる者をもって充てる。
(保護責任者の責務)
第6条 保護責任者は,次に掲げる組織体制を整備しなければならない。
(1) 第8条に規定する特定個人情報事務取扱担当者がこの訓令に違反している事実又はその兆候を把握した場合における保護責任者への報告連絡体制
(2) 特定個人情報等の漏えい,滅失,毀損等(以下「情報漏えい等」という。)の事案の発生又はその兆候を把握した場合における職員から保護責任者への報告連絡体制
(3) 特定個人情報等を2以上の課所で取り扱う場合の各課等の任務分担及び責任の明確化
(4) 情報漏えい等の事案の発生又はその兆候を把握した場合の対応体制
(特定個人情報監査責任者)
第7条 市は,特定個人情報等の管理の状況について監査させるために,特定個人情報監査責任者(以下「監査責任者」という。)を置く。
2 監査責任者は,総務部長の職にある者をもって充てる。
(特定個人情報事務取扱担当者)
第8条 市は,各課等における特定個人情報等を取り扱う者として,特定個人情報事務取扱担当者(以下「事務取扱担当者」という。)を置く。
2 事務取扱担当者は,保護責任者が所管する各課等の職員から指定する。
(事務取扱担当者の責務)
第9条 事務取扱担当者は,番号法及び個人情報保護法の趣旨に則り,関連する法令,規程等の定め及び保護責任者の指示に従い,特定個人情報等を取り扱わなければならない。
(事務取扱担当者の監督)
第10条 総括責任者及び保護責任者は,特定個人情報等がこの訓令に基づき適正に取り扱われるよう,事務取扱担当者に対して,必要かつ適切な監督を行う。
(特定個人情報等の適切な管理のための委員会)
第11条 総括責任者は,特定個人情報等の管理に係る重要事項の決定,連絡,調整等を行うため必要があると認めるときは,関係職員を構成員とする委員会を設け,随時に開催することができる。
第3章 教育及び研修
第12条 総括責任者は,保護責任者及び事務取扱担当者に対し,特定個人情報等の取扱いについて理解を深め,特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。
2 総括責任者は,事務取扱担当者のうち特定個人情報ファイルを取り扱う事務に従事する者に対し,番号法第29条の2に定めるサイバーセキュリティの確保に関する事項その他の事項に関する研修を行うものとする。
3 総括責任者は,特定個人情報等を取り扱う情報システムの管理に関する事務に従事する職員に対し,特定個人情報等の適切な管理のために,情報システムの管理,運用及びセキュリティ対策に関して必要な教育研修を行うものとする。
第4章 特定個人情報等の取扱い
(取得)
第13条 事務取扱担当者は,番号法第19条各号のいずれかに該当する場合を除き,他人の特定個人情報等を収集してはならない。
2 事務取扱担当者は,個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き,個人番号の提供を求めてはならない。
(利用)
第14条 事務取扱担当者は,第18条の規定により指定された役割及び取り扱う範囲を超えて,特定個人情報等を利用してはならない。
2 保護責任者は,前項の規定にかかわらず,人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意があるとき,又は本人の同意を得ることが困難であるときは,事務取扱担当者に,指定された役割及び取り扱う範囲を超えて,特定個人情報等を利用させることができる。
(保存)
第15条 事務取扱担当者は,個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き,他人の特定個人情報等を保管し,又は特定個人情報ファイルを作成してはならない。
(提供)
第16条 事務取扱担当者は,番号法第19条各号のいずれかの規定又は番号条例第5条に該当する場合を除き,特定個人情報等の提供をしてはならない。
(削除及び廃棄)
第17条 保護責任者は,特定個人情報等及び特定個人情報等が記録されている公文書(電磁的記録媒体を含む。以下同じ。)について,不要となった場合又は取手市文書管理規則(平成14年規則第7号)に定める保存期間を経過した場合には,復元できない手段により,速やかに消去し,又は廃棄しなければならない。
2 保護責任者は,前項の規定による消去又は廃棄を委託する場合には,事務取扱担当者の立会い,証明書の提出等の方法により,委託先が適切に消去し,又は廃棄したことを確認しなければならない。
(事務取扱一覧の整備)
第18条 保護責任者は,事務取扱担当者の役割及び各事務取扱担当者が取り扱う特定個人情報等の範囲を明らかにするため,事務取扱一覧(様式第2号)を整備しなければならない。
(特定個人情報等の運用状況の記録)
第19条 保護責任者はこの訓令に基づく運用状況を確認するため,特定個人情報等を取り扱う業務について特定個人情報等に関する運用管理台帳(様式第3号。以下「運用管理台帳」という。)を整備し,事務取扱担当者は運用管理台帳に次に掲げる事項について記録しなければならない。
(1) 特定個人情報ファイルの利用・出力状況
(2) 公文書の持出しの記録
(3) 特定個人情報ファイルの削除・廃棄の記録
(4) 前号の処理を委託により実施した場合にあっては,これを証明する記録等
(5) 特定個人情報ファイルを情報システムで取り扱う場合における事務取扱担当者に係る情報システムの利用状況についての記録
2 前項第4号の証明する記録等については,委託先から受領した証明書(事務取扱担当者の立会いによる場合にあっては,当該事務取扱担当者が作成した報告書)を別に添付するものとする。
3 第1項第5号の証明する利用状況の記録については,当該情報システムのログイン実績,アクセスログ等を別に添付するものとする。
(特定個人情報等の取扱状況の記録)
第20条 保護責任者は,特定個人情報ファイルの取扱状況を確認するための手段として特定個人情報等に関する取扱管理台帳(様式第5号)を整備し,次に掲げる事項を記録するものとする。
(1) 特定個人情報ファイルの名称
(2) 組織名及び事務取扱担当者の職氏名
(3) 特定個人情報ファイルの利用目的,内容及び個人の範囲
(4) 収集の方法
2 前項の特定個人情報等に関する取扱管理台帳には,特定個人情報等を記載してはならない。
(1) 管理段階の区分
(2) 事務取扱担当者の職氏名及びその者が担任する事務の内容
2 手順書は,必要に応じて見直すものとする。
(取扱区域)
第22条 保護責任者は,情報漏えい等を防止するため,特定個人情報等を取り扱う事務を実施する区域を明確にし,事務取扱担当者等以外の者が特定個人情報等を容易に閲覧等ができないよう必要な措置を講じなければならない。
(公文書の盗難等の防止)
第23条 事務取扱担当者は,公文書を施錠可能なキャビネット,書庫,耐火金庫等(以下「耐火金庫等」という。)に厳重に施錠保管しなければならない。
2 保護責任者は,特定個人情報等を記録した公文書を保管した耐火金庫等の鍵等を適切に管理しなければならない。
3 事務取扱担当者は,特定個人情報等を記録した公文書を庁舎外に持ち出してはならない。ただし,保護責任者が事務の遂行上必要と認める場合は,この限りでない。
4 事務取扱担当者は,前項ただし書の規定により特定個人情報等を記録した公文書を庁舎外に持ち出す場合は,保護責任者の指示に従い,盗難又は紛失を防止するための安全管理措置を講じなければならない。
5 保護責任者は,前各項に定めるもののほか,特定個人情報等に係る事故がないよう特定個人情報等を適正に管理しなければならない。
(1) 外部からの不正アクセスの防止 特定個人情報等を取り扱う情報システムへの外部からの不正なアクセスを防止するため,特定個人情報等を取り扱う情報システムをインターネットから分離させ,又は特定個人情報等を取り扱う情報システムと外部ネットワークその他の情報システムとの接続箇所にファイアウォール等を設置し,特定通信に限定する等の必要な措置
(2) 不正プログラムによる情報漏えい等の防止 不正プログラムの感染による情報漏えい等を防止するため,情報システムにウイルス対策ソフトウェア等を導入し,定期又は随時に利用状況等の記録の分析を行い,不正アクセス等を検知する等の必要な措置
2 保護責任者及び事務取扱担当者は,個人番号利用事務の実施に当たっては,接続する情報提供ネットワークシステム等の接続に係る規程等が示す安全管理措置を遵守しなければならない。
3 前2項に掲げるもののほか情報資産の取扱いについては,取手市情報セキュリティポリシーによる。
(外部環境の把握)
第25条 保護責任者は,国外において特定個人情報等を取り扱う場合は,当該特定個人情報等が取り扱われる国に適用される個人情報の保護に関する制度等を把握した上で,特定個人情報等の安全管理のために必要かつ適切な措置を講ずるものとする。
第5章 個人番号利用事務等の業務の委託等
第26条 保護責任者は,個人番号利用事務等の全部又は一部の外部委託(以下「外部委託」という。)を行う場合は,個人番号利用事務等に係る情報の適切な管理を行う能力を有しない者を選定することがないよう必要な措置を講じなければならない。
2 保護責任者は,特定個人情報等を取り扱う事務を委託しようとする場合は,当該委託契約の締結に当たり,契約書(仕様書を含む。)等に次の事項を明記しなければならない。
(1) 特定個人情報等に関する秘密保持,持出し禁止,目的外利用の禁止等の義務に関する事項
(2) 再委託の制限,事前承認義務等の再委託に係る条件に関する事項
(3) 特定個人情報等の複製等の制限に関する事項
(4) 情報漏えい等の事案の発生時における対応に関する事項
(5) 外部委託の終了時における特定個人情報等の返却又は廃棄に関する事項
(6) 外部委託の委託先における責任者及び業務従事者の明確化,委託業務の実施体制並びに業務従事者に対する監督及び教育に関する事項
(7) 契約内容の遵守状況についての報告及び検査に関する事項
(8) 契約内容に違反した場合における契約の解除,損害賠償責任その他の必要な事項
3 保護責任者は,外部委託を行う場合は,外部委託の委託先において,番号法の規定に基づいて市が果たすべき安全管理措置と同等の措置が講じられるか否かについて,あらかじめ確認しなければならない。
4 保護責任者は,特定個人情報の取扱いに係る業務を外部に委託する場合は,委託する業務に係る特定個人情報の秘匿性等その内容,量等に応じて,作業の管理体制及び実施体制並びに特定個人情報の管理の状況について,年1回以上,原則として実地検査により確認するものとする。
5 前項の規定にかかわらず,次に掲げる場合においては,実地検査に代えて書面の提出により,作業の管理体制及び個人情報の管理の状況について確認するものとする。
(1) 委託先の作業場所が茨城県外等の遠方に所在する場合
(2) 前号に掲げる場合のほか実地検査の実施を困難とする特別の事情がある場合
6 保護責任者は,外部委託を受けた者から当該個人番号利用事務等の再委託についての承認の求めがあったときは,再委託先において,番号法の規定に基づいて市が果たすべき安全管理措置と同等の措置が講じられるか否かについて,あらかじめ確認しなければならない。
第6章 情報漏えい等事案への対応
(事案の報告及び再発防止措置)
第27条 職員は,情報漏えい等の事案の発生若しくはその兆候を把握した場合,個人番号利用事務実施者がこの訓令に違反している事実若しくはその兆候を把握した場合又は安全確保上で問題となる事案が発生した事実を知った場合は,速やかに当該特定個人情報等を管理する保護責任者に報告しなければならない。
2 前項の規定による報告を受けた保護責任者は,速やかに事実関係の調査,原因の究明,被害の拡大防止のための措置等の必要な対応を行うものとする。ただし,重大な事案が発生した場合は,直ちに総括責任者に当該事案の内容を報告するものとする。
3 総括責任者は,事案の内容,影響等に応じて,次に掲げる措置をとり,又は保護責任者に措置をとるよう指示するものとする。
(1) 事実関係の調査及び原因の究明
(2) ネットワークの遮断等被害拡大防止のための措置
(3) 復旧のための措置
(4) 影響を受ける可能性のある本人への連絡
(5) 個人情報保護委員会及び番号利用事務等の主務大臣等への報告
(6) 再発防止策の検討及び決定
(公表等)
第28条 総括責任者は,事案の内容,影響等に応じて,事実関係及び再発防止策の検討を行い,公表するものとする。
第7章 監査又は点検の実施
(監査)
第29条 監査責任者は,特定個人情報等の管理の状況について,3年ごとに各課等に対して監査(外部監査及び他課等による点検を含む。以下同じ。)を行う。
3 監査責任者は,監査の結果について,監査結果報告書(様式第9号)を作成し,総括責任者に報告するものとする。
(評価及び見直し)
第30条 総括責任者は,監査の結果等を踏まえ,必要があると認める場合は,この訓令の見直し等の措置を講ずるものとする。
第8章 雑則
第31条 この訓令に定めるもののほか,特定個人情報等の取扱いに関し必要な事項は,市長が別に定める。
付則
この訓令は,令和6年4月1日から施行する。