○西北五広域福祉事務組合特定個人情報の取扱いに関する規程
平成二十八年七月一日
訓令第二号
目次
第一章 総則(第一条・第二条)
第二章 組織的安全管理措置(第三条~第九条)
第三章 人的安全管理措置(第十条・第十一条)
第四章 物的安全管理措置(第十二条~第十五条)
第五章 技術的安全管理措置(第十六条・第十七条)
第六章 雑則(第十八条~第二十条)
附則
第一章 総則
(趣旨)
第一条 この訓令は、特定個人情報の適正な取扱いに関するガイドライン(平成二十六年特定個人情報保護委員会策定)に基づき、行政事務における特定個人情報の適正な取扱いを確保するために必要な事項を定めるものとする。
(定義)
第二条 この訓令において使用する用語の意義は、次のとおりとする。
一 個人番号 住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるもの(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。以下同じ。)をいう。
二 特定個人情報 個人番号をその内容に含む個人情報をいう。
三 個人情報データベース等 個人情報を含む情報の集合体であって、特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして個人情報保護法施行令で定めるものをいう。
四 個人情報ファイル 組合が保有する個人情報データベース等をいう。
五 特定個人情報ファイル 個人番号をその内容に含む個人情報ファイルをいう。
六 個人番号利用事務 その保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。
七 個人番号関係事務 個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
八 個人番号利用事務実施者 個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう。
九 個人番号関係事務実施者 個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。
第二章 組織的安全管理措置
(特定個人情報総括責任者)
第三条 特定個人情報の取扱いに関して総括的な責任を有する特定個人情報総括責任者を置き、森田学園園長がこの任に当たる。
2 特定個人情報総括責任者は、次の各号に掲げる事項における特定個人情報に関する全ての権限と責務を有する。
一 この訓令に基づき特定個人情報の取扱いを管理する上で必要とされる事案の承認
二 特定個人情報に関する安全対策の策定及び推進
三 特定個人情報の適正な取扱いの維持、推進等を目的とした諸施策の策定及び実施
四 職員が特定個人情報を取り扱うに当たり、必要かつ適切な監督を行う。
五 事故発生時の対応策の策定及び実施
(監査責任者)
第四条 監査責任者は、副管理者をもって充て、保有特定個人情報の管理の状況について監査する任に当たる。
(特定個人情報保護責任者)
第五条 保有特定個人情報を適切に管理するため、個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)を行う部署ごとに特定個人情報保護責任者を置き、当該部署の長又はこれを代理する者がこの任に当たる。
(特定個人情報事務取扱担当者)
第六条 個人番号利用事務等を取り扱う各部署に特定個人情報事務取扱担当者(以下「事務取扱担当者」という。)を置き、特定個人情報保護責任者が指名した職員がこの任に当たる。
2 特定個人情報保護責任者は、事務取扱担当者を指名したときは、特定個人情報事務取扱担当者指名通知書(様式第一号)により特定個人情報総括責任者に通知しなければならない。
3 事務取扱担当者が取り扱う特定個人情報の範囲又は事務の内容は、特定個人情報保護責任者が指定する。
4 事務取扱担当者は、特定個人情報を取り扱う情報システム及び機器等を適切に管理し、利用権限のない者には使用させてはならない。
5 事務取扱担当者は、アクセス権限を有する場合であっても、業務上の目的以外の目的で保有個人情報にアクセスしてはならない。
(職員)
第七条 職員は、保有特定個人情報の漏えい、滅失又は毀損等(以下「情報漏えい等」という。)の事案の発生又は兆候を把握した場合及び事務取扱担当者が取扱要領等に違反している事実又は兆候を把握した場合等、安全確保上で問題となる事案が発生した事実を知ったときは、速やかに当該保有特定個人情報を管理する特定個人情報保護責任者に報告するものとする。
2 職員(事務取扱担当者を除く。)は、他人の個人番号を含む個人情報を収集又は保管してはならない。
(特定個人情報の取扱い)
第八条 事務取扱担当者は、関係法令に基づき、適切な方法により個人番号を収集しなければならない。
3 事務取扱担当者は、本人又は代理人から個人番号の提供を受けるときは、本人若しくは代理権の確認に必要な書面の提示又はその写しの提出を求めなければならない。ただし、対面により本人であることが明らかであると認められるときは、これを身元確認とみなすことができる。
4 事務取扱担当者は、書面の送付により個人番号の提供を受けるときは、併せて本人確認に必要な書面又はその写しの提出を求めるものとする。
5 個人番号の提供を求める時期は、原則として個人番号を取り扱う事務が発生したときとする。
6 事務取扱担当者は、個人番号利用事務等を処理するために必要がある場合に限り、個人番号を収集し、若しくは利用し、又は特定個人情報ファイルを作成することができる。
7 事務取扱担当者は、個人番号利用事務等を処理するために必要な場合その他行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)で定める場合を除き、特定個人情報ファイルを作成してはならない。
8 事務取扱担当者は、保有特定個人情報の内容に誤り等を発見した場合には、特定個人情報保護責任者の指示に従い、訂正等を行うものとする。
9 事務取扱担当者は、本人の同意があったとしても、利用目的を超えて個人番号を利用してはならない。ただし、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるときは、この限りでない。
10 事務取扱担当者は、個人番号利用事務等を処理するために必要がある場合に限り、本人又は他の個人番号関係事務実施者若しくは個人番号利用事務実施者に対して個人番号の提供を求めることができるものとする。
11 事務取扱担当者は、業務上の目的で保有特定個人情報を取り扱う場合であっても、次に掲げる行為については、特定個人情報保護責任者の指示に従い行うものとする。
一 保有特定個人情報の複製
二 保有特定個人情報の送信
三 保有特定個人情報が記録されている媒体の外部への送付又は持出し
四 その他保有特定個人情報の適切な管理に支障を及ぼすおそれのある行為
(体制の見直し)
第九条 特定個人情報総括責任者は、必要に応じて特定個人情報の取扱いに関する安全対策に関する諸施策について見直しを行い、改善を図るものとする。
第三章 人的安全管理措置
(職員研修等)
第十条 特定個人情報総括責任者は、職員に対して定期的な研修の実施又は情報提供等を行い、特定個人情報の適正な取扱いを図るものとする。
2 特定個人情報保護責任者は、当該部署等の職員に対し、保有特定個人情報の適切な管理のために、特定個人情報総括責任者の実施する教育研修への参加の機会を付与する等の必要な措置を講じることとする。
(特定個人情報の取扱状況の確認)
第十一条 特定個人情報保護責任者は、特定個人情報の取扱いが関係法令等に基づき適正に運用されていることを定期的に確認する。
2 特定個人情報保護責任者は、執務記録の内容を定期的に確認する。
第四章 物理的安全管理措置
(管理区域及び取扱区域)
第十二条 特定個人情報保護責任者は、特定個人情報の情報漏えい等を防止するため、部署ごとに特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にしておかなければならない。
2 管理区域とは、特定個人情報を取り扱う機器等及び特定個人情報ファイルを管理するキャビネット等のある区域とし、他の区域との間仕切りの設置及びキャビネット等の施錠等の措置を講じることとする。
3 取扱区域とは、事務取扱担当者の机周辺とし、他の区域との間仕切りの設置及び座席配置等による措置を講じることとする。
(保管等)
第十三条 特定個人情報を取り扱う機器、磁気媒体等及び書類等は、特定個人情報の漏えい、滅失又は毀損の防止その他の安全管理の確保のため、次に掲げる方法により保管又は管理する。
一 特定個人情報を取り扱う情報システムが機器のみで運用されている場合は、次による措置を講じるものとする。
ア セキュリティワイヤー等により固定する等の管理措置
イ 特定個人情報ファイルには、パスワードを付与する等の保護措置
二 特定個人情報を含む書類及び磁気媒体等は、施錠できるキャビネット等に保管する。
2 特定個人情報を含む書類又は特定個人情報ファイルを法定保存期間経過後も引き続き保管するときは、個人番号に係る部分をマスキング又は消去したうえで保管する。
(廃棄等)
第十四条 保管期間を経過した書類等については、次に掲げる方法により廃棄又は消去する。
一 特定個人情報を含む書類の廃棄は、焼却又は溶解等の復元又は判読が不可能な手法により廃棄する。
二 特定個人情報ファイルが記録された機器及び電子媒体等を廃棄する場合は、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段により廃棄する。
(廃棄等の記録)
第十五条 特定個人情報を廃棄又は消去したときは、廃棄等の記録を保存する。
第五章 技術的安全管理措置
(情報システムの管理)
第十六条 特定個人情報保護責任者は、使用する情報システムにおいて特定個人情報を取り扱うときは、次に掲げる方法により管理する。
一 情報システムを使用して個人番号を取り扱う事務を処理するときは、ユーザーIDに付与されるアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
二 情報システムを取り扱う上で正当なアクセス権を有する者であることを確認するため、ユーザーID、パスワードの他磁気・ICカードや生体認証等の組合せによる二要素認証により認証する。
三 特定個人情報等を取り扱う情報システムと外部ネットワーク又はその他の情報システムとの接続箇所には、ファイアウォール等を設置し、不正アクセスを遮断する。
四 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するため、情報システム及び機器にセキュリティ対策ソフトウェア等を導入する。
五 特定個人情報をインターネット等により外部に送信するときは、通信経路における情報漏えい等を防止するため、通信経路の暗号化等の措置を講じる。
(特定個人情報の持出し等)
第十七条 保有する特定個人情報の持ち出しは禁止する。ただし、やむを得ない事情により特定個人情報保護責任者が認めたときは、次に掲げる措置を講じなければならない。
一 外部から容易に閲覧されないよう封筒に入れる等の措置を講じる。
二 特定個人情報を含む書類を郵送等により発送するときは、簡易書留等の追跡可能な移送手段等を利用する。
三 特定個人情報ファイルを磁気媒体等又は機器にて持ち出すときは、ファイル暗号化又はファイルへのパスワードの付与等若しくはパスワードを付与できる機器の利用等の措置を講じる。
第六章 雑則
(委託先の監督)
第十八条 特定個人情報保護責任者は、個人番号利用事務等の全部又は一部を他者に委託するときは、委託先において安全管理が図られるよう、委託を受けたものに対する必要かつ適切な監督を行うこととする。
2 特定個人情報保護責任者は、委託先に対して次に掲げる事項を実施する。
一 委託先における特定個人情報の保護体制が十分であることを確認した上で委託先を選定する。
二 委託先との間で、特定個人情報に関する秘密保持義務、事業所内からの特定個人情報の持ち出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況についての報告等を記載した契約を締結する。
(再委託)
第十九条 受託者は委託を受けた個人番号利用事務等の全部又は一部を他に再委託するときは、委託者の承諾を得なければならない。
2 受託者は、再委託先に対し必要かつ適切な監督を行うものとし、再委託先の監督については、前条の規定を準用する。
(補足)
第二十条 この訓令に定めるもののほか、特定個人情報の安全管理措置について必要な事項は、所掌する事務に応じて特定個人情報保護責任者が別に定める。
附則
この訓令は、公表の日から施行する。