○日向市特定個人情報等取扱規程

平成29年11月7日

訓令第29号

目次

第1章 総則(第1条―第3条)

第2章 体制(第4条―第7条)

第3章 安全管理措置(第8条―第11条)

第4章 監査及び点検の実施(第12条―第14条)

附則

第1章 総則

(目的)

第1条 この訓令は、日向市の保有する特定個人情報及び個人番号(以下「特定個人情報等」という。)について、その適切な管理に必要な事項を定めることにより、適正かつ円滑な運営を図り、もって個人の権利利益を保護することを目的とする。

(定義)

第2条 この訓令における用語の意義は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第2条及び日向市個人情報保護条例(平成18年日向市条例第57号)第2条に定めるところによる。

(部局等の範囲)

第3条 この訓令が適用される部局等は、市長、教育委員会、選挙管理委員会、公平委員会、監査委員、農業委員会及び固定資産評価審査委員会とする。

第2章 体制

(組織・体制)

第4条 特定個人情報等の管理については、次に掲げる組織・体制を設置するものとし、それぞれ別表に掲げる職にある者をもって充てる。この場合において、次の各号に掲げる者は、当該各号に掲げる事務を行う者とする。

(1) 特定個人情報総括責任者 日向市における特定個人情報等について統括して管理する者(以下「総括責任者」という。)

(2) 特定個人情報副総括責任者 総括責任者を補佐するとともに、総括責任者に事故があるとき又は総括責任者が欠けたときは、その職務を代理する者(以下「副総括責任者」という。)

(3) 特定個人情報システム管理者 特定個人情報のうち情報システムで取り扱うものに関し、安全の確保等について必要な措置を講ずる者(以下「システム管理者」という。)

(4) 特定個人情報保護管理者 部局等の課及び出先機関(以下「課等」という。)における特定個人情報等について管理する者(以下「保護管理者」という。)

(5) 特定個人情報監査責任者 特定個人情報等の管理に関する監査を行う者(以下「監査責任者」という。)

(6) 特定個人情報事務取扱担当者 特定個人情報等の取扱い及び管理に関する事務を行う者(以下「事務取扱担当者」という。)

(特定個人情報等の取扱い)

第5条 特定個人情報等については、日向市個人情報保護条例で定めるもののほか、次の各号に掲げる段階に応じて、当該各号に掲げる取扱いをするものとする。

(1) 取得する段階 次に掲げる取扱いをするものとする。

 利用目的の特定 特定個人情報等を所管する部局の課等(以下「課等」という。)は、特定個人情報等を取り扱う場合において、その利用の目的(以下「利用目的」という。)を特定するものとする。ただし、番号法及び関係法令で定める利用目的の範囲内に限る。

 利用目的の通知 課等は、番号法及び関係法令で定める利用目的の範囲内において、特定個人情報等を取得した場合は、あらかじめその利用目的を本人に通知し、又は公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表するものとする。

 取得の制限 課等は、特定個人情報等を取得するときは、適法かつ適正な方法で行うものとし、番号法第19条各号のいずれかに該当する場合を除き、他人の特定個人情報等を収集してはならない。

 個人番号の提供の求めの制限 課等は、番号法第19条各号のいずれかに該当して特定個人情報等の提供を受けることができる場合を除き、他人に対し、個人番号の提供を求めてはならない。

 本人確認 課等は、別に定める特定個人情報取扱マニュアル(以下「マニュアル」という。)に従って本人確認を行う。

(2) 利用を行う段階 課等は、特定された利用目的の達成に必要な範囲を超えて特定個人情報等を取り扱ってはならない。ただし、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるときは、利用目的の範囲を超えて特定個人情報等を取り扱うことができるものとする。

(3) 保管する段階 次に掲げる取扱いをするものとする。

 特定個人情報等の保管 課等は、番号法第19条各号に該当する場合を除くほか、特定個人情報等を保管してはならない。

 正確性の確保 課等は、特定された利用目的の達成に必要な範囲内において、特定個人情報等を正確かつ最新の内容に保つよう努めるものとする。

(4) 提供を行う段階 課等は、番号法第19条各号に該当する場合を除くほか、特定個人情報等を提供してはならない。

(5) 廃棄・削除を行う段階 課等は、個人番号利用事務及び個人番号関係事務を処理する必要がなくなった場合で、かつ、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除するものとする。ただし、その個人番号部分を復元できない程度にマスキング又は削除した場合には、保管を継続することができるものとする。

(教育研修)

第6条 総括責任者は、職員に対し、特定個人情報等の取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。

2 総括責任者は、特定個人情報等を取り扱う情報システムの管理に関する事務に従事する職員に対し、特定個人情報等の適切な管理のために、当該情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行う。

3 総括責任者は、保護管理者及び事務取扱担当者に対し、各課における特定個人情報等の適切な管理のための教育研修を実施する。

4 保護管理者は、当該課の職員に対し、特定個人情報等の適切な管理のために、総括責任者の実施する教育研修への参加の機会を与える等の必要な措置を講ずる。

(職員の責務)

第7条 職員は、番号法及び日向市個人情報保護条例の趣旨に基づき、関連する法令及びこの訓令等並びに総括責任者及び保護管理者の指示に従い、特定個人情報等を取り扱わなければならない。

2 職員は、特定個人情報等の漏えい等の事案の発生若しくはその兆候を把握した場合又は職員が関連する法令及びこの訓令等に違反している事実若しくはその兆候を把握した場合は、速やかに保護管理者に報告しなければならない。

3 総括責任者及び保護管理者は、特定個人情報等が関連する法令及びこの訓令等に基づき適正に取り扱われるよう、職員に対して必要かつ適切な監督を行う。

第3章 安全管理措置

(組織的安全管理措置)

第8条 特定個人情報等の適正な取扱いのために、次に掲げる組織的安全管理措置を講ずる。

(1) 組織体制の整備 第4条に規定するとおりとする。

(2) 特定個人情報等の運用及び取扱状況を確認する手段の整備 別に定めるマニュアルに従って次の事項を記録する。

 特定個人情報ファイルの種類及び名称

 特定個人情報等の取扱部署名、保護管理者及び事務取扱担当者

 特定個人情報等の利用目的

 特定個人情報等の収集方法

 特定個人情報等の持ち出しの手法及び状況

 特定個人情報等の保存期間

 特定個人情報等の廃棄及び削除の手法並びに状況

(3) 情報漏えい等事案に対応する体制等の整備 特定個人情報等(委託を受けた者が取り扱うものを含む。以下同じ。)について、漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案が発覚した場合には、次の各号に掲げる事項について、当該各号に掲げる必要な措置を講ずるものとする。

 組織内における報告及び被害の拡大防止 当該特定個人情報等を管理する保護管理者に直ちに報告するとともに、被害の拡大を防止する。この場合において、保護管理者は、事案の発生した経緯、被害状況等を調査し、総括責任者に報告するものとし、特に重大と認める事案が発生した場合には、直ちに総括責任者に当該事案の内容等について報告する。

 事実関係の調査及び原因の究明 保護管理者は、事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合には、その原因の究明を行う。

 影響範囲の特定 保護管理者は、で把握した事実関係による影響の範囲を特定する。

 再発防止策の検討及び決定 保護管理者は、で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。

 影響を受ける可能性のある本人への連絡 保護管理者は、事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに、当該特定個人情報等に該当する本人に連絡し、又は本人が容易に知り得る状態に置く。

 事実関係及び再発防止策等の公表 保護管理者は、事案の内容に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等について、速やかに公表する。

 個人情報保護委員会(個人情報の保護に関する法律(平成15年法律第57号)第5章に規定する個人情報保護委員会をいう。以下同じ。)への報告 次に掲げる取扱いをするものとする。

(ア) 保護管理者は、番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には、事実関係について、速やかに総務課及び総合政策課に報告する。この場合において、当該報告を受けた総務課及び総合政策課は事実関係及び再発防止対策等について、速やかに個人情報保護委員会に報告する。

(イ) (ア)の規定にかかわらず、番号法第28条の4の規定に基づき、特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則(平成27年特定個人情報保護委員会規則第5号。以下「規則」という。)第2条に規定する特定個人情報ファイルに記録された特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態(以下「重大事態」という。)に該当する事案については、規則を根拠として個人情報保護委員会に報告する。この場合において、保護管理者は、重大事態に該当する事案又はそのおそれがある事案が発覚した時点で、直ちにその旨を総務課及び総合政策課に報告し、総務課及び総合政策課は直ちに個人情報保護委員会に報告する。

(4) 取扱状況の把握及び安全管理措置の見直し 監査責任者は、特定個人情報等の管理の状況について、定期的又は必要に応じ随時に点検又は監査を行い、その結果を総括責任者に報告する。この場合において、総括責任者は、点検又は監査の結果を踏まえ、必要があると認めるときは、この訓令の見直し等の措置を講ずる。

(人的安全管理措置)

第9条 特定個人情報等の適正な取扱いのために、次に掲げる人的安全管理措置を講ずる。

(1) 事務取扱担当者の監督 保護管理者は、特定個人情報等がこの訓令等に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。

(2) 事務取扱担当者の教育 総括責任者は、事務取扱担当者に対し、特定個人情報等の適正な取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。この場合において、保護管理者は、事務取扱担当者に対し、特定個人情報等の適切な管理のための研修参加への機会を付与する等の必要な措置を講ずるものとする。

(3) 法令及びこの訓令への違反等に対する厳正な対処 次に掲げる措置を講ずる。

 法令遵守 職員は、特定個人情報等の適正な取扱いのために、次の法令のほか関係法令及びこの訓令を遵守し、これに従わなければならない。

(ア) 番号法

(イ) 地方公務員法(昭和25年法律第261号)

(ウ) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

 違反等に対する対処 の法令のほか関係法令に違反した職員は、その重大性及び事案の状況に応じて地方公務員法第29条の規定により、懲戒処分の対象となり得る。

(物理的安全管理措置)

第10条 特定個人情報等の適正な取扱いのために、次に掲げる物理的安全管理措置を講ずる。

(1) 特定個人情報等を取り扱う区域の管理 次の各号に掲げる区域において、当該各号に掲げる安全措置を講ずる。

 個人番号利用事務及び個人番号関係事務に関する特定個人情報ファイルを取り扱う情報システム等を設置している区域(以下「管理室」という。)(例:サーバー室) 次に掲げる措置を講ずる。

(ア) 入退室管理 保護管理者は、管理区域に入室する権限を有する者を定めるとともに、要件の確認、入退室の記録、部外者についての識別、部外者が入室する場合の職員の立会い等の措置を講ずる。

(イ) 管理区域の管理 保護管理者は、外部からの不正な侵入に備え、施錠装置、警報装置及び監視設備の設置等の措置を講ずる。

 個人番号利用事務及び個人番号関係事務に関して、実際に特定個人情報等を取り扱う課等の執務室等(以下「取扱区域」という。) 事務取扱担当者の座席が、外部及び内部の者に見られないように、壁又は間仕切り等の設置や事務取扱担当者以外の者の往来が少ない場所に配置する。

(2) 機器、電子媒体及び書類等の盗難等の防止 前号に規定する管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる事項において、当該各号に掲げる物理的な安全管理措置を講ずる。

 特定個人情報等を取り扱う電子媒体及び書類等 施錠できるキャビネット、金庫等に保管する。

 特定個人情報ファイルを取り扱う機器 セキュリティワイヤー等により固定する。

(3) 電子媒体及び書類等の取扱いにおける漏えい等の防止 事務取扱担当者が、特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、保護管理者は、次に掲げる措置を講ずる。

 庁外への持ち出し 次に掲げる保護措置を行うものとする。

(ア) 持ち出しデータの暗号化又はパスワードによる保護 暗号化又はパスワードによる保護のほか、できる限り施錠できる搬送容器を使用する。ただし、国等の行政機関等に法定調書等をデータで提出する場合には、当該行政機関等が指定する提出方法に従うものとする。

(イ) 保護管理者の承認 特定個人情報等を電子媒体又は書類等で庁外に持ち出す場合は、保護管理者の承認を得なければならない。この場合において、当該電子媒体又は書類等は、封筒に入れて封緘して持ち出すものとする。

 庁内での移動 特定個人情報等が記録された電子媒体又は書類等の庁内移動については別に定めるマニュアルに従う。

(4) 特定個人情報等の削除並びに機器及び電子媒体等の廃棄 特定個人情報等が記録された電子媒体及び書類等は、所管法令において定められている保存期間を経過した後の廃棄を前提とし、当該保存期間を経過した場合には、次に掲げる事項により速やかに廃棄又は削除しなければならない。

 特定個人情報等が記載された書類等の廃棄 原則、焼却又は溶解するものとする。この場合において、復元不可能な程度に細断(シュレッダー処理)する方法も可とする。

 特定個人情報等が記載された機器及び電子媒体等の廃棄 専用のデータ削除ソフトウェアを利用し、復元不可能な状態にするか、又は、物理的な破壊により復元不可能な状態にする。

 特定個人情報ファイル中の個人番号の削除 個人番号部分を厳重にマスキングし、個人番号が復元不可能な状態にする。

(技術的安全管理措置)

第11条 特定個人情報等の適正な取扱いのために、次の各号に掲げる事務を行う場合、当該各号に掲げる技術的安全管理措置を講ずる。

(1) アクセス制御 情報システムを利用して個人番号利用事務及び個人番号関係事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、次に掲げる方法によりシステム管理者によるアクセス制御を行う。なお、保護管理者は、システム管理者に対して、個人番号利用事務の事務取扱担当者の登録、変更及び解除を申請し、並びに個人番号関係事務の事務取扱担当者の登録、変更及び解除を申請しなければならない。

 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する方法

 特定個人情報ファイルを取り扱う情報システム等にアクセスできる者を事務取扱担当者に限定する方法

(2) アクセス者の識別と認証 システム管理者は、特定個人情報等を取り扱う情報システムにおいて、事務取扱担当者が正当なアクセス権を有する者であることを、識別及び認証する。この場合において、個人番号利用事務における情報システムの識別方法は、二要素認証(ユーザーID、パスワード、生体情報等のいずれかで正当なアクセス権を有する者を識別及び認証することをいう。)により行う。

(3) 不正アクセス者による被害の防止等 次に掲げる安全措置を講じるものとする。

 システム管理者は、特定個人情報等を取り扱う情報システムと外部ネットワーク又はその他の情報システムとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。

 システム管理者は、情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。

 システム管理者は、導入したセキュリティ対策ソフトウェア等により、不正ソフトウェアの有無を確認する。

 システム管理者は、機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。

 システム管理者は、定期的又は必要に応じ随時に情報システムへのアクセスの記録等の分析を行い、不正アクセス等を検知する。

 システム管理者は、不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み(ネットワークの遮断等)を導入し、適切に運用する。

 システム管理者は、情報システムの不正な構成変更(許可されていない電子媒体、機器の接続等、ソフトウェアのインストール等)を防止するために必要な措置を講ずる。

(4) 情報漏えい等の防止 システム管理者は、特定個人情報ファイルを機器又は電子媒体等に保存する必要がある場合、原則として、暗号化又はパスワードにより秘匿する。この場合において、暗号化又はパスワードによる秘匿については、不正に入手した者が容易に復元できないように、暗号鍵及びパスワードの運用管理、パスワードに用いる文字の種類や桁数等の要素を考慮する。

第4章 監査及び点検の実施

(監査)

第12条 監査責任者は、特定個人情報等の管理を検証するため、第2章から前章までに規定する措置の状況を含む本市における特定個人情報等の管理の状況について、定期又は随時に監査(外部監査を含む。以下同じ。)を行い、その結果を総括責任者に報告する。

(点検)

第13条 保護管理者は、各課における特定個人情報等の記録媒体、処理経路、保管方法等について、定期又は随時に点検を行い、必要があると認めるときは、その結果を総括責任者に報告する。

(評価及び見直し)

第14条 総括責任者、保護管理者は、監査又は点検の結果等を踏まえ、実効性等の観点から特定個人情報等の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずる。

附 則

この訓令は、平成29年11月7日から施行する。

附 則(令和3年4月1日訓令第15号)

この訓令は、公表の日から施行する。

別表(第4条関係)

特定個人情報総括責任者

副市長

特定個人情報副総括責任者

総合政策部長

特定個人情報システム管理者

総合政策課長

特定個人情報保護管理者

課等の長にある者

特定個人情報監査責任者

総合政策課長

特定個人情報事務取扱担当者

個人番号利用事務

個人番号利用事務を行う課等の職員であって、実際に個人番号を扱う者

個人番号関係事務

課等において源泉徴収事務等の個人番号関係事務を行う者(郵便物を取り扱う者を含む。)及び本人確認事務を行う者

画像

画像

日向市特定個人情報等取扱規程

平成29年11月7日 訓令第29号

(令和3年4月1日施行)