ア　利用目的の特定　特定個人情報等を所管する部局の課等(以下「課等」という。)は、特定個人情報等を取り扱う場合において、その利用の目的(以下「利用目的」という。)を特定するものとする。ただし、番号法及び関係法令で定める利用目的の範囲内に限る。

イ　利用目的の通知　課等は、番号法及び関係法令で定める利用目的の範囲内において、特定個人情報等を取得した場合は、あらかじめその利用目的を本人に通知し、又は公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表するものとする。

ウ　取得の制限　課等は、特定個人情報等を取得するときは、適法かつ適正な方法で行うものとし、番号法第19条各号のいずれかに該当する場合を除き、他人の特定個人情報等を収集してはならない。

エ　個人番号の提供の求めの制限　課等は、番号法第19条各号のいずれかに該当して特定個人情報等の提供を受けることができる場合を除き、他人に対し、個人番号の提供を求めてはならない。

オ　本人確認　課等は、別に定める特定個人情報取扱マニュアル(以下「マニュアル」という。)に従って本人確認を行う。

ア　特定個人情報等の保管　課等は、番号法第19条各号に該当する場合を除くほか、特定個人情報等を保管してはならない。

イ　正確性の確保　課等は、特定された利用目的の達成に必要な範囲内において、特定個人情報等を正確かつ最新の内容に保つよう努めるものとする。

ア　特定個人情報ファイルの種類及び名称

イ　特定個人情報等の取扱部署名、保護管理者及び事務取扱担当者

ウ　特定個人情報等の利用目的

エ　特定個人情報等の収集方法

オ　特定個人情報等の持ち出しの手法及び状況

カ　特定個人情報等の保存期間

キ　特定個人情報等の廃棄及び削除の手法並びに状況

ア　組織内における報告及び被害の拡大防止　当該特定個人情報等を管理する保護管理者に直ちに報告するとともに、被害の拡大を防止する。この場合において、保護管理者は、事案の発生した経緯、被害状況等を調査し、総括責任者に報告するものとし、特に重大と認める事案が発生した場合には、直ちに総括責任者に当該事案の内容等について報告する。

イ　事実関係の調査及び原因の究明　保護管理者は、事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合には、その原因の究明を行う。

ウ　影響範囲の特定　保護管理者は、イで把握した事実関係による影響の範囲を特定する。

エ　再発防止策の検討及び決定　保護管理者は、イで究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。

オ　影響を受ける可能性のある本人への連絡　保護管理者は、事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに、当該特定個人情報等に該当する本人に連絡し、又は本人が容易に知り得る状態に置く。

カ　事実関係及び再発防止策等の公表　保護管理者は、事案の内容に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等について、速やかに公表する。

キ　個人情報保護委員会(個人情報の保護に関する法律(平成15年法律第57号)第5章に規定する個人情報保護委員会をいう。以下同じ。)への報告　次に掲げる取扱いをするものとする。

(ア)　保護管理者は、番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には、事実関係について、速やかに総務課及び行政改革・デジタル推進課に報告する。この場合において、当該報告を受けた総務課及び行政改革・デジタル推進課は事実関係及び再発防止対策等について、速やかに個人情報保護委員会に報告する。

(イ)　(ア)の規定にかかわらず、番号法第28条の4の規定に基づき、行政手続における特定の個人を識別するための番号の利用等に関する法律第29条の4第1項及び第2項に基づく特定個人情報の漏えい等に関する報告等に関する規則(平成27年特定個人情報保護委員会規則第5号。以下「規則」という。)第2条に規定する特定個人情報ファイルに記録された特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態(以下「重大事態」という。)に該当する事案については、規則を根拠として個人情報保護委員会に報告する。この場合において、保護管理者は、重大事態に該当する事案又はそのおそれがある事案が発覚した時点で、直ちにその旨を総務課及び行政改革・デジタル推進課に報告し、総務課及び行政改革・デジタル推進課は直ちに個人情報保護委員会に報告する。

ア　法令遵守　職員は、特定個人情報等の適正な取扱いのために、次の法令のほか関係法令及びこの訓令を遵守し、これに従わなければならない。

(ア)　番号法

(イ)　地方公務員法(昭和25年法律第261号)

(ウ)　不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

(エ)　日向市個人情報保護条例

イ　違反等に対する対処　アの法令のほか関係法令に違反した職員は、その重大性及び事案の状況に応じて地方公務員法第29条の規定により、懲戒処分の対象となり得る。

ア　個人番号利用事務及び個人番号関係事務に関する特定個人情報ファイルを取り扱う情報システム等を設置している区域(以下「管理室」という。)(例：サーバー室)　次に掲げる措置を講ずる。

(ア)　入退室管理　保護管理者は、管理区域に入室する権限を有する者を定めるとともに、要件の確認、入退室の記録、部外者についての識別、部外者が入室する場合の職員の立会い等の措置を講ずる。

(イ)　管理区域の管理　保護管理者は、外部からの不正な侵入に備え、施錠装置、警報装置及び監視設備の設置等の措置を講ずる。

イ　個人番号利用事務及び個人番号関係事務に関して、実際に特定個人情報等を取り扱う課等の執務室等(以下「取扱区域」という。)　事務取扱担当者の座席が、外部及び内部の者に見られないように、壁又は間仕切り等の設置や事務取扱担当者以外の者の往来が少ない場所に配置する。

ア　特定個人情報等を取り扱う電子媒体及び書類等　施錠できるキャビネット、金庫等に保管する。

イ　特定個人情報ファイルを取り扱う機器　セキュリティワイヤー等により固定する。

ア　庁外への持ち出し　次に掲げる保護措置を行うものとする。

(ア)　持ち出しデータの暗号化又はパスワードによる保護　暗号化又はパスワードによる保護のほか、できる限り施錠できる搬送容器を使用する。ただし、国等の行政機関等に法定調書等をデータで提出する場合には、当該行政機関等が指定する提出方法に従うものとする。

(イ)　保護管理者の承認　特定個人情報等を電子媒体又は書類等で庁外に持ち出す場合は、保護管理者の承認を得なければならない。この場合において、当該電子媒体又は書類等は、封筒に入れて封緘して持ち出すものとする。

イ　庁内での移動　特定個人情報等が記録された電子媒体又は書類等の庁内移動については別に定めるマニュアルに従う。

ア　特定個人情報等が記載された書類等の廃棄　原則、焼却又は溶解するものとする。この場合において、復元不可能な程度に細断(シュレッダー処理)する方法も可とする。

イ　特定個人情報等が記載された機器及び電子媒体等の廃棄　専用のデータ削除ソフトウェアを利用し、復元不可能な状態にするか、又は、物理的な破壊により復元不可能な状態にする。

ウ　特定個人情報ファイル中の個人番号の削除　個人番号部分を厳重にマスキングし、個人番号が復元不可能な状態にする。

ア　個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する方法

イ　特定個人情報ファイルを取り扱う情報システム等にアクセスできる者を事務取扱担当者に限定する方法

ア　システム管理者は、特定個人情報等を取り扱う情報システムと外部ネットワーク又はその他の情報システムとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。

イ　システム管理者は、情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。

ウ　システム管理者は、導入したセキュリティ対策ソフトウェア等により、不正ソフトウェアの有無を確認する。

エ　システム管理者は、機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。

オ　システム管理者は、定期的又は必要に応じ随時に情報システムへのアクセスの記録等の分析を行い、不正アクセス等を検知する。

カ　システム管理者は、不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み(ネットワークの遮断等)を導入し、適切に運用する。

キ　システム管理者は、情報システムの不正な構成変更(許可されていない電子媒体、機器の接続等、ソフトウェアのインストール等)を防止するために必要な措置を講ずる。