○高梁市特定個人情報等の取扱いに関する管理規程
平成27年12月22日
訓令第18号
目次
第1章 総則(第1条―第3条)
第2章 管理体制(第4条―第8条)
第3章 職員の責務(第9条・第10条)
第4章 特定個人情報等の取扱い(第11条―第21条)
第5章 情報システムにおける安全の確保等(第22条―第34条)
第6章 管理区域等の安全管理(第35条―第38条)
第7章 業務の委託等(第39条―第41条)
第8章 安全確保上の問題への対応(第42条―第47条)
第9章 点検及び監査の実施(第48条―第50条)
第10章 雑則(第51条)
附則
第1章 総則
(趣旨)
第1条 この訓令は、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)及び特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)(平成26年特定個人情報保護委員会告示第6号)に定めるもののほか、本市が保有する個人番号及び特定個人情報(以下「特定個人情報等」という。)の適切な管理について、必要な事項を定めるものとする。
(定義)
第2条 この訓令における用語の意義は、個人情報保護法、番号法、高梁市電子計算組織及び情報システムの管理運営に関する規程(平成19年高梁市訓令第20号。以下「電算規程」という。)及び高梁市情報セキュリティ基準に関する規程(平成19年高梁市訓令第21号。以下「セキュリティ規程」という。)の定めるところによる。
(適用範囲)
第3条 この訓令は、実施機関の職員に適用する。
第2章 管理体制
(総括保護責任者)
第4条 特定個人情報等の管理に関する総括的な責任者として、総括保護責任者を置き、副市長をもって充てる。
(副総括保護責任者及び監査責任者)
第5条 総括保護責任者を補佐するため、副総括保護責任者を置き、政策監をもって充てる。
2 副総括保護責任者は、特定個人情報等の管理の状況についての監査をするため、監査責任者を兼ねる。
(総括保護管理者)
第6条 実施機関における特定個人情報等の管理に関する事務を総合調整するため、総括保護管理者を置き、デジタル・未来戦略課長をもって充てる。
(保護管理者)
第7条 自ら管理責任を有する特定個人情報等の適切な管理をするため、課(これに相当する組織を含む。以下同じ。)に保護管理者を置き、課の長をもって充てる。
(事務取扱担当者)
第8条 保護管理者は、特定個人情報等の管理に関する事務を担当する事務取扱担当者を指定するものとする。
第3章 職員の責務
(教育研修)
第9条 総括保護管理者は、職員に対し、特定個人情報等の取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。
2 総括保護管理者は、特定個人情報等を取扱う情報システムの管理に関する事務に従事する職員に対し、特定個人情報等の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行うものとする。
3 総括保護管理者は、保護管理者及び事務取扱担当者に対し、各課における特定個人情報等の適切な管理のための教育研修を行うものとする。
4 保護管理者は、当該課の職員に対し、特定個人情報等の適切な管理のために、総括保護管理者の行う教育研修への参加の機会を付与する等の必要な措置を講ずるものとする。
(職員の責務)
第10条 職員は、個人情報保護法及び番号法の趣旨に則り、関連する法令等の定め並びに総括保護責任者、副総括保護責任者、総括保護管理者、保護管理者及び事務取扱担当者の指示に従い、特定個人情報等を取り扱わなければならない。
2 総括保護責任者、副総括保護責任者、総括保護管理者及び保護管理者は、特定個人情報等がこの訓令に基づき適正に取り扱われるよう、職員に対して必要かつ適切な監督を行うものとする。
第4章 特定個人情報等の取扱い
(取扱いの指定)
第11条 保護管理者は、特定個人情報等を取り扱う権限(情報システムへのアクセス権限を含む。以下この条において「権限」という。)を有する職員とその権限の内容について指定しなければならない。この場合において、当該権限を有する職員及びその権限の内容は、業務を行う上で必要最小限の範囲に限るものとする。
2 前項の規定により、権限を有する職員とその権限の内容を指定したときは、保護管理者は、権限を有する職員の登録、変更、抹消その他登録情報等の管理について記録する登録台帳を備えなければならない。
3 権限を有しない職員は、特定個人情報等を取り扱ってはならない。
4 職員は、権限を有する場合であっても、業務上の目的以外の目的で特定個人情報等を取り扱ってはならない。
(複製等の制限)
第12条 保護管理者は、次の各号に掲げる行為について、特定個人情報等の秘匿性等その内容に応じて、当該行為を行うことができる場合を限定するものとする。
(1) 特定個人情報等の複製
(2) 特定個人情報等の送信
(3) 特定個人情報等が記録された電子媒体(端末機及びサーバに内蔵されているものを含む。以下同じ。)及び書類等の外部への送付又は持出し
(4) その他特定個人情報等の適切な管理に支障を及ぼすおそれのある行為
2 職員は、業務上の目的で特定個人情報等を取り扱う場合であっても、前項各号に掲げる行為について、保護管理者の指示に従い行わなければならない。
(訂正等)
第13条 職員は、特定個人情報等の内容に誤り等を発見した場合には、保護管理者の指示に従い、訂正等を行うものとする。
(搬送等)
第14条 保護管理者は、特定個人情報等が記録された電子媒体及び書類等を搬送するときは、容易に個人番号が判明しない措置の実施及び追跡可能な移送手段の利用等の安全対策を講ずるものとする。
(保管等)
第15条 職員は、保護管理者の指示に従い、特定個人情報等が記録された電子媒体及び書類等を定められた場所に厳重に保管するとともに、施錠による管理をしなければならない。
2 前項の場合において、職員は、必要があると認めるときは、耐火金庫その他の災害の耐性に優れた場所での保管を行うものとする。
(廃棄等)
第16条 職員は、特定個人情報等が記録された電子媒体及び書類等が不要となったときは、保護管理者の指示に従い、復元又は判読が不可能な方法により当該特定個人情報等の消去又は廃棄を行い、その記録を保存しなければならない。
2 前項の場合において、特定個人情報等の消去又は廃棄の作業を委託するときは、保護管理者は、受託者が確実に当該特定個人情報等を消去又は廃棄したことについて、受託者から提出された報告書又は証明書等により確認しなければならない。
(取扱状況の記録)
第17条 保護管理者は、特定個人情報等が記録された電子媒体及び書類等の取扱状況を確認する手段を整備し、当該特定個人情報等の利用、保管及び廃棄等の取扱状況について記録しなければならない。
2 保護管理者は、前項に規定する取扱状況の記録の内容に、特定個人情報等を記載してはならない。
(個人番号の利用又は提供の制限)
第18条 職員は、番号法又は高梁市行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく個人番号の利用及び特定個人情報の提供に関する条例(平成27年高梁市条例第43号。以下「独自利用条例」という。)に定める場合を除き、個人番号を利用又は提供してはならない。
(特定個人情報等の提供の求めの制限)
第19条 職員は、個人番号利用事務等を処理するために必要な場合その他番号法又は独自利用条例で定める場合を除き、特定個人情報等の提供を求めてはならない。
(特定個人情報ファイルの作成の制限)
第20条 職員は、個人番号利用事務等を処理するために必要な場合その他番号法又は独自利用条例で定める場合を除き、特定個人情報ファイルを作成してはならない。
(特定個人情報等の収集及び保管の制限)
第21条 職員は、番号法第19条各号のいずれかに該当する場合を除き、特定個人情報等を収集又は保管してはならない。
第5章 情報システムにおける安全の確保等
(アクセス制御)
第22条 特定個人情報等を取り扱う情報システムの管理を所掌する課の長(以下、「システム所管課の長」という。)は、特定個人情報等の秘匿性等その内容に応じ、パスワード等(パスワード、ICカード認証情報、生体情報及びこれらに準ずるものをいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講ずるものとする。
2 システム所管課の長は、前項に規定によりパスワード等を使用したときは、セキュリティ規程第18条に規定するパスワード等の遵守事項に従い、当該パスワード等の読取防止等を行うほか必要な措置を講ずるものとする。
3 アクセス権限を有する職員の登録、変更、抹消その他登録情報等の管理については、セキュリティ規程第17条の規定に従い、システム所管課の長が別に定める。
(アクセス記録)
第23条 システム所管課の長は、特定個人情報等の秘匿性等その内容に応じ、当該特定個人情報等へのアクセス状況を記録するとともに、当該アクセス記録を一定の期間保存し、定期に又は随時に分析するために必要な措置を講じ、又はアクセス記録の改ざん、窃取若しくは不正な消去の防止のために必要な措置を講ずるものとする。
(アクセス状況の監視)
第24条 システム所管課の長は、特定個人情報等の秘匿性等その内容に応じ、当該特定個人情報等への不適切なアクセスの監視のため、当該アクセス記録収集機能の定期的な監視に必要な措置を講ずるものとする。
(管理者権限の設定)
第25条 システム所管課の長は、特定個人情報等の秘匿性等その内容に応じ、情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため、当該特権を最小限とする等の必要な装置を講ずるものとする。
(情報漏えい等の防止)
第26条 職員は、外部からの不正アクセスによる特定個人情報等の漏えい、滅失又は毀損等(以下「情報漏えい等」という。)の防止のため、特定個人情報等を取り扱う情報通信機器をインターネット等不特定の者との通信ができる外部ネットワークに直接接続してはならない。ただし、業務上やむを得ない理由のため、総括保護管理者が必要と認めたときは、この限りではない。
2 システム所管課の長は、法令等の定めにより、特定個人情報等を取り扱う情報システムを外部ネットワークに接続する場合、ファイアウォール等の設定による経路制御機能等の必要な措置を講じなければならない。
3 システム所管課の長は、不正プログラムによる特定個人情報等の情報漏えい等の防止のため、不正プログラムの感染防止として、ウィルス対策ソフトウェアの導入等の必要な措置を講じなければならない。ただし、業務上やむを得ない理由のため、総括保護管理者が必要と認めたときは、この限りではない。
4 職員は、第1項ただし書に定める事由のほか、特定個人情報等の漏えい防止等のため、特定個人情報等を情報通信機器に保存し、管理してはならない。ただし、業務上やむを得ない理由のため、総括保護管理者が必要と認めたときは、この限りではない。
(暗号化)
第27条 システム所管課の長は、特定個人情報等の秘匿性等その内容に応じ、電子データの暗号化のために必要な措置を講ずるものとする。
2 職員は、前項の規定により、他者が電子データの内容を容易に復元できないよう、適切に暗号化を行うものとする。
(入力情報の照合等)
第28条 職員は、情報システムで取り扱う特定個人情報等の重要度に応じ、入力原票と入力内容のとの照合、処理前後の当該特定個人情報等の内容の確認、既存の特定個人情報等との照合等を行うものとする。
(バックアップ)
第29条 システム所管課の長は、特定個人情報等の重要度に応じ、バックアップを作成するために必要な措置を講ずるものとする。
(ドキュメントの管理)
第30条 システム所管課の長は、特定個人情報等に係るドキュメントについて外部に知られることがないよう、その保管、複製及び廃棄等について必要な措置を講ずるものとする。
(情報通信機器の限定)
第31条 システム所管課の長は、特定個人情報等を取り扱う情報通信機器を限定するために台帳を整備する等、必要な措置を講ずるものとする。
2 職員は、前項の規定により限定された情報通信機器以外の機器を使用して、特定個人情報等を取り扱ってはならない。
(情報通信機器の盗難防止等)
第32条 システム所管課の長は、情報通信機器の盗難又は紛失の防止のため、必要に応じ情報通信機器の固定、執務室の施錠等の適切な措置を講ずるものとする。
2 職員は、情報通信機器を外部へ持ち出し、又は外部から持ち込んではならない。ただし、業務上やむを得ない理由のため、総括保護管理者が必要と認めたときは、この限りではない。
(第三者の閲覧防止)
第33条 システム所管課の長は、特定個人情報等が第三者に閲覧されることがないよう、情報通信機器に必要な措置を講ずるものとする。
2 職員は、情報通信機器の使用にあたり、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講じなければならない。
(記録機能を有する機器・電子媒体の接続制限)
第34条 システム所管課の長は、特定個人情報等の秘匿性等その内容に応じ、特定個人情報等の漏えい等の防止のため、磁気ディスク、スマートフォン又はUSBメモリ等の記録機能を有する機器及び電子媒体の情報通信機器への接続を制限(当該情報通信機器の更新への対応を含む。)をするために台帳を整備する等の必要な措置を講ずるものとする。
2 職員は、前項の規定により、接続が許可されていない記録機能を有する機器を使用してはならない。
第6章 管理区域等の安全管理
(管理区域)
第35条 システム所管課の長は、特定個人情報等の秘匿性等その内容に応じ、特定個人情報等が電子的に集約され記録されたサーバ等の情報通信機器は、電算規程第12条第1項に規定する電算室に設置しなければならない。ただし、業務上やむを得ない理由のため、総括保護管理者が承認したときは、この限りではない。
2 総括保護管理者は、前項に規定する電算室及び総括保護管理者が承認した場所を管理区域として指定するものとする。
3 電算室の管理は、総括保護管理者が管理するものとする。
4 第2項の規定により、総括保護管理者が承認した場所は、当該システム所管課の長が管理するものとする。
(入退管理)
第36条 総括保護管理者及びシステム所管課の長は、管理区域の入退管理について次の各号に掲げる措置を講ずるものとする。
(1) 管理区域に立ち入る権限を有する者の指定
(2) 入退する者の用件の確認
(3) 入退に関する記録(所属、氏名、目的及び入退時刻)
(4) 部外者(第1号に規定する者以外の者をいう。以下同じ。)についての識別化
(5) 部外者が立ち入る場合の職員の立会い又は監視設備による監視
(6) 記録機能を有する情報通信機器及び電子媒体の持込み、利用及び持出しの制限又は検査等
2 総括保護管理者及びシステム所管課の長は、必要があると認めるときは、次の各号に掲げる措置を講ずるものとする。
(1) 管理区域の出入口の特定化による入退の管理の容易化
(2) 所在表示の制限等
(3) 入退に関する認証機能の設定
(4) 前号に規定する設定により使用するパスワード等の管理
(管理区域の管理)
第37条 総括保護管理者及びシステム所管課の長は、外部からの不正な侵入に備え、管理区域内に、施錠装置、警報装置及び監視装置の設置等の必要な措置を講ずるものとする。
2 総括保護管理者及びシステム所管課の長は、災害等に備え、管理区域内に、耐震、防火、防煙、防水等の必要な措置を講ずるとともに、サーバ等の情報通信機器の予備電源の確保、配線の損傷防止等の措置を講ずるものとする。
(取扱区域)
第38条 保護管理者は、特定個人情報等を取り扱う事務を実施する区域(以下、「取扱区域」という。)において、情報漏えい等を防止するため、次の各号に掲げる措置を講ずるものとする。
(1) 取扱区域の明確化
(2) 取扱区域への部外者の立入りの原則禁止又は部外者が立入る場合の職員の立会い
(3) 部外者による特定個人情報等の閲覧及びのぞき見等を防止する環境の設営
(4) その他情報漏えい等の防止のために必要な措置
第7章 業務の委託等
(業務の委託)
第39条 実施機関は、特定個人情報等の取扱いに係る業務について、外部に委託するときは、特定個人情報等の適切な管理を行う能力を有する者を委託先に選定するものとする。
2 保護管理者は、個人番号利用事務等の全部又は一部を委託するときは、当該委託先において、番号法に基づき実施機関が果たすべき安全管理措置と同等の措置を講じさせるものとする。
3 保護管理者は、特定個人情報等の取扱いに係る業務を外部に委託するときは、契約書に次に掲げる事項を明記するとともに、委託先における業務取扱責任者及び業務従事者の管理及び実施体制並びに特定個人情報等の管理の状況についての検査に関する事項等の必要な事項について書面で確認しなければならない。
(1) 特定個人情報等に関する秘密保持及び目的外利用の禁止等の義務に係る事項
(2) 再委託の制限又は事前承認その他再委託に係る条件に関する事項
(3) 特定個人情報等の複製等の制限に関する事項
(4) 特定個人情報等の情報漏えい等の事案の発生時における対応に関する事項
(5) 委託終了時における特定個人情報等の消去並びに電子媒体及び書類等の返却に関する事項
(6) 違反した場合における契約解除及び損害賠償責任その他必要な事項
(7) 業務従事者に対する監督及び教育に関する事項
(8) 契約内容の遵守状況に関する報告に係る事項
(9) 委託者による実地の調査を可能とする事項
(委託先の監督)
第40条 保護管理者は、個人番号利用事務等の全部又は一部を委託する場合、当該委託先において、番号法に基づき実施機関が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。
(再委託)
第41条 保護管理者は、特定個人情報等の取扱いに係る業務の全部又は一部の委託先において、当該業務の再委託の申出を受けたときは、当該業務において取り扱う特定個人情報等の適切な安全管理措置が講じられることを確認した上で、再委託の許否を判断しなければならない。
第8章 安全確保上の問題への対応
(事案の報告)
第42条 職員は、特定個人情報等の安全確保上の問題(以下、「問題」という。)に関し、次の各号に掲げる場合は、速やかに当該特定個人情報等を管理する保護管理者に報告しなければならない。
(1) 情報漏えい等の発生又は兆候を把握したとき
(2) この訓令に違反している事実又は兆候を把握したとき
(3) その他安全確保上で問題となる事案が発生したとき
2 保護管理者は、前項の報告を受けたときは、直ちに総括保護管理者に当該事案について報告するとともに、速やかに被害の拡大防止又は復旧等のために必要な措置を講じなければならない。この場合において、保護管理者は、事案の発生した経緯及び被害状況等を調査し、当該調査内容も併せて総括保護管理者に報告するものとする。
3 総括保護管理者は、前項の報告を受けたときは、事案の内容に応じて、当該事案の内容、経緯及び被害状況等を副総括保護責任者及び総括保護責任者に速やかに報告するものとする。
4 総括保護責任者は、前項の報告を受けたときは、事案の内容に応じて、当該事案の内容、経緯及び被害状況等を市長に報告するものとする。
(再発防止措置)
第43条 保護管理者は、問題となった事案の発生原因を分析し、再発防止のために必要な措置を講じなければならない。
(本人への対応)
第44条 保護管理者は、問題となった事案の内容及び影響等に応じて、二次被害の防止及び類似事案の発生回避の観点等から判断し、必要に応じて、当該事案に係る本人への対応等の措置を講じなければならない。
(国等への報告)
第45条 保護管理者は、第42条第1項各号のいずれかに該当する事案を確認したときは、関連する法令等の規定に基づき、事実関係及び再発防止策等について、国等の関係機関に報告するものとする。
(公表等)
第46条 総括保護責任者は、問題となった事案の内容及び影響等により、必要と認めるときは、事実関係及び再発防止策を公表するものとする。
(法令等の違反に対する厳正な対処)
第47条 実施機関は、職員が法令又は規程等に違反する行為を確認した場合には、法令又は規程等に基づき厳正に対処するものとする。
第9章 点検及び監査の実施
(点検)
第48条 保護管理者は、自ら管理責任を有する特定個人情報等の管理について、第17条に規定する取扱状況の記録及びその他の記録等を基に、定期に又は随時に点検を行い、その結果について総括保護管理者を経由して副総括保護責任者に報告しなければならない。
(監査)
第49条 監査責任者は、特定個人情報等の管理の状況について、前条に規定する点検の結果を基に、定期に又は随時に監査を行い、その結果を総括保護責任者に報告するものとする。
(評価及び見直し)
第50条 総括保護責任者は、監査の結果について、必要があると認めたときは、高梁市情報セキュリティ委員会要綱(平成19年高梁市訓令第23号)に基づき設置された高梁市情報セキュリティ委員会に意見を聴くことができる。
2 総括保護責任者は、前項による高梁市情報セキュリティ委員会の意見及び監査の結果を踏まえ、必要があると認めるときは、総括保護管理者を通じて保護管理者に対し、管理の見直し等の指示をするものとする。
3 前項の指示に基づき、保護管理者は、管理の見直し等の措置を講じなければならない。
第10章 雑則
(その他)
第51条 この訓令の施行に関し必要な事項は、市長が別に定める。
附則
この訓令は、平成28年1月1日から施行する。
附則(令和2年3月25日訓令第6号)
この訓令は、令和2年4月1日から施行する。
附則(令和3年3月15日訓令第7号)
この訓令は、令和3年4月1日から施行する。
附則(令和4年3月10日訓令第8号)
この訓令は、令和4年4月1日から施行する。
附則(令和5年6月29日訓令第16号)
この訓令は、令和5年6月29日から施行し、令和5年4月1日から適用する。