○城里町特定個人情報取扱規程
平成28年2月10日
訓令第12号
(目的)
第1条 この訓令は,城里町の保有する特定個人情報について,その適切な管理に必要な事項を定めることにより,行政の適正かつ円滑な運営を図りつつ,個人の権利利益を保護することを目的とする。
(適用の範囲)
第2条 城里町の保有する特定個人情報及び特定個人情報ファイルの取扱いは,行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「法」という。),個人情報の保護に関する法律(平成15年法律第57号。以下「保護法」という。),城里町個人情報保護法施行条例(令和5年城里町条例第1号。以下「条例」という。)及びこの訓令の定めるところによる。
(定義)
第3条 この訓令において「特定個人情報」とは,法第2条第8項に規定する特定個人情報をいう。
2 この訓令において「保有特定個人情報」とは,実施機関の職員が職務上作成し,又は取得した特定個人情報であっても,当該実施機関の職員が組織的に利用するものとして,当該実施機関が保有しているものをいう。ただし,公文書に記録されているものに限る。
3 この訓令において「特定個人情報ファイル」とは,保有特定個人情報を含む情報の集合物であって,次に掲げるものをいう。
(1) 一定の事務の目的を達成するために特定の保有特定個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
(2) 前号に掲げるもののほか,一定の事務の目的を達成するために個人番号,氏特定個人情報を容易に検索することができるように体系的に構成したもの
4 この訓令において特定個人情報について「本人」とは,特定個人情報によって識別される特定の個人をいう。
5 この訓令において「課等」とは,城里町課等設置条例(平成21年城里町条例第27号)に定める課局室をいう。
6 この訓令において「システム管理課等」とは,特定個人情報を保有するシステムを運用する課等をいう。
(職員の責務)
第4条 職員は,法,保護法及び条例の趣旨に則り,関連する法令及び規程等の定め並びに総括責任者及び保護責任者の指示に従い,保有特定個人情報を取り扱わなければならない。
(総括責任者等)
第5条 城里町に,総括責任者1人を置き,副町長をもって充てる。
2 各課等に,保護責任者1人を置き,各課等の長をもって充てる。
3 城里町に,監査責任者1人を置き,まちづくり戦略課長をもって充てる。
(総括責任者等の任務)
第6条 総括責任者は,保有特定個人情報の管理に関する事務を総括する。
2 保護責任者は,各課等における保有特定個人情報を適切に管理する。
3 監査責任者は,保有特定個人情報の管理の状況について監査する。
(保有特定個人情報の適切な管理のための連絡及び調整)
第7条 総括責任者は,城里町の保有する特定個人情報の管理に係る重要事項の決定のためその他必要があると認めるときは,関連部署との連絡及び調整を行う。
(教育研修)
第8条 総括責任者は,保有特定個人情報の取扱いに従事する職員に対し,保有特定個人情報の取扱いについて理解を深め,特定個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。
2 総括責任者は,保有特定個人情報を取り扱う情報システムの管理に関する事務に従事する職員に対し,保有特定個人情報の適切な管理のために,情報システムの管理,運用及びセキュリティ対策に関して必要な教育研修を行う。
3 保護責任者は,その所属する課等の職員に対し,保有特定個人情報の適切な管理のために,総括責任者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。
(利用目的の特定)
第9条 課等は,特定個人情報を保有するに当たっては,その利用の目的を特定しなければならない。
2 課等は,前項の規定により特定された利用の目的(以下「利用目的」という。)の達成に必要な範囲を超えて,特定個人情報を保有してはならない。
(利用目的の明示)
第10条 課等は,本人から当該本人の特定個人情報を取得するときは,あらかじめ,本人に対し,その利用目的を明示しなければならない。
(業務を委託する場合の措置)
第11条 保有特定個人情報の取扱いに係る業務を外部に委託(請負契約のための発注を含む。以下この条において同じ。)をする者は,特定個人情報の適切な管理を行う能力を有すると認める者と契約しなければならない。
2 委託に関する契約書には,次に掲げる事項を記載する。
(1) 特定個人情報に関する秘密保持,目的外利用の禁止等の義務
(2) 再委託の制限又は事前承認等再委託に係る条件に関する事項
(3) 特定個人情報の複製等の制限に関する事項
(4) 特定個人情報の安全確保に関する事項
(5) 特定個人情報の漏えい等の事案の発生時における対応に関する事項
(6) 特定個人情報の管理の状況についての調査に関する事項
(7) 契約終了時における特定個人情報が記録された媒体の返却に関する事項
(8) 違反した場合における契約解除の措置,損害賠償責任その他必要な事項
3 保有特定個人情報の取扱いに係る業務を外部に委託をする者は,契約を締結した後,委託先における管理体制等必要な事項について書面で確認する。
(保有特定個人情報の管理)
第12条 保護責任者は,保有特定個人情報の漏えい,滅失又はき損の防止その他の保有特定個人情報の適切な管理に必要な措置を講じなければならない。
2 保護責任者は,保有特定個人情報について,特定個人情報の適正な取扱いに関するガイドライン等で定める保有特定個人情報の取扱方法に準拠し,次に掲げる事項を定めるものとする。
(1) 保有特定個人情報のアクセス制限に関すること。
(2) 保有特定個人情報の暗号化に関すること。
(3) 保有特定個人情報の複製等の制限に関すること。
(4) 保有特定個人情報が記録された媒体の保管等に関すること。
(5) 保有特定個人情報の廃棄等に関すること。
3 保護責任者は,前項の規定により定めた保有特定個人情報の取扱方法について,必要があると認めるときは,その見直し等を行う。
(アクセス制限)
第13条 特定個人情報を保有する課等の職員(以下この節において「課員」という。)は,前条第2項の規定により保護責任者が定めた方法に従い,保有特定個人情報のアクセス制限を行わなければならない。
2 課員は,アクセス権限を有しない保有特定個人情報にアクセスしてはならない。
3 課員は,アクセス権限を有する保有特定個人情報であっても,業務上の目的以外の目的でこれにアクセスしてはならない。
(保有特定個人情報の取扱状況の記録)
第14条 課員は,特定個人情報ファイルの取扱状況を確認するため,台帳(別記様式)を整備し,以下の事項を記録するものとする。なお,特定個人情報ファイルの管理台帳には,特定個人情報等は記録しないものとする。
(1) 特定個人情報ファイルの種類,名称
(2) 特定個人情報等の範囲
(3) 利用目的
(4) 取扱部署
(5) 責任者
(6) 事務取扱担当者
(複製等の制限)
第15条 課員は,次に掲げる行為については,第12条第2項の規定により保護責任者が定めた方法によりこれを行わなければならない。
(1) 保有特定個人情報の複製
(2) 保有特定個人情報(情報システムに係るものに限る。)の外部電磁的記録媒体等への記録
(3) その他保有特定個人情報の適切な管理に支障を及ぼすおそれのある行為
(誤り等の訂正等)
第16条 課員は,保有特定個人情報の内容に誤り等を発見した場合には,保護責任者の指示に従い,当該誤り等の訂正等を行わなければならない。
(アクセス記録)
第17条 情報政策担当課長は,保有特定個人情報(情報システムに係るものに限る。以下,次条において同じ。)について,不適切なアクセスや漏えいその他保有特定個人情報の管理に関して問題となる事案の発生又はそのおそれがあると認めるときは,必要に応じて当該保有特定個人情報への不適切なアクセスの監視やアクセス状況を定期的に分析する等の措置を講じなければならない。
(アクセス制御の措置)
第18条 情報政策担当課長は,保有特定個人情報に係る情報システムについて,パスワード等を使用して権限を識別する機能を設定するなど,アクセス制御のために必要な措置を講じなければならない。
(アクセス記録の措置)
第19条 情報政策担当課長は,保護責任者から申請があった場合には,保有特定個人情報への不適切なアクセスの監視,アクセス状況の記録,その記録の一定期間の保存,及び分析するために必要な措置を講じなければならない。
2 情報政策担当課長は,アクセス記録の改ざん,窃取又は不正な消去の防止のために必要な措置を講じなければならない。
(外部からの不正アクセスの防止)
第20条 情報政策担当課長は,保有特定個人情報に係る情報システムへの外部からの不正アクセスを防止するため,ファイアウォールの設定等の必要な措置を講じなければならない。
(管理区域の立入り等)
第21条 情報政策担当課長は,保有特定個人情報を取り扱う基幹的なサーバ等の機器を設置する区域(以下この条において「管理区域」という。)に立ち入ることのできる権限を有する者を定めるとともに,用件の確認,立入りの記録,部外者についての識別化,部外者が立ち入る場合の職員の立会い又は監視設備による監視,外部電磁的記録媒体等の持込み,利用及び持ち出しの制限又は検査等の措置を講じなければならない。
(管理区域に関する措置)
第22条 情報政策担当課長は,外部からの不正な侵入に備え,管理区域に施錠装置を設置する等必要な措置を講じなければならない。
2 情報政策担当課長は,災害等に備え,管理区域に,耐震,防火等の必要な措置を講ずるとともに,サーバ等の機器の予備電源の確保,配線の損傷防止等の措置を講じなければならない。
(事故の報告)
第23条 保有特定個人情報の漏えいその他特定個人情報の管理に関して問題となる事案が発生したことを知った職員は,直ちに,当該保有特定個人情報を管理する保護責任者にその旨を報告しなければならない。
2 保護責任者は,前項の規定により職員から報告を受けたときは,速やかに総括責任者に報告するとともに,被害の拡大防止又は復旧等のために必要な措置を講じなければならない。
3 保護責任者は,前項の措置を講じた後,速やかに,事案の発生した経緯,被害状況等を調査し,その調査結果を総括責任者に報告しなければならない。
(再発防止措置)
第24条 保護責任者は,保有特定個人情報の漏えいその他特定個人情報の管理に関して問題となる事案が発生した場合には,前条第3項の調査結果に基づき,当該事案の発生した原因を分析し,再発防止のために必要な措置を講じなければならない。
(点検)
第25条 保護責任者は,保有特定個人情報について,毎年,点検を行い,その結果を総括責任者に報告する。
(監査)
第26条 監査責任者は,保有特定個人情報の管理及び利用の状況について,定期に又は随時に監査を行い,その結果を総括責任者に報告する。
(評価及び見直し)
第27条 総括責任者は,保有特定個人情報の適切な管理のための措置について,点検又は監査の結果等を踏まえ,実効性等の観点から評価し,必要があると認めるときは,その見直し等を行う。
(補則)
第28条 この訓令の実施に関し必要な事項は,総括責任者が別に定める。
附則
この訓令は,公布の日から施行し,平成28年1月1日から適用する。
附則(令和5年訓令第3号)
この訓令は,デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)附則第1条第7号に掲げる規定(同法第51条の規定に限る。)の施行の日から施行する。
