○紋別市特定個人情報の取扱いに関する管理規程
平成27年12月30日
訓令第8号
(趣旨)
第1条 この訓令は、本市の保有する特定個人情報の適切な管理に関して必要な事項を定めるものとする。
(適用の範囲)
第2条 市の保有する特定個人情報(以下「保有特定個人情報」という。)及び特定個人情報ファイルの取扱いは、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)、紋別市行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく個人番号の利用及び特定個人情報の提供に関する条例(平成27年条例第35号。以下「番号利用条例」という。)、個人情報の保護に関する法律(平成15年法律第57号)、紋別市個人情報保護法施行条例(令和5年条例第5号)及びこの訓令の定めるところによる。
(令5訓令2・一部改正)
(1) 部等 紋別市事務分掌条例(平成10年条例第1号)第1条に規定する部、紋別市事務分掌条例施行規則(平成10年規則第14号)第6条に規定する臨時の機構(以下「臨時機構」という。)、紋別市教育委員会事務局組織規則(平成10年教育委員会規則第1号)第1条に規定する事務局(以下「教育委員会事務局」という。)及び紋別市議会事務局設置条例(昭和29年条例第59号)第1条に規定する事務局をいう。
(2) 部等の長 前号の部等の長(教育委員会事務局については教育部長)をいう。
(3) 課等 紋別市事務分掌条例施行規則第2条第1項各号に規定する課、紋別市会計管理者の補助組織の設置に関する規則(平成19年規則第25号)第1条第1項に規定する課、紋別市役所支所および出張所設置条例(昭和29年条例第3号)第2条に規定する支所及び出張所、紋別市水道事業、簡易水道事業及び下水道事業事務分掌規程(平成20年水道部管理規程第2号)第2条に規定する課及び場、紋別市教育委員会事務局規則第3条第1項に規定する課、館及びセンター、紋別市監査委員条例(平成4年条例第23号)第2条第1項に規定する事務局、紋別市選挙管理委員会規程(昭和37年選挙管理委員会規程第1号)第11条第1項に規定する事務局並びに紋別市農業委員会事務局規程(平成12年農業委員会規程第1号)第1条第1項に規定する事務局をいう。
(4) 課等の長 前号の課等の長、臨時機構に属する参事及び紋別市議会事務局規程(昭和45年議会訓令第1号)第3条第2項に規定する次長をいう。
2 前項に定めるもののほか、この訓令において使用する用語の意義は、番号法で使用する用語の例による。
(令2訓令4・令5訓令2・令6訓令2・一部改正)
(総括個人情報保護管理責任者及び副総括個人情報保護管理責任者)
第4条 市長は、保有特定個人情報の管理に関する事務を総括させるために、総括個人情報保護管理責任者を置き、副市長をもって充てる。
2 市長は、総括個人情報保護管理責任者の補佐を行わせる者として副総括個人情報保護管理責任者を置き、総務部長をもって充てる。
(個人情報保護管理責任者)
第5条 市長は、保有特定個人情報を取り扱う課等に、個人情報保護管理責任者を置き、当該課等の長又はこれに代わる者をもって充てる。
2 個人情報保護管理責任者は、当該課等における保有特定個人情報を適切に管理する任に当たる。
3 個人情報保護管理責任者は、特定個人情報を取り扱う職員(以下「事務取扱担当者」という。)及び各事務取扱担当者が取り扱う特定個人情報の範囲を指定しなければならない。
(システム管理責任者)
第6条 情報システムを管理する課に、システム管理責任者を置く。
2 システム管理責任者は、保有特定個人情報のうち情報システムで取り扱うものについての安全確保等について必要な措置を講ずるものとする。
(個人情報保護監査責任者)
第7条 市長は、保有特定個人情報の管理状況に関する監査をさせるために、各部等に個人情報保護監査責任者を置き、当該部等の長又はこれに代わる者をもって充てる。
(管理体制)
第8条 個人情報保護管理責任者は、次に掲げる管理体制を整備するものとする。
(1) 事務取扱担当者がこの訓令の規定に違反している事実又は兆候を把握した場合の職員から総括個人情報保護管理責任者への報告及び連絡
(2) 保有特定個人情報の漏えい、滅失、毀損等(以下「情報漏えい等」という。)の事案の発生又は兆候を把握した場合の職員から総括個人情報保護管理責任者への報告及び連絡
(3) 保有特定個人情報を複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化
(教育研修)
第9条 総括個人情報保護管理責任者は、職員に対し、保有特定個人情報の取扱いについて理解を深め、特定個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。
2 総括個人情報保護管理責任者は、保有特定個人情報を取り扱う情報システムの管理に関する事務に従事する職員に対し、保有特定個人情報の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行うものとする。
3 個人情報保護管理責任者は、当該課等の職員に対し、保有特定個人情報の適切な管理のために、総括個人情報保護管理責任者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずるものとする。
(事務取扱担当者の責務)
第10条 事務取扱担当者は、番号法、番号利用条例、個人情報の保護に関する法律及び紋別市個人情報保護法施行条例の趣旨にのっとり、総括個人情報保護管理責任者、副総括個人情報保護管理責任者及び個人情報保護管理責任者の指示に従い、保有特定個人情報を取り扱わなければならない。
(令5訓令2・一部改正)
(アクセスする権限の制限)
第11条 個人情報保護管理責任者は、保有特定個人情報の秘匿性等その内容に応じて、当該保有特定個人情報にアクセスする権限を有する事務取扱担当者を必要最小限に制限しなければならない。
2 アクセスする権限を有しない職員は、保有特定個人情報にアクセスしてはならない。
3 事務取扱担当者は、アクセスする権限を有する場合であっても、業務上の目的以外の目的で保有特定個人情報にアクセスしてはならない。
(複製等の制限)
第12条 事務取扱担当者は、業務上の目的で保有特定個人情報を取り扱う場合であっても、次に掲げる行為については、個人情報保護管理責任者の指示に従い行わなければならない。
(1) 保有特定個人情報の複製
(2) 保有特定個人情報の送信
(3) 保有特定個人情報が記録されている媒体の外部への送付又は持ち出し
(4) 前3号に掲げるもののほか、保有特定個人情報の適切な管理に支障を及ぼすおそれのある行為
(訂正)
第13条 事務取扱担当者は、保有特定個人情報の内容に誤り等を発見した場合には、個人情報保護管理責任者の指示に従い、訂正を行わなければならない。
(媒体の管理等)
第14条 事務取扱担当者は、個人情報保護管理責任者の指示に従い、保有特定個人情報が記録されている媒体(電子データ及び電子媒介を含む。以下「記録媒体」という。)を定められた場所に保管するとともに、必要と認めるときは、耐火金庫への保管、施錠等の措置を行わなければならない。
(廃棄等)
第15条 事務取扱担当者は、保有特定個人情報又は記録媒体が不要となった場合においては、個人情報保護管理責任者の指示に従い、当該保有特定個人情報の復元又は判読が不可能な方法により、当該情報の消去又は当該記録媒体の廃棄を行わなければならない。
2 事務取扱担当者は、個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合その他番号法等で定める場合を除き、個人番号の提供を求めてはならない。
3 事務取扱担当者は、個人番号利用事務等を処理するために必要な場合その他番号法等で定める場合を除き、特定個人情報ファイルを作成してはならない。
4 事務取扱担当者は、番号法第19条各号のいずれかに該当する場合を除き、他人の特定個人情報を収集又は保管してはならない。
(特定個人情報の取扱状況の記録)
第17条 個人情報保護管理責任者は、特定個人情報ファイルの取扱状況を確認する手段を整備し、当該特定個人情報の利用、保管等の取扱状況について記録しなければならない。
(特定個人情報の取扱区域)
第18条 個人情報保護管理責任者は、保有特定個人情報を取り扱う事務を実施する区域を明確にし、物理的な安全管理措置を講じなければならない。
(情報システムにおける安全の確保等)
第19条 個人情報保護管理責任者は、保有特定個人情報を情報システムで取り扱う場合には、別に定める紋別市情報セキュリティポリシーに従い、必要な措置を講じなければならない。
2 個人情報保護管理責任者は、保有特定個人情報の秘匿性等その内容に応じて、当該保有特定個人情報へのアクセス状況を記録し、その記録を一定の期間保存しなければならない。
3 システム管理責任者は、保有特定個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定による経路制御等の必要な措置を講じなければならない。
4 システム管理責任者は、不正プログラムによる保有特定個人情報の情報漏えい等の防止のため、不正プログラムの感染防止等に必要な措置を講じなければならない。
5 個人情報保護管理責任者は、保有特定個人情報の秘匿性等その内容に応じて、その処理を行う端末を限定しなければならない。
6 事務取扱担当者は、個人情報保護管理責任者が必要と認める場合を除き、端末を外部へ持ち出し、又は外部から持ち込んではならない。
7 事務取扱担当者は、端末の使用に当たっては、保有特定個人情報が第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講じなければならない。
(特定個人情報の提供)
第20条 個人情報保護管理責任者は、番号法及び番号利用条例で限定的に明記された場合を除き、特定個人情報を提供してはならない。
(業務の委託等)
第21条 個人番号利用事務等の全部又は一部を委託しようとする場合には、委託先において、番号法に基づき本市が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。
2 個人番号利用事務等の全部又は一部を委託した場合には、委託を受けた者において、本市が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。
3 個人番号利用事務等の全部又は一部の委託を受けた者が再委託しようとする場合には、委託する個人番号利用事務等において取り扱う特定個人情報の適切な安全管理が図られることを確認した上で、再委託の諾否を判断しなければならない。
(安全確保上の問題への対応)
第22条 保有特定個人情報の情報漏えい等の事案の発生又は兆候を把握した場合、事務取扱担当者がこの訓令等に違反している事実又は兆候を把握した場合等の安全確保上で問題となる事案が発生した場合において、その事実を知った職員は、速やかに当該保有特定個人情報を管理する個人情報保護管理責任者に報告しなければならない。
2 個人情報保護管理責任者は、事案の発生した経緯、被害状況等を調査し、副総括個人情報保護管理責任者に報告するものとする。ただし、特に重大と認める事案が発生した場合には、直ちに副総括個人情報保護管理責任者に当該事案の内容等について報告しなければならない。
3 副総括個人情報保護管理責任者は、前項の規定に基づく報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を総括個人情報保護管理責任者及び市長に速やかに報告するものとする。
4 個人情報保護管理責任者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるものとする。
(監査の実施)
第23条 個人情報保護監査責任者は、保有特定個人情報の管理を検証するため、本市における保有特定個人情報の管理の状況について、定期に及び必要に応じ随時に監査を行い、その結果を総括個人情報保護管理責任者に報告するものとする。
(点検の実施等)
第24条 個人情報保護管理責任者は、自ら管理責任を有する保有特定個人情報の記録媒体、処理経路、保管方法等について、定期に及び必要に応じ随時に点検を行い、必要と認めるときは、その結果を総括個人情報保護管理責任者に報告するものとする。
2 保有特定個人情報の適切な管理のための措置について、総括個人情報保護管理責任者、総括個人情報保護管理責任者及び個人情報保護管理責任者は、監査又は点検の結果を踏まえ、実効性等の観点から評価し、必要と認めるときは、その見直し等の措置を講ずるものとする。
(その他)
第25条 この訓令に定めるもののほか、保有特定個人情報の適切な管理のための措置に関して必要な事項は、市長が別に定める。
附則
この訓令は、平成28年1月1日から施行する。
附則(令和2年訓令第4号)
この訓令は、令和2年5月1日から施行する。
附則(令和5年訓令第2号)
この訓令は、令和5年4月1日から施行する。
附則(令和6年訓令第2号)
この訓令は、令和6年4月1日から施行する。