○甲賀広域行政組合特定個人情報等管理規程
平成28年1月1日
訓令第1号
第1章 総則
(目的)
第1条 この訓令は、甲賀広域行政組合(以下「組合」という。)の保有する個人番号及び特定個人情報(以下「特定個人情報等」という。)の適切な管理に関して必要な事項を定めることを目的とする。
(用語の定義)
第2条 この訓令における用語の定義は、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号。以下「番号法」という。)第2条に定めるところによる。
(組合の責務)
第3条 組合は、番号法その他の個人情報保護に関する法令、ガイドライン、甲賀広域行政組合個人情報保護条例(平成19年甲賀広域行政組合条例第9号)、甲賀広域行政組合セキュリティポリシー及びこの訓令等を遵守し、特定個人情報等の保護に努めるものとする。
第2章 特定個人情報等の取得
(利用目的の特定)
第4条 組合は、特定個人情報等を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定するものとする。
(取得に際しての利用目的の通知等)
第5条 組合は、特定個人情報等を取得した場合は、あらかじめその利用目的を通知又は公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表するものとする。
2 組合は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式等で作られる記録を含む。)に記載された当該本人の特定個人情報等を取得する場合その他本人から直接書面に記載された当該本人の特定個人情報等を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 前2項の規定は、次に掲げる場合については、適用しない。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することにより組合の権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4) 取得の状況からみて利用目的が明らかであると認められる場合
(取得の制限)
第6条 組合は、特定個人情報等を取得するときは、適法、かつ、適正な方法で行うものとする。
2 組合は、番号法第19条各号のいずれかに該当する場合を除き、他人の特定個人情報等を収集しないものとする。
(個人番号の提供の求めの制限)
第7条 組合は、番号法第19条各号に該当して特定個人情報の提供を受けることができる場合を除くほか、他人に対し、個人番号の提供を求めないものとする
(本人確認)
第8条 組合は、本人又はその代理人から個人番号の提供を受けるときは、番号法第16条の規定に従い、本人確認を行うものとする。
第3章 特定個人情報等の利用
(利用目的外の利用の制限)
第10条 組合は、第4条の規定により特定された利用目的の達成に必要な範囲を超えて特定個人情報等を取り扱わないものとする。
(特定個人情報ファイルの作成の制限)
第11条 組合は、番号法第19条第11号から第14号までのいずれかに該当して特定個人情報を提供し、又はその提供を受けることができる場合を除き、個人番号関係事務を処理するために必要な範囲を超えて特定個人情報ファイルを作成しないものとする。
第4章 特定個人情報等の保存
(特定個人情報等の保管)
第13条 組合は、番号法第19条各号に該当する場合を除くほか、特定個人情報等を保管しないものとする。
(データ内容の正確性の確保)
第14条 組合は、第4条の規定により特定された利用目的の達成に必要な範囲内において、特定個人情報等を正確、かつ、最新の内容に保つよう努めるものとする。
第5章 特定個人情報等の提供
(特定個人情報等の提供)
第16条 組合は、番号法第19条各号に該当する場合を除くほか、特定個人情報等を提供しないものとする。
第6章 特定個人情報等の削除・廃棄
(特定個人情報等の削除・廃棄)
第18条 組合は、個人番号関係事務を処理する必要がなくなった場合で、かつ、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除するものとする。ただし、その個人番号部分を復元できない程度にマスキング又は削除した場合には、保管を継続することができるものとする、
第7章 組織及び体制
(事務取扱担当者・事務取扱責任者)
第21条 組合は、別表に定めるとおり、特定個人情報等を取り扱う事務の範囲を明確化し、明確化した事務において取り扱う特定個人情報等の範囲を明確にした上で、当該事務に従事する職員(以下「事務取扱担当者」という。)を明確にするものとする。
3 事務取扱責任者は、次に掲げる業務を所管する。
(1) 特定個人情報等の利用申請の承認及び記録等の管理
(2) 特定個人情報等を取り扱う保管媒体の設置場所の指定及び変更の管理
(3) 特定個入情報等の管理区分及び権限についての設定及び変更の管理
(4) 特定個人情報等の取扱状況の把握
(5) 委託先における特定個人情報等の取扱状況等の監督
(6) 特定個人情報等の安全管理に関する教育・研修の実施
(7) 総括責任者に対する報告
(8) その他所管部署における特定個人情報等の安全管理に関する事項
(総括責任者)
第22条 組合は、特定個人情報等の安全管理のため、事務局長を総括責任者とする。
2 総括責任者は、次に掲げる業務を所管する。
(1) 特定個人情報等の安全管理に関する承認及び周知
(2) 事務取扱責任者からの報告徴収及び助言・指導
(3) 特定個人情報等の適正な取扱いに関する事務取扱担当者に対する教育・研修の企画
(4) その他特定個人情報等の安全管理に関する事項
(苦情対応)
第23条 組合は、特定個人情報等の取扱いに関する苦情があったときは、適切、かつ、迅速な対応に努めるものとする。
(職員の義務)
第24条 組合の職員又は職員であった者は、業務上知り得た特定個人情報等の内容をみだりに他人に知らせ、又は不当な目的に使用してはならない。
2 特定個人情報等の漏えい、滅失若しくは毀損の発生又は兆候を把握した職員は、その旨を事務取扱責任者又は総括責任者に報告するものとする。
3 この訓令に違反している事実又は兆候を把握した職員は、その旨を事務取扱責任者又は総括責任者に報告するものとする。
4 事務取扱責任者は、前2項の報告を受けた際には、直ちにそれを総括責任者に報告するものとする。
5 総括責任者は、前3項による報告の内容を調査し、この訓令に違反する事実が判明した場合には遅滞なく管理者に報告するとともに、関係事業部門に適切な措置をとるよう指示するものとする。
第8章 安全管理措置
第1節 総則
(委託先の監督)
第26条 組合は、特定個人情報等の取扱いの全部又は一部を組合以外の者に委託するときは、委託先において番号法に基づき組合が果たすべき安全管理措置と同等の措置が講じられているか否かについてあらかじめ確認した上で、原則として委託契約において、特定個人情報等の安全管理について委託先が講ずべき措置を明らかにし、委託先に対する必要、かつ、適切な監督を行うものとする。
2 委託先が特定個人情報等の取扱いの全部又は一部を再委託する場合には、組合の許諾を得るものとする。また、再委託が行われた場合、組合は、委託先が再委託先に対して必要、かつ、適切な監督を行っているかについて監督するものとする。
第2節 組織的安全管理措置
(特定個人情報等の取扱状況の記録)
第27条 組合は、特定個人情報等の取扱状況について、次の内容を記録する。なお、取扱状況には、特定個人情報等は記載しないものとする。
(1) 特定個人情報ファイルの種類、名称
(2) 対象者及び個人情報の項目
(3) 明示、公表等を行った利用目的
(4) 責任者、取扱部署
(5) アクセス権を有する者
(6) 保管場所
(7) 保管方法
(8) 保存期間
(9) 削除、廃棄状況
(この訓令に基づく運用状況の記録)
第28条 組合は、この訓令に基づく運用状況を確認するため、次の内容をシステムログ又は利用実績として記録する。
(1) 特定個人情報ファイルの利用・出力状況の記録
(2) 書類・媒体等の持出しの記録
(3) 特定個人情報ファイルの削除、廃棄記録
(4) 削除・廃棄を委託した場合、これを証明する記録等
(5) 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
(情報漏えい等事案への対応)
第29条 組合が情報漏えい等の事案の発生又は兆候を把握した場合には、総括責任者は、必要に応じて、適切、かつ、迅速に次の対応を行う。
(1) 組合内部における報告、被害の拡大防止
(2) 事実関係の調査、原因の究明
(3) 影響範囲の特定
(4) 再発防止策の検討及び実施
(5) 影響を受ける可能性のある本人への連絡
(6) 事実関係、再発防止策等の公表
(7) 特定個人情報保護委員会への報告
(取扱状況の把握及び安全管理措置の見直し)
第30条 組合は、特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組むため、総括責任者及び事務取扱責任者が、少なくとも毎年1回、取扱状況を点検し、安全管理措置を見直す。
第3節 人的安全管理措置
(職員の監督・教育)
第31条 組合は、特定個人情報等の安全管理のために、職員に対する必要、かつ、適切な監督教育を行うものとする。
第4節 物理的安全管理措置
(特定個人情報等を取り扱う区域の管理)
第32条 組合は、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、壁又は間仕切り等の設置又は事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等に努める。
(機器及び電子媒体等の盗難等の防止)
第33条 組合は、管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の安全管理措置を講ずる。
(1) 特定個人情報等を取り扱う電子媒体又は書類等は、施錠できるキャビネット、書庫等に保管する。
(2) 特定個人情報ファイルを取り扱う機器は、セキュリティワイヤー等により固定する。
(電子媒体等を持ち出す場合の漏えい等の防止)
第34条 組合は、特定個人情報等が記録された電子媒体又は書類等を管理区域又は取扱区域の外に持ち出す場合、次の措置を講じる。
(1) 持出しデータの暗号化、パスワードによる保護又は施錠できる搬送容器を使用する。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従う。
(2) 特定個人情報等が記載された書類等は、封緘して持ち出す。
(個人番号の削除、機器及び電子媒体等の廃棄)
第35条 組合は、個人番号を削除又は廃棄する際には、次の措置により、復元できない手段で削除又は廃棄する。
(1) 特定個人情報等が記載された書類を廃棄する場合、焼却、溶解、復元不可能な程度に細断可能なシュレッダーの利用又は個人番号部分を復元できない程度のマスキングを行う。
(2) 特定個人情報等が記録された機器又は電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアを利用するか、又は物理的な破壊を行う。
2 組合は、個人番号若しくは特定個人情報ファイルを削除した場合又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する。
第5節 技術的安全管理措置
(技術的安全管理措置)
第36条 組合は、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。
2 組合は、特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証するものとする。
3 組合は、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するため、次の措置を講じる。
(1) 組合の情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。
(2) 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。
(3) 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
(4) ログ等の分析を定期的に行い、不正アクセス等を検知する。
4 組合は、標的型メール攻撃等による特定個人情報の漏えい等の被害を防止するため、前項の措置に加え、次の措置を講じる。
(1) 不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み(ネットワークの遮断等)を導入し、適切に運用する。
(2) 特定個人情報ファイルを端末に保存する必要がある場合、パスワードの設定又は暗号化により秘匿する(データの暗号化又はパスワードによる保護に当たっては、不正に入手した者が容易に解読できないように、暗号鍵及びパスワードの運用管理、パスワードに用いる文字の種類や桁数等の要素を考慮する。)。
(3) 情報漏えい等の事案の発生又は兆候を把握した場合の迅速な情報連絡体制についての確認、訓練を行う。
5 組合は、特定個人情報等をインターネット等により外部に送信する場合、通信経路の暗号化を行うよう努める。
第9章 特定個人情報等の開示、訂正等、利用停止等
(特定個人情報等の開示等)
第37条 組合は、本人から、当該本人が識別される特定個人情報等に係る保有個人データについて、書面又は口頭により、その開示(当該本人が識別される特定個人情報等に係る保有個人データを保有していないときにその旨を知らせることを含む。以下同じ。)の申出があったときは、身分証明書等により本人であることを確認の上、開示をするものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 組合の事業の適正な実施に著しい支障を及ぼすおそれがある場合
(3) 他の法令に違反することとなる場合
2 開示は、書面により行うものとする。ただし、開示の申出をした者の同意があるときは、書面以外の方法により開示をすることができる。
3 特定個人情報等に係る保有個人データの開示又は不開示の決定の通知は、本人に対し、遅滞なく行うものとする。
(特定個人情報等の訂正等)
第38条 組合は、本人から、当該本人が識別される特定個人情報等に係る保有個人データの内容が事実でないという理由によって当該特定個人情報等に係る保有個人データの内容の訂正、追加又は削除(以下「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該特定個人情報等に係る保有個人データの内容の訂正等を行うものとする。
2 組合は、前項の規定に基づき求められた特定個人情報等に係る保有個人データの内容の訂正等を行ったとき又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは。その内容を含む。)を通知するものとする。
4 組合は、前第2項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めるものとする。
(特定個人情報等の利用停止等)
第39条 組合は、本人から、当該本人が識別される特定個人情報等に係る保有個人データが第10条の規定に違反して取り扱われているという理由又は第6条の規定に違反して取得されたものであるという理由によって、当該特定個人情報等に係る保有個人データの利用の停止又は消去(以下「利用停止等」という。)を求められた場合、又は第16条の規定に違反して第三者に提供されているという理由によって、当該特定個人情報等に係る保有個人データの第三者への提供の停止(以下「第三者提供の停止」という。)を求められた場合で、その求めに理由があることが判明したときは、遅滞なく、当該特定個人情報等に係る保有個人データの利用停止等又は第三者提供の停止を行うものとする。ただし、当該特定個人情報等に係る保有個人データの利用停止等又は第三者提供の停止に多額の費用を要する場合その他の利用停止等又は第三者提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2 組合は、前項の規定に基づき求められた特定個人情報等に係る保有個人データについて、利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三者提供の停止を行ったとき若しくは第三者提供の停止を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
第10章 その他
(細則)
第40条 この訓令に定めるもののほか、この訓令の実施のための手続その他について必要な事項は、総括責任者が別に定める。
附則
この規程は、平成28年1月1日から施行する。
別表(第21条関係)
特定個人情報等を取り扱う事務の範囲 | 特定個人情報等の範囲 | 事務取扱担当者 | 事務取扱責任者 |
1 職員、その扶養親族等及び第3号被保険者に関する事務 (1) 源泉徴収に関する事務 (2) 個人住民税に関する事務 (3) 財産形成貯蓄関連の届出事務 (4) 健康保険関連の届出事務 (5) 厚生年金保険関連の届出事務 (6) 雇用保険関連の届出事務 (7) 労働者災害補償保険関連の届出事務 (8) 団体保険関連の届出事務 (9) 上記(1)から(8)に関連する事務 | 職員の氏名、住所及び個人番号並びにその扶養親族等の氏名及び個人番号 | 総務課総務係及び出納係 | 総務課長 |
2 報酬の支払先、不動産使用料に関する事務 (1) 給与所得の源泉徴取票作成事務 (2) 報酬、料金、契約金及び賞金の支払調書作成事務 (3) 不動産の使用料等、不動産等の譲受けの対価の支払調書作成事務 (4) 上記(1)から(3)に関連する事務 | 支払先の氏名、住所及び個人番号 |