○町長が取り扱う特定個人情報等に関する管理規程
平成28年3月31日
訓令第3号
目次
第1章 総則(第1条・第2条)
第2章 管理体制(第3条―第6条)
第3章 教育研修(第7条)
第4章 職員の責務(第8条)
第5章 特定個人情報の取扱い(第9条―第20条)
第6章 特定個人情報等の業務委託(第21条)
第7章 情報システムの安全管理(第22条)
第8章 安全確保上の問題への対応(第23条―第25条)
第9章 監査及び点検の実施(第26条―第28条)
附則
第1章 総則
(趣旨)
第1条 この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)及び佐川町個人情報保護法施行条例(令和5年佐川町条例第3号。以下「法施行条例」という。)の施行に関し、佐川町特定個人情報等安全管理基本方針を踏まえ、町長が取り扱う個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いの確保のために必要な措置を定めるものとする。
(定義)
第2条 この規程において使用する用語の定義は、番号法及び個人情報保護法で使用する用語の例による。
第2章 管理体制
(総括保護責任者)
第3条 町長部局に、総括保護責任者を1人置くこととし、副町長をもって充てる。
2 総括保護責任者は、町長課局における特定個人情報等の管理に関する事務を総括する任に当たる。
(保護責任者)
第4条 各課局に、保護責任者を1人置くこととし、各課局長をもって充てる。
2 保護責任者は、その所管する課局における特定個人情報等の管理に関する事務を総括する任に当たる。
(保護管理者)
第5条 特定個人情報等を取り扱う各所属に保護管理者を1人置くこととし、保護責任者が指名する者をもって充てる。
2 保護管理者は、各所属における特定個人情報等の適切な管理を確保する任に当たる。また、特定個人情報等を取り扱う職員(以下「事務取扱担当者」という。)及びその役割を指定するとともに、事務取扱担当者が取り扱う特定個人情報等の範囲を指定する。
(監査責任者)
第6条 町長部局に、監査責任者を置くこととし、総務課長をもって充てる。
2 監査責任者は、特定個人情報等の管理の状況について監査する任に当たる。
第3章 教育研修
(研修)
第7条 総括保護責任者は、事務取扱担当者に対し、特定個人情報等の取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。また、保護責任者に対し、課局における特定個人情報等の適正な管理のために必要な教育研修を行う。
2 保護管理者は、事務取扱担当者に対し、特定個人情報等の適切な管理のために、総括保護責任者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。
第4章 職員の責務
(職員の責務)
第8条 職員は、番号法、個人情報保護法及び法施行条例の趣旨に則り、関連する法令及び佐川町情報セキュリティポリシー等の各種規程を遵守するとともに、総括保護責任者、保護責任者及び保護管理者の指示に従い、特定個人情報等を取り扱わなければならない。
2 職員は、特定個人情報等の漏えい、滅失又は毀損(以下「情報漏えい等」という。)の事実の発生又は兆候を把握した場合及び事務取扱担当者が取扱規程等に違反している事実又は兆候を把握した場合は、速やかに保護管理者に報告しなければならない。
第5章 特定個人情報等の取扱い
(アクセス制限)
第9条 保護管理者は、特定個人情報等にアクセスする権限(以下「アクセス権限」という。)を有する者を、その特定個人情報等の取扱事務の目的を達成するために必要最小限の職員に限るものとする。
2 アクセス権限を有しない職員は、特定個人情報等にアクセスしてはならない。
3 保護管理者及び事務取扱担当者は、アクセス権限を有する場合であっても、特定個人情報等の取扱事務の目的以外の目的で特定個人情報等にアクセスしてはならない。
(複製等の制限)
第10条 事務取扱担当者は、取扱事務の目的の範囲内で特定個人情報等を取り扱う場合であっても、次に掲げる行為については、保護管理者の指示に従い行わなければならない。
(1) 特定個人情報等の複製
(2) 特定個人情報等の送信
(3) 特定個人情報等が記録されている媒体の外部への送付又は持出し
(4) その他特定個人情報等の適切な管理に支障を及ぼすおそれのある行為
(誤りの訂正等)
第11条 事務取扱担当者は、特定個人情報等の内容に誤り等を発見した場合には、保護管理者の指示に従い、訂正等を行う。
(媒体の管理等)
第12条 事務取扱担当者は、保護管理者の指示に従い、特定個人情報等が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫への保管、施錠等により、情報漏えい等を防止するための措置を講ずる。
(廃棄等)
第13条 事務取扱担当者は、特定個人情報等が記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要になった場合には、保護管理者の指示に従い、当該特定個人情報等の復元又は判読が不可能な方法により当該情報の削除又は当該媒体の廃棄を行う。この場合において、当該情報の削除又は当該媒体の廃棄を確認した上で、当該削除等について記録し保存するものとする。
(取扱状況の記録)
第14条 保護管理者は、特定個人情報ファイルの取扱状況を確認する手段を整備して、当該特定個人情報等の利用及び保管等の取扱状況について記録する。
(個人番号の利用の制限)
第15条 保護管理者は、個人番号の利用に当たり、番号法があらかじめ限定的に定めた事務(番号法に基づき条例で定めた事務を含む。)に限定する。
(特定個人情報等の提供の制限)
第16条 保護管理者は、番号法で限定的に明記された場合を除き、特定個人情報等を提供してはならない。
(特定個人情報等の提供の求めの制限)
第17条 個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合その他番号法で定める場合を除き、個人番号の提供を求めてはならない。
(特定個人情報ファイルの作成の制限)
第18条 個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイルを作成してはならない。
(特定個人情報等の収集・保管の制限等)
第19条 番号法第19条各号のいずれかに該当する場合を除き、他人の個人番号を含む個人情報を収集し、又は保管してはならない。また、本人又は代理人から個人番号の提供を受ける際には、成りすましを防止するため、当該本人確認及び個人番号の確認を確実に行うものとする。
(取扱区域)
第20条 保護管理者は、特定個人情報等を取り扱う事務を実施する区域を明確にし、物理的な安全管理措置を講ずる。
第6章 特定個人情報等の業務委託
(業務の委託等)
第21条 個人番号利用事務等の全部又は一部を委託する場合には、委託先において、番号法に基づき佐川町(以下「町」という。)が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認するものとし、委託を受けた者において町が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。
2 個人番号利用事務等の全部又は一部の委託を受けた者が再委託を行おうとする際には、保護管理者は、委託をする個人番号利用事務等において取り扱う特定個人情報等の適切な安全管理が図られることを確認した上で再委託の諾否を判断するものとする。
第7章 情報システムの安全管理
第22条 情報システムにおける個人情報及び特定個人情報等の安全管理については、佐川町情報セキュリティポリシーに基づき、具体的な情報セキュリティ対策を実施するために策定する情報セキュリティ実施手順書によるものとする。
第8章 安全確保上の問題への対応
(事案の報告及び再発防止措置)
第23条 特定個人情報等の情報漏えい等の事案が発生した場合等、安全確保上で問題となる事案が発生した場合に、その事実を知った職員は、速やかに当該特定個人情報等を管理する保護管理者に報告する。なお、外部からの不正アクセスや不正プログラムの感染等が疑われる場合にあっては、併せて、佐川町情報セキュリティポリシーに規定する情報セキュリティ基準に基づき適正に対応するものとする。
2 保護管理者は、前項に係る事案が発生した場合は、速やかに事案の発生した経緯、被害状況等を調査し、保護責任者及び監査責任者に報告するとともに、被害の拡大を防止するために必要な措置を講ずる。
3 保護管理者は、当該事案に係る本人への対応等の措置を講ずるとともに、2次被害の発生防止に努める。
4 保護管理者は、当該事案が発生した原因を分析し、再発防止のために必要な措置を講ずる。
5 保護責任者は、第2項の規定に基づく報告を受けた場合には、事案の内容等に応じて、当事案の内容、経緯、被害状況等を速やかに町長に報告する。
6 監査責任者は、第2項に係る報告を受けたときは、速やかに総括保護責任者に報告する。
(公表)
第24条 保護管理者は、事案の内容、影響等に応じて、事実関係及び再発防止策の公表をする。
(法令・内部規程違反等に対する厳正な対処)
第25条 法令又は内部規程等に違反した職員に対し、法令又は内部規程等に基づき厳正に対処する。
第9章 監査及び点検の実施
(監査)
第26条 監査責任者は、特定個人情報等の適切な管理を検証するため、定期に又は必要に応じ随時に監査を行い、その結果を総括保護責任者に報告する。
(点検)
第27条 保護管理者は、各所属における特定個人情報等の記録媒体、処理経路、保管方法等について、定期に又は必要に応じ随時に点検を行い、必要があると認めるときは、その結果を保護責任者及び総括保護責任者に報告する。
(評価及び見直し)
第28条 総括保護責任者、保護責任者及び保護管理者は、監査又は点検の結果を踏まえ、実効性等の観点から特定個人情報等の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずる。
附則
この訓令は、平成28年4月1日から施行する。
附則(令和5年3月27日訓令第2号)
この訓令は、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)附則第1条第7号に掲げる規定(同法第51条の規定に限る。)の施行の日から施行する。