○西伊豆町特定個人情報等取扱規程

平成28年11月25日

規程第7号

目次

第1章 総則(第1条―第3条)

第2章 安全管理措置

第1節 組織的安全管理措置及び人的安全管理措置(第4条―第9条)

第2節 物理的安全管理措置(第10条―第14条)

第3節 技術的安全管理措置(第15条―第18条)

第3章 特定個人情報等の取得、利用、保管、提供及び廃棄・削除段階における取扱い

第1節 安全管理措置(第19条)

第2節 特定個人情報等の取得(第20条―第24条)

第3節 特定個人情報等の利用(第25条・第26条)

第4節 特定個人情報等の保管(第27条)

第5節 特定個人情報等の提供(第28条)

第6節 特定個人情報等の廃棄・削除(第29条)

第4章 特定個人情報等を取り扱う事務の委託の取扱い(第30条)

第5章 雑則(第31条)

附則

第1章 総則

(目的)

第1条 この規程は、西伊豆町における個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いについて必要な事項を定め、もって特定個人情報等の取扱いを安全かつ適正に行うことを目的とする。

(定義)

第2条 この規程における用語の意義は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)及び西伊豆町個人情報保護条例(平成17年西伊豆町条例第12号。以下「保護条例」という。)の定めるところによる。

(適用範囲)

第3条 この規程の適用を受ける事務及び特定個人情報等の範囲は、西伊豆町個人番号の利用及び特定個人情報の提供に関する条例(平成27年西伊豆町条例第18号。以下「番号条例」という。)に定めるところによる。

2 前項に掲げる事務の手続の流れは、別表第1のとおりとする。

第2章 安全管理措置

第1節 組織的安全管理措置及び人的安全管理措置

(保護責任者の責務)

第4条 特定個人情報等を取り扱う事務の担当課長及び局長は、保護責任者として所属における特定個人情報等の適正な管理について責任を負い、特定個人情報等の保護に関し、事務取扱担当者を指導するものとする。

(事務取扱担当者の責務)

第5条 保護責任者は、所属において特定個人情報等を取り扱う職員並びにその役割を指定する。

2 事務取扱担当者以外の職員は、特定個人情報等を取り扱ってはならない。ただし、職務の遂行上やむを得ないときはこの限りでない。

3 事務取扱担当者は、番号法及び保護条例の趣旨に則り、関係法令、特定個人情報の適正な取扱いに関するガイドライン等の各種規程等(以下「関係法令・規程等」という。)並びに保護責任者の指示した事項に従い、特定個人情報等の保護に十分な注意を払ってその業務を行う。

4 事務取扱担当者は、次に掲げる行為について保護責任者の指示に従う。

(1) 特定個人情報等の複製

(2) 特定個人情報等の送信

(3) 特定個人情報等が記録された媒体の外部への持出し

(4) その他特定個人情報等の適切な管理に支障を及ぼすおそれのある行為

(情報漏えい事案等への対応)

第6条 保護責任者は、特定個人情報等の漏えい、滅失、毀損等(以下「情報漏えい等」という。)の事案の発生又は兆候を把握したとき並びに関係法令・規程等に違反している事実又は兆候を把握したときは、事案に応じて次の措置を講ずる。

(1) 被害の拡大防止等 被害防止の拡大又は復旧等のために必要な措置を速やかに講ずる。この場合において、外部からの不正アクセスや不正プログラムの感染が疑われる端末がある場合には、LANケーブルを抜くなど、被害拡大防止のために行い得る措置を直ちに行う。

(2) 関係部署への報告 事案の発生した経緯、被害状況等を速やかに調査し、個人番号制度主管課長にその内容を報告するとともに、影響を受けるおそれのある本人への連絡を行う。

(3) 再発防止策 事案の発生した原因を分析し、再発防止のために必要な措置を講ずる。

(4) 公表等 事案の内容、影響等に応じて、事実関係又は再発防止策の公表、当該事案に係る特定個人情報等の本人への対応等の措置を講ずる。

2 事務取扱担当者は、情報漏えい等の事案の発生又は兆候を把握したとき及び特定個人情報等の取扱いに関して関係法令・規程等に違反している事実又は兆候を把握したときは、直ちに保護責任者に報告し、必要な指示を受けるものとする。

3 第1項第2号の関係部署への報告は、特定個人情報等情報漏えい等報告書(様式第1号)により行うものとする。

(教育研修)

第7条 保護責任者は、事務取扱担当者に対し、特定個人情報等の保護の重要性及び適正管理等に対する理解、関係法令・規程等順守の徹底が図られるよう必要な啓発その他必要な研修を適宜実施する。特に、システムを用いて特定個人情報等を取り扱うときは、当該システムの管理、運用及びセキュリティ対策に関して必要な教育研修を実施する。

2 事務取扱担当者は、前項の教育研修を受講するものとする。

(管理状況の点検)

第8条 保護責任者は、特定個人情報等の取得、利用、保管、提供及び廃棄・削除の状況について、事務取扱担当者のログイン実績及びアクセス記録の確認を含め、毎年度数回の点検を行い、必要な措置を講ずるものとする。

(関係法令・規程等違反に対する措置)

第9条 関係法令・規程等に違反した職員に対しては、厳正に対処する。

第2節 物理的安全管理措置

(特定個人情報等を取り扱う区域の管理)

第10条 保護責任者は、特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を定め、次に掲げる措置を講ずる。

(1) 入退室管理 保護責任者から事前に許可された者のみが入退室を行い、入退室時には必ず名札を着用させる。職員が不在になるときは、取扱区域を含む執務室の施錠管理を行う。

(2) 覗き見防止 事務取扱担当者の座席や端末の配置を工夫するなどの覗き見防止策を講ずる。

(盗難等の防止)

第11条 特定個人情報等が記録されたシステム、電磁的記録媒体及び書類の盗難又は紛失等を防止するために、次に掲げる措置を講ずる。

(1) 電子化された特定個人情報ファイルは、原則、アクセス制御され、アクセスログが記録されるシステムのみで取り扱うこととし、USBメモリー等の電磁的記録媒体に保存する必要があるときは、保護責任者の許可を受け、暗号化又はパスワード等により秘匿しなければならない。

(2) 特定個人情報等が記録された電磁的記録媒体及び書類の保管場所は、施錠できるキャビネットや書庫等とする。

(3) 特定個人情報等が記録された端末は、セキュリティワイヤー等により固定する。

(漏えい等の防止)

第12条 特定個人情報等が記録されたシステム及び電磁的記録媒体からの漏えい等を防止するため、次に掲げる措置を講ずる。

(1) 特定個人情報等を取り扱う端末及び電磁的記録媒体は、保護責任者の許可を受けたものを使用する。

(2) 特定個人情報等を取り扱う端末へのUSBメモリー等の電磁的記録媒体の接続は、原則として禁止し、やむを得ず接続するときは、保護責任者の許可を受けるものとする。

(電磁的記録媒体等を持ち出すときの漏えい等の防止)

第13条 特定個人情報等が記録された電磁的記憶媒体等の持出し(特定個人情報等を取扱区域の外へ移動させることをいい、庁舎内での移動を含み、送付、送信などの手法は問わない。以下同じ。)は、次に掲げるときを除き禁止する。ただし、住民基本台帳ネットワークシステムから特定個人情報等を取り扱うシステムへの庁舎内での特定個人情報等の持出し又は引渡しは除く。

(1) 個人番号を取り扱う事務に係る外部委託先に、委託事務を実施する上で必要と認められる範囲内で提供するとき。

(2) 番号条例に規定する事務を処理するために必要な特定個人情報等を受領するとき。

(3) 他の個人番号利用事務等実施者に対し、当該事務処理に必要な特定個人情報等を提供するとき。

2 前項により特定個人情報等が記録された電磁的記録媒体等の持出し(送付、送信を含む。)を行うときは、別表第2に掲げる安全管理措置を講じ、保護責任者の指示又は許可を受けるものとする。ただし、行政機関等に特定個人情報等を提出するときは、当該行政機関等が指定する提出方法に従う。

(廃棄・削除)

第14条 システム及び電磁的記録媒体等に記録された特定個人情報等の保存期間が経過したときは、保護責任者の指示又は許可を受け、速やかに廃棄又は削除を行うものとし、具体的な取扱いは次のとおりとする。

(1) 特定個人情報等が記録された書類は、シュレッダー等による裁断、焼却、溶解のいずれかにより廃棄する。

(2) 特定個人情報等が記録されたシステム及び電磁的記録媒体は、専用データ削除ソフトウェアの利用又は物理的な破壊のいずれかにより廃棄する。

(3) 特定個人情報等を削除するときは、容易に判読又は復元できない手段を用いる。なお、特定個人情報等を取り扱うシステムは、当該特定個人情報等の保管の必要がなくなったときは、速やかに個人番号が削除される機能又は手動により削除できる機能を有しているものを使用する。

(4) 廃棄又は削除を委託するときは、証明書や事務取扱担当者が立ち会うなどの方法により、廃棄又は削除したことを確認する。

2 事務取扱担当者は、前項による特定個人情報等の廃棄又は削除を行ったときは、特定個人情報等廃棄・削除一覧表(様式第2号)により、保護責任者の決裁を受けて個人番号制度主管課長へ提出するものとする。

第3節 技術的安全管理措置

(アクセス制御)

第15条 特定個人情報等を取り扱うシステムへのアクセス制御は、次のとおりとする。

(1) 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。

(2) 特定個人情報ファイルを取り扱うシステムをアクセス制御により限定する。

(3) ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱うシステムを使用できる者を保護責任者及び事務取扱担当者に限定する。

(アクセス者の識別と認証等)

第16条 特定個人情報等を取り扱うシステムへのアクセス制御は、ユーザーID及びパスワード認証に加え、必要に応じて生体認証等の二要素認証によりアクセス者の識別と認証を行う。

(アクセス記録)

第17条 特定個人情報等の取扱いに当たっては、アクセス状況を記録し、その記録を一定期間保存するとともに、アクセス記録を定期的又は随時に分析する。

(不正アクセス等による被害の防止)

第18条 特定個人情報等を取り扱うシステムは、インターネット環境から分離するとともに、外部からの不正アクセス又は不正プログラムから保護するための仕組み等を導入し、適切に運用する。

第3章 特定個人情報等の取得、利用、保管、提供及び廃棄・削除段階における取扱い

第1節 安全管理措置

(安全管理措置の実施)

第19条 特定個人情報等の取得、利用、保管、提供及び廃棄・削除段階における取扱いの安全管理措置は、以下に定めるもののほか第2章及び西伊豆町情報セキュリティポリシー等に従うものとする。

第2節 特定個人情報等の取得

(特定個人情報等の適正な取得)

第20条 特定個人情報等の取得は、適法かつ適正な方法によらなければならない。

(個人番号の求め)

第21条 事務取扱担当者は、番号条例に掲げる事務を処理するために必要があるときを除き、本人又は他課の個人番号利用事務等実施者に対して個人番号を求めてはならない。

(個人番号の取得時期)

第22条 事務取扱担当者は、番号条例に定める事務を処理するために必要があるときに個人番号を求めることとする。

(特定個人情報等の収集制限)

第23条 番号条例に定める事務の範囲を超えて、特定個人情報等を収集してはならない。

(本人確認)

第24条 本人から特定個人情報等の提供を受けるときの本人確認の方法並びに本人の代理人から特定個人情報等の提供を受けるときの当該代理人の身元確認、代理権の確認及び本人の個人番号の確認は、番号法第16条に基づき厳格に行う。

第3節 特定個人情報等の利用

(特定個人情報等の利用制限)

第25条 取得した特定個人情報は、番号条例に定める事務の範囲を超えて利用してはならない。

(特定個人情報ファイルの作成の制限)

第26条 番号条例に定める事務を処理するために必要な範囲を超えて、特定個人情報ファイルを作成してはならない。

2 特定個人情報ファイルを保有しようとするときは、特定個人情報保護評価に関する規則(平成26年特定個人情報保護委員会規則第1号)第4条第1号から第3号までに掲げる特定個人情報ファイルのみを取り扱う事務を除き、特定個人情報保護評価を実施しなければならない。

第4節 特定個人情報等の保管

(特定個人情報等の正確性の確保)

第27条 番号条例に定める事務を処理する範囲において、特定個人情報等を正確かつ最新の状態で管理及び保管するよう努めるものとする。

第5節 特定個人情報等の提供

(特定個人情報等の提供制限)

第28条 番号法第19条各号に掲げる場合を除き、本人の同意の有無にかかわらず、特定個人情報等を第三者に提供してはならない。

第6節 特定個人情報等の廃棄・削除

(特定個人情報等の廃棄・削除)

第29条 システム及び電磁的記録媒体等に記録された特定個人情報等は、法令等による保存期間を超えて保管してはならない。保存期間を経過した特定個人情報等は、第14条第1項に定める方法により、速やかに廃棄・削除を行うものとする。

第4章 特定個人情報等を取り扱う事務の委託の取扱い

(委託先における安全管理措置)

第30条 特定個人情報等を取り扱う事務の全部又は一部を委託するときは、委託契約書に特定個人情報等取扱特記事項を踏まえた契約等を締結し、その内容を委託先等に遵守させ、町が果たすべき安全管理措置と同等の措置を講ずるよう、必要かつ適切な監督を行わなければならない。

第5章 雑則

(その他)

第31条 この規程に定めるもののほか、特定個人情報等の取扱いに関し必要な事項は、別に定める。

附 則

この規程は、公布の日から施行する。

別表第1(第3条関係)

事務手続の流れ

区分

概要(主な留意点等)

取得

取得目的を明示した上で、申請書に記載された個人番号について、第24条に基づく厳格な本人確認を行い、個人番号を取得する。

受渡し

個人番号が記載された書類は、速やかに事務取扱担当者に受け渡すこととする。

事務取扱担当者が不在のときは、書類を封入し他者が見えないように処理をする。

情報システムへの個人番号を含むデータ入力の方法

入力作業を行うときは、のぞき見や書類の紛失等の情報漏えい等の防止に十分注意するとともに、正確なアクセスログを記録するため、入力担当者ごとのログイン・ログアウトを徹底する。

保管方法

個人番号が記載された書類及び電磁的記録媒体は、取扱担当課の施錠管理が可能な書棚又は袖机に保管する。

委託

情報システムの保守・管理のための委託に当たり、特定個人情報等の情報漏えい等を防止するため、委託契約書に特定個人情報等取扱特記事項を踏まえた契約等を締結し、その内容を委託先に遵守させるよう、必要かつ適切な監督を行う。

廃棄・削除

公文書の廃棄において、個人番号が記録された媒体に応じて廃棄・消去を行い、保護責任者の確認を得る。

別表第2(第13条関係)

電磁的記録媒体を持ち出すときの安全管理措置

区分

方法

特定個人情報等が記録された電磁的記録媒体を安全に持ち出す方法

(1) 持出しデータの暗号化

(2) 持出しデータのパスワードによる保護

(3) 施錠できる搬送容器の使用

(4) 追跡可能な移動手段の利用

特定個人情報等が記載された書類等を安全に持ち出す方法

(1) 封かん、目隠しシールの貼付

画像

画像

西伊豆町特定個人情報等取扱規程

平成28年11月25日 規程第7号

(平成28年11月25日施行)

体系情報
第3編 執行機関/第1章 長/第7節 情報の公開・保護等
沿革情報
平成28年11月25日 規程第7号