(目的)

第1条　この規程は、西伊豆町における個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いについて必要な事項を定め、もって特定個人情報等の取扱いを安全かつ適正に行うことを目的とする。

(定義)

第2条　この規程における用語の意義は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)及び個人情報の保護に関する法律(平成15年法律第57号。以下「保護法」という。)の定めるところによる。

(適用範囲)

第3条　この規程の適用を受ける事務及び特定個人情報等の範囲は、西伊豆町個人番号の利用及び特定個人情報の提供に関する条例(平成27年西伊豆町条例第18号。以下「番号条例」という。)に定めるところによる。

(総括責任者の責務)

第4条　副町長は、総括責任者として特定個人情報等の管理に関する事務を総括するものとする。

(保護責任者の責務)

第5条　特定個人情報等を取り扱う事務の担当課長及び局長は、保護責任者として所属における特定個人情報等の適正な管理について責任を負い、特定個人情報等の保護に関し、所属において特定個人情報等を取り扱う職員(会計年度任用職員を含む。以下「事務取扱担当者」という。)を指導するものとする。

(事務取扱担当者の責務)

第6条　保護責任者は、事務取扱担当者及びその役割を指定する。

(監査責任者の責務)

第7条　総務課長は、監査責任者として特定個人情報等の管理の状況について監査する任に当たる。

(システム管理者の責務)

第8条　庁内ネットワーク等の情報システムを管理する課長は、システム管理者として特定個人情報等のうち情報システムで取り扱うものの安全を確保するものとする。

(システム担当者の責務)

第9条　庁内ネットワーク等の情報システムを管理する担当者は、システム担当者としてシステム管理者の指示等に従い、特定個人情報のうち情報システムで取り扱うものの安全の確保に必要な業務を行うものとする。

(情報漏えい事案等への対応)

第10条　特定個人情報等の情報漏えい等の事案の発生又は兆候を把握した場合及び職員がこの規程等に違反している事実又は兆候を把握した場合等、安全確保上で問題となる事案が発生したとき、その事実を知った職員は、直ちに当該特定個人情報等を管理する保護責任者及びシステム管理者に報告し、必要な指示を受けるものとする。

(教育研修)

第11条　総括責任者は、事務取扱担当者に対し、特定個人情報等の保護の重要性及び適正管理等に対する理解、関係法令・規程等遵守の徹底が図られるよう必要な啓発その他必要な研修を実施する。また、事務取扱担当者のうち特定個人情報ファイルを取り扱う事務に従事する者に対し、番号法第29条の2に定めるサイバーセキュリティの確保に関する事項その他の事項に関する研修を行う。

(点検の実施)

第12条　保護責任者及びシステム管理者は、特定個人情報等の取得、利用、保管、提供及び廃棄・削除の状況について、事務取扱担当者のログイン実績及びアクセス記録の確認を含め、毎年度数回の点検を行い、必要な措置を講ずるものとする。

(監査の実施)

第13条　監査責任者及びシステム管理者は、特定個人情報等の管理の状況について、定期に及び必要に応じ随時に監査(外部監査を含む。)を行い、その結果を総括責任者に報告する。

(評価及び見直し)

第14条　総括責任者は、点検又は監査の結果等を踏まえ、特定個人情報等の適切な管理のための措置について評価し、必要があると認めるときは、保護責任者に特定個人情報保護評価等の見直し等の措置を講ずるよう求めるものとする。

(関係法令・規程等違反に対する措置)

第15条　関係法令・規程等に違反した職員に対しては、厳正に対処する。

(特定個人情報等を取り扱う区域の管理)

第16条　保護責任者は、特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を定め、次に掲げる措置を講ずる。

(盗難等の防止)

第17条　特定個人情報等が記録されたシステム、電磁的記録媒体及び書類の盗難又は紛失等を防止するために、次に掲げる措置を講ずる。

(漏えい等の防止)

第18条　特定個人情報等が記録されたシステム及び電磁的記録媒体からの漏えい等を防止するため、次に掲げる措置を講ずる。

(電磁的記録媒体等を持ち出すときの漏えい等の防止)

第19条　特定個人情報等が記録された電磁的記憶媒体等の持出し(特定個人情報等を取扱区域の外へ移動させることをいい、庁舎内での移動を含み、送付、送信などの手法は問わない。以下同じ。)は、次に掲げるときを除き禁止する。ただし、住民基本台帳ネットワークシステムから特定個人情報等を取り扱うシステムへの庁舎内での特定個人情報等の持出し又は引渡しは除く。

(廃棄・削除)

第20条　システム、電磁的記録媒体及び書類に記録された特定個人情報等の保存期間が経過したときは、保護責任者の指示又は許可を受け、速やかに廃棄又は削除を行うものとし、具体的な取扱いは次のとおりとする。

(アクセス制御)

第21条　特定個人情報等を取り扱うシステムへのアクセス制御は、次のとおりとする。

(アクセス者の識別と認証等)

第22条　特定個人情報等を取り扱うシステムへのアクセス制御は、ユーザーID及びパスワード認証に加え、必要に応じて生体認証等の二要素認証によりアクセス者の識別と認証を行う。

(アクセス記録)

第23条　特定個人情報等の取扱いに当たっては、アクセス状況を記録し、その記録を一定期間保存するとともに、アクセス記録を定期的又は随時に分析する。

(不正アクセス等による被害の防止)

第24条　特定個人情報等を取り扱うシステムは、インターネット環境から分離するとともに、外部からの不正アクセス又は不正プログラムから保護するための仕組み等を導入し、適切に運用する。

(安全管理措置の実施)

第25条　特定個人情報等の取得、利用、保管、提供及び廃棄・削除段階における取扱いの安全管理措置は、以下に定めるもののほか第2章及び西伊豆町情報セキュリティポリシー等に従うものとする。

(特定個人情報等の適正な取得)

第26条　特定個人情報等の取得は、適法かつ適正な方法によらなければならない。

(個人番号の求め)

第27条　事務取扱担当者は、番号条例に掲げる事務を処理するために必要があるときを除き、本人又は他部署の個人番号利用事務等実施者に対して個人番号を求めてはならない。

(個人番号の取得時期)

第28条　事務取扱担当者は、番号条例に定める事務を処理するために必要があるときに個人番号を求めることとする。

(特定個人情報等の収集制限)

第29条　番号条例に定める事務の範囲を超えて、特定個人情報等を収集してはならない。

(本人確認)

第30条　本人から特定個人情報等の提供を受けるときの本人確認の方法並びに本人の代理人から特定個人情報等の提供を受けるときの当該代理人の身元確認、代理権の確認及び本人の個人番号の確認は、番号法第16条に基づき厳格に行う。

(特定個人情報等の利用制限)

第31条　取得した特定個人情報は、番号条例に定める事務の範囲を超えて利用してはならない。

(特定個人情報ファイルの作成の制限)

第32条　番号条例に定める事務を処理するために必要な範囲を超えて、特定個人情報ファイルを作成してはならない。

(特定個人情報等の正確性の確保)

第33条　番号条例に定める事務を処理する範囲において、特定個人情報等を正確かつ最新の状態で管理及び保管するよう努めるものとする。

(特定個人情報等の提供制限)

第34条　番号法第19条各号に掲げる場合を除き、本人の同意の有無にかかわらず、特定個人情報等を第三者に提供してはならない。

(特定個人情報等の訂正)

第35条　事務取扱担当者は、特定個人情報等の内容に誤り等を発見した場合は、当該内容を管理する保護責任者の指示に従い、当該特定個人情報等の訂正等を行うものとする。

(特定個人情報等の廃棄・削除)

第36条　システム及び電磁的記録媒体等に記録された特定個人情報等は、法令等による保存期間を超えて保管してはならない。保存期間を経過した特定個人情報等は、第20条第1項に定める方法により、速やかに廃棄・削除を行うものとする。

(委託先における安全管理措置)

第37条　特定個人情報等の取扱いに係る業務を外部に委託する場合には、特定個人情報等の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置を講ずる。また、契約書に、次に掲げる事項を明記するとともに、委託先における責任者及び業務従事者の管理及び実施体制、特定個人情報等の管理の状況についての検査に関する事項等の必要な事項について書面で確認する。

(その他)

第38条　この規程に定めるもののほか、特定個人情報等の取扱いに関し必要な事項は、別に定める。