○西伊豆町特定個人情報等取扱規程
令和2年8月18日
規程第2号
西伊豆町特定個人情報等取扱規程(平成28年西伊豆町規程第7号)の全部を次のように改正する。
目次
第1章 総則(第1条―第3条)
第2章 安全管理措置
第1節 組織的安全管理措置及び人的安全管理措置(第4条―第15条)
第2節 物理的安全管理措置(第16条―第20条)
第3節 技術的安全管理措置(第21条―第24条)
第3章 特定個人情報等の取得、利用、保管、提供及び廃棄・削除段階における取扱い
第1節 安全管理措置(第25条)
第2節 特定個人情報等の取得(第26条―第30条)
第3節 特定個人情報等の利用(第31条・第32条)
第4節 特定個人情報等の保管(第33条)
第5節 特定個人情報等の提供(第34条)
第6節 特定個人情報等の訂正(第35条)
第7節 特定個人情報等の廃棄・削除(第36条)
第4章 特定個人情報等を取り扱う事務の委託の取扱い(第37条)
第5章 雑則(第38条)
附則
第1章 総則
(目的)
第1条 この規程は、西伊豆町における個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いについて必要な事項を定め、もって特定個人情報等の取扱いを安全かつ適正に行うことを目的とする。
(定義)
第2条 この規程における用語の意義は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)及び個人情報の保護に関する法律(平成15年法律第57号。以下「保護法」という。)の定めるところによる。
(適用範囲)
第3条 この規程の適用を受ける事務及び特定個人情報等の範囲は、西伊豆町個人番号の利用及び特定個人情報の提供に関する条例(平成27年西伊豆町条例第18号。以下「番号条例」という。)に定めるところによる。
第2章 安全管理措置
第1節 組織的安全管理措置及び人的安全管理措置
(総括責任者の責務)
第4条 副町長は、総括責任者として特定個人情報等の管理に関する事務を総括するものとする。
(保護責任者の責務)
第5条 特定個人情報等を取り扱う事務の担当課長及び局長は、保護責任者として所属における特定個人情報等の適正な管理について責任を負い、特定個人情報等の保護に関し、所属において特定個人情報等を取り扱う職員(会計年度任用職員を含む。以下「事務取扱担当者」という。)を指導するものとする。
2 特定個人情報等を情報システムで取り扱う場合は、第8条に規定するシステム管理者と連携して、その任に当たる。
(事務取扱担当者の責務)
第6条 保護責任者は、事務取扱担当者及びその役割を指定する。
2 事務取扱担当者以外の職員は、特定個人情報等を取り扱ってはならない。ただし、職務の遂行上やむを得ないときはこの限りでない。
3 事務取扱担当者は、番号法及び保護法の趣旨に則り、関係法令、特定個人情報の適正な取扱いに関するガイドライン等の各種規程等(以下「関係法令・規程等」という。)並びに保護責任者の指示した事項に従い、特定個人情報等の保護に十分な注意を払ってその業務を行う。
4 事務取扱担当者は、次に掲げる行為について保護責任者の指示に従う。
(1) 特定個人情報等の複製
(2) 特定個人情報等の送信
(3) 特定個人情報等が記録された媒体の外部への持出し
(4) その他特定個人情報等の適切な管理に支障を及ぼすおそれのある行為
(監査責任者の責務)
第7条 総務課長は、監査責任者として特定個人情報等の管理の状況について監査する任に当たる。
(システム管理者の責務)
第8条 庁内ネットワーク等の情報システムを管理する課長は、システム管理者として特定個人情報等のうち情報システムで取り扱うものの安全を確保するものとする。
(システム担当者の責務)
第9条 庁内ネットワーク等の情報システムを管理する担当者は、システム担当者としてシステム管理者の指示等に従い、特定個人情報のうち情報システムで取り扱うものの安全の確保に必要な業務を行うものとする。
(情報漏えい事案等への対応)
第10条 特定個人情報等の情報漏えい等の事案の発生又は兆候を把握した場合及び職員がこの規程等に違反している事実又は兆候を把握した場合等、安全確保上で問題となる事案が発生したとき、その事実を知った職員は、直ちに当該特定個人情報等を管理する保護責任者及びシステム管理者に報告し、必要な指示を受けるものとする。
2 保護責任者は、特定個人情報等の漏えい、滅失、毀損等(以下「情報漏えい等」という。)の事案の発生又は兆候を把握したとき並びに関係法令・規程等に違反している事実又は兆候を把握したとき及び職員から前項の報告を受けたときは、漏えい事案の発生した経緯、状況等を調査し、総括責任者及び個人番号制度主管課長に直ちに報告するものとする。
3 システム管理者は、漏えい事案が外部からの不正アクセス、不正プログラムの感染等によるものであるとき(これらが疑われるときを含む。)は、関係する保護責任者に速やかに報告するとともに、直ちに外部からの不正アクセス、不正プログラムの感染等が疑われる当該端末等のLANケーブルを抜く等被害拡大防止のために行い得る措置及び被害の拡大防止又は復旧等のために必要な措置を速やかに講ずるものとする。
4 総括責任者は、第2項の規定による報告を受けたときは、漏えい事案の内容等に応じて、当該漏えい事案の経緯、状況等を町長に報告するものとする。
5 個人番号制度主管課長は、第2項の規定による報告を受けたときは、当該漏えい事案の内容、経緯、被害状況等について、速やかに静岡県の個人番号事務主管課に報告するとともに、必要に応じて総務省及び個人情報保護委員会に報告するものとする。
6 保護責任者及びシステム管理者は、漏えい事案の発生した原因を分析し、再発防止のために必要な措置を講ずるものとする。
7 個人番号制度主管課長及び保護責任者は、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る特定個人情報等の本人への対応等の措置を講ずる。
(教育研修)
第11条 総括責任者は、事務取扱担当者に対し、特定個人情報等の保護の重要性及び適正管理等に対する理解、関係法令・規程等遵守の徹底が図られるよう必要な啓発その他必要な研修を実施する。また、事務取扱担当者のうち特定個人情報ファイルを取り扱う事務に従事する者に対し、番号法第29条の2に定めるサイバーセキュリティの確保に関する事項その他の事項に関する研修を行う。
2 総括責任者は、特定個人情報等を取り扱うシステム管理者及びシステム担当者に対し、特定個人情報等の適切な管理のために、業務システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行うものとする。
3 総括責任者は、保護責任者及び事務取扱担当者に対し、各課等における特定個人情報等の適切な管理のための教育研修を実施するものとする。
4 保護責任者は、当該部署の事務取扱担当者に対し、特定個人情報等の適切な管理のために、総括責任者の実施する教育研修への参加の機会を与える等の必要な措置を講ずるものとする。
(点検の実施)
第12条 保護責任者及びシステム管理者は、特定個人情報等の取得、利用、保管、提供及び廃棄・削除の状況について、事務取扱担当者のログイン実績及びアクセス記録の確認を含め、毎年度数回の点検を行い、必要な措置を講ずるものとする。
2 保護責任者は、当該部署における特定個人情報等の記録媒体、処理経路、保管方法等について、定期及び必要に応じ随時点検を行い、必要があると認めるときは、その結果について監査責任者を通じて総括責任者に報告するものとする。
(監査の実施)
第13条 監査責任者及びシステム管理者は、特定個人情報等の管理の状況について、定期に及び必要に応じ随時に監査(外部監査を含む。)を行い、その結果を総括責任者に報告する。
2 監査責任者は、監査を行うに当たり、特定個人情報等に関する監査計画(様式第2号)を策定し、総括責任者の承認を得るものとする。
(評価及び見直し)
第14条 総括責任者は、点検又は監査の結果等を踏まえ、特定個人情報等の適切な管理のための措置について評価し、必要があると認めるときは、保護責任者に特定個人情報保護評価等の見直し等の措置を講ずるよう求めるものとする。
(関係法令・規程等違反に対する措置)
第15条 関係法令・規程等に違反した職員に対しては、厳正に対処する。
第2節 物理的安全管理措置
(特定個人情報等を取り扱う区域の管理)
第16条 保護責任者は、特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を定め、次に掲げる措置を講ずる。
(1) 入退室管理 保護責任者から事前に許可された者のみが入退室を行い、入退室時には必ず名札を着用させる。職員が不在になるときは、取扱区域を含む執務室の施錠管理を行う。
(2) 覗き見防止 事務取扱担当者の座席や端末の配置を工夫するなどの覗き見防止策を講ずる。
(盗難等の防止)
第17条 特定個人情報等が記録されたシステム、電磁的記録媒体及び書類の盗難又は紛失等を防止するために、次に掲げる措置を講ずる。
(1) 電子化された特定個人情報ファイルは、原則、アクセス制御され、アクセスログが記録されるシステムのみで取り扱うこととし、USBメモリー等の電磁的記録媒体に保存する必要があるときは、保護責任者の許可を受け、暗号化又はパスワード等により秘匿しなければならない。
(2) 特定個人情報等が記録された電磁的記録媒体及び書類の保管場所は、施錠できるキャビネットや書庫等とする。
(3) 特定個人情報等が記録された端末は、セキュリティワイヤー等により固定する。
(漏えい等の防止)
第18条 特定個人情報等が記録されたシステム及び電磁的記録媒体からの漏えい等を防止するため、次に掲げる措置を講ずる。
(1) 特定個人情報等を取り扱う端末及び電磁的記録媒体は、保護責任者の許可を受けたものを使用する。
(2) 特定個人情報等を取り扱う端末へのUSBメモリー等の電磁的記録媒体の接続は、原則として禁止し、やむを得ず接続するときは、保護責任者の許可を受けるものとする。
(電磁的記録媒体等を持ち出すときの漏えい等の防止)
第19条 特定個人情報等が記録された電磁的記憶媒体等の持出し(特定個人情報等を取扱区域の外へ移動させることをいい、庁舎内での移動を含み、送付、送信などの手法は問わない。以下同じ。)は、次に掲げるときを除き禁止する。ただし、住民基本台帳ネットワークシステムから特定個人情報等を取り扱うシステムへの庁舎内での特定個人情報等の持出し又は引渡しは除く。
(1) 個人番号を取り扱う事務に係る外部委託先に、委託事務を実施する上で必要と認められる範囲内で提供するとき。
(2) 番号条例に規定する事務を処理するために必要な特定個人情報等を受領するとき。
(3) 他の個人番号利用事務等実施者に対し、当該事務処理に必要な特定個人情報等を提供するとき。
(廃棄・削除)
第20条 システム、電磁的記録媒体及び書類に記録された特定個人情報等の保存期間が経過したときは、保護責任者の指示又は許可を受け、速やかに廃棄又は削除を行うものとし、具体的な取扱いは次のとおりとする。
(1) 特定個人情報等が記録された書類は、シュレッダー等による裁断、焼却、溶解のいずれかにより廃棄する。
(2) 特定個人情報等が記録されたシステム及び電磁的記録媒体は、専用データ削除ソフトウェアの利用又は物理的な破壊のいずれかにより廃棄する。
(3) 特定個人情報等を削除するときは、容易に判読又は復元できない手段を用いる。なお、特定個人情報等を取り扱うシステムは、当該特定個人情報等の保管の必要がなくなったときは、速やかに個人番号が削除される機能又は手動により削除できる機能を有しているものを使用する。
(4) 廃棄又は削除を委託するときは、システム担当者又は事務取扱担当者が立ち会うなどの方法により、廃棄又は削除したことを確認する。
第3節 技術的安全管理措置
(アクセス制御)
第21条 特定個人情報等を取り扱うシステムへのアクセス制御は、次のとおりとする。
(1) 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
(2) 特定個人情報ファイルを取り扱うシステムをアクセス制御により限定する。
(3) ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱うシステムを使用できる者を保護責任者及び事務取扱担当者に限定する。
(アクセス者の識別と認証等)
第22条 特定個人情報等を取り扱うシステムへのアクセス制御は、ユーザーID及びパスワード認証に加え、必要に応じて生体認証等の二要素認証によりアクセス者の識別と認証を行う。
2 保護責任者は、特定個人情報等を取り扱うシステムの事務取扱担当者を決めたときは、特定個人情報等事務取扱担当者一覧表(様式第4号)を速やかにシステム管理者へ提出しなければならない。
(アクセス記録)
第23条 特定個人情報等の取扱いに当たっては、アクセス状況を記録し、その記録を一定期間保存するとともに、アクセス記録を定期的又は随時に分析する。
(不正アクセス等による被害の防止)
第24条 特定個人情報等を取り扱うシステムは、インターネット環境から分離するとともに、外部からの不正アクセス又は不正プログラムから保護するための仕組み等を導入し、適切に運用する。
第3章 特定個人情報等の取得、利用、保管、提供及び廃棄・削除段階における取扱い
第1節 安全管理措置
(安全管理措置の実施)
第25条 特定個人情報等の取得、利用、保管、提供及び廃棄・削除段階における取扱いの安全管理措置は、以下に定めるもののほか第2章及び西伊豆町情報セキュリティポリシー等に従うものとする。
第2節 特定個人情報等の取得
(特定個人情報等の適正な取得)
第26条 特定個人情報等の取得は、適法かつ適正な方法によらなければならない。
(個人番号の求め)
第27条 事務取扱担当者は、番号条例に掲げる事務を処理するために必要があるときを除き、本人又は他部署の個人番号利用事務等実施者に対して個人番号を求めてはならない。
(個人番号の取得時期)
第28条 事務取扱担当者は、番号条例に定める事務を処理するために必要があるときに個人番号を求めることとする。
(特定個人情報等の収集制限)
第29条 番号条例に定める事務の範囲を超えて、特定個人情報等を収集してはならない。
(本人確認)
第30条 本人から特定個人情報等の提供を受けるときの本人確認の方法並びに本人の代理人から特定個人情報等の提供を受けるときの当該代理人の身元確認、代理権の確認及び本人の個人番号の確認は、番号法第16条に基づき厳格に行う。
第3節 特定個人情報等の利用
(特定個人情報等の利用制限)
第31条 取得した特定個人情報は、番号条例に定める事務の範囲を超えて利用してはならない。
(特定個人情報ファイルの作成の制限)
第32条 番号条例に定める事務を処理するために必要な範囲を超えて、特定個人情報ファイルを作成してはならない。
2 特定個人情報ファイルを保有しようとするときは、特定個人情報保護評価に関する規則(平成26年特定個人情報保護委員会規則第1号)第4条第1号から第3号までに掲げる特定個人情報ファイルのみを取り扱う事務を除き、特定個人情報保護評価を実施しなければならない。
第4節 特定個人情報等の保管
(特定個人情報等の正確性の確保)
第33条 番号条例に定める事務を処理する範囲において、特定個人情報等を正確かつ最新の状態で管理及び保管するよう努めるものとする。
第5節 特定個人情報等の提供
(特定個人情報等の提供制限)
第34条 番号法第19条各号に掲げる場合を除き、本人の同意の有無にかかわらず、特定個人情報等を第三者に提供してはならない。
第6節 特定個人情報等の訂正
(特定個人情報等の訂正)
第35条 事務取扱担当者は、特定個人情報等の内容に誤り等を発見した場合は、当該内容を管理する保護責任者の指示に従い、当該特定個人情報等の訂正等を行うものとする。
第7節 特定個人情報等の廃棄・削除
(特定個人情報等の廃棄・削除)
第36条 システム及び電磁的記録媒体等に記録された特定個人情報等は、法令等による保存期間を超えて保管してはならない。保存期間を経過した特定個人情報等は、第20条第1項に定める方法により、速やかに廃棄・削除を行うものとする。
第4章 特定個人情報等を取り扱う事務の委託の取扱い
(委託先における安全管理措置)
第37条 特定個人情報等の取扱いに係る業務を外部に委託する場合には、特定個人情報等の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置を講ずる。また、契約書に、次に掲げる事項を明記するとともに、委託先における責任者及び業務従事者の管理及び実施体制、特定個人情報等の管理の状況についての検査に関する事項等の必要な事項について書面で確認する。
(1) 特定個人情報等に関する秘密保持、目的外利用の禁止等の義務
(2) 再委託の制限又は事前承認等再委託に係る条件に関する事項
(3) 特定個人情報等の複製等の制限に関する事項
(4) 特定個人情報等の情報漏えい等の事案の発生時における対応に関する事項
(5) 委託終了時における特定個人情報の消去及び媒体の返却に関する事項
(6) 違反した場合における契約解除、損害賠償責任その他必要な事項
2 個人番号利用事務等の全部又は一部を委託する場合には、委託先において、番号法に基づき町が果たすべき安全管理措置と同等の措置が講じられているか否かについて、あらかじめ確認する。また、町が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な指導及び監督を行う。
4 個人番号利用事務等の全部又は一部の委託を受けた者が再委託をする際には、委託をする個人番号利用事務等において取り扱う特定個人情報等の適切な安全管理が図られることを確認したうえで再委託の諾否を判断する。
第5章 雑則
(その他)
第38条 この規程に定めるもののほか、特定個人情報等の取扱いに関し必要な事項は、別に定める。
附則
この規程は、公布の日から施行する。
附則(令和5年3月23日規程第1号)
この規程は、令和5年4月1日から施行する。
別表第1(第3条関係)
事務手続の流れ
区分 | 概要(主な留意点等) |
取得 | 取得目的を明示した上で、申請書に記載された個人番号について、第30条に基づく厳格な本人確認を行い、個人番号を取得する。 |
受渡し | 個人番号が記載された書類は、速やかに事務取扱担当者に受け渡すこととする。 事務取扱担当者が不在のときは、書類を封入し他者が見えないように処理をする。 |
情報システムへの個人番号を含むデータ入力の方法 | 入力作業を行うときは、のぞき見や書類の紛失等の情報漏えい等の防止に十分注意するとともに、正確なアクセスログを記録するため、入力担当者ごとのログイン・ログアウトを徹底する。 |
保管方法 | 個人番号が記載された書類及び電磁的記録媒体は、取扱担当課の施錠管理が可能な書棚又は袖机に保管する。 |
委託 | 情報システムの保守・管理のための委託に当たり、特定個人情報等の情報漏えい等を防止するため、委託契約書に特定個人情報等取扱特記事項を踏まえた契約等を締結し、その内容を委託先に遵守させるよう、必要かつ適切な監督を行う。 |
廃棄・削除 | 公文書の廃棄において、個人番号が記録された媒体に応じて廃棄・消去を行い、保護責任者の確認を得る。 |
別表第2(第19条関係)
電磁的記録媒体を持ち出すときの安全管理措置
区分 | 方法 |
特定個人情報等が記録された電磁的記録媒体を安全に持ち出す方法 | (1) 持出しデータの暗号化 (2) 持出しデータのパスワードによる保護 (3) 施錠できる搬送容器の使用 (4) 追跡可能な移動手段の利用 |
特定個人情報等が記載された書類等を安全に持ち出す方法 | (1) 封かん、目隠しシールの貼付 |