○八代市特定個人情報等取扱要綱
平成27年11月5日
告示第95号
目次
第1章 総則(第1条・第2条)
第2章 組織体制(第3条―第8条)
第3章 監督及び教育研修(第9条・第10条)
第4章 取扱区域における措置等(第11条―第15条)
第5章 アクセスに関する措置等(第16条―第20条)
第6章 削除及び廃棄(第21条)
第7章 点検及び監査(第22条)
第8章 情報漏えい事案等への対応体制等(第23条―第29条)
第9章 補則(第30条・第31条)
附則
第1章 総則
(趣旨)
第1条 この告示は、八代市(以下「市」という。)における個人番号及び特定個人情報(以下「特定個人情報等」という。)の適切な取扱いに関し必要な事項を定めるものとする。
(定義)
第2条 この告示において使用する用語は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)で使用する用語の例による。
第2章 組織体制
(総括特定個人情報等保護責任者)
第3条 市に、総括特定個人情報等保護責任者を置く。
2 総括特定個人情報等保護責任者は、副市長をもって充てる。
3 総括特定個人情報等保護責任者は、市の機関が取り扱う特定個人情報等の管理に関する事務を総括する任に当たる。
(特定個人情報等保護責任者)
第4条 特定個人情報等を取り扱う課等に、特定個人情報等保護責任者を置く。
2 特定個人情報等保護責任者は、課等の長をもって充てる。
3 特定個人情報等保護責任者は、課等における特定個人情報等を適切に管理する任に当たる。
(特定個人情報等監査責任者)
第5条 市に、特定個人情報等監査責任者を置く。
2 特定個人情報等監査責任者は、総括特定個人情報等保護責任者が指名する職員をもって充てる。
3 特定個人情報等監査責任者は、特定個人情報等の管理の状況について監査する任に当たる。
(特定個人情報等事務取扱担当者)
第6条 特定個人情報等保護責任者は、その所属する課等に所属する職員のうち特定個人情報等を取り扱うもの(以下「特定個人情報等事務取扱担当者」という。)の役割を指定するものとする。
2 特定個人情報等保護責任者は、特定個人情報等事務取扱担当者が取り扱う特定個人情報等の範囲を指定するものとする。
(報告連絡体制)
第7条 特定個人情報等保護責任者は、その所属する課等における次に掲げる報告連絡体制を整備するものとする。
(1) 特定個人情報等の漏えい、滅失、毀損等の事案(委託を受けた者が取り扱う特定個人情報等の漏えい、滅失、毀損等の事案を含む。以下同じ。)の発生又は発生の兆候を把握した場合における報告連絡体制
(2) 特定個人情報等事務取扱担当者がこの告示の規定等に違反している事実又は違反の兆候を把握した場合における報告連絡体制
(任務分担)
第8条 特定個人情報等を複数の課等で取り扱うときは、当該複数の課等の特定個人情報等保護責任者は、それぞれの課等における任務分担を行い、責任を明らかにするものとする。
第3章 監督及び教育研修
(監督)
第9条 総括特定個人情報等保護責任者及び特定個人情報等保護責任者は、特定個人情報等が適正に取り扱われるよう、特定個人情報等事務取扱担当者に対し、必要かつ適切な監督を行うものとする。
(教育研修)
第10条 総括特定個人情報等保護責任者及び特定個人情報等保護責任者は、特定個人情報等事務取扱担当者に対し、特定個人情報等の適正な取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。
2 総括特定個人情報等保護責任者及び特定個人情報等保護責任者は、特定個人情報等を取り扱う情報システムの管理に関する事務に従事する職員に対し、特定個人情報等の適切な管理のため、情報システムの管理、運用及びセキュリティ対策について必要な教育研修を行うものとする。
3 総括特定個人情報等保護責任者は、特定個人情報等保護責任者に対し、特定個人情報等を取り扱う課等における特定個人情報等の適正な管理のために必要な教育研修を行うものとする。
4 総括特定個人情報等保護責任者及び特定個人情報等保護責任者は、特定個人情報等事務取扱担当者に対し、特定個人情報等の適切な管理のため、教育研修への参加の機会を付与する等の必要な措置を講ずるものとする。
第4章 取扱区域における措置等
(取扱区域)
第11条 特定個人情報等保護責任者は、特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にするとともに、部外者の立入りの制限等の必要な措置を講ずるものとする。
(管理区域)
第12条 特定個人情報等保護責任者は、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)を明確にするとともに、部外者の立入り及び機器、電子媒体等の持込みの制限等の必要な措置を講ずるものとする。
(電算室等)
第13条 特定個人情報等保護責任者は、管理区域のうち、基幹的なサーバ等の機器を設置する室等(以下「電算室等」という。)を区分して管理するときは、電算室等に入室する権限を有する者を定めるとともに、用件の確認、入退室の記録、部外者についての識別化、部外者が入室する場合の職員の立会い等の措置を講ずるものとする。
2 特定個人情報等保護責任者は、電算室等に特定個人情報等を記録する媒体を保管するための施設を設けている場合において、必要があると認めるときは、前項の措置と同様の措置を講ずるものとする。
3 特定個人情報等保護責任者は、必要があると認めるときは、電算室等の出入口の特定化による入退室の管理の容易化、所在表示の制限等の措置を講ずるものとする。
4 特定個人情報等保護責任者は、必要があると認めるときは、電算室等への入室に係る認証機能を設定し、及びパスワード等の管理に関する定めの整備、パスワード等の読取防止等を行うために必要な措置を講ずるものとする。
5 特定個人情報等保護責任者は、外部からの不正な侵入に備え、電算室等に施錠装置、警報装置、監視設備の設置等の措置を講ずるものとする。
6 特定個人情報等保護責任者は、災害等に備え、電算室等に耐震、防火、防煙、防水等の必要な措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の措置を講ずるものとする。
(取扱機器等)
第14条 特定個人情報等保護責任者は、特定個人情報等事務取扱担当者が使用する特定個人情報等を取り扱う機器及び電子媒体(以下「取扱機器等」という。)を指定するものとする。
2 特定個人情報等事務取扱担当者は、特定個人情報等保護責任者が必要と認める場合を除き、スマートフォン、USBメモリ等の記録機能を有する機器等を取扱機器等に接続してはならない。
(盗難等の防止)
第15条 特定個人情報等保護責任者は、取扱区域及び管理区域における取扱機器等及び特定個人情報等を取り扱う書類等の盗難、紛失等を防止するため、機器の固定、執務室の施錠等の必要な措置を講ずるものとする。
2 特定個人情報等事務取扱担当者は、特定個人情報等保護責任者が必要と認める場合に限り、取扱区域又は管理区域から特定個人情報等が記録された電子媒体又は書類等を持ち出すことができる。この場合においては、特定個人情報等保護責任者は、電子媒体又は書類等の紛失、盗難等を防止するための措置及び持出しデータの暗号化、パスワードによる保護、封緘、目隠しシールの貼付等容易に個人番号が判明しないための措置を実施するとともに、追跡可能な移送手段の利用等安全を確保するための方策を講ずるものとする。
第5章 アクセスに関する措置等
(アクセス者の識別及び認証)
第16条 特定個人情報等を取り扱う情報システムは、ユーザID、パスワード、磁気カード、ICカード、生体情報等により特定個人情報等事務取扱担当者が正当なアクセスをする権限を有する者であることを識別した結果に基づき認証する機能を備えるものとする。
(アクセス制御)
第17条 特定個人情報等保護責任者は、特定個人情報等を取り扱う情報システムを使用して個人番号利用事務等を行うときは、特定個人情報等事務取扱担当者及び個人番号利用事務等で取り扱う特定個人情報ファイルの範囲を限定するため、アクセスをする権限を付与する者及びアクセスをする者に付与する権限の最小化等適切なアクセス制御を行うものとする。
(不正アクセス等からの保護)
第18条 特定個人情報等保護責任者は、特定個人情報等を取り扱う情報システムを不正なアクセス及びソフトウェアから保護するため、情報システムと外部ネットワークとの接続箇所へのファイアウォールの設置、セキュリティ対策ソフトウェアの導入、定期に及び必要に応じ随時に行うログの分析等の必要な措置を講ずるものとする。
2 特定個人情報等保護責任者は、個人番号利用事務において使用する情報システムについて、インターネットから独立する等の高いセキュリティ対策を踏まえたシステム構築、運用体制整備等を行うものとする。
(アクセス状況の記録等)
第19条 特定個人情報等保護責任者は、特定個人情報等へのアクセスの状況の記録をし、一定の期間保存し、及び定期に又は随時に分析するために必要な措置を講ずるものとする。
2 特定個人情報等保護責任者は、前項の記録の改ざん、窃取又は不正な削除の防止のために必要な措置を講ずるものとする。
(特定個人情報ファイルに関する記録)
第20条 特定個人情報等保護責任者は、特定個人情報ファイルの取扱状況を確認するため、次に掲げる項目を記録するものとする。
(1) 特定個人情報ファイルの名称
(2) 所属する課等の名称
(3) 特定個人情報ファイルの利用の目的
(4) 特定個人情報ファイルに記録される項目及び本人として特定個人情報ファイルに記録される個人の範囲
(5) 特定個人情報ファイルに記録される特定個人情報等の収集方法
2 特定個人情報等保護責任者は、前項の規定による記録に、特定個人情報等を記載しないものとする。
第6章 削除及び廃棄
(削除及び廃棄)
第21条 特定個人情報等保護責任者は、特定個人情報等が記録された電子媒体及び書類等について、八代市文書管理規程(平成17年八代市訓令第13号)で定める保存期間が経過したときは、電子媒体にあっては専用のデータ削除ソフトウェアの利用又は物理的な破壊等の、書類等にあっては焼却、溶解等の個人番号を復元できない手段で速やかに削除し、又は廃棄するものとする。
2 特定個人情報等保護責任者は、個人番号若しくは特定個人情報ファイルの削除をしたとき、又は特定個人情報等が記録された電子媒体若しくは書類等の廃棄をしたときは、当該削除又は廃棄をした記録を保存するものとする。
3 特定個人情報等保護責任者は、個人番号若しくは特定個人情報ファイルの削除又は特定個人情報等が記録された電子媒体若しくは書類等の廃棄を委託したときは、委託先が確実に削除又は廃棄をしたことについて証明書等により確認するものとする。
第7章 点検及び監査
(点検及び監査)
第22条 特定個人情報等監査責任者は、特定個人情報等の管理の状況について定期に及び必要に応じ随時に点検又は監査を行い、その結果を総括特定個人情報等保護責任者に報告するものとする。
2 総括特定個人情報等保護責任者は、前項の規定による点検又は監査の結果を踏まえ、必要な措置を講ずるものとする。
第8章 情報漏えい事案等への対応体制等
(事案の報告)
第23条 職員は、特定個人情報等の漏えい、滅失、毀損等の事案その他の番号法違反の事案又は番号法違反のおそれのある事案(以下「情報漏えい事案等」という。)が発生した事実を知ったときは、直ちに特定個人情報等保護責任者に報告するものとする。
(被害の拡大防止等)
第24条 特定個人情報等保護責任者は、前条の規定による報告を受けたときは、情報漏えい事案等による被害の拡大を防止するとともに、事実関係の調査及び原因の究明を行うものとする。
(影響範囲の特定)
第25条 特定個人情報等保護責任者は、前条に規定する調査により把握した事実関係による影響の範囲を特定するものとする。
(再発防止策の検討及び実施)
第26条 特定個人情報等保護責任者は、第24条の規定により究明した原因を踏まえ、情報漏えい事案等の再発防止策を検討し、速やかに実施するものとする。
(本人への連絡等)
第27条 総括特定個人情報等保護責任者は、情報漏えい事案等の内容等に応じ、二次被害の防止、類似事案の発生回避等の観点から、事実関係等を速やかに本人へ連絡し、又は本人が容易に知り得る状態に置くものとする。
(公表)
第28条 総括特定個人情報等保護責任者は、情報漏えい事案等の内容等に応じ、二次被害の防止、類似事案の発生回避等の観点から、事実関係、再発防止策等を速やかに公表するものとする。
(個人情報保護委員会への報告)
第29条 総括特定個人情報等保護責任者は、情報漏えい事案等に係る事実関係、再発防止策等を速やかに個人情報保護委員会に報告するものとする。ただし、情報漏えい事案等が個人情報保護委員会が定める特定個人情報に関する重大事案に該当するとき、又はそのおそれがあるときは、情報漏えい事案等の発生を把握した時点で直ちにその旨を個人情報保護委員会に報告するものとする。
第9章 補則
(八代市情報セキュリティポリシー等との関係)
第30条 情報セキュリティ対策に関する事項について、八代市情報セキュリティポリシー(平成18年7月7日八代市情報化推進委員会承認)その他の規程において別段の定めが設けられているときは、当該規程の定めるところによるものとする。
(その他)
第31条 この告示に定めるもののほか、特定個人情報等の取扱いに関し必要な事項は、総括特定個人情報等保護責任者が定める。
附則
この告示は、番号法附則第1条第4号に掲げる規定の施行の日(平成28年1月1日)から施行する。