(趣旨)

第1条　この告示は、八代市(以下「市」という。)における個人番号及び特定個人情報(以下「特定個人情報等」という。)の適切な取扱いに関し必要な事項を定めるものとする。

(定義)

第2条　この告示において使用する用語は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)で使用する用語の例による。

(総括特定個人情報等保護責任者)

第3条　市に、総括特定個人情報等保護責任者を置く。

(特定個人情報等保護責任者)

第4条　特定個人情報等を取り扱う課等に、特定個人情報等保護責任者を置く。

(特定個人情報等監査責任者)

第5条　市に、特定個人情報等監査責任者を置く。

(特定個人情報等事務取扱担当者)

第6条　特定個人情報等保護責任者は、その所属する課等に所属する職員のうち特定個人情報等を取り扱うもの(以下「特定個人情報等事務取扱担当者」という。)の役割を指定するものとする。

(報告連絡体制)

第7条　特定個人情報等保護責任者は、その所属する課等における次に掲げる報告連絡体制を整備するものとする。

(任務分担)

第8条　特定個人情報等を複数の課等で取り扱うときは、当該複数の課等の特定個人情報等保護責任者は、それぞれの課等における任務分担を行い、責任を明らかにするものとする。

(監督)

第9条　総括特定個人情報等保護責任者及び特定個人情報等保護責任者は、特定個人情報等が適正に取り扱われるよう、特定個人情報等事務取扱担当者に対し、必要かつ適切な監督を行うものとする。

(教育研修)

第10条　総括特定個人情報等保護責任者及び特定個人情報等保護責任者は、特定個人情報等事務取扱担当者に対し、特定個人情報等の適正な取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。

(取扱区域)

第11条　特定個人情報等保護責任者は、特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にするとともに、部外者の立入りの制限等の必要な措置を講ずるものとする。

(管理区域)

第12条　特定個人情報等保護責任者は、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)を明確にするとともに、部外者の立入り及び機器、電子媒体等の持込みの制限等の必要な措置を講ずるものとする。

(電算室等)

第13条　特定個人情報等保護責任者は、管理区域のうち、基幹的なサーバ等の機器を設置する室等(以下「電算室等」という。)を区分して管理するときは、電算室等に入室する権限を有する者を定めるとともに、用件の確認、入退室の記録、部外者についての識別化、部外者が入室する場合の職員の立会い等の措置を講ずるものとする。

(取扱機器等)

第14条　特定個人情報等保護責任者は、特定個人情報等事務取扱担当者が使用する特定個人情報等を取り扱う機器及び電子媒体(以下「取扱機器等」という。)を指定するものとする。

(盗難等の防止)

第15条　特定個人情報等保護責任者は、取扱区域及び管理区域における取扱機器等及び特定個人情報等を取り扱う書類等の盗難、紛失等を防止するため、機器の固定、執務室の施錠等の必要な措置を講ずるものとする。

(アクセス者の識別及び認証)

第16条　特定個人情報等を取り扱う情報システムは、ユーザID、パスワード、磁気カード、ICカード、生体情報等により特定個人情報等事務取扱担当者が正当なアクセスをする権限を有する者であることを識別した結果に基づき認証する機能を備えるものとする。

(アクセス制御)

第17条　特定個人情報等保護責任者は、特定個人情報等を取り扱う情報システムを使用して個人番号利用事務等を行うときは、特定個人情報等事務取扱担当者及び個人番号利用事務等で取り扱う特定個人情報ファイルの範囲を限定するため、アクセスをする権限を付与する者及びアクセスをする者に付与する権限の最小化等適切なアクセス制御を行うものとする。

(不正アクセス等からの保護)

第18条　特定個人情報等保護責任者は、特定個人情報等を取り扱う情報システムを不正なアクセス及びソフトウェアから保護するため、情報システムと外部ネットワークとの接続箇所へのファイアウォールの設置、セキュリティ対策ソフトウェアの導入、定期に及び必要に応じ随時に行うログの分析等の必要な措置を講ずるものとする。

(アクセス状況の記録等)

第19条　特定個人情報等保護責任者は、特定個人情報等へのアクセスの状況の記録をし、一定の期間保存し、及び定期に又は随時に分析するために必要な措置を講ずるものとする。

(特定個人情報ファイルに関する記録)

第20条　特定個人情報等保護責任者は、特定個人情報ファイルの取扱状況を確認するため、次に掲げる項目を記録するものとする。

(削除及び廃棄)

第21条　特定個人情報等保護責任者は、特定個人情報等が記録された電子媒体及び書類等について、八代市文書管理規程(平成17年八代市訓令第13号)で定める保存期間が経過したときは、電子媒体にあっては専用のデータ削除ソフトウェアの利用又は物理的な破壊等の、書類等にあっては焼却、溶解等の個人番号を復元できない手段で速やかに削除し、又は廃棄するものとする。

(点検及び監査)

第22条　特定個人情報等監査責任者は、特定個人情報等の管理の状況について定期に及び必要に応じ随時に点検又は監査を行い、その結果を総括特定個人情報等保護責任者に報告するものとする。

(事案の報告)

第23条　職員は、特定個人情報等の漏えい、滅失、毀損等の事案その他の番号法違反の事案又は番号法違反のおそれのある事案(以下「情報漏えい事案等」という。)が発生した事実を知ったときは、直ちに特定個人情報等保護責任者に報告するものとする。

(被害の拡大防止等)

第24条　特定個人情報等保護責任者は、前条の規定による報告を受けたときは、情報漏えい事案等による被害の拡大を防止するとともに、事実関係の調査及び原因の究明を行うものとする。

(影響範囲の特定)

第25条　特定個人情報等保護責任者は、前条に規定する調査により把握した事実関係による影響の範囲を特定するものとする。

(再発防止策の検討及び実施)

第26条　特定個人情報等保護責任者は、第24条の規定により究明した原因を踏まえ、情報漏えい事案等の再発防止策を検討し、速やかに実施するものとする。

(本人への連絡等)

第27条　総括特定個人情報等保護責任者は、情報漏えい事案等の内容等に応じ、二次被害の防止、類似事案の発生回避等の観点から、事実関係等を速やかに本人へ連絡し、又は本人が容易に知り得る状態に置くものとする。

(公表)

第28条　総括特定個人情報等保護責任者は、情報漏えい事案等の内容等に応じ、二次被害の防止、類似事案の発生回避等の観点から、事実関係、再発防止策等を速やかに公表するものとする。

(個人情報保護委員会への報告)

第29条　総括特定個人情報等保護責任者は、情報漏えい事案等に係る事実関係、再発防止策等を速やかに個人情報保護委員会に報告するものとする。ただし、情報漏えい事案等が個人情報保護委員会が定める特定個人情報に関する重大事案に該当するとき、又はそのおそれがあるときは、情報漏えい事案等の発生を把握した時点で直ちにその旨を個人情報保護委員会に報告するものとする。

(八代市情報セキュリティポリシー等との関係)

第30条　情報セキュリティ対策に関する事項について、八代市情報セキュリティポリシー(平成18年7月7日八代市情報化推進委員会承認)その他の規程において別段の定めが設けられているときは、当該規程の定めるところによるものとする。

(その他)

第31条　この告示に定めるもののほか、特定個人情報等の取扱いに関し必要な事項は、総括特定個人情報等保護責任者が定める。