○鉾田市が保有する特定個人情報の適正な取扱いに関する訓令
平成30年4月1日
訓令第7号
目次
第1章 総則(第1条―第3条)
第2章 管理体制(第4条―第14条)
第3章 特定個人情報の取扱い(第15条―第25条)
第4章 情報システムにおける安全の確保等(第26条―第39条)
第5章 サーバ室の安全管理(第40条・第41条)
第6章 特定個人情報の提供及び業務の委託等(第42条・第43条)
第7章 安全確保上の問題への対応(第44条・第45条)
第8章 監査及び点検の実施(第46条―第48条)
第9章 補足(第49条―第51条)
附則
第1章 総則
(目的)
第1条 この訓令は,行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。),鉾田市行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく個人番号の利用及び特定個人情報の提供に関する条例(平成27年鉾田市条例第30号。以下「番号利用条例」という。),個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)及び鉾田市個人情報保護法施行条例(令和5年鉾田市条例第1号。以下「個人情報保護法施行条例」という。)の規定に基づき,鉾田市(以下「本市」という。)の保有する個人番号をその内容に含む個人情報(以下「特定個人情報」という。)の適切な管理のために必要な措置を定めることにより,当該特定個人情報の漏えい,滅失又は毀損(以下「情報漏えい等」という。)を防止し,適正な管理を図ることを目的とする。
(定義)
第2条 この訓令において使用する用語は,番号法第2条,番号利用条例第2条及び鉾田市情報セキュリティ基本方針(平成18年鉾田市訓令第21号。以下「情報セキュリティ基本方針」という。)において使用する用語の例による。
(適用範囲)
第3条 この訓令が適用される実施機関は,市長,教育委員会,選挙管理委員会,監査委員,農業委員会,固定資産評価審査委員会,上下水道事業管理者及び議会とする。
第2章 管理体制
(最高総括保護管理者)
第4条 最高総括保護管理者は,副市長をもって充てる。
2 最高総括保護管理者は,本市が保有する特定個人情報の管理に関する最終決定権限及び責任を有する。
3 最高総括保護管理者は,特定個人情報の管理に係る重要事項の決定,連絡調整等を行うため必要があると認める場合に,特定個人情報安全管理委員会を招集する権限及び責任を有する。
(総括保護責任者)
第5条 総括保護責任者は,総務部長をもって充てる。
2 総括保護責任者は,最高総括保護管理者を補佐し,本市の特定個人情報の安全管理施策に関する基本的方向性を明確にするため次の各号に掲げる役割を担うとともに,その役割を遂行する権限及び責任を有する。
(1) 全庁共通の保有する特定個人情報についての実施手順並びにこれらに関連した重要事項に関するとりまとめ及び安全の確保等について統括的な権限及び責任を有する。
(2) 各課室が保有する特定個人情報に係る運用状況の把握及び各課室が実施している安全管理措置に関する指導及び助言を行う。
(3) 特定個人情報の安全管理について,各課室との相互連携及び協力を図る。
(4) 特定個人情報の安全管理に係る情報の収集を行う。
(5) 全庁における違反及び事故の状況把握並びにこれらの情報の蓄積並びに活用を図る。
(6) 保有する特定個人情報に対する侵害が発生した場合又は侵害のおそれのある場合に,最高総括保護管理者の指示に従い,最高総括保護管理者が不在の場合には,自らの判断に基づき,必要かつ十分な措置を行う権限及び責任を有する。
(7) 緊急時等の円滑な情報共有を図るため,最高総括保護管理者,総括保護責任者,総括保護管理者,保護責任者及び保護管理者を網羅する連絡体制を整備する。
(8) 情報漏えい等の事案に係る連絡調整,再発防止のための措置等を講じる。
(総括保護管理者)
第6条 総括保護管理者は,総務課長をもって充てる。
2 総括保護管理者は,最高総括保護管理者を補佐し,及び次に掲げる事務を行う権限及び責任を有する。
(1) 保有する特定個人情報についての安全の確保等について,統括的な権限及び責任を有する。
(2) 各課室が保有する特定個人情報を把握するとともに,各課室が実施している安全管理措置に関する指導及び助言を行う。
(3) 管理責任のある情報システムについて,特定個人情報の取扱いに関する管理規程の遵守に関する意見の集約及び職員(職員,非常勤職員及び臨時職員をいう。以下同じ。)に対する教育,訓練,助言及び指示を行う。
(4) 管理責任のある特定個人情報を取り扱うネットワーク及びシステムにおける開発,設定の変更,運用,見直し等を行う権限及び責任を有する。
(5) 特定個人情報に対する侵害が発生した場合又は侵害のおそれのある場合に,最高総括保護管理者及び総括保護責任者の指示に従い,必要かつ十分な措置を行うこと。この場合において,最高総括保護管理者及び総括保護責任者が不在の場合には,自らの判断に基づき,必要かつ十分な措置を行わなければならない。
(6) 情報漏えい等の事案に係る連絡調整,再発防止のための措置等の対応を行う。
(保護責任者)
第7条 保護責任者は,特定個人情報を取り扱う事務を所掌する部等の長をもって充てる。
2 保護責任者は,次に掲げる事務を行う権限及び責任を有する。
(1) 所管する部等において保有している特定個人情報の安全管理に関すること。
(2) 所管する部等において保有している情報システムの開発,設定の変更,運用及び見直し等を行うこと。
(3) 所管する部等において保有している情報システムについて,緊急時等における連絡体制の整備,情報セキュリティ基本方針の遵守に関して職員等に対する教育,訓練,助言及び指示を行うこと。
(保護管理者)
第8条 保護管理者は,特定個人情報を取り扱う事務を所掌する課室の長をもって充てる。
2 保護管理者は,次の各号に掲げる事務を行う権限及び責任を有する。
(1) 所管する課室において保有している特定個人情報を取り扱う情報システムの開発,設定の変更,運用及び見直し等を行うこと。
(2) 所管する課室において保有している情報システムで取り扱う特定個人情報の安全の確保等について必要な措置を講じること。
(3) 所管する課室の職員が取り扱う特定個人情報の範囲を明確にし,特定個人情報の取扱いに関する実施手順(以下「実施手順」という。)を定めること。
(4) 個人番号及び特定個人情報を取り扱う職員並びにその役割を指定すること。
(5) 所管する課室において保有している特定個人情報について,緊急時等における連絡体制の整備,特定個人情報の安全管理に関する意見の集約及び職員に対する教育,訓練,助言及び指示を行うこと。
(監査責任者)
第9条 監査責任者を一人置くこととし,総務課長をもって充てる。
2 監査責任者は,特定個人情報の管理の状況について監査する事務をつかさどる。
(特定個人情報安全管理委員会)
第10条 最高総括保護管理者,総括保護責任者,総括保護管理者,保護責任者及び保護管理者を構成員とする特定個人情報安全管理委員会は,課室が保有する特定個人情報の安全管理に係る重要事項の審議,連絡及び調整を行わなければならない。
(保護管理者が整備する組織体制等)
第11条 保護管理者は,次の各号に掲げる組織体制を整備しなければならない。
(1) 特定個人情報の情報漏えい等の事案の発生又は兆候を把握した場合の職員から責任者等への報告連絡体制
(2) 特定個人情報を複数の部署で取り扱う場合の各部署の事務分担及び責任体制
(特定個人情報の安全管理に関する統一的な窓口の設置)
第12条 最高総括保護管理者は,特定個人情報の安全管理に関する事故の統一的な窓口の機能を有する組織を整備する。この場合において,情報セキュリティに関する事故について課室から報告を受けた場合には,その状況を確認し,自らへの報告が行われる体制を整備しなければならない。
2 最高総括保護管理者による特定個人情報の安全管理に関する戦略の意思決定が行われた際には,総括保護責任者及び総括保護管理者は,その内容を関係課室に提供しなければならない。
3 総括保護管理者は,特定個人情報に係る情報セキュリティ事故を認知した場合には,その重要度や影響範囲等を勘案し,マスコミへの通知及び公表対応を行わなければならない。
(教育研修及び監督)
第13条 総括保護責任者及び総括保護管理者は,職員に対し,特定個人情報の取扱いについて理解を深め,特定個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行わなければならない。
2 総括保護責任者及び総括保護管理者は,特定個人情報を取り扱う情報システムの管理に関する事務に従事する職員に対し,特定個人情報の適切な管理のために,情報システムの管理及び運用並びに情報セキュリティ対策に関して必要な教育研修を行わなければならない。
3 保護責任者及び保護管理者は,課室の職員に対し,特定個人情報の適切な管理のために,最高総括保護管理者の実施する教育研修への参加の機会を与えなければならない。
4 保護責任者及び保護管理者は,特定個人情報が管理規程等(番号法,番号利用条例,個人情報保護法,個人情報保護法施行条例,この訓令,実施手順その他関連する法令及び規程をいう。以下同じ。)に基づき適正に取り扱われるよう,職員に対して必要かつ適切な監督を行う。
5 前4項の措置を講ずる場合には,特定個人情報の取扱いに従事する派遣労働者についても,職員と同様の措置を講じなければならない。
(職員の責務)
第14条 職員は,管理規程等の定め並びに最高総括保護管理者,総括保護責任者,総括保護管理者,保護責任者及び保護管理者の指示に従い,特定個人情報を適正に取り扱わなければならない。
2 職員は,情報漏えい等の事案の発生又は兆候を把握した場合又は職員が管理規程等に違反している事実若しくは兆候を把握した場合は,速やかに保護管理者に報告しなければならない。
第3章 特定個人情報の取扱い
(アクセス制限)
第15条 保護責任者及び保護管理者は,特定個人情報の秘匿性等その内容に応じて,当該特定個人情報にアクセスする権限を付与する者をその利用目的を達成するために必要最小限の職員に限らなければならない。
2 アクセス権限を有しない職員は,特定個人情報にアクセスしてはならない。
3 職員は,アクセス権限を有する場合であっても,業務上の目的以外の目的で特定個人情報にアクセスしてはならない。
4 職員は,異動又は退職等により特定個人情報を取り扱う事務を離れた場合には,当該特定個人情報にアクセスしてはならない。
(複製等の制限)
第16条 職員は,業務上の目的で特定個人情報を取り扱う場合であっても,次に掲げる行為については,保護管理者の指示に従い行わなければならない。
(1) 特定個人情報の複製
(2) 特定個人情報の送信
(3) 特定個人情報が記録されている媒体(電磁的記録媒体及び紙媒体をいう。以下同じ。)の外部への送付又は持ち出し
(4) その他特定個人情報の適切な管理に支障を及ぼすおそれのある行為
(誤りの訂正)
第17条 職員は,特定個人情報の内容に誤りを発見した場合には,保護管理者の指示に従い,訂正を行わなければならない。
(媒体の管理等)
第18条 職員は,保護管理者の指示に従い,特定個人情報が記録されている媒体(紙媒体を含む。)を定められた場所に,原則として施錠した上で保管しなければならない。
(廃棄等)
第19条 職員は,特定個人情報が記録されている媒体が不要となった場合には,保護管理者の承認を得た上で,総括保護管理者の指示に従い,当該特定個人情報の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行わなければならない。
2 消去又は廃棄を委託する場合には,委託先が確実に消去又は廃棄を行ったことについて証明書等を記録し,確認しなければならない。
(特定個人情報の取扱状況の記録)
第20条 保護管理者は,特定個人情報の取扱状況を確認する手段を整備し,当該特定個人情報の利用,保管,提供及び廃棄等の取扱状況についての記録を行い,定期又は随時に当該記録を確認するとともに,当該記録の改ざん,窃取又は不正な廃棄等の防止のために必要な措置を講じなければならない。
(個人番号の利用の制限)
第21条 個人番号の利用は,番号法第9条及び番号利用条例が規定した事務に限定する。
(個人番号の提供の求めの制限)
第22条 職員は,個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合その他番号法及び番号利用条例で定める場合を除き,他人の個人番号の提供を求めてはならない。
(特定個人情報ファイルの作成の制限)
第23条 職員は,個人番号利用事務等を処理するために必要な場合その他番号法及び番号利用条例で定める場合を除き,特定個人情報ファイルを作成してはならない。
(特定個人情報の収集又は保管の制限)
第24条 職員は,番号法第19条各号のいずれかに該当する場合を除き,特定個人情報を収集又は保管してはならない。
(取扱区域)
第25条 保護責任者及び保護管理者は,特定個人情報を取り扱う事務を実施する区域を明確にし,物理的な安全管理措置を講じなければならない。
第4章 情報システムにおける安全の確保等
(アクセス制御)
第26条 総括保護管理者は,特定個人情報の秘匿性等その内容に応じて,パスワード等(パスワード,生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講じなければならない。
2 総括保護管理者は,前項の措置を講ずる場合には,パスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。)をし,パスワード等の読取防止等を行うために必要な措置を講じなければならない。
(アクセス記録)
第27条 総括保護管理者及び保護管理者は,特定個人情報へのアクセス状況を記録し,その記録(以下「アクセス記録」という。)を一定の期間保存し,定期又は随時に分析するために必要な措置を講ずるとともに,アクセス記録の改ざん,窃取又は不正な廃棄等の防止のために必要な措置を講じなければならない。
(アクセス状況の監視)
第28条 総括保護管理者及び保護管理者は,特定個人情報への不適切なアクセスの監視のために必要な措置を講じなければならない。
(管理者権限の設定)
第29条 総括保護管理者は,情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため,当該権限を最小限とする等の必要な措置を講じなければならない。
(外部からの不正アクセスの防止)
第30条 総括保護管理者は,特定個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため,ファイアウォール(外部ネットワークからの攻撃に対する防御機器をいう。)の設定による経路制御等の必要な措置を講じなければならない。
(不正プログラムによる漏えい等の防止)
第31条 総括保護管理者及び保護管理者は,不正プログラムによる特定個人情報の情報漏えい等の防止のため,不正プログラムの感染防止等に必要な措置を講じなければならない。
(特定個人情報の暗号化)
第32条 総括保護管理者及び保護管理者は,特定個人情報の秘匿性等その内容に応じて,当該特定個人情報の暗号化措置を講じなければならない。
(入力情報の照合等)
第33条 職員は,情報システムで取り扱う特定個人情報の重要度に応じて,入力原票と入力内容との照合,処理前後の当該特定個人情報の内容の確認,既存の特定個人情報との照合等を行わなければならない。
(特定個人情報のバックアップ)
第34条 総括保護管理者及び保護管理者は,特定個人情報の重要度に応じて,バックアップを作成し,分散保管するために必要な措置を講じなければならない。
(情報システムの設計書等の管理)
第35条 総括保護管理者及び保護管理者は,特定個人情報に係る情報システムの設計書,構成図等の文書について外部に知られることがないよう,その保管,複製及び廃棄等について必要な措置を講じなければならない。
(情報システム端末の限定)
第36条 総括保護管理者及び保護管理者は,特定個人情報の秘匿性等その内容に応じて,その処理を行う情報システム端末を限定するために必要な措置を講じなければならない。
(情報システム端末の盗難防止等)
第37条 総括保護管理者及び保護管理者は,情報システム端末の盗難又は紛失の防止のため,情報システム端末の固定,執務室の施錠等の必要な措置を講じなければならない。
2 職員は,保護管理者が必要と認めるときを除き,情報システム端末を外部へ持ち出し,又は外部から持ち込んではならない。
(第三者の閲覧防止)
第38条 職員は,端末の使用に当たっては,特定個人情報が第三者に閲覧されることがないよう,使用状況に応じて情報システム端末からログオフを行う,又は離席時に情報システム端末をロックする等の必要な措置を講じなければならない。
(記録機能を有する機器及び媒体の接続制限)
第39条 総括保護管理者及び保護管理者は,特定個人情報の秘匿性等その内容に応じて,当該特定個人情報の情報漏えい等の防止のため,スマートフォン,USBメモリ等の記録機能を有する機器及び媒体の情報システム端末等への接続を制限(当該機器の更新への対応を含む。)するための必要な措置を講じなければならない。
第5章 サーバ室の安全管理
(入退管理)
第40条 総括保護管理者は,特定個人情報を取り扱う基幹的なサーバ等の機器を設置する部屋(以下「サーバ室」という。)に立ち入る権限を有する者を限定するとともに,用件の確認,入退の記録,部外者についての識別化,部外者が立ち入る場合の職員の立会い又は監視設備による監視,外部電磁的記録媒体等の持込み,利用及び持ち出しの制限並びに検査等の措置を講じなければならない。
2 特定個人情報を記録する媒体を保管するための施設(以下「保管施設」という。)を設けている場合において,必要があると認めるときは,前項の規定と同様の措置を講じなければならない。
3 総括保護管理者は,必要があると認めるときは,サーバ室の出入口の特定化による入退管理の容易化及び所在表示の制限等の措置を講じなければならない。
4 総括保護管理者は,サーバ室及び保管施設の入退管理について,必要があると認めるときは,立入りに係る認証機能を設定する等の制限措置を講じなければならない。
(サーバ室の管理)
第41条 総括保護管理者は,外部からの不正な侵入に備え,サーバ室に施錠装置等の措置を講じなければならない。
2 総括保護管理者は,災害等に備え,サーバ室に,耐震,防火,防煙及び防水の必要な措置を講ずるとともに,サーバ等の機器の予備電源の確保及び配線の損傷防止等の措置を講じなければならない。
第6章 特定個人情報の提供及び業務の委託等
(特定個人情報の提供)
第42条 職員は,番号法第19条及び番号利用条例に該当する場合を除き,特定個人情報を提供してはならない。
(業務の委託等)
第43条 保護責任者及び保護管理者は,特定個人情報の取扱いに係る業務を外部に委託する場合には,特定個人情報の適切な管理を行う能力を有しない者を選定することがないよう,ISMS認証の取得状況及び財務状況を確認する等の必要な措置を講じなければならない。
2 保護責任者及び保護管理者は,特定個人情報の取扱いに係る業務を外部に委託する場合には,契約書に,次に掲げる事項を明記する。
(1) 特定個人情報に関する秘密保持義務
(2) 事業所内からの特定個人情報の持出しの禁止
(3) 特定個人情報の目的外利用の禁止
(4) 再委託の制限又は事前承認等再委託に係る条件に関する事項
(5) 情報漏えい等の事案の発生時における委託先の対応に関する事項
(6) 委託終了時における特定個人情報の返却又は廃棄等に関する事項
(7) 特定個人情報を取り扱う従業員の管理
(8) 従業者に対する監督・教育
(9) 契約内容の遵守状況の報告義務及び調査に関する事項
(10) 特定個人情報の複製等の制限に関する事項
(11) 違反した場合における契約解除,損害賠償責任その他必要な事項
3 保護責任者及び保護管理者は,特定個人情報の取扱いに係る業務を外部に委託する場合には,委託先において,管理規程等に基づき本市が果たすべき安全管理措置と同等の措置が講じられるか否かについて,あらかじめ確認するとともに,本市が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。
4 特定個人情報の取扱いに係る業務の委託を受けた者が再委託をする際には,再委託先において取り扱う特定個人情報の適切な安全管理が図られることを確認した上で再委託の諾否を判断しなければならない。再委託先が,再々委託を行う場合等も,同様とする。
5 保護責任者及び保護管理者は,特定個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には,労働者派遣契約書に秘密保持義務等の特定個人情報の取扱いに関する事項を明記しなければならない。
第7章 安全確保上の問題への対応
(事案の報告及び再発防止措置)
第44条 特定個人情報の情報漏えい等の事案の発生又は兆候を把握した場合及び職員が管理規程等に違反している事実又は兆候を把握した場合等,安全確保上で問題となる事案が発生した場合には,その事実を知った職員は,速やかに当該特定個人情報を管理する保護管理者に報告しなければならない。
2 保護管理者は,被害の拡大防止又は復旧等のために必要な措置を講じなければならない。
3 保護管理者は,事案の発生した経緯,被害状況及び復旧状況等を調査し,保護責任者,総括保護管理者,総括保護責任者及び最高総括保護管理者に報告しなければならない。ただし,重大と認める事案が発生した場合には,直ちに保護責任者,総括保護管理者,総括保護責任者及び最高総括保護管理者に当該事案の内容等について報告しなければならない。
4 保護管理者は,事案の発生した原因を分析し,再発防止のために必要な措置を講じなければならない。
(公表等)
第45条 最高総括保護管理者は,事案の内容及び影響等に応じて,事実関係及び再発防止策の公表並びに当該事案に係る本人への対応等の措置を講じなければならない。
第8章 監査及び点検の実施
(監査)
第46条 監査責任者は,特定個人情報の取扱状況について,定期又は随時に監査を行わなければならない。
2 監査責任者は,監査実施計画を立案し,監査の対象とする事務及び課室を決定する。実施機関以外の者に委託又は指定管理を行っている場合は,委託先等における特定個人情報の取扱状況についても,監査の対象としなければならない。
3 監査の対象となった課室は,監査の実施に協力しなければならない。
4 監査責任者は,監査結果を取りまとめ,最高総括保護管理者,総括保護責任者及び総括保護管理者に報告するとともに,監査の対象となった課室の保護管理者に当該監査結果を送付しなければならない。
5 監査責任者は,監査の実施を通じて収集した監査証拠及び監査報告書の作成のための監査調書を紛失等が発生しないように適切に保管しなければならない。
6 総括保護管理者は,監査結果を踏まえ,改善を要する事項につき関係する課室の保護管理者に対し対応を指示しなければならない。この場合において,指示を受けた保護管理者は,改善策を作成し,総括保護管理者に提出し,承認を受けなければならない。
(点検)
第47条 保護管理者は,自ら管理責任を有する特定個人情報の記録媒体,処理経路及び保管方法等について,定期又は随時に点検を行い,必要があると認めるときは,その結果を最高総括保護管理者及び総括保護管理者に報告しなければならない。
(見直し)
第48条 特定個人情報の適切な管理のため,最高総括保護管理者,総括保護責任者,総括保護管理者,保護責任者及び保護管理者は,点検の結果等を踏まえ,必要があると認めるときは,実施手順の見直し等の措置を講ずるものとする。
第9章 補足
(他の規程等との調整)
第49条 情報システムに係る情報セキュリティ対策については,鉾田市が保有する特定個人情報の適正管理に関する基本方針,鉾田市情報セキュリティ対策基準及びこの訓令に定める規定を適用する。
(管理規程等違反事案への対応)
第50条 管理規程等に違反した職員,当該職員の違反行為を隠ぺい又は黙認した職員及び違反行為を行った職員を指導監督する地位にある職員については,地方公務員法(昭和25年法律第261号)第29条の規定による懲戒処分の対象とするとともに,違反行為の悪質性に応じて刑事告発の対象とする。
(細則)
第51条 この訓令に定めるもののほか,この訓令の実施のための手続その他について必要な事項は,最高総括保護管理者が別に定める。
附則
この訓令は,平成30年4月1日から施行する。
附則(令和元年12月20日訓令第21号)
この訓令は,令和2年4月1日から施行する。
附則(令和5年3月24日訓令第3号)
この訓令は,デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)附則第1条第7号に掲げる規定(同法第51条の規定に限る。)の施行の日から施行する。