(目的)

第1条　この訓令は，行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)，鉾田市行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく個人番号の利用及び特定個人情報の提供に関する条例(平成27年鉾田市条例第30号。以下「番号利用条例」という。)，個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)及び鉾田市個人情報保護法施行条例(令和5年鉾田市条例第1号。以下「個人情報保護法施行条例」という。)の規定に基づき，鉾田市(以下「本市」という。)の保有する個人番号をその内容に含む個人情報(以下「特定個人情報」という。)の適切な管理のために必要な措置を定めることにより，当該特定個人情報の漏えい，滅失又は毀損(以下「情報漏えい等」という。)を防止し，適正な管理を図ることを目的とする。

(定義)

第2条　この訓令において使用する用語は，番号法第2条，番号利用条例第2条及び鉾田市情報セキュリティ基本方針(平成18年鉾田市訓令第21号。以下「情報セキュリティ基本方針」という。)において使用する用語の例による。

(適用範囲)

第3条　この訓令が適用される実施機関は，市長，教育委員会，選挙管理委員会，監査委員，農業委員会，固定資産評価審査委員会，上下水道事業管理者及び議会とする。

(最高総括保護管理者)

第4条　最高総括保護管理者は，副市長をもって充てる。

(総括保護責任者)

第5条　総括保護責任者は，総務部長をもって充てる。

(総括保護管理者)

第6条　総括保護管理者は，総務課長をもって充てる。

(保護責任者)

第7条　保護責任者は，特定個人情報を取り扱う事務を所掌する部等の長をもって充てる。

(保護管理者)

第8条　保護管理者は，特定個人情報を取り扱う事務を所掌する課室の長をもって充てる。

(監査責任者)

第9条　監査責任者を一人置くこととし，総務課長をもって充てる。

(特定個人情報安全管理委員会)

第10条　最高総括保護管理者，総括保護責任者，総括保護管理者，保護責任者及び保護管理者を構成員とする特定個人情報安全管理委員会は，課室が保有する特定個人情報の安全管理に係る重要事項の審議，連絡及び調整を行わなければならない。

(保護管理者が整備する組織体制等)

第11条　保護管理者は，次の各号に掲げる組織体制を整備しなければならない。

(特定個人情報の安全管理に関する統一的な窓口の設置)

第12条　最高総括保護管理者は，特定個人情報の安全管理に関する事故の統一的な窓口の機能を有する組織を整備する。この場合において，情報セキュリティに関する事故について課室から報告を受けた場合には，その状況を確認し，自らへの報告が行われる体制を整備しなければならない。

(教育研修及び監督)

第13条　総括保護責任者及び総括保護管理者は，職員に対し，特定個人情報の取扱いについて理解を深め，特定個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行わなければならない。

(職員の責務)

第14条　職員は，管理規程等の定め並びに最高総括保護管理者，総括保護責任者，総括保護管理者，保護責任者及び保護管理者の指示に従い，特定個人情報を適正に取り扱わなければならない。

(アクセス制限)

第15条　保護責任者及び保護管理者は，特定個人情報の秘匿性等その内容に応じて，当該特定個人情報にアクセスする権限を付与する者をその利用目的を達成するために必要最小限の職員に限らなければならない。

(複製等の制限)

第16条　職員は，業務上の目的で特定個人情報を取り扱う場合であっても，次に掲げる行為については，保護管理者の指示に従い行わなければならない。

(誤りの訂正)

第17条　職員は，特定個人情報の内容に誤りを発見した場合には，保護管理者の指示に従い，訂正を行わなければならない。

(媒体の管理等)

第18条　職員は，保護管理者の指示に従い，特定個人情報が記録されている媒体(紙媒体を含む。)を定められた場所に，原則として施錠した上で保管しなければならない。

(廃棄等)

第19条　職員は，特定個人情報が記録されている媒体が不要となった場合には，保護管理者の承認を得た上で，総括保護管理者の指示に従い，当該特定個人情報の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行わなければならない。

(特定個人情報の取扱状況の記録)

第20条　保護管理者は，特定個人情報の取扱状況を確認する手段を整備し，当該特定個人情報の利用，保管，提供及び廃棄等の取扱状況についての記録を行い，定期又は随時に当該記録を確認するとともに，当該記録の改ざん，窃取又は不正な廃棄等の防止のために必要な措置を講じなければならない。

(個人番号の利用の制限)

第21条　個人番号の利用は，番号法第9条及び番号利用条例が規定した事務に限定する。

(個人番号の提供の求めの制限)

第22条　職員は，個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合その他番号法及び番号利用条例で定める場合を除き，他人の個人番号の提供を求めてはならない。

(特定個人情報ファイルの作成の制限)

第23条　職員は，個人番号利用事務等を処理するために必要な場合その他番号法及び番号利用条例で定める場合を除き，特定個人情報ファイルを作成してはならない。

(特定個人情報の収集又は保管の制限)

第24条　職員は，番号法第19条各号のいずれかに該当する場合を除き，特定個人情報を収集又は保管してはならない。

(取扱区域)

第25条　保護責任者及び保護管理者は，特定個人情報を取り扱う事務を実施する区域を明確にし，物理的な安全管理措置を講じなければならない。

(アクセス制御)

第26条　総括保護管理者は，特定個人情報の秘匿性等その内容に応じて，パスワード等(パスワード，生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講じなければならない。

(アクセス記録)

第27条　総括保護管理者及び保護管理者は，特定個人情報へのアクセス状況を記録し，その記録(以下「アクセス記録」という。)を一定の期間保存し，定期又は随時に分析するために必要な措置を講ずるとともに，アクセス記録の改ざん，窃取又は不正な廃棄等の防止のために必要な措置を講じなければならない。

(アクセス状況の監視)

第28条　総括保護管理者及び保護管理者は，特定個人情報への不適切なアクセスの監視のために必要な措置を講じなければならない。

(管理者権限の設定)

第29条　総括保護管理者は，情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため，当該権限を最小限とする等の必要な措置を講じなければならない。

(外部からの不正アクセスの防止)

第30条　総括保護管理者は，特定個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため，ファイアウォール(外部ネットワークからの攻撃に対する防御機器をいう。)の設定による経路制御等の必要な措置を講じなければならない。

(不正プログラムによる漏えい等の防止)

第31条　総括保護管理者及び保護管理者は，不正プログラムによる特定個人情報の情報漏えい等の防止のため，不正プログラムの感染防止等に必要な措置を講じなければならない。

(特定個人情報の暗号化)

第32条　総括保護管理者及び保護管理者は，特定個人情報の秘匿性等その内容に応じて，当該特定個人情報の暗号化措置を講じなければならない。

(入力情報の照合等)

第33条　職員は，情報システムで取り扱う特定個人情報の重要度に応じて，入力原票と入力内容との照合，処理前後の当該特定個人情報の内容の確認，既存の特定個人情報との照合等を行わなければならない。

(特定個人情報のバックアップ)

第34条　総括保護管理者及び保護管理者は，特定個人情報の重要度に応じて，バックアップを作成し，分散保管するために必要な措置を講じなければならない。

(情報システムの設計書等の管理)

第35条　総括保護管理者及び保護管理者は，特定個人情報に係る情報システムの設計書，構成図等の文書について外部に知られることがないよう，その保管，複製及び廃棄等について必要な措置を講じなければならない。

(情報システム端末の限定)

第36条　総括保護管理者及び保護管理者は，特定個人情報の秘匿性等その内容に応じて，その処理を行う情報システム端末を限定するために必要な措置を講じなければならない。

(情報システム端末の盗難防止等)

第37条　総括保護管理者及び保護管理者は，情報システム端末の盗難又は紛失の防止のため，情報システム端末の固定，執務室の施錠等の必要な措置を講じなければならない。

(第三者の閲覧防止)

第38条　職員は，端末の使用に当たっては，特定個人情報が第三者に閲覧されることがないよう，使用状況に応じて情報システム端末からログオフを行う，又は離席時に情報システム端末をロックする等の必要な措置を講じなければならない。

(記録機能を有する機器及び媒体の接続制限)

第39条　総括保護管理者及び保護管理者は，特定個人情報の秘匿性等その内容に応じて，当該特定個人情報の情報漏えい等の防止のため，スマートフォン，USBメモリ等の記録機能を有する機器及び媒体の情報システム端末等への接続を制限(当該機器の更新への対応を含む。)するための必要な措置を講じなければならない。

(入退管理)

第40条　総括保護管理者は，特定個人情報を取り扱う基幹的なサーバ等の機器を設置する部屋(以下「サーバ室」という。)に立ち入る権限を有する者を限定するとともに，用件の確認，入退の記録，部外者についての識別化，部外者が立ち入る場合の職員の立会い又は監視設備による監視，外部電磁的記録媒体等の持込み，利用及び持ち出しの制限並びに検査等の措置を講じなければならない。

(サーバ室の管理)

第41条　総括保護管理者は，外部からの不正な侵入に備え，サーバ室に施錠装置等の措置を講じなければならない。

(特定個人情報の提供)

第42条　職員は，番号法第19条及び番号利用条例に該当する場合を除き，特定個人情報を提供してはならない。

(業務の委託等)

第43条　保護責任者及び保護管理者は，特定個人情報の取扱いに係る業務を外部に委託する場合には，特定個人情報の適切な管理を行う能力を有しない者を選定することがないよう，ISMS認証の取得状況及び財務状況を確認する等の必要な措置を講じなければならない。

(事案の報告及び再発防止措置)

第44条　特定個人情報の情報漏えい等の事案の発生又は兆候を把握した場合及び職員が管理規程等に違反している事実又は兆候を把握した場合等，安全確保上で問題となる事案が発生した場合には，その事実を知った職員は，速やかに当該特定個人情報を管理する保護管理者に報告しなければならない。

(公表等)

第45条　最高総括保護管理者は，事案の内容及び影響等に応じて，事実関係及び再発防止策の公表並びに当該事案に係る本人への対応等の措置を講じなければならない。

(監査)

第46条　監査責任者は，特定個人情報の取扱状況について，定期又は随時に監査を行わなければならない。

(点検)

第47条　保護管理者は，自ら管理責任を有する特定個人情報の記録媒体，処理経路及び保管方法等について，定期又は随時に点検を行い，必要があると認めるときは，その結果を最高総括保護管理者及び総括保護管理者に報告しなければならない。

(見直し)

第48条　特定個人情報の適切な管理のため，最高総括保護管理者，総括保護責任者，総括保護管理者，保護責任者及び保護管理者は，点検の結果等を踏まえ，必要があると認めるときは，実施手順の見直し等の措置を講ずるものとする。

(他の規程等との調整)

第49条　情報システムに係る情報セキュリティ対策については，鉾田市が保有する特定個人情報の適正管理に関する基本方針，鉾田市情報セキュリティ対策基準及びこの訓令に定める規定を適用する。

(管理規程等違反事案への対応)

第50条　管理規程等に違反した職員，当該職員の違反行為を隠ぺい又は黙認した職員及び違反行為を行った職員を指導監督する地位にある職員については，地方公務員法(昭和25年法律第261号)第29条の規定による懲戒処分の対象とするとともに，違反行為の悪質性に応じて刑事告発の対象とする。

(細則)

第51条　この訓令に定めるもののほか，この訓令の実施のための手続その他について必要な事項は，最高総括保護管理者が別に定める。