石巻地区広域行政事務組合保有個人情報等取扱規程

○石巻地区広域行政事務組合保有個人情報等取扱規程

令和6年3月11日

訓令乙第1号

石巻地区広域行政事務組合個人情報等取扱規程(平成27年石広訓令乙第1号)の全部を改正する。

(趣旨)

第1条　この規程は、石巻地区広域行政事務組合(以下「組合」という。)における保有個人情報及び特定個人情報(以下「保有個人情報等」という。)の取扱いについて必要な事項を定めるものとする。

(定義)

第2条　この規程における用語の意義は、次の各号に掲げる法律、条例等の定めるところによる。

(1)　個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)第2条

(2)　行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第2条

(3)　石巻地区広域行政事務組合議会個人情報保護条例(令和5年石広条例第6号。以下「議会個人情報保護条例」という。)第2条

(4)　個人情報の保護に関する法律についてのガイドライン(行政機関等編)(令和4年個人情報保護委員会告示第1号)

(5)　特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)(平成26年特定個人情報保護委員会告示第6号)

(最高総括保護管理者)

第3条　組合における全ての保有個人情報等の管理を総括する最高総括保護管理者を置くこととし、事務局長の職をもって充てる。

(総括保護管理者)

第4条　部局等の所掌に属する保有個人情報等の管理に関する事務の総括的な権限及び責任を有する者として、総括保護管理者を置く。

2　総括保護管理者は、次の各号に掲げる部局等の区分に応じ、当該各号に掲げる職の者をもって充てる。

(1)　事務局　事務局次長、会計管理者

(2)　消防本部　消防長

(3)　監査委員　事務局長

(4)　議会　書記長

3　総括保護管理者は、個人番号及び特定個人情報(以下「特定個人情報等」という。)を複数の部署で取り扱う場合の各部署の任務分担及び責任を明確にするものとする。

(保護管理者)

第5条　保有個人情報等を取り扱う各課等に保護管理者を置くこととし、当該課等の長又は総括保護管理者が指定する者をもって充てる。

2　保護管理者は、各課等における保有個人情報等を適切に管理する任に当たる。

3　保護管理者は、特定個人情報等を取り扱う職員(以下「事務取扱担当者」という。)及びその役割を指定する。

4　保護管理者は、各事務取扱担当者が取り扱う特定個人情報等の範囲を指定する。

5　保護管理者は、次に掲げる組織体制を整備する。

(1)　職員がこの取扱規程等に違反している事実又は兆候を把握した場合の責任者への報告連絡体制

(2)　保有個人情報等の漏えい、滅失又は毀損等(以下「情報漏えい等」という。)の事案の発生又は兆候を把握した場合の職員から責任者等への報告連絡体制

(3)　特定個人情報等の情報漏えい等の事案の発生又は兆候を把握した場合の対応体制

(保護担当者)

第6条　保有個人情報等を取り扱う各課等に、当該課等の保護管理者が指定する保護担当者を1人又は複数人置く。

2　保護担当者は、保護管理者を補佐し、各課等における保有個人情報等の管理に関する事務を担当する。

3　保護担当者は、各課等で保有個人情報等を取り扱う係の係長職の者をもって充てる。

(監査責任者)

第7条　保有個人情報等の管理の状況について監査させるため、監査責任者を置く。

2　監査責任者は、事務局次長をもって充てる。

(保有個人情報等の適切な管理のための委員会)

第8条　最高総括保護管理者は、保有個人情報等の管理に係る重要事項の決定、連絡・調整等を行うため必要があると認めるときは、総括保護管理者及び関係職員を構成員とする委員会を設け、定期又は随時に開催する。

(教育研修)

第9条　最高総括保護管理者は、保有個人情報等を取り扱う職員に対し、保有個人情報等の取扱いについて理解を深め、保有個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。

2　最高総括保護管理者は、総括保護管理者、保護管理者及び保護担当者に対し、各課等における保有個人情報等の適切な管理のための教育研修を行う。

3　保護管理者は、当該課等の職員に対し、保有個人情報等の適切な管理のために、最高総括保護管理者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。

(職員の責務)

第10条　職員は、個人情報保護法及び番号法の趣旨にのっとり、関連する法令及びその他の規程等の定め並びに最高総括保護管理者、総括保護管理者、保護管理者及び保護担当者の指示に従い、保有個人情報等を取り扱わなければならない。

(アクセス制限)

第11条　保護管理者は、保有個人情報等の秘匿性、個人識別の容易性、要配慮個人情報の有無、情報漏えいが発生した場合に生じ得る被害の性質及び程度その他の内容(以下「秘匿性等その内容」という。)に応じて、当該保有個人情報等にアクセスをする権限(以下「アクセス権限」という。)を有する職員の範囲及び権限の内容を、当該職員が業務を行う上で必要最小限の範囲に限るものとする。

2　アクセス権限を有しない職員は、保有個人情報等にアクセスしてはならない。

3　職員は、アクセス権限を有する場合であっても、業務上の目的以外の目的で保有個人情報等にアクセスしてはならず、アクセスは必要最小限としなければならない。

(複製等の制限)

第12条　保護管理者は、職員が業務上の目的で保有個人情報等を取り扱う場合であっても、次に掲げる行為については、当該保有個人情報等の秘匿性等その内容に応じて、当該行為を行うことができる場合を必要最小限に限定し、職員は、保護管理者の指示に従い行うものとする。

(1)　保有個人情報等の複製

(2)　保有個人情報等の送信

(3)　保有個人情報等が記録されている媒体の外部への送付又は持出し

(4)　その他保有個人情報等の適切な管理に支障を及ぼすおそれのある行為

2　前項の場合において、その取り扱う保有個人情報等が特定個人情報等であるときは、職員は、保護管理者の許可を受けなければ同項各号に掲げる行為をすることができない。

(誤りの訂正等)

第13条　職員は、保有個人情報等の内容に誤り等を発見した場合は、保護管理者の指示に従い、訂正等を行わなければならない。

(媒体の管理等)

第14条　職員は、保護管理者の指示に従い、保有個人情報等が記録されている媒体を定められた場所に保管するとともに、必要に応じ、耐火金庫等への保管、施錠等を行うものとする。

2　職員は、保有個人情報等が記録されている媒体を外部へ送付し又は持ち出す場合は、原則として、パスワード等(パスワード、ICカード、生体情報等をいう。)を使用して権限を識別する機能を設定する等のアクセス制御のために必要な措置を講ずるものとする。

(誤送付等の防止)

第15条　職員は、保有個人情報等を含む電磁的記録又は媒体の誤送信、誤送付若しくは誤交付又はウェブサイト等への誤掲載を防止するため、個別の事務事業において取り扱う個人情報の秘匿性等その内容に応じ、複数の職員による確認、チェックリストの活用等の必要な措置を講ずるものとする。

(廃棄等)

第16条　職員は、保有個人情報等又は保有個人情報等が記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合は、保護管理者の指示に従い、当該保有個人情報等の復元又は判読が不可能な方法により当該保有個人情報等の消去又は当該媒体の廃棄を行わなければならない。

2　職員は、保有個人情報等又は保有個人情報等が記録されている媒体の廃棄を委託する場合(2以上の段階にわたる委託を含む。)は、必要に応じて職員が消去及び廃棄に立ち会い、又は写真等を付した消去及び廃棄を証明する書類を受け取るなど、委託先において消去及び廃棄が確実に行われていることを確認するものとする。

(保有個人情報等の取扱状況の記録)

第17条　保護管理者は、保有個人情報等の秘匿性等その内容に応じて、台帳等を整備し、当該保有個人情報等の利用及び保管等の取扱いの状況について記録するものとする。

2　保護管理者は、個人番号利用事務及び個人番号関連事務(以下「個人番号利用事務等」という。)に関し、特定個人情報ファイルの取扱状況を確認する手段を整備し、当該特定個人情報ファイルの利用及び保管等の状況を記録しなければならない。

3　前2項に規定する記録をする場合は、次に掲げる情報を記録し、保存しなければならない。この場合において、当該記録には、特定個人情報等を含めないものとする。

(1)　特定個人情報ファイルの利用及び出力状況の記録

(2)　書類及び媒体等の送付、送信及び持出しの記録

(3)　特定個人情報ファイルの消去及び廃棄の記録

(4)　特定個人情報ファイルの消去又は廃棄を委託した場合、これを証明する記録

4　保護管理者は、第2項の規定による記録が改ざんされ、窃取され、又は不正に消去されることを防止するため、必要な措置を講ずるものとする。

(外的環境の把握)

第18条　保護管理者は、保有個人情報等が、外国(民間事業者が提供するクラウドサービスを利用する場合において、クラウドサービス提供事業者が所在する外国及び個人データが保存されるサーバが所在する外国をいう。)において取り扱われる場合は、当該外国の個人情報の保護に関する制度等を把握した上で、保有個人情報等の安全管理のために必要かつ適切な措置を講じなければならない。

(個人番号の利用の制限)

第19条　事務取扱担当者は、番号法に定める事務の処理を行う場合に限り、個人番号を利用するものとする。

(個人番号の提供依頼の制限)

第20条　事務取扱担当者は、個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き、個人番号の提供を依頼してはならない。

2　事務取扱担当者は、個人番号利用事務等において個人番号を収集する際に、番号法その他の関係法令等に定める方法により、本人確認を行うものとする。

(特定個人情報ファイルの作成の制限)

第21条　事務取扱担当者は、個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイルを作成してはならない。

(特定個人情報の収集又は保管の制限)

第22条　職員は、番号法第19条各号のいずれかに該当する場合を除き、他人の特定個人情報を収集し、又は保管してはならない。

(特定個人情報等の取扱区域)

第23条　保護管理者は、特定個人情報等を取り扱う事務を実施する区域を明確にし、物理的な安全管理措置を講ずる。

(入力情報の照合等)

第24条　職員は、情報システムで取り扱う保有個人情報の重要度に応じて、入力原票と入力内容の照合、処理前後の当該保有個人情報の内容の確認、既存の保有個人情報との照合等を行う。

(保有個人情報等の提供)

第25条　保護管理者は、個人情報保護法第69条第2項第3号若しくは第4号又は議会個人情報保護条例第12条第2項第3号若しくは第4号の規定により行政機関等以外の者に保有個人情報を提供する場合は、個人情報保護法第70条又は議会個人情報保護条例第14条の規定により、原則として、提供先における利用目的、利用する業務の根拠法令、利用する記録範囲及び記録項目、利用形態等について提供先との間で書面(電磁的記録を含む。)を取り交わすものとする。

2　保護管理者は、個人情報保護法第69条第2項第3号若しくは第4号又は議会個人情報保護条例第12条第2項第3号若しくは第4号の規定により行政機関等以外の者に保有個人情報を提供する場合は、個人情報保護法第70条又は議会個人情報保護条例第14条の規定により、安全確保の措置を要求するとともに、必要があると認めるときは、提供前又は随時に実地の調査等を行い、措置状況を確認してその結果を記録するとともに、改善要求等の措置を講ずるものとする。

3　保護管理者は、個人情報保護法第69条第2項第3号又は議会個人情報保護条例第12条第2項第3号の規定により、他の行政機関等に保有個人情報を提供する場合において、必要があると認めるときは、個人情報保護法第70条又は議会個人情報保護条例第14条の規定により、前2項に規定する措置を講ずるものとする。

4　職員は、番号法で限定的に明記されている場合を除き、特定個人情報等を提供してはならない。

(業務の委託等)

第26条　保護管理者は、保有個人情報等の取扱いに係る業務を外部に委託する場合は、個人情報の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置を講じ、契約書に、次に掲げる事項を明記し、委託先における責任者及び業務従事者の管理体制及び実施体制、個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認するものとする。

(1)　保有個人情報等に関する秘密保持、利用目的以外の目的のための利用の禁止等の義務

(2)　再委託(再委託先が委託先の子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定する子会社をいう。)である場合も含む。以下同じ。)の制限又は事前承認等再委託に係る条件に関する事項

(3)　保有個人情報等の複製等の制限に関する事項

(4)　保有個人情報等の安全管理措置に関する事項

(5)　保有個人情報等の漏えい等の事案の発生時における対応に関する事項

(6)　委託終了時における個人情報の消去及び媒体の返却に関する事項

(7)　法令及び契約に違反した場合における契約解除、損害賠償責任その他必要な事項

(8)　契約内容の遵守状況についての定期的報告に関する事項及び委託先における委託された個人情報の取扱状況を把握するための監査等に関する事項

(9)　前各号に掲げるもののほか、必要な事項

2　保護管理者は、個人番号利用事務等の取扱いに係る業務を外部に委託する場合は、委託先において、番号法に基づき組合が果たすべき措置と同等の措置が講じられるかについて、あらかじめ確認するものとし、前項各号に掲げる事項に加え、次に掲げる事項を契約書に明記しなければならない。

(1)　事務所等内からの特定個人情報等の持ち出しの禁止に関する事項

(2)　特定個人情報等を取り扱う従事者の明確化及び従事者の監督・教育に関する事項

(3)　契約内容の遵守状況の報告に関する事項

(4)　組合が必要と認めるときは実地調査に関する事項

3　保護管理者は保有個人情報等の取扱いに係る業務を外部に委託する場合は、取扱いを委託する個人情報の範囲を委託する業務内容に照らして必要最小限としなければならない。

4　保護管理者は、保有個人情報等の取扱いに係る業務を外部に委託する場合は、委託する業務に係る保有個人情報等の秘匿性等その内容やその量等に応じて、委託先における作業の管理体制及び実施体制並びに保有個人情報等の管理の状況について、少なくとも年1回以上、実地検査その他の方法により確認を行うものとする。

5　保護管理者は、個人番号利用事務等の取扱いに係る業務を外部に委託する場合は、前項に定めるもののほか、委託先において、組合が果たすべき措置と同等の措置が講じられるよう必要かつ適切な監督を行うものとする。

6　保護管理者は、保有個人情報等の取扱いに係る業務が再委託される場合は、委託先に第1項の措置を講じさせるとともに、再委託される業務に係る保有個人情報の秘匿性等その内容に応じて、委託先を通じて又は委託元自らが第4項の措置を講ずるものとする。

7　保護管理者は、個人番号利用事務等の取扱いに係る業務が再委託される場合は、前項に定めるもののほか、委託をする個人番号利用事務等において取り扱う特定個人情報の適切な安全管理が図られることを確認した上で再委託の諾否を判断するものとする。

(匿名化措置)

第27条　保護管理者は、保有個人情報等を提供し、又は保有個人情報等の取扱いに係る業務を委託する場合は、漏えい等による被害発生のリスクを低減する観点から、提供先における利用目的、委託する業務の内容、保有個人情報等の秘匿性等その内容等を考慮し、必要に応じ、特定の個人を識別することができる記載の全部若しくは一部を削除し、又は別の記号等に置き換える等の匿名化措置を講ずるものとする。

(サイバーセキュリティに関する対策の基準等)

第28条　保護管理者は、個人情報を取り扱い、又は情報システムを構築し、若しくは利用するに当たっては、サイバーセキュリティ基本法(平成26年法律第104号)に掲げられたサイバーセキュリティに関する対策の基準等を参考として、取り扱う保有個人情報の性質等に照らして適正なサイバーセキュリティの水準を確保する。

(事案の報告及び再発防止措置)

第29条　保有個人情報等の漏えい等の事案の発生又は兆候を把握した場合、職員がこの規程等に違反している事実又は兆候を把握した場合その他保有個人情報等の適切な安全管理を行う上で問題となる事案の発生又は発生のおそれを認識した場合は、その事案の発生等を認識した職員は、直ちに当該保有個人情報等を管理する保護管理者(保護管理者等が不在等により報告等が困難な場合かつ特に重大と認める事案が発生した場合は、総括保護管理者)に当該事案の発生等を報告しなければならない。

2　保護管理者は、被害の拡大防止又は復旧等のために必要な措置を速やかに講ずるものとする。ただし、外部からの不正アクセス又は不正プログラムの感染が疑われる当該端末機器等の端末ネットワーク遮断スクリプトの実行等によるネットワークからの遮断など、被害拡大防止のため直ちに行い得る措置については、直ちに行い、又は職員に行わせるものとする。

3　保護管理者は、事案の発生した経緯、被害状況等を調査し、総括保護管理者及び総務企画課長(以下「総括保護管理者等」という。)に報告しなければならない。ただし、特に重大と認める事案が発生した場合は、直ちに総括保護管理者等に当該事案の内容等について報告しなければならない。

4　総括保護管理者等は、前項の規定に基づく報告を受けた場合は、最高総括保護管理者に報告しなければならない。

5　最高総括保護管理者は、前項の規定に基づく報告を受けた場合は、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を理事長(議会における事案にあっては、議長)に速やかに報告しなければならない。

6　保護管理者は、事案の発生した経緯及び被害状況の調査並びに発生原因の分析を行い、再発防止のために必要な措置を講ずるとともに、その内容を最高総括保護管理者に報告しなければならない。

7　最高総括保護管理者は、前項の報告を受けた場合は、同種の業務を実施している所属等に当該措置を共有するものとする。

(報告及び通知)

第30条　保護管理者(議会を除く。)は、次に掲げる場合は、前条の規定による措置の実施等と並行して、速やかに所定の手続を行うとともに、個人情報保護委員会による事案の把握等に協力するものとする。

(1)　保有個人情報の漏えい等の事案が発生した場合であって、個人情報保護法第68条第1項の規定による個人情報保護委員会への報告及び同条第2項の規定による本人への通知を要するとき。

(2)　特定個人情報の漏えい等の事案その他の番号法違反の事案又は番号法違反のおそれのある事案が発生した場合であって、番号法第29条の4第1項の規定による個人情報保護委員会への報告及び同条第2項の規定による本人への通知を要するとき。

2　前項の場合において、個人情報保護委員会への報告は、事案の報告を受けた総務企画課が行う。

3　議会における保護管理者は、議会における漏えい等の事案が発生した場合であって、議会個人情報保護条例第11条の規定による本人への通知を要するときは、前条の規定による措置の実施等と並行して、速やかに所定の手続を行う。

(公表等)

第31条　保護管理者は、前条第1項又は第3項に規定する場合以外の場合であっても、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る保有個人情報等の本人への連絡等の措置を講じなければならない。

2　最高総括保護管理者は、必要があると認めるときは、当該事案の内容、経緯、被害状況等について、速やかに個人情報保護委員会へ情報提供を行うものとする。

(監査)

第32条　監査責任者は、保有個人情報等の適切な管理を検証するため、第2条から第29条に規定する措置の状況を含む各課等における保有個人情報等の管理の状況について、定期及び必要に応じ随時に監査(外部監査の委託を含む。)を行い、その結果を最高総括保護管理者に報告するものとする。

2　監査責任者は、保有個人情報等を取り扱う情報システムの利用等の状況について、必要に応じて各情報セキュリティ責任者と共同して監査を行うものとする。

3　保護管理者は、監査を受ける対象となった場合は、監査の実施に協力しなければならない。

(点検)

第33条　保護管理者は、各課等における保有個人情報等の記録媒体、処理経路、保管方法等について定期及び必要に応じ随時に点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告するものとする。

(評価及び見直し)

第34条　最高総括保護管理者、総括保護管理者、保護管理者等は、前2条の監査又は点検の結果等を踏まえ、実効性等の観点から保有個人情報等の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずるものとする。

(その他)

第35条　この規程に定めるもののほか、保有個人情報等の適切な管理のための措置に関して必要な事項は、別に定める。

附則

この訓令は、令和6年4月1日から施行する。