○小松島市保有個人情報の適切な管理のための措置に関する規程
令和5年4月1日
訓令第8号
第1章 総則
(趣旨)
第1条 この訓令は,個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第66条第1項の規定により,市の機関(議会を除く。以下同じ。)が保有する個人情報の安全管理のために必要かつ適切な措置を講じることに関し必要な事項を定めるものとする。
(定義)
第2条 この訓令における用語の意義は,法の例による。
第2章 管理体制
(総括保護管理者)
第3条 市に,総括保護管理者を置き,副市長をもって充てる。
2 総括保護管理者は,市における保有個人情報の管理に関する事務を総括する任に当たる。
(保護管理者)
第4条 保有個人情報を取り扱う各課等(市長部局にあっては課,環境衛生センター,保健センター及び競輪局を,会計課,水道部及び教育委員会にあっては課を,選挙管理委員会,監査委員及び農業委員会にあっては事務局を,消防本部にあっては課及び消防署をいう。以下同じ。)に,保護管理者1名を置き,当該課等の長をもって充てる。
2 保護管理者は,課等における保有個人情報の適切な管理を確保する任に当たる。
3 保有個人情報を情報システムで取り扱う場合においては,保護管理者は,当該情報システムの管理者と連携して,前項の任に当たるものとする。
(保護担当者)
第5条 保有個人情報を取り扱う各課等に,保護担当者を置く。
2 保護担当者は,当該課等の所属職員のうちから保護管理者が指定する者をもって充てる。
3 保護担当者は,保護管理者を補佐し,課等における保有個人情報の管理に関する事務を担当する。
4 保護管理者は,当該課等における保有個人情報を取り扱う事務及び職員の数その他の事情により必要があると認める場合は,複数の所属職員を保護担当者に指定することができる。
(監査責任者)
第6条 市に,監査責任者を置き,総務部長をもって充てる。
2 監査責任者は,保有個人情報の管理の状況について監査する任に当たる。
(内部組織による会議)
第7条 総括保護管理者は,保有個人情報の管理に係る重要事項の決定,連絡・調整等を行うため必要があると認めるときは,関係職員で構成する内部組織の会議を開く。
2 前項の内部組織の設置,運営等に関する事項は,別に定める。
第3章 教育研修
(教育研修)
第8条 総括保護管理者は,保有個人情報の取扱いに従事する職員に対し,保有個人情報の取扱いについての理解を深め,個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行わなければならない。
2 総括保護管理者は,保有個人情報を取り扱う情報システム(以下「情報システム」という。)の管理に関する事務に従事する職員に対し,保有個人情報の適切な管理を目的として,情報システムの管理,運用及びセキュリティ対策に関して必要な教育研修を行わなければならない。
3 保護管理者は,所属職員が前2項に規定する教育研修に参加することができるよう必要な措置を講じなければならない。
第4章 職員の責務
(職員の責務)
第9条 職員は,法の趣旨に則り,関連する法令等の定め並びに総括保護管理者,保護管理者及び保護担当者の指示に従い,保有個人情報を適切に取り扱わなければならない。
第5章 保有個人情報の取扱い
(アクセス制限)
第10条 保護管理者は,保有個人情報の秘匿性,特定の個人の識別の容易性,要配慮個人情報の有無,漏えい等が発生した場合に生じうる被害の性質及び程度その他の性質及び内容(以下「秘匿性等」という。)に応じて,当該保有個人情報にアクセスする権限を有する職員の範囲及び権限の内容を,当該職員が業務を行う上で必要最小限の範囲に限定しなければならない。
2 保有個人情報にアクセスする権限を有しない職員は,当該保有個人情報にアクセスしてはならない。
3 職員は,保有個人情報にアクセスする権限を有する場合であっても,業務上の目的以外の目的で,又は,業務を行うのに必要な限度を超えて,当該保有個人情報にアクセスしてはならない。
(複製等の制限)
第11条 保護管理者は,職員が業務上の目的で保有個人情報を取り扱う場合であっても,次に掲げる行為については,当該保有個人情報の秘匿性等に応じて,これらの行為を行うことができる場合を必要最小限の範囲に限定しなければならない。
(1) 保有個人情報の複製
(2) 保有個人情報の送信
(3) 保有個人情報が記録されている媒体の外部への送付又は持出し
(4) その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為
2 職員は,前項の規定にかかる保護管理者の指示に従わなければならない。
(誤りの訂正等)
第12条 職員は,保有個人情報の内容に誤り等を発見したときは,保護管理者の指示に従い,訂正等を行わなければならない。
(媒体の管理等)
第13条 職員は,保護管理者の指示に従い,保有個人情報が記録されている媒体(以下「保有個人情報記録媒体」という。)を定められた場所に保管しなければならない。
2 前項の場合において,保護管理者は,必要があると認めるときは,職員に対し,保有個人情報記録媒体を耐火金庫,施錠ができる什器等に保管するよう指示しなければならない。
3 保有個人情報記録媒体を外部へ送付し,又は,持ち出す場合は,保護管理者は,パスワード,生体情報等を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講じなければならない。ただし,これらの措置を講じなくとも当該保有個人情報の管理の安全性が十分確保されていると認められるときは,この限りでない。
(誤送付等の防止)
第14条 保護管理者は,保有個人情報を含む電磁的記録又は保有個人情報記録媒体の誤送信・誤送付,誤交付又はウェブサイト等への誤掲載を防止するため,個別の事務・事業において取り扱う個人情報の秘匿性等に応じて,複数の職員による確認,チェックリストの作成・活用等,必要な措置を講じなければならない。
(廃棄等)
第15条 職員は,保有個人情報又は保有個人情報記録媒体が,保存すべき年限を経過し不要となった場合は,保護管理者の指示に従い,当該保有個人情報の復元又は判読が不可能となる方法により当該保有個人情報の消去又は当該保有個人情報記録媒体の廃棄を行わなければならない。
2 前項の場合において,保有個人情報の消去又は保有個人情報記録媒体の廃棄を委託するときは,保護管理者は,必要に応じて,職員を当該消去若しくは当該廃棄の作業に立ち会わせ,又は,受託者から写真等を付した消去若しくは廃棄を証明する書類を徴する等の措置を講じ,受託者において消去又は廃棄が確実に行われていることを確認しなければならない。
(保有個人情報の取扱状況の記録)
第16条 保護管理者は,保有個人情報の秘匿性等に応じて,保有個人情報取扱台帳(様式第1号)を整備し,当該保有個人情報の利用,保管等の取扱いの状況について記録しなければならない。
2 前項の保有個人情報取扱台帳は,同項の保有個人情報について,法第75条第1項に定める個人情報ファイル簿又は小松島市個人情報の保護に関する法律施行条例(令和4年小松島市条例第37号)第3条第1項の規定による帳簿を作成している場合は,これらをもって代えることができる。
第6章 情報システムにおける安全の確保等
(アクセス制御)
第17条 保護管理者は,保有個人情報(情報システムで取り扱うものに限る。この章(第25条を除く。)において同じ。)の秘匿性等に応じて,認証機能を設定する等,アクセス制御のために必要な措置を講じなければならない。
(アクセス記録)
第18条 保護管理者は,保有個人情報の秘匿性等に応じ,情報システムの管理者と連携して当該保有個人情報へのアクセス状況を記録し,不適切なアクセスが行われないよう監視をしなければならない。
2 保護管理者は,前項の規定による記録を一定の期間保存し,アクセス記録の定期的な分析等,アクセス制御の適切な運用を図るために必要な措置を講じなければならない。
(外部からの不正アクセスの防止)
第19条 保護管理者及び情報システムの管理者は,情報システムへの外部からの不正アクセスを防止するため,経路制御等の情報セキュリティ対策を講じなければならない。
(不正プログラムによる漏えい等の防止)
第20条 保護管理者及び情報システムの管理者は,不正プログラムによる保有個人情報の漏えい等を防止するため,不正プログラムの感染防止等に必要な措置を講じなければならない。
(機器等の接続制限)
第21条 職員は,USBメモリ等,記録機能を有する機器及び媒体を情報システムの処理を行う端末(以下「情報システム端末」という。)等へ接続しようとするときは,保護管理者の指示に従わなければならない。
(端末の限定)
第22条 保護管理者は,保有個人情報の秘匿性等に応じて,情報システム端末を限定しなければならない。
(端末の盗難防止等)
第23条 保護管理者は,情報システム端末の盗難及び紛失を防止するため,情報システム端末の固定,執務室の施錠等,必要な措置を講じなければならない。
2 職員は,保護管理者が必要であると認めるときを除き,情報システム端末を外部に持ち出してはならない。
(第三者の閲覧防止)
第24条 職員は,情報システム端末を使用するときは,保有個人情報を第三者に閲覧されることがないよう,使用状況に応じて情報システムからログオフすることを徹底する等,必要な措置を行わなければならない。
(入力情報の照合等)
第25条 職員は,情報システムで取り扱う保有個人情報の重要度に応じて,入力内容と入力原票との照合,処理前後の当該保有個人情報の内容の確認等,保有個人情報の正確性を確保するために必要な措置を行わなければならない。
(バックアップ)
第26条 保護管理者は,保有個人情報の重要度に応じて,バックアップを作成し,当該保有個人情報の紛失等を防止するための措置を講じなければならない。
第7章 情報システム室等の安全管理
(入退管理)
第27条 保有個人情報を取り扱う基幹的なサーバ等の機器を設置する室その他の区域(以下「情報システム室等」という。)を管理する課等の長(以下「情報システム室等管理課長」という。)は,当該情報システム室等に立ち入る権限を付与する者を定めるとともに,用件の確認,入退の記録,部外者の識別化,部外者が立ち入る場合の職員の立会い又は監視設備による監視,外部電磁的記録媒体等の持込み,利用及び持出しの制限又は検査等の措置を講じなければならない。
(情報システム室等の管理)
第28条 情報システム室等管理課長は,外部からの不正な侵入に備え,情報システム室等に施錠装置,警報装置及び監視設備の設置等の措置を講じなければならない。
第29条 情報システム室等管理課長は,災害等に備え,必要に応じて,情報システム室等に防火,防煙,防水等の措置を講じるとともに,サーバ等の機器の予備電源の確保,配線の損傷防止等の措置を講じなければならない。
第8章 保有個人情報の提供
(行政機関等以外の者に対する保有個人情報の提供)
第30条 保護管理者は,法第69条第2項第3号又は第4号の規定に基づき行政機関等以外の者に保有個人情報を提供する場合は,同法第70条の規定に基づき,原則として,提供先における利用目的,利用する業務の根拠法令,利用する記録範囲及び記録項目,利用形態等についての誓約書(電磁的記録を含む。)を当該提供先から徴するものとする。
第31条 保護管理者は,法第69条第2項第3号又は第4号の規定に基づき行政機関等以外の者に保有個人情報を提供する場合は,同法第70条の規定に基づき,提供先に対し,当該保有個人情報の漏えいの防止その他の個人情報の適切な管理のために必要な措置を講じることを求めるとともに,必要があると認めるときは,提供の前又は随時に実地調査等を行い,当該措置の状況を確認し,必要に応じて改善の要求等を行うものとする。
(他の行政機関等に対する保有個人情報の提供)
第32条 保護管理者は,法第69条第2項第3号の規定に基づき他の行政機関等に保有個人情報を提供する場合において必要があると認めるときは,同法第70条の規定に基づき,前2条に規定する措置を講じるものとする。
第9章 個人情報の取扱いの委託
(委託先の選定)
第33条 保護管理者は,個人情報の取扱いに係る業務を外部に委託する場合は,個人情報の適切な管理を行う能力を有しない者を選定することがないよう,委託先の選定基準の整備等,必要な措置を講じなければならない。
(契約書の記載事項等)
第34条 保護管理者は,個人情報の取扱いに係る業務を外部に委託する場合は,契約書に次に掲げる事項を記載するとともに,委託先に対し,委託先における責任者及び業務従事者の管理体制及び実施体制,個人情報の管理状況についての検査に関する事項その他必要な事項を明記した書面(電磁的記録を含む。)の提出を求めなければならない。
(1) 個人情報に関する秘密の保持,利用目的以外の目的のための利用の禁止等の義務
(2) 再委託の制限,再委託の際の事前承認等再委託に係る条件に関する事項
(3) 個人情報の複製等の制限に関する事項
(4) 個人情報の安全管理措置に関する事項
(5) 個人情報の漏えい等の事案が発生した場合における対応に関する事項
(6) 委託業務終了時における個人情報の消去及び媒体の返却に関する事項
(7) 法令及び契約に違反した場合における契約解除,損害賠償責任その他必要な事項
(8) 契約内容の遵守状況についての定期的な報告に関する事項及び委託先における個人情報の取扱状況を把握するための監査等に関する事項(再委託先の監査等に関する事項を含む。)
(委託の範囲)
第35条 保護管理者は,個人情報の取扱いに係る業務を外部に委託する場合は,取扱いを委託する個人情報の範囲を,委託する業務を行うのに必要最小限なものとしなければならない。
(委託先の検査)
第36条 保護管理者は,個人情報の取扱いに係る業務を外部に委託する場合は,委託する個人情報の秘匿性等に応じて,委託先における作業の管理体制及び実施体制並びに個人情報の管理状況について,少なくとも年1回以上,実地検査等の方法により確認しなければならない。
(保有個人情報の加工)
第38条 保護管理者は,個人情報の取扱いに係る業務を外部に委託する場合は,委託先における利用目的,委託する業務の内容,保有個人情報の秘匿性等を考慮し,必要に応じて,特定の個人を識別することができる記載の全部若しくは一部を削除し,又は別の記号等に置き換える等の措置を講じるものとする。
第10章 安全管理上の問題への対応
(事案の報告)
第39条 保有個人情報の漏えい等安全管理上問題となる事案が発生し,又は発生するおそれがあるときは,当該事案等を認識した職員は,直ちに当該保有個人情報を管理する保護管理者に報告しなければならない。この場合において,当該職員は,当該事案等にかかる事実確認(時間を要しないものを除く。)より,当該保護管理者への報告を優先しなければならない。
(被害拡大防止等のための措置)
第40条 保護管理者は,前条の規定による報告を受けたときは,速やかに被害の拡大防止及び復旧等のために必要な措置を講じなければならない。ただし,外部からの不正アクセス又は不正プログラムの感染が疑われる端末等のLANケーブルを抜く等,被害拡大防止のため直ちに行うことができる措置については,直ちに行わなければならない。
(総括保護管理者への報告)
第41条 保護管理者は,第39条の規定による報告を受けたときは,事案発生等の経緯,被害の状況等を調査し,総括保護管理者に報告しなければならない。ただし,当該事案等が特に重大なものと認められる場合は,直ちに総括保護管理者に当該事案等の内容等を報告しなければならない。
(市長への報告)
第42条 総括保護管理者は,前条の規定による報告を受けたときは,事案等の内容等に応じて,速やかに当該事案等の内容,経緯,被害の状況等を市長に報告しなければならない。
(再発防止のための措置)
第43条 保護管理者は,保有個人情報の漏えい等安全管理上問題となる事案が発生したときは,その原因を分析し,総括保護管理者の指示に従い,再発防止のために必要な措置を講じるとともに,同種の業務を実施している課等とともに当該措置を共有しなければならない。
(公表等)
第45条 市の機関は,保有個人情報の漏えい等が生じた場合は,法第68条第1項の規定による委員会への報告及び同条第2項の規定による本人への通知を要しない事案等であっても,当該事案等の内容,影響等に応じて,事実関係及び再発防止策の公表,当該事案等に係る保有個人情報の本人への連絡等の措置を講じるものとする。
第11章 監査及び点検の実施
(点検)
第47条 保護管理者は,各課等における保有個人情報の記録媒体,処理経路,保管方法等について,定期的に,及び必要に応じ随時に点検を行い,必要があると認められるときは,その結果を総括保護管理者に報告しなければならない。
(評価及び見直し)
第48条 総括保護管理者及び保護管理者は,監査又は点検の結果等を踏まえ,実効性等の観点から保有個人情報の適切な管理のための措置について評価し,必要があると認められるときは,その見直し等の措置を講じなければならない。
附則
この訓令は,令和5年4月1日から施行する。