(趣旨)

第1条　この訓令は，個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第66条第1項の規定により，市の機関(議会を除く。以下同じ。)が保有する個人情報の安全管理のために必要かつ適切な措置を講じることに関し必要な事項を定めるものとする。

(定義)

第2条　この訓令における用語の意義は，法の例による。

(総括保護管理者)

第3条　市に，総括保護管理者を置き，副市長をもって充てる。

(保護管理者)

第4条　保有個人情報を取り扱う各課等(市長部局にあっては課，環境衛生センター，保健センター及び競輪局を，会計課，水道部及び教育委員会にあっては課を，選挙管理委員会，監査委員及び農業委員会にあっては事務局を，消防本部にあっては課及び消防署をいう。以下同じ。)に，保護管理者1名を置き，当該課等の長をもって充てる。

(保護担当者)

第5条　保有個人情報を取り扱う各課等に，保護担当者を置く。

(監査責任者)

第6条　市に，監査責任者を置き，総務部長をもって充てる。

(内部組織による会議)

第7条　総括保護管理者は，保有個人情報の管理に係る重要事項の決定，連絡・調整等を行うため必要があると認めるときは，関係職員で構成する内部組織の会議を開く。

(教育研修)

第8条　総括保護管理者は，保有個人情報の取扱いに従事する職員に対し，保有個人情報の取扱いについての理解を深め，個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行わなければならない。

(職員の責務)

第9条　職員は，法の趣旨に則り，関連する法令等の定め並びに総括保護管理者，保護管理者及び保護担当者の指示に従い，保有個人情報を適切に取り扱わなければならない。

(アクセス制限)

第10条　保護管理者は，保有個人情報の秘匿性，特定の個人の識別の容易性，要配慮個人情報の有無，漏えい等が発生した場合に生じうる被害の性質及び程度その他の性質及び内容(以下「秘匿性等」という。)に応じて，当該保有個人情報にアクセスする権限を有する職員の範囲及び権限の内容を，当該職員が業務を行う上で必要最小限の範囲に限定しなければならない。

(複製等の制限)

第11条　保護管理者は，職員が業務上の目的で保有個人情報を取り扱う場合であっても，次に掲げる行為については，当該保有個人情報の秘匿性等に応じて，これらの行為を行うことができる場合を必要最小限の範囲に限定しなければならない。

(誤りの訂正等)

第12条　職員は，保有個人情報の内容に誤り等を発見したときは，保護管理者の指示に従い，訂正等を行わなければならない。

(媒体の管理等)

第13条　職員は，保護管理者の指示に従い，保有個人情報が記録されている媒体(以下「保有個人情報記録媒体」という。)を定められた場所に保管しなければならない。

(誤送付等の防止)

第14条　保護管理者は，保有個人情報を含む電磁的記録又は保有個人情報記録媒体の誤送信・誤送付，誤交付又はウェブサイト等への誤掲載を防止するため，個別の事務・事業において取り扱う個人情報の秘匿性等に応じて，複数の職員による確認，チェックリストの作成・活用等，必要な措置を講じなければならない。

(廃棄等)

第15条　職員は，保有個人情報又は保有個人情報記録媒体が，保存すべき年限を経過し不要となった場合は，保護管理者の指示に従い，当該保有個人情報の復元又は判読が不可能となる方法により当該保有個人情報の消去又は当該保有個人情報記録媒体の廃棄を行わなければならない。

(保有個人情報の取扱状況の記録)

第16条　保護管理者は，保有個人情報の秘匿性等に応じて，保有個人情報取扱台帳(様式第1号)を整備し，当該保有個人情報の利用，保管等の取扱いの状況について記録しなければならない。

(アクセス制御)

第17条　保護管理者は，保有個人情報(情報システムで取り扱うものに限る。この章(第25条を除く。)において同じ。)の秘匿性等に応じて，認証機能を設定する等，アクセス制御のために必要な措置を講じなければならない。

(アクセス記録)

第18条　保護管理者は，保有個人情報の秘匿性等に応じ，情報システムの管理者と連携して当該保有個人情報へのアクセス状況を記録し，不適切なアクセスが行われないよう監視をしなければならない。

(外部からの不正アクセスの防止)

第19条　保護管理者及び情報システムの管理者は，情報システムへの外部からの不正アクセスを防止するため，経路制御等の情報セキュリティ対策を講じなければならない。

(不正プログラムによる漏えい等の防止)

第20条　保護管理者及び情報システムの管理者は，不正プログラムによる保有個人情報の漏えい等を防止するため，不正プログラムの感染防止等に必要な措置を講じなければならない。

(機器等の接続制限)

第21条　職員は，USBメモリ等，記録機能を有する機器及び媒体を情報システムの処理を行う端末(以下「情報システム端末」という。)等へ接続しようとするときは，保護管理者の指示に従わなければならない。

(端末の限定)

第22条　保護管理者は，保有個人情報の秘匿性等に応じて，情報システム端末を限定しなければならない。

(端末の盗難防止等)

第23条　保護管理者は，情報システム端末の盗難及び紛失を防止するため，情報システム端末の固定，執務室の施錠等，必要な措置を講じなければならない。

(第三者の閲覧防止)

第24条　職員は，情報システム端末を使用するときは，保有個人情報を第三者に閲覧されることがないよう，使用状況に応じて情報システムからログオフすることを徹底する等，必要な措置を行わなければならない。

(入力情報の照合等)

第25条　職員は，情報システムで取り扱う保有個人情報の重要度に応じて，入力内容と入力原票との照合，処理前後の当該保有個人情報の内容の確認等，保有個人情報の正確性を確保するために必要な措置を行わなければならない。

(バックアップ)

第26条　保護管理者は，保有個人情報の重要度に応じて，バックアップを作成し，当該保有個人情報の紛失等を防止するための措置を講じなければならない。

(入退管理)

第27条　保有個人情報を取り扱う基幹的なサーバ等の機器を設置する室その他の区域(以下「情報システム室等」という。)を管理する課等の長(以下「情報システム室等管理課長」という。)は，当該情報システム室等に立ち入る権限を付与する者を定めるとともに，用件の確認，入退の記録，部外者の識別化，部外者が立ち入る場合の職員の立会い又は監視設備による監視，外部電磁的記録媒体等の持込み，利用及び持出しの制限又は検査等の措置を講じなければならない。

(情報システム室等の管理)

第28条　情報システム室等管理課長は，外部からの不正な侵入に備え，情報システム室等に施錠装置，警報装置及び監視設備の設置等の措置を講じなければならない。

第29条　情報システム室等管理課長は，災害等に備え，必要に応じて，情報システム室等に防火，防煙，防水等の措置を講じるとともに，サーバ等の機器の予備電源の確保，配線の損傷防止等の措置を講じなければならない。

(行政機関等以外の者に対する保有個人情報の提供)

第30条　保護管理者は，法第69条第2項第3号又は第4号の規定に基づき行政機関等以外の者に保有個人情報を提供する場合は，同法第70条の規定に基づき，原則として，提供先における利用目的，利用する業務の根拠法令，利用する記録範囲及び記録項目，利用形態等についての誓約書(電磁的記録を含む。)を当該提供先から徴するものとする。

第31条　保護管理者は，法第69条第2項第3号又は第4号の規定に基づき行政機関等以外の者に保有個人情報を提供する場合は，同法第70条の規定に基づき，提供先に対し，当該保有個人情報の漏えいの防止その他の個人情報の適切な管理のために必要な措置を講じることを求めるとともに，必要があると認めるときは，提供の前又は随時に実地調査等を行い，当該措置の状況を確認し，必要に応じて改善の要求等を行うものとする。

(他の行政機関等に対する保有個人情報の提供)

第32条　保護管理者は，法第69条第2項第3号の規定に基づき他の行政機関等に保有個人情報を提供する場合において必要があると認めるときは，同法第70条の規定に基づき，前2条に規定する措置を講じるものとする。

(委託先の選定)

第33条　保護管理者は，個人情報の取扱いに係る業務を外部に委託する場合は，個人情報の適切な管理を行う能力を有しない者を選定することがないよう，委託先の選定基準の整備等，必要な措置を講じなければならない。

(契約書の記載事項等)

第34条　保護管理者は，個人情報の取扱いに係る業務を外部に委託する場合は，契約書に次に掲げる事項を記載するとともに，委託先に対し，委託先における責任者及び業務従事者の管理体制及び実施体制，個人情報の管理状況についての検査に関する事項その他必要な事項を明記した書面(電磁的記録を含む。)の提出を求めなければならない。

(委託の範囲)

第35条　保護管理者は，個人情報の取扱いに係る業務を外部に委託する場合は，取扱いを委託する個人情報の範囲を，委託する業務を行うのに必要最小限なものとしなければならない。

(委託先の検査)

第36条　保護管理者は，個人情報の取扱いに係る業務を外部に委託する場合は，委託する個人情報の秘匿性等に応じて，委託先における作業の管理体制及び実施体制並びに個人情報の管理状況について，少なくとも年1回以上，実地検査等の方法により確認しなければならない。

(再委託の場合の措置)

第37条　委託先が個人情報の取扱いに係る業務を再委託する場合は，保護管理者は，委託先に第33条及び第34条に規定する措置を講じさせるとともに，再委託される個人情報の秘匿性等に応じて，委託先を通じて又は保護管理者が前条に規定する措置を講じなければならない。再委託先が再々委託を行う場合以降も同様とする。

(保有個人情報の加工)

第38条　保護管理者は，個人情報の取扱いに係る業務を外部に委託する場合は，委託先における利用目的，委託する業務の内容，保有個人情報の秘匿性等を考慮し，必要に応じて，特定の個人を識別することができる記載の全部若しくは一部を削除し，又は別の記号等に置き換える等の措置を講じるものとする。

(事案の報告)

第39条　保有個人情報の漏えい等安全管理上問題となる事案が発生し，又は発生するおそれがあるときは，当該事案等を認識した職員は，直ちに当該保有個人情報を管理する保護管理者に報告しなければならない。この場合において，当該職員は，当該事案等にかかる事実確認(時間を要しないものを除く。)より，当該保護管理者への報告を優先しなければならない。

(被害拡大防止等のための措置)

第40条　保護管理者は，前条の規定による報告を受けたときは，速やかに被害の拡大防止及び復旧等のために必要な措置を講じなければならない。ただし，外部からの不正アクセス又は不正プログラムの感染が疑われる端末等のLANケーブルを抜く等，被害拡大防止のため直ちに行うことができる措置については，直ちに行わなければならない。

(総括保護管理者への報告)

第41条　保護管理者は，第39条の規定による報告を受けたときは，事案発生等の経緯，被害の状況等を調査し，総括保護管理者に報告しなければならない。ただし，当該事案等が特に重大なものと認められる場合は，直ちに総括保護管理者に当該事案等の内容等を報告しなければならない。

(市長への報告)

第42条　総括保護管理者は，前条の規定による報告を受けたときは，事案等の内容等に応じて，速やかに当該事案等の内容，経緯，被害の状況等を市長に報告しなければならない。

(再発防止のための措置)

第43条　保護管理者は，保有個人情報の漏えい等安全管理上問題となる事案が発生したときは，その原因を分析し，総括保護管理者の指示に従い，再発防止のために必要な措置を講じるとともに，同種の業務を実施している課等とともに当該措置を共有しなければならない。

(法に基づく報告等)

第44条　保有個人情報の漏えい等が生じた場合であって，法第68条第1項の規定による個人情報保護委員会(以下「委員会」という。)への報告及び同条第2項の規定による本人への通知を要するときは，保護管理者及び第39条に規定する職員は，同条から前条までの規定による対応と並行して，速やかに所定の手続を行うとともに，委員会による事案の把握等に協力しなければならない。

(公表等)

第45条　市の機関は，保有個人情報の漏えい等が生じた場合は，法第68条第1項の規定による委員会への報告及び同条第2項の規定による本人への通知を要しない事案等であっても，当該事案等の内容，影響等に応じて，事実関係及び再発防止策の公表，当該事案等に係る保有個人情報の本人への連絡等の措置を講じるものとする。

(監査)

第46条　監査責任者は，保有個人情報の適切な管理を検証するため，第2章から前章までの規定による措置の状況を含む市の機関における保有個人情報の管理の状況について，定期的に，及び必要に応じ随時に監査を行い，その結果を総括保護管理者に報告しなければならない。

(点検)

第47条　保護管理者は，各課等における保有個人情報の記録媒体，処理経路，保管方法等について，定期的に，及び必要に応じ随時に点検を行い，必要があると認められるときは，その結果を総括保護管理者に報告しなければならない。

(評価及び見直し)

第48条　総括保護管理者及び保護管理者は，監査又は点検の結果等を踏まえ，実効性等の観点から保有個人情報の適切な管理のための措置について評価し，必要があると認められるときは，その見直し等の措置を講じなければならない。