○枚方寝屋川消防組合特定個人情報の取扱いに関する管理規程
平成28年9月29日
訓令第6号
第1章 総則
(趣旨)
第1条 この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)に定めるもののほか、枚方寝屋川消防組合(以下「組合」という。)の保有する特定個人情報の適切な管理に関して必要な事項を定めるものとする。
(用語の定義)
第2条 この規程における用語の意義は、番号法に定めるところによる。
第2章 管理体制
(個人番号関係事務の範囲等)
第3条 組合における個人番号関係事務の範囲は、次に掲げるとおりとする。
(1) 職員及び職員の扶養親族に係る次に掲げる事務
ア 給与所得・退職所得に係る源泉徴収事務
イ 共済組合・健康保険等事務
ウ 雇用保険等事務
エ 年金等事務
オ 公務災害・労災保険等事務
カ 財産形成貯蓄等事務
(2) 職員以外の個人に支払われる報酬、謝礼等に係る支払調書作成事務
2 前項の事務において使用する特定個人情報は、次に掲げるとおりとする。
(1) 職員及びその扶養親族から個人番号関係事務を行うことを目的に取得した個人番号及び個人番号と関連付けて管理される個人情報
(2) 職員以外の個人から個人番号関係事務を行うことを目的に取得した個人番号及び個人番号と関連付けて管理される個人情報
(特定個人情報保護管理者)
第4条 組合に特定個人情報保護管理者を置き、総務部長の職にある者をもって充てる。
2 特定個人情報保護管理者は、組合における特定個人情報の取扱いについて統括する権限及び責任を有し、適切に個人番号関係事務を実施することを推進する。
(事務取扱担当課)
第5条 個人番号関係事務を担当する課(以下「事務取扱担当課」という。)は、次に掲げる個人番号関係事務の範囲に応じ、当該各号に定めるとおりとする。
(1) 第3条第1項第1号に掲げる事務 総務部総務管理課並びに消防本部各部の庶務担当課及び各消防署警備課(毎日勤務部署に限る。)
(2) 第3条第1項第2号に掲げる事務 総務部総務管理課
(特定個人情報保護責任者)
第6条 事務取扱担当課に特定個人情報保護責任者を置き、課長の職にある者をもって充てる。
2 特定個人情報保護責任者は、事務取扱担当課における特定個人情報を適切に管理する。
3 特定個人情報保護責任者は、特定個人情報を取り扱う職員(以下「事務取扱担当者」という。)、その役割及び事務取扱担当者が取り扱う特定個人情報の範囲を指定する。
4 特定個人情報保護責任者は、次の各号に掲げる体制を整備する。
(1) 事務取扱担当者が番号法、この規程その他特定個人情報の適切な取扱いに関する法令等の規定(以下「取扱規程等」という。)に違反している事実又は兆候を把握した場合の職員から特定個人情報保護責任者への報告連絡体制
(2) 特定個人情報の漏えい、滅失又はき損等(以下「情報漏えい等」という。)の事案の発生又は兆候を把握した場合の職員から特定個人情報保護責任者への報告連絡体制及び職員の対応体制
(3) 特定個人情報を複数の課で取り扱う場合の各課の任務分担及び責任の明確化
第3章 教育研修
第7条 特定個人情報保護管理者は、特定個人情報の取扱いについて理解を深め、特定個人情報の保護に関する意識の高揚を図るための啓発等を目的として、事務取扱担当者等の職員に必要な教育研修を実施するものとする。
2 特定個人情報保護管理者は、特定個人情報の情報システムにおける適切な管理のために、特定個人情報を取り扱う情報システムの管理に関する事務に従事する職員に対し、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を実施するものとする。
3 特定個人情報保護責任者は、課の職員に対し、特定個人情報の適切な管理のために実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。
第4章 職員の責務
第8条 職員は、取扱規程等に従い、特定個人情報を取り扱わなければならない。
2 職員は、情報漏えい等の事案の発生又は兆候を把握した場合及び事務取扱担当者が取扱規程等に違反している事実又は兆候を把握した場合は、速やかに特定個人情報保護責任者に報告しなければならない。
第5章 特定個人情報の取扱い
(特定個人情報ファイルの作成等の制限)
第9条 職員は、個人番号関係事務を処理する場合を除き、特定個人情報ファイルを作成し、又は保有してはならない。
(アクセス制限)
第10条 事務取扱担当者以外の職員は、特定個人情報にアクセス(紙等に記録されている特定個人情報に接する行為を含む。以下同じ。)してはならない。
2 事務取扱担当者は、業務上の目的以外の目的で特定個人情報にアクセスしてはならない。
(複製等の制限)
第11条 事務取扱担当者は、業務上の目的で特定個人情報を取り扱う場合であっても、次に掲げる行為については、特定個人情報保護責任者の指示に従い行わなければならない。
(1) 特定個人情報の複製
(2) 特定個人情報の送信
(3) 特定個人情報が記録されている媒体の外部への送付又は持ち出し
(4) その他特定個人情報の適切な管理に支障を及ぼすおそれのある行為
(誤りの訂正等)
第12条 事務取扱担当者は、特定個人情報の内容に誤りがあると認めたときは、特定個人情報保護責任者の指示に従い、訂正等を行わなければならない。
(媒体の管理等)
第13条 事務取扱担当者は、特定個人情報保護責任者の指示に従い、特定個人情報が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、施錠できるキャビネット等に保管しなければならない。
(廃棄等)
第14条 事務取扱担当者は、特定個人情報又は特定個人情報が記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合には、特定個人情報保護責任者の指示に従い、当該特定個人情報の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行わなければならない。
(特定個人情報の提供の求めの制限)
第15条 事務取扱担当者は、個人番号関係事務を処理するために必要な場合を除き、特定個人情報及び個人番号の提供を求めてはならない。
(取扱区域)
第16条 特定個人情報保護責任者は、特定個人情報を取り扱う事務を実施する区域を明確にし、物理的な安全管理措置を講じなければならない。
第6章 情報システムにおける安全の確保等
(アクセス制御)
第17条 枚方寝屋川消防組合消防情報システム運用管理規程(平成27年枚方寝屋川消防組合訓令第19号) 第3条第3項に規定するシステム統括管理者(以下「システム統括管理者」という。)は、特定個人情報(情報システムで取り扱うものに限る。次条を除き、この章において同じ。)の秘匿性その他その内容に応じて、パスワード、ICカード及び生体情報等を使用してアクセス権限を識別する機能を設定する等のアクセス制御のために必要な措置を講じなければならない。
(アクセス記録)
第18条 システム統括管理者は、特定個人情報の秘匿性その他その内容に応じて、当該特定個人情報へのアクセス状況を記録し、その記録(以下「アクセス記録」という。)を一定の期間保存し、必要に応じてアクセス記録を分析するものとする。
2 システム統括管理者は、アクセス記録の改ざん、窃取又は不正な消去等の防止のために必要な措置を講じなければならない。
(外部からの不正アクセスの防止)
第19条 システム統括管理者は、特定個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定による経路制御等の必要な措置を講じなければならない。
(不正プログラムによる漏えい等の防止)
第20条 システム統括管理者は、不正プログラムによる特定個人情報の漏えい、滅失又は毀損等の防止のため、コンピュータウイルスの感染防止等に必要な措置を講じなければならない。
(暗号化)
第21条 システム統括管理者は、特定個人情報の秘匿性その他その内容に応じて、その暗号化のために必要な措置を講じなければならない。
(入力情報の照合等)
第22条 事務取扱担当者は、情報システムで取り扱う特定個人情報の重要度に応じて、入力原票と入力内容との照合、処理前後の当該特定個人情報の内容の確認、既存の特定個人情報との照合等を行う。
(バックアップ)
第23条 システム統括管理者は、特定個人情報の重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講じなければならない。
(情報システム設計書等の管理)
第24条 システム統括管理者は、特定個人情報に係る情報システムの設計書、構成図等の文書について外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講じなければならない。
(端末の限定)
第25条 特定個人情報保護責任者は、特定個人情報の秘匿性その他その内容に応じて、その処理を行う端末を限定しなければならない。
(端末の盗難防止等)
第26条 特定個人情報保護責任者は、特定個人情報を取り扱う端末の盗難又は紛失の防止のため、施錠できるキャビネット等への保管、セキュリティーワイヤー等による固定等の必要な措置を講じなければならない。
(第三者の閲覧防止)
第27条 事務取扱担当者は、端末の使用に当たっては、特定個人情報が第三者に閲覧されることがないよう、必要に応じて情報システムからのログオフを徹底する等の必要な措置を講じなければならない。
(記録機能を有する機器・媒体の接続制限)
第28条 システム統括管理者は、特定個人情報の秘匿性その他その内容に応じて、当該特定個人情報の情報漏えい等の防止のため、USBメモリ等の記録機能を有する機器・媒体の情報システム端末等への接続の制限(当該機器の更新への対応を含む。)等の必要な措置を講じなければならない。
第7章 情報システム室等の安全管理
(入退室の管理)
第29条 特定個人情報を取り扱う基幹的なサーバ等の機器を設置するコンピュータ室(以下「コンピュータ室」という。)の管理及びコンピュータ室の入退室の管理等については、枚方寝屋川消防組合消防情報システム運用管理要綱(平成27年枚方寝屋川消防組合要綱第10号。以下「管理要綱」という。)に定める。
2 特定個人情報保護責任者は、特定個人情報を記録する媒体を保管するための施設を設けている場合において必要があると認めるときは、その管理等については、管理要綱に定めるところによらなければならない。
第8章 個人番号関係事務の委託
第30条 特定個人情報保護責任者は、個人番号関係事務を外部に委託しようとする場合には、特定個人情報の取扱いに係る事項について契約書等に記載し、又は別に覚書等を交わさなければならない。
2 特定個人情報保護責任者は、個人番号関係事務の全部又は一部を委託しようとするときは、委託の相手方において、番号法に基づき組合が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。
3 特定個人情報保護責任者は、個人番号関係事務の全部又は一部の委託をしたときは、当該個人番号関係事務の委託を受けた者において、組合が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行い、必要に応じて実地調査を行うものとする。
4 個人番号関係事務の全部又は一部の委託を受けた者(以下この条において「受託者」という。)が再委託をしようとするときは、受託者は、再委託について組合の承諾を受けなければならない。
5 前項の規定により、個人番号関係事務の全部又は一部の再委託について受託者から承諾を求められたときは、特定個人情報保護責任者は、委託をする個人番号関係事務において取り扱う特定個人情報の適切な安全管理が図られることを確認した上で当該再委託の諾否を判断しなければならない。
第9章 安全確保上の問題への対応
(事案の報告及び再発防止措置)
第31条 特定個人情報保護責任者は、第8条第2項の規定による報告を受けた場合は、被害の拡大防止、復旧等のために必要な措置を講じるとともに、事案の発生した経緯、被害状況等を調査し、特定個人情報保護管理者に報告しなければならない。ただし、特に重大と認める場合には、直ちに特定個人情報保護管理者に当該事案の内容等について報告しなければならない。
2 特定個人情報保護管理者は、前項の規定による報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を消防長に速やかに報告しなければならない。
3 第1項の規定による報告を受けた特定個人情報保護管理者は、当該事案の発生した原因を分析し、再発防止のために必要な措置を講じなければならない。
4 特定個人情報保護管理者は、当該事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る特定個人情報の所有者への対応等必要な措置を講じなければならない。
第10章 点検の実施
(点検)
第32条 特定個人情報保護責任者は、自ら管理責任を有する特定個人情報の記録媒体、処理経路、保管方法等について、定期に、又は随時に点検を行い、必要があると認めるときは、その結果を特定個人情報保護管理者に報告しなければならない。
(評価及び見直し)
第33条 特定個人情報保護管理者は、特定個人情報の適切な管理のための措置について、点検の結果等を踏まえ、実効性等の観点から評価し、必要があると認めるときは、その見直し等の措置を講じなければならない。
第11章 その他
(細則)
第34条 この規程に定めるもののほか、この規程の実施のための手続その他必要な事項は、別に定める。
附則
この訓令は、平成28年10月1日から施行する。
附則(令和4年3月31日訓令第5号)
この訓令は、令和4年4月1日から施行する。