亘理町個人情報等の取扱いに関する管理規程

○亘理町個人情報等の取扱いに関する管理規程

令和5年3月31日

訓令第3号

(趣旨)

第1条　この規程は、町長が取り扱う個人情報の保護について、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)及び亘理町個人情報の保護に関する法律施行条例(令和4年亘理町条例第22号。以下「条例」という。)に定めるもののほか、町が保有する個人情報及び特定個人情報の適正な管理に関し必要な事項を定めるものとする。

(定義)

第2条　この規程において、次に掲げる用語の意義は、当該各号に定めるところによる。

(1)　個人情報　条例第2条に規定する個人情報をいう。

(2)　個人番号　行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第2条第5項に規定する個人番号をいう。

(3)　特定個人情報　番号法第2条第8項に規定する特定個人情報をいう。

(4)　個人情報等　町が保有する個人情報及び特定個人情報をいう。

(5)　実施機関　条例第2条第2項に規定する実施機関をいう。

(6)　セキュリティポリシー　亘理町情報セキュリティポリシーをいう。

(統括保護管理者)

第3条　町長は、個人情報等の適正な管理を図るため、個人情報統括保護管理者(以下「保護管理者」という。)を置き、副町長の職にある者をもって充てる。

2　保護管理者は、個人情報等の管理に関する事務を総括する。

(取扱責任者)

第4条　保護管理者の事務を補助するため、個人情報等取扱責任者(以下「取扱責任者」という。)を置き、所属長をもって充てる。

2　取扱責任者は、その所管する所属部署で取り扱う個人情報等の適切な管理のために、次の各号に定める事務を行うものとする。

(1)　法第75条に規定する個人情報ファイル簿の作成、登録、変更、及び抹消に係る必要な事務

(2)　個人情報等の適正な取扱い及び保管に係る必要な事務

(監査責任者)

第5条　町長は、個人情報等の管理の状況について監査させるために監査責任者を置き、総務課長をもって充てる。

(特定個人情報システム管理者)

第6条　情報システムを管理する課に特定個人情報システム管理者(以下「システム管理者」という。)を置き、企画課長をもって充てる。

2　特定個人情報システム管理者は、個人情報等のうち情報システムで取り扱うものについての安全の確保について必要な措置を講ずる。

(管理体制)

第7条　保護管理者は、次に掲げる組織体制を整備する。

(1)　職員が法、番号法、条例及びこの規程に違反している事実又は兆候を把握したときの取扱責任者及び保護管理者への報告連絡体制に関すること。

(2)　個人情報等の漏えい、滅失又は毀損(以下「情報漏えい等」という。)の事案の発生若しくは兆候を把握したときの保護管理者等への報告体制、対応体制、手順等に関すること。

(3)　個人情報等を複数の課等で取り扱う場合の各課等の任務分担及び責任の明確化

(研修)

第8条　保護管理者は、個人情報等の取扱事務に従事する職員に対し、個人情報等の取扱いに関する理解を深め、個人情報保護に対する意識づけを目的とした職員研修等を実施する。

(職員の責務)

第9条　職員は、法、番号法及び条例の規定にのっとり、保護管理者、取扱責任者の指示に従い、個人情報等を取り扱わなければならない。

(個人番号の利用の制限等)

第10条　実施機関の長は、個人番号を利用するときは、番号法に定められた事務(以下「個人番号利用事務」という。)に限定しなければならない。

2　実施機関の長は、個人番号利用事務を処理するために必要な場合その他番号法で定める場合を除き、個人番号の提供を求めてはならない。

3　実施機関の長は、個人番号利用事務を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイル(番号法第2条第9項に規定する特定個人情報ファイルをいう。)を作成してはならない。

(特定個人情報を利用する権限の制限)

第11条　取扱責任者は、特定個人情報を利用する権限(紙等に記録されている特定個人情報に接する行為を含む。以下同じ。)を有する職員とその権限の内容を、当該職員が業務を行う上で必要最小限の範囲にとどめなければならない。

(複製等の制限)

第12条　職員は、業務上の目的で個人情報等を取り扱う場合であっても、次に掲げる行為については、取扱責任者の指示に従わなければならない。

(1)　個人情報等の複製

(2)　個人情報等の送信

(3)　個人情報等が記録されている媒体(紙、磁気ディスク、光ディスクその他の情報を記録する媒体をいう。以下「記録媒体」という。)の外部への送付又は持出し

(4)　その他個人情報等の適切な管理に支障を及ぼすおそれのある行為

(情報システムにおける個人情報等の処理)

第13条　職員は、個人情報等について一時的に加工等の処理を行うために複製等を行う場合は、その対象を必要最小限にとどめ、処理終了後は不要となった情報を速やかに消去しなければならない。この場合において、取扱責任者は、当該個人情報等の内容に応じて、随時、消去等の実施状況を重点的に確認しなければならない。

(誤りの訂正等)

第14条　職員は、個人情報等の内容に誤り等を発見した場合には、取扱責任者の指示に従い、訂正等を行わなければならない。

(廃棄等)

第15条　職員は、個人情報等(電子計算機及びネットワークサーバに内蔵されているものを含む。)が不要になったときは、取扱責任者の指示に従い、当該個人情報等の復元又は判読が不可能な方法により当該情報の消去又は当該記録媒体の廃棄を行わなければならない。

(セキュリティポリシーに準じた措置)

第16条　システム管理者は、次の各号に掲げる事項について、セキュリティポリシーに準じた措置を講じなければならない。

(1)　個人情報等を取り扱うサーバ等の機器を設置する部屋及び記録媒体の保管庫への入退室等に関すること。

(2)　個人情報等(情報システムで取り扱うものに限る。)の漏えい等の防止のため、記録媒体のシステム端末等への接続の制限に関すること。

(3)　個人情報等を取り扱う情報システムへの外部からの不正アクセス防止に関すること。

(4)　不正プログラムによる個人情報等の漏えい防止に関すること。

2　取扱責任者及び職員は、次の各号に掲げる事項について、セキュリティポリシーに準じた措置を講じなければならない。

(1)　個人情報等の処理を行う端末機器を限定し、その盗難又は紛失の防止に関すること。

(2)　個人情報等の暗号化に関すること。

(3)　個人情報等の内容に応じた、パスワード、ICカード、生体情報等を使用して権限を識別する機能を設定する等のアクセス制御に関すること。

(4)　個人情報等へのアクセス状況の管理に関すること。

(5)　記録媒体を定められた場所に保管し、必要があると認めるときは、耐火金庫へ保管し、施錠等を行うこと。なお、記録媒体を移動させる場合には、紛失、盗難等に注意しなければならない。

(個人情報等の提供)

第17条　保護管理者は、法第69条第2項第2号及び同項第3号の規定に基づき他の実施機関、国、独立行政法人等、他の地方公共団体又は地方独立行政法人に町が個人情報(特定個人情報を除く。以下この条において同じ。)を提供する場合において、原則として提供先における利用目的、利用する業務の根拠法令、利用する記録範囲及び記録項目並びに利用形態について書面を取り交わさなければならない。この場合において、保護管理者は、個人情報の提供先に対して安全確保の措置を要求するとともに、必要があると認めるときは、提供前又は随時に実地の調査等を行い、措置状況を確認してその結果を記録し、及び改善要求等の措置を講ずることができる。

(業務の委託等)

第18条　個人情報等の取扱いに係る業務を外部に委託する場合には、個人情報等の適切な管理を行う能力を有する者を選定しなければならない。

2　個人情報等の取扱いに係る業務を外部に委託する場合には、次に掲げる事項を明記するとともに、委託先における責任者及び業務実施者の管理体制及び実施体制、個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認しなければならない。

(1)　個人情報等に関する秘密保持、目的外利用の寄進等の義務に関する事項

(2)　個人情報等の複製、持出し等の制限に関する事項

(3)　再委託の制限又は事前承認等再委託に係る条件に関する事項

(4)　個人情報等の漏えい等の事案の発生時における対応に関する事項

(5)　委託終了時における個人情報等の消去及び媒体の返却に関する事項

(6)　違反した場合における契約解除の措置、損害賠償責任その他必要な事項

(7)　従業者に対する監督及び教育に関する事項

3　個人情報等の取扱いに係る業務を外部に委託する場合には、委託先における個人情報の管理の状況について、年1回以上の定期検査等により確認するものとする。

4　委託先において、個人情報等の取扱いに係る業務が再委託される場合には、委託先に対し第1項に規定する措置を講じさせるとともに、委託先を通じて又は委託元自らが前項に規定する措置を実施するものとする。個人情報等の取扱いに係る業務について再委託先が再々委託を行う場合以降も同様とする。

(事案の報告及び再発防止措置)

第19条　個人情報等の漏えいその他安全確保の上で問題となる事案の発生又は発生のおそれを認識した職員は、その事実確認を行う前直ちに当該個人情報等を管理する取扱責任者に報告しなければならない。

2　取扱責任者は、被害の拡大防止及び復旧等のために必要な措置を速やかに講ずるものとする。ただし、外部からの不正アクセス又は不正プログラムの感染が疑われる場合は、当該端末機器のLANケーブルを抜くこと等、被害拡大防止のために行い得る措置を直ちに行うものとする。

3　取扱責任者は、事案の発生した経緯、被害状況等を調査し、保護管理者に直ちに報告しなければならない。

4　保護管理者は、前項の規定に基づく報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を町長に速やかに報告しなければならない。

5　取扱責任者は、事案の発生した原因を分析し、再発防止のために必要な措置を講じなければならない。

(公表等)

第20条　保護管理者は、前条に係る事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る個人情報等の本人への対応等の措置を講じなければならない。

(個人情報保護委員会への報告)

第21条　個人情報等の漏えい、滅失、毀損その他番号法違反の事案又は番号法違反のおそれがある事案が発生した場合には、町長は、行政手続における特定の個人を識別するための番号の利用等に関する法律第29条の4第1項及び第2項に基づく特定個人情報の漏えい等に関する報告等に関する規則(平成27年特定個人情報保護委員会規則第5号)及び独立行政法人等及び地方公共団体における特定個人情報の漏えい事案等が発生した場合の対応について(平成27年特定個人情報保護委員会告示第1号)の規定に基づき、法第68条に規定する個人情報保護委員会に報告しなければならない。

2　前項に規定する場合、町長は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事案が発生した旨を通知しなければならない。ただし、次の各号のいずれかに該当するときは、この限りでない。

(1)　本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき。

(2)　当該保有個人情報に法第78条第1項各号に掲げる情報のいずれかが含まれるとき。

(監査)

第22条　監査責任者は、個人情報等の適切な管理及び利用状況を検証するため、各所属における個人情報等の管理の状況について、定期及び必要に応じ随時に監査を行い、その結果を保護管理者に報告するものとする。

(点検)

第23条　取扱責任者は、各所属における個人情報等の記録媒体、処理経路、保管方法等について、定期及び必要に応じ随時に点検を行い、必要があると認めるときは、その結果を保護管理者に報告するものとする。

(評価及び見直し)

第24条　保護管理者は、監査又は点検の結果を踏まえ、実効性等の観点から個人情報等の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を行うものとする。

(その他)

第25条　この規程に定めるもののほか、個人情報等の適正な管理に関し必要な事項は別に定める。

附則

(施行期日)

1　この訓令は、令和5年4月1日から施行する。

(亘理町特定個人情報の取扱いに関する管理規程の廃止)

2　亘理町特定個人情報の取扱いに関する管理規程(平成29年亘理町訓令第6号)は、廃止する。