○薩摩川内市特定個人情報等の取扱いに関する規程
令和元年9月20日
訓令第1号
(趣旨)
第1条 この訓令は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)に基づき、本市が保有する個人番号及び特定個人情報(以下「特定個人情報等」という。)の取扱いについて、必要な事項を定めるものとする。
(定義)
第2条 この訓令において使用する用語は、番号法、薩摩川内市個人情報保護条例(平成17年薩摩川内市条例第57号)及び薩摩川内市行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく個人番号の利用に関する条例(平成27年薩摩川内市条例第69号。次条において「番号条例」という。)において使用する用語の例による。
(職員の責務)
第3条 本市の実施機関において任用されている全ての職員(以下「職員」という。)は、番号法、番号条例その他特定個人情報等の保護に関して職員が遵守すべき法令(以下「番号法等」という。)及びこの訓令の定めにより、特定個人情報等を取り扱わなければならない。
(特定個人情報等保護総括責任者)
第4条 個人番号利用事務等における特定個人情報等の管理に関する事務を総括するため、特定個人情報等保護総括責任者(以下「総括責任者」という。)を置き、行政管理部長をもって充てる。
(特定個人情報等保護監査責任者)
第5条 特定個人情報等の管理状況について監査を実施するため、特定個人情報等保護監査責任者(以下「監査責任者」という。)を置き、行政経営課長をもって充てる。
(特定個人情報等保護責任者)
第6条 特定個人情報等の適正な管理及び運用を図るため、特定個人情報等保護責任者(以下「保護責任者」という。)を置き、個人番号利用事務等の事務を所管する課の長をもって充てる。
2 保護責任者は、特定個人情報等取扱担当者(以下「取扱担当者」という。)を指定し、かつ、その役割を定めるとともに、必要かつ適切な監督を行うものとする。
3 保護責任者は、次に掲げる事項を整備する。
(1) 特定個人情報等の漏えい、滅失、毀損等(以下「情報漏えい等」という。)の事案の発生又は兆候を把握した場合の報告連絡体制
(2) 特定個人情報等を複数の職員で取り扱う場合の役割と責任
(3) 情報漏えい等の事案の発生又は兆候を把握した場合の対応体制
(教育研修)
第7条 総括責任者は、保護責任者及び取扱担当者に対し、特定個人情報等の適切な管理について必要な教育研修を行う。
2 総括責任者は、保護責任者及び取扱担当者に対し、特定個人情報等の適切な取扱い並びに情報システムの管理・運用並びにセキュリティ対策について必要な教育研修を行う。
(特定個人情報等の取扱い等)
第8条 取扱担当者は、総括責任者及び保護責任者の指示に従い、特定個人情報等を取り扱わなければならない。
2 保護責任者は、情報漏えい等の事案の発生又は兆候を把握した場合若しくは取扱担当者が番号法等に違反している事実若しくは兆候を把握した場合は、速やかに総括責任者に報告しなければならない。
3 総括責任者は、特定個人情報等が番号法等に基づき適正に取り扱われるよう、保護責任者及び取扱担当者に対して必要かつ適切な監督を行う。
(アクセス及び複製等の制限)
第9条 保護責任者は、取扱担当者に対し、特定個人情報等にアクセスする権限(以下この条において「アクセス権」という。)を付与するものとする。
2 保護責任者は、特定個人情報等の秘匿性その他内容に応じ、アクセス権を付与する取扱担当者を限定し、アクセスできる範囲も必要最小限のものとする。
3 アクセス権を有しない取扱担当者以外の職員は、特定個人情報等にアクセスしてはならない。
4 取扱担当者は、アクセス権を有する場合であっても、その担当する事務の目的以外の目的で特定個人情報等にアクセスしてはならない。
5 保護責任者は、取扱担当者がその担当する事務の目的で特定個人情報等を取り扱う場合であっても、当該特定個人情報等の秘匿性その他内容に応じ、次に掲げる行為について制限することができる。
(1) 特定個人情報等の複製
(2) 特定個人情報等の送信
(3) 特定個人情報等が記録されている媒体(書類並びに端末及びサーバーに内蔵されているものを含む。以下「記録媒体」という。)の外部への送付又は持ち出し
(4) 前3号に掲げるもののほか、特定個人情報等の適切な管理に支障を及ぼすおそれのある行為
(訂正)
第10条 取扱担当者は、特定個人情報等の内容に誤り等を発見した場合は、保護責任者の指示に従い、訂正等を行うものとする。
(記録媒体の管理)
第11条 取扱担当者は、保護責任者の指示に従い、記録媒体を定められた場所に保管するとともに、必要があると認めるときは、キャビネット、金庫その他施錠可能な場所へ保管するものとする。
(廃棄等)
第12条 取扱担当者は、特定個人情報等又は記録媒体が不要となった場合は、保護責任者の指示に従い、当該特定個人情報等の復元又は判読が不可能な方法により当該特定個人情報等の消去又は記録媒体の廃棄を行うものとする。
(個人番号の求めの制限)
第13条 取扱担当者は、個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き、個人番号の提供を求めてはならない。
2 取扱担当者は、個人番号を求める場合は、その利用目的と根拠法令等を示すとともに、番号法第16条に規定する本人確認に必要な書類の提示を受けなければならない。
(特定個人情報ファイルの作成の制限)
第14条 取扱担当者は、個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイルを作成してはならない。
(特定個人情報等の取扱いの制限)
第15条 取扱担当者は、番号法第19条各号のいずれかに該当する場合を除き、特定個人情報等を収集し、又は保管してはならない。
2 取扱担当者は、番号法第19条各号に該当する場合を除き、特定個人情報等を外部提供してはならない。
(取扱区域等)
第16条 保護責任者は、情報漏えい等を防止するため、特定個人情報等を取り扱う区域を明確にするとともに、作業スペースの確保等の措置に努めるものとする。
(情報システムにおける安全の確保等)
第17条 特定個人情報等を取り扱う情報システムにおける適正な管理及び運用は、薩摩川内市電子計算システムの管理運営に関する規則(平成16年薩摩川内市規則第28号。第19条第1項において「システム規則」という。)及び薩摩川内市情報セキュリティ基本方針に関する規程(令和3年薩摩川内市訓令第20号)第2条第6号に規定する情報セキュリティポリシー(第19条第3項において「情報セキュリティポリシー」という。)の例による。
(委託)
第18条 保護責任者は、個人番号利用事務等の全部又は一部を委託する場合には、委託先において、番号法に基づき本市が果たすべき安全管理措置と同等の措置を講ずる能力を有すると認める者と契約するものとする。
2 保護責任者は、個人番号利用事務等の全部又は一部を委託する場合には、委託先において、番号法に基づき本市が果たすべき安全管理措置と同等の措置を講じられるよう必要かつ適切な監督を行うものとする。
(情報管理)
第19条 保護責任者及び取扱担当者は、システム規則第2条第1号の電算システム(以下この条において「電算システム」という。)において特定個人情報等を取り扱う場合は、当該電算システムへの安全管理措置を講じなければならない。
2 総括責任者は、個人番号利用事務等において使用する電算システムについて、インターネットから独立する等の安全性の高いセキュリティ対策の構築及び運用体制の整備を行わなければならない。
3 その他の情報資産の取扱いについては、情報セキュリティポリシーの例による。
(自己点検及び監査の実施等について)
第20条 保護責任者は、特定個人情報等の管理状況について、定期又は随時に自己点検を行い、その結果について、総括責任者に報告するものとする。
2 監査責任者は、特定個人情報等の管理状況について、監査を行うに当たり、監査計画を策定し、総括責任者の承認を得るものとする。
3 監査責任者は、特定個人情報等の管理状況について、定期又は随時に監査を行い、その結果について、総括責任者に報告するものとする。
4 総括責任者は、自己点検及び監査の結果を踏まえ、特定個人情報等の管理のための措置において必要があると認める場合は、保護責任者に対し、管理状況の見直し等の措置を指示するものとする。
(その他)
第21条 この訓令に定めるもののほか、特定個人情報等の取扱いに関し、必要な事項は、市長が別に定める。
附則
この訓令は、令和元年10月1日から施行する。
附則(令和3年10月4日訓令第20号)抄
(施行期日)
1 この訓令は、令和3年11月1日から施行する。
附則(令和4年3月1日訓令第3号)
この訓令は、令和4年4月1日から施行する。