富岡甘楽広域市町村圏振興整備組合特定個人情報取扱規程

○富岡甘楽広域市町村圏振興整備組合特定個人情報取扱規程

平成28年3月15日

訓令第2号

第1章　総則

(目的)

第1条　この規程は、富岡甘楽広域市町村圏振興整備組合(以下「組合」という。)において、行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)並びに個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)及び特定個人情報保護委員会が定める「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に基づき、組合における特定個人情報の取扱いを確保するために、遵守する事項を定めるものとする。

(定義)

第2条　この規程における用語の定義は、次のとおりとする。

(1)　「個人情報」とは、個人情報保護法第2条第1項に規定する個人情報であって、生存する個人に関する情報であり、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

(2)　「個人番号」とは、番号法第2条第5項に定める個人番号をいい、同条第8項括弧書きに定められたものを含む。

(3)　「特定個人情報」とは、個人番号をその内容に含む個人情報をいう。

(4)　「特定個人情報等」とは、個人番号及び特定個人情報をいう。

(5)　「特定個人情報ファイル」とは、番号法第2条第9項に定める特定個人情報ファイルであって、個人番号をその内容に含む個人情報ファイルをいう。

(6)　「個人番号関係事務」とは、番号法第2条第11項に定める個人番号関係事務であって、番号法第9条第3項の規定により、個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。

(7)　「個人番号利用事務実施者」とは、番号法第2条第12項に定める個人番号利用事務実施者であって、個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう。

(8)　「個人番号関係事務実施者」とは、番号法第2条第13項に定める個人番号関係事務実施者であって、個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。

(9)　「職員等」とは、組合の業務に従事している者をいい、正職員、嘱託職員、臨時職員、非常勤職員などの全ての者を含む。

(10)　「本人」とは、個人番号によって識別される特定の個人をいう。

(適用関係)

第3条　この規程は、組合に勤務する全ての職員等に適用する。

2　この規程は、組合が取り扱う全ての特定個人情報等に適用する。

第2章　組織体制等

(法令等の遵守)

第4条　組合は、番号法その他の法令を遵守し、特定個人情報等を適正に取り扱うため、必要な組織体制を整備するとともに、本規程その他の内部規程を定め、これを運用する。

(事務取扱責任者)

第5条　組合は、特定個人情報等の管理に関する責任者として事務取扱責任者を置く。

2　事務取扱責任者は、事務局長とする。

3　事務取扱責任者は、次の各号に定める事項及びその他組合における特定個人情報等に関するすべての権限と責務を有する。

(1)　特定個人情報等の適正な取り扱いに関する基本方針の作成、職員等への周知

(2)　この規程に基づき特定個人情報等の取扱いを管理する上で必要とされる事項の決定・承認

(3)　特定個人情報等の適正な取扱い、安全対策を維持・推進するための施策の策定・実施

(4)　事故発生時の対応策の策定・実施

(事務取扱担当者)

第6条　組合は、特定個人情報等に関する事務を取り扱う者として、事務取扱担当者を置く。

2　事務取扱担当者は、その取り扱う事務の範囲を定めた上で事務取扱責任者が選任する。

3　事務取扱担当者は、特定個人情報等を取り扱う情報システム及び機器等を適切に管理し、利用権限のない者には使用させてはならない。

4　事務取扱担当者は、特定個人情報等に関する事務の運用状況を明確にするため、第9条に定める記録を作成する。

(基本方針の策定)

第7条　組合は、組合における特定個人情報等の適正な取扱いを確保するため、特定個人情報等の適正な取扱いに関する基本方針を定める。

(組合が個人番号を取り扱う事務の範囲)

第8条　組合が、個人番号関係事務を行う事務の範囲は以下の各号に定めるところとする。

(1)　地方公務員等共済組合法に関する事務手続きに使用するため

(2)　児童手当法に関する事務等に使用するため

(3)　健康保険法に関する資格取得、資格喪失、給付等の事務手続きに使用するため

(4)　厚生年金保険法に関する資格取得、資格喪失、給付等の事務手続きに使用するため

(5)　介護保険法に関する事務手続きに使用するため

(6)　雇用保険法に関する資格取得、資格喪失、給付等の事務手続きに使用するため

(7)　労働者災害補償保険法に関する事務手続きに使用するため

(8)　所得税法に関する法定調書、源泉徴収票の作成等の事務手続きに使用するため

(9)　財産形成住宅貯蓄・財産形成年金貯蓄に関する申告書、届出書及び申込書作成事務

(10)　被災者台帳の作成に関する事務

(11)　その他、番号法第19条各号のいずれかに該当し、特定個人情報の提供を受けることができる関連事務

(取扱状況を確認する手段の整備)

第9条　組合は、特定個人情報ファイル等の取扱状況を確認するため、事務取扱責任者が別途定める事項を記録する。なお、取扱状況を確認するための記録等には、特定個人情報等は記載しない。

(本規程に基づく運用)

第10条　組合は、本規程に基づく運用状況を確認するため、事務取扱責任者が別途定めるシステムログ又は利用実績を記録する。

第3章　特定個人情報等の取得、利用等

(個人番号の取得、提供の求め)

第11条　組合は、個人番号関係事務を処理するために必要がある場合に限って、本人又は他の個人番号関係事務実施者若しくは個人番号利用事務実施者に対して個人番号の提供を求めることができる。

(本人確認措置)

第12条　組合は、前条に基づいて本人から個人番号の提供を受けるときは、別途定める「マイナンバー(個人番号)の取得方法」により職員等から個人番号の提供を受けるものとする。

2　職員等は、個人番号の提供が番号法の定めにより個人番号関係事務に必要なものである限り、組合が行う本人確認の措置に協力しなければならない。

3　前項にかかわらず個人番号の提供に協力しなかったことよる不利益は当該職員等が負うものとする。

(通知カードまたは個人番号の取扱い)

第13条　すべての職員等は自らの通知カード又は個人番号カードを、本人の責任を持って保管しなければならない。また、組合の責めによらない紛失は、職員等各自が責任および対応を負うものとする。

2　組合は、職員等の通知カード又は個人番号カードを保管してはならないものとする。

(提供を求める時期)

第14条　個人番号の提供を求める時期は、個人番号関係事務が発生したときとする。ただし、個人番号関係事務が発生することが明らかなときは、事前に個人番号の提供を求めることができる。

(収集制限)

第15条　組合は、番号法に基づき許される場合を除き、他人の特定個情報を収集し、又は保管してはならない。

(利用目的を超えた利用の禁止)

第16条　組合は、個人番号関係事務を処理するために必要な場合に、予め通知又は公表する利用目的の範囲で個人番号を利用するものとする。なお、たとえ本人の同意があったとしても、利用目的を超えて個人番号を利用してはならない。

2　前項の規定にかかわらず、人の生命、身体又は財産の保護のために必要がある場合において、本人の同意があり、又は本人の同意を得ることが困難であるときは、組合が保有している個人番号を利用することができる。

(利用目的の変更)

第17条　組合は、利用目的を変更した場合、変更された利用目的について、本人に通知又は公表するものとする。

(特定個人情報ファイルの作成の制限)

第18条　組合は、個人番号関係事務を処理するために必要な場合に限り、特定個人ファイルを作成することができる。

第4章　特定個人情報等の提供、保管、管理、廃棄等

(特定個人情報等の提供)

第19条　組合は、法令で認められた場合を除き、特定個人情報を第三者に提供しない。

(保管期間)

第20条　組合は、個人番号関係事務を処理するため必要な期間に限り、特定個人情報等を保管する。ただし、所管法令等によって一定期間保存が義務付けられている場合、当該期間保管することとする。

(廃棄)

第21条　組合は、前条に定める保管期間が経過した場合、第31条に定める方法により、特定個人情報等をできるだけ速やかに廃棄又は削除しなければならない。

第5章　委託の取り扱い

(委託の取り扱い)

第22条　組合は、個人番号関係事務の全部又は一部を外部に委託する場合、委託先において、特定個人情報等の安全管理措置が適切に講じられるよう必要かつ適切な監督を行う。

2　組合は、前項の監督を行うため、次の各号の措置を講じる。

(1)　委託先の適切な選定

(2)　委託先に安全管理措置を遵守させるために必要な契約の締結

(3)　委託先における特定個人情報の取扱状況の把握

3　前項2号に定める契約は、その内容に秘密保持義務、特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件(再々委託について最初の委託先の許諾を要すること含む。)、漏えい事故等が発生した場合の委託先の責任、委託契約終了後の特定個人情報等の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければならない。

(再委託の要件)

第23条　組合が委託を受けた個人番号関係事務の全部又は一部を再委託する場合、組合は、当該事務の最初の委託者の許諾を受ける。

2　再委託に関しては、前条を準用する。

第6章　安全管理措置

第1部　組織的安全管理措置

(情報漏えい等事案に対応する体制の整備)

第24条　すべての職員等は、情報の漏えいの発生または兆候を把握した場合、又はその可能性が高いと判断した場合は、速やかに事務取扱責任者に報告するものとする。

2　前項の報告を受けた事務取扱責任者は、二次被害の防止、類似事案の発生防止等の観点から速やかに次の各号の手法等により対策を講じるものとする。

(1)　事実関係の調査及び原因の究明

(2)　影響を受ける可能性のある本人への連絡

(3)　再発防止策の検討及び決定

(4)　実関係及び再発防止策等の公表

(取扱状況の把握及び安全管理措置の見直し)

第25条　組合は、特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善のために特定個人情報等の取扱状況について、必要に応じて点検を行うものとする。なお、事務取扱責任者は、その判断により、外部機関による監査を実施することができる。

第2部　人的安全管理措置

(職員等の教育・監督)

第26条　組合は、特定個人情報等が本規程に基づき適正に取り扱われるよう、職員等に対し必要かつ適切な教育及び監督を行うものとする。

(秘密保持)

第27条　組合は、特定個人情報等を秘密として保持し、法令で認められた場合及び第三者に委託する場合を除き、第三者に提供、開示、漏えい等をしないものとする。

2　組合は、特定個人情報等に関する秘密を保持するため、本規程その他の内部規程における定め、誓約書の徴収などにより、職員等に対し、特定個人情報等についての秘密保持に関する事項を周知徹底するものとする。

第3部　物理的安全管理措置

(特定個人情報等を取り扱う区域の管理)

第28条　組合は、特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にする。

2　管理区域においては、間仕切りの設置、座席配置の工夫等、区域の明確化及びキャビネット等の施錠等の安全管理措置を講じる。

3　取扱区域においては、壁又は間仕切り等の設置及び座席配置の工夫等の安全管理措置を講じる。

(機器及び電子媒体等の盗難等の防止)

第29条　管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号の措置を講じる。

(1)　特定個人情報等を取り扱う機器は、施錠できるキャビネット等に保管するか、又は、盗難防止用のセキュリティワイヤーにより固定する。

(2)　特定個人情報等を含む書類及び電子媒体等は、施錠できるキャビネット・書庫等に保管する。

(3)　特定個人情報ファイルは、パスワードを付与する等の保護措置を講じたうえでこれを保存し、当該パスワードを適切に管理する。

(電子媒体等を持ち出す場合の漏えい等の防止)

第30条　特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、次の各号に例示するような容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等の安全な方策を講じる。なお「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等であっても、紛失・盗難等に留意する。

(1)　特定個人情報等が記録された電子媒体は、持出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用等を行う。

(2)　特定個人情報等が記録された書類は、外部から容易に閲覧されないよう封筒に入れる。

(3)　特定個人情報等を記録する書類を郵送等により発送するときは、簡易書留等の追跡可能な移送手段を利用する。

(特定個人情報等の削除、機器及び電子媒体等の廃棄)

第31条　組合は、第21条に基づき特定個人情報等を削除又は廃棄する場合、次の各号の方法によるものとし、削除又は廃棄した記録を保存するものとする。

(1)　特定個人情報等が記載された書類等を廃棄する場合、焼却又は溶解等の復元不可能な手段による。

(2)　特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段による。

(3)　特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段による。

2　組合は、前項の削除又は廃棄を第三者に委託する場合には、委託先が確実に削除又は廃棄したことついて、証明書等により確認する。

3　組合は、保存期間経過後に速やかに特定個人情報等を廃棄又は削除するため、特定個人情報等を取り扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした情報システムを構築し、また、特定個人情報等が記載された書類等については、保存期間経過後における廃棄を前提とした手続を定めるものとする。

第4部　技術的安全管理措置

(アクセス制御)

第32条　組合は、情報システムを使用して個人番号関係事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、次の各号の措置に沿って適切なアクセス制御を行うものとする。

(1)　個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。

(2)　特定個人情報ファイルを取り扱うシステムを、アクセス制御により限定する。

(3)　ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。

(アクセス者の識別と認証)

第33条　特定個人情報等を取り扱うシステムは、事務取扱担当者が正当なアクセス権を有する者であることを、次の各号の措置等によって識別した結果に基づき認証するものとする。

(1)　事務取扱担当者の識別方法としては、ユーザーID、パスワード又は磁気・ICカード等による識別と認証を行う。

(2)　特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定する。

(3)　機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定する。

(外部からの不正アクセス等の防止)

第34条　組合は、次の各号に定める情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用するものとする。

(1)　情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。

(2)　情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。

(3)　導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。

(4)　機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。

(5)　ログ等の分析を定期的に行い、不正アクセス等を検知する。

(情報漏えい等の防止)

第35条　組合は、特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するために次の各号の措置を講じるものとする。

(1)　通信経路における情報漏えい等の防止策として、通信経路の暗号化等を行う。

(2)　情報システム内に保存されている特定個人情報等の漏えい防止策としては、データの暗号化又はパスワードによる保護等を行う。

第7章　その他

(禁止事項)

第36条　組合はすべての職員等に対し、特定個人情報等について、次の各号に掲げる事項を禁止する。

(1)　不正な手段により特定個人情報等を収集すること。

(2)　当初の収集目的以外で特定個人情報等を利用すること。

(3)　業務上の必要なく管理区域及び取扱区域に立ち入ること。

(4)　業務上の必要及び権限がなく特定個人情報ファイルにアクセス又は閲覧し、保管された特定個人情報等を記録すること。

(罰則及び損害賠償)

第37条　組合は、本規程に違反した職員等に対して条例等に基づき処分を行い、その他の者に対しては、契約又は法令に照らして処分を決定する。

2　前項の場合、組合に損害が生じた場合は、違反した職員等に対して、損害賠償を請求するものとする。

附則

この規程は、公布の日から施行し、平成28年1月1日から適用する。