瑞穂市個人情報安全管理規程

○瑞穂市個人情報安全管理規程

令和5年9月5日

訓令第14号

(趣旨)

第1条　この訓令は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)及び瑞穂市個人情報保護法施行条例(令和4年瑞穂市条例第20号。以下「施行条例」という。)に定めるところにより、市が保有する個人情報の安全管理に関し必要な措置を定めるものとする。

(定義)

第2条　用語の定義は法及び施行条例に定めるところによる。

(総括保護管理者)

第3条　総括保護管理者を1人置くこととし、副市長をもって充てる。

2　総括保護管理者は、実施機関の長を補佐し、各機関における保有個人情報の管理に関する事務を総括する任に当たる。

(保護管理者)

第4条　保有個人情報を取り扱う課等に、保護管理者を1人置くこととし、当該課等の長をもって充てる。

2　保護管理者は、各課等における保有個人情報の適切な管理を確保する任に当たる。

(保護担当者)

第5条　保有個人情報を取り扱う各課等に、保護担当者を1人又は複数人置くこととし、当該課等の保護管理者が指定する。

2　保護担当者は、保護管理者を補佐し、各課等における保有個人情報の管理に関する事務を担当する。

(監査責任者)

第6条　監査責任者を1人置くこととし、総務部長をもって充てる。

2　監査責任者は、保有個人情報の管理の状況について監査する任に当たる。

(保有個人情報の適切な管理のための調整会議)

第7条　総括保護管理者は、保有個人情報の管理に係る重要事項の決定、連絡及び調整等を行うため必要があると認めるときは、関係職員を構成員とする調整会議を開催するものとする。

(教育研修)

第8条　総括保護管理者は、保有個人情報の取扱いに従事する職員(以下「職員」という。)に対し、保有個人情報の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。

2　総括保護管理者は、保護管理者及び保護担当者に対し、課等の現場における保有個人情報の適切な管理のための教育研修を行う。

3　保護管理者は、当該課等の職員に対し、保有個人情報の適切な管理のために、総括保護管理者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。

(職員の責務)

第9条　職員は、法の趣旨にのっとり、関連する法令及び規程等の定め並びに総括保護管理者、保護管理者及び保護担当者の指示に従い、保有個人情報を取り扱わなければならない。

(アクセス制限)

第10条　保護管理者は、保有個人情報の秘匿性等その内容(特定の個人の識別の容易性の程度、要配慮個人情報の有無、漏えい等が発生した場合に生じ得る被害の性質及び程度等をいう。以下同じ。)に応じて、当該保有個人情報にアクセスする権限を有する職員の範囲と権限の内容を、当該職員が業務を行う上で必要最小限の範囲に限る。

2　アクセス権限を有しない職員は、保有個人情報にアクセスしてはならない。

3　職員は、アクセス権限を有する場合であっても、業務上の目的以外の目的で保有個人情報にアクセスしてはならず、アクセスは必要最小限としなければならない。

(複製等の制限)

第11条　職員が業務上の目的で保有個人情報を取り扱う場合であっても、保護管理者は、次に掲げる行為については、当該保有個人情報の秘匿性等その内容に応じて、当該行為を行うことができる場合を必要最小限に限定し、職員は、保護管理者の指示に従い行う。

(1)　保有個人情報の複製

(2)　保有個人情報の送信

(3)　保有個人情報が記録されている媒体の外部への送付又は持出し

(4)　その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為

(誤りの訂正等)

第12条　職員は、保有個人情報の内容に誤り等を発見した場合には、保護管理者の指示に従い、訂正等を行う。

(媒体の管理等)

第13条　職員は、保護管理者の指示に従い、保有個人情報が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、施錠等を行う。

2　保有個人情報が記録されている媒体を外部へ送付し又は持ち出す場合には、原則として、パスワード等を使用して権限を識別する機能を設定する等のアクセス制御のために必要な措置を講ずる。

(誤送付等の防止)

第14条　職員は、保有個人情報を含む電磁的記録若しくは媒体の誤送信、誤送付若しくは誤交付又はウェブサイト等への誤掲載を防止するため、個別の事務において取り扱う個人情報の秘匿性等その内容に応じ、複数の職員による確認、チェックリストの活用その他の必要な措置を講ずる。

(廃棄等)

第15条　保護管理者は、保有個人情報が記録された書類等について、瑞穂市文書規程(平成15年瑞穂市訓令第5号)第36条によって定められている保存期間を経過した場合には、できるだけ速やかに復元不可能な手段で廃棄する。

2　保護管理者は、前項の規定による廃棄を委託する場合(2以上の段階にわたる委託を含む。)には、必要に応じて職員による廃棄の立会い、写真等を付した廃棄を証明する書類の受取りその他の方法により、委託先において廃棄が確実に行われていることを確認する。

(保有個人情報の取扱状況の記録)

第16条　保護管理者は、保有個人情報の秘匿性等その内容に応じて、台帳等を整備して、当該保有個人情報の利用及び保管等の取扱いの状況について記録する。

(保有個人情報の提供)

第17条　保護管理者は、法第69条第2項第3号及び第4号の規定に基づき実施機関以外の者に保有個人情報を提供する場合には、法第70条の規定に基づき、原則として、提供先における利用目的、利用する業務の根拠法令、利用する記録範囲及び記録項目、利用形態等について提供先との間で書面を取り交わす。

2　保護管理者は、法第69条第2項第3号及び第4号の規定に基づき実施機関以外の者に保有個人情報を提供する場合には、法第70条の規定に基づき、安全確保の措置を要求するとともに、必要があると認めるときは、提供前又は随時に実地の調査等を行い、措置状況を確認してその結果を記録するとともに、改善要求等の措置を講ずる。

3　保護管理者は、法第69条第2項第3号の規定に基づき他の行政機関等に保有個人情報を提供する場合において、必要があると認めるときは、法第70条の規定に基づき、前2項に規定する措置を講ずる。

(業務の委託等)

第18条　保護管理者は、個人情報の取扱いに係る業務を外部に委託する場合には、個人情報の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置を講ずる。

2　保護管理者は、保有個人情報の取扱いに係る業務を外部に委託する場合には、個人情報の取扱いの特記事項を定める等、委託先に安全管理措置を遵守させるための必要な事項を定めた契約を締結する。

3　保護管理者は、保有個人情報の取扱いに係る業務を外部に委託する場合には、取扱いを委託する個人情報の範囲は、委託する業務内容に照らして必要最小限でなければならない。

4　保護管理者は、保有個人情報の取扱いに係る業務を外部に委託する場合には、委託する業務に係る保有個人情報の秘匿性等その内容又は保有個人情報の量等に応じて、作業の管理体制及び実施体制並びに個人情報の管理の状況について、必要があると認めるときは、実地検査により確認する。

5　保護管理者は、委託先において、保有個人情報の取扱いに係る業務が再委託される場合には、委託先に第1項及び第2項の措置を講じさせるとともに、再委託される業務に係る保有個人情報の秘匿性等その内容に応じて、委託先を通じて又は委託元自らが前項の措置を実施する。

6　保有個人情報の取扱いに係る業務について再委託先が再々委託を行う場合以降も前項のとおりとする。

7　保護管理者は、保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記する。

8　保護管理者は、保有個人情報を提供し、又は業務委託する場合には、漏えい等による被害発生のリスクを低減する観点から、提供先の利用目的、委託する業務の内容、保有個人情報の秘匿性等その内容等を考慮し、必要に応じて、特定の個人を識別することができる記載の全部又は一部を削除し、又は別の記号等に置き換える等の措置を講ずる。

(事案の報告及び再発防止措置)

第19条　職員は、保有個人情報の漏えい等安全管理の上で問題となる事案又は問題となる事案の発生のおそれを認識した場合に、直ちに当該保有個人情報を管理する保護管理者に報告する。

2　保護管理者は、被害の拡大防止又は復旧等のために必要な措置を速やかに講ずる。

3　保護管理者は、事案の発生した経緯、被害状況等を調査し、総括保護管理者に報告する。ただし、特に重大と認める事案が発生した場合には、直ちに総括保護管理者に当該事案の内容等について報告する。

4　総括保護管理者は、前項による報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を市長に速やかに報告する。

5　保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるとともに、同種の業務を実施している課等に再発防止措置を共有する。

(法に基づく報告及び通知)

第20条　保護管理者は、漏えい等が生じた場合であって法第68条第1項の規定による個人情報保護委員会への報告及び同条第2項の規定による本人への通知を要する場合には、速やかに所定の手続を行うとともに、個人情報保護委員会による事案の把握等に協力する。

(公表等)

第21条　保護管理者は、法第68条第1項の規定による個人情報保護委員会への報告及び同条第2項の規定による本人への通知を要しない場合であっても、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る保有個人情報の本人への連絡等の措置を講ずる。

(監査)

第22条　監査責任者は、保有個人情報の適切な管理を検証するため、必要に応じて監査を行い、その結果を総括保護管理者に報告する。

(点検)

第23条　保護管理者は、各課等における保有個人情報の記録媒体、処理経路、保管方法等について、必要に応じて点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告する。

(評価及び見直し)

第24条　総括保護管理者、保護管理者等は、監査又は点検の結果等を踏まえ、実効性等の観点から保有個人情報の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずる。

(その他)

第25条　この訓令に定めるもののほか、必要な事項は、市長が別に定める。

附則

この訓令は、公表の日から施行する。