(趣旨)

1　この訓令は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)及び個人情報の保護に関する法律(平成15年法律第57号。以下「保護法」という。)の施行に関し、いの町特定個人情報等安全管理基本方針を踏まえ、町長等が取り扱う個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いの確保のために必要な措置を定めるものとする。

(定義)

2　この規程で使用する用語の定義は、番号法及び保護法で使用する用語の例による。

第2　管理体制

(保護責任者)

1　特定個人情報等の管理に関する事務を総括するため、保護責任者を置くこととし、総務課長をもって充てる。

(保護管理者)

2　各所属における特定個人情報等の適切な管理を確保するため、特定個人情報等を取り扱う各所属に保護管理者を1名置くこととし、各所属の長をもって充てる。

(事務取扱担当者)

3　特定個人情報等を取り扱う職員(以下「事務取扱担当者」という。)及びその役割並びに事務取扱担当者が取り扱う特定個人情報等の範囲については、保護管理者が指定する。

(監査責任者)

4　特定個人情報等の管理の状況について監査するため、監査責任者を置くこととし、課長補佐級以上の職員(保護責任者及び保護管理者を除く。)の中から町長が選任する。

第3　教育研修

(研修)

1　保護責任者は、事務取扱担当者に対し、特定個人情報等の取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。

2　保護管理者は、事務取扱担当者に対し、特定個人情報等の適切な管理のために、保護責任者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。

第4　職員の責務

(職員の責務)

1　職員は、番号法及び保護法の趣旨に則り、関連する法令及びいの町情報セキュリティポリシー等の各種規程を遵守するとともに、保護責任者及び保護管理者の指示に従い、特定個人情報等を取り扱わなければならない。

2　職員は、特定個人情報等の漏えい、滅失又は毀損(以下「情報漏えい等」という。)の事実の発生又は兆候を把握した場合及び事務取扱担当者が取扱規程等に違反している事実又は兆候を把握した場合は、速やかに保護管理者に報告しなければならない。

第5　特定個人情報等の取扱い

(アクセス制限)

1　保護管理者は、特定個人情報等にアクセスする権限(以下「アクセス権限」という。)を有する者を、その特定個人情報等の取扱事務の目的を達成するために必要最小限の職員に限るものとする。

2　アクセス権限を有しない職員は、特定個人情報等にアクセスしてはならない。

3　保護管理者及び事務取扱担当者は、アクセス権限を有する場合であっても、特定個人情報等の取扱事務の目的以外の目的で特定個人情報等にアクセスしてはならない。

(複製等の制限)

4　事務取扱担当者は、取扱事務の目的の範囲内で特定個人情報等を取り扱う場合であっても、次に掲げる行為については、保護管理者の指示に従い行わなければならない。

(1)　特定個人情報等の複製

(2)　特定個人情報等の送信

(3)　特定個人情報等が記録されている媒体の外部への送付又は持出し

(4)　その他特定個人情報等の適切な管理に支障を及ぼすおそれのある行為

(誤りの訂正等)

5　事務取扱担当者は、特定個人情報等の内容に誤り等を発見した場合には、保護管理者の指示に従い、訂正等を行う。

(媒体の管理等)

6　事務取扱担当者は、保護管理者の指示に従い、特定個人情報等が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫への保管、施錠等により、情報漏えい等を防止するための措置を講ずる。

(廃棄等)

7　事務取扱担当者は、特定個人情報等が記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要になった場合には、保護管理者の指示に従い、当該特定個人情報等の復元又は判読が不可能な方法により当該情報の削除又は当該媒体の廃棄を行う。

また、この場合、当該情報の削除又は当該媒体の廃棄を確認した上で、当該削除等について記録し保存するものとする。

(取扱状況の記録)

8　保護管理者は、特定個人情報ファイルの取扱状況を確認する手段を整備して、当該特定個人情報等の利用及び保管等の取扱状況について記録する。

(個人番号の利用の制限)

9　保護管理者は、個人番号の利用に当たり、番号法があらかじめ限定的に定めた事務(番号法に基づき条例で定めた事務を含む。)に限定する。

(特定個人情報等の提供の制限)

10　保護管理者は、番号法で限定的に明記された場合を除き、特定個人情報等を提供してはならない。

(特定個人情報等の提供の求めの制限)

11　個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合その他番号法で定める場合を除き、個人番号の提供を求めてはならない。

(特定個人情報ファイルの作成の制限)

12　個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイルを作成してはならない。

(特定個人情報等の収集・保管の制限等)

13　番号法第19条各号のいずれかに該当する場合を除き、他人の個人番号を含む個人情報を収集又は保管してはならない。また、本人又は代理人から個人番号の提供を受ける際には、成りすましを防止するため、当該本人確認及び個人番号の確認を確実に行うものとする。

(取扱区域)

14　保護管理者は、特定個人情報等を取り扱う事務を実施する区域を明確にし、物理的な安全管理措置を講ずる。

第6　特定個人情報等の業務委託

(業務の委託等)

1　個人番号利用事務等の全部又は一部を委託する場合には、委託先において、番号法に基づき町が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認するものとし、委託を受けた者において町が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。

2　個人番号利用事務等の全部又は一部の委託を受けた者が再委託を行おうとする際には、保護管理者は、委託をする個人番号利用事務等において取り扱う特定個人情報等の適切な安全管理が図られることを確認した上で再委託の諾否を判断するものとする。

第7　情報システムの安全管理

情報システムにおける個人情報及び特定個人情報等の安全管理については、いの町情報セキュリティポリシーによるものとする。

第8　安全確保上の問題への対応

(事案の報告及び再発防止措置)

1　特定個人情報等の情報漏えい等の事案が発生した場合等、安全確保上で問題となる事案が発生した場合に、その事実を知った職員は、速やかに当該特定個人情報等を管理する保護管理者に報告する。なお、外部からの不正アクセスや不正プログラムの感染等が疑われる場合にあっては、併せて、いの町情報セキュリティポリシーに基づき適正に対応するものとする。

2　保護管理者は、前項に係る事案が発生した場合は、速やかに事案の発生した経緯、被害状況等を調査し、保護責任者及び監査責任者に報告するとともに、被害の拡大を防止するために必要な措置を講ずる。

3　保護管理者は、当該事案に係る本人への対応等の措置を講ずるとともに、二次被害の発生防止に努める。

4　保護管理者は、当該事案が発生した原因を分析し、再発防止のために必要な措置を講ずる。

5　保護責任者は、第2項の規定に基づく報告を受けた場合には、事案の内容等に応じて、当事案の内容、経緯及び被害状況等を速やかに町長に報告する。

(公表)

6　保護管理者は、事案の内容、影響等に応じて、事実関係及び再発防止策の公表をする。

第9　監査及び点検の実施

(監査)

1　監査責任者は、特定個人情報等の適切な管理を検証するため、定期に又は必要に応じ随時に監査を行い、その結果を保護責任者に報告する。

(点検)

2　保護管理者は、各所属における特定個人情報等の記録媒体、処理経路、保管方法等について、定期に又は必要に応じ随時に点検を行い、必要があると認めるときは、その結果を保護責任者に報告する。

(評価及び見直し)

3　保護責任者及び保護管理者は、監査又は点検の結果を踏まえ、実効性等の観点から特定個人情報等の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずる。

附則

附則(令和5年3月24日訓令第3号)