○もとす広域連合保有個人情報等の取扱に関する管理要綱
平成27年12月25日
訓令第6号
(趣旨)
第1条 この訓令は、行政手続における特定の個人を識別する番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)、もとす広域連合個人情報保護法施行条例(令和5年もとす広域連合条例第2号。以下「個人情報保護法施行条例」という。)及びもとす広域連合議会の個人情報の保護に関する条例(令和5年もとす広域連合条例第1号。以下「議会個人情報保護条例」という。)に定められた個人番号及び特定個人情報(以下「特定個人情報等」という。)並びに保有個人情報(以下特定個人情報等を含む保有個人情報を「保有個人情報等」という。)の取扱い、保護措置等に係る規定及び各法令の趣旨に基づき、もとす広域連合(以下「広域連合」という。)における保有個人情報等の保護措置、保有個人情報等に係る情報処理の適正な管理運営その他保有個人情報等の取扱いのために、必要な事項を定めるものとする。
(用語の意義)
第2条 この訓令における用語の意義は、次に掲げるもののほか、番号法、個人情報保護法、個人情報保護法施行条例及び議会個人情報保護条例の例による。
(1) 事務局長 もとす広域連合組織規則(平成13年もとす広域連合規則第2号。以下「組織規則」という。)第6条第1項に規定する事務局長をいう。
(3) 課長等 組織規則第7条第1項に規定する課長、同規則第18条第1項に規定する機関名を冠した長及びこれに準ずるものをいう。
(4) 総括課長補佐等 組織規則第10条第1項に規定する総括課長補佐、同規則第20条第1項に規定する総括園長補佐又は総括施設長補佐及びこれに準ずるものをいう。
(管理体制)
第3条 保有個人情報等の適正な取扱いを組織的に推進するため、統括個人情報保護責任者を置き、事務局長をもって充てる。
2 統括個人情報保護責任者は、保有個人情報等の管理に関する事務を統括する任に当たる。
3 保有個人情報等を取り扱う課等に個人情報保護責任者を1人置くものとし、課長等をもって充てる。
4 保有個人情報等を取り扱う課等に個人情報保護管理者を1人置くこととし、総括課長補佐等をもって充てる。
5 前項の個人情報保護管理者は、個人情報保護管理者の課等における保有個人情報等を適切に管理する任に当たる。
6 個人情報保護管理者は、個人情報保護責任者と協議の上、保有個人情報等を取り扱う職員等(以下「事務取扱担当者」という。)及びその役割並びに当該事務取扱担当者が取り扱う特定個人情報等の範囲を決定するものとする。
(個人情報保護責任者)
第4条 個人情報保護責任者は、個人情報保護管理者と協議の上、次に掲げる体制又は規定の整備その他の課等内の保有個人情報等の措置、対応又は方針の決定を統括するものとする。
(1) 課等内の保有個人情報等の適正な運用その他の取扱いに関する規定の整備
(2) 個人情報取扱事務又は保有個人情報等を取り扱う情報システムの変更、見直しその他の課等内の保有個人情報等に係る取扱いへの対応
(3) 保有個人情報等の漏えいその他の緊急時における連絡体制及び対応体制の整備
(4) 課等内の職員等に対する保有個人情報等の取扱いに係る教育、助言及び指示
(5) 保有個人情報等に係る事故発生時における課等内の対応
(個人情報保護管理者)
第5条 個人情報保護管理者は、前条に規定する協議又は個人情報保護責任者の指示により、次に掲げる課等内等の具体的な保有個人情報等の運用体制又は取扱い手続を整備するよう努めなければならない。
(1) 事務取扱担当者が、番号法その他の保有個人情報等を取り扱う規定に違反している事実又は兆候を把握した場合の責任者への具体的な報告連絡体制
(2) 保有個人情報等の漏えい、滅失又は毀損等(以下「情報漏えい等」という。)の事案の発生又は兆候を把握した場合の職員から責任者等への具体的な報告連絡体制
(3) 保有個人情報等の情報漏えい等の事案の発生又は兆候を把握した場合の具体的な対応体制
(4) 事務取扱担当者及び当該事務取扱担当者が取り扱う保有個人情報の範囲の指定
(5) 特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)の明確化、特定個人情報等を取り扱う文書又は電子端末機の施錠による保管管理その他の物理的な安全管理措置を講ずること。
(6) 保有個人情報等を取り扱う情報システムを操作できる事務取扱担当者の制限、アクセスする権限(電子計算組織を取り扱う権限、事務手続きにおける保有個人情報の検索その他の保有個人情報を取り扱う権限をいう。以下「アクセス権限」という。)の制御その他の技術的な安全管理措置を講ずること。
2 個人情報保護管理者は、保有個人情報等に係る事務について、保有個人情報等の利用、保管等の取扱状況を確認し、個人情報保護法第75条第1項又は議会個人情報保護条例第17条第1項に規定する個人情報ファイル簿を常に最新の状態となるよう努めるものとする。
3 個人情報保護管理者は、次条第3項に規定する職員等からの問題の発生又は兆候に係る報告を受けた時は、速やかに統括個人情報保護責任者、個人情報保護責任者へ報告しなければならない。
(職員等の責務)
第6条 職員等は、番号法、個人情報保護法、個人情報保護法施行条例、議会個人情報保護条例その他の保有個人情報等を取り扱う規定の趣旨に則り、かつ、関係する法令、規定の定め並びに統括保護管理者、個人情報保護責任者及び個人情報保護管理者の指示に従い、保有個人情報等を取り扱わなければならない。
2 職員等は、特定個人情報等を含んだ情報の保管、通知、廃棄その他の異動の際には、当該情報の異動の経過が明らかとなる方法に努めなければならない。
3 職員等は、次の各号に掲げる保有個人情報等の適正な管理に係る問題の発生又は発生の兆候を把握した場合は、速やかに個人情報保護管理者に報告しなければならない。
(1) 保有個人情報等の情報漏えいその他の保有個人情報等に係る重大な事故の発生又は兆候を把握した場合
(2) 事務取扱担当者が番号法その他の保有個人情報等を取り扱う規定に違反している事実又は兆候を把握した場合
(3) 前各号に掲げるもののほか、保有個人情報等の安全確保上で問題となる事案が発生した場合
(特定個人情報等の取扱いの基本方針)
第7条 個人情報保護管理者は、保有個人情報等の利用に当たっては、番号法があらかじめ限定的に定めた事務に限定するものとする。
2 個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合又は番号法で定める場合を除き、個人番号の提供を求めてはならない。
3 個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイルを作成してはならない。
4 番号法第19条各号のいずれかに該当する場合を除き、他人の個人番号を含む個人情報を収集又は保管してはならない。
(誤りの訂正等)
第8条 事務取扱担当者は、保有個人情報等の内容に誤り等を発見した場合(個人情報保護法又は議会個人情報保護条例による訂正請求の結果、当該請求に係る保有個人情報の全部又は一部を訂正する場合を含む。)には、個人情報保護管理者の指示に従い、訂正等を行う。この場合において、個人情報保護管理者は、訂正等に係る保有個人情報が保有個人情報等に該当するかの有無を確認の上、必要な指示を行わなければならない。
(アクセス制御等)
第9条 個人情報保護責任者は、保有個人情報等の秘匿性等その内容に応じて、当該保有個人情報等にアクセス権限を有する者をその利用目的を達成するために必要最小限の事務取扱担当者に限る。
2 前項により、アクセス権限を有しないこととなる職員等は、保有個人情報等にアクセスしてはならない。
3 事務取扱担当者は、アクセス権限を有する場合であっても、業務上の目的以外の目的で、又は番号法、個人情報保護法、個人情報保護法施行条例、議会個人情報保護条例その他の保有個人情報等を取り扱う規定に違反して、保有個人情報等にアクセスしてはならない。
(媒体の管理及び複写等)
第10条 事務取扱担当者は、個人情報保護管理者の指示に従い、保有個人情報等が記録されている媒体(紙ファイル、データ、フィルム又は写真をいう。以下同じ。)を定められた場所に施錠して保管しなければならない。ただし、統括個人情報保護責任者がやむを得ないと認める場合は、この限りではない。
2 事務取扱担当者は、業務上の目的で保有個人情報等を取り扱う場合であっても、次に掲げる行為については、個人情報保護管理者の指示に従い行う。
(1) 保有個人情報等の複製
(2) 保有個人情報等の外部機関への送信(郵送及びファクシミリ、電子メールその他電子計算処理による伝送方法を含む。)
(3) 保有個人情報等が記録されている媒体の外部への送付又は持出し
(4) 前号に掲げるもののほか、保有個人情報等の適切な管理に支障を及ぼすおそれのある行為
(保有個人情報等の利用、提供及び業務の委託等)
第11条 事務取扱者は、特定個人情報等を除く保有個人情報については個人情報保護法第69条及び議会個人情報保護条例第12条の規定に、保有個人情報等については個人情報保護法第69条及び議会個人情報保護条例第12条並びに番号法第9条及び第19条の規定によるものでなければ、当該保有個人情報等又は当該保有個人情報を利用又は提供してはならない。
2 個人情報保護管理者は、個人情報保護法第69条及び議会個人情報保護条例第12条の規定により保有個人情報等を広域連合の実施機関及び議会(以下「実施機関等」という。)以外の者に提供する場合には、原則として、提供先における利用目的、利用する業務の根拠法令、利用する記録の範囲及び項目、利用形態、提供形態等について把握するよう努めなければならない。
3 前項に規定する場合において、個人情報保護管理者は、提供先に提供する保有個人情報等に係る安全確保の措置を要求するとともに、必要があると認めるときは、提供前又は随時に実地の調査等を行い措置状況を確認し、その結果を記録するとともに、改善要求等の措置を講ずる。
4 保有個人情報等を含む業務を委託する場合は、個人情報保護法第66条第2項において準用する同条第1項、議会個人情報保護条例第9条第2項において準用する同条第1項及び広域連合が別に定める基準に基づくものとし、かつ、個人番号利用事務等の全部又は一部を委託する場合には、委託先において、番号法に基づき広域連合が果たすべき安全管理措置と同等の措置が講じられているか否かについて、あらかじめ確認するものとする。
5 個人番号利用事務等の全部又は一部の委託をする際には、実施機関等は、委託を受けた者において、広域連合が果たすべき安全管理措置と同等の措置を講じられるよう必要かつ適切な監督を行う。
6 個人番号利用事務等の全部又は一部の委託を受けた者が再委託をする際には、実施機関等は、個人情報保護管理者が再委託先へ委託をする個人番号利用事務等において取り扱う特定個人情報の適切な安全管理が図られることを確認した上で、再委託の許諾を判断する。
(廃棄等)
第12条 事務取扱担当者は、保有個人情報等(保有個人情報等が記録されている媒体を含む。)が不要となった場合には、個人情報保護管理者の指示に従い、当該保有個人情報等の復元又は判読が不可能な方法により当該情報の削除又は当該媒体の廃棄を行う。
(点検、評価及び見直し)
第13条 統括個人情報保護責任者は、個人情報保護法第75条第1項又は議会個人情報保護条例第17条第1項に規定する個人情報ファイル簿及び番号法第27条に規定する特定個人情報保護評価の更新作業を定期に実施し、実施機関等における保有個人情報等の適正な管理及び運用を統括しなければならない。
2 個人情報保護管理者は、前項に規定する更新作業の際、定期に又は随時に自ら管理責任を有する保有個人情報等の記録媒体、処理経路、保管方法等について、点検を行い、個人情報取扱事務登録簿又は特定個人情報保護評価の修正、追加、削除その他必要がある場合は、統括個人情報保護責任者に報告するものとする。
3 前項に規定する点検の結果、保有個人情報等の適切な管理措置のため、実施機関等の電子計算組織の改修又は制御、データ保護その他の対応が必要であると認めるときは、個人情報保護管理者に報告するものとする。
(その他)
第14条 この訓令に定めるもののほか、必要な事項は、実施機関等が別に定める。
附則
この訓令は、平成28年1月1日から施行する。
附則(平成29年訓令第2号)
この訓令は、公表の日から施行し、平成29年4月1日から適用する。
附則(令和2年訓令第2号)
この訓令は、令和2年4月1日から施行する。
附則(令和4年訓令第1号)
この訓令は、令和4年4月1日から施行する。
附則(令和5年訓令第1号)
この訓令は、令和5年4月1日から施行する。