○北茨城市保有個人情報の安全管理措置に関する規程
令和5年9月29日
訓令第3号
目次
第1章 総則(第1条・第2条)
第2章 管理体制(第3条―第7条)
第3章 教育研修(第8条)
第4章 職員の責務(第9条)
第5章 保有個人情報の取扱い(第10条―第17条)
第6章 情報システムにおける安全の確保等(第18条―第32条)
第7章 情報システム室等の安全管理(第33条・第34条)
第8章 保有個人情報の提供(第35条)
第9章 保有個人情報の取扱いの委託(第36条・第37条)
第10章 サイバーセキュリティの確保(第38条)
第11章 安全確保上の問題への対応(第39条―第41条)
第12章 監査及び点検の実施(第42条―第44条)
第13章 その他(第45条)
附則
第1章 総則
(趣旨)
第1条 この規程は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第66条第1項の規定に基づき、保有個人情報の安全管理のために必要かつ適正な措置を講ずることに関し、北茨城市長が保有する個人情報の保護に関する規則(令和5年北茨城市規則第9号)第3条に定めるもののほか必要な事項を定めるものとする。
(定義)
第2条 この規程で使用する用語は、法において使用する用語の例による。
第2章 管理体制
(総括保護管理者)
第3条 市に、総括保護管理者を1人置き、副市長をもって充てる。
2 総括保護管理者は、市長を補佐し、保有個人情報の管理に関する事務を総括するものとする。
(保護管理者)
第4条 保有個人情報を取り扱う課(北茨城行政組織規則(昭和42年北茨城市規則第1号)第2条第1項に規定する課をいう。以下同じ。)に、保護管理者を1人置き、当該課の長をもって充てる。
2 保護管理者は、課における保有個人情報の適切な管理に関する事務を統括するものとする。
3 保護管理者は、保有個人情報を情報システムで取り扱う場合は、当該情報システムの管理者と連携して、前項の事務を統括するものとする。
(保護担当者)
第5条 課においては、北茨城市行政組織規則第2条第1項に規定する室又は係ごとに保護担当者を1人置き、それぞれ当該室又は係の長をもって充てる。
2 保護担当者は、保護管理者を補佐し、課における保有個人情報の管理に関する事務を行うものとする。
(監査責任者)
第6条 市に、監査責任者を1人置き、総務部長をもって充てる。
2 監査責任者は、保有個人情報の管理の状況について、監査するものとする。
(保有個人情報の適切な管理のための会議)
第7条 総括保護管理者は、保有個人情報の管理に係る重要事項について、調整等を行う必要があると認めるときは、関係職員を構成員とする会議を開催することができる。
第3章 教育研修
第8条 総括保護管理者は、法第67条に規定する保有個人情報の取扱いに従事する職員に対し、保有個人情報の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発及び研修を実施するものとする。
2 総括保護管理者は、保有個人情報を取り扱う情報システムの管理に関する事務に従事する職員に対し、情報システムの管理、運用及びセキュリティ対策のための研修を実施するものとする。
3 総括保護管理者は、保護管理者及び保護担当者に対し、課における保有個人情報の適切な管理のための研修を実施するものとする。
4 保護管理者は、課の職員に対し、総括保護管理者の実施する研修への参加の機会の付与その他の必要な措置を講ずるものとする。
第4章 職員の責務
第9条 職員は、法の趣旨に則り、関連する法令及びこの規程並びに総括保護管理者、保護管理者及び保護担当者の指示に従い、保有個人情報を取り扱わなければならない。
第5章 保有個人情報の取扱い
(アクセス制限)
第10条 保護管理者は、保有個人情報の秘匿性、内容、量等(以下「秘匿性等」という。)に応じて、当該保有個人情報にアクセス(情報に接する行為をいう。以下同じ。)をする権限(以下「アクセス権限」という。)を有する職員及びアクセス権限の内容を、当該職員が業務を行う上で必要最小限の範囲に限定しなければならない。
2 保護管理者は、前項の規定によりアクセス権限を限定する場合は、個人識別の容易性の程度、要配慮個人情報の有無、漏えい等が発生したときに生じ得る被害の性質又は程度等を考慮して、これを行わなければならない。
3 アクセス権限を有しない職員は、保有個人情報にアクセスしてはならない。
4 職員は、アクセス権限を有する場合であっても、業務上の利用目的以外の目的で保有個人情報にアクセスしてはならない。
(複製等の制限)
第11条 保護管理者は、職員が行う次に掲げる行為については、保有個人情報の秘匿性等に応じて、当該行為を必要最小限に限定するものとする。
(1) 保有個人情報の複製
(2) 保有個人情報の送信
(3) 保有個人情報が記録されている媒体の外部への送付又は持出し
(4) その他保有個人情報の適切な管理に支障を及ぼすおそれがあると保護管理者が認める行為
(誤りの訂正等)
第12条 職員は、保有個人情報の内容に誤り等を発見したときは、保護管理者の指示に従い、訂正等を行わなければならない。
(媒体の管理等)
第13条 職員は、保護管理者の指示に従い、保有個人情報が記録されている媒体を定められた場所に保管するとともに、必要に応じて当該媒体の耐火金庫への保管、保管場所の施錠等を行わなければならない。
2 職員は、保有個人情報が記録されている媒体を外部へ送付し、又は持ち出す場合は、パスワード、ICカード、生体情報等(以下「パスワード等」という。)を使用してアクセス権限を識別する機能(以下「認証機能」という。)の設定その他のアクセスを制限するために必要な措置を講じなければならない。
(誤送付等の防止)
第14条 職員は、保有個人情報を含む電磁的記録若しくは媒体の誤送信、誤送付若しくは誤交付又は保有個人情報のウェブサイト等への誤掲載を防止するため、個別の事務又は事業において取り扱う保有個人情報の秘匿性等に応じ、複数の職員による確認、チェックリストの活用その他の必要な措置を講じなければならない。
(廃棄等)
第15条 職員は、保有個人情報又は保有個人情報が記録されている媒体(端末又はサーバに内蔵されているものを含む。)が不要となったときは、保護管理者の指示に従い、当該保有個人情報の復元又は判読が不可能な方法により、当該保有個人情報の消去又は当該媒体の廃棄を行わなければならない。
2 職員は、前項の消去又は廃棄を外部に委託する場合は、必要に応じて立会い又は写真等を付した書面の提出により、委託先において当該消去又は廃棄が確実に行われていることを確認しなければならない。
(保有個人情報の取扱状況の記録)
第16条 保護管理者は、保有個人情報の秘匿性等に応じて、当該保有個人情報の利用、保管等の状況について、台帳等を整備して記録しなければならない。
(外的環境の把握)
第17条 保護管理者は、保有個人情報が外国(クラウドサービス提供事業者が所在する外国及び個人データが保存されるサーバが所在する外国又は日本以外の地域をいう。)において取り扱われる場合は、当該外国の個人情報の保護に関する制度等を把握した上で、当該保有個人情報の安全管理のために必要な措置を講じなければならない。
第6章 情報システムにおける安全の確保等
(アクセス制御)
第18条 保護管理者は、保有個人情報(情報システムで取り扱うものに限る。以下第30条を除き、この章において同じ。)の秘匿性等に応じて、認証機能の設定その他のアクセスを制御するために必要な措置を講じなければならない。
2 保護管理者は、前項の措置を講ずる場合は、パスワード等の管理に関する規程等を整備し、パスワード等の読取防止等を行うために必要な措置を講じなければならない。
(アクセス記録)
第19条 保護管理者は、保有個人情報の秘匿性等に応じて、当該保有個人情報へのアクセスの状況を記録するとともに、その記録(以下「アクセス記録」という。)を一定の期間保存し、アクセス記録を定期的に分析するために必要な措置を講じなければならない。
2 保護管理者は、アクセス記録の改ざん、窃取又は不正な消去を防止するために必要な措置を講じなければならない。
(アクセス状況の監視)
第20条 保護管理者は、保有個人情報の秘匿性等に応じて、当該保有個人情報への不適切なアクセスを監視するため、保有個人情報を含み、又は含むおそれのある一定量以上の情報が情報システムからダウンロードされたときに警告が表示される機能の設定、当該設定の定期的な確認その他の必要な措置を講じなければならない。
(管理者権限の設定)
第21条 保護管理者は、保有個人情報の秘匿性等に応じて、情報システムの管理者としての権限を不正に窃取されたときの被害の最小化及び内部からの不正操作等の防止のため、当該権限を最小限とすることその他の必要な措置を講じなければならない。
(外部からの不正アクセスの防止)
第22条 保護管理者は、保有個人情報を取り扱う情報システムへの外部からの不正アクセス行為(不正アクセス行為の禁止等に関する法律(平成11年法律第128号)第2条第4項に規定する不正アクセス行為をいう。)を防止するため、ファイアウォールの設定による経路制御その他の必要な措置を講じなければならない。
(不正プログラムによる漏えい等の防止)
第23条 保護管理者は、不正プログラムによる保有個人情報の漏えい、滅失又は毀損(以下「漏えい等」という。)を防止するため、ソフトウェアに関し公開された脆弱性の解消、把握された不正プログラムの感染防止その他の必要な措置を講じなければならない。
(情報システムにおける保有個人情報の処理)
第24条 職員は、保有個人情報の加工等を行うため、当該保有個人情報の複製等を行う場合は、その対象を必要最小限とし、当該処理の終了後は、不要となった情報を速やかに消去しなければならない。
2 保護管理者は、保有個人情報の秘匿性等に応じて、前項の規定による消去の実施状況について、重点的に確認するものとする。
(暗号化)
第25条 保護管理者は、保有個人情報の秘匿性等に応じて、当該保有個人情報の暗号化を行うために必要な措置を講じなければならない。
2 職員は、処理する保有個人情報の秘匿性等に応じて、適切に暗号化を行い、又はパスワードの付与を行わなければならない。
(記録機能を有する機器又は媒体の接続制限)
第26条 保護管理者は、保有個人情報の秘匿性等に応じて、当該保有個人情報の漏えい等を防止するため、記録機能を有する機器又は媒体の情報システム端末等への接続の制限その他の必要な措置を講じなければならない。
(端末の限定等)
第27条 保護管理者は、保有個人情報の秘匿性等に応じて、当該保有個人情報を処理する端末を限定するために必要な措置を講じなければならない。
2 職員は、端末を外部へ持ち出し、又は外部から持ち込んではならない。ただし、保護管理者が必要があると認めるときは、この限りでない。
(端末の盗難防止)
第28条 保護管理者は、保有個人情報を処理する端末の盗難又は紛失を防止するため、端末の固定、執務室の施錠その他の必要な措置を講じなければならない。
(閲覧防止)
第29条 職員は、保有個人情報を処理する端末の使用に当たっては、当該保有個人情報が当該職員以外の者に閲覧されることを防止するため、当該端末の使用状況に応じて、情報システムからログオフを行うことその他の必要な措置を講じなければならない。
(入力情報の照合等)
第30条 職員は、情報システムで保有個人情報を処理する場合は、入力原票と入力内容との照合、処理前後の当該保有個人情報の内容の確認、既存の保有個人情報との照合等を行わなければならない。
(バックアップ)
第31条 保護管理者は、保有個人情報の秘匿性等に応じて、当該保有個人情報のバックアップを作成し、分散保管をするために必要な措置を講じなければならない。
(情報システム設計書等の管理)
第32条 保護管理者は、保有個人情報に係る情報システムの設計書、構成図その他の文書について外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講じなければならない。
第7章 情報システム室等の安全管理
(入退管理)
第33条 保護管理者は、保有個人情報を取り扱う基幹的なサーバ等を設置する室その他の区域(以下「情報システム室等」という。)に入室する権限を有する者を定めるとともに、用件の確認、入退の記録、部外者についての識別化、部外者が入室する場合の職員の立会い又は監視設備による監視、外部電磁的記録媒体等の持込み、利用及び持出しの制限又は検査その他の必要な措置を講じなければならない。
2 保護管理者は、保有個人情報を記録する媒体を保管するための施設(以下「保管施設」という。)を設けている場合においても、必要があると認めるときは、前項の措置を講ずるものとする。
3 保護管理者は、情報システム室等及び保管施設の入退の管理について、必要があると認めるときは、情報システム室等の出入口の特定化による入退の管理の容易化、所在表示の制限その他の必要な措置を講ずるものとする。
4 保護管理者は、情報システム室等及び保管施設の入退の管理について、必要があると認めるときは、入室に係る認証機能を設定するとともに、パスワード等の管理に関する規程等を整備し、パスワード等の読取防止等を行うために必要な措置を講ずるものとする。
(情報システム室等の管理)
第34条 保護管理者は、外部からの不正な侵入に備え、情報システム室等に施錠装置、警報装置、監視設備等の設置その他の必要な措置を講ずるものとする。
2 保護管理者は、災害等に備えて、情報システム室等に、耐震、防火、防煙、防水その他の必要な措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止その他の必要な措置を講ずるものとする。
第8章 保有個人情報の提供
第35条 保護管理者は、法第69条第2項第4号の規定により行政機関等以外の者に保有個人情報を提供する場合は、法第70条の規定により、提供先における利用目的、利用する業務の根拠法令、利用する記録範囲及び記録項目、利用形態等について書面を取り交わさなければならない。
2 保護管理者は、法第69条第2項第4号の規定により行政機関等以外の者に保有個人情報を提供する場合は、法第70条の規定により安全確保の措置を要求するとともに、必要があると認めるときは、提供前又は随時に実地の調査等を行い、その結果に応じて改善要求その他の必要な措置を講ずるものとする。
3 保護管理者は、法第69条第2項第4号の規定により行政機関等以外の者に保有個人情報を提供する場合は、提供先の利用目的及び当該保有個人情報の秘匿性等に応じて、必要があると認めるときは、個人を識別することができる記載の全部若しくは一部の削除又は別の記号等への置換えその他の措置を講ずるものとする。
4 保護管理者は、法第69条第2項第3号の規定により他の行政機関等に保有個人情報を提供する場合において、必要があると認めるときは、法第70条の規定により前3項に規定する措置を講ずるものとする。
第9章 保有個人情報の取扱いの委託
(業務の委託等)
第36条 保護管理者は、保有個人情報の取扱いに係る業務を外部に委託する場合は、個人情報を適切に管理する能力を有しない者を選定することがないよう、必要な措置を講ずるものとする。
2 保護管理者は、保有個人情報の取扱いに係る業務を外部に委託する場合は、契約書等に次に掲げる事項を明記するとともに、委託先における責任者及び業務従事者の管理体制並びに個人情報の管理の状況についての検査に関する事項その他の必要な事項について書面で確認するものとする。
(1) 個人情報に関する秘密保持、目的外利用の禁止等の義務に関する事項
(2) 再委託(再委託先が委託先の子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定する子会社をいう。)である場合又は再委託先が再々委託する場合を含む。以下同じ。)の制限又は事前承認等再委託に係る条件に関する事項
(3) 個人情報の複製等の制限に関する事項
(4) 個人情報の安全管理措置に関する事項
(5) 個人情報の漏えい等の事案の発生時における対応に関する事項
(6) 委託終了時における個人情報の消去及び媒体の返却に関する事項
(7) 法令又は契約に違反したときの契約解除、損害賠償責任その他の必要な事項
(8) 契約内容の遵守状況についての報告に関する事項
(9) 委託先における委託された個人情報の取扱状況を把握するための検査、調査等に関する事項
3 保護管理者は、保有個人情報の取扱いに係る業務を外部に委託する場合は、取扱いを委託する保有個人情報の範囲は、委託する業務の内容及び当該保有個人情報の秘匿性等に応じて必要最小限とする。
4 保護管理者は、保有個人情報の取扱いに係る業務を外部に委託する場合は、委託する業務の内容及び当該保有個人情報の秘匿性等に応じて、作業の管理体制及び実施体制並びに個人情報の管理の状況について、毎年少なくとも1回以上、実地検査又は書面調査により確認するものとする。
6 保護管理者は、保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合は、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記するものとする。
(業務の委託に関するその他の措置)
第37条 保護管理者は、保有個人情報の取扱いに係る業務を外部に委託する場合は、委託する業務の内容及び当該保有個人情報の秘匿性等に応じて、必要があると認めるときは、個人を識別することができる記載の全部若しくは一部の削除又は別の記号等への置換えその他の措置を講ずるものとする。
第10章 サイバーセキュリティの確保
(サイバーセキュリティに関する対策の基準等)
第38条 保護管理者は、個人情報を取り扱うために、情報システムを構築し、又は利用する場合は、サイバーセキュリティ基本法(平成26年法律第104号)第26条第1項第2号のサイバーセキュリティに関する対策の基準等を参考として、取り扱う保有個人情報の秘匿性等に応じて、適正なサイバーセキュリティの水準を確保するものとする。
第11章 安全確保上の問題への対応
(事案の報告及び再発防止措置)
第39条 職員は、保有個人情報の漏えい等安全確保の上で問題となる事案又は問題となる事案の発生のおそれを認識したときは、直ちに当該保有個人情報を管理する保護管理者に報告しなければならない。
2 保護管理者は、前項の規定による報告を受けたときは、被害の拡大防止又は復旧等のために必要な措置を速やかに講じなければならない。ただし、外部からの不正アクセス又は不正プログラムの感染が疑われる端末のLANケーブルを抜く等の被害拡大を防止するための措置については、直ちに行うものとする。
3 保護管理者は、事案の発生した経緯、被害状況等を調査し、保有個人情報漏えい等報告書(別記様式)により総括保護管理者に報告しなければならない。ただし、特に重大と認める事案が発生したときは、直ちに総括保護管理者に報告しなければならない。
4 総括保護管理者は、前項の規定による報告を受けたときは、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を市長に速やかに報告しなければならない。
5 保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるとともに、同種の業務を実施している課に再発防止措置を共有しなければならない。
(法に基づく報告及び通知)
第40条 総括保護管理者は、法第68条第1項の規定による個人情報保護委員会への報告及び同条第2項の規定による本人への通知を要する場合は、速やかに所定の手続を行うとともに、個人情報保護委員会による事案の把握等に協力するものとする。
(公表等)
第41条 総括保護管理者は、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る保有個人情報の本人への連絡その他の措置を講じなければならない。
2 総括保護管理者は、前項の公表を行うべき事案が発生したときは、当該事案の内容、経緯、被害状況等について、速やかに個人情報保護委員会へ情報提供を行うものとする。
第12章 監査及び点検の実施
(点検)
第43条 保護管理者は、課における保有個人情報の記録媒体、処理経路、保管方法等について、定期及び必要に応じ随時に点検を行い、その結果を総括保護管理者に報告するものとする。
第13章 その他
第45条 この規程に定めるもののほか、保有個人情報の安全管理のための措置について、必要な事項は、市長が別に定める。
附則
この訓令は、令和5年10月1日から施行する。