○与那国町特定個人情報の取扱いに関する管理規程
平成28年7月29日
訓令第11号
(趣旨)
第1条 この訓令は、与那国町が保有する個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な管理について必要な事項を定めるものとする。
(定義)
第2条 この訓令における用語の意義は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)及び個人情報の保護に関する法律(平成15年法律第57号)において使用する用語の例による。
(職員の責務)
第3条 職員は、特定個人情報等の管理を適正に行うため関係法令及びこの訓令を遵守するものとする。
(総括保護管理者)
第4条 本町が保有する特定個人情報等の管理に関する事務を総括させるため、総括保護管理者を置く。
2 総括保護管理者は、副町長をもって充てる。
3 副町長に事故等があるときは、町長が指名する者を充てる。
(保護管理者)
第5条 特定個人情報等を扱う各課に、保護管理者を置き、当該各課の長をもって充てる。
2 保護管理者は、各課における特定個人情報等を適正に管理する任にあたる。
3 保護管理者は、特定個人情報等を取扱う職員(以下「事務取扱担当者」という。)及びその役割を指定し、必要な監督を行う。
4 保護管理者は、次の各号に掲げる組織体制を整備する。
(1) 特定個人情報等の漏えい、滅失又は毀損等(以下「情報漏えい等」という。)の事案の発生又はその兆候を把握した場合の職員から保護管理者への報告、連絡及び対応体制
(2) 特定個人情報等を複数の課で取扱う場合の各課の任務分担及び責任の明確化
(監査責任者)
第6条 町長は、保有特定個人情報の管理状況を監査させるため、監査責任者を置く。
2 監査責任者は、総務課長をもって充てる。
(取扱制限)
第7条 保護管理者は、保有特定個人情報を取扱う権限を有する者を必要最小限の職員に限らなければならない。
2 前項に規定する権限を付与されていない職員は、保有特定個人情報に接してはならない。
3 職員は、第1項で規定する権限を有する場合であっても、業務上の目的以外の目的で保有特定個人情報を取扱ってはならない。
(複製等の制限)
第8条 事務取扱担当者は、業務上の目的で保有個人情報を取扱う場合であっても、次に掲げる行為については、保護管理者の指示に従わなければならない。
(1) 保有特定個人情報の複製
(2) 保有特定個人情報の送信
(3) 保有特定個人情報の外部への送付又は持出し
(4) 前3号に掲げるものの他保有特定個人情報の適正な管理に支障を及ぼすおそれのある行為
(誤りの訂正等)
第9条 事務取扱担当者は、保有特定個人情報の内容に誤り等を発見した場合には、保護管理者の指示に従い、訂正等を行わなければならない。
(媒体の管理等)
第10条 事務取扱者は、保護管理者の指示に従い、保有特定個人情報が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫への保管、施錠等を行わなければならない。
(廃棄等)
第11条 事務取扱担当者は、保有特定個人情報又は保有特定個人情報が記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合には、保護管理者の指示に従い、当該保有特定個人情報の復元又は判読が不可能となる方法により当該情報の消去又は当該媒体の廃棄を行わなければならない。
(保有特定個人情報の取扱状況の記録)
第12条 保護管理者は、保有特定個人情報の利用及び保管等の取扱状況について記録しなければならない。
(個人番号の利用の制限)
第13条 保護管理者は、個人番号の利用にあたり、番号法及び与那国町行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく個人番号の利用に関する条例(平成27年与那国町条例第23号)で定める事務に限定しなければならない。
(特定個人情報の提供の求めの制限)
第14条 事務取扱者は、個人番号利用事務及び個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合その他番号法で定める場合を除き、個人番号の提供を求めてはならない。
(特定個人情報ファイルの作成の制限)
第15条 事務取扱者は、個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイルを作成してはならない。
(特定個人情報等の収集、保管の制限)
第16条 事務取扱者は、番号法第19条の各号のいずれかに該当する場合を除き、特定個人情報等を収集、保管又は提供してはならない。
(特定個人情報等の取扱区域)
第17条 保護管理者は、特定個人情報等を取扱う事務を実施する区域を明確にし、物理的な安全管理措置を講じなければならない。
(安全の確保等)
第18条 特定個人情報等(情報システムで取り扱うものに限る。)を取扱う情報システムを運用する者は、当該情報システムにおける安全を確保するため、総括保護管理者が定める措置を講じなければならない。
2 特定個人情報等を取扱う情報システムに接続する電子計算機等(以下「端末」という。)を運用管理する者(以下「端末管理者」という。)は、端末における安全を確保するため、総括保護管理者が定める措置を講じなければならない。
3 特定個人情報等を取扱う情報システム及び端末を利用する職員は、端末管理者及び保護管理者の指示に従わなければならない。
(アクセス状況の記録)
第19条 保護管理者は、保有特定個人情報へのアクセス状況を記録し、その記録を一定の期間保存しなければならない。
2 保護管理者は、前項のアクセス状況の記録を定期に及び必要に応じ随時に分析するものとする。
3 保護管理者は、第1項のアクセス状況の記録の改ざん、窃取又は不正な消去等の防止のために必要な措置を講じなければならない。
(記録機能を有する機器・媒体の接続制限)
第20条 保護管理者は、保有特定個人情報の情報漏えい等の防止のため、記録機能を有する機器・媒体の情報システム及び端末への接続の制限(当該機器の更新への対応を含む。)等の必要な措置を講じなければならない。
(端末の管理)
第21条 保護管理者は、保有特定個人情報の処理を行う端末を限定しなければならない。
2 保護管理者は、前項の端末の盗難又は紛失の防止のため、端末の固定、執務室の施錠等の必要な措置を講じなければならない。
3 事務取扱担当者は、保護管理者が必要があると認めるときを除き、第1項の端末を外部へ持ち出してはならない。
(第三者の閲覧防止)
第22条 事務取扱担当者は、端末の使用にあたっては、保有特定個人情報が第三者に閲覧されることがないようにしなければならない。
(入退管理)
第23条 保有特定個人情報を取扱う情報システムの基幹的なサーバ等の機器を設置する室その他の区域を管理する者は、災害及び外部からの不正な侵入に備え、当該室等の安全管理について、総括保護管理者が定める措置を講じなければならない。
(業務の委託等)
第24条 保護管理者は、特定個人情報等の取扱に係る業務の全部又は一部を外部に委託するときは、特定個人情報等の適正な管理を行う能力を有しない者を選定してはならない。また、契約書に、次に掲げる事項を明記するとともに、委託を受けた者における責任者及び業務実施者の管理体制及び実施体制、特定個人情報等の管理の状況についての検査に関する事項等の必要な事項について書面で確認しなければならない。
(1) 特定個人情報等に関する秘密保持、目的外利用の禁止等に関する事項
(2) 再委託の制限又は事前承認等再委託に係る条件に関する事項
(3) 特定個人情報等の複製、持出し等の制限に関する事項
(4) 特定個人情報等の漏えい等の事案の発生時における対応に関する事項
(5) 委託終了時における特定個人情報等の消去及び媒体の返却に関する事項
(6) 違反した場合における契約解除、損害賠償責任その他必要な事項
2 保護管理者は、特定個人情報等の取扱いに係る業務の全部又は一部を外部に委託するときは、委託先において、番号法に基づき与那国町が果たすべき安全管理措置と同等の措置が講じられることを、あらかじめ確認しなければならない。
3 保護管理者は、特定個人情報等の取扱いに係る業務の全部又は一部を外部に委託するときは、委託先において、番号法に基づき与那国町が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。
4 保護管理者は、特定個人情報等の取扱いに係る業務の全部又は一部を外部に委託するときは、委託先における特定個人情報等の管理状況について、年1回以上の定期検査等により確認するものとする。
(事案の報告及び再発防止措置)
第25条 職員は、次に掲げる事案の発生又はそのおそれを認識した場合は、直ちに保護管理者に報告しなければならない。
(1) 特定個人情報等の情報漏えい等の事案
(2) 事務取扱担当者が番号法及びこの訓令等に違反している事案
(3) その他特定個人情報等の安全確保上で問題となる事案
2 前項の報告を受けた保護管理者は、被害の拡大防止又は復旧等のために必要な措置を直ちに講じなければならない。
3 保護管理者は、事案の発生した経緯、被害状況等を調査し、速やかに総括保護管理者に報告するものとする。ただし、特に重大と認める事案が発生した場合には、直ちに町長に当該事案の内容等について報告しなければならない。
4 総括保護管理者は、前項の規定の基づく報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を町長に速やかに報告するものとする。
5 総括保護管理者及び保護管理者は、情報漏えい等の事案が発生した原因を分析し、事案の内容等に応じて、再発防止のために必要な措置を講ずるものとする。
(監査)
第26条 監査責任者は、保有特定個人情報の管理の状況について、定期に又は随時に監査を行い、その結果を総括保護管理者に報告する。
(点検)
第27条 保護管理者は、保有特定個人情報の記録媒体、処理経路、保管方法等について、定期に又は随時に点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告する。
(特定個人情報等の取扱いに従事する職員に対する研修)
第28条 総括保護管理者は、保有特定情報の取扱いに従事する職員に対し、特定個人情報等の取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を実施する。
2 総括保護管理者は、保有特定個人情報を取扱う情報システムの管理に関する事務に従事する職員に対し、保有特定個人情報の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を実施する。
3 所属長は、当該課等の職員に対し、保有特定個人情報の適切な管理のために、総括保護管理者が実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。
(評価及び見直し)
第29条 この訓令は、監査又は点検の結果等を踏まえ、実行性等の観点から評価し、必要があると認めるときは、その見直し等の措置を行う。
(その他)
第30条 この訓令に定めるもののほか、特定個人情報等の適正な管理について必要な事項は、別に定める。
附則
この訓令は、公布の日から施行する。
附則(令和2年9月7日訓令第21号)
この訓令は、公布の日から施行する。
附則(令和5年3月17日訓令第4号)
この訓令は、令和5年4月1日から施行する。