○沖縄市特定個人情報等の取扱いに関する管理規程
| (平成27年12月28日訓令第8号) |
|
目次
第1章 総則(第1条-第3条)
第2章 管理体制(第4条-第7条)
第3章 職員の責務(第8条・第9条)
第4章 特定個人情報等の取扱い(第10条-第20条)
第5章 情報システムにおける安全の確保等(第21条-第32条)
第6章 業務の委託等(第33条)
第7章 安全確保上の問題への対応(第34条・第35条)
第8章 監査及び点検の実施(第36条-第38条)
第9章 雑則(第39条)
附則
第1章 総則
(趣旨)
第1条 この訓令は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「法」という。)及び沖縄市個人番号の利用及び特定個人情報の提供に関する条例(平成27年沖縄市条例第36号。以下「条例」という。)に定めるもののほか、本市が取り扱う個人番号及び特定個人情報(以下「特定個人情報等」という。)の適切な取扱いの確保に関し必要な事項を定める。
(定義)
第2条 この訓令において、次の各号に掲げる用語の定義は、それぞれ当該各号に定めるところによる。
(1) 個人情報 法第2条第3項の個人情報をいう。
(2) 個人番号 法第2条第5項の個人番号をいう。
(3) 特定個人情報 法第2条第9項の特定個人情報をいう。
(4) 特定個人情報ファイル 法第2条第10項の特定個人情報ファイルをいう。
(5) 個人番号利用事務 法第2条第11項の個人番号利用事務をいう。
(6) 個人番号関係事務 法第2条第12項の個人番号関係事務をいう。
(7) 特定個人情報取扱区域 特定個人情報を取り扱う事務を行う執務室及び特定個人情報ファイルが保管された書庫等をいう。
(8) 電子計算組織 与えられた処理手順に従い、事務を自動的に処理する電子的機器の組織をいう。
(特定個人情報を取り扱う事務の範囲)
第3条 本市において特定個人情報を取り扱う事務は、法第9条の規定により実施する個人番号利用事務及び個人番号関係事務に限定する。
第2章 管理体制
(総括責任者)
第4条 特定個人情報等の管理に関する事務を総括し、特定個人情報の適正な取扱いについて職員等を監督するため、総括責任者を置く。
2 総括責任者は、主務の副市長をもって充てる。
(保護責任者)
第5条 特定個人情報等を取り扱う各課等に、当該各課等における特定個人情報等の管理に関し総括し、特定個人情報等の適正な取扱いについて当該各課等の職員を監督するため、保護責任者を置く。
2 保護責任者は、特定個人情報等を取り扱う各課等の長をもって充てる。
(事務取扱担当者)
第6条 保護責任者は、特定個人情報等を取り扱う職員(以下「事務取扱担当者」という。)を指定し、事務取扱担当者が取り扱う特定個人情報等の範囲を定めなければならない。
2 事務取扱担当者は、各課等の特定個人情報等の安全管理措置を講ずるため、特定個人情報を取得し、保管し、利用し、提供し、開示し、訂正し、利用停止し、若しくは廃棄し、又は委託処理等の特定個人情報等を取り扱う業務に従事する場合は、特定個人情報等の保護に十分な注意を払ってその業務を行うものとする。
(監査責任者)
第7条 特定個人情報等の管理の状況について監査するため、監査責任者を置く。
2 総括責任者は、監査責任者を指名する。
第3章 職員の責務
(職員の責務)
第8条 職員(会計年度任用職員を含む。以下同じ。)は、総括責任者及び保護責任者の指示に従い、特定個人情報等を取り扱わなければならない。
(教育研修)
第9条 総括責任者は、特定個人情報等を取り扱う者に対し、特定個人情報等の取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。
2 所属長は、当該各課等の職員に対し、特定個人情報等の適切な管理のために、総括責任者が実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。
第4章 特定個人情報等の取扱い
(個人番号の利用の制限)
第10条 事務取扱担当者は、法又は条例に定める場合を除き、個人番号を利用してはならない。
(特定個人情報等の収集等の制限)
第11条 職員は、法第19条各号のいずれかに該当する場合を除き、特定個人情報等を収集し、保管し、又は提供してはならない。
(提供の求めの制限)
第12条 職員は、個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合その他法で定める場合を除き、個人番号の提供を求めてはならない。
(本人確認措置)
第13条 本人又はその代理人から個人番号の提供を受けるときは、適切な本人確認措置を行う。
(特定個人情報ファイルの作成の制限)
第14条 職員は、個人番号利用事務等を処理するために必要な場合その他法で定める場合を除き、特定個人情報が含まれるファイル(以下「特定個人情報ファイル」という。)を作成してはならない。
(特定個人情報の取扱い状況の記録)
第15条 保護責任者は、特定個人情報ファイルの利用、保管及び廃棄の取扱状況を記録しなければならない。
(アクセス制限)
第16条 保護責任者は、特定個人情報等にアクセスする権限を有する者をその利用目的を達成するために必要最小限の範囲に限定するとともに、業務上必要な最小限度の特定個人情報等のみにアクセスを許可する対策を講じなければならない。
2 アクセスする権限を有しない職員は、特定個人情報等にアクセスしてはならない。
(複製等の制限)
第17条 職員は、業務上の目的で特定個人情報等を取り扱う場合であっても、次に掲げる行為については、保護責任者の指示に従い行うものとする。
(1) 特定個人情報の複製
(2) 特定個人情報の送信
(3) 特定個人情報が記録されている磁気記録(磁気テープその他これに類するものに記録された情報をいう。以下同じ。)の外部への送付又は持出し
(4) その他特定個人情報等の適切な管理に支障を及ぼすおそれのある行為
(誤りの訂正)
第18条 事務取扱担当者は、特定個人情報等の内容に誤りを発見した場合には、保護責任者の指示に従い、当該誤りの訂正を行わなければならない。
(廃棄等)
第19条 保護責任者は、保有する特定個人情報等又は特定個人情報等が記録されている電子計算組織又は磁気記録(以下この条において「電子計算組織等」という。)が不要となった場合には、当該特定個人情報等の復元又は判読が不可能な方法により当該特定個人情報等の消去又は当該電子計算組織等の廃棄を行わなければならない。
(特定個人情報等を取り扱う区域等の管理)
第20条 保護責任者は、特定個人情報取扱区域を明確にし、物理的な安全管理措置を講ずる。
第5章 情報システムにおける安全の確保等
(アクセス制御)
第21条 保護責任者は、各課等において取り扱う特定個人情報等について、パスワード、ICカード等を使用して権限を識別する機能の設定その他アクセス制御のために必要な措置を講ずる。
(アクセス記録等)
第22条 保護責任者は、特定個人情報等へのアクセス状況を記録し、保存し、又は定期若しくは随時に分析するために必要な措置を講ずる。
2 保護責任者は、アクセス記録の漏えい、改ざん、窃取又は不正な消去の防止等のために必要な措置を講ずる。
(アクセス状況の監視)
第23条 保有する特定個人情報等の秘匿性等の内容に応じて、当該特定個人情報等への不適切なアクセスの監視のための必要な措置を講ずる。
(外部からの不正アクセスの防止)
第24条 保有する特定個人情報等を取り扱う情報システム(以下「情報システム」という。)への外部からの不正アクセス等を防止するため、必要な措置を講ずる。
(管理者権限の設定)
第25条 保護責任者は、情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため、当該特権を最小限とするほか必要な措置を講ずる。
(不正プログラムによる漏えい等の防止)
第26条 保護責任者は、不正プログラムによる特定個人情報等の情報漏えい等の防止のため、必要な措置を講ずる。
(暗号化)
第27条 保護責任者は、特定個人情報等の秘匿性等の内容に応じて、特定個人情報等の情報漏えいを防止するため、暗号化による措置を講ずる。
(バックアップ)
第28条 保護責任者は、必要に応じて特定個人情報ファイルのバックアップの作成その他特定個人情報ファイルの分散保管のための措置を講ずる。
(端末の限定)
第29条 保護責任者は、保有する特定個人情報等の秘匿性等の内容に応じてその処理を行う端末(以下この条、次条及び第31条において「端末」という。)を限定するために必要な措置を講ずる。
(端末の盗難防止等)
第30条 保護責任者は、端末の盗難又は紛失の防止のために、必要な措置を講ずる。
2 職員は、保護責任者が必要と認めるときを除き、端末を外部へ持ち出し、又は外部から持ち込んではならない。
(第三者の閲覧防止)
第31条 職員は、端末の使用に当たっては、保有する特定個人情報等が第三者に閲覧されることがないよう必要な措置を講ずる。
(サーバー室等の入退管理等)
第32条 保有する特定個人情報等を取扱う情報システムの基幹的なサーバー等の機器を設置する場所その他の区域(以下この条において「サーバー室等」という。)を管理する者は、外部からの不正な侵入又は災害等に備え、サーバー室等に必要な措置を講ずる。
第6章 業務の委託等
(委託先の監督)
第33条 特定個人情報等を取り扱う事務を委託する場合は、委託先に対する適切な監督を行う。
第7章 安全確保上の問題への対応
(報告)
第34条 職員は、次に掲げる場合は、速やかに当該特定個人情報等を管理する保護責任者に報告しなければならない。
(1) 情報漏えい等の発生又は兆候を把握した場合
(2) 前号以外で安全確保上の問題となる事案が発生した場合
2 保護責任者は、前項の規定により報告を受けた場合は、直ちに総括責任者に当該事案について報告するとともに、速やかに被害の防止又は復旧等のために必要な措置を講じなければならない。この場合において、保護責任者は、事案の発生した経緯、被害状況等を調査し、当該調査内容も併せて総括責任者に報告するものとする。
(公表等)
第35条 総括責任者は、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る特定個人情報等の本人への対応等の措置を講ずる。
第8章 監査及び点検の実施
(監査等)
第36条 監査責任者は、保有する特定個人情報等の管理を検証するため、保有する特定個人情報等の管理の状況について、定期又は随時に監査を行い、その結果を総括責任者に報告する。
(点検等)
第37条 保護責任者は、自ら管理責任を有する保有する特定個人情報等が含まれる電子計算組織及び外部記憶媒体、処理経路、保管方法等について、定期又は随時に点検を行い、その結果を総括責任者に報告する。
(評価及び見直し)
第38条 保護責任者は、監査又は点検の結果等を踏まえ、実効性等の観点から保有する特定個人情報等の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずる。
第9章 雑則
(雑則)
第39条 この訓令に定めるもののほか、この訓令の実施のための手続その他について必要な事項は、別に定める。
附 則
この訓令は、平成28年1月1日から施行する。
附 則(平成28年3月31日訓令第9号)
|
|
この訓令は、平成28年4月1日から施行する。
附 則(平成30年3月30日訓令第7号)
|
|
この訓令は、平成30年4月1日から施行する。
附 則(平成30年7月6日訓令第13号)
|
|
この訓令は、平成30年7月9日から施行する。
附 則(平成30年7月27日訓令第14号)
|
|
この訓令は、公布の日から施行する。
附 則(令和4年7月8日訓令第10号)
|
|
この訓令は、令和4年7月9日から施行する。
附 則(令和5年3月31日訓令第2号)
|
|
この訓令は、令和5年4月1日から施行する。
附 則(令和6年3月29日訓令第5号)
|
|
この訓令は、令和6年4月1日から施行する。
附 則(令和7年3月31日訓令第4号)
|
|
この訓令は、令和7年4月1日から施行する。