○峡東地域広域水道企業団特定個人情報取扱規程
令和3年11月1日
訓令第1号
目次
第1章 総則(第1条―第5条)
第2章 安全管理措置
第1節 組織的安全管理措置(第6条―第16条)
第2節 人的安全管理措置(第17条)
第3節 物理的安全管理措置(第18条―第20条)
第4節 技術的安全管理措置(第21条―第24条)
第3章 特定個人情報の取得・収集の制限(第25条―第31条)
第4章 特定個人情報の開示、訂正及び利用停止(第32条)
第5章 特定個人情報の廃棄・削除(第33条・第34条)
第6章 特定個人情報の委託の取扱い(第35条)
第7章 その他(第36条―第38条)
附則
第1章 総則
(目的)
第1条 この規程は、峡東地域広域水道企業団(以下「企業団」という。)が、行政手続における特定の個人を識別するための番号の利用に関する法律(平成25年法律第27号。以下「番号法」という。)及び特定個人情報の適正な取扱いに関するガイドライン(行政機関等地方公共団体編)(平成26年12月11日。以下「ガイドライン」という。)に基づき、企業団における特定個人情報の安全管理措置について定めることにより、当該特定個人情報の適正な取扱いを確保することを目的とする。
(1) 実施機関 企業長、監査委員及び議会をいう。
(2) 個人情報 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(3) 保有個人情報 行政機関の職員及び独立行政法人等の役員又は職員が職務上作成し、当該行政機関の職員及び当該独立行政法人等の役員又は職員が組織的に利用するものとして、当該行政機関及び独立行政法人等が保有しているものをいう。
(4) 個人番号 番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう(番号法第2条第6項及び第7項、第8条及び第67条並びに附則第3条第1項から第3項まで、及び第5項における個人番号)。
(5) 特定個人情報 個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第7条第1項及び第2項、第8条及び第67条並びに附則第3条第1項から第3項まで、及び第5項を除く。)をその内容に含む個人情報をいう。
(6) 個人情報ファイル 個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)第2条第1項に規定する個人情報を含む情報の集合物であって、次に掲げるものをいう。
ア 特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもの
イ アに掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして個人情報の保護に関する法律施行令(平成15年政令第507号。以下「個人情報保護法施行令」という。)で定めるもの
(7) 特定個人情報ファイル 個人番号をその内容に含む個人情報ファイルをいう。
(8) 情報照会者 番号法別表第2の第1欄に掲げる者(法令の規定により、同表の第2欄に掲げる事務の全部又は一部を行うこととされている者がある場合にあっては、その者を含む。)をいう。
(9) 情報提供者 番号法別表第2の第3欄に掲げる者(法令の規定により同表の第4欄に掲げる特定個人情報の利用又は提供に関する事務の全部又は一部を行うこととされている者がある場合にあっては、その者を含む。)をいう。
(10) 情報提供等の記録 総務大臣、情報照会者及び情報提供者は、番号法第19条第7号の規定により情報提供ネットワークシステムを使用して特定個人情報の提供を求め又は提供があった場合には、情報提供ネットワークシステムに接続されたその者の使用する電子計算機(総務大臣においては情報提供ネットワークシステム)に、情報照会者及び情報提供者の名称、提供の求め及び提供の日時、特定個人情報の項目等を記録するものとされており、当該記録をいう。
(11) 個人番号利用事務 行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第9条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人情報を利用して処理する事務をいう。
(12) 個人番号関係事務 番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(13) 個人番号利用事務等 個人番号利用事務又は個人番号関係事務をいう。
(14) 個人番号利用事務実施者 個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう。
(15) 個人番号関係事務実施者 個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。
(16) 個人番号利用事務等実施者 個人番号利用事務実施者又は個人番号関係事務実施者をいう。
(個人番号を取り扱う事務の範囲)
第3条 企業団において個人番号を取り扱う事務の範囲は次の各号に掲げるものとする。
(1) 所得税法(昭和40年法律第33号)その他の所得税に関する法律により行う事務
(2) 地方税法(昭和25年法律第226号)その他の地方税に関する法律により行う事務
(3) 雇用保険法(昭和49年法律第116号)により行う事務
(4) 労働者災害補償保険法(昭和22年法律第50号)により行う事務
(5) 健康保険法(大正11年法律第70号)により行う事務
(6) 厚生年金保険法(昭和29年法律第115号)により行う事務
(7) 確定拠出年金法(平成13年法律第88号)により行う事務
(8) 地方公務員等共済組合法(昭和37年法律第152号)により行う事務
(9) その他、番号法及びその関係法令により行うこととされた事務
(特定個人情報の範囲)
第4条 前条に基づいて企業団が個人番号を取り扱う事務において使用する個人番号及び個人番号と関連付けて管理する個人情報(氏名、生年月日等)は、以下のとおりとする。
(1) 番号法第16条に基づく本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、通知カード及び身元確認書類)の写し及び当該書類の記載情報
(2) 実施機関の長が行政機関等に提出するために作成した個人番号が記載された届出書等及びこれらの控え並びに当該書類の記載情報
(3) 実施機関の長が届出書等を作成する上で情報主体から受領する個人番号が記載された申告書及び当該書類の記載情報
(4) その他個人番号と関連づけて保存される情報
(個人番号の利用範囲)
第5条 企業団が行う個人情報の利用は、第3条に掲げる事務の範囲内に限るものとする。ただし、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難である場合を除くものとする。
第2章 安全管理措置
第1節 組織的安全管理措置
(管理体制)
第6条 企業団に総括責任者、監査責任者、事務取扱担当者及び事務取扱補助者を置く。
2 総括責任者は、事務局長をもって充てる。
3 事務取扱担当者は、総括責任者が指名する者をもって充てる。
4 事務取扱補助者は、事務取扱担当者を補助する者とする。
5 監査責任者は、総括責任者が兼ねる。
(総括責任者の責務)
第7条 総括責任者は、この規程を遵守するとともに、事務取扱担当者にこれを遵守させるための教育、安全対策の実施及び周知徹底の措置を講ずる責任を負う。
3 総括責任者は、次の業務を所管する。
(1) 特定個人情報の安全管理に関する教育及び研修の企画並びに実施
(2) 特定個人情報の利用申請の承認及び管理
(3) 特定個人情報の運用状況の把握及び管理
(4) 特定個人情報ファイルの取扱い状況の把握及び管理
(5) 事務取扱担当者及び事務取扱補助者の監督並びに管理
(6) 特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報を取り扱う事務を実施する区域(以下「取扱区域」という。)の設定及び管理
(7) 委託先における特定個人情報の取扱い状況の監督
(8) その他、企業団全体における特定個人情報の安全管理
第8条 総括責任者は、この規程を遵守するとともに、事務取扱担当者及び事務取扱補助者がこれを遵守しているか常時把握し、管理する責任を負う。
(事務取扱担当者の責務)
第9条 事務取扱担当者及び事務取扱補助者は、特定個人情報の「取得」、「利用」、「保管」、「提供」、「開示、訂正、利用停止」、「削除・廃棄」又は委託処理等、特定個人情報を取り扱う業務に従事するに当たっては、特定個人情報を保護するため、番号法、個人情報保護法その他の関連法令及びガイドライン並びにこの規程を遵守するとともに、総括責任者の指示に従わなければならない。
2 事務取扱担当者及び事務取扱補助者は、特定個人情報の漏えい等、番号法、個人情報保護法、ガイドライン及びこの規程に違反している事実又はその兆候を把握した場合には、速やかに総括責任者に報告するものとする。
(特定個人情報の運用状況の記録)
第10条 事務取扱担当者は、この規程に基づく運用状況を確認するため、以下の項目につき、システムログ及び利用実績を記録し、総括責任者がこれを管理、保管するものとする。
(1) 特定個人情報ファイルの利用・出力状況の記録
(2) 書類及び特定個人情報記録媒体等の持出しの記録
(3) 特定個人情報ファイルの削除・廃棄に関する記録
(4) 削除・廃棄を委託した場合、これを証明する記録等
(5) 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システム利用の状況(ログイン実績等)
(取扱状況の確認)
第11条 事務取扱担当者は、特定個人情報ファイルの取扱い状況を確認するため、企業団が保有する特定個人情報ファイルについて、それぞれ次に掲げる事項を記録した帳簿を作成し、総括責任者がこれを管理、保管するものとする。なお、特定個人情報管理台帳には、特定個人情報等は記載しないものとする。
(1) 特定個人情報ファイルの種類、名称
(2) 特定個人情報ファイルが利用に供される事務をつかさどる組織の名称
(3) 特定個人情報ファイルの利用目的
(4) 特定個人情報ファイルに記録される項目(以下この条において「記録項目」という。)及び本人(他の個人の氏名、生年月日その他の記述等によらないで、検索し得る者に限る。)として特定個人情報ファイルに記録される個人の範囲(以下この条において「記録範囲」という。)
(5) 特定個人情報ファイルに記録される個人情報(以下この条において「記録情報」という。)の収集方法
(6) 取扱区域、管理区域
(7) 削除・廃棄の状況
(情報漏えい事案等への対応及び再発防止、公表等)
第12条 保有する特定個人情報の漏えい等、安全確保の上で問題となる事案の発生又はその兆候を把握した職員は、速やかに当該特定個人情報を管理する総括責任者に報告するものとする。
2 総括責任者は、発生した事案による被害の拡大防止又は復旧等のために必要な措置を講ずるものとする。
3 総括責任者は、事案の発生した経緯、被害状況等を調査しなければならない。
4 総括責任者は、事案の内容等に応じ、当該事案の内容、経緯、被害状況等を速やかに企業長に報告するものとする。
5 総括責任者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるものとする。
第13条 総括責任者は、発生した事案の内容、影響に応じ、事実関係及び再発防止策の公表、当該事案に係る本人への対応等の措置を講ずるものとする。
(監査)
第14条 監査責任者を兼ねる総括責任者は、特定個人情報の管理の状況について、定期に又は随時に監査を行うものとする。
(点検)
第15条 総括責任者は、自ら管理責任を有する特定個人情報の記録媒体、処理経路、保管方法等について、定期に又は随時に点検を行うものとする。
(評価及び見直し)
第16条 総括責任者は、前2条に基づく監査又は点検の結果を踏まえ、保有個人情報の適切な管理のための措置について、実効性等の観点から評価を行うものとする。
2 総括責任者は、前項による評価の結果を踏まえ、必要があると認めるときは、この規程の見直し等、必要な措置を講ずるものとする。
第2節 人的安全管理措置
第17条 総括責任者は、事務取扱担当者に対し、特定個人情報の取扱いについて理解を深め、特定個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。
2 総括責任者は、特定個人情報等を取り扱う情報システムの管理に関する事務に従事する職員に対し、特定個人情報の適切な取扱いのために、総括責任者の実施する教育研修への参加の機会を付与する等必要な措置を講ずるものとする。
第3節 物理的安全管理措置
(管理区域及び取扱区域)
第18条 総括責任者は、管理区域及び取扱区域を設定するものとし、それぞれ次の各号のとおり必要な措置を講ずるものとする。
(1) 管理区域 入退室管理並びに管理区域へ持ち込む機器及び電子媒体等の制限を行うものとする。
(2) 取扱区域 事務取扱担当者以外の者の往来が少ない場所を割り当て、座席配置の工夫、壁又は間仕切り等を設置するなど、特定個人情報が第三者に閲覧されることがないように安全管理措置を講ずるものとする。
(機器及び電子媒体等の盗難等の防止)
第19条 総括責任者は、管理区域及び取扱区域における特定個人情報を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講ずる。
(1) 特定個人情報を取り扱う機器、電子媒体又は書類等は、施錠できるキャビネット、書庫等に保管する。
(2) 特定個人情報ファイルを取り扱う情報システム機器は、セキュリティーワイヤー等により固定する。
(電子媒体等を持ち出す場合の漏えい等の防止)
第20条 特定個人情報が記録された電子媒体又は書類等の持出し(特定個人情報を、管理区域又は取扱区域の外へ移動させることをいい、企業団内での移動も含む。)については、次に掲げる場合を除き禁止する。
(1) 個人番号関係事務に係る外部委託先に対し、委託事務を実施する上で必要と認められる範囲でデータを提供する場合
(2) 行政機関等への届出書等の提出等、企業団が実施する個人番号関係事務に関し、個人番号利用事務実施者に対してデータ又は書類を提出する場合
(3) 各部署で取りまとめた個人番号関係事務に必要な特定個人情報を担当部署に移動する場合
2 前項により特定個人情報が記録された電子媒体又は書類等の持出しを行う場合には、以下の安全策を講ずるものとする。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従うものとする。
(1) 特定個人情報が記録された電子媒体を安全に持ち出す方法
ア 持出しデータの暗号化
イ 持出しデータのパスワードによる保護
ウ 施錠できる搬送容器の使用
エ 追跡可能な移送手段の利用
(2) 特定個人情報が記録された書類等を安全に持ち出す方法
ア 封緘、目隠しシールの貼付け(各部署の事務取扱担当者間において特定個人情報が記載された書類等を移送する場合を含む。)
第4節 技術的安全管理措置
(アクセス制限)
第21条 情報システムを使用して個人番号利用事務等を行う場合は、当該事務で取り扱う特定個人情報ファイルの範囲を限定するため、次の各号に掲げるアクセス制御を行うものとする。
(1) 事務取扱担当者及び事務取扱補助者は、アクセス権限を有しない特定個人情報にアクセスしてはならない。
(2) パスワード等により、事務取扱担当者又は事務取扱補助者がアクセスできる特定個人情報の範囲を限定する。
(3) 特定個人情報を取り扱う情報システムを、アクセス制御により限定する。
(4) 特定個人情報ファイルを取り扱うための情報システムを使用できる者について、取り扱う特定個人情報の範囲に応じ、パスワード等により限定する。
(アクセス者の識別と認証)
第22条 特定個人情報を取り扱う情報システムは、ユーザーID、パスワード、磁気、ICカード等の識別方法により、事務取扱担当者又は事務取扱補助者が適正なアクセス権を有する者であることを識別した結果に基づき認証するものとする。
2 事務取扱担当者又は事務取扱補助者が異動等によって変更になった場合には、直ちにパスワードを変更するなど、アクセス権の変更設定を行わなければならない。
(外部からの不正アクセス等の防止)
第23条 企業団は、外部からの不正アクセス又は不正ソフトウェアから情報システムを保護する仕組み等を導入し、適切に運用するものとする。
2 個人番号利用事務の実施に当たっては、接続する情報提供ネットワークシステム等の接続規程等が示す安全管理措置を遵守するものとする。
3 個人番号利用事務において使用する情報システムについて、インターネットから独立する等の高いセキュリティー対策を踏まえたシステム構築や運用体制の整備を行うものとする。
(情報漏えい等の防止)
第24条 特定個人情報をインターネット等により外部に送信する場合、通信経路及びデータを暗号化、パスワードによる保護等により、通信経路における情報漏えい等を防止するものとする。
第3章 特定個人情報の取得・収集の制限
(個人番号の提供の要求)
第25条 企業団は、第3条に掲げる事務を処理するために必要な場合に限り、本人又は他の個人番号利用事務等実施者に対し、個人番号の提供を求めることができるものとする。
(個人番号の提供を求める時期)
第26条 前条に規定する個人番号の提供を求める時期は、当該個人番号利用事務を処理する必要が生じたときとする。
(特定個人情報の提供の求めの制限)
第27条 特定個人情報の提供を求めることができる場合は、番号法第19条各号のいずれかに該当し、特定個人情報の提供を求めることができる場合に限るものとする。
(特定個人情報の提供制限)
第28条 特定個人情報は、番号法第19条各号に該当する場合を除き、本人の同意の有無にかかわらず、第三者に提供しないものとする。
(特定個人情報の提供制限の特例)
第29条 企業団における実施機関においては、その事務組織の実態を勘案し、当該施機関における事務を処理するために必要な限度において、相互に特定個人情報を提供することができるものとする。
(特定個人情報の収集制限)
第30条 特定個人情報は、第3条各号に該当する場合を除き、収集してはならないものとする。
(本人確認)
第31条 個人番号を取得するに当たっては、番号法第16条に定める各方法により個人番号の確認及び当該人の身元確認を行うものとする。また、代理人については、同条に定める各方法により、当該代理人の身元確認、代理権の確認及び本人の個人番号の確認を行うものとする。
2 個人番号が変更された者は、変更後の個人番号を遅滞なく企業団へ届け出なければならない。
第4章 特定個人情報の開示、訂正及び利用停止
(開示、訂正及び利用停止等)
第32条 特定個人情報の開示、訂正及び利用停止に関する求めがあった場合は、番号法及び個人情報保護法の規定に基づき、適切な処理に努めなければならない。
第5章 特定個人情報の廃棄・削除
(特定個人情報の保管制限)
第33条 特定個人情報は、第3条に定める事務を行うために必要な範囲を超えて保管してはならない。
2 特定個人情報は、番号法で定められた事務を処理する必要がなくなり、かつ、峡東地域広域水道企業団文書管理規程(平成16年峡東地域広域水道企業団訓令第1号)に基づく保存期間を経過するまでの期間を限度として、保管することができるものとする。
(1) 特定個人情報が記録された書類等を廃棄する場合、裁断又は溶解等の復元不可能な手段を用いなければならない。
(2) 特定個人情報が記録された機器及び電子媒体等を廃棄する場合、専用データ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を用いなければならない。
(3) 特定個人情報ファイル中の個人番号又は一部の特定個人情報を削除する場合、容易に復元できない手段を用いなければならない。
(4) 個人番号が記載された書類等については、法定保存期間経過後、最初に到来する年度末までに廃棄するものとする。
(5) 前号の規定にかかわらず、番号法上の本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、通知カード、身元確認書類等)の写しについては、総括責任者が必要と認める保存期間経過後の最初に到来する年度末に廃棄するものとする。
2 総括責任者は、事務取扱担当者が個人番号若しくは特定個人情報ファイルを削除した場合又は電子媒体等を廃棄した場合には、削除又は廃棄した以下の内容についての記録を保存するものとする。また、これらの作業を委託する場合には、受託者が確実に削除又は廃棄したことについて、文書等により確認するものとする。
(1) 特定個人情報ファイルの種類、名称
(2) 特定個人情報ファイルが利用に供される事務をつかさどる組織の名称
(3) 削除、廃棄状況
第6章 特定個人情報の委託の取扱い
(委託先における安全管理措置)
第35条 個人番号関係事務又は個人番号利用事務の全部又は一部を委託する場合には、委託先において、番号法に基づき企業団が果たすべき安全管理措置と同等の措置が講じられるよう、必要かつ適切な監督を行うものとする。
2 前項に定める必要かつ適切な監督には、次に掲げる事項を含むものとする。
(1) 委託先の適切な選定
(2) 委託先に安全管理措置を遵守させるために必要な契約の締結
(3) 委託先における特定個人情報の取扱い状況の把握
(1) 設備
(2) 技術水準
(3) 従業者(従業員の他、取締役、監査役、理事、派遣社員等を含む。)に対する監督及び教育の状況
(4) 営業環境
(5) 特定個人情報に関する安全管理体制の状況
4 第2項第2号に掲げる事項については、次に掲げる事項を契約書に明記するものとする。
(1) 秘密保持に関する規定
(2) 事業所内からの特定個人情報の持出し禁止に関する規定
(3) 特定個人情報の目的外利用の禁止に関する規定
(4) 再委託の要件及びその他必要な再委託に関する規定
(5) 情報の漏えい事案等が発生した場合の委託先の対応及び責任に関する規定
(6) 委託契約終了後の特定個人情報の返却又は廃棄に関する規定
(7) 特定個人情報の取扱者の明確化に関する規定
(8) 従業者に対する指導・監督・教育に関する規定
(9) 契約内容の遵守状況について報告を求める旨の規定
(10) 委託先に対し、必要に応じて実地調査を行う規定
5 個人番号関係事務又は個人番号利用事務の全部若しくは一部を再委託するときは、企業団の許諾を受けなければならないものとし、この場合、当該再委託の契約書に、前項各号に定める事項を明記しなければならないものとする。
6 再委託先が更に委託する場合は、前項の規定を準用する。
第7章 その他
(苦情への対応)
第36条 苦情受付窓口担当者が苦情を受け付けた場合には、その旨を総括責任者に報告するものとし、報告を受けた総括責任者は、当該苦情について適切に対応するものとする。
(処分)
第37条 職員が番号法に定める法令違反等の不正行為を行った場合は、峡東地域広域水道企業団職員の懲戒の手続及び効果に関する条例(平成3年峡東地域広域水道企業団条例第10号)の規定に基づき処分するものとする。
第38条 番号法、個人情報保護法、ガイドライン及びこの規程に定めるもののほか、企業団における特定個人情報の取扱いについて必要な事項は、企業長が別に定める。
附則
この訓令は、令和3年11月1日から施行する。