○東総広域水道企業団特定個人情報取扱規程
平成28年11月1日
規程第3号
目次
第1章 総則(第1条―第4条)
第2章 組織体制等(第5条―第9条)
第3章 特定個人情報等の取得、利用等(第10条―第17条)
第4章 特定個人情報等の提供、保管、廃棄等(第18条―第20条)
第5章 特定個人情報等の開示、訂正、停止(第21条―第23条)
第6章 委託の取扱い(第24条―第25条)
第7章 安全管理措置
第1節 組織的安全管理措置(第26条―第27条)
第2節 人的安全管理措置(第28条―第29条)
第3節 物理的安全管理措置(第30条―第33条)
第4節 技術的安全管理措置(第34条―第37条)
第8章 その他(第38条―第39条)
第1章 総則
(目的)
第1条 この規程は、東総広域水道企業団(以下「企業団」という。)の取扱う特定個人情報の適正な収集、保管、利用及び提供を確保し、並びに企業団が保有する特定個人情報の安全かつ適正な取扱いを図ることを目的とする。
(定義)
第2条 この規程に掲げる用語の定義は、次の各号に定めるとおりとする。
(1) 実施機関 企業長をいう。
(2) 個人情報 個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)第2条第1項に規定する個人情報であって、生存する個人に関する情報であり、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることになるものを含む。)をいう。
(3) 個人番号 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第2条第5項に定める個人番号をいい、同条第8項括弧書きに定められたものを含む。
(4) 本人 番号法第2条第6項に定める本人をいう。
(5) 特定個人情報 番号法第2条第8項に定める特定個人情報をいう。
(6) 特定個人情報ファイル 番号法第2条第9項に定める特定個人情報ファイルをいう。
(7) 個人番号利用事務 番号法第2条第10項に定める個人番号利用事務をいう。
(8) 個人番号関係事務 番号法第2条第11項に定める個人番号関係事務をいう。
(9) 個人番号利用事務実施者 番号法第2条第12項に定める個人番号利用事務実施者をいう。
(10) 個人番号関係事務実施者 番号法第2条第13項に定める個人番号関係事務実施者をいう。
(11) 職員 地方公営企業法(昭和27年法律第292号)第15条の規定に基づき、企業長が企業団職員として任命した者をいう。
(取扱規程の適用対象)
第3条 この規程の適用対象は、次号に定めるところによる。
(1) 企業団の全ての職員に適用する。
(2) 企業団が取扱う全ての特定個人情報等に適用する。
(法令等の遵守)
第4条 実施機関は、番号法その他の関係法令を遵守し、特定個人情報等を適正に取扱うため必要な組織体制を整備するとともに、当該規程にこれを運用する。
第2章 組織体制等
(事務取扱責任者)
第5条 実施機関は、特定個人情報等の管理に関する責任者として事務取扱責任者を置く。
2 事務取扱責任者は、総務課長とする。
3 事務取扱責任者は、次の各号に定める事項その他企業団における特定個人情報等に関する全ての権限と責務を有する。
(1) 特定個人情報等の適正な取扱いに関する基本方針の作成、職員への周知、一般への公表
(2) 当該規程に基づき特定個人情報等の取扱いを管理する上で必要とされる事項の決定・承認
(3) 特定個人情報等の適正な取扱い、安全対策を維持・推進するための施策の策定・実施
(4) 事故発生時の対応策の策定・実施
(事務取扱担当者)
第6条 実施機関は、特定個人情報等に関する事務を取扱う者として、事務取扱担当者を置く。
2 事務取扱担当者は、その取扱う事務の範囲を定めた上で、事務取扱責任者が選任する。
3 事務取扱担当者は、特定個人情報等を取扱う情報システム及び機器等を適切に管理し、利用権限のない者には使用させてはならない。
4 事務取扱担当者は、特定個人情報等に関する事務の運用状況を明確にするため、第9条に定める記録を作成する。
(個人番号を取扱う事務の範囲)
第7条 実施機関が、個人番号関係事務を行う事務の範囲は次の各号に定めるところによる。
(1) 給与所得・退職所得の源泉徴収票作成事務
(2) 給与所得者の扶養控除等(異動)申告書及び給与所得者の保険料控除申告書兼給与所得者の配偶者特別控除申告書の取扱事務
(3) 退職所得の受給に関する申告書の取扱事務
(4) 健康保険及び厚生年金保険の届出事務、申請事務、請求事務及び証明書作成事務
(5) 労働保険の届出事務、申請事務、請求事務及び証明書作成事務
(6) 報酬・料金等の支払調書作成事務
(7) 不動産の賃料・売買代金の支払調書作成事務
(8) その他、番号法第9条各項所定の事務
(取扱い状況を確認する手段の整備)
第8条 特定個人情報ファイル等の取扱い状況を確認するため、事務取扱責任者が別途定める事項を記録する。なお、取扱い状況を確認するための記録等には、特定個人情報等は記載しない。
(規程等に基づく運用)
第9条 当該規程等に基づく運用状況を確認するため、事務取扱責任者が別途定めるシステムログ又は利用実績を記録する。
第3章 特定個人情報等の取得、利用等
(個人番号の取得、提供の求め)
第10条 実施機関は、個人番号関係事務を処理するために必要がある場合に限って、本人又は他の個人番号関係事務実施者若しくは個人番号利用事務実施者に対して、個人番号の提供を求めることができる。
(本人確認措置)
第11条 前条に基づいて本人から個人番号の提供を受けるときは、番号法第16条及び番号法施行規則に定める方法により職員から個人番号の提供を受けるものとする。
2 職員は、個人番号の提供が番号法の定めにより個人番号関係事務に必要なものである限り、実施機関が行う本人確認の措置に協力しなければならない。
3 前項の規定にかかわらず、個人番号の提供に協力しなかったことによる不利益は当該職員が負うものとする。
(通知カードまたは個人番号カードの取扱い)
第12条 全ての職員は自らの通知カード又は個人番号カードを、本人の責任を持って保管しなければならない。また、実施機関の責めによらない紛失は、職員各自が、責任及び対応を負うものとする。
2 実施機関は、職員の通知カード又は個人番号カードを保管してはならないものとする。
(提供を求める時期)
第13条 個人番号の提供を求める時期は、個人番号関係事務が発生したときとする。ただし、個人番号関係事務が発生することが明らかなときは、事前に個人番号の提供を求めることができる。
(収集・保管の制限)
第14条 実施機関は、番号法第19条各号のいずれかに該当する場合を除き、他人の個人番号を含む特定個人情報を収集又は保管してはならない。
(利用目的を越えた利用の禁止)
第15条 実施機関は、個人番号関係事務を処理するために必要な場合に、予め通知又は公表する利用目的の範囲で個人番号を利用するものとする。なお、たとえ本人の同意があったとしても、利用目的を超えて個人番号を利用してはならない。
2 前項の規定にかかわらず、人の生命、身体又は財産の保護のために必要がある場合において、本人の同意があり又は本人の同意を得ることが困難であるときは、実施機関が保有している個人番号を利用することができる。
(利用目的の変更)
第16条 実施機関は、利用目的を変更する場合、本人に通知又は公表した個人番号関係事務の範囲内で、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
2 実施機関は、利用目的を変更した場合、変更された利用目的について本人に通知又は公表する。
(特定個人情報ファイルの作成の制限)
第17条 実施機関は、個人番号関係事務を処理するために必要な範囲に限り、特定個人情報ファイルを作成することができる。
第4章 特定個人情報等の提供、保管、廃棄等
(特定個人情報等の提供)
第18条 実施機関は、法令で認められた場合を除き特定個人情報を提供しない。
(保管期間)
第19条 実施機関は、個人番号関係事務を処理するため必要な期間に限り、特定個人情報等を保管する。ただし、所管法令等によって一定期間保存が義務付けられている場合、当該期間保管することとする。
第5章 特定個人情報等の開示、訂正、停止
(特定個人情報の開示)
第21条 実施機関は、本人から、当該本人が識別される保有個人情報の開示を求められたときは、本人に対し、個人情報保護法施行令第6条で定める方法により、遅滞なく、当該保有個人情報を開示しなければならない。
2 実施機関は、次の各号に該当する場合には、当該開示請求の全部又は一部を不開示とすることができる。
(1) 本人等の権利利益を害するおそれがある場合
(2) 実施機関の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3) 他の法令に違反することとなる場合
(保有個人情報の訂正等)
第22条 実施機関は、本人から当該本人が識別される保有個人情報の内容が事実でないという理由によって当該保有個人情報の内容の訂正、追加又は削除を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人情報の内容の訂正等を行わなければならない。
(保有個人情報の利用停止等)
第23条 実施機関は、本人から、当該本人が識別される特定個人情報に係る保有個人情報が、法令に反して取得された場合等の理由によって、当該保有個人情報の利用の停止又は消去を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人情報の利用停止等を行うものとする。
第6章 委託の取扱い
(委託の取扱い)
第24条 実施機関は、個人番号関係事務の全部又は一部を外部に委託をする場合、委託先において特定個人情報等の安全管理措置が適切に講じられるよう必要かつ適切な監督を行う。
2 前項の監督を行うため、次の措置を講じる。
(1) 委託先の適切な選定
(2) 委託先に安全管理措置を遵守させるために必要な契約の締結
(3) 委託先における特定個人情報の取扱い状況の把握
3 前項2号に定める契約は、その内容に秘密保持義務、特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件(再々委託について最初の委託者の許諾を要することを含む。)、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報等の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければならない。
(再委託の要件)
第25条 実施機関から個人番号関係事務の全部又は一部の「委託を受けた者」は、実施機関の許諾を得た場合に限り、再委託をすることができる。
2 再委託に関しても、前条を適用する。
第7章 安全管理措置
第1節 組織的安全管理措置
(情報漏えい等事案に対応する体制の整備)
第26条 すべての職員は情報漏えい等の事案の発生または兆候を把握した場合に、適切かつ迅速に事務取扱責任者に報告し、事務取扱責任者は二次被害の防止、類似事案の発生防止等の観点から速やかに次号の手法等により対策を講じるものとする。
(1) 事実関係の調査及び原因の究明
(2) 影響を受ける可能性のある本人への連絡
(3) 個人情報保護委員会及び主務大臣等への報告
(4) 再発防止策の検討及び決定
(5) 事実関係及び再発防止策等の公表
(取扱い状況の把握及び安全管理措置の見直し)
第27条 実施機関は、特定個人情報等の取扱い状況を把握し、安全管理措置の評価、見直し及び改善のために特定個人情報等の取扱い状況について、必要に応じて点検を行うものとする。
第2節 人的安全管理措置
(事務取扱担当者の監督・教育)
第28条 実施機関は特定個人情報等が当該規程等に基づき適正に取扱われるよう、事務取扱担当者に対して必要かつ適切な監督及び教育を行うものとする。
(秘密保持)
第29条 実施機関は、特定個人情報等を秘密として保持し、第18条に基づく情報提供等事務及び第三者に委託する場合を除き、漏えいの防止その他の適切な管理のために必要な措置を講じなければならない。
2 実施機関は、特定個人情報等に関する秘密を保持するため法令又は当該規程により、職員に対し特定個人情報等についての秘密保持に関する事項を周知徹底するものとする。
第3節 物理的安全管理措置
(特定個人情報等を取扱う区域の管理)
第30条 実施機関は、特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイルを取扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報等を取扱う事務を実施する区域(以下「取扱区域」という。)を明確にする。
2 管理区域においては、間仕切りの設置、座席配置の工夫等、区域の明確化及びキャビネット等の施錠等の安全管理措置を講じる。
3 取扱区域においては、壁又は間仕切り等の設置及び座席配置の工夫等の安全管理措置を講じる。
(機器及び電子媒体等の盗難等の防止)
第31条 管理区域及び取扱区域における特定個人情報等を取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、以下の措置を講じる。
(1) 特定個人情報等を取扱う機器は、施錠できるキャビネット等に保管するか、又は、盗難防止用のセキュリティーワイヤー等により固定する。
(2) 特定個人情報等を含む書類及び電痔媒体等は、施錠できるキャビネット・書庫等に保管する。
(3) 特定個人情報ファイルは、パスワードを付与する等の保護措置を講じたうえでこれを保存し、当該パスワードを適切に管理する。
(電子媒体等を持ち出す場合の漏えい等の防止)
第32条 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、以下に例示するような容易に個人番号が判明しない措置の実施、追跡可能な移送手段の利用等の安全な方策を講じる。なお「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等であっても、紛失・盗難等に留意する。
(1) 特定個人情報等が記録された電子媒体は、持出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用等を行う。
(2) 特定個人情報等が記録された書類は、外部から容易に閲覧されないよう封筒に入れる。
(3) 特定個人情報等を記録する書類を郵送等により発送するときは、簡易書留等の追跡可能な移送手段を利用する。
(特定個人情報等の削除、機器及び電子媒体等の廃棄)
第33条 実施機関は、第20条に基づき特定個人情報等を廃棄又は削除する場合、次の方法によるものとし、また、削除又は廃棄した記録を保存するものとする。
(1) 特定個人情報等が記載された書類等を廃棄する場合、焼却又は溶解等の復元不可能な手段による。
(2) 特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段による。
(3) 特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段による。
2 実施機関は、前項の廃棄又は削除を第三者に委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する。
3 実施機関は保存期間経過後に速やかに特定個人情報等を廃棄又は削除するため、特定個人情報等を取扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした情報システムを構築し、また、特定個人情報等が記載された書類等については、保存期間経過後における廃棄を前提とした手続を定めるものとする。
第4節 技術的安全管理措置
(アクセス制御)
第34条 実施機関は、情報システムを使用して個人番号関係事務を行う場合、事務取扱担当者及び当該事務で取扱う特定個人情報ファイルの範囲を限定するために、以下の措置に沿って適切なアクセス制御を行うものとする。
(1) 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
(2) 特定個人情報ファイルを取扱う情報システムを、アクセス制御により限定する。
(3) ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取扱う情報システムを使用できる者を事務取扱担当者に限定する。
(アクセス者の識別と認証)
第35条 特定個人情報等を取扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、以下の措置等によって識別した結果に基づき認証するものとする。
(1) 事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード等による識別と認証を行う。
(2) 特定個人情報等を取扱う機器を特定し、その機器を取扱う事務取扱担当者を限定する。
(3) 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取扱う事務取扱担当者を限定する。
(外部からの不正アクセス等の防止)
第36条 実施機関は、以下に定める情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用するものとする。
(1) 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。
(2) 情報システム及び機器にセキュリティ対策ソフトウェア等(ウィルス対策ソフトウェア等)を導入する。
(3) 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。
(4) 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
(5) ログ等の分析を定期的に行い、不正アクセス等を検知する。
(情報漏えい等の防止)
第37条 実施機関は、特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するために以下の措置を講じるものとする。
(1) 通信経路における情報漏えい等の防止策として、通信経路の暗号化等を行う。
(2) 情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては、データの暗号化又はパスワードにより保護等を行う。
第8章 その他
(禁止事項)
第38条 実施機関はすべての職員に対し、次の各号に掲げる次項を禁止する。
(1) 不正な手段により特定個人情報等を収集すること
(2) 当初の収集目的以外で特定個人情報等を利用すること
(3) 業務上の必要なく管理区域および取扱区域に立ち入ること
(4) 業務上の必要及び権限がなく特定個人情報ファイルにアクセス閲覧し、保管された特定個人情報等を記録すること
(罰則)
第39条 実施機関は、当該規程に違反した職員に対して法令又は内部規程等に基づき厳正に対処するものとする。
附則
この規程は、公布の日から施行する。