○北名古屋市特定個人情報等の適正な取扱いに関する規程
令和3年9月10日
訓令第10号
目次
第1章 総則(第1条・第2条)
第2章 管理体制(第3条―第8条)
第3章 特定個人情報等の取扱い(第9条―第17条)
第4章 特定個人情報等取扱業務の委託等(第18条)
第5章 事案の対応(第19条―第21条)
第6章 監査及び点検の実施(第22条―第24条)
第7章 雑則(第25条)
附則
第1章 総則
(趣旨)
第1条 この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)、個人情報の保護に関する法律(平成15年法律第57号)、北名古屋市情報セキュリティ規程(平成20年北名古屋市訓令第4号)及び北名古屋市情報セキュリティポリシー(以下「情報セキュリティポリシー」という。)に定めるところにより、個人番号及び特定個人情報(以下「特定個人情報等」という。)の取扱いに関し必要な事項を定めるものとする。
(定義)
第2条 この規程において使用する用語は、番号法及び個人情報の保護に関する法律において使用する用語の例による。
第2章 管理体制
(総括責任者)
第3条 特定個人情報等の適正な取扱いに関する事務を総括するため、総括責任者を置く。
2 総括責任者は、副市長をもって充てる。
(管理責任者)
第4条 総括責任者を補佐し、各部等における特定個人情報等の適正な取扱いに関する事務を統括するため、管理責任者を置く。
2 管理責任者は、各部等の長をもって充てる。
(保護責任者)
第5条 特定個人情報等を適正に取扱うため、特定個人情報等を取り扱う各課等に、保護責任者を置く。
2 保護責任者は、各課等の長をもって充てる。
3 保護責任者は、特定個人情報等を取り扱う職員(以下「事務取扱担当者」という。)を指定し、必要かつ適切な監督を行い、事務取扱担当者の役割及び事務取扱担当者が取り扱う特定個人情報等の範囲を指定するものとする。
4 保護責任者は、次に掲げる組織体制を整備するものとする。
(1) 職員(非常勤職員を含む。以下同じ。)がこの規程に違反する事実又は兆候を把握した場合の保護責任者への報告連絡体制
(2) 特定個人情報等の漏えいその他番号法に違反する事案(以下「情報漏えい等」という。)の発生又は兆候を把握した場合の関係部署及び関係機関への報告連絡体制並びに対応体制
(3) 特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化
(監査責任者)
第6条 特定個人情報等の取扱状況の把握及び安全管理措置の見直しを行うため、監査責任者を置く。
2 監査責任者は、総合政策部長をもって充てる。
(教育研修)
第7条 総括責任者及び保護責任者は、事務取扱担当者に対し、特定個人情報等の適正な取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他の必要な教育研修を行うものとする。
2 総括責任者及び保護責任者は、特定個人情報等を取り扱う情報システムの管理に関する事務に従事する職員に対し、特定個人情報等の適正な管理のため、情報システムの管理及び運用並びにサイバーセキュリティの確保を含めたセキュリティ対策に関し必要な教育研修を行うものとする。
3 総括責任者は、保護責任者に対し、各課等における特定個人情報等の適正な管理のために必要な教育研修を行うものとする。
4 保護責任者は、各課等の職員に対し、特定個人情報等の適正な管理のため、総括責任者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずるものとする。
5 総括責任者は、研修計画を策定し、研修計画に基づき当該教育研修を実施するものとする。
(職員の責務)
第8条 職員は、個人情報の保護に関する法律及び番号法の趣旨にのっとり、関連する法令その他の規程等の定め並びに総括責任者、管理責任者及び保護責任者の指示に従い、特定個人情報等を取り扱わなければならない。
2 職員は、この規程に違反する事実又は兆候を把握した場合は、直ちに保護責任者に報告しなければならない。
第3章 特定個人情報等の取扱い
(特定個人情報等の収集)
第9条 事務取扱担当者は、個人番号利用事務又は個人番号関係事務を処理するために必要な場合は、利用目的をあらかじめ明示した上で、個人番号の提供を求めるものとする。
(1) 本人確認 個人番号カード、運転免許証等の身元確認書類により本人確認を行うものとする。ただし、個人番号関係事務において職員から個人番号を収集する場合において、以前に本人確認を行い、本人であることが明らかである者については、事務取扱担当者が当該職員を知覚し、本人であることを認識することをもって本人確認に代えることができる。
(2) 個人番号確認 個人番号カード、通知カード又は個人番号が記載された住民票の写し若しくは住民票記載事項証明書の提示を求めることにより、個人番号の確認を行うものとする。ただし、これらの書類の提示を受けることが困難であると認められる場合には、これらに代えて次のいずれかの措置をとるものとする。
ア 過去に本人確認を行い収集した個人番号の記録を照合すること。
イ 官公署又は個人番号利用事務実施者若しくは個人番号関係事務実施者から発行され、又は発給された書類その他これらに類する書類であって個人番号利用事務実施者が適当と認めるもの(個人番号及び氏名並びに生年月日又は住所が記載されているものに限る。)の提示を受けること。
3 前項第2号に規定する方法により個人番号確認を行うことが困難であると認められる場合は、法令の定める範囲内において、住民基本台帳ネットワークシステムにより個人番号確認を行うことができるものとする。
(特定個人情報等の利用)
第10条 特定個人情報等の利用は、必要最小限の範囲で行うものとし、保護責任者は、そのために必要な措置を講じなければならない。
2 保護責任者は、事務取扱担当者に対して、特定個人情報等の利用目的を達成するために必要最小限の範囲で利用権限を付与するものとし、利用権限を有しない者に特定個人情報等を利用させてはならない。
3 事務取扱担当者は、利用権限を有する場合であっても、業務上の目的以外の目的で特定個人情報等を利用してはならない。
4 個人番号利用事務等を行うために提供を受けた特定個人情報等は、当該事務等以外の事務において利用してはならない。ただし、北名古屋市行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく個人番号の利用に関する条例(平成27年北名古屋市条例第37号)第4条の規定により庁内連携が認められている場合は、この限りでない。
(特定個人情報等の提供)
第11条 特定個人情報等は、関係法令により認められている場合のみ提供することができるものとする。
(情報資産)
第12条 情報資産の取扱いについては、情報セキュリティポリシーの例によるものとする。
(廃棄等)
第13条 特定個人情報等を取り扱う書類及び電磁的記録媒体は、関係法令及び北名古屋市文書取扱規程(平成18年北名古屋市訓令第5号)により定められた保存期間を経過した場合は、保護責任者の指示に従い、当該特定個人情報等の復元又は判読が不可能な方法により削除又は廃棄を行うとともに、その記録を保存するものとする。
2 前項の作業を委託する場合には、委託先が確実に削除又は廃棄を行ったことについて、書面により確認するものとする。
(特定個人情報等の取扱状況の記録)
第14条 保護責任者は、特定個人情報ファイルの取扱状況を確認する手段を整備し、当該特定個人情報等の利用及び保管等の取扱状況について記録するものとする。
(特定個人情報等の取扱区域)
第15条 保護責任者は、情報漏えい等を防止するために、特定個人情報等を取り扱う事務を実施する区域を明確にし、物理的な安全管理措置を講ずるものとする。
(特定個人情報ファイルの管理区域)
第16条 保護責任者は、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)を明確にし、管理区域への入退室管理及び持ち込む機器等の制限等の物理的な安全管理措置を講ずるものとする。
(アクセス記録)
第17条 保護責任者は、特定個人情報等へのアクセス状況を記録し、その記録を一定期間保存し、定期又は随時に分析するために必要な措置を講ずるものとする。
2 保護責任者は、アクセス記録の改ざん、窃取又は不正な削除を防止するために必要な措置を講ずるものとする。
第4章 特定個人情報等取扱業務の委託等
第18条 保護責任者は、特定個人情報等の取扱いに係る業務を外部に委託する場合は、特定個人情報等の適正な管理を行う能力を有しない者を選定することがないよう、必要な措置を講ずるものとする。
2 保護責任者は、次に掲げる事項を契約書に明記するとともに、委託先における責任者及び業務従事者の管理及び実施体制並びに特定個人情報等の管理の状況についての検査に関する事項等の特定個人情報の安全管理に必要な事項について確認するものとする。
(1) 特定個人情報等に関する秘密保持、目的外利用の禁止等に関する事項
(2) 再委託の制限又は事前承認等再委託に係る条件に関する事項
(3) 特定個人情報等の複製等の制限に関する事項
(4) 特定個人情報等の漏えい等の事案の発生時における対応に関する事項
(5) 委託終了時における特定個人情報等の消去及び媒体の返却に関する事項
(6) 契約内容に違反した場合における契約解除、損害賠償責任その他必要な事項
3 保護責任者は、個人番号利用事務等の全部又は一部を委託する場合には、委託先において、番号法に基づき本市が果たすべき安全管理措置と同等の措置が講じられているかについて、あらかじめ確認し、必要かつ適切な監督を行わなければならない。
4 保護責任者は、委託先において、特定個人情報等の取扱いに係る業務が再委託される場合には、再委託先において前項に規定する措置が講じられることを確認した上で再委託の諾否を判断するものとする。
第5章 事案の対応
(事案の報告及び対応)
第19条 職員は、情報等の漏えい等の発生又は兆候を把握した場合、管理責任者及び保護責任者に報告しなければならない。
2 保護責任者は、前項の規定により報告を受けた場合は、被害の拡大防止、復旧等のために必要な措置を講ずるものとする。
3 管理責任者は、第1項の規定により報告を受けた場合は、必要に応じて総括責任者に報告しなければならない。
(再発防止措置)
第20条 保護責任者は、事案が発生した原因を分析し、再発防止のために必要な措置を講ずるものとする。
(公表等)
第21条 総括責任者は、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る本人への対応等の措置を講ずるものとする。
第6章 監査及び点検の実施
(監査)
第22条 監査責任者は、特定個人情報等の管理の状況について、定期及び随時に監査を行い、その結果を総括責任者に報告するものとする。
2 監査責任者は、監査を行うに当たり、監査計画を策定し、総括責任者の承認を得るものとする。
(点検)
第23条 保護責任者は、自らが管理責任を有する特定個人情報等の管理の状況等について、定期又は随時に点検を行い、必要があると認めるときは、その結果を総括責任者に報告するものとする。
(見直し)
第24条 総括責任者は、監査又は点検の結果等を踏まえ、必要があると認めるときは、その見直し等の措置を講ずるものとする。
第7章 雑則
第25条 この規程に定めるもののほか、特定個人情報等の取扱いに関し必要な事項は、市長が別に定める。
附則
この規程は、告示の日から施行する。
附則(令和5年3月30日訓令第4号)
この規程は、令和5年4月1日から施行する。
附則(令和6年3月29日訓令第4号)
この規程は、令和6年4月1日から施行する。