○三芳水道企業団特定個人情報取扱規程
平成29年1月6日
規程第1号
目次
第1章 総則(第1条~第4条)
第2章 組織体制等(第5条~第10条)
第3章 特定個人情報等の取得,利用等(第11条~第19条)
第4章 特定個人情報等の提供,保管,廃棄等(第20条~第22条)
第5章 特定個人情報等の開示,訂正,停止(第23条~第25条)
第6章 委託の取扱い(第26条・第27条)
第7章 安全管理措置
第1節 組織的安全管理措置(第28条・第29条)
第2節 人的安全管理措置(第30条~第32条)
第3節 物理的安全管理措置(第33条~第36条)
第4節 技術的安全管理措置(第37条~第40条)
第8章 その他(第41条・第42条)
附則
第1章 総則
(目的)
第1条 この規程は,行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。),三芳水道企業団個人情報保護条例(平成20年条例第2号。以下「保護条例」という。)及び特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)(平成26年特定個人情報保護委員会告示第6号)に基づき,三芳水道企業団(以下「企業団」という。)が取り扱う番号法第2条第8項に定める特定個人情報(以下「特定個人情報」という。)の適正な収集,保管,利用及び提供を確保し,並びに企業団が保有する特定個人情報の開示,訂正,削除,利用の中止及び提供の中止を実施するために必要な措置を講じ,もって,特定個人情報の安全かつ適正な取扱いを図るとともに,特定個人情報を取り扱う者の責務を明らかにすることを目的とする。
(定義)
第2条 この規程において用いる用語の定義は,番号法,保護条例及びガイドラインに定めるところによるほか,次の各号に定めるとおりとする。
(1) 実施機関 企業長をいう。
(2) 個人情報 個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)第2条第1項に定める個人情報をいう。
(3) 職員 地方公営企業法(昭和27年法律第292号)第15条の規定に基づき,企業長が企業団職員として任命した者をいう。
(取扱規程の適用対象)
第3条 この規程の適用対象は,次号の定めるところによる。
(1) 企業団のすべての職員に適用する。
(2) 企業団が取り扱うすべての特定個人情報等に適用する。
(法令等の遵守)
第4条 実施機関は,番号法その他の関係法令を遵守し,特定個人情報等を適正に取り扱うため必要な組織体制を整備するとともに,当該規程によりこれを運用する。
第2章 組織体制等
(総括責任者)
第5条 特定個人情報の適正な取扱いの確保について組織的に対応するため,事務局長を総括責任者とし,安全管理のための体制を整備する。
(保護責任者)
第6条 特定個人情報の円滑な運用及び管理を行うため,保護責任者を設置し,総務担当次長をこれに充てる。
(監査責任者)
第7条 特定個人情報等の取扱状況を把握し,安全管理措置の評価,見直し及び改善のために,監査責任者を設置し,施設担当次長をこれに充てる。
(事務取扱担当者)
第8条 事務取扱担当者は,総務係職員とし,番号法,個人情報保護法及び保護条例の趣旨にのっとり,関連する法令及び規程等の定め並びに総括責任者及び保護責任者の指示に従い,特定個人情報を取り扱わなければならない。
2 事務取扱担当者は,特定個人情報等を取り扱う情報システム及び機器等を適切に管理し,利用権限のない者に使用させてはならない。
3 事務取扱担当者は,特定個人情報等に関する事務の運用状況を明確にするため,第10条に定める記録を作成する。
4 企業団において,特定個人情報が記載された書類等を受領した職員は,速やかにその書類を事務取扱担当者へ受け渡すこととし,自身の手元に残してはならない。
(個人番号を取り扱う事務の範囲)
第9条 実施機関が,個人番号関係事務を行う事務の範囲は次の各号に定めるところによる。
(1) 給与所得・退職所得の源泉徴収票及び給与支払報告書作成事務
(2) 給与所得者の扶養控除等(異動)申告書及び給与所得者の保険料控除申告書兼給与所得者の配偶者特別控除申告書の取扱事務
(3) 退職所得の受給に関する申告書の取扱事務
(4) 健康保険及び年金保険の届出事務,申請事務,請求事務及び証明書作成事務
(5) 国民年金第3号被保険者の届出に関する事務
(6) 財産形成非課税(住宅・年金)貯蓄に関する申告書作成事務
(7) 労働保険の届出事務,申請事務,請求事務及び証明書作成事務
(8) 報酬・料金等の支払調書作成事務
(9) 不動産の賃料・売買代金の支払調書作成事務
(10) その他,番号法第9条各項所定の事務
(取扱状況を確認する手段の整備)
第10条 事務取扱担当者は,特定個人情報ファイルの取扱状況を確認するための手段として,次の各号に掲げる事項を記録する。なお,取扱状況を確認するための記録等には,特定個人情報は記載しない。
(1) 特定個人情報ファイルを取り扱う事務の名称
(2) 特定個人情報ファイルが利用に供される事務を所管する部署
(3) 特定個人情報ファイルの利用目的
(4) 特定個人情報ファイルに記録される個人の範囲
(5) 特定個人情報ファイルの名称及び記録される特定個人情報の項目
(6) 特定個人情報ファイルに記録される特定個人情報等の収集方法
(7) 前各号に掲げるもののほか,総括責任者が必要と定める事項
第3章 特定個人情報等の取得,利用等
(個人番号の取得,提供の求め)
第11条 実施機関は,個人番号関係事務を処理するために必要がある場合に限って,本人又は他の個人番号関係事務実施者若しくは個人番号利用事務実施者に対して,個人番号の提供を求めることができる。
(1) 身元確認 事務取扱担当者は,原則として,個人番号カード,運転免許証等の身元確認書類により,身元確認を行うこととする。ただし,個人番号関係事務においては,雇用関係にあるなど本人に相違ないことが明らかに判断できる者については,事務取扱担当者が知覚することで,身元確認を行ったものとみなすことができる。
(2) 個人番号の確認 事務取扱担当者は,第9条に定める事務において個人番号収集する場合には,個人番号カード,通知カード又は個人番号が記載された住民票の写し若しくは住民票記載事項証明書の提示を求めることにより,番号確認を行うものとする。
ア 個人番号カード若しくは通知カードの写しの提示を受けること。
イ 過去に本人確認の上収集した個人番号の記録を照合すること。
2 職員は,個人番号の提供が番号法の定めにより個人番号関係事務に必要なものである限り,実施機関が行う本人確認の措置に協力しなければならない。
3 前項の規定にかかわらず,個人番号の提供に協力しなかったことによる不利益は当該職員が負うものとする。
(通知カード又は個人番号カードの取扱い)
第13条 実施機関は,職員の通知カード又は個人番号カードを保管してはならない。
(提供を求める時期)
第14条 個人番号の提供を求める時期は,個人番号関係事務が発生したときとする。ただし,個人番号関係事務が発生することが明らかなときは,事前に個人番号の提供を求めることができる。
(収集・保管の制限)
第15条 実施機関は,番号法第19条各号のいずれかに該当する場合を除き,他人の個人番号を含む特定個人情報を収集又は保管してはならない。
(利用目的を超えた利用の禁止)
第16条 実施機関は,個人番号関係事務を処理するために必要な場合に,あらかじめ通知又は公表する利用目的の範囲で個人番号を利用するものとする。なお,たとえ本人の同意があったとしても,利用目的を超えて個人番号を利用してはならない。
2 前項の規定にかかわらず,人の生命,身体又は財産の保護のために必要がある場合において,本人の同意があり,又は本人の同意を得ることが困難であるときは,実施機関が保有している個人番号を利用することができる。
(利用目的の変更)
第17条 実施機関は,利用目的を変更する場合,本人に通知又は公表した個人番号関係事務の範囲内で,変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
2 実施機関は,利用目的を変更した場合,変更された利用目的について本人に通知又は公表する。
(特定個人情報ファイルの作成の制限)
第18条 実施機関は,個人番号関係事務を処理するために必要な場合その他番号法で定める場合を除き,特定個人情報ファイルを作成してはならない。
(特定個人情報の利用の制限)
第19条 事務取扱担当者は,業務上の目的で特定個人情報を取り扱う場合であっても,次に掲げる行為については,保護責任者の承認を得た上で行う。
(1) 特定個人情報の複製
(2) 特定個人情報の送信
(3) 特定個人情報の送付又は持出し
(4) その他特定個人情報の適切な管理に支障を及ぼすおそれのある行為
第4章 特定個人情報等の提供,保管,廃棄等
(特定個人情報等の提供)
第20条 実施機関は,法令で認められた場合を除き,特定個人情報を提供しない。
(保管期間)
第21条 実施機関は,個人番号関係事務を処理するため必要な期間に限り,特定個人情報等を保管する。ただし,所管法令等によって一定期間保存が義務付けられている場合,当該期間保管することとする。
第5章 特定個人情報等の開示,訂正,停止
(特定個人情報等の開示)
第23条 実施機関は,本人から,当該本人が識別される保有個人情報の開示を求められたときは,本人に対し,個人情報保護法施行令第6条で定める方法により,遅滞なく,当該保有個人情報を開示しなければならない。
2 実施機関は,次の各号に該当する場合には,当該開示請求の全部又は一部を不開示とすることができる。
(1) 本人等の権利利益を害するおそれがある場合
(2) 実施機関の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3) 他の法令に違反することとなる場合
(保有個人情報の訂正等)
第24条 実施機関は,本人から当該本人が識別される保有個人情報の内容が事実でないという理由によって当該保有個人情報の内容の訂正,追加又は削除を求められた場合には,その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き,利用目的の達成に必要な範囲内において,遅滞なく必要な調査を行い,その結果に基づき,当該保有個人情報の内容の訂正等を行わなければならない。
(保有個人情報の利用停止等)
第25条 実施機関は,本人から,当該本人が識別される特定個人情報に係る保有個人情報が,法令に反して取得された場合等の理由によって,当該保有個人情報の利用の停止又は消去を求められた場合であって,その求めに理由があることが判明したときは,違反を是正するために必要な限度で,遅滞なく,当該保有個人情報の利用停止等を行うものとする。
第6章 委託の取扱い
(委託の取扱い)
第26条 実施機関は,個人番号関係事務の全部又は一部を外部に委託する場合,委託先において特定個人情報等の安全管理措置が適切に講じられるよう必要かつ適切な監督を行う。
2 前項の監督を行うため,次の措置を講じる。
(1) 委託先の適切な選定
(2) 委託先に安全管理措置を遵守させるために必要な契約の締結
(3) 委託先における特定個人情報の取扱状況の把握
3 前項第2号に定める契約は,その内容に秘密保持義務,特定個人情報の持出しの禁止,特定個人情報の目的外利用の禁止,再委託における条件(再々委託について最初の委託者の許諾を要することを含む。),漏えい事案等が発生した場合の委託先の責任,委託契約終了後の特定個人情報等の返却又は廃棄,従業者に対する監督・教育,契約内容の遵守状況について報告を求める規定等を盛り込まなければならない。
(再委託の要件)
第27条 実施機関から個人番号関係事務の全部または一部の委託を受けた者は,実施機関の許諾を得た場合に限り,再委託をすることができる。
2 再委託に関しても,前条の規定を適用する。
第7章 安全管理措置
第1節 組織的安全管理措置
(情報漏えい等事案に対応する体制の整備)
第28条 すべての職員は,情報漏えい等の事案の発生又は兆候を把握した場合に,適切かつ迅速に総括責任者及び保護責任者に報告し,保護責任者は2次被害の防止,類似事案の発生防止等の観点から速やかに次号の手法等により対策を講じるものとする。
(1) 事実関係の調査及び原因の究明
(2) 影響を受ける可能性のある本人への連絡
(3) 個人情報保護委員会への報告
(4) 再発防止策の検討及び決定
(5) 事実関係及び再発防止策等の公表
(取扱状況の把握及び安全管理措置の見直し)
第29条 監査責任者は,特定個人情報の管理の状況について,定期に及び必要に応じ随時に点検又は監査(外部監査を含む。)を行い,その結果を総括責任者に報告する。
2 総括責任者は,点検又は監査の結果等を踏まえ,必要があると認めるときは,取扱規程等の見直し等の措置を講ずる。
第2節 人的安全管理措置
(事務取扱担当者の監督)
第30条 総括責任者及び保護責任者は,特定個人情報等がこの規定に基づき適正に取り扱われるよう,事務取扱担当者に対して,必要かつ適切な監督を行うものとする。
(事務取扱担当者等の教育)
第31条 総括責任者及び保護責任者は,事務取扱担当者に,特定個人情報の適正な取扱いについて理解を深め,特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。
2 総括責任者は,保護責任者に対し,企業団における特定個人情報等の適正な管理のために必要な教育研修を行う。
3 総括責任者及び保護責任者は,事務取扱担当者に,特定個人情報等の適切な管理のために,教育研修への参加の機会を付与する等の必要な措置を講ずる。
(秘密保持)
第32条 実施機関は,特定個人情報等を秘密として保持し,第20条に基づく情報提供等事務及び第三者に委託する場合を除き,漏えいの防止その他の適切な管理のために必要な措置を講じなければならない。
2 実施機関は,特定個人情報等に関する秘密を保持するため法令又は当該規程により,職員に対し,特定個人情報等についての秘密保持に関する事項を周知徹底するものとする。
第3節 物理的安全管理措置
(特定個人情報等を取り扱う区域の管理)
第33条 実施機関は,特定個人情報等の情報漏えい等を防止するために,特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にする。
2 管理区域においては,間仕切りの設置,座席配置の工夫等,区域の明確化及びキャビネット等の施錠等の安全管理措置を講じる。
3 取扱区域においては,壁又は間仕切り等の設置及び座席配置の工夫等の安全管理措置を講じる。
(機器及び電子媒体等の盗難等の防止)
第34条 管理区域及び取扱区域における特定個人情報等を取り扱う機器,電子媒体及び書類等の盗難又は紛失等を防止するために,以下の措置を講じる。
(1) 特定個人情報等を取り扱う機器は,施錠できるキャビネット等に保管するか,又は,盗難防止用のセキュリティワイヤー等により固定する。
(2) 特定個人情報等を含む書類及び電子媒体等は,施錠できるキャビネット・書庫等に保管する。
(3) 特定個人情報ファイルは,パスワードを付与する等の保護措置を講じたうえでこれを保存し,当該パスワードを適切に管理する。
(電子媒体等を持ち出す場合の漏えい等の防止)
第35条 特定個人情報等が記録された電子媒体又は書類等を持ち出す場合,以下に例示するような容易に個人番号が判明しない措置の実施,追跡可能な移送手段の利用等の安全な方策を講じる。
なお,持出しとは,特定個人情報等を管理区域又は取扱区域の外へ移動させることをいい,事業所内の移動等であっても,紛失・盗難等に留意する。
(1) 特定個人情報等が記録された電子媒体は,持出しデータの暗号化,パスワードによる保護,施錠できる搬送容器の使用等を行う。
(2) 特定個人情報等が記録された書類は,外部から容易に閲覧されないように封筒に入れる。
(3) 特定個人情報等を記録する書類を郵送等により発送するときは,簡易書留等の追跡可能な移送手段を利用する。
(特定個人情報等の削除,機器及び電子媒体等の廃棄)
第36条 実施機関は,第22条に基づき特定個人情報等を廃棄又は削除する場合,次の方法によるものとし,また,削除又は廃棄した記録を保存するものとする。
(1) 特定個人情報等が記載された書類等を廃棄する場合,焼却又は溶解等の復元不可能な手段による。
(2) 特定個人情報等が記録された機器及び電子媒体等を廃棄する場合,専用のデータ削除ソフトウェアの利用又は物理的な破壊等により,復元不可能な手段による。
(3) 特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合,容易に復元できない手段による。
2 実施機関は,前項の廃棄又は削除を第三者に委託する場合には,委託先が確実に削除又は廃棄したことについて,証明書等により確認する。
3 実施機関は,保存期間経過後に速やかに特定個人情報等を廃棄又は削除するため,特定個人情報等を取り扱う情報システムにおいては,保存期間経過後における個人番号の削除を前提とした情報システムを構築し,また,特定個人情報等が記載された書類等については,保存期間経過後における廃棄を前提とした手続を定めるものとする。
第4節 技術的安全管理措置
(アクセス制御)
第37条 実施機関は,情報システムを使用して個人番号関係事務を行う場合,事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために,以下の措置に沿って適切なアクセス制御を行うものとする。
(1) 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
(2) 特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定する。
(3) ユーザーIDに付与するアクセス権により,特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
(アクセス者の識別と認証)
第38条 特定個人情報等を取り扱う情報システムは,事務取扱担当者が正当なアクセス権を有する者であることを,以下の措置等によって識別した結果に基づき認証するものとする。
(1) 事務取扱担当者の識別方法としては,ユーザーID,パスワード,磁気・ICカード等による識別と認証を行う。
(2) 特定個人情報等を取り扱う機器を特定し,その機器を取り扱う事務取扱担当者を限定する。
(3) 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により,情報システムを取り扱う事務取扱担当者を限定する。
(外部からの不正アクセス等の防止)
第39条 実施機関は,以下に定める情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し,適切に運用するものとする。
(1) 情報システムと外部ネットワークとの接続箇所に,ファイアウォール等を設置し,不正アクセスを遮断する。
(2) 情報システム及び機器にセキュリティ対策ソフトウェア等(ウィルス対策ソフトウェア等)を導入する。
(3) 導入したセキュリティ対策ソフトウェア等により,入出力データにおける不正ソフトウェアの有無を確認する。
(4) 機器やソフトウェア等に標準装備されている自動更新機能等の活用により,ソフトウェア等を最新状態とする。
(5) ログ等の分析を定期的に行い,不正アクセス等を検知する。
(情報漏えい等の防止)
第40条 実施機関は,特定個人情報等をインターネット等により外部に送信する場合,通信経路における情報漏えい等を防止するために以下の措置を講じるものとする。
(1) 通信経路における情報漏えい等の防止策として,通信経路の暗号化等を行う。
(2) 情報システム内に保存されている特定個人情報等の情報漏えい等の防止策としては,データの暗号化又はパスワードによる保護等を行う。
第8章 その他
(禁止事項)
第41条 実施機関はすべての職員に対し,次の各号に掲げる事項を禁止する。
(1) 不正な手段により特定個人情報等を収集すること
(2) 当初の収集目的以外で特定個人情報等を利用すること
(3) 業務上の必要なく管理区域及び取扱区域に立ち入ること
(4) 業務上の必要及び権限がなく特定個人情報ファイルにアクセス閲覧し,保管された特定個人情報等を記録すること
(罰則)
第42条 実施機関は,法令又は内部規定等に違反した職員に対し,法令又は内部規程等に基づき厳正に対処するものとする。
附則
この規程は,公布の日から施行する。