○久留米市個人情報の安全管理措置に関する規程
令和5年3月31日
久留米市規程第4号
(趣旨)
第1条 この規程は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第66条第1項の規定に基づき、保有個人情報を安全かつ適正に取り扱うための必要な措置を定めるものとする。
(定義)
第2条 この規程において使用する用語の意義は、法、個人情報の保護に関する法律施行令(平成15年政令第507号)及び久留米市個人情報の保護に関する法律施行条例(令和5年久留米市条例第1号。以下「条例」という。)において使用する用語の例による。
(総括管理責任者)
第3条 市長は、保有個人情報の管理に関する事務を総括させるため、総括管理責任者(以下「総括責任者」という。)を置く。
2 総括責任者は、総務部長をもって充てる。
(保有個人情報の取扱い)
第4条 保有個人情報を取り扱う職員は、次に掲げる事項を遵守しなければならない。
(1) 保有個人情報を複製若しくは送信するとき又は保有個人情報が記録されている媒体の外部への送付若しくは持出しをするときは、必要最小限とすること。
(2) 保有個人情報の内容に誤り等があった場合は、直ちに久留米市個人情報の保護に関する法律施行細則(令和5年久留米市規則第6号。以下「規則」という。)第3条第1項の管理責任者(以下「管理責任者」という。)に指示を仰ぎ、訂正等を行うこと。
(3) 保有個人情報が記録されている媒体を定められた場所に保管し、必要があると認めるときは施錠可能な場所への保管等を行うこと。
(4) 保有個人情報を含む電磁的記録若しくは媒体の誤送信、誤送付、誤交付又はウェブサイトへの誤掲載を防止するため、複数の職員による確認、チェックリストの活用等の措置を講ずること。
(5) 保有個人情報又は保有個人情報が記録されている媒体が不要となった場合は、管理責任者の指示に従い、当該保有個人情報の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行うこと。
(6) 個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)第43条に定める事態の発生のおそれを認識した場合、直ちに当該保有個人情報を管理する管理責任者に報告すること。
(システムにおける保有個人情報の取扱い)
第5条 管理責任者は、所属職員が保有個人情報を取り扱うシステムを利用するときは、久留米市情報セキュリティ対策基準を遵守させ、職員はその指示に従わなければならない。
(保有個人情報の取扱状況の記録)
第6条 管理責任者は、保有個人情報ファイルの取扱状況を確認する手段を整備するため、当該保有個人情報の利用及び保管等の取扱状況について、次に掲げるものを記録するものとする。
(1) 保有個人情報ファイルの名称
(2) 行政機関等の名称及び保有個人情報ファイルが利用に供される事務を所管する課の名称
(3) 保有個人情報ファイルの利用目的
(4) 保有個人情報ファイルに記録される項目及び本人として特定個人情報ファイルに記録される個人の範囲
(5) 保有個人情報ファイルに記録される保有個人情報の収集方法
(保有個人情報の提供)
第7条 管理責任者は、法第69条第2項の規定により、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供するときは、別に定める方法により法制室長に報告しなければならない。
2 管理責任者は、法第69条第2項第3号及び第4号の規定に基づき、行政機関等以外の者に保有個人情報を提供する場合には、法第70条の規定に基づき、提供先における利用目的、利用する業務の根拠法令、利用する記録範囲及び記録項目、利用形態等について提供先との間で書面(電磁的記録を含む。)を取り交わすものとする。
3 管理責任者は、法第69条第2項第3号又は第4号の規定に基づき、行政機関等以外の者に保有個人情報を提供する場合には、法第70条の規定に基づき、安全確保の措置を要求するとともに、必要があると認めるときは、提供前又は随時に実地の調査等を行い、措置状況を確認してその結果を記録するとともに、改善要求等の措置を講ずるものとする。
4 管理責任者は、法第69条第2項第3号の規定に基づき、他の行政機関等に保有個人情報を提供する場合において、必要があると認めるときは、法第70条の規定に基づき、前2項に規定する措置を講ずることを求めるものとする。
(廃棄等)
第8条 管理責任者は、久留米市文書規程(令和2年久留米市規程第10号)第32条第1項及び第33条の規定により、保有個人情報が記録された書類等が不要となったときは速やかに廃棄しなければならない。この場合において、廃棄の作業を委託により実施するときは、委託先が確実に廃棄又は消去したことについて、証明書等により確認しなければならない。
(点検)
第9条 管理責任者は、各課における保有個人情報の処理の方法、保管方法等について、定期に、及び必要に応じ随時に点検を行い、必要があると認めるときは、その結果を法制室長に報告するものとする。
2 法制室長は、前項の規定による報告書の提出を受けたときは、総括責任者に報告しなければならない。
3 総括責任者は、前項の規定による報告を受けたときは、必要に応じて、次に掲げる措置を講ずるものとする。
(1) 市長への報告
(2) 組織内における報告、被害の拡大防止
(3) 事実関係の調査、原因の究明
(4) 影響範囲の特定
(5) 再発防止策の検討・実施
(6) 事実関係、再発防止策等の公表
(7) 法第68条第1項に基づく個人情報保護委員会への報告
(8) 法第68条第2項に基づく本人への連絡等
(1) 管理責任者 その所管する課における保有個人情報の適切な管理のための研修
(2) 保有個人情報を取り扱う職員 保有個人情報の適正な取扱いについて理解を深め、保有個人情報の保護に関する意識の高揚を図るための研修
(3) 保有個人情報を取り扱うシステム(以下「システム」という。)の管理に関する事務に従事する職員 保有個人情報の適切な管理のために、システムの管理、運用及びセキュリティ対策に関する研修
(派遣労働者による保有個人情報業務)
第12条 保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合は、労働者派遣契約書に第5条各号に掲げる事項を明記し、遵守させなければならない。
(保有個人情報に係る業務委託)
第13条 保有個人情報の取扱いに係る業務を外部に委託する場合には、次に掲げる事項を遵守しなければならない。
(1) 委託契約書に、別に定める事項について明記すること。
(2) 委託する保有個人情報の範囲を必要最小限とすること。
(3) 業務の性質に応じて、作業の管理体制、実施体制、個人情報の管理の状況等について年1回以上、原則として実地検査により確認すること。
(委託先の監督)
第14条 管理責任者は、保有個人情報の取扱いに係る事務の全部又は一部を委託するときは、取扱いを委託する個人情報の範囲は必要最小限のものとし、委託先において市が行っている安全管理措置と同等の措置が講じられるかについてあらかじめ確認した上で、委託先に安全管理措置を遵守させるために必要な事項を書面で確認しなければならない。
2 前項の場合において、委託を受けた者が実際に市と同等の安全管理措置を講じているか、原則として年1回以上実地検査により確認するものとする。
3 第1項の委託先が保有個人情報の取扱いに係る事務の全部又は一部を再委託しようとする場合は、管理責任者は、再委託先において市が行っている安全管理措置と同等の措置が講じられることを確認したときに限り、再委託を許諾することができる。
附則
この規程は、令和5年4月1日から施行する。