○久留米市特定個人情報管理規程
令和5年3月31日
久留米市規程第6号
(趣旨)
第1条 この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「法」という。)の規定に基づき、特定個人情報を安全かつ適正に取り扱うための必要な措置を定めるものとする。
(定義)
第2条 この規定において使用する用語の意義は、法において使用する用語の例による。
(総括責任者)
第3条 市長は、特定個人情報の管理に関する事務を総括させるため、総括責任者を置く。
2 総括責任者は、総務部長をもって充てる。
(監査責任者)
第4条 市長は、特定個人情報の取扱い及び管理の状況について監査させるため、監査責任者及び副監査責任者それぞれ1人を置く。
2 監査責任者は法制室長を、副監査責任者は情報政策課長をもって充てる。
(保護責任者)
第5条 市長は、特定個人情報の適正な取扱いを管理させるため、個人番号利用事務等を実施する課(久留米市行政組織規則(昭和39年久留米市規則第54号。以下「行政組織規則」という。)第4条第3項において総称する課をいう。)ごとに保護責任者1人を置く。
2 保護責任者は、課長等(行政組織規則第4条第3項に規定する課長等をいう。)又はこれに代わる者をもって充てる。
3 保護責任者は、その所管する個人番号利用事務等において取り扱う特定個人情報の範囲を明確にしておかなければならない。
(事務取扱担当者の指定等)
第6条 保護責任者は、事務取扱担当者指定書(第1号様式)により、その所管する個人番号利用事務等に従事し、特定個人情報を取り扱う職員(以下「事務取扱担当者」という。)を指定するとともに、当該事務取扱担当者の役割及びその取り扱う事務の範囲を明確にしなければならない。
(特定個人情報取扱事務手順書の作成)
第7条 保護責任者は、その所管する個人番号利用事務等の手続等を明確にするため、特定個人情報取扱事務手順書(第2号様式。以下「手順書」という。)を作成しなければならない。
(特定個人情報の取扱状況の記録)
第8条 保護責任者は、特定個人情報ファイルの取扱状況を確認する手段を整備するため、当該特定個人情報の利用及び保管等の取扱状況について、次に掲げるものを記録するものとする。
(1) 特定個人情報ファイルの名称
(2) 行政機関等の名称及び特定個人情報ファイルが利用に供される事務を所管する課の名称
(3) 特定個人情報ファイルの利用目的
(4) 特定個人情報ファイルに記録される項目及び本人として特定個人情報ファイルに記録される個人の範囲
(5) 特定個人情報ファイルに記録される特定個人情報の収集方法
2 保護責任者は、特定個人情報を持出したときは、適切な方法によりその日付等を記録するものとする。
(廃棄等)
第9条 保護責任者は、久留米市文書規程(令和2年久留米市規程第10号)第32条第1項及び第33条の規定により、特定個人情報が記録された書類等を廃棄したときは、その記録を保存しなければならない。この場合において、廃棄の作業を委託により実施するときは、委託先が確実に削除又は廃棄したことについて、証明書等により確認しなければならない。
(特定個人情報の漏えい等に関する報告等)
第10条 保護責任者は、事務取扱担当者が手順書に違反している事実若しくは兆候を把握した場合又は個人番号の漏えい、滅失、毀損等の事案が発生し、若しくは兆候を把握した場合は、速やかに法制室長及び情報政策課長(以下「法制室長等」という。)に報告し、法制室長等は、総括責任者に報告しなければならない。
2 総括責任者は前項の規定による報告を受けたときは、次に掲げる措置を講ずるものとする。
(1) 組織内における報告、被害の拡大防止
(2) 事実関係の調査、原因の究明
(3) 影響範囲の特定
(4) 再発防止策の検討・実施
(5) 影響を受ける可能性のある本人への連絡等
(6) 事実関係、再発防止策等の公表
(7) 個人情報保護委員会への報告
3 保護責任者は、連絡体制を明確にするため、連絡体制指定書(第3号様式)を作成しなければならない。
(監査)
第11条 監査責任者及び副監査責任者は、それぞれ監査担当者を指名し、特定個人情報の取扱い及び管理の状況について、定期に及び必要に応じ随時に監査を実施させ、その結果を総括責任者に報告するものとする。
2 監査責任者は、監査を行うに当たり、監査計画を作成し総括責任者の承認を得るものとする。
(監査結果の通知及び見直し)
第12条 総括責任者は、前条第1項の監査の結果を保護責任者に通知し、必要な措置を講ずるよう求めるものとする。
2 保護責任者は、前項の通知に基づき、措置を講じるとともに、必要があるときは、手順書の見直しを行うものとする。
3 総括責任者は、前項の見直しを受け、必要があると認めるときは、本規程の見直し等の措置を講ずる。
(1) 保護責任者 その所管する課における特定個人情報の適切な管理のための研修
(2) 事務取扱担当者 特定個人情報の適正な取扱いについて理解を深め、特定個人情報の保護に関する意識の高揚を図るための研修
(3) 特定個人情報を取り扱うシステム(以下「システム」という。)の管理に関する事務に従事する職員 特定個人情報の適切な管理のために必要なシステムの管理、運用及びセキュリティ対策に関する研修
(4) システムを用いる個人番号利用事務等担当者 特定個人情報の適正な取扱いを確保するために必要なサイバーセキュリティの確保に関する事項その他の事項に関する研修
3 総括責任者は、年度の当初に、特定個人情報の取扱いに関する研修計画書(第4号様式)を策定するものとする。
(物理的安全管理措置)
第14条 保護責任者は、次に掲げる物理的な安全管理措置を講ずるものとする。
(1) 執務室などの個人番号利用事務等を実施する区域(以下「取扱区域」という。)を明確にし、容易に個人番号利用事務等担当者以外の者が立ち入れないようにするとともに、取扱区域外から端末等に表示されている特定個人情報が見えないようにすること。
(2) 特定個人情報を含む電子媒体及び書類等の盗難、紛失等を防止するため、機器のセキュリティワイヤーを用いたロック、施錠可能な場所での保管等を行うこと。
ア 電子媒体 暗号化、パスワードの設定、施錠できる搬送容器の使用等
イ 書類等 封緘、目隠しシールの貼付等
(技術的安全管理措置)
第15条 保護責任者は、システムにおいて特定個人情報を取り扱うときは、次に掲げる安全管理措置を講ずるものとする。
(1) システムにおいて個人番号利用事務等担当者が必要な限度を超えてアクセスできないようにすること。
(2) システムのID及びパスワードを適正に割振り、個人番号利用事務等担当者以外の者が容易に入手できる状態にしないこと。
(3) ファイアウォールの設置、セキュリティ対策ソフトウェアの導入等によって、システム外部からの不正アクセスを防止すること。
(4) システム内のデータを送信又は保存する場合は、暗号化、パスワードの設定等を行い、情報漏えい等を防止すること。
(委託先の監督)
第16条 保護責任者は、個人番号利用事務等の全部又は一部を委託するときは、委託先において市が行っている安全管理措置と同等の措置が講じられるかについてあらかじめ確認し、委託先に当該安全管理措置を遵守させるために必要な契約を締結しなければならない。
2 前項の場合において、委託を受けた者が実際に市と同等の安全管理措置を講じているか、必要かつ適切な監督を行うものとする。
3 第1項の委託先が個人番号利用事務等の全部又は一部を再委託しようとする場合は、保護責任者は、再委託先において市が行っている安全管理措置と同等の措置が講じられるか確認したときに限り、再委託を許諾するものとする。
附則
この規程は、令和5年4月1日から施行する。
