○古殿町特定個人情報の安全管理に関する取扱規程
令和6年4月1日
訓令第4号
第1 目的
本規程は,行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)に定めるところにより,特定個人情報の取扱いに関し必要な措置を定めるものとする。
第2 定義
この規程において,用語の定義は番号法及び特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編平成30年9月改正。以下「ガイドライン」という。)の定めるところによる。
(1) 総括保護責任者:古殿町が保有する特定個人情報の安全管理に関する事務を総括する任に当たるとともに,職員研修など教育計画を統括する者をいう。
(2) 保護責任者:所属課等において特定個人情報を適切に管理する任に当たる者をいう。
(3) 保護担当者:保護責任者を補佐する者をいう。
(4) 監査責任者:特定個人情報の管理の状況について,監査実施計画書に基づき年1回の監査実施者が行う監査の監督(外部監査を含む。)及び報告書作成の最終責任を負う者をいう。
(5) 事務取扱担当者:特定個人情報を取り扱う職員をいう。
(6) 職員:一般職員及び会計年度任用職員,派遣等を含む。
(7) 法令等:番号法,行政手続における特定の個人を識別するための番号の利用等に関する法律施行令(平成26年政令第155号),行政手続における特定の個人を識別するための番号の利用等に関する法律施行規則(平成26年内閣府・総務省令第3号),ガイドライン及び特定個人情報保護評価指針(平成26年4月20日個人情報保護委員会)をいう。
第3 特定個人情報の取扱い
1 組織的安全管理措置
(1) 組織体制
ア 総括保護責任者を1人置くこととし,総務課長をもって充てる。
イ 特定個人情報を取り扱う所属課等に,保護責任者を置くこととし,当該所属課等の長をもって充てる。
ウ 保護責任者を補佐する保護担当者として,所属の係長をもって充てる。
エ 監査責任者を1人置くこととし,総務課長をもって充てる。
オ 総括保護責任者である総務課長は,保護責任者が特定個人情報を適切に管理できるよう必要な支援を行うものとする。
(2) 取扱規程等に基づく運用
総括保護責任者は,特定個人情報の具体的な取扱いを定めるために,取扱規程等の見直し等を行わなければならない。
2 人的安全管理措置
(1) 総括保護責任者,保護責任者,保護担当者及び事務取扱担当者は,法令等の定めを遵守し,特定個人情報を適切に取り扱わなければならない。
(2) 総括保護責任者は,古殿町が保有する特定個人情報の管理に関する事務を総括する。
(3) 保護責任者は,所属における保有特定個人情報を適切に管理する。保有特定個人情報をシステムで取り扱う場合,当該システム担当者と連携して,その任に当たる。
(4) 保護責任者は,事務取扱担当者,個人番号利用事務等の範囲及び特定個人情報の範囲を明確にした上で,事務取扱担当者及びその役割並びに各事務取扱担当者が取り扱う特定個人情報の範囲を指定する。(別紙1)参照
(5) 保護責任者は,特定個人情報が適正に取り扱われるよう,事務取扱担当者に対して必要かつ適切な監督を行うものとする。
(6) 監査責任者である総務課長は,特定個人情報の管理の状況について,監査実施計画書に基づき,年1回の監査(外部監査を含む。)を行うものとする。監査責任者は,監査の結果等を踏まえ,必要があると認めるときは,取扱規程等の見直し等の措置を講ずることを指示するものとする。
(7) 職員は,重大事案等の事案の発生又は兆候を把握した場合及び事務取扱担当者が取扱規程等に違反している事実又は兆候を把握した場合は,速やかに保護責任者に報告しなければならない。
(8) 保護責任者は,個人情報等の情報漏えいや紛失等,重大事案等の発生又は兆候を把握した場合には,事実関係等について,速やかに総括保護責任者及びCSIRTに報告しなければならない。
(9) 総括保護責任者及びCSIRTは,上記(8)の報告を受けたときは,速やかに個人情報保護委員会に報告するものとする。
(10) 保護責任者は,上記(7)の報告を受けたときは,CSIRTの協力のもと,事実関係の調査及び原因の究明を行い,影響の範囲を特定する。また,保護責任者は,当該事実関係及び原因を踏まえて再発防止策を検討し,速やかに実施するとともに,必要に応じて事実関係等の本人への連絡又は本人が容易に知り得る状態に置くこと並びに事実関係及び再発防止策等の公表,その他の必要な措置を講じなければならない。
(11) 総括保護責任者は,特定個人情報の適正な取扱いを確保するため,「職員への研修」(番号法第29条の2)を遵守し,職員に対する研修及び啓発を計画的に行うものとする。
(12) 保護責任者は,法令等に定める個人情報の取扱いに関する規律が遵守され,特定個人情報の適正な取扱いが確保されるよう,所属に対し必要な支援を行うとともに,所属における特定個人情報の取扱いの実態を調査し,若しくは報告を求め,又はその処理に関し改善の指示を行うことができるものとする。
特定個人情報の適正な取扱いの安全管理措置は,(別紙2)参照
3 物理的安全管理措置
(1) 特定個人情報を取り扱う区域の管理
保護責任者,システム担当者は協力体制のもと,特定個人情報ファイルを取り扱うサーバ等を管理する区域(以下「管理区域」という。)と特定個人情報を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし,それぞれの区域に対し,やむを得ないと認められる場合を除き,次の各号に掲げる措置を講じるものとする。
ア 管理区域
施錠等による入退室管理を行い,職員以外の者が入室する場合には,身分証等による識別を行った上で,必ず職員の立ち合い等の措置を講じ,管理区域に持ち込む機器及び電子媒体等の制限を行う。
イ 取扱区域
間仕切り等の設置,事務取扱担当者以外の者の往来が少ない場所への端末配置,背後から画面が見えにくい場所への端末配置などの措置を講じる。また,職員以外の者が取扱区域に立ち入る場合には,身分証等による識別を行った上で,必ず職員の立ち合い等の措置を講じ,取扱区域に持ち込む機器及び電子媒体等の制限を行う。
(2) 機器及び電子媒体等の盗難等の防止
保護責任者は,管理区域及び取扱区域において特定個人情報を取り扱う機器,電子媒体及び書類等の盗難又は紛失等を防止するため,やむを得ないと認められる場合を除き,次の各号に掲げる措置を講じるものとする。
ア 特定個人情報を取り扱う機器,電子媒体及び書類等を,施錠可能なキャビネット等に保管する。
イ 特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている場合には,セキュリティワイヤー等により機器を固定する。
(3) 電子媒体等の取扱いにおける情報漏えい等の防止
保護責任者,システム担当者は,電子媒体等の取扱いにおける漏えい,滅失又は毀損等(以下「情報漏えい等」という。)を防止するため,やむを得ないと認められる場合を除き,次の各号に掲げる措置を講じるものとする。
ア 特定個人情報を取り扱う機器及び電子媒体等を定め,それ以外のものについて使用を制限する。
イ 特定個人情報を取り扱う機器等に対し,記録機能を有する電子媒体等の接続を制限する。
ウ 特定個人情報が記録された電子媒体又は書類を管理区域又は取扱区域の外へ持ち出す行為は,次に掲げる場合を除いて禁止する。
(ア) 他の行政機関等への法定調書の提出等,古殿町が行う個人番号関係事務に関して,個人番号利用事務実施者に対し,データ又は書類を提出する場合
(イ) 他の行政機関等への情報提供ネットワークシステム等を利用して,古殿町が保有する特定個人情報を提供する場合
(4) 特定個人情報を管理区域又は取扱区域の外へ持ち出す場合
保護責任者は,上記(3)ウの(ア),(イ)により,特定個人情報が記録された電子媒体又は書類等を管理区域又は取扱区域の外へ持ち出す場合には,特定個人情報管理簿に記録するとともに,次に掲げる安全策を講じる。ただし,他の行政機関等に法定調書等をデータで提出する場合には,当該行政機関等が指定する提出方法に従うものとする。
ア 特定個人情報が記録された電子媒体を持ち出す場合の措置
(ア) データの暗号化
(イ) データのパスワードによる保護
(ウ) 施錠できる搬送容器の使用
イ 特定個人情報が記載された書類等を持ち出す場合の措置
(ア) 封緘
(イ) 目隠しシールの貼付
(5) 特定個人情報の削除,機器及び電子媒体等の廃棄
保存期間を超えた紙・データ・記録媒体等は,古殿町の文書保存年限に従い,事務取扱担当者が廃棄を行う。保護責任者は廃棄の実施を確認する。
ア 紙:シュレッダーによる裁断,焼却,溶解等を行う。委託処理の場合は証明書を受領する。
イ PCのHDD及びサーバ:読み取りできないように物理的に破壊又はシステム担当者が指示した方法でデータを消去する。リース切れ等によりPCを業者が回収する場合には,データの消去を職員が確認するか,データ破棄の証明書を受領する。
ウ 廃棄物の一時保管は,総務課が施錠管理された場所に保管する。また,外部より判別できない状態で廃棄する。
4 技術的安全管理措置
(1) アクセス制御
保護責任者,システム担当者は,情報システムを使用して個人番号利用事務等を行う場合,やむを得ないと認められる場合を除き,次の各号に掲げる措置を講じて事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲等を限定する。
ア 個人番号と紐付けてアクセスできる情報の範囲を,アクセス制御により限定する。
イ 特定個人情報ファイルを取り扱う情報システム等を,アクセス制御により限定する。
ウ ユーザーIDに付与するアクセス権により,特定個人情報ファイルを取り扱う情報システムを使用できる者を,事務取扱担当者に限定する。
エ 特定個人情報ファイルへのアクセス権を付与すべき者を最小化し,アクセス権を有する者に付与する権限を可能な限り最小化する。
(2) アクセス者の識別と認証
特定個人情報を取り扱う情報システムは,ユーザーID,パスワード,磁気・ICカード,生体情報等の多要素認証により,事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証するものとする。
(3) 不正アクセス等による被害の防止等
ア 保護責任者,システム担当者は,特定個人情報を取り扱う情報システムを,以下に示す方法を用いて外部等からの不正アクセス又は不正ソフトウェアから保護する。また,個人番号利用事務の実施に当たり,接続する情報提供ネットワークシステム等の接続規程等が示す安全管理措置を遵守する。
(ア) 特定個人情報を取り扱う情報システムと外部ネットワーク又はその他の情報システムとの接続箇所に,ファイアウォール等を設置し,不正アクセスを遮断する。
(イ) 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。
(ウ) 導入したセキュリティ対策ソフトウェア等により,入出力データにおける不正ソフトウェアの有無を確認する。
(エ) 機器やソフトウェア等に標準装備されている自動更新機能等の活用により,ソフトウェア等を最新状態にする。
(オ) 情報システムにおいてアクセスログ等を採取し,定期的及び必要に応じて随時に当該ログ等の分析を行い,不正アクセス等を検知する。
(カ) 不正アクセス等の被害に遭った場合には,ネットワークの遮断等により被害を最小化する。
(キ) 情報システムの不正な構成変更(許可されていない電子媒体,機器等の接続,ソフトウェアのインストール等)を防止するために必要な措置を講じる。
イ 保護責任者,システム担当者は,個人番号利用事務において使用する情報システムについて,インターネットから独立する等のセキュリティ対策を踏まえたシステム構築や運用体制整備を行う。
(4) 情報漏えい等の防止
保護責任者,システム担当者は,特定個人情報をインターネット等により外部に送信する場合,通信経路における情報漏えい等及び情報システムに保存されている特定個人情報の漏えい等を防止するため,次の措置を講じる。
ア 外部に送信するための通信経路を暗号化する。
イ 特定個人情報ファイルを機器又は電子媒体等に保存する必要がある場合,原則として暗号化又はパスワードによる保護を講じる。
ウ 暗号化又はパスワードによる保護に当たっては,ファイルを不正に入手した者が容易に解読できないよう,暗号鍵(暗号化方式)及びパスワードの運用管理,パスワードに用いる文字の種類や文字数等の要素を考慮する。
第4 その他
1 特定個人情報の適正な取扱いに係る事務処理について,本取扱規程に定めのないものは,特定個人情報の取扱いに関する管理規程に従うものとする。
2 保有特定個人情報等の漏えい,紛失等のインシデント対応組織であるCSIRTは,「古殿町情報セキュリティポリシー」にのっとり適正な運用を行うものとする。
3 上記1に定めるもののほか,特定個人情報の適正な取扱いに係る事務処理について必要な事項は,総括保護責任者及び保護責任者が協議して定めるものする。
附則
この規程は,令和6年4月1日から施行する。