○十和田地域広域事務組合個人情報の取扱いに関する要綱
令和6年12月24日
訓令第6号
(趣旨)
第1条 この要綱は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第66条第1項の規定に基づき、保有個人情報の適切な管理について必要な事項を定めるものとする。
(1) 課等 事務局、庶務課、警防課、予防課、通信指令課、十和田消防署、十和田湖消防署、六戸消防署、湖畔出張所、学校給食センターをいう。
(2) 取扱職員 保有個人情報を取り扱う職員(臨時的に任用された職員及び会計年度任用職員を含む。)をいう。
2 前項に規定するもののほか、この要綱において使用する用語は、法、十和田地域広域事務組合個人情報の保護に関する法律の施行に関する条例(令和5年十和田地域広域事務組合条例第2号)及び十和田地域広域事務組合個人情報の保護に関する法律の施行に関する規則(令和5年十和田地域広域事務組合規則第1号)において使用する用語の例による。
(総括保護管理者)
第3条 組合に総括保護管理者を置き、副管理者(この場合の副管理者は十和田市副市長をいう。以下同じ。)をもって充てる。
2 総括保護管理者は、実施機関における保有個人情報の管理に関する事務を総括するものとする。
(保護管理者)
第4条 各課等に保護管理者を置き、当該課等の長をもって充てる。
2 保護管理者は、課等における保有個人情報の適切な管理を確保するものとする。この場合において、保有個人情報を情報システムで取り扱う場合は、第6条に規定するシステム管理者と連携して、その任に当たる。
3 取扱職員は、保護管理者の指揮及び監督の下に、個人情報の保護に十分な注意を払って業務を行うものとする。
(保護担当者)
第5条 保護管理者は、取扱職員(臨時的に任用された職員及び会計年度任用職員を除く。)のうちから、保護担当者を定めるものとする。
2 保護担当者は、保護管理者を補佐し、課等における保有個人情報の管理に関する事務を行うものとする。
(システム管理者)
第6条 組合にシステム管理者を置き、組合で使用するネットワーク等の情報システムを管理する課の長をもって充てる。
2 システム管理者は、保有個人情報のうち情報システムで取り扱うものの安全を確保する任に当たる。
(監査責任者)
第7条 組合に監査責任者を置き、事務局の個人情報保護主管にあっては事務局長を、消防本部の個人情報保護主管にあっては消防長を、学校給食センターの個人情報保護主管にあっては教育部長をもって充てる。
2 監査責任者は、保有個人情報の管理の状況について監査するものとする。
(研修)
第8条 総括保護管理者は、職員に対し、保有個人情報の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要な研修を行うものとする。
2 保護管理者は、当該課等の職員に対し、保有個人情報の適切な管理のために、研修への参加の機会を付与する等の必要な措置を講ずるものとする。
(職員の責務)
第9条 職員は、法の趣旨に則り、関連する法令及びこの要綱の定め並びに総括保護管理者、保護管理者及び保護担当者の指示に従い、保有個人情報を取り扱わなければならない。
(取扱いの制限)
第10条 保護管理者は、保有個人情報の秘匿性又はその内容に応じて、当該保有個人情報にアクセスする権限(以下「アクセス権限」という。)を有する取扱職員の範囲とアクセス権限の内容を、当該取扱職員が所掌事務又は業務を遂行する上で必要最小限の範囲にしなければならない。
2 取扱職員は、アクセス権限を有する場合であっても、業務上の目的以外の目的で保有個人情報にアクセスしてはならない。
(複製等の制限)
第11条 取扱職員は、次の各号に掲げる行為について、当該保有個人情報の秘匿性又はその内容に応じて、当該行為を必要最小限に限定するとともに、保護管理者の指示に従い行うものとする。
(1) 保有個人情報の複製及び加工
(2) 保有個人情報が記録されている電磁的記録の送信
(3) 保有個人情報が記録されている媒体(電磁的記録媒体を含む。以下同じ。)の庁外への送付
(4) 前3号に掲げるもののほか、保有個人情報の適切な管理に支障を及ぼすおそれのある行為
2 取扱職員は、原則として、保有個人情報が記録されている媒体を庁外へ持ち出ししてはならない。ただし、所掌事務又は業務を遂行する上で必要な場合であって、保護管理者の承認を得た場合はこの限りではない。
(誤りの訂正等)
第12条 取扱職員は、保有個人情報の内容に誤り等を発見した場合は、当該保有個人情報に係る保護管理者の指示に従い、当該保有個人情報の訂正等を行うものとする。
(誤送付等の防止)
第13条 取扱職員は、保有個人情報を含む電磁的記録又は媒体の誤送信、誤送付、誤交付又はウェブサイトへの誤掲載を防止するため、個別の事務において取り扱う個人情報の秘匿性等に応じ、複数の職員による確認、チェックリストの活用その他必要な措置を講ずるものとする。
(外的環境の把握)
第14条 保護管理者は、保有個人情報が外国(クラウドサービス提供事業者が所在する外国及び個人データが保存されるサーバが所在する外国をいう。)において取り扱われるときは、当該外国の個人情報の保護に関する制度等を把握した上で、保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。
(業務の委託等)
第15条 個人情報の取扱いに係る業務を外部に委託する場合は、個人情報の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置を講ずるものとする。
2 個人情報の取扱いに係る業務を外部に委託する場合(再委託する場合を含む。)は、契約書に原則として次に掲げる事項を明記するとともに、委託先における責任者及び業務従事者の管理及び実施体制、委託先における個人情報の管理状況の検査に関する事項その他必要な事項について書面で確認するものとする。
(1) 個人情報に関する秘密保持、目的外利用の禁止等の義務
(2) 再委託の制限又は事前承認その他再委託に係る条件に関する事項
(3) 個人情報の複製等の制限に関する事項
(4) 個人情報の漏えい等の事案の発生時における対応に関する事項
(5) 委託終了時における個人情報の消去及び媒体の返却に関する事項
(6) 法令及び契約に違反した場合における契約解除、損害賠償責任その他必要な事項
3 保護管理者は、保有個人情報の取扱いに係る業務を外部委託する場合は、委託する保有個人情報の秘匿性又はその内容に応じて、委託先における個人情報の管理の状況について1年に1回以上の定期的検査等を実施することにより確認を行うものとする。
5 保護管理者は、保有個人情報の取扱いに係る業務を労働者派遣により行わせる場合は、労働者派遣契約書に秘密保持義務その他個人情報の取扱いに関する事項を明記するものとする。
(漏えい事案発生時の対応及び再発防止措置)
第16条 職員は、保有個人情報の漏えい等の事案の発生若しくは兆候を把握した場合又は職員が法の規定に違反している事実若しくは兆候(以下「漏えい事案等」という。)を把握した場合は、直ちに当該漏えい事案等に係る個人情報を管理する保護管理者に報告しなければならない。
2 保護管理者は、漏えい事案等に係る被害の拡大防止又は復旧等のために必要な措置を速やかに講じなければならない。
3 保護管理者は、漏えい事案等の発生した経緯及び被害状況等を調査し、総括保護管理者に報告しなければならない。ただし、特に重大と認める漏えい事案等が発生したときは、直ちに総括保護管理者に当該漏えい事案等の内容等について報告しなければならない。
4 総括保護管理者は、前項の規定により報告を受けたときは、漏えい事案等の内容等に応じて、当該漏えい事案等の内容、経緯及び被害状況等を管理者に速やかに報告しなければならない。
5 保護管理者は、保有個人情報の漏えい等の事案が外部からの不正アクセス、不正プログラムの感染その他情報システムに関する事由に起因するものであるとき(これらが疑われるときを含む。)は、システム管理者に報告しなければならない。この場合において、システム管理者は、被害拡大防止のために行い得る措置を直ちに行う(職員に行わせる場合を含む。)ものとする。
6 保護管理者は、漏えい事案等の発生した原因を分析し、再発防止のために必要な措置を講じなければならない。
(個人情報保護法に基づく報告及び通知)
第17条 保有個人情報の漏えい等が生じた場合であって法第68条第1項の規定による個人情報保護委員会への報告及び同条第2項の規定による本人への通知を要する場合には、総括保護管理者は、前条に定める対応と並行して、速やかに所定の手続を行うとともに、個人情報保護委員会の調査等に協力するものとする。
(公表等)
第18条 総括保護管理者は、保有個人情報の漏えい等の事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る個人情報の本人への対応等の措置を講ずるものとする。
(点検の実施)
第20条 保護管理者は、各課等における保有個人情報の管理の状況について、定期点検又は必要に応じた随時点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告するものとする。
(評価及び見直し)
第21条 保有個人情報の適切な管理のための措置については、総括保護管理者、保護管理者等は、監査又は点検の結果等を踏まえ、実効性等の観点から評価し、必要があると認めるときは、その見直し等の措置を講ずる。
(その他)
第22条 この要綱に定めるもののほか、個人情報の安全管理措置に関し必要な事項は、管理者が別に定める。
附則
この要綱は、公布の日から施行する。