○飯田市個人情報保護事務取扱要領
令和5年3月31日
訓令第2号
本庁及び出先機関全般
目次
第1章 総則(第1条―第5条)
第2章 保有個人情報の開示に係る事務(第6条―第19条)
第3章 保有個人情報の訂正及び利用停止に係る事務(第20条―第21条)
第4章 審査請求(第22条)
第5章 安全管理措置(第23条―第61条)
第6章 雑則(第62条)
附則
第1章 総則
(趣旨)
第1条 この訓令は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「政令」という。)、飯田市個人情報の保護に関する法律施行条例(令和4年飯田市条例第26号。以下「条例」という。)及び飯田市個人情報の保護に関する法律施行細則(令和5年飯田市規則第8号。以下「規則」という。)に定めるもののほか、飯田市が保有する個人情報の取扱いに関し必要な事項を定めるものとする。
(所管課との役割分担)
第3条 総務部総務文書課(以下「総務文書課」という。)は、保有個人情報の保護に係る事務(次項において「個人情報保護事務」という。)のうち、おおむね次の事務を行うものとする。
(1) 保有個人情報の開示、訂正及び利用停止(以下この条において「開示等」という。)の請求についての案内及び相談
(2) 開示等の事務についての各実施機関及び各課等との連絡調整
(3) 開示等の請求の受付(他の実施機関に係るものを含む。)
(4) 保有個人情報の開示を行う場所の提供に関すること。
(5) 保有個人情報の開示に要する費用(条例第6条第4項の費用をいう。以下同じ。)の徴収
(7) 飯田市情報公開審査会の開催及び運営
(8) 個人情報ファイル簿の公表
(9) 保有個人情報に関する苦情の相談
2 開示等の請求に係る保有個人情報を所管する課等(以下「所管課」という。)は、個人情報保護事務のうち、おおむね次の事務を行うものとする。
(1) 開示等の請求の受付
(2) 開示等の請求に係る保有個人情報の特定
(3) 開示等の請求についての決定
(4) 開示請求に係る保有個人情報に第三者の情報が含まれているときの第三者保護の手続
(5) 事案の移送
(6) 開示等の実施及びその説明
(7) 費用の徴収
(8) 審査請求について処分庁等(行審法第4条第1号に規定するものをいう。)として行う事務
(9) 個人情報ファイル簿の作成
(10) 保有個人情報に関する苦情の相談
(個人情報ファイル簿の作成及び公表の手続)
第4条 個人情報ファイル簿の作成及び公表の手続は、次の各号に掲げるとおりとする。
(2) 総務文書課は、前号の規定による提出があったときは、その内容を確認し、必要に応じて所管課と協議するものとする。
(3) 総務文書課は、記載事項を用いて個人情報ファイル簿を作成し、行政資料コーナーにおいて一般の閲覧に供するとともに、飯田市が管理するウェブサイトに掲載するものとする。
2 個人情報ファイル簿を修正し、又は個人情報ファイルの記載を消除する場合の手続は、次の各号に掲げるとおりとする。
(1) 個人情報ファイル簿の修正は、所管課が、当該修正の内容を総務文書課が指定する様式に記載し、総務文書課に提出することにより行うものとする。
(2) 個人情報ファイルの記載の消除は、所管課が、当該消除の内容を総務文書課が指定する様式に記載し、総務文書課に提出することにより行うものとする。
(3) 総務文書課は、前2号の規定による提出があったときは、その内容を確認し、必要に応じて所管課と協議するものとする。
(取得及び利用又は提供の制限に係る手続)
第5条 所管課は、本人以外から個人情報を取得する場合又は法第69条第2項第2号から第4号までの規定により利用目的以外に保有個人情報を自ら利用し若しくは提供する場合であって、その行為が経常的なものでない場合その他疑義がある場合には、次の各号に掲げる事項について、総務文書課及び関係課と協議するものとする。
(1) 個人情報の内容
(2) 対象者の範囲
(3) 本人以外から取得し、又は利用し、若しくは提供をする理由及びその根拠
第2章 保有個人情報の開示に係る事務
(1) 開示請求をしようとする者の求める情報が、情報提供で対応できるものであるときは、必要な情報を速やかに提供すること。
ア 保有個人情報の利用目的のために提供するものであるとき。
イ 法第69条第1項の法令に基づく場合に該当することにより提供するものであるとき。
ウ 法第69条第2項各号のいずれかに該当することにより同項の規定により提供するものであるとき。
(開示請求の方法)
第7条 開示請求は、法第77条及び政令第22条第1項から第3項までの規定により、開示請求をしようとする者が開示請求書に必要事項を記入し、提出することにより行うものとし、口頭、電話又はファクシミリによる請求は、受け付けないものとする。
2 開示請求書は、開示請求に係る保有個人情報等1件ごとに1枚を用いることとする。ただし、同一の所管課に同一人から複数の開示請求があった場合は、開示請求書の開示を請求する保有個人情報の欄に記入することができる範囲内で、1枚の開示請求書の提出により受け付けるものとする。
(保有個人情報の特定)
第8条 開示請求に係る保有個人情報の特定については、開示請求をしようとする者から開示請求に係る保有個人情報を特定するために必要な事項を十分聴き取ることにより行うものとする。
2 保有個人情報の特定ができない場合は、請求者の要求する情報の内容を具体的に開示請求書に記載するよう依頼するものとする。
(窓口における開示請求の受付)
第9条 開示請求の受付は、所管課又は行政資料コーナーにおいて行うものとする。
2 開示請求の受付に際しては、開示請求書に次の各号に掲げる事項が記載されていることを確認するものとする。
(1) 開示請求者のふりがな、氏名、郵便番号、住所又は居所及び電話番号の欄には、法第77条第3項の補正、開示を実施する日時等の調整、通知書の送付等に必要であるため、正確に記載されていること。
(2) 開示を請求する保有個人情報の欄には、公文書若しくは個人情報ファイルの名称又は所管課が開示請求に係る保有個人情報を特定できる程度に個人情報の具体的な内容が記載されていること。
(3) 求める開示の実施方法等の欄には、希望する開示の方法について、閲覧、写しの交付又は写しの送付のいずれかを選択する旨の記載があること。
(4) 開示請求者の欄には、本人(開示請求に係る保有個人情報の本人をいう。以下この条において同じ。)、法定代理人又は任意代理人(本人の委任による代理人をいう。)のいずれかである旨の記載があること。
(5) 請求者本人確認書類の欄には、本人であることを示す書類として提示され、又は提出された書類(顔写真の貼付のない書類である場合は、複数の書類)の名称が記載されていること。
ア 本人の状況等 本人の状況、氏名、住所又は居所及び電話番号
イ 請求資格確認書類 本人の代理人であることを示す書類として提示され、又は提出された書類の名称
(開示請求者への説明)
第10条 開示請求の受付に際しては、開示請求者に次の各号に掲げる事項について説明を行うものとする。
(1) 開示請求書が所管課又は行政資料コーナーに提出された日をもって、法第83条第1項の開示請求があった日とし、開示請求があった日の翌日から起算して30日を経過する日までに開示決定等を行い、その結果を文書によって通知すること。
(2) 事務処理上の困難その他正当な理由により30日以内に開示決定等ができないときは、法第83条第2項の規定により30日以内まで延長することができ、このときは規則第6条の開示決定等期限延長通知書により通知すること。
(3) 開示請求に係る保有個人情報が著しく大量であるため、開示請求があった日から60日以内にその全てについて開示決定等をすることにより事務の遂行に著しい支障が生ずるおそれがある場合には、法第84条の規定により開示請求に係る保有個人情報のうちの相当の部分につき当該期間内に開示決定等をし、残りの保有個人情報については相当の期間内に開示決定等をすることができ、この場合は規則第7条の開示決定等期限特例延長通知書によりその旨を通知すること。
(4) 開示請求に係る保有個人情報に第三者に関する情報が含まれているときは、当該第三者に対し、当該第三者に関する情報の内容等を通知して、意見書を提出する機会を与えることがあること。
(5) 保有個人情報の開示について、写しの交付若しくは写しの送付により行う場合又は電磁的記録の開示を行う場合は、保有個人情報の開示に要する費用を徴収すること。
(6) 保有個人情報の開示の日時は、規則第5条第1項の開示決定通知書(以下「開示決定通知書」という。)により通知すること。
(7) 保有個人情報の開示の場所は、原則として所管課であること。
(8) 法以外の法令の規定に、法第87条第1項本文に規定する方法と同一の方法で保有個人情報を開示する旨の規定がある場合は、当該同一の方法による法に基づく開示を行わないことがあること。
(開示請求書を実施機関に送付して開示請求をする場合の取扱い)
第11条 政令第22条第2項に規定する送付による開示請求の取扱いは、所管課又は行政資料コーナーにおいて次のように行うものとする。
(1) 開示請求書が所管課又は行政資料コーナーに到達した日をもって、開示請求があった日とする。
(2) 開示請求書の記載に不備がある場合は、開示請求者と連絡をとり、開示請求者に対し相当の期間を定めてその補正を求め、又は記載の不備が軽微なものであるとき若しくは開示請求者本人に開示請求書の記載の修正を求めることが困難な場合等には、開示請求者の了解を得て所管課又は総務文書課において補正することも可能とする。この場合においては、その補正に要した日数は、開示決定等に要する期間には算入しない。
(開示請求書受付時の確認事項)
第12条 所管課は、所管課において受け付け、又は行政資料コーナーから送付された開示請求書について、次の事項を確認するものとする。
(1) 開示請求に係る保有個人情報を特定できること。
(2) 開示請求に係る保有個人情報が開示請求者(開示請求者が代理人であるときは、開示請求に係る保有個人情報の本人)の個人情報であること。
(事案の移送)
第13条 開示請求に係る保有個人情報が他の実施機関から提供されたものであるときその他他の実施機関において開示決定等をすることにつき正当な理由があるときに法第85条第1項の規定により行う事案の移送は、次のように行うものとする。
(1) 実施機関は、移送を受ける実施機関と協議の上、事案の移送を決定し、移送を受ける実施機関に対し開示請求書を送付する。
(2) 移送をした実施機関は、開示請求者に対し、開示請求事案移送通知書(様式第7号)により事案を移送した旨を通知するとともに、その写しを移送を受けた実施機関及び総務文書課に送付する。
(3) 移送をした実施機関は、移送を受けた実施機関との連絡を密にするとともに、法第85条第3項の規定により、移送を受けた実施機関が実施する保有個人情報の開示に必要な協力をしなければならない。
2 事案の移送を行う際は、次の各号に掲げる事項に留意するものとする。
ア 開示請求の対象となる保有個人情報を保有している他の実施機関を教示すること。
(ア) 開示請求に係る保有個人情報を保有していないこと。
(イ) 開示請求に係る保有個人情報の存否を明らかにすることにより不開示情報を開示することになること。
(2) 事案の移送に要した日数は開示決定等に要する期間に算入されるため、速やかに前項第1号の協議を開始すること。
(3) 法第85条第2項後段の規定により、移送をした実施機関が移送前にした行為は、移送を受けた実施機関がしたものとみなされること。
(開示決定等の起案及び決裁)
第14条 開示決定等は、総務文書課に合議の上、所管課において行うことを原則とする。
2 所管課は、開示請求に係る保有個人情報が法第78条第1項の不開示情報に該当するか否かについて確認するものとし、その際には必要に応じ総務文書課及び関係課と協議するものとする。
3 開示請求に係る保有個人情報に第三者に関する情報が含まれている場合で、法第86条第1項又は第2項の規定により当該第三者に対し意見書を提出する機会を与えたときは、当該意見書の内容も参考にするものとする。
4 開示決定等の起案文書には、開示請求書、開示決定通知書の案、開示請求に係る保有個人情報が記載された公文書の写し、前項の意見書等の一連の資料を添付するものとする。この場合において、決裁区分は、飯田市事務処理規則(昭和56年飯田市規則第13号)に定めるところによる。
(保有個人情報の存否に関する情報)
第15条 開示請求に対し、当該開示請求に係る保有個人情報が存在しているか否かを答えるだけで、不開示情報を開示することとなるときは、法第81条の規定により、当該保有個人情報の存否を明らかにしないで、当該開示請求を拒否することができる。この場合において、当該開示請求に係る保有個人情報の性質、内容、開示請求書の記載内容等を踏まえ、当該保有個人情報の存否を明らかにすることにより不開示情報を開示することになる理由を示し、規則第5条第2項の開示をしない旨の決定通知書により開示請求者に通知するものとする。
(文書不存在による不開示)
第16条 開示請求に係る保有個人情報を保有していない場合は、その旨及び当該保有個人情報を取得しておらず、又は廃棄したことその他の当該個人情報を保有していない理由を示し、規則第5条第2項の開示をしない旨の決定通知書により開示請求者に通知するものとする。
(決定期間の延長に係る協議)
第17条 法第83条第2項の規定による通知及び法第84条の規定による通知を行うに際しては、所管課、総務文書課及び関係課が協議するものとする。
(開示の日時及び場所)
第18条 保有個人情報の開示の日時は、開示決定通知書が開示請求者に到達する予定の日までの日数を考慮し、当該日以後の飯田市の休日を定める条例(平成元年飯田市条例第40号)第1条の市の休日以外の日であって、飯田市職員服務規程(昭和45年飯田市訓令第6号)第4条の2の勤務時間内の日時とする。
2 保有個人情報の開示の場所は、原則として所管課とする。ただし、事務に支障等があるとき又は電磁的記録に係る開示の場合であって電磁的記録の保有状況により開示を行う方法に合理的理由があるときは、総務文書課と協議し、行政資料コーナーその他の所管課と別の場所を指定できるものとする。
3 所管課は、開示請求者から開示決定通知書で指定した日時に来所できない旨の連絡があったときは、開示請求者と調整した上で別の日時を指定して保有個人情報の開示をするものとする。この場合において、新たに指定した日時についての通知は省略できるものとする。
(個人情報等の開示の実施)
第19条 保有個人情報を開示する際は、所管課又は総務文書課の職員が立ち会うものとし、開示請求者に対して開示決定通知書の提示を求め、その内容を確認するものとする。
2 保有個人情報の開示は、開示決定通知書で指定した日時及び場所において、所管課が当該保有個人情報の原本、その写し又は再生するための専用機器(電磁的記録に係る開示の方法が再生したものの視聴又は閲覧である場合であって、総務文書課に対応する機器が存在しないときに使用するものをいう。)を準備して行うものとする。
3 保有個人情報の開示の実施方法は、法第87条第1項及び規則第10条に定めるところによる。
4 部分開示(法第79条第1項の規定による開示及び同条第2項の規定により同条第1項を適用して行う保有個人情報の開示をいう。)の方法は、同条の規定及び個人情報保護委員会が定めるところによる。
(1) 次号に掲げる費用以外 行政資料コーナー設置規程(昭和61年飯田市訓令第2号)別表に定めるところによる。
(2) 規則第10条第1項第1号又は同項第2項の規定による電磁的記録を複写したものの交付に係る費用 実施機関が別に定めるところによる。
第3章 保有個人情報の訂正及び利用停止に係る事務
(保有個人情報の訂正に係る事務)
第20条 訂正請求の受付に係る事務手続は、開示請求の受付事務に準じて取り扱うものとする。この場合において、次の事項について留意するものとする。
(1) 訂正請求をすることができる保有個人情報は、法第90条第1項第1号又は同項第2号に該当するものであること。
(2) 保有個人情報の開示を受けた日から90日以内に行われた訂正請求であることを確認すること。
2 訂正決定等に係る事務手続は、開示決定等に準じて取り扱うものとする。この場合において、訂正決定に基づく保有個人情報の訂正の実施(この項において「訂正の実施」という。)をしたときは、次の事項について留意するものとする。
(1) 法第97条の規定により、実施機関が必要があると認めるときは、訂正の実施に係る保有個人情報の提供先に対し、遅滞なく、訂正の実施をした旨を規則第17条の保有個人情報提供先への訂正決定通知書により通知する必要があること。
(2) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第23条第1項の規定により記録された特定個人情報又は同条第2項の規定により記録された特定個人情報について訂正の実施をした場合に、同法第31条第1項の表により読み替えて適用される法第97条の規定により、実施機関が必要があると認めるときは、訂正の実施に係る特定個人情報と同一の記録を保有する者である内閣総理大臣、同法第19条第8号の情報照会者若しくは情報提供者又は同条第9号に規定する条例事務関係情報照会者若しくは条例事務関係情報提供者に対し、遅滞なく、訂正の実施をした旨を書面により通知する必要があること。
(保有個人情報の利用停止に係る事務)
第21条 利用停止請求の受付に係る事務手続は、開示請求の受付事務に準じて取り扱うものとする。この場合において、次の事項について留意するものとする。
(1) 利用停止請求をすることができる保有個人情報は、法第90条第1項第1号又は同項第2号に該当するものであること。
(2) 保有個人情報の開示を受けた日から90日以内に行われた利用停止請求であることを確認すること。
2 利用停止決定等に係る事務手続は、開示決定等に準じて取り扱うものとする。
第4章 審査請求
(審査請求)
第22条 審査請求に係る事務手続きは、法第104条から第107条までの規定及び行審法の規定に定めるところによる。この場合において、次の事項に留意するものとする。
ア 処分等に係る実施機関が市長であるとき 総務文書課
イ 処分等に係る実施機関が市長以外であるとき 当該処分等の事務を担当する課等
(2) 行審法第9条第1項の規定により指名された者(以下この条において「審理員」という。)の指名等の規定は、法第106条第1項の規定により適用されないこと。
(3) 審理手続(行審法第9条第1項に規定するものをいう。)の事務は、法第106条第2項の規定により読み替えて適用される行審法の規定により、審理員ではなく審査庁が行うこととなること。
(4) 審査庁は、法第105条第3項の規定により準用する同条第1項及び条例第8条の規定により、法第105条第1項各号のいずれかに該当する場合を除き、飯田市情報公開審査会に諮問しなければならないこと。
(5) 前号の規定による諮問があった場合に飯田市情報公開審査会が行う調査審議の手続は、行審法第81条第3項の規定により準用する行審法第74条から第79条までの規定により行うこと。
第5章 安全管理措置
(安全管理措置に係る体制)
第23条 法第66条第1項の規定による保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために講ずる必要かつ適切な措置(以下「安全管理措置」という。)について組織を通じて実施するため、総括保護管理者を設置し、総務部長をもって充てる。
2 課等における保有個人情報の適切な管理を確保するため、保有個人情報を取り扱う課等に保護管理者を設置し、当該課等の長をもって充てる。この場合において、保有個人情報を情報システムを用いて取り扱うときは、保護管理者は、当該情報システムを管理する者と連携して、安全管理措置に係る事務を行うものとする。
3 保護管理者を補佐し、各課等における保有個人情報の管理に関する事務を担当するため、保有個人情報を取り扱う課等に保護担当者を設置し、保護管理者が指名した者をもって充てる。
4 保有個人情報の管理の状況について監査するため、監査責任者を設置し、総務文書課長をもって充てる。
5 総括保護管理者は、保有個人情報の管理に係る重要事項の決定、連絡、調整等を行うため必要があると認めるときは、次の各号に掲げる者を構成員とする委員会を設けることができる。
(1) 監査責任者
(2) 保護管理者のうち総括保護管理者が指名する者
(3) 前2号に規定するもののほか、総務文書課の職員、情報システムの管理に係る事務に従事する職員その他総括保護管理者が必要と認める職員
(安全管理措置に係る教育研修)
第24条 総括保護管理者は、保有個人情報の取扱いに従事する職員(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和60年法律第88号)第2条第2号に規定する派遣労働者(第52条第6項において「派遣労働者」という。)を含む。以下同じ。)に対し、保有個人情報の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要と認める教育研修を行うものとする。
2 総括保護管理者は、保有個人情報を取り扱う情報システムの管理に関する事務に従事する職員に対し、保有個人情報の適切な管理のため、情報システムに係る管理、運用及びセキュリティ対策に関して必要と認める教育研修を行うものとする。
3 総括保護管理者は、保護管理者及び保護担当者に対し、課等の執務室その他の保有個人情報を取り扱う事務を行う場所における保有個人情報の適切な管理のための教育研修を定期的に実施するものとする。
4 保護管理者は、課等の職員に対し、保有個人情報の適切な管理のため、総括保護管理者が実施する教育研修への参加の機会を付与することその他の必要と認める措置を講ずるものとする。
(保有個人情報へのアクセス制限)
第26条 保護管理者は、保有個人情報に係る次の各号に掲げる事項(以下「秘匿性等」という。)の内容及び程度に応じて、閲覧、情報システムを用いた接続その他の方法により保有個人情報の取扱いを開始すること(以下「アクセス」という。)を行う権限を有する職員の範囲と権限の内容を、当該職員が業務を行う上で必要最小限の範囲に限るものとする。
(1) 特定の個人の識別が容易であることの程度
(2) 要配慮個人情報の有無
(3) 漏えい、滅失又は毀損(以下これらを総称して「漏えい等」という。)が発生した場合に生じる可能性のある被害の性質及び程度
(4) アクセスの制限のために講ずることができる措置の内容
(5) 前各号に掲げるもののほか、保護管理者が必要と認める事項
(1) アクセスを行う権限(以下「アクセス権限」という。)を有しない職員 保有個人情報にアクセスしてはならないこと。
ア 業務上の目的以外の目的で保有個人情報にアクセスしてはならないこと。
イ アクセスは必要最小限としなければならないこと。
(保有個人情報の複製等の制限)
第27条 職員が業務上の目的で保有個人情報を取り扱う場合であっても、保護管理者は、次の各号に掲げる行為については、当該保有個人情報の秘匿性等の内容及び程度に応じて、当該行為を行うことができる場合を必要最小限に限定するものとする。
(1) 保有個人情報の複製
(2) 保有個人情報の送信
(3) 保有個人情報が記録されている媒体の外部への送付又は持ち出し
(4) 前号に掲げるもののほか、保有個人情報の適切な管理に支障を及ぼすおそれがあると保護管理者が認める行為
2 職員は、前項の規定による行為の限定があった場合においては、保護管理者の指示するところにより当該行為を行うものとする。
(保有個人情報に係る誤りの訂正等)
第28条 職員は、保有個人情報の内容に誤りその他の不備を発見した場合には、保護管理者の指示するところにより、誤りの訂正その他の保護管理者が必要と認める措置を行うものとする。
(保有個人情報が記録された媒体の管理等)
第29条 職員は、保護管理者の指示するところにより、保有個人情報が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫への保管、施錠その他保護管理者が必要と認める措置を行うものとする。
(保有個人情報の誤送付等の防止)
第30条 職員は、保有個人情報を含む電磁的記録又は媒体を誤って送信し、送付し、交付し、又はウェブサイト等に掲載することを防止するため、個別の事務又は事業において取り扱う個人情報の秘匿性の内容及び程度に応じて、複数の職員による確認、チェックリストの活用その他の保護管理者が必要と認める措置を講ずるものとする。
(保有個人情報の廃棄等)
第31条 職員は、保有個人情報又は保有個人情報が記録されている媒体(電子計算機又は電子計算機の用に供する端末に内蔵されているものを含む。)が不要となった場合には、保護管理者の指示するところにより、当該保有個人情報の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行うものとする。
(保有個人情報の取扱状況の記録)
第32条 保護管理者は、保有個人情報の秘匿性等の内容及び程度に応じて、台帳等を整備して、当該保有個人情報の利用、保管等の取扱いの状況について記録するものとする。
(保有個人情報に係る外的環境の把握)
第33条 保護管理者は、保有個人情報が外国において取り扱われる場合は、当該外国の個人情報の保護に関する制度等を確認し、保有個人情報の安全管理のために必要かつ適切な措置を講ずるものとする。
2 保護管理者は、前項の措置を講ずる場合には、パスワード等の管理に関する定めを整備し、パスワード等の読取防止を行うための措置その他必要と認める措置を講ずるものとする。
(保有個人情報のアクセス記録)
第35条 保護管理者は、保有個人情報の秘匿性等の内容及び程度に応じて、当該保有個人情報のアクセスに係る状況を記録するものとする。
3 保護管理者は、アクセス記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講ずるものとする。
(保有個人情報のアクセス状況の監視)
第36条 保護管理者は、保有個人情報の秘匿性等の内容、程度及び量に応じて、当該保有個人情報への不適切なアクセスの監視のため、次の各号に掲げる措置その他の必要と認める措置を講ずるよう努めるものとする。
(1) 保有個人情報を含み、又は含むおそれがある情報が一定の量を超えて情報システムから出力された場合に警告の表示がなされる機能を設定すること。
(2) 前号の設定を定期的に確認すること。
(管理者権限の設定)
第37条 保護管理者は、保有個人情報の秘匿性等の内容及び程度に応じて、情報システムの管理者が有する特別な権限を不正に窃取された際の被害を最小に抑え、及び内部からの不正な操作等を防止するため、当該権限を最小限とすることその他の必要と認める措置を講ずる。
(外部からの不正アクセスの防止)
第38条 保護管理者は、保有個人情報を取り扱う情報システムへの外部からの不正なアクセスを防止するため、アクセスを行うための情報通信の経路を制御するプログラムの設定その他の必要と認める措置を講ずるよう努めるものとする。
(不正プログラムによる保有個人情報の漏えい等の防止)
第39条 保護管理者は、不正なプログラムによる保有個人情報の漏えい等を防止するため、次の各号に掲げる措置を講ずるものとする。
(1) 事務に用いるプログラムについて脆弱性が公表されている場合は、当該脆弱性を解消すること。
(2) 確認した不正なプログラムに感染することの防止等のため必要と認める措置(事務に用いるプログラムを常に最新の状態に保つことを含む。)を講ずること。
(情報システムにおける保有個人情報の処理)
第40条 職員は、保有個人情報について、一時的に加工その他の事務に必要な処理を行うため複製その他の保護管理者が必要と認める行為を行う場合には、当該行為の対象を必要最小限に限り、当該処理の終了後は不要となった情報を速やかに消去するものとする。
(保有個人情報の暗号化)
第41条 保護管理者は、保有個人情報の秘匿性等の内容及び程度に応じて、暗号化(第三者により情報の内容を解読できないよう加工することをいう。次項において同じ。)のために必要と認める措置を講ずるものとする。
2 職員は、前項の措置を考慮し、取り扱う保有個人情報について、当該保有個人情報の秘匿性の内容及び程度に応じて、適切に暗号化を行うものとする。
(記録機能を有する機器及び媒体への接続制限)
第42条 保護管理者は、保有個人情報の秘匿性等の内容及び程度に応じて、当該保有個人情報の漏えい等の防止のため、記録機能を有する機器及び媒体を情報システムの用に供する端末その他の機器への接続を制限することその他の必要と認める措置を講ずるものとする。
(保有個人情報を取り扱う端末の限定)
第43条 保護管理者は、保有個人情報の秘匿性等の内容及び程度に応じて、当該保有個人情報を取り扱う電子計算機その他の端末(以下「端末」という。)を限定するために必要と認める措置を講ずるものとする。
(保有個人情報を取り扱う端末の盗難防止等)
第44条 保護管理者は、端末の盗難又は紛失の防止のため、端末の固定、執務室の施錠等の必要と認める措置を講ずるものとする。
2 職員は、保護管理者が必要であると認めるときを除き、端末を外部へ持ち出し、又は外部から持ち込んではならないものとする。
(保有個人情報の第三者の閲覧防止)
第45条 職員は、端末の使用に当たっては、保有個人情報が第三者に閲覧されることがないよう、当該使用の状況に応じて情報システムへの接続を終了することを徹底することその他の必要と認める措置を講ずるものとする。
(情報システムに入力された保有個人情報に係る情報の照合等)
第46条 職員は、情報システムで取り扱う保有個人情報の重要度に応じて、次の各号に掲げる措置その他の保護管理者が必要と認める措置を行うものとする。
(1) 情報システムに入力すべき内容が記載された帳票と当該情報システムに入力された内容との照合
(2) 情報システムにおいて処理を行う前後に保有個人情報の内容の確認及び既存の保有個人情報との照合を行うこと。
(保有個人情報のバックアップ)
第47条 保護管理者は、保有個人情報の重要度に応じて、漏えい等に備えるための当該保有個人情報の複製を作成し、及び分散して保管するために必要と認める措置を講ずるものとする。
(保有個人情報を取り扱う情報システム設計書等の管理)
第48条 保護管理者は、保有個人情報を取り扱う情報システムの設計書、構成図等の文書について外部に知られることがないようにするため、当該文書の保管、複製、廃棄その他の取扱いについて必要と認める措置を講ずるものとする。
(1) 情報システム室等に立ち入る権限を有する者を定めること。
(2) 情報システム室等に立ち入る目的を確認すること。
(3) 情報システム室等に立ち入ること及び退出したこと(以下この条においてこれらを総称して「入退」という。)に係る記録を行うこと。
(4) 情報システム室等に職員以外の者が立ち入る場合に、当該者についての識別に必要な措置
(5) 情報システム室等に職員以外の者が立ち入る場合に、職員の立会いによる方法又は監視設備を用いた監視を行うこと。
(6) 情報システム室等に電磁的記録を記録することができる媒体その他の機器を持ち込み、利用し、若しくは持ち出すことを制限し、又は検査することその他等の必要と認める措置
3 保護管理者は、必要があると認めるときは、情報システム室等の出入口を特定することにより入退の管理を容易にすること、情報システム室等の所在の表示を制限すること等の措置を講ずるものとする。
4 保護管理者は、情報システム室等及び記録媒体保管施設の入退の管理について、必要があると認めるときは、次の各号に掲げる措置を講ずるものとする。
(1) 立入りに係る認証機能の設定
(2) 前号の認証機能に係るパスワード等の管理に関する定めの整備
(3) 前号のパスワード等の読取防止を行うための措置
(4) 前各号に掲げるもののほか、保護管理者が必要と認める措置
(情報システム室等の管理)
第50条 保護管理者は、外部からの不正な侵入に備えるため、情報システム室等に施錠装置、警報装置及び監視設備を設置することその他必要と認める措置を講ずるものとする。
2 保護管理者は、災害等に備えるため、次の各号に掲げる措置を講ずるものとする。
(1) 情報システム室等の耐震、防火、防煙、防水に必要な措置
(2) サーバ等その他の機器の予備電源の確保、配線の損傷防止
(3) 前2号に掲げるもののほか、保護管理者が必要と認める措置
(保有個人情報の提供に係る措置)
第51条 保護管理者は、法第69条第2項第3号又は第4号の規定により行政機関等以外の者に保有個人情報の提供を行う場合には、法第70条の規定により、原則として、提供先における利用目的、利用する業務の根拠法令、利用する記録範囲及び記録項目、利用形態その他保護管理者が必要と認める事項について提供先との間で書面(電磁的記録を含む。)を取り交わすものとする。ただし、保護管理者が別に定める場合にはこの限りでない。
2 保護管理者は、法第69条第2項第3号及び第4号の規定により提供先に保有個人情報を提供する場合には、法第70条の規定により、提供先に対し次の措置を実施するものとする。
(1) 法第70条の規定による求めを行うこと。
ア 保有個人情報の提供前又は随時に実地の調査、書面による調査等を実施すること。
(保有個人情報を取り扱う業務の委託等)
第52条 保護管理者は、保有個人情報の取扱いに係る業務の外部への委託(以下この条及び次条において「委託」という。)を行う場合には、保有個人情報の適切な管理を行う能力を有しない者を委託の相手方(以下この条において「委託先」という。)に選定することがないよう、必要と認める措置を講ずるものとする。
2 前項の場合において、保護管理者は、委託に係る契約書に次の事項を明記し、及び委託先における責任者による業務従事者の管理に係る体制、業務の実施に係る体制、保有個人情報の管理の状況についての検査に関する事項その他の必要と認める事項について書面で確認するものとする。
(1) 保有個人情報に関する秘密保持、利用目的以外の目的のための利用の禁止等の義務
(2) 委託先が保有個人情報の取扱いに係る業務を第三者に委託すること(当該委託の相手方(以下この条において「再委託先」という。)が委託先の子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定するものをいう。)である場合を含む。以下この条において「再委託」という。)の制限又は再委託を行う際に事前の保護管理者による承認を要するものとすることその他の再委託に係る条件に関する事項
(3) 保有個人情報の複製等の制限に関する事項
(4) 保有個人情報の漏えい等の防止その他の保有個人情報の安全管理のために講ずる必要かつ適切な措置に関する事項
(5) 保有個人情報の漏えい等の事案の発生時における対応に関する事項
(6) 委託が終了したときにおける保有個人情報の消去及び媒体の返却に関する事項
(7) 法令等及び契約に違反した場合における契約の解除、損害賠償責任その他保護管理者が必要と認める事項
(8) 契約内容の遵守状況についての定期的な報告に関する事項及び委託先における委託された保有個人情報の取扱いに係る状況を把握するための監査等に関する事項(再委託先の監査等に関する事項を含む。)
3 保護管理者は、委託を行う場合には、次の各号に掲げる事項を実施するものとする。
(1) 委託に係る保有個人情報の範囲を、委託する業務の内容に照らして必要最小限のものとすること。
(2) 委託する業務に係る保有個人情報の秘匿性等の内容、程度、量等に応じて、当該業務の管理に係る体制及び実施に係る体制並びに保有個人情報の管理の状況について、少なくとも年1回以上、実地による検査、書面による検査その他の保護管理者が認める方法により確認すること。
5 前項の規定は、再委託の相手方において保有個人情報の取扱いに係る業務を第三者に委託し、又はこれと同様の委託がその後行われる場合に準用する。
6 保護管理者は、保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には、当該派遣労働者に係る労働者派遣契約書(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律第26条第1項に規定するものをいう。)に秘密を保持する義務その他の保有個人情報の取扱いに関し必要と認める事項を明記するものとする。
(保有個人情報の提供又は委託を行う場合の留意事項)
第53条 保護管理者は、保有個人情報を提供し、又は委託を行う場合には、保有個人情報の漏えい等による被害発生のリスクを低減するため、提供先の利用目的、委託する業務の内容、保有個人情報の秘匿性等の内容及び程度等を考慮し、必要に応じ、特定の個人を識別することができる記載の全部又は一部を消除し、又は別の符号に置き換えることその他の必要と認める措置を講ずるものとする。
(サイバーセキュリティに関する対策の基準等)
第54条 実施機関は、保有個人情報を取り扱い、又は情報システムを構築し、若しくは利用するに当たっては、サイバーセキュリティ基本法(平成26年法律第104号)第26条第1項第2号に掲げられたサイバーセキュリティに関する対策の基準等を参酌して、取り扱う保有個人情報の性質等を考慮して適正なサイバーセキュリティの水準を確保するものとする。
(漏えい等の事案に係る報告及び再発防止のための措置)
第55条 保有個人情報の漏えい等その他の保有個人情報の安全管理の上で問題となる事案(以下「事案」という。)又は事案の発生のおそれを認識した場合に、当該事案又は当該おそれを認識した職員は、直ちに当該保有個人情報を管理する保護管理者に報告するものとする。
2 保護管理者は、前項の報告を受けた場合には、被害の拡大防止又は復旧等のために必要な措置を速やかに講ずるものとする。ただし、外部からの不正なアクセス又は不正なプログラムの感染が疑われる端末その他の機器のインターネットの接続に用いるケーブルを抜くことその他の被害の拡大防止のため直ちに行うことができる措置については、直ちに行うものとする。
3 保護管理者は、事案の発生した経緯、被害状況等を調査し、総括保護管理者に報告するものとする。ただし、保護管理者が特に重大と認める事案が発生した場合には、直ちに総括保護管理者に当該事案の内容等について報告するものとする。
4 保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるものとする。この場合において、実施機関が定めるところにより、実施機関の課等において当該措置の内容を共有するものとする。
(漏えい等の事案に係る法に基づく報告及び通知)
第56条 保護管理者は、事案が生じた場合であって、法第68条第1項の規定による個人情報保護委員会に対する報告及び同条第2項の規定による本人に対する通知を要するときは、その旨を速やかに総括保護管理者に報告するものとする。この場合において、保護管理者は、前条の規定による事務と並行して、速やかに当該報告及び通知に係る所定の手続を行い、個人情報保護委員会による事案の把握等の活動に協力するものとする。
(漏えい等の事案に係る公表等)
第57条 保護管理者は、前項の報告及び通知を要しない場合であっても、事案の内容、影響等に応じて、実施機関が定めるところにより、次の各号に掲げる措置を講ずるものとする。
(1) 事案に係る事実関係及び再発防止策を公表すること。
(2) 事案に係る保有個人情報の本人に対する連絡を行うこと。
(3) 前2号に掲げるもののほか、保護管理者が必要と認める措置
(保有個人情報の記録媒体等に係る点検)
第59条 保護管理者は、課等における保有個人情報に係る記録媒体、電子計算機を用いて行う事務処理の経路、保管方法等について、必要に応じて点検を行うものとする。
2 保護管理者は、前項の点検を行った場合で必要と認めるときは、当該点検の結果を総括保護管理者に報告するものとする。
第6章 雑則
(補則)
第62条 この訓令に定めるもののほか、保有個人情報の取扱いについて必要な事項は、総務文書課長が別に定める。
附則
(施行期日)
1 この訓令は、令和5年4月1日(第8項において「施行日」という。)から施行する。
(飯田市個人情報保護事務取扱要領の廃止)
2 飯田市個人情報保護事務取扱要領(平成21年飯田市訓令第8号)は廃止する。
(飯田市文書管理規程の一部改正)
3 飯田市文書管理規程(昭和46年飯田市訓令第18号)の一部を次のように改正する。
(次のよう略)
(飯田市統合型地理情報システム管理規程の一部改正)
4 飯田市統合型地理情報システム管理規程(平成21年飯田市訓令第6号)の一部を次のように改正する。
(次のよう略)
(飯田市情報公開事務取扱要領の一部改正)
5 飯田市情報公開事務取扱要領(平成21年飯田市訓令第7号)の一部を次のように改正する。
(次のよう略)
(飯田市職員の懲戒処分等の指針の一部改正)
6 飯田市職員の懲戒処分等の指針(平成21年飯田市訓令第12号)の一部を次のように改正する。
(次のよう略)
(飯田市特定個人情報取扱規程の一部改正)
7 飯田市特定個人情報取扱規程(平成27年飯田市訓令第3号)の一部を次のように改正する。
(次のよう略)
(経過措置)
8 施行日前にこの訓令による廃止前の飯田市個人情報保護事務取扱要領の規定によりなされた手続その他の行為については、なお従前の例による。