○邑智郡総合事務組合特定個人情報等取扱規程
平成28年11月1日
邑智郡総合事務組合訓令第4号
目次
第1章 総則(第1条―第4条)
第2章 組織的安全措置(第5条)
第3章 特定個人情報等の取扱い(第6条―第11条)
第4章 人的安全措置(第12条―第14条)
第5章 物理的安全措置(第15条―第20条)
第6章 技術的安全措置(第21条―第25条)
第7章 個人番号利用事務等の業務の委託等(第26条)
第8章 情報漏えい等事案への対応(第27条・第28条)
第9章 監査・監督・規程の見直し(第29条―第31条)
第10章 雑則(第32条)
附則
第1章 総則
(趣旨)
第1条 この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)に定められた事務において、邑智郡総合事務組合(以下「組合」という。)の保有する個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いを確保することを目的として必要な事項を定める。
(定義)
第2条 この規程において用いる用語の定義は、番号法第2条に定めるところによるほか、次のとおりとする。
(1) 職員等
組合に所属する雇用関係にある正規職員、嘱託職員及び臨時職員等をいう。
(2) 外部有識者等
組合から報酬等の支払を受ける外部有識者及びその他の支払調書等の作成対象者となる者をいう。
(3) 扶養親族
税務署長及び市区町村長等に提出する源泉徴収票及び給与支払報告書等の書類に記載する職員等の控除対称配偶者及び控除対象扶養親族等をいう。
(4) 電磁的記録媒体
① 内部電磁的記録媒体
サーバ装置、端末及び通信回線装置等に内蔵される電子的方法、磁気的方法その他の人の知覚によって認識することができない方法を用いて記録されるものをいう。
② 外部電磁的記録媒体
USBメモリ、外付けハードディスクドライブ、DVD―R及び磁気テープ等の電子的方法、磁気的方法その他の人の知覚によって認識することができない方法を用いて記録されるものをいう。
(5) 情報システム室
ネットワークの基幹機器及び重要な情報システムを整備し、当該機器等の管理及び運用を行うための独立した室をいう。
(6) 二要素認証
認証方式は大きく分けて、ID/パスワードなど対象者の知識を利用したもの、USBトークンやスマートカードなど対象者の持ち物を利用したもの、バイオメトリクスなど対象者の身体の特徴を利用したものの三つに分かれる。単一の方法で精度を高めるには限界があるため、このうち二つの認証方式を組み合わせてセキュリティを高める方式をいう。
(7) 一定期間
記録等の保存期間とする7年をいう。(刑法第235条(窃盗)及び同法第246条の2(電子計算機使用詐欺)の公訴時効が刑事訴訟法第250条により7年と規定されている。)
(事務の範囲)
第3条 組合が行う個人番号利用事務は、番号法第9条第1項又は第2項に規定する事務のうち、番号法その他の法令等に基づき、組合が必要な限度で個人番号を利用する事務とする。
2 組合が行う個人番号関係事務は、番号法第9条第3項に規定する事務のうち、番号法その他の法令等に基づき、組合が職員等、外部有識者等、扶養親族その他の個人から個人番号の提供を受け、必要な限度で個人番号を利用する事務とする。
3 前2項に規定する事務の他番号法に基づく事務とする。
(特定個人情報等の範囲)
第4条 組合は、前条に規定する事務の目的を達成する範囲で特定個人情報等を保有することができる。また、取り扱うことができる特定個人情報等は、次のとおりとする。
(1) 番号法第16条の規定に基づく本人確認措置を行うため、個人番号の提供を求めた者から提出された本人確認資料等
(2) 個人番号の提供を求めた者から提出された個人番号が記載された申請書又は申告書等
(3) 他の個人番号利用事務実施者又は地方公共団体情報システム機構から提供を受けた特定個人情報等
(4) その他事務を行うために個人番号と関連付ける必要がある個人情報
第2章 組織的安全措置
(組織体制)
第5条 特定個人情報等の適正な取扱い及び円滑な運用及び管理を図るため、次に掲げる組織体制を整備し、責任者を置く。
(1) 総括責任者
① 総括責任者は、事務局長をもって充てる。
② 総括責任者は、組合が取り扱う特定個人情報等の管理に関する事務を統括する責任を負う。
(2) 管理責任者
① 管理責任者は、総務課長をもって充てる。
② 管理責任者は、この規程に関する事項を理解し、遵守するとともに、組合における特定個人情報等を取り扱う者にこれを理解させ、遵守させるための教育及び安全対策の実施並びに周知徹底等の措置を行う責任を負う。
③ 管理責任者は、次に掲げる事務を行う。
(ア) 職員等に対し、特定個人情報等の安全管理に関する教育研修を企画し行う。
(イ) 緊急時等の円滑な情報共有及び対応を図るため、連絡体制を整備する。
(3) システム管理責任者
① システム管理責任者は、情報システム課長をもって充てる。
② システム管理責任者は、組合における基幹的な事務を担う全てネットワーク及び情報システムの取り扱いに係る安全管理措置を考案するとともに、指導及び助言を行う。
③ システム管理責任者は、情報システム室の管理を行う。
④ システム管理責任者は、次に掲げる事務を行う。
(ア) 特定個人情報等を取り扱うネットワーク及び情報システムに関し、指導及び助言を行う。
(イ) 特定個人情報等が記録された電磁的記録媒体の取り扱いに関し、指導及び助言を行う。
(4) 保護責任者
① 保護責任者は、特定個人情報等を取り扱う事務を所管する課室等の長をもって充てる。
② 保護責任者は、課室等が行う事務において、特定個人情報等の適正な取扱い及び円滑な運用を図るため管理責任を負う。
③ 保護責任者は、次に掲げる事務を行う。
(ア) 事務の役割及び範囲を明確にし、事務単位に特定個人情報等を取り扱う事務取扱担当者を定める。
(イ) 課室等が所管する特定個人情報等が複数の課室等で取り扱われる場合は、各課室等における事務の役割分担及び責任を明確にする。
(ウ) 委託先が特定個人情報等を取り扱う場合は、業務の目的、範囲及び作業場所並びに責任等を明確にする。
(エ) 事務取扱担当者に対し、特定個人情報等の適切な管理のための教育研修への参加の機会を積極的に与える等の措置を行う。
(5) 監査責任者
① 監査責任者は、総務課長をもって充てる。
② 管理責任者は、特定個人情報等の管理の状況について、監査を行う責任を負う。
第3章 特定個人情報等の取扱い
(事務取扱担当者の明確化等)
第6条 保護責任者は、第3条に規定する事務の役割及び範囲を明確にし、事務ごとに特定個人情報等を取り扱う事務取扱担当者を定め、権限を付与する。
2 事務取扱担当者は、保護責任者の指示に従い事務に必要な限度で特定個人情報等を取り扱わなければならない。また、事務を行った後は、速やかにその文書等を適切に保管場所等に厳重に保管しなければならない。
3 事務取扱担当者その他職員等は、番号法、特定個人情報等を含む個人情報の保護を目的として定めた条例及び情報資産の適正な取扱いを目的として定めた情報セキュリティに関する規程の趣旨に則り、関連する法令、ガイドライン及び要領等の定め並びにこの規程の定めた事項に従い、特定個人情報等を適正に取り扱わなければならない。
(特定個人情報等の収集)
第7条 特定個人情報等の収集は、利用目的をあらかじめ明示した上で、個人番号の提供を求めることができる。ただし、番号法の規定に基づき、他の個人番号利用事務実施者又は地方公共団体情報システム機構から提供を受ける場合は、この限りでない。
2 事務取扱担当者は、職員等に対して個人番号の提供を求める場合の利用目的の明示の方法については、利用目的を明記した書類の提示の方法のほか、庁内LANを用いた掲載等の合理的な方法によることができる。ただし、掲載等は個人番号の提供を求める事務の対象者に限る。
3 事務取扱担当者は、個人番号を収集する際に、本人確認を行う。
(1) 身元確認
事務取扱担当者は、原則として、個人番号カード、運転免許証等の身元確認書類により、身元確認を行う。
(2) 個人番号の確認
事務取扱担当者は、個人番号を収集する場合は、個人番号カード若しくは通知カード又は個人番号が記載された住民票の写し若しくは住民票記載事項証明書の提示を求めることにより、個人番号の確認を行う。ただし、これらの書類の提示を受けることが困難であると認められる場合は、これに代えて以下のいずれかの措置をとることができる。
① 個人番号カード若しくは通知カードの写しの提示を受けること。
② 過去に本人確認の上収集した個人番号の記録を照合すること。
③ 官公署又は個人番号利用事務実施者若しくは個人番号関係事務実施者から発行又は発給されたものその他これに類するものであって、個人番号及び氏名並びに生年月日又は住所が記載されている書類の提示を受けること。
(3) 職員等の身元確認
個人番号関係事務において、以前に身元確認を行った職員等本人に相違ないことが明らかに判断できる者については、事務取扱担当者が知覚することで、身元確認を行ったものとみなすことができる。
(4) 扶養親族の本人確認
① 職員等が扶養親族の個人番号の提供を義務付けられている場合
(ア) 身元確認
職員等が個人番号関係事務実施者として当該扶養親族の身元確認を行うことから、事務取扱担当者は、当該扶養親族の身元確認を要しない。
(イ) 個人番号の確認
職員等が個人番号関係事務実施者として当該扶養親族の個人番号の確認を行うことから、事務取扱担当者は、当該扶養親族の個人番号の確認を要しない。ただし、事務取扱担当者は、当該扶養親族の個人番号が正確であるかの確認を行う場合は、職員等に対し、その扶養親族の個人番号の確認を行うことができる。この場合における確認の方法は、第2号の規定による。
② 扶養親族が個人番号の提供を義務付けられている場合
(ア) 身元確認
職員等が扶養親族の代理人となり、事務取扱担当者に対し、代理権の確認書類を提出する。事務取扱担当者は、代理人たる職員等の身元確認を行う。この場合における確認の方法は、第1号の規定による。
(イ) 個人番号の確認
事務取扱担当者は、扶養親族の代理人である職員等により、その扶養親族の個人番号の確認を行う。この場合における確認の方法は、第2号の規定による。
(特定個人情報等の利用等)
第8条 特定個人情報等の利用は、必要最小限の範囲で行うものとし、保護責任者は、そのために必要な措置を講じなければならない。
2 保護責任者は、事務の目的を達成するために必要最小限の範囲で特定個人情報等を利用することができる。当該特定個人情報等は、事務の権限を有しない者に利用させてはならない。
3 事務取扱担当者は、特定個人情報等を取り扱う権限を有する場合であっても、業務上の目的以外の目的で特定個人情報等を取り扱ってはならない。
4 事務取扱担当者は、業務上の目的で特定個人情報等を取り扱う場合であっても、次に掲げる行為については、保護責任者の承認を必要とする。
(1) 特定個人情報等の複製
(2) 特定個人情報等の送信
(3) 特定個人情報等の送付又は持ち出し
(4) その他特定個人情報等の適切な管理に支障を及ぼすおそれのある行為
(特定個人情報等の保存・管理)
第9条 事務の目的を達成するために取得した特定個人情報等は、必要な範囲で保管し、円滑な取り扱いができるよう管理するものとする。
2 保護責任者は、特定個人情報ファイルを作成する場合は、次に掲げる事項を記載した特定個人情報ファイル管理簿を整備するものとする。
(1) 特定個人情報ファイルの名称
(2) 特定個人情報ファイルが利用に供される事務を所管する課室等の名称
(3) 特定個人情報ファイルの利用目的(利用事務の名称及び利用目的等)
(4) 特定個人情報ファイルの記録項目(項目名等)
(5) 特定個人情報ファイルの記録範囲(ファイル名称、名簿名称又はデータ名称)
(6) 特定個人情報ファイルの収集方法(本人申告、その他申告、調査又は提供元機関名称等)
(7) 特定個人情報ファイルの経常的提供先(提供先機関名称等)
(8) 特定個人情報ファイルの管理方法(情報システム、パソコン、外部電磁的記録媒体、書類等)
(9) 特定個人情報ファイルの種類(情報システム、EXCEL、申請書、印刷帳票等)
3 保護責任者は、特定個人情報等を取り扱う権限を有する事務取扱担当者に限定して、特定個人情報等を管理しなければならない。
2 事務取扱担当者は、保有する特定個人情報等を他の個人番号利用事務実施者又は個人番号関係事務実施者に提供するとき(番号法第22条に規定する提供を除く。)は、送付簿等に必要事項を記載し、保護責任者の承認を必要とする。
3 事務取扱担当者は、特定個人情報等を提供する場合、持参等の方法によるときは、鍵のかかる鞄等に入れて提供先に持ち込むものとし、郵送等の方法によるときは、提供先の受け取り確認を必要とし、当該措置を講じた方法を用いる。
(特定個人情報等の削除・廃棄)
第11条 文書等に記録された特定個人情報等は、関係法令及び邑智郡総合事務組合文書取扱規程(平成26年邑智郡総合事務組合訓令第2号)により定められた保存期間が満了した場合、又は不要となった場合は、容易に特定個人情報等を復元できない手段により、速やかに削除又は廃棄を行うものとする。
2 文書等に記録された特定個人情報等の削除又は廃棄に当たっては、保護責任者の承認を必要とし、次に掲げる方法により行う。
(1) 書類等の場合
焼却、溶解又は裁断
(2) 電磁的記録媒体の場合
物理的破壊、データ削除ソフトウェア等の利用又は保護責任者が指示する方法
3 前項第2号に規定する保護責任者が指示する方法については、物理的破壊又はデータ削除ソフトウェア等の利用が困難な場合に限り選択しなければならない。
4 機器の障害又は更改その他の理由により、特定個人情報等が複写され複写元となった当該特定個人情報等が記録された電磁的記録媒体が不要となった場合は、第2項第2号に規定する方法により削除又は破棄を行うものとする。
5 保護責任者は、第1項に規定する処理を委託した場合、委託者が当該処理を実施した記録を必要とする。
6 保護責任者は、第1項に規定する処理を実施した場合、特定個人情報等を記録した書類又は特定個人情報ファイルの名称、件数、責任者及び部署、委託者による実施記録、実施年月日及び処理した方法等の記録を作成する。また、当該記録を一定期間保存し、定期に又は随時に分析する措置を講じなければならない。
第4章 人的安全措置
(監督)
第12条 統括責任者、管理責任者及び保護責任者は、特定個人情報等がこの規程の定めた事項に従い適正に取り扱われるよう、事務取扱担当者その他職員等に対して必要かつ適切な措置を実施し、監督を行う。
(教育研修)
第13条 統括責任者及び管理責任者は、事務取扱担当者その他職員等に対し、特定個人情報等の適正な取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発、その他必要な教育研修を行う。
2 統括責任者及び管理責任者は、特定個人情報等を取り扱う情報システムの管理に関する事務に従事する事務取扱担当者その他職員等に対し、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行う。
3 統括責任者及び管理責任者は、保護責任者に対し、特定個人情報等の適正な管理のために必要な教育研修を行う。
4 保護責任者は、事務を所管する課室等に所属する事務取扱担当者その他職員等に、特定個人情報等の適切な管理のために教育研修への参加の機会を付与するよう努めなければならない。
5 事務取扱担当者その他職員等は、統括責任者及び管理責任者が主催する又は保護責任者が付与した特定個人情報等の適切な管理を目的とした教育研修を受講するよう努めなければならない。
(法令・内部規程違反等の対処)
第14条 組合は、法令又は内部規程等に違反した職員に対し、法令又は内部規程等に基づき厳正に対処する。
第5章 物理的安全措置
(区域の管理)
第15条 保護責任者は、特定個人情報等の情報漏えい等を防止するために、特定個人情報等を取り扱う事務を行う区域(以下「取扱区域」という。)を明確にし、その取り扱う特定個人情報等が外部及び内部の者から容易に見えないような機器等の配置、作業スペースの確保、間仕切りの設置等の措置を講じなければならない。
2 保護責任者は、特定個人情報ファイルを取り扱う情報システムを設置した情報システム室や特定個人情報等が記録された外部電磁的記録媒体を保管する保管庫(以下「管理区域」という。)の取り扱いを明確にしなければならない。
3 保護責任者は、所管する管理区域の入退室管理及び管理区域へ持ち込む機器等の制限等の措置を講じなければならない。
4 保護責任者は、基幹的な事務を担う重要な情報機器等は、情報システム室に設置しなければならない。ただし、やむを得ない場合を除く。
(情報システム室の管理)
第16条 システム管理責任者は、情報システム室に係る特定個人情報等の情報漏えい等を防止するために、次の安全管理措置を講じる。
(1) 錠の管理
① 解施錠は、システム管理責任者が在籍する課室等に所属する正規職員(嘱託職員及び臨時職員を除く。以下同じ。)に限定し、鍵、ICカード又は二要素認証を付与して行う。ただし、緊急時等のやむを得ない場合を除く。
② 解施錠の日時等を記録する。
③ 解施錠できる鍵、ICカード又は二要素認証を付与した者の名簿及び緊急時等に用いる鍵の管理簿を作成し、定期的に確認する。
(2) 入退室の管理
① 入室しなければならない理由(用件)等を確認し、必要と認める者に制限する。
② 入室者の入退室日時等を記録する。ただし、経常的な職務を有する職員等については、記録を省略することができる。
③ 入室者が職員等以外の場合は、入室者の識別化及び必要に応じて職員等の立会い等を行う。入室者の識別化は、職員等が知覚することで、識別化とみなすことができる。
(3) 搬出入する機器及び物品等の管理
① 搬出入しなければならない理由(用件)等を確認し、必要と認める機器及び物品等に制限する。
② 搬出入する機器及び物品等の搬出入日時等記録する。ただし、運用中の設備及び機器等に係る消耗品については、記録を要しない。
(4) 持込するパソコン、外部電磁的記録媒体、通信装置、カメラ及び携帯電話等の管理
① 持ち込みしなければならない理由(用件)等を確認し、必要と認めるものに制限する。
② 持ち込みするパソコン、外部電磁的記録媒体、通信装置、カメラ及び携帯電話等の持ち込み日時等記録する。ただし、経常的に行う保管に係る場合は、記録を要しない。
(5) 外部からの不正な進入等に備えた管理
① 情報システム室の名称等を表示しない。
② 施錠装置、警報装置、監視設備等を整備する。
③ 閉庁時等の職員が不在になる時間帯における監視体制等を整備する。
④ 緊急時の連絡体制を整備する。
(制限措置)
第17条 保護責任者は、特定個人情報等の情報漏えい等を防止するために、情報システムで使用する情報機器又は外部電磁的記録媒体等は、許可されたものに制限する。
2 保護責任者は、特定個人情報等が記録された外部電磁的記録媒体及び書類等は、施錠可能な場所に保管する等の方法により適正に管理しなければならない。特定個人情報等が記録された情報を有するパソコン等も同様とする。
3 保護責任者は、盗難防止のため、特定個人情報等を利用する端末のセキュリティワイヤーによる固定等の物理的措置を講じなければならない。ただし、職員等が不在になる場合において、施錠可能な場所に保管する等の適正な措置を施す場合は、この限りでない。
(端末等への接続制限)
第18条 保護責任者は、特定個人情報等を取り扱う端末等に、記録機能を有する機器等を接続する場合は、接続目的を明確にし、許可したものに制限する。また、当該記録を一定期間保存し、定期に又は随時に分析する措置を講じなければならない。
(特定個人情報等の区域間移動)
第19条 事務取扱担当者は、特定個人情報等が記録された書類及び外部電磁的記録媒体、並びに特定個人情報等が記録された情報を有する情報機器等を庁舎内の他の取扱区域、又は管理区域へ移動する場合は、理由、日時及び移動先等を明確にし、保護責任者の許可した事項に従い、事務取扱担当者が自ら実施するものとする。
(特定個人情報等の持ち出し)
第20条 事務取扱担当者は、特定個人情報等が記録された書類及び外部電磁的記録媒体、並びに特定個人情報等が記録された情報を有する情報機器等を庁舎外へ持ち出す場合は、理由、持出先、日時、返却日時及び移送手段等を明確にし、事務取扱担当者が自ら実施することを原則とする。この場合において、保護責任者の承認を必要とし、次に掲げる措置を講じなければならない。
(1) 書類等
① 特定個人情報等が記録された書類を封筒に入れ封印する。
② 施錠可能な鞄等に入れる。
(2) 外部電磁的記録媒体
① 特定個人情報等が記録された外部電磁的記録媒体を暗号化する。パスワードを付加することを推奨する。
② 施錠可能な鞄等に入れる。
(3) パソコン等
① 特定個人情報等が記録された電磁的記録媒体を暗号化する。
② 施錠可能な鞄等に入れる。
(4) その他の情報機器等
保護責任者が指示する方法による。
2 保護責任者は、前項に規定する特定個人情報等を持ち出す場合の移送手段が第三者による場合は、追跡可能な移送手段を利用しなければならない。
3 保護責任者は、前2項に掲げる記録を一定期間保存し、定期に又は随時に分析する措置を講じなければならない。
第6章 技術的安全措置
(アクセス制御)
第21条 保護責任者は、特定個人情報ファイルを取り扱う情報システムの事務取扱担当者及び特定個人情報ファイル等の範囲を限定するために、次に掲げるアクセス制御を行う。また、付与した権限等の管理を行う。
(1) 権限の付与
事務の目的及び範囲を明確にし、事務取扱担当者にユーザーID等を用いてアクセス制御が可能な権限を付与する。また、付与する事務取扱担当者を最小化する。
(2) 取扱制限
ユーザーID等に付与するアクセス権限により、情報システムが利用できる事務取扱担当者の限定並びに取り扱える特定個人情報ファイル及び特定個人情報ファイルの項目を制限する。また、読み出し、書き込み、削除等のアクセス権限を最小化する。
(3) 端末の認証
端末を取り扱う担当者を適正に識別するため、端末の認証は二要素認証を用いる。
2 保護責任者は、前項に規定するアクセス制御機能が適正に維持できるよう脆弱性等の検証を行う。
(アクセス管理)
第22条 保護責任者は、特定個人情報ファイルへのアクセス状況を記録し、その記録を一定期間保存し、定期に又は随時に分析する措置を講じなければならない。
(システム管理権限の設定)
第23条 保護責任者は、特定個人情報ファイルを取り扱う情報システムの管理者権限の特権を有する者を定め、特権を付与する場合は、不正に窃取又は削除された際の被害の最小化及び内部からの不正操作等の防止のため、当該特権を最小限とする等の必要な措置を講じなければならない。
(外部からの不正アクセスの防止)
第24条 保護責任者は、特定個人情報ファイルを取り扱う情報システムへの外部からの不正アクセスを防止するため、外部ネットワーク等との接続箇所にファイアウォール等を設置し、経路制御等の必要な措置を講じなければならない。
2 保護責任者は、特定個人情報ファイルを取り扱うサーバ及びパソコン等の端末に、コンピュータウィルス等の不正プログラム対策ソフトウェアを常駐させなければならない。また、常に最新の状態を保たなければならない。
3 事務取扱担当者は、外部電磁的記録媒体を用いて特定個人情報等データを取り扱う場合は、不正プログラム対策ソフトウェア等により、事前に不正ソフトウェアの有無を確認しなければならない。また、データ出力後も同様とする。
(特定個人情報等保護評価)
第25条 保護責任者は、特定個人情報等を保有しようとする場合は、特定個人情報等保護評価指針(平成26年特定個人情報保護委員会告示第4号)の定めるところにより、当該特定個人情報等を保有する前までに特定個人情報等保護評価を行うものとする。
2 保護責任者は、個人のプライバシー等の権利利益に影響を与え得る特定個人情報等の漏えい、その他の事態を発生させるリスクを軽減するための措置として、特定個人情報等保護評価書に記載した全ての措置を講じなければならない。
第7章 個人番号利用事務等の業務の委託等
2 保護責任者は、委託を受ける者に対して、必要かつ適切な監督を行うため、次に掲げる事項を契約に規定するとともに、適切な選定及び特定個人情報等の取扱い状況を把握する。
(1) 秘密保持義務
(2) 特定個人情報等の持ち出しの禁止
(3) 特定個人情報等の目的外利用の禁止
(4) 再委託における条件
(5) 情報漏えい事案等が発生した場合の委託先の責任
(6) 委託契約終了後の特定個人情報等の返却又は破棄
(7) 特定個人情報等を取り扱う従事者の明確化
(8) 従事者に対する監督・教育
(9) 契約内容の遵守状況について報告を求める規定
(10) 必要があると認めるときに実施調査を行うことができる規定
(11) その他保護責任者が必要と認めるもの
3 保護責任者は、委託を受けた者に対する監督義務を負い、再委託を受けた者に対しては、間接的に監督義務を負う。
第8章 情報漏えい等事案への対応
(事案の報告及び対応)
第27条 事務取扱担当者その他の職員等は、情報漏えい及びこの規程に違反している等の事実又は兆候を把握した場合は、直ちに当該特定個人情報等を所管する保護責任者に当該事案の内容を報告する。
2 保護責任者は、報告を受けた事案の発生した経緯及び被害状況等を管理責任者に報告する。ただし、特に重大と認める事案が発生した場合は、直ちに管理責任者及び統括責任者に報告する。
3 管理責任者は、報告を受けた事案の内容に応じて、統括責任者と協議し又は意見を求め、事案の内容及び影響等に応じて速やかに対応する。
4 保護責任者は、事案の発生した原因を調査・分析し、再発防止のために必要な措置を講じ、必要に応じて、当該事案の内容等を関係部署に報告する。
5 総括責任者は、報告を受けた事案が重大な場合は、「独立行政法人等及び地方公共団体等における特定個人情報の漏えい事案等が発生した場合の対応について(平成27年特定個人情報保護委員会告示第1号)」、「事業者における特定個人情報の漏えい事案等が発生した場合の対応について(平成27年特定個人情報保護委員会告示第2号)」及び「特定個人情報の漏えいその他の特定個人情報の安全確保に係る重大な事態の報告に関する規則(平成27年特定個人情報保護委員会規則第5号)の定めに基づき、個人情報保護委員会、主務大臣、地方公共団体の長等に報告する。
(公表等)
第28条 統括責任者は、前条に規定する事案の内容及び影響等に応じて、事実関係及び再発防止策の公表及び当該事案に係る特定個人情報等の本人への対応等の措置を講じなければならない。
第9章 監査・監督・規程の見直し
(監査)
第29条 監査責任者は、特定個人情報等の管理を検証するため、この規程を含む組合における特定個人情報等の管理の状況について、定期又は随時に監査(外部監査を含む。)を行い、その結果を統括責任者に報告する。
(監督・点検)
第30条 管理責任者は、特定個人情報等がこの規程等に基づき適正に取り扱われるよう、保護責任者及び事務取扱担当者に対して必要かつ適切な監督を行う。
2 保護責任者は、自ら管理責任を有する特定個人情報等の管理について、定期に及び必要に応じ随時に点検を行い、必要があると認めるときは、その結果を管理責任者に報告する。
(評価及び見直し)
第31条 統括責任者及び管理責任者は、監査又は点検の結果等を踏まえ、必要があると認めるときは、特定個人情報等の適切な取扱いのため、この規程の見直しその他必要な措置を講じなければならない。
第10章 雑則
(その他)
第32条 この規程に定めるもののほか、この規程の実施に必要な事項は別に定める。
附則
この規程は、平成28年11月1日から施行する。