荒川区個人情報の保護に関する規程

○荒川区個人情報の保護に関する規程

令和5年3月31日

訓令甲第3号

第1章　総則(第1条・第2条)

第2章　管理体制(第3条―第11条)

第3章　職員の責務(第12条)

第4章　保有個人情報の取扱い(第13条―第20条)

第5章　電子情報システムにおける安全の確保等(第21条―第36条)

第6章　情報システム室の安全管理(第37条・第38条)

第7章　保有個人情報の提供及び業務の委託等(第39条―第47条)

第8章　安全管理上の問題への対応(第48条―第50条)

第9章　監査及び点検の実施(第51条―第53条)

第10章　雑則(第54条)

附則

第1章　総則

(目的)

第1条　この規程は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第66条第1項の規定により荒川区長(以下「区長」という。)が講ずる措置について、必要な事項を定めることを目的とする。

(定義)

第2条　この規程において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(1)　部　荒川区組織条例(昭和40年荒川区条例第1号)第1条及び荒川区会計管理者の補助組織の設置及び区長の権限に属する事務の補助執行に関する規則(平成21年荒川区規則第8号。以下「会計管理者補助組織規則」という。)第2条第1項の規定により設置された部をいう。

(2)　部長　荒川区組織規則(昭和40年荒川区規則第24号。以下「組織規則」という。)第8条第1項又は会計管理者補助組織規則第3条第1項に規定する統括部長及び部長をいう。

(3)　課　組織規則第7条に規定する課、会計管理者補助組織規則第2条第2項に規定する課、荒川区保健所処務規程(昭和50年荒川区訓令甲第7号)第2条に規定する課及び荒川区子ども家庭総合センターをいう。

(4)　課長　前号に規定する課(荒川区子ども家庭総合センターを除く。)の長及び荒川区子ども家庭総合センター副所長をいう。

2　前項に掲げるもののほか、この規程で使用する用語の意義は、法、荒川区個人情報の保護に関する法律施行条例(令和5年荒川区条例第3号)及び荒川区個人情報の保護に関する法律施行条例施行規則(令和5年荒川区規則第26号。以下「法施行条例施行規則」という。)で使用する用語の例による。

第2章　管理体制

(総括個人情報保護管理者)

第3条　荒川区(以下「区」という。)に、総括個人情報保護管理者(以下「総括保護管理者」という。)を置く。

2　総括保護管理者は、総務企画部を担任する副区長をもって充てる。

3　総括保護管理者は、区における保有個人情報の管理に関する事務の指揮監督等を行い、個人情報の保護に関する制度を総括する。

4　総括保護管理者は、前項に規定する事務を副総括個人情報保護管理者(以下「副総括保護管理者」という。)に行わせることができる。

(副総括個人情報保護管理者)

第4条　区に、副総括保護管理者を置く。

2　副総括保護管理者は、総務企画部長をもって充てる。

3　副総括保護管理者は、区における保有個人情報の管理に関する事務を総括し、総括保護管理者を補佐する。

(各部個人情報保護管理者)

第5条　部に、各部個人情報保護管理者(以下「各部保護管理者」という。)を置く。

2　各部保護管理者は、部長をもって充てる。

3　各部保護管理者は、総括保護管理者及び副総括保護管理者の指示に従い、部における保有個人情報の管理に関する事務の運営について監督する。

(主任個人情報保護管理者)

第6条　区に、主任個人情報保護管理者(以下「主任保護管理者」という。)を置く。

2　主任保護管理者は、総務企画部総務企画課長をもって充てる。

3　主任保護管理者は、各課個人情報保護管理者(以下「各課保護管理者」という。)を代表し、区における保有個人情報の管理に関する事務の処理を行い、副総括保護管理者を補佐する。

(各課個人情報保護管理者)

第7条　課に、各課保護管理者を置く。

2　各課保護管理者は、課長をもって充てる。

3　各課保護管理者は、各部保護管理者及び主任保護管理者の指示に従い、課における保有個人情報の適切な管理を確保する。

4　各課保護管理者は、保有個人情報を荒川区電子情報システム管理運営規程(平成15年荒川区訓令甲第6号)第2条第1号に規定する電子情報システム(以下「電子情報システム」という。)で取り扱う場合は、同規程第3条の2第1項に規定する情報管理責任者と連携してその任に当たる。

(各課個人情報保護担当者)

第8条　課に、各課個人情報保護担当者(以下「各課保護担当者」という。)を置く。

2　各課保護担当者は、各課保護管理者が指定する職員をもって充てる。

3　各課保護担当者は、課における保有個人情報の管理に関する事務を担当し、各課保護管理者を補佐する。

(監査責任者)

第9条　区に、監査責任者を置く。

2　監査責任者は、管理部長をもって充てる。

3　監査責任者は、区における保有個人情報の管理の状況を監査する。

(個人情報安全管理委員会の設置)

第10条　総括保護管理者は、保有個人情報の管理に係る重要事項の決定又は連絡、調整等のために必要があると認めるときは、副総括保護管理者、各部保護管理者及び主任保護管理者を委員とする委員会(以下「個人情報安全管理委員会」という。)を設ける。

2　個人情報安全管理委員会は、次に掲げる事項を審議する。

(1)　第48条各項(第2項及び第4項を除く。)の規定による報告のあった事態の内容等及び再発を防止するための必要な措置の内容

(2)　第51条の規定による監査の結果の報告及び当該結果を踏まえて講ずる措置の内容

(3)　前2号に掲げる事項のほか、個人情報安全管理委員会の委員長(以下「委員長」という。)が必要と認める事項

3　委員長は、総括保護管理者をもって充てる。ただし、委員長に事故があるとき又は委員長が欠けたときは、副総括保護管理者がその職務を代理する。

4　委員長は、必要があると認めるときは、委員以外の者を会議に出席させ、意見を聴き、又は委員以外の者から資料の提出を求めることができる。

5　委員会の庶務は、総務企画部総務企画課において処理する。

6　前各項に定めるもののほか、委員会の運営に関して必要な事項は、委員長が定める。

(研修)

第11条　総括保護管理者は、保有個人情報の取扱いに従事する職員に対し、保有個人情報の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要な研修を行う。

2　総括保護管理者は、保有個人情報を取り扱う電子情報システムの管理に関する事務に従事する職員に対し、保有個人情報の適切な管理のために、電子情報システムの管理、運用及びセキュリティ対策に関して必要な研修を行う。

3　総括保護管理者は、各部保護管理者、各課保護管理者及び各課保護担当者に対し、部及び課における保有個人情報の適切な管理のための研修を定期的に行う。

4　各部保護管理者及び各課保護管理者は、部及び課の職員に対し、保有個人情報の適切な管理のために、総括保護管理者の実施する研修への参加の機会を付与する等の必要な措置を講ずる。

第3章　職員の責務

(職員の責務)

第12条　職員は、法の趣旨に則り、関連する法令及び規程等の定め並びに総括保護管理者、副総括保護管理者、各部保護管理者、主任保護管理者、各課保護管理者及び各課保護担当者の指示に従い、保有個人情報を取り扱わなければならない。

第4章　保有個人情報の取扱い

(アクセス制限)

第13条　各課保護管理者は、特定の個人の識別の容易性の程度、要配慮個人情報の有無その他の保有個人情報の内容(以下「保有個人情報の内容等」という。)に応じて、保有個人情報にアクセスをする権限(以下「アクセス権限」という。)を有する職員の範囲及び権限の内容を、当該職員が業務を行う上で必要最小限のものとするものとする。

2　アクセス権限を有しない職員は、保有個人情報にアクセスをしてはならない。

3　職員は、アクセス権限を有する場合であっても、業務上の目的以外の目的で保有個人情報にアクセスをしてはならず、アクセスを必要最小限のものとしなければならない。

(複製等の制限)

第14条　各課保護管理者は、職員が業務上の目的で保有個人情報を取り扱う場合であっても、次に掲げる行為については、保有個人情報の内容等に応じて、当該行為を行うことができる場合を必要最小限のものとしなければならない。

(1)　保有個人情報の複製

(2)　保有個人情報の送信

(3)　保有個人情報が記録されている媒体の外部への送付又は持出し

(4)　その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為として各課保護管理者が定めるもの

2　職員は、前項に掲げる行為を行うときは、各課保護管理者の指示に従うものとする。

(誤りの訂正等)

第15条　職員は、保有個人情報の内容に誤り等を発見した場合は、各課保護管理者の指示に従い、当該誤り等の訂正等を行うものとする。

(媒体の管理等)

第16条　職員は、各課保護管理者の指示に従い、保有個人情報が記録されている媒体を定められた場所に保管するとともに、各課保護管理者が必要があると認めるときは、当該媒体の耐火金庫への保管、当該媒体を保管する室その他の区画の出入口の戸の施錠等の保有個人情報の漏えい、滅失若しくは毀損等(以下「漏えい等」という。)を防止するために必要な措置を講ずるものとする。

2　職員は、保有個人情報が記録されている媒体を外部に送付し、又は持ち出す場合は、原則として、パスワード等(パスワード、ICカード、生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセスの制御のために必要な措置を講ずるものとする。

(誤送付等の防止)

第17条　職員は、保有個人情報を含む電磁的記録又は媒体の誤送付等(誤った宛先に送付し、送信し、若しくは交付すること又はインターネットを利用して誤って公表することをいう。)を防止するため、個別の事務及び事業において取り扱う保有個人情報の内容等に応じ、複数の職員による確認、チェックリストの活用等の必要な措置を講ずるものとする。

(廃棄等)

第18条　職員は、保有個人情報又は保有個人情報を含む媒体が不要となった場合は、各課保護管理者の指示に従い、当該保有個人情報を復元し、及び判読をすることができないようにする方法により当該保有個人情報の消去又は当該媒体の廃棄(以下「保有個人情報の消去等」という。)を行うものとする。

2　職員は、保有個人情報の消去等を委託する場合(2以上の段階にわたる委託を含む。)は、必要に応じて、保有個人情報の消去等への立会い、保有個人情報の消去等を証明する書類及び写真を提出させることその他の方法により、委託先において保有個人情報の消去等が確実に行われたことを確認するものとする。

(保有個人情報の取扱状況の記録)

第19条　各課保護管理者は、保有個人情報の内容等に応じて、台帳等を整備し、当該保有個人情報の利用、保管等の取扱いの状況について記録するものとする。

(外的環境の把握)

第20条　各課保護管理者は、保有個人情報が外国において取り扱われる場合(民間事業者が提供するクラウド・コンピューティング・サービス関連技術(官民データ活用推進基本法(平成28年法律第103号)第2条第4項に規定するクラウド・コンピューティング・サービス関連技術をいう。)に係るサービス(以下「クラウドサービス」という。)を利用する場合にあっては、当該クラウドサービスを提供する事業者が外国に所在する場合又は個人データが保存されるサーバーが外国に所在する場合)は、当該外国の個人情報の保護に関する制度等を把握した上で、保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。

第5章　電子情報システムにおける安全の確保等

(アクセス制御)

第21条　各課保護管理者は、特定の個人の識別の容易性の程度、要配慮個人情報の有無その他の保有個人情報(電子情報システムで取り扱うものに限る。以下この章において同じ。)の内容(以下この章において「電子情報システムにおける保有個人情報の内容等」という。)に応じて、認証機能を設定する等のアクセスの制御のために必要な措置を講ずるものとする。

2　各課保護管理者は、前項の措置を講ずる場合は、パスワード等の管理に関する定めの整備(定期的に、又は随時に行う当該定めの見直しを含む。)を行うとともに、パスワード等の改ざん、窃取等を防止するために必要な措置を講ずるものとする。

(アクセス記録)

第22条　各課保護管理者は、電子情報システムにおける保有個人情報の内容等に応じて、保有個人情報へのアクセスの状況を記録し、当該アクセスの状況の記録(以下「アクセス記録」という。)を一定の期間保存し、及びアクセス記録を定期的に分析するために必要な措置を講ずるものとする。

2　各課保護管理者は、アクセス記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講ずるものとする。

(不適切なアクセスの防止)

第23条　各課保護管理者は、電子情報システムにおける保有個人情報の内容等及びその量に応じて、保有個人情報を含み、又は含むおそれがある情報が電子情報システムからダウンロードされた場合に警告が表示される機能の設定、当該機能の状況の定期的な確認等の保有個人情報への不適切なアクセスを防止するために必要な措置を講ずるものとする。

(各課保護管理者としてのアクセス権限等)

第24条　各課保護管理者は、電子情報システムにおける保有個人情報の内容等に応じて、電子情報システムの各課保護管理者としてのアクセス権限その他の権限を必要最小限のものにする等、当該権限を不正に窃取された場合における被害を最小限度に留め、及び内部からの不正な操作等を防止するために必要な措置を講ずるものとする。

(外部からの不正アクセスの防止)

第25条　各課保護管理者は、ファイアウォールの設定等、保有個人情報を取り扱う電子情報システムに対する外部からの不正なアクセスを防止するために必要な措置を講ずるものとする。

(不正なプログラムによる漏えい等の防止)

第26条　各課保護管理者は、ソフトウェアに関する公開された脆弱性の解消、不正なプログラムから電子情報システムを保護するためのソフトウェアの導入等、不正なプログラムによる保有個人情報の漏えい等を防止するために必要な措置を講ずるものとする。

(電子情報システムにおける保有個人情報の処理)

第27条　職員は、電子情報システムにおいて、保有個人情報の加工等の処理を行うために、一時的に保有個人情報を複製する場合は、その対象を必要最小限のものとし、当該処理の終了後は、速やかに複製された保有個人情報を消去するものとする。

2　各課保護管理者は、電子情報システムにおける保有個人情報の内容等に応じて、随時に、前項の規定による消去の実施の状況を重点的に確認するものとする。

(暗号化)

第28条　各課保護管理者は、電子情報システムにおける保有個人情報の内容等に応じて、その暗号化(犯罪捜査のための通信傍受に関する法律(平成11年法律第137号)第2条第4項に規定する暗号化をいう。以下同じ。)のために必要な措置を講ずるものとする。

2　職員は、前項の規定による措置を踏まえ、その処理する保有個人情報について、電子情報システムにおける保有個人情報の内容等に応じて、適切に暗号化を行うものとする。

(保有個人情報を記録する機能を有する機器及び媒体の接続制限)

第29条　各課保護管理者は、電子情報システムにおける保有個人情報の内容等に応じて、スマートフォン、USBメモリ等の保有個人情報を記録する機能を有する機器(以下「外部電磁的記録媒体」という。)が電子情報システムの端末機器(以下「システム端末」という。)に接続することを制限する等の保有個人情報の漏えい等を防止するために必要な措置を講ずるものとする。

(端末の限定)

第30条　各課保護管理者は、電子情報システムにおける保有個人情報の内容等に応じて、当該保有個人情報の処理を行うシステム端末を限定するために必要な措置を講ずるものとする。

(端末の盗難防止等)

第31条　各課保護管理者は、システム端末の固定、システム端末の存する室の出入口の戸の施錠等のシステム端末の盗難又は紛失を防止するために必要な措置を講ずるものとする。

2　職員は、各課保護管理者が必要があると認めた場合を除き、システム端末を外部へ持ち出し、又は外部から持ち込んではならない。

(閲覧防止)

第32条　職員は、システム端末の使用に当たっては、保有個人情報が当該職員以外の者に閲覧されることがないよう、当該システム端末の使用の状況に応じて、電子情報システムとシステム端末との接続を終了する等の必要な措置を講ずるものとする。

(電子情報システムに入力した内容の照合等)

第33条　職員は、電子情報システムにおける保有個人情報の内容等に応じて、保有個人情報について文書に記載された内容を電子情報システムに入力した場合における当該文書の内容と電子情報システムに入力した内容との照合、電子情報システムに係る処理の前後における保有個人情報の内容の確認等の必要な措置を行うものとする。

(バックアップデータの作成)

第34条　各課保護管理者は、電子情報システムにおける保有個人情報の内容等に応じて、バックアップデータ(電子情報システムで取り扱う保有個人情報の滅失又は毀損を防止することを目的として、当該保有個人情報を複製したものをいう。)を作成し、異なるサーバーに保管する等の保有個人情報を分散して保管するために必要な措置を講ずるものとする。

(電子情報システム設計書等の管理)

第35条　各課保護管理者は、保有個人情報に係る電子情報システムの設計書、構成図等の文書の漏えい等を防止するため、当該文書の保管、複製、廃棄等について必要な措置を講ずるものとする。

(サイバーセキュリティに関する対策の基準等)

第36条　各課保護管理者は、個人情報を取り扱い、又は電子情報システムを構築し、若しくは利用するに当たっては、サイバーセキュリティ基本法(平成26年第104号)第26条第1項第2号に規定するサイバーセキュリティに関する対策の基準を踏まえ、取り扱う保有個人情報の性質等に照らして適正なサイバーセキュリティ(同法第2条に規定するサイバーセキュリティをいう。)を確保するものとする。

第6章　情報システム室の安全管理

(入退管理)

第37条　各課保護管理者は、保有個人情報を取り扱う基幹的なサーバー等で各課保護管理者が指定する機器を設置する室その他の区域(以下「情報システム室」という。)に立ち入る権限を有する者を定めるとともに、次に掲げる措置その他の必要な措置を講ずるものとする。

(1)　情報システム室への入室の際の用件の確認

(2)　情報システム室への入室及び情報システム室からの退室の記録

(3)　職員と職員以外の者とを区別するための措置

(4)　職員以外の者が情報システム室に立ち入る場合における職員の立会い又は当該職員以外の者を監視することができる設備による監視

(5)　外部電磁的記録媒体等の持込み、利用及び持ち出しの制限

2　各課保護管理者は、保有個人情報を記録する媒体を保管するための施設(以下「保管施設」という。)を設けている場合において、必要があると認めるときは、前項に規定する措置を講ずるものとする。

3　各課保護管理者は、情報システム室の安全を管理するために必要があると認めるときは、情報システム室の出入口を1か所とすることによる入室及び退室の管理の容易化、情報システム室の所在を表示する場所等の範囲を必要最小限のものとすること等の措置を講ずるものとする。

4　各課保護管理者は、情報システム室及び保管施設(以下「情報システム室等」という。)への出入りの管理について、必要があると認めるときは、情報システム室等に立ち入ろうとする者に身分証明書の提示を求めるとともに、立入りに係る認証機能を設定し、パスワード等の管理に関する定めの整備(定期的に、又は随時に行う当該定めの見直しを含む。)、パスワード等の改ざん、窃取等の防止等の必要な措置を講ずるものとする。

(情報システム室の管理)

第38条　各課保護管理者は、外部からの不正な侵入に備えるため、情報システム室に、次に掲げる装置その他の装置を整備する等の措置を講ずるものとする。

(1)　立入りを制御する機能を有する装置

(2)　出入口の戸を施錠する装置

(3)　不正な侵入に関する警報を発する装置

(4)　情報システム室を監視する装置

2　各課保護管理者は、災害等に備えるため、情報システム室について、耐震、防火、防煙、防水等に係る必要な措置を講ずるとともに、サーバー等の機器の予備電源の確保、配線の損傷の防止等の措置を講ずるものとする。

第7章　保有個人情報の提供及び業務の委託等

(保有個人情報の提供)

第39条　各課保護管理者は、法第69条第1項の法令又は同条第2項の規定により保有個人情報を提供する場合は、その提供先における保有個人情報の利用の目的、保有個人情報を利用する業務の根拠となる法令、利用する保有個人情報の記録範囲及び記録項目、利用の形態等について、提供先との間で書面を取り交わすものとする。ただし、総括保護管理者がその必要がないと認めるときは、この限りでない。

2　各課保護管理者は、利用目的のために、又は法第69条第1項の法令若しくは第2項の規定に基づき、保有個人情報を提供する場合は、法第70条の規定により講ずる措置として、次の各号に掲げる事項について、提供先との間で書面を取り交わすものとする。ただし、総括保護管理者がその必要がないと認めるときは、この限りでない。

(1)　秘密の保持に関する義務

(2)　提供先において保有個人情報(当該提供先が提供を受けた保有個人情報に限る。以下この項において同じ。)を取り扱う者の範囲の限定

(3)　保有個人情報の利用の目的又は方法の制限

(4)　保有個人情報の第三者への再提供の制限又は禁止

(5)　保有個人情報の複製等の禁止

(6)　保有個人情報を利用した後の取扱いの方法の指定

(7)　保有個人情報の取扱状況に関する所要の報告の要求

(8)　保有個人情報に係る訂正の決定を行った場合の提供先における訂正の対応に係る要求

(9)　前各号に掲げるもののほか、区長が必要と認める事項

3　前項の場合において、各課保護管理者は、必要があると認めるときは、保有個人情報を提供する前に、又は保有個人情報を提供した後随時に実地の調査等を行うことにより、当該措置の状況を確認し、その結果を記録するとともに、必要に応じて当該措置の改善を求める等の措置を講ずるものとする。

(利用又は提供の協議)

第40条　各課保護管理者は、法第69条第1項の法令又は同条第2項の規定により、利用目的以外の目的のために保有個人情報を自ら利用するときは、利用協議書(別記第1号様式)により、あらかじめ主任保護管理者及び利用する個人情報を保有している課の各課保護管理者に協議し、その承認を受けなければならない。ただし、総括保護管理者がその必要がないと認めるときは、この限りでない。

2　各課保護管理者は、法第69条第1項の法令又は同条第2項の規定により、利用目的以外の目的のために保有する個人情報を提供するときは、提供協議書(別記第2号様式)により、あらかじめ主任保護管理者に協議し、その承認を受けなければならない。ただし、総括保護管理者がその必要がないと認めるときは、この限りでない。

(利用又は提供の記録)

第41条　各課保護管理者は、法施行条例施行規則第4条第2項各号に規定する事項を記録した利用・提供記録票(別記第3号様式)を2部作成し、1部を各課保護管理者において保管し、他の1部を主任保護管理者に提出しなければならない。ただし、総括保護管理者がその必要がないと認めるときは、この限りでない。

(保有個人情報を取り扱う業務の委託等)

第42条　各課保護管理者は、保有個人情報の取扱いの委託をし、又は地方自治法(昭和22年法律第67号)第244条の2第3項の規定により法人その他の団体であって区が指定するもの(以下「指定管理者」という。)に公の施設の管理(以下「指定管理」という。)を行わせる場合(以下「委託等をする場合」という。)は、保有個人情報の適切な管理を行う能力を有しない者に当該委託をし、又は指定管理を行わせることがないよう、必要な措置を講じなければならない。

2　各課保護管理者は、委託等をする場合は、次に掲げる事項を記載した契約書(指定管理者に指定管理を行わせる場合にあっては、協定書)を作成するとともに、保有個人情報の取扱いの委託を受ける者(以下「委託先事業者」という。)又は指定管理者における保有個人情報の取扱いに係る責任者及び従事者の管理体制及び実施体制並びに保有個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認しなければならない。ただし、総括保護管理者がその必要がないと認めるときは、この限りでない。

(1)　保有個人情報に関する秘密の保持、目的外利用の禁止等の義務

(2)　再委託の制限又は事前の承認等の再委託の条件に関する事項

(3)　保有個人情報の複製等の制限に関する事項

(4)　保有個人情報の適切な管理のために必要な措置に関する事項

(5)　保有個人情報の漏えい等の事態が生じた場合における対応に関する事項

(6)　委託又は指定管理が終了した場合における保有個人情報の消去及び保有個人情報に係る媒体の返却に関する事項

(7)　法令及び契約書に記載された事項に違反した場合における契約の解除、損害賠償責任その他必要な事項

(8)　契約書の内容に関する遵守の状況についての定期的な報告に関する事項

(9)　委託先事業者における委託された保有個人情報の取扱状況を把握するための監査等に関する事項

3　各課保護管理者は、保有個人情報の取扱いの委託等をする場合は、当該委託又は指定管理に係る業務の内容に照らして、当該保有個人情報の範囲を必要最小限のものとしなければならない。

4　各課保護管理者は、保有個人情報の取扱いの委託等をする場合であって、当該委託又は指定管理において取り扱う保有個人情報の内容等に応じて必要があると認めるときは、委託先事業者及び指定管理者における個人情報の管理の状況を、少なくとも毎年1回以上、実地検査により確認しなければならない。

(再委託先の監督)

第43条　各課保護管理者は、委託先事業者又は指定管理者が保有個人情報の取扱いの再委託をする場合は、委託先事業者又は指定管理者に前条第1項の措置を講じさせ、並びに同条第2項の作成及び確認をさせるとともに、再委託に係る保有個人情報の内容等に応じて、自ら同条第4項の確認を行い、又は委託先事業者若しくは指定管理者に当該確認を行わせなければならない。再委託を受けた者が委託(2以上の段階にわたる委託を含む。)をする場合ついても、同様とする。

(派遣労働者契約)

第44条　各課保護管理者は、保有個人情報の取扱いに係る業務を、派遣労働者によって行わせる場合は、労働者派遣契約(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和60年法律第88号)第26条第1項に規定する労働者派遣契約をいう。)に係る契約書に、秘密の保持に関する義務等の保有個人情報の取扱いに関する事項を明記しなければならない。

(特定の個人を識別することができる記載の削除等)

第45条　各課保護管理者は、保有個人情報を提供し、又はその取扱いの委託をし、若しくは指定管理者に指定管理を行わせる場合は、保有個人情報の漏えい等の危険性を低くするため、保有個人情報の提供先における当該保有個人情報の利用の目的、当該委託又は指定管理に係る業務及び当該業務において取り扱う保有個人情報の内容等を考慮した上で、必要に応じて、提供し、又はその取扱いの委託をし、若しくは指定管理者に指定管理を行わせる保有個人情報について、特定の個人を識別することができる記載の全部又は一部を削除し、又は別の記号等に置き換える等の措置を講ずるものとする。

(委託等の協議)

第46条　各課保護管理者は、保有個人情報の取扱いの委託をし、又は指定管理者に指定管理を行わせるときは委託等協議書(別記第4号様式)により、保有個人情報の取扱いに係る業務を派遣労働者によって行わせるときは労働者派遣協議書(別記第5号様式)により、あらかじめ主任保護管理者に協議し、その承認を受けなければならない。ただし、総括保護管理者がその必要がないと認めるときは、この限りでない。

(委託等の記録)

第47条　各課保護管理者は、保有個人情報の取扱いの委託をし、又は指定管理者に指定管理を行わせるときは法施行条例施行規則第4条第1項各号に規定する事項を記録した委託等記録票(別記第6号様式)を、保有個人情報の取扱いに係る業務を派遣労働者によって行わせるときは当該事項を記録した労働者派遣記録票(別記第7号様式)を2部作成し、1部を各課保護管理者において保管し、他の1部を主任保護管理者に提出しなければならない。ただし、総括保護管理者がその必要がないと認めるときは、この限りでない。

第8章　安全管理上の問題への対応

(事案の報告等)

第48条　職員は、保有個人情報の漏えい等その他の保有個人情報の安全管理の上で問題となる事態の発生又は当該発生のおそれを認識した場合は、直ちに当該保有個人情報を管理する各課保護管理者に報告するものとする。

2　各課保護管理者は、前項の規定による報告があった場合は、被害の拡大の防止、被害からの復旧等のために必要な措置を、速やかに(外部からの不正なアクセスが疑われるシステム端末をインターネットその他の高度情報通信ネットワークから切り離す等の被害の拡大を防止するために直ちに行うことができる措置にあっては、直ちに)講ずるものとする。

3　各課保護管理者は、第1項の事態が生じた場合は、直ちに各部保護管理者及び主任保護管理者に当該事態の内容、発生の経緯及び被害の状況等(以下「事態の内容等」という。)を報告するものとする。

4　前項の規定による報告を受けた主任保護管理者は、直ちに副総括保護管理者に事態の内容等を報告するものとし、各部保護管理者は各課保護管理者に対して、より詳細に当該事態の内容等を把握するよう努めることを指示するものとする。

5　前項の規定による報告を受けた副総括保護管理者は、各部保護管理者とともに直ちに総括保護管理者に事態の内容等を報告するものとする。

6　総括保護管理者は、前項の規定による報告を受けた場合は、副総括保護管理者及び各部保護管理者に対して、より詳細に事態の内容等を把握するよう努めることを指示するとともに、当該事態の内容等に応じて必要があると認めるときは、速やかに、当該事態の内容等を区長に報告するものとする。

7　各課保護管理者は、第1項の事態が生じた場合は、その原因を分析し、再発を防止するために必要な措置を講ずるとともに、当該事態に係る業務と同種の業務を実施している課の各課保護管理者に対し、当該措置等の情報を提供するものとする。

(個人情報保護委員会による事態の把握等への協力等)

第49条　区長は、法第68条第1項に規定する場合において、同条第2項の規定による通知を行うときは、速やかに所定の手続を行うとともに、個人情報保護委員会による事態の把握等に協力するものとする。

(公表等)

第50条　区長は、法第68条第1項の規定による個人情報保護委員会への報告及び同条第2項の規定による本人への通知を要しない場合であっても、事態の内容等に応じて、その事実関係及び再発を防止するための措置の公表、本人への通知等の必要な措置を講ずるものとする。

2　区長は、前項の規定により公表を行う場合その他国民に不安を覚えさせるおそれのある事態が生じた場合は、当該事態の内容、経緯、被害状況等について、速やかに個人情報保護委員会に情報を提供するものとする。

第9章　監査及び点検の実施

(監査)

第51条　監査責任者は、区における保有個人情報の管理の状況を検証するため、当該管理の状況(第2章から第8章までの規定による措置の状況を含む。以下同じ。)について、定期的に、又は必要に応じて随時に監査(委託により行う監査を含む。)を行い、その結果を総括保護管理者に報告するものとする。

(点検)

第52条　各課保護管理者は、課における保有個人情報が記録されている媒体の管理、保有個人情報に係る処理の状況、保有個人情報の保管の方法等について、定期的に、又は必要に応じて随時に点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告するものとする。

(評価及び見直し)

第53条　総括保護管理者、各課保護管理者等は、第51条の規定による監査、前条の規定による点検の結果等を踏まえ、実効性等の観点から、区における保有個人情報の管理の状況について評価し、必要があると認めるときは、その見直し等の措置を講ずるものとする。

第10章　雑則

(委任)

第54条　この規程の施行に関し必要な事項は、区長が別に定める。

附則

この訓令は、令和5年4月1日から施行する。