○渋谷区個人番号及び特定個人情報の取扱いに関する規程

平成二七年一二月二二日

訓令甲第一八号

目次

第一章 総則(第一条・第二条)

第二章 安全管理措置

第一節 組織的安全管理措置及び人的安全管理措置(第三条―第十三条)

第二節 物理的安全管理措置(第十四条)

第三節 技術的安全管理措置(第十五条・第十六条)

第四節 委託先の監督(第十七条)

第三章 特定個人情報等の管理

第一節 取得(第十八条―第二十三条)

第二節 利用(第二十四条―第二十六条)

第三節 保管制限(第二十七条)

第四節 提供制限(第二十八条)

第五節 削除又は廃棄(第二十九条)

第四章 監査及び点検の実施(第三十条―第三十二条)

第五章 安全確保上の問題への対応(第三十三条―第三十五条)

第一章 総則

(目的)

第一条 この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号。以下「番号法」という。)、個人情報の保護に関する法律(平成十五年法律第五十七号)及び渋谷区個人情報保護条例(平成元年渋谷区条例第四十号。以下「条例」という。)に定めるもののほか、区が取り扱う個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いの確保について必要な事項を定めることにより、特定個人情報等の適切な運用及び安全管理を図ることを目的とする。

(用語の定義)

第二条 この規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

 課 渋谷区組織規則(昭和四十年渋谷区規則第十七号)第八条に規定する課、同規則第二十条に規定する担当課長、渋谷区保健所処務規程(昭和五十年渋谷区訓令甲第十一号)第四条に規定する保健相談所、渋谷区教育委員会事務局組織規則(昭和五十九年渋谷区教育委員会規則第二号)第三条に規定する課、文化総合センター大和田、子ども発達相談センター、子ども家庭支援センター、会計管理室、教育センター、中央図書館、渋谷区立学校設置条例(昭和三十九年渋谷区条例第六号)第二条に規定する学校、渋谷区立幼稚園条例(昭和三十九年渋谷区条例第二十二号)第一条に規定する幼稚園、渋谷区幼保一元化施設条例(平成二十二年渋谷区条例第三号)第二条に規定する幼保一元化施設、選挙管理委員会事務局、監査委員事務局及び区議会事務局をいう。

 課長 前号に規定する課の長をいう。ただし、学校にあっては学校長、幼稚園にあっては幼稚園長、幼保一元化施設にあっては施設長、選挙管理委員会事務局、監査委員事務局及び区議会事務局にあっては次長をいう。

 情報漏えい等 情報の漏えい、滅失、毀損等をいう。

 情報システム ハードウェア、ソフトウェア、ネットワーク及び電磁的記録媒体(端末及びサーバに内蔵されているものを含む。)で構成されるものであって、これら全体で事務処理を行うものをいう。

 不正プログラム コンピュータウイルス、スパイウェア等の電子計算機を利用する者が意図しない結果を電子計算機にもたらすソフトウェアの総称をいう。

2 前項各号に規定するもののほか、この規程において使用する用語は、番号法において使用する用語の例による。

第二章 安全管理措置

第一節 組織的安全管理措置及び人的安全管理措置

(最高責任者)

第三条 特定個人情報等の総合的な安全管理措置を講ずるため、最高特定個人情報統括責任者(以下「最高責任者」という。)を一人置くこととし、副区長をもって充てる。

2 最高責任者は、職員に対する特定個人情報等の管理に関する事務の指導監督等を行うとともに、区における特定個人情報等の管理に関する事務を総括する任に当たる。

(統括保護管理者)

第四条 最高責任者を補佐するため、特定個人情報統括保護管理者(以下「統括管理者」という。)を一人置くこととし、経営企画部長をもって充てる。

(一部改正…二八年一一号)

2 統括管理者は、次に掲げる事項を所掌する。

 特定個人情報等の安全管理に関する教育及び訓練並びに研修の企画及び実施に関すること。

 特定個人情報等の取扱状況の把握に関すること。

 特定個人情報等の安全管理措置の状況についての監査及び監督に関すること。

 特定個人情報等の安全管理措置についての指示、指導及び助言に関すること。

 その他特定個人情報等の安全管理措置に関すること。

(副統括保護管理者)

第五条 統括管理者を補佐し、前条第二項各号に掲げる事項を実施するため、特定個人情報副統括保護管理者(以下「副統括管理者」という。)を一人置くこととし、経営企画部ICT戦略課長をもって充てる。

(一部改正…二八年一一号)

(保護管理者)

第六条 特定個人情報等を取り扱う課に、特定個人情報保護管理者(以下「保護管理者」という。)を一人置くこととし、当該課の課長又はこれに代わる者をもって充てる。

2 保護管理者は、所管する課における特定個人情報等の適切な管理を確保する任に当たるとともに、特定個人情報等を情報システムで取り扱う場合は、当該情報システムの管理者と連携して、その任に当たる。

3 前項の規定にかかわらず、同一の特定個人情報等を複数の課において管理する場合は、保護管理者は互いに連携し、当該特定個人情報等に関する安全管理措置を行うとともに、各課における任務を分担し、及び責任を明確にするものとする。

4 保護管理者は、統括管理者又は副統括管理者から特定個人情報等の安全管理措置の状況について指示、指導、助言等を受けた場合は、これに従わなければならない。

(事務取扱担当者)

第七条 保護管理者は、特定個人情報等を取り扱う事務(以下「特定個人情報等取扱事務」という。)に従事する者(以下「事務取扱担当者」という。)及びその役割を指定しなければならない。

2 保護管理者は、当該事務取扱担当者が取り扱う特定個人情報等の範囲を指定しなければならない。

3 保護管理者は、前二項の事務取扱担当者を指定又は解除した場合は、副統括管理者に報告しなければならない。

4 事務取扱担当者は、課の特定個人情報等の安全管理措置を講ずるため、番号法及びその他の関連法令並びに条例及びこの規程並びに統括管理者、副統括管理者及び保護管理者の指示した事項(以下「法令等事項」という。)に従って、特定個人情報等取扱事務に従事しなければならない。

5 保護管理者は、特定個人情報等がこの規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行わなければならない。

(課の組織体制の整備)

第八条 保護管理者は、次に掲げる組織体制を整備する。

 事務取扱担当者がこの規程等に違反している事実又は兆候を把握した場合の職員から保護管理者への報告連絡体制

 特定個人情報等の情報漏えい等の事案の発生又は兆候を把握した場合の職員から保護管理者等への報告連絡体制

 特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化

 特定個人情報等の情報漏えい等の事案の発生又は兆候を把握した場合の対応体制

(特定個人情報等の適切な管理のための委員会)

第九条 最高責任者及び統括管理者は、特定個人情報等の管理に係る重要事項の決定、連絡、調整等を行うため必要があると認めるときは、関係職員を構成員とする委員会を設け、定期又は臨時に開催する。

(特定個人情報等保護の研修)

第十条 統括管理者及び保護管理者は、事務取扱担当者に対し、特定個人情報等の適正な取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。

2 統括管理者は、保護管理者に対し、課における特定個人情報等の適切な管理のために必要な教育研修を行う。

3 統括管理者は、前二項に規定する教育研修を行うに当たっては、副統括管理者に行わせることができる。

(情報セキュリティ等の研修及び訓練)

第十一条 統括管理者及び保護管理者は、特定個人情報等を取り扱う情報システムの管理に関する事務に従事する職員に対し、特定個人情報等の適切な管理のために、情報システムの管理、運用及び情報セキュリティ対策に関して必要な教育研修及び事故障害発生時の対応訓練を行う。

(研修参加機会の付与)

第十二条 保護管理者は、当該課の職員に対し、特定個人情報等の適切な管理のために、統括管理者又は副統括管理者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずるものとする。

(職員の責務)

第十三条 職員は、法令等事項に従い、特定個人情報等を取り扱わなければならない。

第二節 物理的安全管理措置

(物理的安全管理措置)

第十四条 特定個人情報等を適正に取り扱うために、別に定めるところにより特定個人情報等を取り扱う区域、特定個人情報等の盗難の防止等の物理的な安全管理措置を講ずるものとする。

第三節 技術的安全管理措置

(技術的安全管理措置)

第十五条 特定個人情報等を適正に取り扱うために、別に定めるところにより特定個人情報等及びこれらを取り扱う情報システムへのアクセス制御、不正プログラム対策、情報システムの監視等の特定個人情報等に対する技術的な安全管理措置を講ずるものとする。

(情報システム設計書等の管理)

第十六条 保護管理者は、特定個人情報等に係る情報システムの設計書、設定情報、構成図等の文書について外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講じなければならない。

第四節 委託先の監督

(委託先の監督)

第十七条 保護管理者は、特定個人情報等取扱事務を外部に委託する場合は、当該委託において取り扱う特定個人情報等の安全管理が図られるよう、別に定めるところにより当該委託を受けた者(以下「委託先」という。)に対する必要かつ適切な監督を行わなければならない。

第三章 特定個人情報等の管理

第一節 取得

(利用目的の特定)

第十八条 区は、特定個人情報等を取得するに当たっては、特定個人情報等取扱事務を遂行するため必要な場合に限るものとし、かつ、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

2 特定個人情報等は、前項の規定により特定した利用目的の達成に必要な範囲を超えて、利用し、又は保有してはならない。

3 特定個人情報等は、利用目的を変更する場合は、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(取得に際しての利用目的の通知等)

第十九条 事務取扱担当者は、本人から直接文書等(文書、図画及び電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られた記録をいう。以下同じ。)をいう。)に記録された当該本人の特定個人情報等を取得しようとする場合は、次に掲げるときを除き、あらかじめ、本人に対し、その利用目的を書面(電磁的記録を含む。)によって通知し、又は公表しなければならない。

 人の生命、身体又は財産の保護のために緊急に必要があるとき。

 利用目的を本人に通知し、又は公表することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき。

 利用目的を本人に通知し、又は公表することにより、国の機関、独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。)、地方公共団体又は地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。)が行う事務又は事業の適正な遂行に支障を及ぼすおそれがあるとき。

 取得の状況からみて利用目的が明らかであると認められるとき。

2 前項の規定にかかわらず、職員から当該職員に関する特定個人情報等を取得する場合には、庁内LANにおける通知、利用目的を記載した書類の提示、関連する規程への明記等の方法により行うことができるものとする。

3 職員から当該職員に関して取得した特定個人情報等の利用目的の変更を要する場合は、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内において、本人への通知又は公表を行うことにより、利用目的を変更して当該特定個人情報等を利用することができる。

(個人番号の提供の要求)

第二十条 職員は、個人番号利用事務等を処理するために必要な場合その他番号法で定める場合に限り、本人又は他の個人番号利用事務実施者若しくは個人番号関係事務実施者に対して個人番号の提供を求めることができる。

2 前項の規定にかかわらず、職員の任用等をしようとする場合には、本人の当該任用等への同意があった時点で個人番号の提供を求めることができるものとする。

(特定個人情報の提供の求めの制限)

第二十一条 職員は、個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報の提供(区から他の地方公共団体や行政機関等への特定個人情報の移動又は区内の異なる機関への特定個人情報の移動をいう。)を求めてはならない。

(取得に際しての本人確認)

第二十二条 事務取扱担当者は、本人又はその代理人から個人番号の提供を受けるときは、番号法第十六条に定める各方法により、本人確認を行うものとする。

(特定個人情報の収集の制限)

第二十三条 職員は、番号法第十九条各号のいずれかに該当する場合を除き、他人の個人番号を含む個人情報を収集してはならない。

第二節 利用

(特定個人情報等の運用及び取扱状況の記録)

第二十四条 保護管理者は、特定個人情報等の運用状況を確認するための手段として、特定個人情報等の秘匿性、重要性その他の性質に応じて、台帳を整備し、特定個人情報等の利用、保存、廃棄等の取扱状況を記録するとともに、その記録を一定の期間保存し、及び定期及び臨時に分析するために必要な措置を講ずるものとする。

2 前項の規定において、保護管理者は、特定個人情報ファイルについての取扱状況を確認するための手段として、次に掲げる事項を記録した特定個人情報ファイル簿を整備するものとする。この場合において、特定個人情報ファイル簿には、特定個人情報等を記載しないものとする。

 特定個人情報ファイルの名称

 利用目的

 記録される項目及び本人として記録される個人の範囲

 記録される特定個人情報等の収集方法

 当該事務を所管する組織の名称

3 前二項の規定による記録について、保護管理者は、定期及び臨時に点検し、必要があると認めるときは、その結果を副統括管理者に報告するものとする。

(個人番号の利用の制限)

第二十五条 職員は、特定個人情報等取扱事務を処理する目的の範囲内でのみ個人番号を利用することができる。

2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるときに、特定個人情報等の提供を受けた場合は、その提供を受けた目的を達成するために必要な限度で個人番号を利用することができる。

(特定個人情報ファイルの作成の制限)

第二十六条 職員は、特定個人情報等取扱事務を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイルを作成してはならない。

第三節 保管制限

(特定個人情報等の保管の制限)

第二十七条 職員は、番号法第十九条各号のいずれかに該当する場合を除き、他人の個人番号を含む個人情報を保管してはならない。

第四節 提供制限

(特定個人情報等の提供の制限)

第二十八条 職員は、番号法第十九条各号に掲げる場合を除き、本人の同意の有無にかかわらず、特定個人情報等を提供してはならない。

第五節 削除又は廃棄

(特定個人情報等の削除又は廃棄)

第二十九条 特定個人情報等が記録された電子媒体及び書類等(以下「電子媒体等」という。)について、法令等によって定められている保存期間を経過した場合には、個人番号をできるだけ速やかに復元できない手段で削除又は廃棄しなければならない。

2 事務取扱担当者は、個人番号若しくは特定個人情報ファイルを削除した場合又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存するものとする。

第四章 監査及び点検の実施

(監査)

第三十条 統括管理者は、定期及び必要があると認めるときに特定個人情報等の管理の状況について監査を行い、その結果を最高責任者に報告するものとする。

2 統括管理者は、前項の監査を行うに当たっては、副統括管理者に監査を行わせることができる。

3 保護管理者及び職員は、第一項の監査の実施に協力しなければならない。

(点検)

第三十一条 保護管理者は、自ら管理責任を有する電子媒体等、処理経路、保管方法等について所要の点検を行い、必要があると認めるときは、その結果を副統括管理者に報告するものとする。

2 前項の場合において、副統括管理者は、点検結果について、必要があると認めるときは、その結果を統括管理者及び最高責任者に報告するものとする。

(評価及び見直し)

第三十二条 最高責任者、統括管理者、副統括管理者及び保護管理者は、特定個人情報等の適切な管理のための措置については、監査又は点検の結果等を踏まえ、実効性等の観点から評価し、必要があると認めるときは、その見直し等の措置を講ずるものとする。

第五章 安全確保上の問題への対応

(事案の報告及び再発防止措置)

第三十三条 職員は、情報漏えい等の事案の発生又は兆候を把握した場合、事務取扱担当者がこの規程等に違反している事実又は兆候を把握した場合等、安全確保の上で問題となる事案又は問題となる事案の発生のおそれを認識した場合は、速やかに当該特定個人情報等を管理する保護管理者に報告しなければならない。

2 保護管理者は、被害の拡大防止、復旧等のために必要な措置を速やかに講じなければならない。ただし、外部からの不正アクセス及び不正プログラムの感染が疑われる端末等について、被害拡大防止のために直ちに行い得る措置がある場合は、直ちに行う(職員に行わせることを含む。)ものとする。

3 保護管理者は、特定個人情報等の漏えい等、安全確保の上で問題となる事案が発生した場合には、事案の発生した経緯、被害状況等の調査、原因の究明及び再発防止策の検討をし、別に定めるところにより速やかに副統括管理者に報告しなければならない。

4 保護管理者は、前項の事案が発生した場合において、次に掲げる特定個人情報に関する重大事案又はそのおそれのある事案が発生したときは、別に定めるところにより直ちに、副統括管理者に報告しなければならない。

 情報提供ネットワークシステム又は個人番号を取り扱う情報システムで使用するネットワークから外部に情報漏えい等があったとき(不正アクセス又は不正プログラムによるものを含む。)

 事案における特定個人情報の本人の数が百一人以上であるとき。

 不特定多数の者が閲覧できる状態になったとき。

 職員が不正の目的で持ち出し、又は利用したとき。

 その他重大事案と判断されるとき。

5 副統括管理者は、前二項の規定による報告を受けた場合には、事案の内容に応じて、当該事案の内容、経緯、被害状況等を統括管理者及び最高責任者に報告しなければならない。

6 副統括管理者は、第四項の規定による報告を受けたときは、速やかに個人情報保護委員会に報告しなければならない。

(一部改正…二八年一一号)

7 保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるとともに、その内容を副統括管理者に報告しなければならない。

(公表等)

第三十四条 統括管理者は、特定個人情報等の漏えい等、安全確保の上で問題となる事案が発生した場合には、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る特定個人情報等の本人への対応等の措置を講ずるものとする。

(法令違反等に対する厳正な対処)

第三十五条 区は、法令、内部規程等に違反した職員に対し、法令、内部規程等に基づき厳正に対処する。

附 則(平成二八年訓令甲第一一号)

この訓令は、平成二十八年四月一日から施行する。

渋谷区個人番号及び特定個人情報の取扱いに関する規程

平成27年12月22日 訓令甲第18号

(平成28年4月1日施行)

体系情報
第1章 則/第9節 情報公開・個人情報保護等
沿革情報
平成27年12月22日 訓令甲第18号
平成28年3月31日 訓令甲第11号