朝倉市個人情報の管理に関する規程

○朝倉市個人情報の管理に関する規程

令和5年3月17日

訓令第5号

(趣旨)

第1条　この規程は、個人情報の保護に関する法律(平成15年法律第57号。行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第30条第1項又は第31条第1項の規定により一部の規定が適用されず、又は読み替えて適用される場合を含む。以下「法」という。)、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「令」という。)及び朝倉市個人情報の保護に関する法律施行条例(令和4年朝倉市条例第22号。以下「条例」という。)に規定する保有個人情報の適切な管理について必要な事項を定めるものとする。

(定義)

第2条　この規程における用語の意義は、法、令及び条例の例による。

(総括個人情報管理責任者)

第3条　総括個人情報管理責任者を置き、副市長をもって充てる。

2　総括個人情報管理責任者は、保有個人情報の統一的な管理に必要な連絡調整を行うとともに、個人情報保護事務を総括的に指揮監督するものとする。

(個人情報管理責任者)

第4条　条例第4条第1項に規定する個人情報管理責任者(以下「個人情報管理責任者」という。)は、同条第2項に規定する事務のほか、次に掲げる任に当たる。

(1)　保有個人情報の管理に関する事務について、総括個人情報管理責任者に報告し、又は総括個人情報管理責任者から指示を受けること。

(2)　保有個人情報の管理に関する事務について、第7条に規定する個人情報保護担当者から報告を受け、又は当該職員に指示を出すこと。

(個人情報監査責任者)

第5条　個人情報監査責任者を置き、総務部長をもって充てる。

2　個人情報監査責任者は、保有個人情報の管理状況について監査する任に当たる。

(保有個人情報の適切な管理のための臨時委員会)

第6条　総括個人情報管理責任者は、保有個人情報の管理に係る重要事項の決定、連絡、調整等を行うため必要があると認めるときは、関係職員を構成員とする臨時委員会を設けることができる。

(個人情報保護担当者)

第7条　個人情報管理責任者は、個人情報保護担当者を指定する。

2　個人情報保護担当者は、個人情報管理責任者を補佐し、各所属における保有個人情報の管理に関する事務を担当する。

(研修)

第8条　総括個人情報管理責任者は、保有個人情報の取扱いに従事する職員に対し、保有個人情報の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要な研修を行うものとする。

2　個人情報管理責任者は、所属職員に対し、保有個人情報の適切な管理のために、総括個人情報管理責任者の実施する研修への参加の機会を付与する等の必要な措置を講ずるものとする。

(誤りの訂正等)

第9条　職員は、保有個人情報の内容に誤り等を発見した場合には、個人情報管理責任者の指示に従い、訂正等を行うものとする。

(保有個人情報の管理等)

第10条　職員は、保有個人情報を記録した公文書(電磁的記録媒体を含む。以下同じ。)を施錠できる保管庫等に厳重に保管しなければならない。

2　個人情報管理責任者は、保有個人情報を記録した公文書を保管した保管庫等の鍵等を適切に管理しなければならない。

3　職員は、保有個人情報を記録した公文書を庁舎外に持ち出してはならない。ただし、個人情報管理責任者が事務の遂行上必要と認める場合は、この限りでない。

4　前項ただし書の規定により、保有個人情報を記録した公文書を庁舎外に持ち出す場合は、個人情報管理責任者の指示に従い、盗難又は紛失を防止するための措置を講じなければならない。

5　個人情報管理責任者は、第1項から前項までに定めるもののほか、保有個人情報を記録した公文書の盗難、紛失若しくは不適正な持ち出し、保有個人情報に係る不正アクセス、虚偽記載、改ざん若しくは不適正な消去又は保有個人情報の漏えい、滅失若しくは毀損(以下「保有個人情報に係る事故」という。)が生じないよう保有個人情報を適正に管理しなければならない。

(個人情報の廃棄)

第11条　職員は、保有個人情報が記録されている公文書等を廃棄する場合は、個人情報の復元及び判読が不可能となる方法により行わなければならない。

(個人情報の内部利用の依頼)

第12条　法第69条第2項第2号の規定に基づく個人情報の利用(以下「内部利用」という。)の依頼については、個人情報利用依頼書(様式第1号)によるものとする。

2　前項の規定による内部利用の承認については、個人情報利用承認等決定通知書(様式第2号)によるものとする。

(個人情報の外部提供の依頼)

第13条　法第69条第2項第3号及び第4号の規定に基づく他の行政機関、独立行政法人等、地方公共団体の機関又は地方独立行政法人からの保有個人情報の提供(以下「外部提供」という。)の依頼については、原則として、書面により受けることとし、その承諾については、個人情報提供等決定通知書(様式第3号)によるものとする。

2　前項の書面には、次に掲げる事項を記載しなければならない。

(1)　市の機関の業務の名称

(2)　必要とする個人情報の項目

(3)　利用する期間

(4)　利用する団体の業務の名称等

(5)　利用目的

(6)　外部提供の根拠法令又は所掌事務(所掌事務の場合は、利用することについての相当の理由)

(7)　提供を受けた個人情報の廃棄方法

(業務の委託)

第14条　個人情報管理責任者は、保有個人情報の取扱いに係る業務を外部に委託する場合には、保有個人情報の適切な管理を行う能力を有する者を選定するよう努めなければならない。

2　前項に規定する委託に係る契約は、次に掲げる事項を契約書に明記するとともに、委託先における責任者、業務従事者の管理、実施体制及び業務を委託した保有個人情報の管理状況についての検査に関する事項等について書面で確認する。ただし、地方自治法(昭和22年法律第67号)第252条の14第1項の規定により市の業務の一部を他の地方公共団体に委託する場合は、この限りでない。

(1)　個人情報に関する秘密の保持、利用目的以外の目的のための利用の禁止等の義務

(2)　再委託(再委託先が委託先の子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定する子会社をいう。)である場合も含む。)の制限又は事前承認等再委託に係る条件に関する事項

(3)　個人情報の複製等の制限に関する事項

(4)　個人情報の安全管理措置に関する事項

(5)　個人情報の漏えい等の事案の発生時における対応に関する事項

(6)　委託終了時における個人情報の消去及び媒体の返却に関する事項

(7)　法令及び契約に違反した場合における契約解除、損害賠償責任その他必要な事項

(8)　前各号に掲げる事項に違反した場合における契約解除等の措置に関する事項

(9)　契約内容の遵守状況についての定期的報告に関する事項及び委託先における委託された個人情報の取扱状況を把握するための監査等に関する事項

3　個人情報管理責任者は、委託先において、委託した保有個人情報の取扱いに係る業務が再委託される場合には、委託先に第2項の措置を講じさせるとともに、再委託される業務のために委託する保有個人情報の内容に応じて、委託先を通じて又は委託元自らが第2項の措置を実施する。当該保有個人情報の取扱いに係る業務について再委託先が再々委託を行う場合以降も同様とする。

4　個人情報管理責任者は、委託先において委託した保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に当該保有個人情報の秘密保持義務等に関する事項を明記させる。

5　個人情報管理責任者は、保有個人情報を提供又は業務委託する場合には、漏えい等による被害発生のリスクを低減する観点から、提供先の利用目的、委託する業務の内容、保有個人情報の秘匿性等その内容などを考慮し、必要に応じ、特定の個人を識別することができる記載の全部又は一部を削除し、又は別の記号に置き換える等の措置を講ずるものとする。

(個人情報の提供を受ける者に対する措置要求)

第15条　法第70条の規定による制限は、次に掲げる事項のうち市の機関が必要と認めるものとする。ただし、法令等の定めるところにより外部提供する場合は、この限りでない。

(1)　保有個人情報の秘密の保持並びに保有個人情報の漏えい、改ざん、滅失、毀損、紛失その他の事故及び不当な目的への利用の防止に関する事項

(2)　利用目的の範囲を超える保有個人情報の利用の禁止に関する事項

(3)　外部提供を受けた者以外への保有個人情報の提供の禁止に関する事項

(4)　外部提供に係る保有個人情報の利用の期間に関する事項

(5)　前号に規定する期間の終了後又は利用目的の達成後の保有個人情報の取扱いに関する事項

(6)　事故が発生したときの報告の義務に関する事項

(7)　立入調査に応ずる義務に関する事項

(8)　損害賠償に関する事項

(9)　この規程により付した制限に違反した場合の市の機関の命令に従う義務に関する事項

(10)　その他市の機関が個人情報の保護に関し必要と認める事項

2　市の機関は、外部提供を受けた者が、前項各号(第8号及び第9号を除く。)に規定する事項に違反していると認めるときは、直ちに、当該外部提供を一時停止するとともに、当該外部提供を受けた者に対し、報告を求めるものとする。

3　法第70条に規定する必要な措置は、個人情報の利用の中止、返還、廃棄その他市の機関が必要と認める措置とする。

(受託者又は指定管理者において取り扱う個人情報)

第16条　受託業務又は指定管理者が行う公の施設の管理業務に伴って生じる個人情報については、市の機関が保有する個人情報であるか、受託者又は指定管理者が自ら保有する個人情報であるかによって、開示請求等の取扱い及び罰則の適用が異なるため、契約及び協定の締結に当たっては、それぞれの保有する個人情報の範囲を明らかにするものとする。

(情報漏えい等の事案への対応)

第17条　職員は、次に掲げる事案の発生又はそのおそれを認識した場合は、直ちに当該事案に係る個人情報管理責任者に報告しなければならない。

(1)　保有個人情報の漏えい等の事案

(2)　保有個人情報を取り扱う職員等がこの規程等に違反している事案

(3)　その他の個人情報の安全確保上で問題となる事案

2　前項の規定による報告を受けた個人情報管理責任者は、被害の拡大防止又は復旧のために必要な措置を直ちに講じなければならない。

3　個人情報管理責任者は、前項の措置を講じた場合は、事案の発生した経緯、被害状況等を調査し、保有個人情報に係る事故等報告書(様式第4号)により、速やかに総括個人情報管理責任者に報告するものとする。ただし、特に重大と認める事案が発生した場合には、直ちに総括個人情報管理責任者に当該事案の内容等を報告しなければならない。

4　総括個人情報管理責任者は、前項の規定による報告を受けた場合は、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を市長に速やかに報告する。

5　市長は、前項の規定による報告の事案が個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)第43条各号に掲げる事態に該当するときは、直ちに個人情報保護委員会に報告する。

(本人への連絡等)

第18条　個人情報管理責任者は、前条の事案の内容に応じて、速やかに当該事案に係る保有個人情報の本人へ連絡し、又は本人が容易に事案の内容を知り得る状態にしておかなければならない。

(原因の究明及び再発防止)

第19条　個人情報管理責任者は、事案の事実関係を調査し、その原因の究明を行うとともに、再発防止のために必要な措置を速やかに講じなければならない。

2　総括個人情報管理責任者は、個人情報管理責任者に対して、前項に規定する措置のために必要な助言を行うものとする。

(公表等)

第20条　個人情報管理責任者は、事案の内容、経緯、被害状況、影響等に応じて、総括個人情報管理責任者と協議の上、速やかに、事実関係及び再発防止策を公表しなければならない。

(点検)

第21条　個人情報管理責任者は、各所属における保有個人情報の記録媒体、処理経路、保管方法等について点検を行い、その結果を個人情報監査責任者に報告するものとする。

(監査)

第22条　個人情報監査責任者は、保有個人情報の適切な管理を検証するため、市の機関における保有個人情報の管理状況について、市の機関が実施する点検等の結果を分析し、その結果を総括個人情報管理責任者に報告するものとする。

2　個人情報監査責任者は、個人情報の管理の状況について、定期に及び必要に応じ随時に監査(外部監査を含む。)を行い、その結果を総括個人情報管理責任者に報告するものとする。

(評価及び見直し)

第23条　総括個人情報管理責任者は、監査又は点検の結果等を踏まえ、実効性等の観点から評価し、必要があると認めるときは、その見直し等の措置を講ずるものとする。

(その他)

第24条　保有個人情報に関して電子的処理を行う場合の当該保有個人情報の取扱いについては、この規程を遵守するほか、次に掲げる規程等に留意し、保有個人情報の保護に万全を期するものとする。

(1)　朝倉市情報通信端末及び情報記憶媒体取扱規程(平成24年朝倉市訓令第35号)

(2)　朝倉市情報セキュリティポリシー対策基準

2　この規程の施行に関し必要な事項は、市長が別に定める。

附則

この規程は、令和5年4月1日から施行する。