○奥州金ケ崎行政事務組合個人情報保護管理規程
平成20年5月23日
訓令第17号
(趣旨)
第1条 この訓令は、奥州金ケ崎行政事務組合個人情報保護条例(平成20年奥州金ケ崎行政事務組合条例第43号。以下「条例」という。)第2条第1号及び第4号に規定する個人情報及び特定個人情報(以下「個人情報等」という。)の保護管理に関し必要な事項を定めるものとする。
(定義)
第2条 この訓令における用語の意義は、条例第2条及び次の各号に定めるところによる。
(2) 課長等 前号に規定する課等に置く課長等をいう。
(3) 電子計算組織 与えられた一連の処理手順に従い、個人情報等を主として取り扱う事務を自動的に処理する電子的機器の組織をいう。
(4) 端末装置 電子計算組織に通信回線で結ばれ、個人情報等の入出力の機能を有する電子的機器をいう。
(5) 記録媒体 電子計算組織に係る個人情報等を記録している入出力帳票、磁気テープ、磁気ディスク、フロッピーディスクその他の記録媒体をいう。
(6) ドキュメント等 システム設計書、操作手引書、プログラム説明書、コード一覧表その他の個人情報等を電子計算組織により処理するための要領書及び仕様書をいう。
(個人情報等保護統括管理者等の設置)
第3条 組合が保有する全ての個人情報等の保護管理及び個人情報等を処理する電子計算組織又は端末装置(以下「電子計算組織等」という。)の管理の統括を行わせるため、個人情報等保護統括管理者を置き、事務局長をもって充てる。
2 組合が保有する全ての個人情報等の保護管理を行わせるため、個人情報等保護管理者(以下「保護管理者」という。)を置き、企画総務課長をもって充てる。
3 組合が保有するすべての電子計算組織等の管理を行わせるため、情報セキュリティ管理者(以下「情報管理者」という。)を置き、企画総務課長補佐をもって充てる。
4 個人情報等を取り扱う事務を所管している課等(以下「所管課」という。)における個人情報等の保護管理及び電子計算組織等の管理を行わせるため、個人情報等保護責任者(以下「保護責任者」という。)を置き、当該課長等をもって充てる。
5 保護責任者は、所管課における個人情報等の適正な管理及び運用について必要な措置を講じるとともに、所属職員を指揮監督しなければならない。
(収集、目的外利用及び外部提供に係る適正管理)
第4条 保護責任者は、条例第8条第2項ただし書の規定により個人情報等を本人以外のものから収集しようとするとき、同条第3項ただし書の規定により要配慮個人情報を収集しようとするとき、条例第9条第1項ただし書の規定により個人情報等を取り扱う目的以外の目的のため個人情報等を利用し、若しくは提供しようとするとき又は条例第10条第2項の規定によりオンライン結合により個人情報等を提供しようとするときは、これらの行為が条例に適合するものであることを明らかにしなければならない。
(個人情報等の収集に係る手続)
第5条 保護責任者は、条例第8条第2項ただし書の規定により個人情報等を本人以外のものから収集しようとするとき又は同条第3項ただし書の規定により要配慮個人情報を収集しようとするときは、個人情報等収集申請書(様式第1号)を保護管理者に提出しなければならない。
(1) 守秘義務に関する事項
(2) 個人情報等の漏えい、滅失、改ざん及び毀損その他の事故の防止に関する事項
(3) 個人情報等の目的外利用及び第三者への提供の禁止に関する事項
(4) 個人情報等の複写及び複製の禁止に関する事項
(5) 個人情報等の利用の停止に関する事項
(6) 個人情報等の返還義務又は破棄義務に関する事項
(7) 事故等の発生についての報告義務に関する事項
(8) 前各号に掲げるもののほか、個人情報等の保護に関し必要な事項
(オンライン結合による提供に係る手続)
第7条 保護責任者は、条例第10条第2項の規定によりオンライン結合により個人情報等を提供しようとするときは、個人情報等オンライン提供申請書(様式第5号)を保護管理者に提出しなければならない。
(事務の委託に係る適正管理)
第9条 保護責任者は、個人情報等を取り扱う事務を実施機関以外の者に委託するときは、あらかじめ当該事務の委託について保護管理者に協議しなければならない。
2 保護責任者は、前項の委託に係る契約書において、次に掲げる事項を約定しなければならない。当該個人情報等を取り扱う事務の委託を受けた者が、組合があらかじめ承認した再委託の契約をする場合も、同様とする。
(1) 条例に基づく個人情報等の適正な取扱いの遵守義務に関する事項
(2) 守秘義務に関する事項
(3) 個人情報等の漏えい、滅失、改ざん及び毀損その他の事故の防止に関する事項
(4) 個人情報等の目的外利用及び第三者への提供の禁止に関する事項
(5) 個人情報等の複写及び複製の禁止又は制限に関する事項
(6) 業務の再委託の禁止又は制限に関する事項
(7) 個人情報等の返還義務又は破棄義務に関する事項
(8) 立入検査の実施に関する事項
(9) 事故等の発生についての報告義務に関する事項
(10) 前各号に掲げるもののほか、個人情報等の保護に関し必要な事項
(11) 前各号に掲げる事項に違反した場合における契約解除等の措置及び損害賠償に関する事項
3 保護責任者は、奥州金ケ崎行政事務組合財務規則(平成20年奥州金ケ崎行政事務組合規則第36号)第128条の規定により契約書の作成を省略するときは、前項各号に掲げる事項を契約事項として受託者に交付しなければならない。ただし、個人情報等保護の観点から特に必要と認めるときは、契約書を作成しなければならない。
4 保護責任者は、委託先の選定に当たり、あらかじめ必要な調査を行い、第2項各号に掲げる事項を確実に遵守できることが見込まれる者を選定しなければならない。
(端末装置の操作に係る権限の付与)
第10条 電子計算組織等により個人情報等の適正な処理を行うため、電子計算機取扱者(以下「取扱者」という。)を置き、保護責任者が指名した職員をもって充てる。
3 情報管理者は、前項による指名の届出があったときは、取扱者に対し、当該業務の操作権限を与えるものとし、解任の届出があったときは、取扱者の当該業務の操作権限を解除しなければならない。
4 情報管理者は、前項により操作権限を与えた取扱者に対し、電子計算組織を操作するための暗証番号を付与しなければならない。
5 取扱者は、前項により付与された暗証番号を他に漏らしてはならない。
(端末装置を持たない電子計算組織の操作に係る権限)
第11条 端末装置を持たない電子計算組織を設置している課等の保護責任者は、電子計算組織を使用して個人情報等を処理する業務のうち、保護責任者が特に必要と認めるものについて、前条第1項の規定の例により取扱者を指名しなければならない。
2 保護責任者は、取扱者が当該業務を行わなくなったときは、解任しなければならない。
(電子計算組織等の設置又は撤去の承認)
第12条 保護責任者は、電子計算組織等を設置し、又は撤去しようとするときは、情報管理者の承認を受けなければならない。
(記録項目等の確認)
第13条 保護責任者は、新たに電子計算組織により個人情報等を処理するとき又は記録項目を追加若しくは削除するときは、情報管理者の承認を受けなければならない。
(記録媒体の管理)
第14条 保護責任者は、記録媒体を適正に管理するため、次に掲げる措置を講じなければならない。
(1) 記録媒体の搬送及び受払いの方法を定めること。
(2) 記録媒体の保管場所を定めること。
(3) 記録媒体の受払い及び保管の記録をすること。
(4) 記録媒体の廃棄の方法及び時期を定めること。
(5) 前各号に掲げるもののほか、記録媒体を適正に管理するため必要とする事項
(ドキュメント等の管理)
第15条 保護責任者は、ドキュメント等を所定の場所に保管する等適正に管理しなければならない。
(電子計算組織等の使用制限等)
第16条 保護責任者及び取扱者は、その所管する事務以外に個人情報等を処理する目的で電子計算組織等を使用し、又は他の者に使用させてはならない。ただし、行政目的上必要な個人情報等の処理のため使用するとき及び保護管理者が特に必要と認めるときは、この限りでない。
(電子計算組織等を操作していないときの措置)
第17条 保護責任者及び取扱者は、電子計算組織等を操作していないときは、当該電子計算組織等のうち表示装置の画面を暗証番号の入力を指示する表示のある状態にしておかなければならない。
(電子計算組織等の使用時間)
第18条 電子計算組織等は、奥州金ケ崎行政事務組合の執務時間に関する規則(平成20年奥州金ケ崎行政事務組合規則第1号)に定める執務時間内において使用しなければならない。ただし、保護責任者が特に必要と認めるときは、この限りでない。
(他の保護責任者が管理する端末装置の使用)
第19条 保護責任者は、他の保護責任者の管理する端末装置を使用し、個人情報等を処理しようとするときは、端末装置使用申請書(様式第9号)を当該保護責任者に提出してその承認を受けなければならない。
(保安措置)
第20条 情報管理者は、電子計算組織等の設置場所における停電その他の事故発生及び火災その他の災害発生並びに装置等の盗難を防ぐため、必要な保安措置を講じなければならない。
(事故等発生時の措置)
第21条 保護責任者は、個人情報等の漏えい、滅失、改ざん及び毀損その他の事故(以下「事故等」という。)が発生し、又は発生するおそれがあることを知ったときは、その被害等が拡大しないよう措置し、復旧に努めなければならない。
2 保護責任者は、事故等が発生したときは、速やかに事故等発生(処理結果)報告書(様式第11号)を保護管理者に提出し、その指示を受けなければならない。ただし、軽微な事故等については、この限りでない。
3 保護管理者は、前項の報告があったときは、適切な指示をするほか必要な措置を講じるものとする。
4 保護責任者は、事故等が復旧したときは、事故等発生(処理結果)報告書を保護管理者に提出しなければならない。
(補則)
第22条 この訓令の実施に関し必要な事項は、別に定める。
附則
この訓令は、平成20年5月23日から施行する。
附則(平成21年3月31日訓令第2号)
この訓令は、平成21年4月1日から施行する。
附則(平成30年5月1日訓令第4号)
この訓令は、平成30年5月1日から施行する。