○大分県市町村職員共済組合が実施する短期給付事業等における個人番号利用事務に係る特定個人情報等取扱要綱
平成29年3月15日
要綱第1号
(目的)
第1条 この要綱は、大分県市町村職員共済組合個人番号及び特定個人情報の適正な取扱いに関する規程(以下「規程」という。)及び大分県市町村職員共済組合個人番号及び特定個人情報の適正な取扱いに関する規程細則(以下「細則」という。)に基づき、大分県市町村職員共済組合が実施する短期給付事業及び福祉事業(以下「短期給付事業等」という。)において個人番号利用事務を行うに当たっての個人番号及び特定個人情報(以下「特定個人情報等」という。)を取り扱う事務の各段階を明確にするとともに、短期給付事業等における特定個人情報等の適正な取扱いを確保するため必要な事項を定めるものとする。
(特定個人情報等の範囲)
第2条 前条の事務において取り扱う特定個人情報等の範囲は、個人番号及び個人番号と関連付けて管理される氏名、生年月日、性別及び住所等とする。
(特定個人情報等の利用目的)
第3条 第1条の事務において取り扱う特定個人情報等の利用目的は、次のとおりとする。
特定個人情報等を取り扱う地方公務員等共済組合法による短期給付事業等の対象となる組合員(任意継続組合員を含む。)及び被扶養者(以下「組合員等」という。)に係るもの | (1) 地方公務員等共済組合法(昭和37年法律第152号)による組合員若しくはその被扶養者に係る申請等(申請、届出又は申出をいう。以下この号において同じ。)の受理、その申請等に係る事実についての審査又はその申請等に対する応答に関する事務(短期給付事業等に係るものに限る。) (2) 地方公務員等共済組合法第39条の組合員(次号において「組合員」という。)の資格の得喪に関する事務(短期給付事業等に係るものに限る。) (3) 組合員に係る標準報酬の月額(地方公務員等共済組合法第43条第1項に規定する標準報酬の月額をいう。)、標準期末手当等の額(同法第44条第1項に規定する標準期末手当等の額をいう。)又は組合員期間(同法第40条第1項に規定する組合員期間をいう。)に関する事務(短期給付事業等に係るものに限る。) (4) 地方公務員等共済組合法第53条第1項又は第54条の短期給付の支給に関する事務 (5) 地方公務員等共済組合法第57条の2第1項の一部負担金に係る措置に関する事務 (6) 地方公務員等共済組合法第112条第1項(第1号の2から第3号までを除く。)の福祉事業及び同法第112条の2第1項の特定健康診査等の実施に関する事務 (7) 地方公務員等共済組合法による掛金に関する事務(短期給付事業等に係るものに限る。) (8) 地方公務員等共済組合法第144条の2第2項の任意継続組合員の掛金の払込み又は同法第144条の2第3項の任意継続組合員の掛金の前納に関する事務 (9) 地方公務員等共済組合法による組合員証、組合員被扶養者証、高齢受給者証、特定疾病療養受療証、限度額適用認定証、限度額・標準負担額減額認定証、特別療養証明書、船員組合員証、船員組合員被扶養者証又は船員組合員療養補償証明書に関する事務 |
(特定個人情報等を取り扱う事務の種類)
第4条 短期給付事業等における個人番号利用事務として特定個人情報等を取り扱う事務の種類は、次の各号のとおりとする。
(1) 個人番号等取得事務 前条に掲げる事務を行うために個人番号又は被保険者枝番を取得する事務
(2) 個人番号等入力事務 取得した個人番号及び被保険者枝番を管理する個人番号管理システムに入力又は取り込む事務若しくは被保険者枝番を基幹システムに入力又は取り込む事務
(3) 特定個人情報管理・保管事務 特定個人情報等を含む紙媒体又は電子データを漏えい、滅失、き損がないよう安全に管理及び保管する事務
(4) 委託先管理事務 短期給付事業等における特定個人情報等の管理及びその内容に特定個人情報等を含む申請を委託する委託先(再委託先を含む。)を管理する事務
(5) 削除・廃棄事務 第13条(5)の実施時期を経過したことにより不要になった特定個人情報等を安全に削除・廃棄する事務
(6) 個人番号管理システムの管理事務 特定個人情報等を取り扱う個人番号管理システムの管理事務
(7) 特定個人情報等照会事務 前条に掲げる事務を行うために特定個人情報等の電子データを医療保険者等向け中間サーバに情報照会する事務
(8) 特定個人情報等提供事務 特定個人情報等の電子データを医療保険者等向け中間サーバに登録する事務
(事務取扱関係者)
第5条 前条各号に掲げる事務の実施、当該事務に係る決裁など、業務上、特定個人情報等を知る機会がある者を事務取扱関係者とし、大分県市町村職員共済組合総務課及び保険福祉課(以下「総務課及び保険福祉課」という。)の職員(臨時職員を含む)に限定する。
(事務取扱担当者)
第7条 第4条各号に掲げる事務を実施する事務取扱担当者(以下「担当者」という。)として、総務課及び保険福祉課の職員をもって充てる。
(運用状況の記録)
第8条 担当者は、特定個人情報等の運用状況について、「特定個人情報等の運用状況記録票」(別紙1)に記録する。
(取扱状況の確認及び記録)
第9条 担当者は、特定個人情報ファイルの取扱状況について、「特定個人情報ファイル管理台帳」(別紙2)に記録する。
(特定個人情報等を取り扱う区域の管理)
第10条 総務課及び保険福祉課において個人番号利用事務として特定個人情報等を取り扱う「管理区域」及び「取扱区域」については、次の各号のとおりとする。
(1) 管理区域 委託先のデータセンター
(2) 取扱区域 第4条各号に掲げる事務を実施する大分県市町村職員共済組合事務室及びシステム室
(1) 管理区域 入退室管理及び管理区域へ持ち込む機器等の制限
(2) 取扱区域 壁や間仕切り等を設置する、又は担当者以外の者の往来がない場所や後ろから覗き見されない場所とするなど座席配置等の工夫
(機器及び電子媒体等の盗難等の防止)
第11条 責任者及び担当者は、管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。
(1) 特定個人情報等を取り扱う機器、電子媒体又は書類等を、施錠できるキャビネットに保管する。
(2) 特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。
(電子媒体等を持ち出す場合の漏えい等の防止)
第12条 担当者は、特定個人情報等が記録された電子媒体又は書類等を持ち出す場合は、次に掲げる安全策を講じるものとする。ただし、行政機関等に届書をデータで提出するにあたっては、行政機関等が指定する提出方法に従うものとする。
(1) 特定個人情報等が記録された電子媒体を持ち出す場合
① 持出しデータの暗号化又はパスワードによる保護
② 施錠できる搬送容器の使用
③ 追跡可能な移送手段の利用
(2) 特定個人情報等が記載された書類等を持ち出す場合
封緘、目隠しシールの貼付
(1) 個人番号等取得事務
ア 地方公共団体等から電子データで取得の場合
区分 | 実施者 | 対象者 | 実施方法 | 場所 | 安全管理措置 |
取得 | 担当者 | 地方公共団体等 | 地方公共団体等からデータで取得(契約締結又は地共済法第18条第1項を根拠) | 取扱区域 | ①施錠できるキャビネットに保管する。 ②鍵は定められた場所に保管し、担当者のうち責任者が指定する者が鍵の管理を行う。 |
イ 地方公共団体等又は組合員等から紙媒体で取得の場合
区分 | 実施者 | 対象者 | 実施方法 | 場所 | 安全管理措置 |
取得 | 担当者 | 地方公共団体等又は組合員等 | ①地方公共団体等から紙で取得(契約締結又は地共済法第18条第1項を根拠) ②組合員等から紙で取得 | 取扱区域 | ①施錠できるキャビネットに保管する。 ②鍵は定められた場所に保管し、担当者のうち責任者が指定する者が鍵の管理を行う。 |
ウ 統合専用端末から電子データで取得の場合
区分 | 実施者 | 対象者 | 実施方法 | 場所 | 安全管理措置 |
取得 | 担当者 | 地方公共団体情報システム機構(以下「J―LIS」という。)又は社会保険診療報酬支払基金 | 組合員等の個人番号又は被保険者枝番について情報連携により取得する。 | 取扱区域 | 安全管理措置が図られた取扱区域内の統合専用端末で取得する。 |
(2) 個人番号等入力事務
ア 地方公共団体等から電子データで取得の場合
区分 | 実施者 | 情報システム | 実施方法 | 場所 | 安全管理措置 |
入力 | 担当者 | 個人番号管理システム | 地方公共団体等から取得した個人番号データを個人番号管理システムに取り込む。 | 取扱区域 | ①システムを使用できる端末を限定する。 ②責任者が担当者毎に異なるID及びパスワードを付与する。 ③目視チェック及び読合せチェックを行う。 |
イ 地方公共団体等又は組合員等から紙媒体で取得の場合
区分 | 実施者 | 情報システム | 実施方法 | 場所 | 安全管理措置 |
入力 | 担当者 | 個人番号管理システム | 地方公共団体等又は組合員等から紙で取得した個人番号を個人番号管理システムに次の方法により入力する。 ①システムで桁チェックを行う。 ②個人番号と個人情報が一致しているか、入力者と別の担当者が目視チェック及び読合せチェックを行う。 ③チェック後、個人番号が記載された住民票の写し、通知カード又はマイナンバーカードのコピー(個人番号確認書類)はシュレッダーによる裁断を行う。 ④「特定個人情報等の運用状況記録票」(別紙1)に入力及び書類廃棄の記録を記入する。 | 取扱区域 | ①システムを使用できる端末を限定する。 ②責任者が担当者毎に異なるID及びパスワードを付与する。 ③目視チェック及び読合せチェックを行う。 ④シュレッダーによる裁断を行う。 ⑤「特定個人情報等の運用状況記録票」(別紙1)に入力及び書類廃棄の記録を記入する。 |
ウ 統合専用端末から電子データで取得の場合
区分 | 実施者 | 情報システム | 実施方法 | 場所 | 安全管理措置 |
入力 | 担当者 | 個人番号管理システム | 上記(1)により取得した個人番号又は被保険者枝番データを個人番号管理システムに取り込む。 | 管理区域 | 安全管理措置が図られた取扱区域内の統合専用端末で取得する。 |
担当者 | 基幹システム | 上記(1)により取得した被保険者枝番を基幹システムに取り込む。 |
|
|
(3) 特定個人情報管理・保管事務
ア 地方公共団体等から電子データで取得の場合
区分 | 実施者 | 管理・保管媒体 | 管理・保管方法 | 場所 | 安全管理措置 |
管理 | 担当者 | 電子データ | 個人番号管理システムに取り込むための電子データを管理する。 | 取扱区域 | 上記(2)の取込を行い次第、速やかに(5)の削除を行う。 |
イ 地方公共団体等又は組合員等から紙媒体で取得の場合
区分 | 実施者 | 管理・保管媒体 | 管理・保管方法 | 場所 | 安全管理措置 |
管理 | 担当者 | 紙媒体 | 「特定個人情報ファイル管理台帳」(別紙2)に取扱いの記録を記入する。 | 取扱区域 | 「特定個人情報ファイル管理台帳」(別紙2)に取扱いの記録を記入する。 |
保管 | 担当者 | 紙媒体 | 施錠できるキャビネットで保管する。 | 取扱区域 | ①施錠できるキャビネットに保管する。 ②鍵は定められた場所に保管し、責任者が指定する者が鍵の管理を行う。 |
ウ 統合専用端末から電子データで取得の場合
区分 | 実施者 | 管理・保管媒体 | 管理・保管方法 | 場所 | 安全管理措置 |
保管 | 委託先 (みずほトラストシステムズ(以下「MHTS」という。)) | 電子データ | 個人番号管理システムに保管し、安全管理措置が図られた委託先(MHTS)のデータセンターで管理する。 | 管理区域 | 組合のサーバには保存しない。 |
担当者 | 上記(1)により取得した被保険者枝番を基幹システムサーバーで管理する。 | 取扱区域 | 組合のサーバルームで保存する。 |
(4) 委託先管理事務
区分 | 実施者 | 委託先管理方法 | 実施方法 | 安全管理措置 |
管理 | 責任者 | 特定個人情報の適正な取扱いに関するガイドライン(事業者編)に定める委託の取扱いに準じる。 | 特定個人情報の適正な取扱いに関するガイドライン(事業者編)に定める委託の取扱いに準じる。 | 特定個人情報の適正な取扱いに関するガイドライン(事業者編)に定める委託の取扱いに準じる。 |
(5) 削除・廃棄事務
ア 地方公共団体等から電子データで取得の場合
区分 | 実施者 | 実施時期 | 実施方法 | 場所 | 安全管理措置 |
削除 | 担当者 | 上記(2)の入力直後 | ①地方公共団体等から取得したデータを削除した者と別の者が目視チェックを行う。 ②地方公共団体等から取得したデータの操作証跡を取得する。 ③「特定個人情報等の運用状況記録票」(別紙1)に削除の記録を記入する。 | 取扱区域 | ①目視チェックを行う。 ②操作証跡を取得する。 ③「特定個人情報等の運用状況記録票」(別紙1)に削除の記録を記入する。 |
イ 地方公共団体等又は組合員等から紙媒体で取得の場合
区分 | 実施者 | 実施時期 | 実施方法 | 場所 | 安全管理措置 |
廃棄 | 担当者 | 保存期間 経過後 | ①組合員資格取得届書又は被扶養者申告書(個人番号報告様式を含む。)をシュレッダーにより裁断する又は安全管理措置が図られた委託先にて溶解する。 ②「特定個人情報等の運用状況記録票」(別紙1)に廃棄の記録を記入する。 | 取扱区域 | ①シュレッダーによる裁断を行う。 ②「特定個人情報等の運用状況記録票」(別紙1)に廃棄の記録を記入する。 |
ウ 統合専用端末から電子データで取得の場合(個人番号の取得に限る。)
区分 | 実施者 | 実施時期 | 実施方法 | 場所 | 安全管理措置 |
削除 | 担当者 | 上記(2)の取り込み直後 | 【電子データの削除の場合】 ①データを削除した者と別の者が目視チェックを行う。 ②データの操作証跡を取得する。 ③「特定個人情報等の運用状況記録票」(別紙1)に削除の記録を記入する。 | 取扱区域 | ①目視チェックを行う。 ②操作証跡を取得する。 ③「特定個人情報等の運用状況記録票」(別紙1)に削除の記録を記入する。 |
(6) 個人番号管理システムの管理事務
区分 | 実施者 | 情報システム | 管理項目 | 場所 | 安全管理措置 |
個人番号管理システムの管理 | 委託先 (MHTS) | 個人番号管理システム | アクセスの制御 | 管理区域 | ID及びパスワードによりログインする仕組みとする。 |
責任者 | 取扱区域 | 担当者に異なるID及びパスワードを付与する。 | |||
委託先 (MHTS) | 個人番号管理システム | アクセスの監視 | 管理区域 | 操作証跡を作成し、管理する。 | |
委託先 (MHTS) | 個人番号管理システム | 外部からの不正アクセス等の防止 | 管理区域 | ①データベース全体を暗号化する。 ②バックアップされたデータも暗号化された状態で保管する。 ③外部のITシステムとの通信は行わない。 ④ウィルス対策ソフトを使用する。 |
(7) 特定個人情報等照会事務
ア 同意書の取得等
区分 | 実施者 | 対象者 | 実施方法 | 場所 | 安全管理措置 |
周知 | 責任者 | 組合員等 | 短期給付事業等として所得情報を照会取得する場合は、同意書の提出が必要なことについて、組合員等に周知する。 |
|
|
取得 | 担当者 | 組合員等 | 所得情報の照会に同意する組合員等から同意書を取得する。 | 取扱区域 | ①施錠できるキャビネットに保管する。 ②鍵は定めた場所に保管し、担当者のうち、責任者が指定する鍵の管理を行う。 |
イ 情報照会
区分 | 実施者 | 情報システム | 実施方法 | 場所 | 安全管理措置 |
入力 | 担当者 | 統合専用端末 | 統合専用端末で特定個人情報等のデータを情報照会する。 | 取扱区域 | ①システムを使用できるPCを限定する。 ②責任者が担当者毎に異なるID及びパスワードを付与する。 |
(8) 特定個人情報等提供事務
区分 | 実施者 | 情報システム | 実施方法 | 場所 | 安全管理措置 |
提供 | 担当者 | 統合専用端末 | 登録した組合員等の特定個人情報等のデ一タについて情報連携により提供する。 | 取扱区域 | 安全管理措置が図られた取扱区域内の統合専用端末で医療保険者等向け中間サーバに登録する。 |
(削除・廃棄方法)
第14条 個人番号を含む帳票等、対応する情報システム等、責任者、取扱部署、保存年限及び削除・廃棄方法は、次のとおりとする。
帳票等 | 情報システム等 | 責任者 | 取扱部署 | 保存年限 | 削除・廃棄方法 |
個人番号管理システムの保存データ | 個人番号管理システム | 総務課長 | 総務課 | 組合員等が資格を喪失するまでの間 | 個人番号管理システムによるデータ削除 |
同意書 | 紙媒体 | 総務課長 | 総務課 | 受付日の3年後の応当日の属する年度の年度末まで | 復元できないようにシュレッダーにより細断する又は安全管理措置が図られた委託先にて溶解する。 |
附則
この要綱は、平成29年4月1日から施行し、個人番号の取得日から適用する。
附則(平成30年6月14日要綱第1号)
(施行期日)
第1条 この改正は、平成30年7月2日から施行する。
(準備行為)
第2条 組合は、前条の施行期日前においても、この取扱要綱の実施のために必要な準備行為をすることができる。