○大分県市町村職員共済組合が実施する長期給付事業における個人番号関係事務に係る特定個人情報等取扱要綱
平成29年5月1日
要綱第2号
(目的)
第1条 この要綱は、大分県市町村職員共済組合個人番号及び特定個人情報の適正な取扱いに関する規程(以下「規程」という。)及び大分県市町村職員共済組合個人番号及び特定個人情報の適正な取扱いに関する規程細則(以下「細則」という。)に基づき、大分県市町村職員共済組合(以下「組合」という。)が実施する長期給付事業(以下「長期給付事業」という。)において個人番号関係事務を行うに当たり、個人番号及び特定個人情報(以下「特定個人情報等」という。)を取り扱う事務の各段階を明確にするとともに、長期給付事業における特定個人情報等の適正な取扱いを確保するため必要な事項を定めるものとする。
(特定個人情報等の範囲)
第2条 長期給付事業における個人番号関係事務において取り扱う特定個人情報等の範囲は、個人番号及び個人番号と関連付けて管理される氏名、生年月日、性別、住所等とする。
(特定個人情報等の利用目的)
第3条 長期給付事業における個人番号関係事務において取り扱う特定個人情報等の利用目的は、年金受給権者(扶養親族を含む。)に係る次のものとする。
(1) 所得税法(昭和40年法律第33号。以下「所得税法」という。)に基づき年金の支払者が行う源泉徴収票等作成・届出事務
(2) 所得税法に基づき年金の支払者が行う公的年金等の受給者の扶養親族等申告書の取扱い事務
(3) 所得税法に基づき退職手当等の支払者が行う退職所得の受給に関する申告書の取扱い事務
(4) 地方税法(昭和25年法律第226号)に基づき年金の支払者が行う公的年金等支払報告書作成・届出事務
(5) 相続税法(昭和25年法律第73号)に基づき退職手当金等の支払者が行う退職手当金等受給者別支払調書作成・届出事務
(1) 個人番号取得事務 第3条に掲げる事務を行うために個人番号を取得する事務(長期給付事業における個人番号利用事務で取得するものを除く。)
(2) 個人番号入力事務 取得した個人番号を基に個人番号を管理する情報システムへ入力する事務
(3) 各種電子媒体出力事務 個人番号を含む公的年金等源泉徴収票、公的年金等の支払報告書、非居住者等に支払われる給与、報酬、年金及び賞金の支払調書及び退職手当金等受給者別支払調書データを電子媒体に出力し届出を行う事務
(4) 各種帳票作成事務 退職所得の受給に関する申告関係事務及び第3号の電子媒体に出力されなかった源泉徴収票等を手作成し届出を行う事務
(5) 特定個人情報管理・保管事務 特定個人情報等を含む紙媒体又は電子データを漏えい、滅失、き損がないよう安全に管理及び保管する事務
(6) 委託先管理事務 長期給付事業における特定個人情報等の管理及びその内容に特定個人情報等を含む申請を委託する委託先(再委託先を含む。)を管理する事務
(7) 廃棄・削除事務 第15条に規定する保存年限を経過したことにより、不要になった特定個人情報等を安全に廃棄又は削除する事務
(8) 情報システム管理事務 特定個人情報等を取り扱う情報システムの管理事務
(事務取扱関係者)
第5条 前条各号に掲げる事務の実施、当該事務に係る決裁など、業務上、特定個人情報等を知る機会がある者を事務取扱関係者とし、事務局長、年金課長及び年金課の職員(派遣会社から派遣される者及び臨時職員を含む。)に限定する。
(本人確認)
第8条 事務取扱担当者は、年金受給者又は年金請求者(以下「本人」という。)に個人番号の提供を求めるに当たっては、規程第9条に規定する本人確認の措置に基づき、次に掲げるいずれかの書類(以下「本人確認書類」という。)の提示をもって個人番号の確認及び当該人の身元確認(以下「本人確認」という。)を行うものとする。ただし、郵送等により個人番号の提供を受ける場合には、次に掲げる書類の写しにより本人確認を行うこともできるものとする。
(1) 個人番号カード
(2) 通知カード及び身元確認書類
(3) 個人番号が記載された住民票の写し及び身元確認書類
2 前項の規定にかかわらず、あらかじめ個人識別事項(氏名及び住所又は生年月日)を印字して送付された書類へ個人番号を記載して返送された場合、書類に印字した個人識別事項と添付されている個人番号カード、通知カード又は個人番号が記載された住民票の写し(以下「番号確認書類」という。)に記載された個人識別事項が同一であることを確認することにより、身元確認を行うものとする。
3 前2項の規定にかかわらず、地方公共団体情報システム機構(以下「J―LIS」という。)から個人番号を取得している者については、本人確認を行うことを要しない。
4 代理人から個人番号の提供を受ける場合については、次に掲げる書類の提示をもって、代理権の確認、当該代理人の身元確認及び本人の個人番号の確認を行うものとする。
(1) 委任状(任意代理人の場合)又は戸籍謄本(法定代理人の場合)等、代理権を確認することができる書類
(2) 代理人の個人番号カード又は身元確認書類
(3) 本人の番号確認書類
(運用状況の記録)
第9条 事務取扱担当者は、第4条各号の事務に係る特定個人情報等の運用状況を、次に掲げる項目につき特定個人情報等の運用状況記録票(別紙1)へ記録する。
(1) 特定個人情報等の収集及び特定個人情報ファイルへの入力状況の記録
(2) 特定個人情報ファイルの利用・出力状況の記録
(3) 書類・媒体等の持ち運びの記録
(4) 特定個人情報ファイルの廃棄・削除記録
2 事務取扱担当者は、前項の廃棄又は削除を第三者に委託する場合には、委託先が確実に廃棄又は削除したことについて、証明書等により確認するものとする。
3 事務取扱担当者は、特定個人情報ファイルを情報システムで取り扱う場合には、情報システムの利用状況(ログイン実績、アクセスログ等)を情報システムのログにより記録するものとする。
(取扱状況の確認及び記録)
第10条 事務取扱担当者は、第4条各号の事務に係る特定個人情報ファイルの取扱状況について、特定個人情報ファイル管理台帳(別紙2)に次に掲げる事項を記録する。
(1) 特定個人情報ファイルの種類、名称
(2) 責任者、取扱部署
(3) 利用目的
(4) 廃棄・削除状況
(5) アクセス権を有する者
2 特定個人情報保護責任者は、前項に定める点検等の結果に基づき、安全管理措置の評価、見直し及び改善に取り組むものとする。
(1) 管理区域 連合会委託先データセンター
(2) 取扱区域 第4条各号に掲げる事務を実施する共済組合事務室
(1) 管理区域 入退室管理及び管理区域へ持ち込む機器等の制限
(2) 取扱区域 壁や間仕切り等を設置する、又は事務取扱担当者以外の者の往来が少ない場所や後ろから覗き見される可能性が低い場所とするなど座席配置等の工夫
(機器及び電子媒体等の盗難等の防止)
第13条 特定個人情報保護責任者及び事務取扱担当者は、管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。
(1) 特定個人情報ファイルを取り扱う情報システム機器は、施錠できる部屋に設置する、又はセキュリティワイヤー等により固定する。
(2) 特定個人情報等を取り扱う電子媒体又は書類等を、施錠できるキャビネット、書庫等に保管する。
(1) 個人番号取得事務
区分 | 取扱部署 | 取扱方法 | 場所 | 安全管理措置 |
取得 | 年金課 | 【扶養親族等申告書が持参により提出された場合】 ①扶養親族の申告がある場合は、扶養親族の個人番号の記入を確認する。 ②個人番号に不備がある場合は、速やかに個人番号の記入・訂正を求める。 ③速やかに記入・訂正できない場合は、正確な個人番号を記入した書類の提出を求める。 【扶養親族等申告書が郵送等により提出された場合】 ①扶養親族の申告がある場合は、扶養親族の個人番号の記入を確認する。 ②個人番号に不備がある場合は、正確な個人番号を記入した書類の提出を求める。 【代理人から提出された場合】 第8条第4項に規定する確認を行う。 | 取扱区域 | ①受領した書類は施錠できるキャビネットに保管する。 ②鍵は定められた場所に保管し、事務取扱担当者のうち特定個人情報保護責任者が指定する者が鍵の管理を行う。 |
(2) 個人番号入力事務
区分 | 取扱部署 | 情報システム | 取扱方法 | 場所 | 安全管理措置 |
入力 | 年金課 | 個人番号管理システム | 扶養親族等申告書により取得した個人番号を次の方法により入力する。 ①システムで桁チェックを行う。 ②個人番号と個人情報が一致しているか、入力者と別の者が目視チェック及び読合せチェックを行う。 ③チェック後、本人確認書類はシュレッダーによる細断を行う。 ④一括アップロードを行う場合、作成した一括アップロードファイルはPCのハードディスク及びサーバ等に保存せず、媒体に保存する。 ⑤「特定個人情報等の運用状況記録票」(別紙1)に入力及び書類廃棄の記録を記入する。 | 取扱区域 | ①システムを使用できるPCを限定する。 ②特定個人情報保護責任者が事務取扱担当者毎に異なるID及びパスワードを付与する。 ③目視チェック及び読合せチェックを行う。 ④チェック後の本人確認書類は、シュレッダーによる細断を行う。 ⑤第9条に規定する記録を記入する。 |
(3) 各種帳票作成事務
区分 | 取扱部署 | 出力・提出方法・提出先 | 場所 | 安全管理措置 |
作成 | 年金課 | 以下の帳票について、提出先の連合会が指定する方法により手作成する。 ①年金事務機械処理標準システムに作成機能がない帳票 非居住者等に支払われる給与、報酬、年金及び賞金の支払調書 退職手当金等受給者別支払調書 租税条約に関する届出書 租税条約に関する源泉徴収税額の還付請求書 ②同システムに作成機能はあるが、出力されなかった場合に手作成する帳票 公的年金等の源泉徴収票 公的年金等支払報告書 ③同システムに作成機能はあるが、記載内容を訂正する場合又は新規作成をする場合に手作成する帳票 公的年金等の源泉徴収票 公的年金等支払報告書 退職所得の源泉徴収票 | 取扱区域 | ①執務スペースの施錠できるキャビネットに保管する。 ②鍵は定められた場所に保管し、事務取扱担当者のうち特定個人情報保護責任者が指定する者が鍵の管理を行う。 |
提出 | 年金課 | ①グループウェアのメール機能によりエクセルデータを提出する。 ②提出先は連合会年金部年金給付課 ③「特定個人情報等の運用状況記録票」(別紙1)の提出の記録を記入する。 | ①エクセルデータにはパスワードを付す。 ②第9条に規定する記録を行う。 |
(4) 特定個人情報管理・保管事務
区分 | 取扱部署 | 管理・保管媒体 | 管理・保管方法 | 場所 | 安全管理措置 |
管理 | 年金課 | 紙媒体 | 「特定個人情報ファイル管理台帳」(別紙2)に取扱いの記録を記入する。 | 取扱区域 | 第10条に規定する記録を行う。 |
保管 | 年金課 | 紙媒体 | 施錠できるキャビネットに保管する。 | ①施錠できるキャビネットに保管する。 ②鍵は定められた場所に保管し、事務取扱担当者のうち特定個人情報保護責任者が指定する者が鍵の管理を行う。 | |
電子媒体 | 【個人番号を含む書類を作成した場合】 パスワードロック、データの暗号化を行い、電子媒体に保存し、保管する。 | ①電子媒体は施錠できるキャビネットに保管する。 ②鍵は定められた場所に保管し、事務取扱担当者のうち特定個人情報保護責任者が指定する者が鍵の管理を行う。 | |||
連合会委託先 | 電子データ | 【個人番号管理システムに入力した場合】 安全管理措置が図られた連合会委託先のデータセンターで管理する。 | 管理区域 | 組合のサーバには保存しない。 |
(5) 委託先管理事務
区分 | 取扱部署等 | 取扱方法 | 安全管理措置 |
選定 | 特定個人情報保護責任者 | 「委託先選定評価シート」(別紙3)を用いて、委託先選定評価を実施し、当組合と同等の安全管理措置が図られている事業者のみに委託する。 | 実地調査、ヒアリング又は報告書により、委託先の状況を確認し、「委託先選定評価シート」(別紙3)に記入する。 |
契約 | 特定個人情報保護責任者 | 委託契約の内容に右欄の事項を含む。 | 【委託契約の内容に含む事項】 ①秘密保持義務 ②個人情報の安全管理に関する事項 ア 目的外利用の禁止 イ 契約範囲外の加工・複写・複製の禁止 ウ 委託契約終了後の個人情報の返還・廃棄・削除に関する事項 ③事務取扱担当者の教育・監督に関する事項 ④再委託に関する事項(原則、再委託は禁止。やむを得ず再委託する場合は、委託と同等の条件を満たすこと) ⑤契約内容の履行状況を確認するための委託者への報告又は委託者による監査に関する事項 ⑥契約内容の不履行等が発生した場合の措置に関する事項 ⑦特定個人情報等の漏えい、滅失又はき損による事故等(以下「情報漏えい事案等」という。)が発生した場合の報告に関する事項 |
再評価 | 特定個人情報保護責任者 | 年1回定期的に委託先を調査し、再評価を行う。 | 実地調査、ヒアリング又は報告書により、委託先の状況を確認し、「委託先選定評価シート」(別紙3)の見直しを行う。 |
(6) 廃棄・削除事務
区分 | 取扱部署 | 実施時期 | 取扱方法 | 場所 | 安全管理措置 |
廃棄 | 年金課 | 保存期間経過後 | 【紙媒体の場合】 ①シュレッダーによる細断又は安全管理措置が図られた委託先にて溶解する。 ②「特定個人情報等の運用状況記録票」(別紙1)に廃棄の記録を記入する。 | 取扱区域 | ①シュレッダーによる細断を行う。 ②第9条に規定する記録を行う。 |
【電子媒体の場合】 ①物理的な破壊を行う。 ②「特定個人情報等の運用状況記録票」(別紙1)に廃棄の記録を記入する。 | 取扱区域 | ①物理的な破壊を行う。 ②第9条に規定する記録を行う。 | |||
削除 | 年金課 | 保存期間経過後 | 【電子データの削除の場合】 ①データを削除した者と別の者が目視チェックを行う。 ②データのアクセス履歴を取得する。 ③「特定個人情報等の運用状況記録票」(別紙1)に削除の記録を記入する。 | 取扱区域 | ①目視チェックを行う。 ②アクセス履歴を取得する。 ③第9条に規定する記録を行う。 |
(7) 情報システム管理事務
区分 | 取扱部署等 | 情報システム | 管理項目 | 場所 | 安全管理措置 |
システム管理 | 特定個人情報保護責任者 | 個人番号管理システム | アクセスの制御 | 取扱区域 | ①使用できるPCを限定する。 ②事務取扱担当者ごとに異なるID及びパスワードを付与する。 |
連合会委託先 | アクセスの制御 | 管理区域 | 生体認証、ID及びパスワードによりログインする仕組みとする。 | ||
アクセスの監視 | 操作証跡を作成し、管理する。 | ||||
外部からの不正アクセス等の防止 | ①データベース全体を暗号化する。 ②バックアップデータも暗号化された状態で保管する。 ③電気通信回線は、専用回線を使用し、外部のITシステムとの通信は行わない。 ④ウィルス対策ソフトを使用する。 ⑤必要なソフトウェア以外のソフトウェアを導入しない。 |
(廃棄・削除方法)
第15条 個人番号を含む帳票等、対応する情報システム等、取扱部署、保存年限及び廃棄・削除方法は次のとおりとする。
帳票等 | 情報システム等 | 取扱部署 | 保存年限 | 廃棄・削除方法 |
個人番号管理システムの保存データ | 個人番号管理システム | 年金課 | 提出期限の属する年の翌年1月10日の翌日から7年間 | 個人番号管理システムによるデータ削除 |
公的年金等の受給者の扶養親族等申告書 個人番号申告書 | 紙媒体 | 年金課 | 提出期限の属する年の翌年1月10日の翌日から7年間 | シュレッダー・溶解 |
公的年金等の源泉徴収票(個人番号の記載のあるもの) | 紙媒体・電子データ | 年金課 | 提出期限の属する年の翌年1月10日の翌日から7年間 | シュレッダー・溶解・物理的な破壊 |
退職所得の源泉徴収票(個人番号の記載のあるもの) | ||||
非居住者等に支払われる給与、報酬、年金及び賞金の支払調書(個人番号の記載のあるもの) | ||||
退職手当金等受給者別支払調書(個人番号の記載のあるもの) | 紙媒体・電子データ | 年金課 | 法定申告期限から7年間 | シュレッダー・溶解・物理的な破壊 |
租税条約に関する届出書(個人番号の記載のあるもの) 租税条約に関する源泉徴収税額の還付請求書 | 紙媒体・電子データ | 年金課 | 提出から7年間 | シュレッダー・溶解・物理的な破壊 |
公的年金等支払報告書 (個人番号の記載のあるもの) | 紙媒体・電子データ | 年金課 | 法定申告期限から5年間 | シュレッダー・溶解・物理的な破壊 |
(事態発生時の対応)
第16条 特定個人情報等の漏洩、滅失、き損その他の特定個人情報等の安全の確保に係る事態の発生又はその兆候を察知した者は、規程第18条に基づき対応するものとする。
附則
この要綱は、平成29年5月1日から施行し、平成27年10月5日から適用する。
附則(令和4年7月13日要綱第4号)
この要綱は、令和4年8月1日から施行し、令和4年4月1日から適用する。