○大分県市町村職員共済組合総務課が行う個人番号関係事務における特定個人情報に係る安全管理措置等に関する要綱
令和元年11月25日
要綱第1号
第1章 総則
(目的)
第1条 この要綱は、「大分県市町村職員共済組合個人番号及び特定個人情報の適正な取扱いに関する基本方針」、「大分県市町村職員共済組合個人番号及び特定個人情報の適正な取扱いに関する規程」(以下「規程」という。)及び「大分県市町村職員共済組合個人番号及び特定個人情報の適正な取扱いに関する規程細則」(以下「細則」という。)に基づき、大分県市町村職員共済組合(以下「組合」という。)が個人番号関係事務(細則別紙1の2(3)及び(4)で利用目的を定めるものに限る。)において取り扱う特定個人情報に関する安全管理措置等の適正な取扱いを確保するために遵守する事項を定めるものである。
(定義)
第2条 本要綱において、次に掲げる用語の定義は、それぞれ当該各号に定めるところによる。
(1) 職員
大分県市町村職員共済組合定款第31条第2項の規定により理事長が組合の職員として任命した者
(2) 特定個人情報保護責任者
規程第3条に規定する特定個人情報保護責任者
(3) 事務取扱担当者
細則第3条第4項に規定する特定個人情報等を取り扱う者
2 前項に定めるもののほか、この要綱における用語の定義は、規程の定めるところによる。
(個人番号を取り扱う事務の範囲)
第3条 組合が個人番号を取り扱う事務の範囲は、以下のとおりとする。
職員(扶養親族を含む。)に係る個人番号関係事務 | 給与所得・退職所得の源泉徴収票作成事務 |
扶養控除等(異動)申告書及び給与所得者の保険料控除申告書兼給与所得者の配偶者特別控除申告書の取扱い事務 | |
退職所得の受給に関する申告書の取扱い事務 | |
雇用保険法に基づく資格取得、資格喪失、給付請求等に係る事務 | |
地方公務員等共済組合法に基づく資格取得、資格喪失、給付請求等に係る事務 | |
健康保険法及び厚生年金保険法に基づく資格取得、資格喪失、給付請求等に係る事務 | |
職員の被扶養配偶者に係る個人番号関係事務 | 国民年金第3号被保険者に係る届出事務 |
職員以外の個人に係る個人番号関係事務 | 報酬・料金等の支払調書作成事務 |
2 前項に該当しない事務に個人番号を利用する必要が生じた場合、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知を行うことにより、変更後の利用目的の範囲内で個人番号を利用することができる。
(取り扱う特定個人情報等の範囲)
第4条 前条において使用する特定個人情報等の範囲は、次に掲げるとおりとする。
(1) 職員(職員であった者を含む。)並びに職員の扶養親族及び被扶養配偶者に係る個人番号並びに個人番号と共に管理される氏名、生年月日、性別、住所等
(2) 職員以外の個人に係る個人番号及び個人番号と共に管理される氏名、生年月日、性別、住所等
(3) その他、前条に定める事務に係る各種届出書等記載事項
(本人確認)
第5条 事務取扱担当者は、職員若しくは職員の被扶養配偶者又は職員以外の個人(以下「本人」という。)に個人番号の提供を求めるにあたっては、次に掲げるいずれかの書類の提示をもって個人番号の確認及び当該人の身元確認を行うものとする。
(1) 個人番号カード
(2) 通知カード及び身元確認書類
(3) 個人番号が記載された住民票記載事項証明書及び身元確認書類
2 前項の規定にかかわらず、事務取扱担当者が知覚すること等により、個人番号の提供を行う者が本人であることが明らかな場合は、身元確認書類の提示を受けることを要しない。
3 代理人から個人番号の提供を受ける場合については、次に掲げる書類の提示をもって、代理権の確認、当該代理人の身元確認及び本人の個人番号の確認を行うものとする。
(1) 委任状(任意代理人の場合)又は戸籍謄本(法定代理人の場合)等、代理権を確認することができる書類
(2) 代理人の個人番号カード又は身元確認書類
(3) 本人の個人番号カード、通知カード、個人番号が記載された住民票記載事項証明書のいずれか
(個人番号の保管)
第5条の2 組合は、本人から提供を受けた個人番号は、個人番号管理システムに入力し、電気通信回線を利用して株式会社みずほトラストシステムズのシステム内で保管する。
2 前項の規定にかかわらず、扶養等申告書、各種取得喪失届その他の所管法令で定められた保管義務のある書類は、施錠できるキャビネット又は書庫に保管する。
(特定個人情報の委託の取扱い)
第5条の3 組合は、特定個人情報等の取扱いを委託するにあたっては、組合自らが果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう、必要な契約の締結をするものとする。
第2章 安全管理措置等
第1節 組織的安全管理措置
(特定個人情報保護責任者)
第6条 特定個人情報保護責任者は、総務課長とする。
2 特定個人情報保護責任者は、次に掲げる業務を所管する。
(1) 本要綱及び委託先の選定基準の承認及び周知
(2) 特定個人情報等の安全管理に関する教育・研修の企画
(3) 特定個人情報等の利用申請の承認及び記録等の管理
(4) 管理区域及び取扱区域の設定
(5) 特定個人情報等の取扱状況の把握
(6) 委託先における特定個人情報等の取扱状況等の監督
(事務取扱担当者)
第7条 特定個人情報等の事務取扱担当者は、総務課の職員とする。
2 事務取扱担当者は、特定個人情報等の「取得」、「利用」、「保管」、「提供」、「開示、訂正、利用停止等」、「削除・廃棄」又は委託処理等、特定個人情報等を取扱う業務に従事する際、番号法及び個人情報保護法並びにその他の関連法令、特定個人情報の適正な取扱いに関するガイドライン(事業者編)、本要綱及びその他の規程並びに特定個人情報保護責任者の指示した事項に従い、特定個人情報等の保護に十分な注意を払ってその業務を行うものとする。
3 職員は、事務取扱担当者が特定個人情報等の漏えい等、番号法若しくは個人情報保護法又はその他の関連法令、特定個人情報の適正な取扱いに関するガイドライン(事業者編)、本要綱及びその他の規程に違反している事実又は兆候を把握した場合、速やかに特定個人情報保護責任者に報告するものとする。
(本要綱に基づく運用状況の記録)
第8条 事務取扱担当者は、本要綱に基づく運用状況を、次に掲げる項目につき「特定個人情報等の運用状況記録票」(別紙1)に基づき記録するものとする。
(1) 特定個人情報等の取得及び特定個人情報ファイルへの入力状況の記録
(2) 特定個人情報ファイルの利用・出力状況の記録
(3) 特定個人情報ファイルの削除・廃棄記録
2 事務取扱担当者は、前項の廃棄又は削除を第三者に委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認するものとする。
3 事務取扱担当者は、特定個人情報ファイルを、個人番号管理システムで取り扱う場合には、個人番号管理システムの利用状況(ログイン実績、アクセスログ等)をログにより記録するものとする。
(特定個人情報ファイルの取扱状況の確認手段)
第9条 事務取扱担当者は、特定個人情報ファイルの取扱状況を確認するための手段として、「特定個人情報ファイル管理台帳」(別紙2)に次に掲げる事項を記録するものとする。なお、特定個人情報管理台帳には、特定個人情報等は記載しないものとする。
(1) 特定個人情報ファイルの種類、名称
(2) 責任者、取扱部署
(3) 利用目的
(4) 削除・廃棄状況
(5) アクセス権を有する者
2 特定個人情報保護責任者は、前項に定める点検等の結果に基づき、安全管理措置の評価、見直し及び改善に取り組むものとする。
第2節 人的安全管理措置
(教育・研修)
第11条 特定個人情報保護責任者は、特定個人情報等が本要綱に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。
2 特定個人情報保護責任者は、事務取扱担当者に、特定個人情報等の適正な取扱いを周知徹底するとともに適切な教育を行うものとする。
3 事務取扱担当者は、本要綱を遵守し業務を適正に遂行するための研修を定期的に受講しなければならない。
第3節 物理的安全管理措置
(特定個人情報等を取り扱う区域の管理)
第12条 特定個人情報保護責任者は、特定個人情報等の情報漏えい等を防止するため、特定個人情報ファイルを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、当該区域に対して、次の各号に掲げる措置を講じる。
(1) 管理区域
入退室管理及び管理区域へ持ち込む機器及び電子媒体等の制限を行うものとする。
(2) 取扱区域
壁又は間仕切り等を設置し、事務取扱担当者以外の者を遮断するものとする。
(機器及び電子媒体等の盗難等の防止)
第13条 特定個人情報保護責任者及び事務取扱担当者は、特定個人情報等を取り扱う機器、電子媒体及び書類等を管理区域に設置又は保管し、盗難又は紛失等を防止する。
(書類等を持ち出す場合の漏えい等の防止)
第14条 事務取扱担当者は、特定個人情報等が記録された書類等を持ち出す場合は、封緘し、追跡可能な移送手段を利用する等、安全な方策を講ずるものとする。
(個人番号の保管の制限、削除、機器及び電子媒体等の廃棄)
第15条 事務取扱担当者は、規程第5条第3項に基づき特定個人情報等の廃棄又は削除する場合は、次の各号に掲げる措置を講じる。
(1) 特定個人情報等が記録された書類等を廃棄する場合は、シュレッダー等による記載内容が復元不能までの裁断、溶解等の復元不可能な手段を用いるものとする。
(2) 特定個人情報等が記録された機器及び電子媒体等を廃棄する場合は、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を用いるものとする。
(3) 特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合は、容易に復元できない手段を用いるものとする。
2 事務取扱担当者は、個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、第9条第4号の規定により削除又は廃棄した記録を保存するものとする。
第4節 技術的安全管理措置
(個人番号管理システムへのアクセス制御)
第16条 特定個人情報保護責任者は、個人番号管理システムを使用して個人番号関係事務を行うにあたって、ユーザーIDに付与するアクセス権により、個人番号管理システムを使用できる者を事務取扱担当者に限定する。
(アクセス者の識別と認証)
第17条 個人番号管理システムは、生体認証、ユーザーID、パスワードにより、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証するものとする。
(外部からの不正アクセス等の防止)
第18条 組合は、個人番号管理システムを外部からの不正アクセス又は不正ソフトウェアから保護するため、次に掲げる措置を講じる。
(1) 組合で使用する端末機と株式会社みずほトラストシステムズのサーバを結ぶ電気通信回線は、専用回線を使用し、不正アクセスを遮断する。
(2) 組合で使用する端末機においては、個人番号管理業務に必要なソフトウェア以外のソフトウェアを導入しない。
(情報漏えい等の防止)
第19条 組合で使用する端末機と株式会社みずほトラストシステムズのサーバ間の通信については、通信経路における情報漏えい等を防止するために、通信相手相互の認証を行う。
附則
本要綱は、令和元年11月1日から施行し、平成29年11月1日から適用する。