○新潟県国民健康保険団体連合会特定個人情報等取扱規則
平成29年3月27日
制定
第1章 総則
(目的)
第1条 本取扱規則は、新潟県国民健康保険団体連合会(以下「連合会」という。)が、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号。以下「番号法」という。)、「個人情報の保護に関する法律」(平成15年法律第57号。以下「個人情報保護法」という。)、個人情報保護委員会が公表する「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び「特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)」に基づき、連合会における個人番号及び特定個人情報の適正な取扱いの確保のために必要な事項を定めるものである。
(定義)
第2条 本取扱規則で用いる用語の定義は、次のとおりとする。なお、本取扱規則における用語は、他に特段の定めのない限り、番号法、個人情報保護法、個人情報保護委員会が公表する「特定個人情報の適正な取扱いに関するガイドライン」その他の関係規律等の定めに従う。
(1) 「個人情報」とは、生存する個人に関する情報であって、次のいずれかに該当するものをいう。
ア 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
イ 個人情報保護法第2条第2項に規定する個人識別符号が含まれるもの
(2) 「個人番号」とは、番号法第7条第1項又は第2項の規定により、住民票コード(住民基本台帳法(昭和42年法律第81号)第7条第13号に規定する住民票コードをいう。)を変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるもの(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。)をいう。
(3) 「特定個人情報」とは、個人番号をその内容に含む個人情報をいう。
(4) 「特定個人情報等」とは、個人番号及び特定個人情報をいう。
(5) 「個人情報データベース等」とは、個人情報を含む情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの又は特定の個人情報を容易に検索することができるように体系的に構成したものとして個人情報の保護に関する法律施行令(平成15年政令第507号)で定めるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして同施行令で定めるものを除く。)をいう。
(6) 「個人情報ファイル」とは、個人情報データベース等であって行政機関及び独立行政法人等以外の者が保有するものをいう。
(7) 「特定個人情報ファイル」とは、個人番号をその内容に含む個人情報ファイルをいう。
(8) 「個人番号利用事務」とは、行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第9条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。
(9) 「個人番号関係事務」とは、番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(10) 「従業者」とは、連合会の組織内にあって直接間接に連合会の指揮監督を受けて連合会の業務に従事している者(職員のほか、役員、派遣社員等を含む。)をいう。
(11) 「事務取扱担当者」とは、特定個人情報等を取り扱う従業者をいう。
2 前項の規定にかかわらず、連合会が市町村、後期高齢者医療広域連合又は県から委託を受けて特定個人情報等を取り扱う場合は、連合会は、委託元の定める個人情報保護条例の用語の定義に従うべき場合があることに留意するものとする。
(特定個人情報等の保護)
第3条 連合会は、特定個人情報等の取扱いに当たり、その責任を十分に認識し、特定個人情報等の保護に万全を期すものとする。
2 連合会は、次に掲げる関係法令等(以下、これらを総称して「取扱規程等」という。)を遵守するため、従業者及び委託先(再委託先以降を含む。)に対し、必要かつ適切な教育及び監督を行わなければならない。
(1) 本取扱規則
(2) 番号法
(3) 個人情報保護法
(4) 必要に応じ委託元である市町村、後期高齢者医療広域連合及び県の定める個人情報保護条例
(5) 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び必要に応じ「特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)」
(6) 必要に応じ委託元である市町村、国民健康保険組合、後期高齢者医療広域連合及び県の定めるガイドライン、情報セキュリティポリシーその他の委託元が指示する規律等
(個人番号を取り扱う事務の範囲)
第4条 連合会が個人番号を取り扱う事務の範囲及び特定個人情報等の利用目的は、以下の通りとする。
(1) 国民健康保険法に係る個人番号利用事務 市町村又は国民健康保険組合より委託を受けた事務であって、第三者求償関係事務、療養費支給申請関係事務、資格情報(世帯・個人)集約事務その他の事務
(2) 高齢者の医療の確保に関する法律に係る個人番号利用事務 後期高齢者医療広域連合より委託を受けた事務であって、第三者求償関係事務、療養費支給申請関係事務、給付関係現金支給処理関係事務その他の事務
(3) 介護保険法に係る個人番号利用事務 市町村より委託を受けた事務であって、高額医療合算介護サービス費の支給に関係する事務その他の事務
(4) 医療保険者等向け中間サーバー等に係る個人番号利用事務 市町村、国民健康保険組合及び後期高齢者医療広域連合より委託を受けた事務であって、医療保険者等向け中間サーバー等における個人番号利用事務その他の事務
(5) 個人番号関係事務 番号法第9条第3項に基づき連合会が処理する他人の個人番号を利用した法定調書作成事務、雇用保険届出事務、健康保険届出事務、年金届出事務、財産形成非課税住宅(年金)貯蓄申告書等届出事務その他の事務
2 連合会は、前項に規定する利用目的を、個人情報保護法及び必要に応じて委託元の個人情報保護条例に基づき、通知又は公表等しなければならない。番号法、個人情報保護法及び個人情報保護条例上、適法に利用目的を変更した場合も、同様とする。
事務 | 本人 | 特定個人情報等の内容 |
国民健康保険法に係る個人番号利用事務 | 被保険者、擬制世帯主並びに過去に被保険者及び擬制世帯主であった者 | 個人番号、宛名番号、被保険者番号、被保険者ID、資格情報その他の連合会が国民健康保険法に係る個人番号利用事務を処理するために必要な情報 |
高齢者の医療の確保に関する法律に係る個人番号利用事務 | 被保険者、世帯構成員並びに過去に被保険者であった者及びその者と同一の世帯に属していた者 | 個人番号、被保険者番号、氏名、生年月日、資格情報その他の連合会が高齢者の医療の確保に関する法律に係る個人番号利用事務を処理するために必要な情報 |
介護保険法に係る個人番号利用事務 | 受給権者及び過去に受給権者であった者 | 個人番号、被保険者番号、氏名、生年月日、資格情報その他の連合会が介護保険法に係る個人番号利用事務を処理するために必要な情報 |
医療保険者等向け中間サーバー等に係る個人番号利用事務 | 被保険者、擬制世帯主、世帯構成員並びに過去に被保険者及びその者と同一の世帯に属していた者並びに擬制世帯主であった者 | 個人番号、被保険者番号等(被保険者記号、被保険者番号、被保険者枝番)、氏名、生年月日、資格情報その他の医療保険者等向け中間サーバー等に係る個人番号利用事務を処理するために必要な情報 |
個人番号関係事務 | 職員、その扶養親族並びに過去に職員及びその扶養親族であった者その他の右欄の対象者 | 法定調書記載項目並びに財産形成非課税住宅(年金)貯蓄、雇用保険、健康保険及び年金に関する届出事務の記載項目その他の連合会が個人番号関係事務を処理するために必要な情報 |
(連合会の組織体制)
第6条 連合会は、特定個人情報等の取扱いに当たり、次の通り組織体制を整備するものとする。
(1) 事務局長を総括責任者とする。総括責任者は、連合会における特定個人情報等のあらゆる取扱いに関する最終決定権限及び責任を有する。事務局長は、特定個人情報等に限らず、情報セキュリティ全般に係る最高情報セキュリティ責任者(CISO)を兼務する。最高情報セキュリティ責任者は、連合会における全てのネットワーク、情報システム等の情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。
(2) 第4条第1項各号に規定する事務を所管する課室長を保護責任者(事務取扱責任者)とする。保護責任者は、その所管する事務(委託先における取扱いを含む。)において特定個人情報等が適法かつ妥当に取り扱われるよう、業務手順の作成、事務取扱担当者の指名、事務取扱担当者への指示及び監督その他の措置を行う権限及び責任を有する。連合会の各課室長は、特定個人情報等に限らず、情報セキュリティ全般に係る情報セキュリティ責任者を兼務する。
(3) 総括責任者は、監査責任者を指名する。監査責任者は、連合会において特定個人情報等が適法かつ妥当に取り扱われるよう監査し、特定個人情報等の取扱いに係る見直しを提言する権限及び責任を有する。
(4) 保護責任者(事務取扱責任者)は、その所管する事務において特定個人情報等を取り扱う者を事務取扱担当者として指名し、事務取扱担当者ごとにその役割、取り扱うことのできる特定個人情報等の範囲及び処理内容等を明確化しなければならない。
(5) 最高情報セキュリティ責任者は、情報セキュリティ所管課室長等のうちから、特定個人情報等に限らず、情報セキュリティ全般に係る総括情報セキュリティ責任者を指名する。総括情報セキュリティ責任者は、最高情報セキュリティ責任者を補佐し、連合会の全てのネットワークにおける情報セキュリティ対策に関する権限及び責任を有する。総括情報セキュリティ責任者は、連合会の情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合に、最高情報セキュリティ責任者の指示に従い、最高情報セキュリティ責任者が不在の場合には自らの判断に基づき、必要かつ十分な措置を行う権限及び責任を有する。
(6) 特定個人情報等を複数の部署で取り扱う場合は、総括責任者が各部署の任務分担及び責任の明確化を行うものとする。
(特定個人情報等の取扱者の限定)
第7条 事務取扱担当者並びに総括責任者、保護責任者及び監査責任者のみが、第5条に定める特定個人情報等を取り扱うことができるものとする。
2 連合会は、前項のために、アクセス制御その他の必要な措置を講じるものとする。
(業務手順)
第8条 連合会は、事務取扱担当者並びに総括責任者、保護責任者及び監査責任者が特定個人情報等を取り扱う際の業務手順を策定しなければならない。
2 事務取扱担当者並びに総括責任者、保護責任者及び監査責任者は、前項に規定する業務手順に従って、特定個人情報等を取り扱わなければならない。
(従業者の義務)
第9条 従業者又は従業者であった者は、業務上知り得た特定個人情報等の内容をみだりに他人に知らせ、又は不当な目的に使用してはならない。従業者は、特定個人情報等の保護の重要性を十分に認識し、特定個人情報等の取扱いに当たり、取扱規則等並びに連合会が講ずる措置及び連合会の指示に従わなければならない。
2 従業者は、連合会が番号法に基づき従業者及びその扶養親族等の特定個人情報等を取り扱うために、個人番号の提供その他の必要かつ適切な協力を行わなければならない。従業者は、従業者又はその扶養親族等の個人番号が変更された場合には、変更後の個人番号を速やかに連合会に届け出るものとする。
(有事の報告連絡体制)
第10条 連合会は、特定個人情報等の取扱いに際し、取扱規則等への違反又は特定個人情報等の漏えい、滅失、毀損若しくは紛失に迅速に対応するため、次の通り、報告連絡体制を整備し、従業者に周知するものとする。
(1) 連合会又は連合会が委託する委託先(再委託先以降を含む。)等において取扱規則等に違反している事実若しくはその兆候又は特定個人情報等の漏えい、滅失、毀損若しくは紛失の事実若しくはその兆候を把握した者は、速やかに保護責任者に報告するものとする。保護責任者への報告が困難な場合には、保護責任者以外の役職者に報告するものとする。保護責任者又は監査責任者がこれらの事実又は兆候を把握した場合は、次号を準用する。
(3) 前号に基づき報告を受けた総括責任者は、調査方針及び今後の対応策が適切なものとなるよう指導その他の必要な措置を講じた上で、適切なものと認めた場合には調査方針及び今後の対応策について了承するものとする。総括責任者は、実際に行われた調査及び再発等予防策が適切なものであることを確認するものとする。
2 総括責任者は、特定個人情報等の取扱いに際し、取扱規則等への違反又は特定個人情報等の漏えい、滅失、毀損若しくは紛失に迅速に対応するため、これらの事実又は兆候があった際の対応手順について、次の各号に掲げる内容を含む手順を、あらかじめ作成するものとする。
(1) 事実関係の調査及び原因の究明
(2) 影響を受ける可能性のある本人への連絡
(3) 番号法に基づく個人情報保護委員会への報告義務の有無の確認
(4) 個人情報保護委員会及び厚生労働大臣への報告
(5) 委託元である市町村、国民健康保険組合、後期高齢者医療広域連合又は県への報告
(6) 再発等予防策の検討及び決定
(7) 事実関係及び再発等予防策等の公表
(例外処理)
第11条 従業者は、特定個人情報等の取扱いに際し、本取扱規則を遵守することが困難な状況で、事務の適正な遂行を継続するために、番号法並びに個人情報保護法及び個人情報保護条例を遵守した上で、本取扱規則とは異なる方法にて特定個人情報等を取り扱うことについて合理的な理由があると客観的に認められる場合には、総括責任者又はその代理の者の許可を得て、本取扱規則とは異なる方法にて特定個人情報等を取り扱うことができる。
第2章 特定個人情報等の取扱いに係る遵守事項
第1節 取得、利用及び提供
(取得)
第12条 特定個人情報等の内容に触れてこれを取得する者は、第6条第4号に基づき事務ごとに指名された事務取扱担当者でなければならない。
3 連合会は、特定個人情報等を取得する際に、特定個人情報等を漏えい、滅失、毀損又は紛失等することがないよう、適切な措置を講じなければならない。
4 連合会は、特定個人情報等を不正の手段により取得してはならない。保護責任者は、特定個人情報等が番号法、個人情報保護法及び必要に応じ委託元の個人情報保護条例に反して取得されることがないよう、第8条第1項に基づき業務手順を策定するとともに、事務取扱担当者が当該業務手順に従って特定個人情報等を取得するように、指示し監督しなければならない。
5 連合会は、連合会が番号法第16条に規定する本人確認義務を履行しなければならない場合を特定し、かかる場合には、事務取扱担当者に、本人確認を行うよう指示しなければならない。
6 連合会は、個人番号が取得できなかった場合及び変更になった場合の対応について、あらかじめ検討し、事務取扱担当者に必要な指示を行うものとする。
(利用)
第13条 特定個人情報等の内容に触れてこれを利用する者は、第6条第4号に基づき事務ごとに指名された事務取扱担当者でなければならない。
3 事務取扱担当者は、長時間にわたり不必要に特定個人情報等が表示されることがないよう、スクリーンセーバの使用その他の必要な措置を講じるものとする。
4 事務取扱担当者は、第4条第1項に規定する利用目的の達成に必要な場合に限り、特定個人情報等の複写、複製又はこれらに類する行為を行うことができる。
5 連合会は、原則として、特定個人情報等が第4条第1項に規定する利用目的の範囲を超えて利用されないよう、アクセス制御その他の必要な措置を講じるものとする。
6 保護責任者は、特定個人情報等が番号法、個人情報保護法及び必要に応じ委託元の個人情報保護条例に反して利用されることがないよう、第8条第1項に基づき業務手順を策定するとともに、事務取扱担当者が当該業務手順に従って特定個人情報等を利用するように、指示し監督しなければならない。
(提供)
第14条 特定個人情報等の内容に触れてこれを提供する者は、第6条第4号に基づき事務ごとに指名された事務取扱担当者でなければならない。
2 特定個人情報等を提供する事務取扱担当者は、第8条第1項に規定する業務手順に従って適法に、適切な相手方に適切な内容の特定個人情報等を提供するよう、事前に確認しなければならない。
3 連合会は、特定個人情報等が番号法第19条に反して提供されることがないよう、システム上の措置その他の必要な措置を講じるものとする。保護責任者は、特定個人情報等が番号法第19条に反して提供されることがないよう、第8条第1項に基づき業務手順(提供に際し、必要に応じてパスワードの設定を行うこと及び保護責任者の許可を得ることを含む。)を策定するとともに、事務取扱担当者が当該業務手順に従って特定個人情報等を提供するように、指示し監督しなければならない。
4 前項の規定にかかわらず、連合会が委託を受けて取り扱う特定個人情報等については、事務取扱担当者をはじめとする連合会の従業者は、委託元から指示された特別の場合を除き、委託元及び委託先以外の第三者へ提供してはならない。事務取扱担当者をはじめとする連合会の従業者が委託先に特定個人情報等を提供する際は、必要最小限の特定個人情報等にとどめ、あらかじめ決められた安全な受け渡し方法により提供しなければならない。
5 連合会は、特定個人情報等を提供する際に、特定個人情報等を漏えい、滅失、毀損又は紛失等することがないよう、適切な措置を講じなければならない。
第2節 受託
(受託者としての義務)
第15条 連合会は、市町村、国民健康保険組合、後期高齢者医療広域連合又は県より委託を受けて特定個人情報等を取り扱うに際し、その責任を十分に認識し、特定個人情報等の保護に万全を期すものとする。
2 連合会は、委託を受けて特定個人情報等を取り扱うに際し、取扱規則等並びに委託元との契約等及び委託元の指示等に従わなければならない。連合会は、委託を受けて特定個人情報等を取り扱うに際しては、委託元が公表する、特定個人情報保護評価書に記載された連合会に係る事項を遵守しなければならない。
(受託者としての委託元への協力)
第16条 連合会は、連合会が取扱規則等に基づき適正に特定個人情報等を取り扱う能力がある委託先であることを、委託元があらかじめ確認するために、本取扱規則及び別紙1等を委託元に対し委託契約等の締結前に提出するものとする。連合会は、委託元から各種資料の提出を求められた場合は、これに協力するものとする。
2 連合会は、委託元との間で、連合会の責任者、作業者等の履行体制(特定個人情報等を取り扱う従業者の限定を含む。)、委託内容及び作業場所の特定、秘密保持義務、特定個人情報等の不正目的外利用、不正提供、不正複写及び事業所からの持出し等の禁止、漏えい、滅失、毀損、紛失及び改ざん等の防止策(特定個人情報等の配送、授受、保管及び管理方法を含む。)、従業者に対する監督及び教育、再委託の条件、第39条第3項に基づく記録の提供、第4項に基づく定期及び随時報告並びに実地調査、委託契約等終了時の特定個人情報等の返却又は廃棄、漏えい事案等が発生した場合の委託元等に対する速やかな報告及び連合会の責任その他の委託に伴う特定個人情報等の取扱いに関する規定が盛り込まれた契約等を締結するものとする。
4 保護責任者は、連合会が適切に特定個人情報等を取り扱っていることを報告するため、別紙2等により、委託元に対し、特定個人情報等の取扱い状況(委託先におけるものを含む。)について適宜報告し、一年に一度、特定個人情報等の取扱い状況の総括報告を行うものとする。連合会は、番号法に基づき委託元が個人情報保護委員会に行う報告に協力するほか、委託元よりこれら以外の報告、資料の提出、又は連合会において特定個人情報等を取り扱っている場所への実地調査を求められた場合は、合理的と認められる範囲内で最大限の対応を随時、委託元に対し行うものとする。当該適宜報告の際に、保護責任者は委託元に対し、第36条第4項に基づくアクセス権限の管理状況、第39条第3項に基づく記録その他を、当該一年に一度の報告の際に第39条第1項に規定する特定個人情報ファイル管理台帳を、合わせて報告するものとする。
5 保護責任者は一年に一度及び必要に応じて随時、総括責任者に対し、前項の状況について報告するものとする。
(再委託)
第17条 連合会は、委託を受けた事務について国民健康保険中央会その他の再委託先(連合会が委託する相手方をいう。この条において同じ。)に特定個人情報等を取り扱わせるに先立ち、委託元に対し再委託申請を行い、委託元の許諾を得なければならない。
2 連合会は、前項に規定する許諾を得る際に、原則として、別紙3等により再委託先の商号又は名称、住所、再委託に関する履行体制図(連合会による監督体制を含む。)、再委託する理由、再委託する業務の範囲、取り扱う特定個人情報等の範囲、再委託先に関する業務の履行能力、再委託先への実地調査に係る要件、再委託予定金額等及び再委託先との契約書のうち委託元の許諾のために必要な範囲の内容等必要な情報を記載した資料、再委託先の特定個人情報取扱規程等その他の必要な資料を、委託元に対し提出するものとする。
3 連合会は、再委託先に特定個人情報等を取り扱わせるに際し、次節の規定を遵守するものとする。
4 連合会は、再委託先に特定個人情報等を取り扱わせるに際し、委託元が再委託先の間接的な監督を行えるよう、第20条第1項に規定する委託契約等を締結する際に、委託元が再委託先に報告を求め、資料を提出させ、又は再委託先において特定個人情報等を取り扱っている場所に実地調査を行うことができること等を条件とするものとする。再委託先が委託を受けた事務についてさらに特定個人情報等の取扱いを伴う再々委託(連合会が委託する相手方がさらに委託することをいう。それ以降の委託を含む。)を行う場合には、第20条第1項に規定する委託契約等に、あらかじめ連合会の委託元の許諾を得た上で、連合会及び連合会の委託元が再委託先に報告を求め、資料を提出させ、又は再々委託先において特定個人情報等を取り扱っている場所に実地調査を行うことができること等を条件に含めるものとする。
5 連合会は、次節に基づき委託先を厳格に監督することを通して、間接的に再委託先及びそれ以降の委託先の監督を行うものとする。
第3節 委託
(委託先への監督)
第18条 連合会は、特定個人情報等を取り扱わせる委託先を必要最小限に限定するものとする。連合会は、委託先に特定個人情報等を取り扱わせるに当たり、連合会にて特定個人情報等を取り扱うのと同等の責任を有することに十分留意し、特定個人情報等の適切な取扱いが確保されるよう、委託先に対し十分な監督を行わなければならない。
2 連合会は、委託先が特定個人情報等を適切に取り扱えるよう、委託先が遵守しなければならない事項その他の必要な情報を委託先に対し提供しなければならない。
(委託先の選定)
第19条 保護責任者は、委託先においてどのような特定個人情報等をどのように取り扱うかを明確にしなければならない。
2 連合会は、取扱規則等に基づき適正に特定個人情報等を取り扱う能力がある委託先であることをあらかじめ確認した上でなければ、特定個人情報等を委託先に取り扱わせてはならない。
3 保護責任者は、委託先において特定個人情報等を取り扱う従業者の人数及び氏名、委託先の設備、技術水準、従業者に対する監督及び教育の状況並びに委託先の経営環境等を確認するために、委託先等に、委託先における特定個人情報等取扱規程、特定個人情報保護評価書その他の資料を提出させる等、連合会にて委託先の適否について検討し確認するものとする。
(適切な委託契約等)
第20条 連合会は、委託先が適切に特定個人情報等を取り扱うことを確保するために、委託先と特定個人情報等の取扱いについて取り決めた委託契約等を締結するものとする。
2 連合会は、前項の委託契約等締結のための準備として、委託先の履行体制(特定個人情報等を取り扱う従業者の限定及び明確化を含む。)、委託内容及び作業場所の特定、秘密保持義務、特定個人情報等の不正目的外利用、不正提供、不正複写及び事業所からの持出し等の禁止、漏えい、滅失、毀損、紛失及び改ざん等の防止策(特定個人情報等の配送、授受、保管及び管理方法を含む。)、再委託の条件、漏えい事案等が発生した場合の連合会への速やかな報告及び委託先の責任、委託契約等終了後の特定個人情報等の返却又は廃棄、従業者に対する監督及び教育、次条第3項に規定するアクセス権限管理表、次条第4項に規定する特定個人情報ファイル管理台帳及び次条第5項に規定する記録その他の特定個人情報等の取扱い状況の報告、契約内容の遵守状況についての報告徴収並びに委託先に対する実地調査等に関する規定が盛り込まれた契約書等案をあらかじめ作成するものとする。
(委託先のアクセス制御等)
第21条 連合会は、委託先が特定個人情報等へアクセスする前に、主体認証を行うことを委託先に義務付け、委託先においてアクセス権を付与すべき者及びアクセス権を有する者に付与する権限を最小化するものとする。
2 連合会は、委託先に特定個人情報等のバックアップを行うことのできる権限を付与する際は、必要最小限に限るものとする。
3 連合会は、委託先に対し、アクセス権限の管理を行わせ、管理表を作成させるものとする。
4 連合会は、委託先に対し、別紙四の様式に基づき特定個人情報ファイル管理台帳を作成させるものとする。特定個人情報ファイル管理台帳を最新の状態とするために、連合会は、委託先に、少なくとも半年に一度、特定個人情報ファイル管理台帳の更新を行わせるものとする。
5 連合会は、委託先に対し、委託先における特定個人情報等へのアクセス状況について、アクセスした従業者等、時刻及び操作内容を記録させ、当該記録を一定の期間保存させるものとする。連合会は、当該記録が滅失、毀損、改ざん、紛失、窃取又は不正な削除等をされないよう、委託先に必要な措置を講じさせるものとする。
6 連合会は、委託先に対し、特定個人情報等を取り扱う事務を実施する区域、特定個人情報等を記録した書類、電子媒体及び機器等を保管する区域並びに特定個人情報ファイルを取り扱う情報システムを管理する区域を明確にし、適切な物理的安全管理措置を講じるよう、指示するものとする。
2 保護責任者は前項に規定する報告を受け、特定個人情報等の取扱いについて疑問又は懸念等が生じた場合は、委託先にさらなる報告を求め、委託先に資料を提出させ、又は委託先において特定個人情報等を取り扱っている場所に実地調査を行うものとする。
3 保護責任者は一年に一度及び必要に応じて随時、総括責任者及び監査責任者に対し、委託先における特定個人情報等の取扱い状況について報告するものとする。
4 監査責任者は、委託先からの報告(第1項に規定する特定個人情報ファイル管理台帳、記録及び管理表を含む。)を一年に一度定期に分析するとともに、必要に応じ一年に一度よりも短期の期間内に随時分析するものとする。
(再委託以降の監督)
第24条 連合会は、再委託を許諾する際には、第19条を準用する。
2 連合会は、再委託を許諾する際は、委託先と再委託先の委託契約等の内容を確認し、再委託先が適切に特定個人情報等を取り扱うことが確保されていることをあらかじめ確認するものとする。
第4節 保管及び廃棄
(管理)
第25条 特定個人情報等について保管その他の管理をする者は、第6条第4号に基づき事務ごとに指名された事務取扱担当者又は保護責任者でなければならない。
2 連合会は、特定個人情報等について次章に規定する安全管理措置を施し、事務取扱担当者並びに保護責任者、監査責任者及び総括責任者でなければアクセスできないよう、管理しなければならない。
3 連合会は、特定個人情報等について次章に規定する安全管理措置を施し、特定個人情報等の漏えい、滅失、毀損、紛失又は盗難等が起こらないよう、管理しなければならない。
4 事務取扱担当者は、特定個人情報等をプリンター、FAX、共用スペースその他の場所に必要以上に置き、又は共有フォルダその他の場所に不正に置いてはならない。
(正確性の確保)
第26条 連合会は、取り扱う特定個人情報等の正確性を確保するよう努力し、特定個人情報等に不正確の疑いがある場合には、委託元等と協力の上、速やかに訂正等の措置を検討するものとする。
(削除、廃棄又は返却)
第27条 保護責任者は、特定個人情報等が記録された電子媒体及び書類等について、文書管理に関する規則又は委託契約等に基づき、保存期間を特定するものとする。
2 保護責任者は、特定個人情報等が記録された電子媒体及び書類等について、墨塗り、焼却溶解、データ削除ソフトウェアの利用、物理的な破壊その他の個人番号を削除、廃棄する手段又は委託元に返却する手段を、事務取扱担当者に指示するものとする。保護責任者は合わせて、個人番号を削除、廃棄又は返却した旨の報告書又は記録を保存する期間について、事務取扱担当者に指示するものとする。
第5節 開示等請求、苦情の処理
(開示等)
第28条 連合会は、保有個人データに該当する特定個人情報等について開示、訂正、追加若しくは削除、利用の停止若しくは消去又は第三者への提供の停止を請求された場合は、個人情報保護法に基づき、適切に対応しなければならない。
2 連合会は、前項の対応を行うために、必要な体制を構築し、対応手順を作成するものとする。
3 特定個人情報等の内容に触れて、開示、訂正、追加若しくは削除、利用の停止若しくは消去又は第三者への提供の停止を担当する者は、第6条第4号に基づき事務ごとに指名された事務取扱担当者又は保護責任者でなければならない。
(苦情の処理)
第29条 連合会は、特定個人情報等の取扱いに関する苦情について、適切かつ迅速に対応しなければならない。
2 連合会は、前項の対応を行うために、必要な体制を構築し、対応手順を作成するものとする。
3 特定個人情報等の内容に触れて苦情の対応をする者は、第6条第4号に基づき事務ごとに指名された事務取扱担当者又は保護責任者でなければならない。
第3章 安全管理措置
第1節 人的安全管理措置
(従業者の監督等)
第30条 保護責任者は、従業者が特定個人情報等の取扱いに当たり、取扱規則等を遵守していることを、定期的又は随時に確認するものとする。
2 従業者は、特定個人情報等の取扱いに当たり、疑問点又は問題点を関知した場合は、速やかに保護責任者の指示を仰ぐものとする。
3 保護責任者は、特定個人情報等の取扱いに当たり、従業者の相談に随時応じるものとする。
4 保護責任者は、一年に一度、監査責任者及び総括責任者に対し、前3項の状況について報告するものとする。
(従業者の教育等)
第31条 総括責任者は、従業者が特定個人情報等の取扱いに当たり取扱規則等を遵守するよう、従業者に対し取扱規則等の内容を周知するものとする。
2 総括責任者は、従業者が特定個人情報等の取扱いに当たり取扱規則等を遵守するよう、新規採用の従業者に対し採用後速やかに、それ以外の全従業者に対し少なくとも一年に一度、定期的に教育及び研修を実施するものとする。
3 総括責任者は、特定個人情報等の適切な管理のために、特定個人情報等を取り扱う情報システムの管理に関する事務に従事する従業者に対し、一年に一度を基本としつつ実情に応じ、情報システムの管理、運用及びセキュリティ対策に関して必要な教育及び研修を実施又は受講させるものとする。
4 総括責任者は、保護責任者に対し、その所管する事務において特定個人情報等が適法かつ妥当に取り扱われるよう、必要な教育及び研修を実施するものとする。
5 総括責任者は、不正アクセス、ウィルス感染、標的型攻撃等の被害を受けた場合その他の緊急時を想定し、少なくとも一年に一度、全従業者に対し緊急時対応を確認させるものとするか、又は緊急時対応訓練を実施するものとする。
6 従業者は、連合会が指定する教育及び訓練に参加するものとする。
(違反等への対処)
第32条 連合会は、取扱規則等に違反した従業者に対し、法令又は内部規程等に基づき厳正に対処するものとする。
第2節 物理的安全管理措置
(区域の管理及び物理的安全管理措置)
第33条 総括責任者は、保護責任者に対し、特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)、特定個人情報等を記録した書類、電子媒体及び機器等を保管する区域並びに特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)を明確にするよう、指示するものとする。
2 保護責任者は前項の規定に基づき取扱区域を明確にし、取扱区域とそれ以外の区域の間に壁又は間仕切り等を設置し、物理的安全管理措置を講じなければならない。
3 保護責任者は第1項の規定に基づき管理区域を明確にし、入退室管理並びに施錠装置、警報装置及び監視設備の設置等並びに管理区域へ持ち込む機器等の制限等の措置を講じなければならない。管理区域のうち、特に基幹的なサーバー等の機器を設置する室等については、通常の管理区域以上の厳格な措置を講じなければならない。
(盗難等の防止)
第34条 従業者は、特定個人情報等を取り扱う機器、電子媒体又は書類等を使用後は、キャビネット等に施錠して保管しなければならない。
2 保護責任者は、特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている場合を特定し、かかる場合には、当該機器をセキュリティワイヤー等により固定するよう、事務取扱担当者に指示するものとする。
(漏えい等の防止)
第35条 保護責任者は、特定個人情報等を取り扱う機器、電子媒体等を特定し、特定されたもの以外について使用の制限その他の必要な措置を講じるものとする。
2 保護責任者は、特定の情報システム端末等以外へ、記録機能を有する機器を接続できないようにするなど、特定個人情報等の漏えい等を防止するために必要な措置を講ずるものとする。
3 事務取扱担当者は、第1項に基づき特定された機器、電子媒体等以外で、特定個人情報等を取り扱ってはならない。
4 従業者は、第2項に基づき講じられた措置に反する取扱いをしてはならない。
5 従業者は、特定個人情報等が記録された電子媒体又は書類等を事務所外へ持ち出してはならない。保護責任者は、特定個人情報等が記録された電子媒体又は書類等を事務所内の取扱区域又は管理区域の外に持ち出す必要のある場合を特定し、それ以外の場合にはこれらを持ち出さないよう、従業者に指示するものとする。
6 保護責任者は、特定個人情報等が記録された電子媒体又は書類等を持ち出す際に、データの暗号化、パスワードによる保護、施錠できる搬送容器の使用、封緘、目隠しシールの貼付、簡易書留等による送付その他の必要な措置等を講じるよう、従業者に指示するものとする。
7 従業者は、特定個人情報等を取り扱う電子媒体又は書類等を、たとえ事務所内であっても移動させる場合には、漏えい、滅失、毀損、紛失又は盗難等に十分留意するものとする。
第3節 技術的安全管理措置
(アクセス制御)
第36条 総括情報セキュリティ責任者は、特定個人情報等を取り扱う情報システムについて、アクセスする権限のない者がアクセスすることができないよう、システム上制限することその他の必要な措置を講じるものとする。
2 総括情報セキュリティ責任者は、特定個人情報ファイルへのアクセス権を付与すべき者及びアクセス権を有する者に付与する権限を最小化するものとする。総括情報セキュリティ責任者は、共有IDを禁止して個人ごとにユーザIDを割り当てるものとする。
3 総括情報セキュリティ責任者は、アクセス制御に用いる従業者の使用するパスワードを管理するため、パスワードの最長有効期限を定めるとともに、パスワードを定期的に変更するようシステム上その他の必要な措置を講じるものとする。
4 総括情報セキュリティ責任者は、業務上必要がなくなった場合や事務取扱担当者が退職した場合等に速やかに対処できるよう、定期的に又は事務取扱担当者の異動若しくは退職等が確定した時点で随時、アクセス権限の管理を行わなければならない。
5 総括情報セキュリティ責任者は、情報システムの管理者権限を利用する者を最小化し、当該管理者権限を厳重に管理するものとする。
6 総括情報セキュリティ責任者は、特定個人情報ファイルを取り扱う情報システムに導入したアクセス制御機能の脆弱性等を、定期的に又は随時検証するものとする。
(外部からの不正アクセス等の防止)
第37条 総括情報セキュリティ責任者は、特定個人情報等を取り扱う情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断するものとする。総括情報セキュリティ責任者は、ファイアウォール等の設定変更等が必要になった場合には、速やかに変更を行うものとする。
2 総括情報セキュリティ責任者は、情報システム及び機器にセキュリティ対策ソフトウェア等を導入し、当該セキュリティ対策ソフトウェア等により、随時、不正ソフトウェアの有無を確認するものとする。総括情報セキュリティ責任者は、USBメモリ等の外部電磁記録媒体を用いた特定個人情報等の取扱いに関して、マルウェア等の不存在等を確認するように措置するものとする。
3 総括情報セキュリティ責任者は、セキュリティ対策ソフトウェア等を最新の状態とするために、自動アップデートを行うよう措置を講じるものとする。
4 総括情報セキュリティ責任者は、定期的に及び必要に応じ随時にアクセス状況の監視及びログ等の分析を行い、不正アクセス等を検知するものとする。
5 総括情報セキュリティ責任者は、不正アクセス等の被害に遭った場合に被害を最小化するよう、事前に計画を作成し、従業者に周知するものとする。従業者は当該計画に基づく指示に従わなければならない。
6 総括情報セキュリティ責任者は、情報システムの不正な構成変更(許可されていない電子媒体又は機器の接続、ソフトウェアのインストール等)を防止するために必要な措置を講ずるものとする。
7 総括情報セキュリティ責任者は、導入している∀S及びミドルウェアについて、必要なセキュリティパッチの適用その他の必要な措置を講じるものとする。
8 総括情報セキュリティ責任者は、サービス不能攻撃、標的型攻撃等への対策を講じるものとする。
(外部通信時の暗号化等)
第38条 総括情報セキュリティ責任者は、特定個人情報等をインターネット等により外部に送信する場合、通信経路を暗号化するものとする。
2 事務取扱担当者は、特定個人情報等をインターネット等により外部に送信する場合、暗号化された通信経路を用いなければならない。
3 保護責任者は、特定個人情報ファイルを機器又は電子媒体等に保存する必要がある場合には、原則として、暗号化又はパスワードにより秘匿するよう、事務取扱担当者に指示しなければならない。総括情報セキュリティ責任者補佐は、パスワードに用いる文字の種類や桁数等を検討し、かつパスワードを適切に運用管理するために必要な措置を講じ、事務取扱担当者に指示しなければならない。
第4節 組織的安全管理措置
(記録等の整備)
第39条 連合会は、特定個人情報ファイルの取扱状況を確認するため、別紙4の様式等に基づき特定個人情報ファイル管理台帳を作成するものとする。特定個人情報ファイル管理台帳を最新の状態とするために、連合会は、保護責任者に、半年に一度を基本としつつ実情に応じ、特定個人情報ファイル管理台帳の更新を行わせるものとする。
2 保護責任者は、少なくとも一年に一度、特定個人情報ファイル管理台帳の概要について、監査責任者及び総括責任者に報告し、連合会及び委託先がどのような特定個人情報ファイルをどのように取り扱っているかを明らかにしなければならない。
3 連合会は、特定個人情報等が取扱規則等に基づいて運用されていることを確認するために、特定個人情報等へのアクセス状況(取得、利用、提供(委託先への提供を含む。)、廃棄、返却等すべての行為に関する状況をいう。)について、アクセスした従業者等、時刻及び操作内容等可能な限り記録するものとする。連合会は、委託元の文書管理に関する規程等に従い、当該記録を一定の期間保存するものとする。連合会は、当該記録が滅失、毀損、改ざん、紛失、窃取又は不正な削除等をされないよう、必要な措置を講ずるものとする。当該記録は、第16条第2項に規定する委託契約等に従い、必要に応じ委託元に提供するものとする。
4 監査責任者は、前項に規定する記録を一年に一度定期に分析するとともに、必要に応じ一年に一度よりも短期の期間内に随時分析するものとする。
(監査)
第40条 連合会は、特定個人情報等の適正な取扱いを確保するため、特定個人情報等の取扱いについて定期的に、かつ必要に応じて随時に監査を行う。
3 監査責任者は前項に基づく監査の結果、特定個人情報等の適正な取扱いを確保するため、安全管理措置その他の本取扱規則の内容及びそれに基づく業務手順等の見直しが必要かどうかを検討し、必要に応じてこれらの見直しを総括責任者に提言するものとする。
4 監査責任者は前2項に規定する監査及び見直しの検討について、速やかに総括責任者に報告するものとする。
(取扱規則等の見直し等)
第41条 総括責任者は、特定個人情報等の適正な取扱いを確保するため、前条第4項の規定による監査責任者からの報告を受けて、及び必要に応じ随時、安全管理措置その他の本取扱規則の内容及びそれに基づく業務手順等の見直しを行い、改善を図るものとする。
附則
この規則は、公布の日から施行する。
附則
この規則は、令和2年9月1日から施行する。
附則
この規則は、公布の日から施行し、令和6年12月2日から施行する。
