(趣旨)

第1条　この規程は，市の機関(市長(地方公営企業法(昭和27年法律第292号)第8条第2項の規定により管理者の権限を行う市長を含む。)，消防長，教育委員会，選挙管理委員会，監査委員，農業委員会及び固定資産評価審査委員会をいう。)が保有する個人情報，個人番号及び特定個人情報(以下「保有個人情報等」という。)の適切な管理に関し，必要な事項を定めるものとする。

(定義)

第2条　この規程において使用する用語の意義は，個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)及び行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)において使用する用語の例による。

(総括保護管理者)

第3条　市における保有個人情報等の管理に関する事務を総括するため，総括保護管理者を置くこととし，副市長をもって充てる。

(保護管理者)

第4条　各所属における保有個人情報等の適切な管理を確保するため，保有個人情報等を取り扱う各所属に保護管理者を1人置く。

(保護担当者)

第5条　保護管理者を補佐し，所属における保有個人情報等の管理に関する事務を担当させるため，保有個人情報等を取り扱う所属に保護担当者を1人以上置く。

(監査責任者)

第6条　保有個人情報等の管理の状況について監査させるため，監査責任者を置くこととし，総務課長をもって充てる。

(組織体制)

第7条　保護管理者は，次に掲げる組織体制を整備する。

(教育研修)

第8条　総括保護管理者は，保有個人情報等を取り扱う職員に対し，保有個人情報等の取扱いについて理解を深め，保有個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を実施する。

第9条　職員は，個人情報保護法及び番号法の趣旨にのっとり，関連する法令及び規程等の定め並びに総括保護管理者，保護管理者及び保護担当者の指示に従い，保有個人情報等を取り扱わなければならない。

(アクセス制限)

第10条　保護管理者は，保有個人情報等の秘匿性等その内容(特定の個人の識別の容易性，要配慮個人情報の有無，漏えい等が発生した場合に生じ得る被害の性質及び程度等をいう。以下同じ。)に応じて，当該保有個人情報等にアクセス(情報に接する行為をいう。以下同じ。)をする権限を有する職員の範囲及び権限の内容を，当該職員が業務を行う上で必要最小限の範囲に限らなければならない。

(複製等の制限)

第11条　保護管理者は，職員が業務上の目的で保有個人情報等を取り扱う場合であっても，次に掲げる行為については，当該保有個人情報等の秘匿性等その内容に応じて，当該行為を行うことができる場合を必要最小限に限定し，職員は，保護管理者の指示に従い行うものとする。

(誤りの訂正等)

第12条　職員は，保有個人情報等の内容に誤り等を発見した場合は，保護管理者の指示に従い，訂正等を行わなければならない。

(媒体の管理等)

第13条　職員は，保護管理者の指示に従い，保有個人情報等が記録されている媒体の盗難又は紛失等を防止するため，キャビネット，書庫又は必要に応じて耐火金庫等に保管し，当該保管場所への施錠等の措置を講じなければならない。

(誤送付等の防止)

第14条　職員は，保有個人情報等を含む電磁的記録及び媒体の誤送信・誤送付，誤交付又はウェブサイト等への誤掲載を防止するため，個別の事務・事業において取り扱う個人情報の秘匿性等その内容に応じて，複数の職員による確認，チェックリストの活用等の必要な措置を講ずるものとする。

(廃棄等)

第15条　職員は，保有個人情報等又は保有個人情報等が記録されている媒体(端末機器及びサーバーに内蔵されているものを含む。)が不要となった場合は，保護管理者の指示に従い，当該保有個人情報等の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行うものとする。

(外的環境の把握)

第16条　保護管理者は，保有個人情報等が，外国(民間事業者が提供するクラウドサービスを利用する場合において，クラウドサービス提供事業者が所在する外国及び個人データが保存されるサーバーが所在する外国をいう。)において取り扱われる場合は，当該外国の個人情報の保護に関する制度等を把握した上で，保有個人情報等の安全管理のために必要かつ適切な措置を講じなければならない。

(個人番号の利用の制限)

第17条　事務取扱担当者は，番号法に定める事務の処理を行う場合に限り，個人番号を利用するものとする。

(個人番号の提供の求めの制限)

第18条　事務取扱担当者は，個人番号利用事務及び個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合その他番号法で定める場合を除き，個人番号の提供を求めてはならない。

(特定個人情報ファイルの作成の制限)

第19条　事務取扱担当者は，個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き，特定個人情報ファイルを作成してはならない。

(特定個人情報の収集・保管の制限)

第20条　事務取扱担当者は，番号法第19条各号のいずれかに該当する場合を除き，他人の特定個人情報を収集又は保管してはならない。

(取扱区域)

第21条　保護管理者は，特定個人情報等を取り扱う事務を実施する区域を明確にし，事務取扱担当者以外の者が，特定個人情報等を容易に閲覧できないように留意する等の物理的な安全管理措置を講ずるものとする。

第22条　情報システムにおける保有個人情報等の安全管理については，南国市情報セキュリティポリシーによるものとする。

(保有個人情報等の提供)

第23条　保護管理者は，個人情報保護法第69条第1項又は第2項第2号から第4号までの規定により保有個人情報を提供する場合は，原則として，提供先における利用目的，利用する業務の根拠法令，利用する記録範囲及び記録項目，利用形態等について提供先との間で書面を取り交わすものとする。

(業務の委託等)

第24条　保護管理者は，保有個人情報の取扱いに係る業務を外部に委託する場合は，個人情報の適切な管理を行う能力を有しない者を選定することがないよう，必要な措置を講ずるものとし，契約書に次に掲げる事項を明記するとともに，委託先における責任者及び業務従事者の管理体制及び実施体制，個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認するものとする。

(削除又は置換え等)

第25条　保護管理者は，保有個人情報を提供し，又は保有個人情報の取扱いに係る業務を委託する場合は，漏えい等による被害発生のリスクを低減し，及び回避する観点から，提供先における利用目的，委託する業務の内容，保有個人情報の秘匿性等その内容等を考慮し，必要に応じて，特定の個人を識別することができる記載の全部若しくは一部を削除し，又は別の記号等に置き換える等の措置を講ずるものとする。

(事案の報告及び再発防止措置)

第26条　保有個人情報等の漏えい等の事案の発生又は兆候を把握した場合，事務取扱担当者がこの規程等に違反している事実又は兆候を把握した場合その他保有個人情報等の適切な安全管理を行う上で問題となる事案の発生又は発生のおそれを認識した場合は，その事案の発生等を認識した職員は，直ちに当該保有個人情報等を管理する保護管理者に当該事案の発生等を報告しなければならない。

(報告及び通知)

第27条　保護管理者は，次に掲げる場合は，前条の規定による措置の実施等と並行して，速やかに所定の手続を行うとともに，個人情報保護委員会による事案の把握等に協力する。

(公表等)

第28条　保護管理者は，前条第1項に規定する場合以外の場合であっても，事案の内容，影響等に応じて，事実関係及び再発防止策の公表，当該事案に係る保有個人情報等の本人への連絡等の措置を講ずるものとする。

(監査)

第29条　監査責任者は，保有個人情報等の適切な管理を検証するため，第2章から第7章までに規定する措置の状況を含む各所属における保有個人情報等の管理の状況について，定期及び必要に応じ随時に監査(外部監査の委託を含む。)を行い，その結果を総括保護管理者に報告するものとする。

(点検)

第30条　保護管理者は，各所属における保有個人情報等の記録媒体，処理経路，保管方法等について定期及び必要に応じ随時に点検を行い，必要があると認めるときは，その結果を総括保護管理者に報告するものとする。

(評価及び見直し)

第31条　総括保護管理者及び保護管理者は，保有個人情報等の適切な管理のための措置について，監査又は点検の結果等を踏まえ，実効性等の観点から保有個人情報等の適切な管理のための措置について評価し，必要があると認めるときは，その見直し等の措置を講ずるものとする。

(その他)

第32条　この規程に定めるもののほか，市の保有個人情報等の適切な管理に関し必要な事項は，別に定める。