○社会福祉法人あきる野市社会福祉協議会特定個人情報取扱規程
平成28年3月24日
規程第30号
目次
第1章 総則(第1条―第4条)
第2章 安全管理措置
第1節 組織的安全管理措置及び人的安全管理措置(第5条―第10条)
第2節 物理的安全管理措置(第11条―第14条)
第3節 技術的安全管理措置(第15条―第17条)
第3章 特定個人情報の取得(第18条―第26条)
第4章 特定個人情報の利用(第27条―第29条)
第5章 特定個人情報の保管(第30条―第32条)
第6章 特定個人情報の提供(第33条―第34条)
第7章 特定個人情報の廃棄及び削除(第35条―第36条)
第8章 特定個人情報の委託の取扱い(第37条―第38条)
第9章 その他(第39条―第40条)
附則
第1章 総則
(目的)
第1条 この規程は、行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号、以下「番号法」という。)、個人情報の保護に関する法律(平成15年法律第57号、以下「個人情報保護法」という。)及び特定個人情報の適正な取扱いに関するガイドライン(事業者編)に基づき、社会福祉法人あきる野市社会福祉協議会(以下「本会」という。)が取り扱う特定個人情報等の適正な取扱いを確保することを目的とする。
2 個人番号及び特定個人情報等に関しては、本会が別に定める社会福祉法人あきる野市社会福祉協議会個人情報保護規程(平成17年社会福祉法人あきる野市社会福祉協議会規程第1号)に優先してこの規程を適用する。
(用語の定義)
第2条 この規程における用語の定義は、次の各号のとおりとする。なお、この規程における用語は、他に特段の定めのない限り番号法その他の関係法令の定めによるものとする。
(1) 「個人情報」とは、個人情報保護法第2条第1項に規定する個人情報であって、生存する個人に関する情報であり、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(2) 「個人番号」とは、番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
(3) 「特定個人情報」とは、個人番号をその内容に含む個人情報をいう。
(4) 「特定個人情報等」とは、個人番号及び特定個人情報を併せたものをいう。
(5) 「個人情報ファイル」とは、個人情報保護法第2条第2項に規定する個人情報データベース等であって、行政機関及び独立行政法人等以外の者が保有するものをいう。
(6) 「特定個人情報ファイル」とは、個人番号をその内容に含む個人情報ファイルをいう。
(7) 「個人番号関係事務」とは、番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(8) 「個人番号関係事務実施者」とは、個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。
(9) 「職員等」とは、直接又は間接に本会の指揮監督を受けて本会の業務に従事する者をいい、本会と雇用関係にある者及び雇用関係にない者で報酬・料金・不動産使用料等に係る支払調書を作成する者並びに本会と委任の関係にある理事、監事、評議員を含むものとする。
(10) 「事務取扱担当者」とは、本会内において、個人番号を取り扱う事務に従事する者をいう。
(11) 「管理区域」とは、特定個人情報ファイルを取り扱う情報システムを管理する区域をいう。
(12) 「取扱区域」とは、特定個人情報等を取り扱う事務を実施する区域をいう。
(個人番号を取り扱う事務の範囲)
第3条 個人番号を取り扱う事務の範囲は、別表第1のとおりとする。
(1) 職員等から番号法第16条の規定に基づき、本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、通知カード、身元確認書類等)及びこれらの写し
(2) 本会が税務署等の行政機関等に提出するために作成した法定調書及びこれらの控え
(3) 本会が法定調書を作成する上で職員等から受領する個人番号が記載された申告書等
(4) その他個人番号と関連付けて保存される情報
2 前項各号に該当するか否かが定かでない場合は、事務取扱責任者の判断によるものとする。
第2章 安全管理措置
第1節 組織的安全管理措置及び人的安全管理措置
(組織体制)
第5条 本会に特定個人情報の取扱いに関して管理責任者、事務取扱責任者及び事務取扱担当者を置く。
(1) 管理責任者は、事務局長をもって充てる。
(2) 事務取扱責任者は、総務課長をもって充てる。
(3) 事務取扱担当者は、総務係長、あきる野市社協ケアセンター所長及び人事・給与事務を担当する職員をもって充てる。
2 事務取扱担当者は、特定個人情報の保護に十分な注意を払ってその業務を行うものとする。
3 管理責任者は、事務取扱担当者を変更する場合には、新たに事務取扱担当者となる者を指名するものとする。この場合、従前の事務取扱担当者は後任者に対して確実に引き継ぎを行うものとし、管理責任者は引き継ぎの有無を確認するものとする。
(事務取扱担当者の監督)
第6条 事務取扱責任者は、特定個人情報等がこの規程に基づき適正に取り扱われるように、事務取扱担当者に対して必要かつ適切な監督を行うものとする。
(教育及び研修)
第7条 本会は、この規程に定められた事項を理解し、遵守するとともに、事務取扱担当者にこの規程を遵守させるための教育訓練を企画及び運営する責任を負う。
2 事務取扱責任者は、本会若しくは関係機関が行うこの規程を遵守させるための教育を事務取扱担当者に受けさせなければならない。
(1) 特定個人情報等の入手日
(2) 源泉徴収票及び支払調書等に係る法定調書の作成日
(3) 源泉徴収票及び支払調書等に係る法定調書の本人への交付日
(4) 源泉徴収票及び支払調書等に係る法定調書の行政機関等への提出日
(5) 特定個人情報等の廃棄日
(情報漏えい事案等への対応)
第9条 事務取扱担当者は、特定個人情報の漏えい、滅失又は毀損による事故が発生したことを知った場合又はその可能性が高いと判断した場合は、事務取扱責任者及び管理責任者に直ちに報告しなければならない。
(取扱状況の確認)
第10条 管理責任者は、特定個人情報等の取扱状況について、1年に1回以上の頻度で確認を行うものとする。
第2節 物理的安全管理措置
(特定個人情報等を取り扱う区域の管理)
第11条 本会は、管理区域を総務課総務係事務室及びOAルームとし、取扱区域を総務課総務係事務区域及びOAルームとする。なお、それぞれの区域に対し、次の各号に掲げる措置を講じる。
(1) 管理区域では、入退室管理及び区域内へ持ち込む機器及び電子媒体等の制限を行うものとする。
(2) 取扱区域では、可能な限り壁又は間仕切り等の設置、事務取扱担当者以外の者の入退室が少ない場所での取扱い、のぞき見される可能性が低い場所における事務の執行など、作業環境及び座席配置について配慮するものとする。
(機器及び電子媒体等の盗難等の防止)
第12条 管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。
(1) 特定個人情報等を取り扱う機器、電子媒体又は書籍等を施錠できるキャビネット又は書庫等に保管する。
(2) 特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている場合は、セキュリティーワイヤー等により固定する。
(電子媒体等を持ち出す場合の漏えい等の防止)
第13条 特定個人情報等が記録された電子媒体又は書類等の持出しは、次に掲げる場合を除き禁止する。なお、「持出し」とは、特定個人情報等を管理区域又は取扱区域の外へ移動させることをいう。
(1) 個人番号関係事務に係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
(2) 行政機関等への法定調書等の提出、本会が実施する個人番号関係事務に関して個人番号利用事務実施者に対し、データ又は書類を提出する場合
2 事務取扱担当者は、特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、封筒に封入し施錠できる搬送容器に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講じるものとする。
(個人番号の削除、機器及び電子媒体等の廃棄)
第14条 事務取扱責任者は、事務取扱担当者又は外部委託先が特定個人情報等を削除・廃棄したことを確認するものとする。
第3節 技術的安全管理措置
(アクセス制御及びアクセス者の識別と認証)
第15条 本会において特定個人情報等へのアクセス制御及びアクセス者の識別と認証は、次に掲げるとおりとする。
(1) 特定個人情報等を取り扱う機器を特定し、その機器を取り扱う事務取扱担当者を限定する。
(2) 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、情報システムを取り扱う事務取扱担当者を限定する。
(外部からの不正アクセス等の防止)
第16条 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するため、次の各号に掲げる措置を講じるものとする。
(1) 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する方法
(2) 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する方法
(3) 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する方法
(4) 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする方法
(5) ログ等の分析を定期的に行い、不正アクセス等を検知する方法
(情報漏えい等の防止)
第17条 特定個人情報等をインターネット等により外部に送信する場合は、通信経路における情報漏えい等及び情報システムに保存されている特定個人情報等の情報漏えい等を防止するために、次の各号に掲げる措置を講じるものとする。
(1) 通信経路における情報漏えい等の防止策として、通信経路の暗号化を図る。
(2) 情報システムに保存されている特定個人情報等の情報漏えい等の防止策として、データの暗号化又はパスワードによる保護を行う。
第3章 特定個人情報の取得
(特定個人情報の適正な取得)
第18条 本会は、特定個人情報の取得を適法かつ公正な手段によって行うものとする。
(特定個人情報の利用目的)
第19条 本会が、職員等又は第三者から取得する特定個人情報の利用目的は、第3条に規定する個人番号を取り扱う事務の範囲内とする。
(特定個人情報の取得時の利用目的の通知等)
第20条 本会が特定個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を情報主体に通知又は公表しなければならない。この場合において、通知の方法は、原則として書面(電子的方式、磁気的方式、その他人の知覚によっては認識することができない方式で作られた記録を含む。以下同じ。)によることとし、公表の方法は、事務室内での規程等の備付け、組織内LAN上での規程の閲覧、若しくはインターネット上のホームページ等での公表等適切な方法によるものとする。本会の職員等から特定個人情報を取得する場合には、利用目的を記載した書類の提示、社会福祉法人あきる野市社会福祉協議会職員就業規程(平成17年社会福祉法人あきる野市社会福祉協議会規程第11号。以下「職員就業規程」という。)、社会福祉法人あきる野市社会福祉協議会再雇用職員就業規程(平成17年社会福祉法人あきる野市社会福祉協議会規程第14号。以下「再雇用職員就業規程」という。)及び社会福祉法人あきる野市社会福祉協議会臨時職員、嘱託職員及び非常勤職員に関する規程(平成9年社会福祉法人あきる野市社会福祉協議会規程第6号。以下「臨時職員等就業規程」という。)への明記等の方法による。
2 本会は、利用目的の変更を要する場合には、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知、公表又は明示を行うことにより、変更後の利用目的の範囲内で特定個人情報を利用することができる。
(個人番号の提供の要求)
第21条 本会は、第3条に規定する事務を処理するために必要がある場合に限り、本人又は他の個人番号関係事務実施者若しくは個人番号利用事務実施者に対して個人番号の提供を求めることができるものとする。
(個人番号の提供を求める時期)
第22条 本会は、第3条に規定する事務を処理するために必要があるときに個人番号の提供を求めることができる。
2 前項の規定にかかわらず、本人との法律関係等に基づき、個人番号関係事務の発生が予想される場合には、契約を締結した時点等の当該事務の発生が予想できた時点で個人番号の提供を求めることができる。
3 職員等の給与の源泉徴収事務、健康保険・厚生年金保険届出事務等及びこれらに伴う給与所得の源泉徴収票、健康保険・厚生年金保険被保険者資格取得届等の作成事務の場合は、雇用契約の締結時点で個人番号の提供を求めることができる。
(特定個人情報の提供の求めの制限)
第23条 特定個人情報の提供とは、法的な人格を超える特定個人情報の移動を意味するものであり、同一法人の内部等の法的な人格を超えない特定個人情報の移動は提供ではなく利用に該当し、第27条に規定する個人番号の利用制限によるものとする。
2 本会は、番号法第19条各号のいずれかに該当し、特定個人情報の提供を受けることができる場合を除き、特定個人情報の提供を求めてはならない。
(特定個人情報の収集制限)
第24条 本会は、第3条に規定する事務の範囲を超えて、特定個人情報を収集しないものとする。
(本人確認)
第25条 本会は、番号法第16条に規定する各方法により、職員等の個人番号の確認及び当該人の身元確認を行うものとする。また、代理人については、同条に規定する各方法により、当該代理人の身元確認、代理権の確認及び本人の個人番号の確認を行うものとする。
第4章 特定個人情報の利用
(個人番号の利用制限)
第27条 本会は、第19条に規定する利用目的の範囲内でのみ利用するものとする。
2 本会は、人の生命、身体又は財産の保護のために必要がある場合を除き、本人の同意が得られた場合であっても、利用目的を超えて特定個人情報を利用してはならないものとする。
(特定個人情報ファイルの作成の制限)
第28条 本会が特定個人情報ファイルを作成するのは、第3条に規定する事務を実施するために必要な範囲に限り、これらの場合を除き特定個人情報ファイルを作成しないものとする。
第5章 特定個人情報の保管
(特定個人情報の正確性の確保)
第30条 事務取扱担当者は、第19条に規定する利用目的の範囲において、特定個人情報を正確かつ最新の状態で管理するよう努めるものとする。
(特定個人情報の保管制限)
第31条 本会は、第3条に規定する事務の範囲を超えて、特定個人情報を保管してはならない。
2 所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、当該書類のほか、個人番号関係事務を行うために必要な源泉徴収票を作成するシステム内において特定個人情報を保管することができる。
3 番号法上の本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、通知カード及び身元確認書類等)の写し、本会が行政機関等に提出する法定調書の控え及び当該法定調書を作成する上で事業者が受領する個人番号が記載された申告書等を特定個人情報として保管するものとする。これらの書類は、関連する所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間保存することができる。
第6章 特定個人情報の提供
(特定個人情報の提供制限)
第33条 本会は、番号法第19条各号に掲げる場合を除き、本人の同意の有無にかかわらず、特定個人情報を第三者(法的な人格を超える特定個人情報の移動を意味し、同一法人の内部等の法的な人格を超えない特定個人情報の移動は該当しないものとする。)に提供しないものとする。なお、本人の同意が得られた場合であっても、特定個人情報を第三者に提供しないものとする。
第7章 特定個人情報の廃棄及び削除
(特定個人情報の廃棄及び削除)
第35条 本会は、第3条に規定する事務を処理する必要がある範囲内に限り、特定個人情報等の収集又は保管を継続するものとする。なお、書類等について所管法令によって一定期間保存が義務付けられているものについては、これらの書類等に記載された個人番号については、その期間保管するものとし、それらの事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号を速やかに廃棄又は削除するものとする。
第8章 特定個人情報の委託の取扱い
(委託先における安全管理措置)
第37条 本会は、個人番号関係事務の全部又は一部を委託する場合は、本会自らが果たすべき安全管理措置と同等の措置が委託先においても適切に講じられるよう、必要かつ適切な監督を行うものとする。
(1) 委託先の適切な選定
(2) 委託先に安全管理措置を遵守させるために必要な契約の締結
(3) 委託先における特定個人情報の取扱状況の把握
(1) 設備
(2) 技術水準
(3) 従業者(事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者で、従業員のほか、取締役、監査役、理事、監事、派遣社員等を含む。)に対する監督及び教育の状況
(4) 経営環境の状況
(5) 特定個人情報の安全管理の状況(個人番号を取り扱う事務の範囲の明確化、特定個人情報等の範囲の明確化、事務取扱担当者の明確化、個人番号の削除、機器及び電子媒体等の廃棄等を含む。)
(6) 暴力団、暴力団員、暴力団員でなくなった時から5年を経過しない者、暴力団準構成員、暴力団関係企業、総会屋等、社会運動又は政治活動を標榜して不法行為を行う者又は団体、不当要求等の反社会的活動を行う者又は団体、その他これらに準ずる者(以下「暴力団員等」という。)又は次のいずれにも該当しないこと
ア 暴力団員等が経営を支配していると認められる関係を有すること
イ 暴力団員等が経営に実質的に関与していると認められる関係を有すること
ウ 自己、自社若しくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもってするなど、不当に暴力団員等を利用していると認められる関係を有すること
エ 暴力団員等に対して資金等を提供し、又は便宜を供与するなどの関与をしていると認められる関係を有すること
オ 役員又は経営に実質的に関与している者が暴力団員等と社会的に避難されるべき関係を有すること
(1) 秘密保持義務に関する事項
(2) 事業所内からの特定個人情報の持出しの禁止
(3) 特定個人情報の目的外利用の禁止
(4) 再委託における条件
(5) 漏えい事案等が発生した場合の委託先の責任に関する事項
(6) 委託契約終了後の特定個人情報の返却又は廃棄に関する事項
(7) 従業者に対する監督及び教育に関する事項
(8) 契約内容の遵守状況について報告を求める事項
(9) 特定個人情報を取り扱う従業者の明確化に関する事項
(10) 委託者が委託先に対して実地の調査を行うことができる事項
5 本会は、委託先の管理については、総務課を責任部署とする。
6 本会は、委託先において特定個人情報の安全管理が適切に行われていることについて、必要に応じて確認又は調査を行うものとする。
7 本会は、委託先において情報漏えい事故等が発生した場合に、適切な対応がなされ、速やかに本会に報告される体制になっていることを確認するものとする。
(再委託の取扱い)
第38条 委託先は、本会の許諾を得た場合に限り、委託を受けた個人番号関係事務の全部又は一部を再委託することができるものとする。再委託先が更に再委託する場合も同様とする。
2 本会は、再委託先の適否の判断のみならず、委託先が再委託先に対して必要かつ適切な監督を行っているかどうかについても監督する。
3 本会は、委託先が再委託をする場合、当該再委託契約の内容として、前条第4項と同等の事項を規定させるものとする。
第9章 その他
2 この規程に違反したことにより本会に損害が生じた場合には、本会は違反した者に対して損害賠償を請求することができる。
(委任)
第40条 この規程に定めるもののほか、必要な事項は、社会福祉法人あきる野市社会福祉協議会会長が別に定める。
附則
この規程は、平成28年3月24日から施行する。
別表第1(第3条関係)
本会と雇用関係にある者に係る個人番号関係事務 | 給与所得及び退職所得に係る源泉徴収票の作成及び提出に関する事務 |
雇用保険届出に関する事務 | |
労働者災害補償保険法に基づく請求に関する事務 | |
健康保険・厚生年金保険届出に関する事務 | |
本会と雇用関係にある者の配偶者に係る個人番号関係事務 | 国民年金の第三号被保険者の届出に関する事務 |
本会と雇用関係にない者の個人番号関係事務 | 報酬及び料金等の支払調書作成事務 |
配当、剰余金の分配及び基金利息の支払調書作成事務 | |
不動産の使用料等に係る支払調書作成事務 | |
不動産等の取引に係る対価の支払調書作成事務 |
別表第2(第8条関係)
特定個人情報等の取扱い及び運用状況チェックリスト
(1) 特定個人情報等の入手日 | 年 月 日 |
(2) 源泉徴収票及び支払調書等に係る法定調書の作成日 | 年 月 日 |
(3) 源泉徴収票及び支払調書等に係る法定調書の本人への交付日 | 年 月 日 |
(4) 源泉徴収票及び支払調書等に係る法定調書の行政機関等への提出日 | 年 月 日 |
(5) 特定個人情報等の廃棄日 | 年 月 日 |