○京都市保有個人情報の安全管理のための措置に関する取扱要綱

◆制定  令和 6年 3月26日総合企画局デジタル化戦略監決定


第1章 総則

(趣旨)
第1条 この要綱は、個人情報の保護に関する法律(以下「法」という。)第66条第1項に規定する保有個人情報の安全管理のために講ずる措置に関し、必要な事項を定めるものとする。
(定義)
第2条 この要綱において使用する用語は、法、京都市個人情報保護条例(以下「条例」という。)及び京都市個人情報の保護に関する事務取扱要綱において使用する用語の例による。

第2章 管理体制

 第1節 組織的安全管理措置

(個人情報総括管理者)
第3条 保有個人情報に関する総合的な管理を図るため、個人情報総括管理者(以下「総括管理者」という。)を置くこととし、総合企画局デジタル化戦略推進室担当部長をもって充てる。
2 総括管理者は、局区等(京都市事務分掌条例第1条に規定する局、会計室、区役所、区役所支所をいう。以下同じ。)における保有個人情報の管理に関する事務を統括する。
(個人情報管理責任者の役割)
第4条 条例第3条に規定する個人情報管理責任者(以下「管理責任者」という。)は、所管課等における保有個人情報の適切な管理を確保する。
2 管理責任者は、特に、保有個人情報を京都市高度情報化推進のための情報システムの適正な利用等に関する規程(以下「情報システムに関する規程」という。)第2条第1号に規定する情報システム(以下「情報システム」という。)で取り扱う場合には、 同規程第11条に規定する情報システム管理者と連携し、その任に当たる。
3 管理責任者は、 所管課等内における保有個人情報の利用、保管等の取扱状況を把握しなければならない。
4 前項の規定により取扱状況を把握するために、管理責任者は、保有個人情報の特性等その内容(個人識別の容易性、個人番号の有無、要配慮個人情報の有無、漏えい等が発生した場合に生じ得る被害の性質・程度等をいう。以下同じ。)に応じて必要と認められる場合は、台帳等を整備し、保有個人情報の利用、保管等の取扱いの状況について記録するものとする。
5 管理責任者は、第22条に規定する点検を実施しなければならない。
(個人情報監査責任者)
第5条 保有個人情報の適切な管理を検証するため、個人情報監査責任者(以下「監査責任者」という。)を置くこととし、総合企画局デジタル化戦略推進室情報管理課長の職にある者をもって充てる。監査責任者は、保有個人情報の管理の状況について監査する任に当たる。

 第2節 人的安全管理措置

(教育研修の実施)
第6条 総括管理者は、管理責任者に対し、保有個人情報の適切な管理のために必要な教育研修を行うとともに、職員に対し、保有個人情報の取扱いについて理解を深め、その保護に関する意識の高揚を図るための啓発その他必要な研修を行う。
2 管理責任者は、所管課等内の職員に対し、個人情報の適切な管理のために、所管課等の所管業務の性質に応じて年1回以上の研修及び適時適切な指導を行う。
(監督)
第7条 総括管理者は、管理責任者が行う保有個人情報の管理について、必要な監督、指導等を行う。
2 管理責任者は、前項による指導等を受けたときは、是正措置を採らなければならない。

 第3節 物理的安全管理措置

(利用又は閲覧の制限)
第8条 管理責任者は、保有個人情報の特性等その内容に応じて、保有個人情報を取り扱う権限を有する職員の範囲及び権限の内容を、当該職員が業務を行う上で必要最小限のものに限定しなければならない。
2 職員及び管理責任者(以下「職員等」という。)は、保有個人情報を利用し、又は閲覧する権限を有しない場合においては、これを利用し、又は閲覧してはならない。
3 職員等は、保有個人情報を利用し、又は閲覧する権限を有する場合であっても、利用目的以外の目的でこれを利用し、又は閲覧してはならない。
4 職員等は、業務上知り得た保有個人情報を正当な理由なく他に知らせてはならない。その職を退いた後も、同様とする。
(複製等の制限)
第9条 職員は、保有個人情報を取り扱う権限の範囲内において次の各号に掲げる行為を行うときは、保有個人情報の特性等その内容に応じて、当該行為を行うことができる場合を必要最小限に限定するとともに、管理責任者の指示に従わなければならない。
(1) 保有個人情報の複製
(2) 保有個人情報の送信
(3) 保有個人情報が記録されている媒体(紙媒体を含む。以下同じ。)の執務室外への持出し又は送付
(4) 前3号に掲げるもののほか、保有個人情報の適切な管理に支障を及ぼすおそれのある行為
(誤りの訂正等)
第10条 職員は、保有個人情報の内容に誤りを発見したときは、管理責任者の指示に従い、速やかに訂正等を行わなければならない。
(媒体の管理等)
第11条 職員は、管理責任者の指示に従い、保有個人情報が記録されている媒体を定められた場所において適切に保管するとともに、必要があると認めるときは、耐火金庫への保管、施錠等を行わなければならない。
2 職員等は、保有個人情報が記録されている電子媒体を外部へ持ち出し、又は送付する場合は、原則としてパスワード等(パスワード、ICカード、生体情報等をいう。)を設定する等、アクセス制御のために必要な措置を採らなければならない。
(誤送付等の防止)
第12条 職員等は、保有個人情報を含む電磁的記録又は保有個人情報が記録されている媒体の誤送信、誤送付、誤交付又はウェブサイト等への誤掲載を防止するため、保有個人情報の特性等その内容に応じて、2名以上の職員による確認を行う等の必要な措置を採らなければならない。
(廃棄等)
第13条 職員等は、保有個人情報又は保有個人情報が記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合は、確実かつ速やかに当該保有個人情報の復元又は判読が不可能な方法により当該保有個人情報の消去又は当該保有個人情報が記録されている媒体の廃棄を行わなければならない。

 第4節 技術的安全管理措置

(情報セキュリティ関係規定の遵守)
第14条 職員等は、保有個人情報を情報システムで取り扱う事務を行う場合、情報システムに関する規程、京都市情報セキュリティ対策基準をはじめとする情報セキュリティ関係規定を遵守し、適切な事務を行わなければならない。
(外国における制度の把握)
第15条 管理責任者は、保有個人情報が外国において取り扱われる場合は、当該外国の個人情報の保護に関する制度等を把握したうえで、保有個人情報の安全管理措置を採らなければならない。

第3章 保有個人情報の取扱いの委託及び指定管理者に係る措置

(業務の委託等)
第16条 保有個人情報を取り扱う事務の全部又は一部を委託する場合(契約の形態・種類を問わず、所管課等が他の者に保有個人情報の取扱いを委託して行わせる場合をいう。以下同じ。)には、所管課等は、次の各号に掲げる事項を遵守しなければならない。
(1) 受託者に取り扱わせる保有個人情報の範囲は、委託する業務内容に照らして必要最小限のものとすること。
(2) 個人情報の適切な管理を行う能力を有する者を委託先として選定すること。
(3) 委託する業務の特性に応じて、当該業務に係る契約の仕様書に、「個人情報取扱事務の委託契約に係る共通仕様書」に規定する事項を含めること。
(4) 前号の規定に基づき作成した仕様書の内容が適切に履行されていることを確認するため、委託先における保有個人情報の取扱状況について、委託契約の内容や性質に応じ、定期に、又は必要に応じ随時に報告を求めるとともに、必要かつ適切な監督を行うこと。
(5) 保有個人情報の特性等その内容に応じて、委託先における保有個人情報の取扱状況について原則として、契約期間中に少なくとも1回以上(契約期間が1年を超える場合は少なくとも年1回以上)、実地検査により確認を行うこと。
2 前項の規定は、公の施設の管理の業務を指定管理者に委託する場合における保有個人情報の取扱いについて準用する。
3 保有個人情報を取り扱う事務の全部又は一部の委託を受けた者が、その全部又は一部を再委託する場合には、所管課等は個人情報の適切な管理を行う能力を有しない者を再委託先として選定することがないよう、委託先に必要な措置を採らせるとともに、再委託される業務に係る保有個人情報の特性等その内容に応じて、自ら、又は委託先を通じて、第1項第4号及び第5号の措置を実施する。また、当該業務が再々委託(再々委託以降の全ての段階における委託を含む。)される場合も同様とする。

第4章 安全管理上の問題への対応

(安全の確保に係る事態の報告及び被害拡大防止措置)
第17条 職員は、保有個人情報の漏えい等安全の確保に係る事態であって、法第68条第1項で定める事態又は京都市個人情報保護規則第4条で定める事態(以下「漏えい等に係る事態」という。)が発生し、又は発生したおそれを認識した場合は、被害拡大防止のために直ちに行い得る措置を行うとともに、遅滞なく当該事態について当該保有個人情報を管理する管理責任者に報告しなければならない。
2 前項の規定による報告を受けた管理責任者は、速やかに被害拡大防止又は復旧等のために必要な措置を採らなければならない。
3 第1項の規定による報告を受けた管理責任者は、直ちに漏えい等に係る事態が発生した所管課等が属する局区等の庶務担当課の長に報告するとともに、当該事態が発生した経緯、被害状況等を調査し、対応を協議しなければならない。
4 局区等の庶務担当課の長は、前項の規定により漏えい等に係る事態の報告を受けたときは、所管課等において当該事態を知った時点から3日以内に当該事案の内容、経緯、被害状況等を総括管理者に報告しなければならない。
5 局区等の庶務担当課の長は、第3項による報告を受けたとき、特に重大と認める事態が発生したと認める場合は、当該事案の内容、経緯、被害状況等を速やかに市長に報告しなければならない。
(個人情報保護員会への報告)
第18条 総括管理者は、漏えい等に係る事態のうち、法第68条第1項の規定に基づき個人情報保護委員会への報告を要するものが発生したときは、当該事態を速やかに同委員会に報告するとともに、委員会による事案の把握等に協力するものとする。
(漏えい等に係る事態の公表等)
第19条 管理責任者は、法第68条第2項第1号及び条例第4条第1号に規定する本人への通知が困難な場合には、漏えい等に係る事態に関する事実関係及び対応方針を公表するなど本人の権利利益を保護するため必要な措置を採らなければならない。
2 前項の規定にかかわらず、管理責任者が必要と認めるときには、二次被害の防止、類似事案の発生防止等の観点から、漏えい等に係る事態に関する事実関係及び対応方針を公表することができる。
3 前項に定める管理責任者が必要と認める場合の判定に当たっては、サイバー攻撃等の悪質性の程度、その他当該漏えい等に係る事態がもたらす社会的な影響を勘案するものとする。
(改善に向けた取組)
第20条 管理責任者は、第17条第2項及び前条第1項に定める措置を採った後、事実関係を調査してその原因の究明を行い、同様の漏えい等に係る事態が生じないよう、保有個人情報の取扱いについての再発防止策をまとめ、総括管理者へ報告しなければならない。
2 総括管理者は、前項の報告を受けたときは、必要に応じ、同種の業務を実施している所管課等に再発防止策を伝達するものとする。

第5章 監査及び点検の実施

(監査の実施)
第21条 監査責任者は、保有個人情報の適切な管理を検証するため、保有個人情報の管理状況について定期又は必要に応じ随時に監査を行い、その結果を総括管理者へ報告しなければならない。
2 総括管理者は、監査結果を踏まえ、必要があると認めるときは、監査対象となった所管課等の管理責任者に当該監査結果に係る対処を指示しなければならない。
3 管理責任者は、前項の指示を受けたときは、是正措置を採らなければならない。
(点検の実施)
第22条 管理責任者は、保有個人情報の記録媒体、処理経路、保管方法等について、点検を行い、適切な管理が行われていないと認めるときは、その見直し及び改善に取り組むとともに、その結果を総括管理者へ報告しなければならない。
(評価及び見直し)
第23条 総括管理者は、第21条第1項に基づく監査又は前条に基づく点検の結果等を踏まえ、保有個人情報の適切な管理のための措置について実効性等の観点から評価し、必要があると認めるときは、本要綱等の見直し等について検討を行うなどの措置を採る。
附 則
 この要綱は、令和6年4月1日から施行する。