○千曲市電子計算機処理に係るシステム及びデータ保護管理規程
平成15年9月1日
訓令第8号
(目的)
第1条 この規程は、千曲市における電子計算機処理に係るシステムの利用及びデータの取扱いに関し、措置すべき事項を定めることにより、システム及びデータの的確な保護を図るとともに、行政の適正な運営と信頼性を確保することを目的とする。
(1) 電子計算機処理 電子計算機を使用して行われる情報の入力、蓄積、編集、加工、修正、更新、検索、消去、出力その他これらに類する処理をいう。
(2) 個人情報 個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)第2条第1項に規定する個人情報をいう。
(3) システム ある目的を達成するためのソフトウェア、ハードウェア、ネットワーク等を連携して構築する電子計算機処理の環境をいう。
(4) データ 電子計算機処理で扱うすべての情報をいう。
(5) 記録媒体 データ又はプログラムを記録したフレキシブルディスク、磁気テープ、磁気ディスク、入出力帳票その他の媒体をいう。
(6) プログラム説明書等 システム設計書、プログラム説明書、プログラムリストその他の電子計算機処理に係るシステムの構築及び運用に関する文書その他の物をいう。
(7) 業務主管課 電子計算機処理に係る業務を主管する課(これに準ずる事務所及び事業所を含む。以下同じ。)をいう。
(8) 業務主管部 業務主管課の属する部をいう。
(9) 外部委託 業務の全部又は一部の電子計算機処理を千曲市以外のものに委託することをいう。
(10) 委託業務主管課 業務主管課のうち外部委託をする課をいう。
(11) 電子計算機設置課 電子計算機を設置する課をいう。
(12) ネットワーク主管課 電子計算機処理に係るネットワークを総括する課をいう。
(13) 電子計算機結合 通信回線その他の方法による他のシステムとの結合をいう。
(データ保護責任者等の設置)
第3条 この規程の目的を達成するため、業務主管課、委託業務主管課、電子計算機設置課及びネットワーク主管課の長をデータ保護責任者に充てる。
2 前項に規定するデータ保護責任者の職務を総括的に管理するため、各部の長をデータ保護管理者に充てる。
3 すべてのデータの保護及びシステムに係る管理を総括するため、企画政策部長を総括データ保護管理者に充てる。
(データ等の管理)
第4条 データ保護責任者は、データ、プログラム及び記録媒体の取扱いを適正に行わなければならない。
2 データ保護責任者は、次に掲げる記録媒体の管理について、適宜必要な措置を講じなければならない。
(1) 個人情報に係るデータを収録した記録媒体
(2) 法令の規定により守秘を要することとされているデータを収録した記録媒体
(3) 漏えいした場合、行政の円滑な執行を妨げるおそれのあるデータを収録した記録媒体
(4) 滅失し、又はき損した場合、その復元が著しく困難であると認められるデータを収録した記録媒体
3 データ保護責任者は、電子計算機内に保有するデータ及び通信回線により伝送されるデータに関し、データの重要度に応じて、その利用を制限する等適切な措置を講じなければならない。
4 データ保護責任者は、データを記録しておく必要がなくなったときは、当該データを速やかに消去する等適切な措置を講じなければならない。
(プログラム説明書等の管理)
第5条 データ保護責任者は、前条の規定に準じて、プログラム説明書等を適正に保管しなければならない。
2 プログラム説明書等を担当職員以外のものが利用しようとするときは、当該プログラム説明書等を保管しているデータ保護責任者の承認を得なければならない。
(個人情報に係るデータの電子計算機処理)
第6条 データ保護管理者は、個人情報に係るデータについて、新たに電子計算機処理を行おうとするときは、あらかじめ、総括データ保護管理者に届け出なければならない。
2 前項の規定による届出に当たっては、データ保護管理者は、事前に総括データ保護管理者と協議しなければならない。
3 データ保護管理者は、第1項の規定により届け出た個人情報に係るデータの電子計算機処理について、変更が生じたとき、又は廃止するときは、あらかじめ、総括データ保護管理者に届け出なければならない。
(電子計算機等の操作の管理)
第7条 データ保護責任者は、電子計算機及びネットワーク機器の操作について、適正な管理を行わなければならない。
(電子計算機等の保安措置)
第8条 データ保護責任者は、火災その他の災害及び盗難に備えて、電子計算機及びネットワーク機器の設置並びに記録媒体及びプログラム説明書等の保管に当たっては、必要に応じた措置を講ずるとともに、その内容を当該所属職員に周知徹底させなければならない。
2 データ保護責任者は、システム及びデータを保護するために、コンピュータウイルスの感染を防止する措置を講ずるとともに、その内容を当該所属職員に周知徹底させなければならない。
(千曲市以外のものとの電子計算機結合における保安措置)
第9条 データ保護管理者は、千曲市以外のものと電子計算機結合を行う場合においては、データ及びプログラムを保護するために、ネットワークを経由した不正なアクセスを防止する措置を講ずるとともに、その内容をデータ保護責任者に周知徹底させなければならない。
(事故発生時の措置)
第10条 データ保護責任者は、データの漏えい、コンピュータウイルスによる被害、不正なアクセスによるシステムの破壊等の事故が発生したときは、速やかに、復旧のため必要な措置を講ずるとともに、事故の経緯、被害状況等を調査し、データ保護管理者に報告しなければならない。
2 データ保護管理者は、前項の規定による報告を受けたときは、速やかに、適切な措置を講ずるとともに、総括データ保護管理者に報告しなければならない。
3 総括データ保護管理者は、前項の規定による報告を受けたときは、他の部署に影響を及ぼすおそれがある事故について、適切な措置を講じなければならない。
(調査)
第11条 総括データ保護管理者は、システム及びデータの保護に係る管理について、必要に応じて、調査を行うものとする。
2 総括データ保護管理者は、データ保護管理者に対し、前項の規定により行った調査の結果、必要に応じて、システム及びデータの保護に係る管理について改善を指示し、又は指導するものとする。
3 データ保護管理者は、前項の規定による指示又は指導について対策を講じ、その結果について、総括データ保護管理者に報告しなければならない。
(外部委託を受けようとするものの管理体制等の調査)
第12条 委託業務主管課のデータ保護責任者は、外部委託をするときは、あらかじめ、委託を受けようとするものにおけるデータの保護に関する管理体制等について調査しなければならない。
(外部委託に伴う協議)
第13条 委託業務主管課の属する部のデータ保護管理者は、個人情報又は職員情報(職員に関する情報であって、特定の職員が識別され、又は識別され得るものをいう。以下同じ。)に係るデータについて外部委託をするときは、委託する事務の内容、委託する理由、データの保護に関する事項等について、あらかじめ、総括データ保護管理者と協議しなければならない。
3 第1項の規定による協議が整ったときは、総括データ保護管理者は、データ保護管理者に通知しなければならない。
(委託契約書の記載事項)
第14条 外部委託に係る契約書には、データの保護に関し、データの秘密保持に関する事項その他の総括データ保護管理者が定める事項を明記しなければならない。
(外部委託を受けたものの履行状況の調査)
第15条 委託業務主管課のデータ保護責任者は、必要に応じて、外部委託を受けたものにおける当該外部委託に係るデータ、電子計算機を設置する場所及びデータを保管する施設の管理状況その他履行状況に関し、調査するものとする。
(派遣要員等の誓約書)
第16条 委託業務主管課のデータ保護責任者は、電子計算機の保守、システムの運用、プログラムの開発、オペレーション等に関し、企業から要員の派遣を受けるときは、当該企業の代表者及び要員に、必要な事項を書面により誓約させるものとする。
(データの目的外の利用)
第17条 データを取り扱う事務の目的以外の目的(以下「目的外」という。)のために、当該データを利用し、又は利用させるときは、当該データを所管する業務主管課及びこれを利用しようとする課双方において、管理を適正に行わなければならない。
2 前項のデータが個人情報に係るものであるときは、当該データを目的外で利用することとなる課の属する部の長は、当該データを所管する業務主管部のデータ保護管理者に申出書を提出しなければならない。ただし、当該データを所管する業務主管課のデータ保護責任者がその事務の必要性からこれを利用させるときは、この限りでない。
4 前項の規定による協議が整ったときは、総括データ保護管理者は、データ保護管理者に通知しなければならない。
6 個人情報に係るデータを目的外に利用し、又は利用させるときは、業務主管課のデータ保護責任者は、当該データの授受等について記録するとともに、必要に応じて、当該データの利用状況等について、当該データを利用することとなる課に対して報告を求めることができる。
(千曲市以外のものへのデータ等の提供)
第18条 業務主管部のデータ保護管理者は、千曲市以外のものにデータ又はプログラムを提供してはならない。ただし、次の各号のいずれかに該当するときは、この限りでない。
(1) 法令の定め又は市長が法令上従う義務のある国等の機関の指示があるとき。
(2) 事務の目的を達成するため必要があると認められるとき。
(3) データ又はプログラムの保護上支障がないとき。
3 第1項第3号又は個人情報保護法第69条第2項各号に掲げる事由により、データ又はプログラムの提供を受けようとするものがあるときは、当該データ又はプログラムを所管する業務主管部のデータ保護管理者は、必要に応じて、申出書を提出させるものとする。
4 第1項各号又は個人情報保護法第69条第2項各号に掲げる事由により、千曲市以外のものに個人情報又は職員情報に係るデータを提供しようとするときは、データ保護管理者は、総括データ保護管理者と協議しなければならない。
5 前項の規定による協議が整ったときは、総括データ保護管理者は、データ保護管理者に通知しなければならない。
8 前項の書面には、データ又はプログラムの内容、使用目的、提供方法その他総括データ保護管理者が定める事項を明記しなければならない。
9 第1項各号又は個人情報保護法第69条第2項各号に掲げる事由により、千曲市以外のものにデータ又はプログラムを提供するときは、業務主管課のデータ保護責任者は、当該データ又はプログラムの授受等について記録しなければならない。
(千曲市以外のものとの電子計算機結合)
第19条 業務主管部のデータ保護管理者は、千曲市以外のものと電子計算機結合を行ってはならない。ただし、次の各号のいずれかに該当するときは、この限りでない。
(1) 法令の定め又は市長が法令上従う義務のある国等の機関の指示があるとき。
(2) 前号に掲げるもののほか、市長が公益上特に必要があると認めるとき。
2 前項各号に掲げる事由により、千曲市以外のものと電子計算機結合を行うときは、デー夕保護管理者は適正なデータの保護措置を、ネットワーク主管課の属する部のデータ保護管理者は通信回線に構造的な保護措置を講じなければならない。
3 第1項各号に掲げる事由により、個人情報又は職員情報に係るデータについて電子計算機結合を行おうとするものがあるときは、当該データを所管する業務主管部のデータ保護管理者は、必要に応じて、申出書を提出させるものとする。
4 前項の規定による申出書の提出があったときは、データ保護管理者は、総括データ保護管理者と協議しなければならない。
5 前項の規定による協議が整ったときは、総括データ保護管理者は、データ保護管理者に通知しなければならない。
7 第1項各号に掲げる事由により、千曲市以外のものと電子計算機結合を行うときは、データ保護管理者は、必要に応じて、電子計算機結合を行おうとするものとデータの適正な取扱いに関する書面を取り交わすものとする。
(その他)
第21条 この規程に定めるもののほか、必要な事項は、総括データ保護管理者が別に定める。
附則
この規程は、平成15年9月1日から施行する。
附則(平成21年3月30日訓令第2号)
この規程は、平成21年4月1日から施行する。
附則(平成23年3月29日訓令第2号)
この規程は、平成23年4月1日から施行する。
附則(平成24年3月6日訓令第2号)
この規程は、平成24年4月1日から施行する。
附則(平成25年3月27日訓令第1号)
この規程は、平成25年4月1日から施行する。
附則(平成31年3月27日訓令第2号)
この訓令は、平成31年4月1日から施行する。
附則(令和4年12月26日訓令第6号)
この訓令は、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)附則第1条第7号に掲げる規定(同法第51条の規定に限る。)の施行の日から施行する。