地方職員共済組合愛知県支部が取り扱う個人情報の保護に関する細則

第1章 総則

(趣旨)
第1条 この細則は、地方職員共済組合個人情報保護規程(平成17年地共規程第5号。以下「規程」という。)第30条の規定に基づき、地方職員共済組合愛知県支部が取り扱う個人情報を保護するため必要な事項を定めるものとする。

第2章 管理体制

(個人情報取扱責任者)
第2条 個人情報の取扱いに関する責任者として、支部事務局各グループ及び各福祉施設に個人情報取扱責任者を置き、各グループ班長、愛知三の丸クリニック事務長、アイリス愛知支配人及びサンヒルズ三河湾施設管理課長をもって充てる。
2 個人情報取扱責任者は、各グループ及び各福祉施設における個人情報の適切な管理を確保する任に当たる。

第3章 個人情報の利用目的

(利用目的の公表)
第3条 個人情報は、別表1に掲げる事務を行うことを目的として利用する。
2 個人情報の利用目的は、愛知県職員ポータルサイトシステム及び窓口等での掲示により公表する。

第4章 個人情報の管理

(個人情報の取扱い)
第4条 職員等(規程第11条に規定する職員等をいう。以下同じ。)は、個人情報を業務上必要最小限度において取り扱うものとし、第三者に漏えいしたり、不正に利用されることがないようにしなければならない。
2 個人情報取扱責任者は、業務上の目的で個人情報を取り扱う場合であっても、個人情報の複製、送信、記録媒体の外部への送付又は持出しについては、当該個人情報の秘匿性等その内容に応じて、当該行為を行うことができる場合を限定することとする。
3 職員等は、個人情報を記録媒体へ記録する場合には、必要最小限度としなければならない。
4 職員等は、特に許可された場合を除き、個人情報を執務室(愛知県庁、健康管理センター及び福祉施設内の事務を行う部屋をいう。以下同じ。)外で取り扱ってはならない。
5 職員等は、個人情報について、一時的に加工等の処理を行うため複製等を行う場合には、その対象を必要最小限に限り、処理終了後は不要となった情報を直ちに削除することとする。
6 職員等は、業務上の必要によりやむを得ない場合を除き、個人情報を含む電子データ又は書類を、電子メール又はファクシミリを利用して送信してはならない。
7 職員等が、個人情報を含む電子データ又は書類を業務上の必要によりやむを得ず電子メール又はファクシミリを利用して送信する場合は、必要最小限とし、あらかじめ個人情報取扱責任者の指示又は許可を得たうえで、慎重かつ細心の注意を払って行わなければならない。
8 前項において電子メールを利用して送信する場合は、当該電子データに暗号化又はパスワードを設定しなければならない。

(情報機器の利用)
第5条 職員等は、個人データを処理する電子計算機その他の機器(以下「情報機器」という。)を操作する場合には、個人データを業務上必要最小限の範囲を超えて利用することがないよう特に留意しなければならない。
2 職員等は、情報機器の操作時間が必要最小限になるように留意するとともに、情報機器の操作を一時中断する場合には、そのつど情報機器の画面を終了するようにしなければならない。

(個人データの取扱い)
第5条の2 職員等は、第4条第7項及び第8項の規定により電子メールを送信する場合を除き、個人データをインターネットに接続されている情報機器において取り扱ってはならない。
2 職員等は、共済事業を行うため業務上やむを得ないもので別表2に掲げる業務を行う場合において、それぞれ同表に掲げる情報機器に個人データを保存する場合を除き、インターネットに接続されていない情報機器に個人データを保存しなければならない。
3 第1項において電子メールを送信する場合及び前項において別表2に掲げる業務を行う場合においても、十分なセキュリティレベルが確保出来ている愛知県職員ポータルサイトシステムが閲覧可能な情報機器、または、それ同等レベル以上の情報機器を使用しなければならない。
4 第2項の規定により個人データを保存する場合は、必要最小限とし、保存する情報機器を問わず、個人データには常に暗号化又はパスワードを設定しなければならない。
5 職員等は、業務上の必要により個人データを、電磁的方法により情報を記録する媒体(以下「情報記録媒体」をいう。)のうち情報機器に組み込まれたもの以外のもの(以下「機器外情報記録媒体」という。)に保存する場合は、個人情報取扱責任者の責任のもと、第9条の規定により厳重に管理しなければならない。
6 保存した個人データが不要となった場合は、直ちに削除しなければならない。

(個人データのダウンロード)
第5条の3 職員等は、原則、業務上使用する処理システムから個人データのダウンロードを行ってはならない。ただし、業務上の必要によりダウンロードする場合は、前条第2項に定める情報機器に保存しなければならない。
2 前項ただし書の規定により個人データを保存する場合は、保存する情報機器を問わず、個人データには常に暗号化又はパスワードを設定しなければならない。
3 保存した個人データが不要となった場合は、直ちに削除しなければならない。
4 第1項及び第3項の規定により個人データを取り扱う場合は、次の各号に掲げる手続により行わなければならない。
(1)個人データのダウンロードを行う場合は、対象データの内容、実施年月日、業務処理システム名等を個人データダウンロード等管理簿(別紙様式第1号の2)に記録し、あらかじめ個人情報取扱責任者の許可を得るものとする。
(2)個人データを削除した場合は、削除年月日を前号に定める管理簿に記録し、個人情報取扱責任者に報告するものとする。

(情報機器の保全)
第6条 個人情報取扱責任者は、情報機器を厳重に保管、管理し、盗難、紛失、毀損、不正なアクセス等が生じないようにしなければならない。
2 個人情報取扱責任者は、情報機器に異常等が生じた場合は、速やかにその経緯、被害状況等を調査し、個人情報保護管理者に報告しなければならない。
3 個人情報保護管理者は、前項の報告を受けた場合には、速やかに自ら必要な措置を講じ、又は必要な措置を講じるよう指示しなければならない。
4 個人情報取扱責任者は、不正プログラムによる個人情報の漏えい、滅失又は毀損の防止のため、ソフトウェアに関する公開された脆弱性の解消、把握された不正プログラムの感染防止等に必要な措置(導入したソフトウェアを常に最新の状態に保つことを含む。)を講ずることとする。
5 職員等は、なりすましメールによる情報機器のウイルス感染を防止するため、本部・支部間における電子メール送受信にグループウェアの社内メール、愛知県庁内LANの社内メール等を使用しなければならない。
6 職員等は、業務上使用する電子メールアドレスを必要な範囲を超えて第三者に知らせてはならない。

(ID及びパスワードによるアクセス)
第7条 個人情報利用のために情報機器にアクセスする場合には、ID及びパスワードを用いるものとし、当該IDは、個人情報保護管理者があらかじめ指定した職員(以下この条において「指定職員」という。)が職員等ごとに付与する。
2 個人情報保護管理者は、IDの適切な管理のため、指定職員に対し、ID管理簿(別紙様式第1号)を備えさせ、これに使用するシステムの種類、使用者ID等を記載させなければならない。
3 個人情報保護管理者は、指定職員に対し、ID管理簿が指定職員以外の者の目に触れないようにさせなければならない。
4 職員等は、ID及びパスワードが第三者の目に触れないようにしなければならない。
5 職員等は、パスワードを情報機器に記憶させてはならない。
6 職員等は、パスワードを定期的に変更しなければならない。
7 職員等は、前項の規定にかかわらず、パスワードの漏えい等の危険がある場合には、パスワードを速やかに変更しなければならない。

(紙媒体の管理)
第8条 個人情報を含む書類を執務室外に持ち出してはならない。ただし、業務上の必要によりやむを得ず持ち出す場合は、個人情報等取扱記録台帳(別紙様式第1号の3)に対象物、持出し先、持出し年月日等を記録し、個人情報取扱責任者の許可を得なければならない。
2 個人情報取扱責任者は、個人情報を含む書類を、所定の場所に収納し、施錠のできる保管庫に保管する等適切な管理をしなければならない。
3 業務上の必要によりやむを得ず、個人情報を含む書類を送付する場合は、送付内容が第三者に知られることがないよう封筒又は個人情報を隠した葉書により行うこととし、特に重要な書類については、紛失防止のため、簡易書留、特定記録郵便等の追跡可能な方法により送付しなければならない。
4 個人情報を含む書類を廃棄する場合は、裁断、溶解等個人情報が第三者に漏れることがない方法で行わなければならない。

(情報記録媒体の管理)
第9条 個人情報取扱責任者は、機器外情報記録媒体を所定の場所に収納し、施錠のできる保管庫に保管する等適切な管理をしなければならない。

2 個人情報取扱責任者は、機器外情報記録媒体を委託先等に送付する場合及び委託先等から受け取る場合には、情報記録媒体授受簿(別紙様式第2号)を備え、これに記録するとともに、滅失、毀損及び盗難を防止するために必要な措置を講じなければならない。
3 情報機器に接続できる機器外情報記録媒体は、本部から承認を受けたもの並びに外部団体及び委託先等から業務上の必要により提供されたもので、かつ、手動でウイルス検索等を行い情報機器に支障を及ぼさないことを確認したものに限るものとする。

(情報機器等の処分)
第10条 個人情報取扱責任者は、情報機器又は機器外情報記録媒体(以下「情報機器等」という。)を処分する場合には、共済経理・福祉グループ(各福祉施設においては総務係又は管理係)に処分させなければならない。

2 共済経理・福祉グループ(各福祉施設においては総務係又は管理係)は、情報機器等を処分しようとする場合には、破砕等個人情報が第三者に漏れることがない方法で行わなければならない。

3 共済経理・福祉グループ(各福祉施設においては総務係又は管理係)は、個人情報記録媒体処分台帳(別紙様式第3号)を備え、前2項の処分を行った場合には、当該台帳に処分物、シリアル番号、処分年月日等を記載しなければならない。

(システムに係るプログラム等の管理)
第11条 個人情報保護管理者は、あらかじめ指定した職員に、個人データを処理するためのシステムに係るプログラム及び設計書等関係書類を厳重に保管させなければならない。
2 職員等は、前項のシステムに係る設計書等関係書類を閲覧しようとする場合は、そのつど個人情報保護管理者の承認を受けなければならない。

(委託先での個人情報の保護)
第12条 個人情報の取扱いの全部又は一部を委託する場合においては、委託先において、規程及びこの細則の趣旨に沿って個人情報の保護が行われるよう、次に掲げる措置を講じるものとする。
(1)組合と委託先との契約書には、次に掲げる事項を明記又は愛知県の個人情報取扱事務委託基準及び情報セキュリティに関する特約条項を添付すること。
イ 個人情報の取扱いの具体的方法については、組合と協議のうえ、その同意を得て定め、かつ、これを遵守すること。
ロ 前号の事務処理の経過を記録するとともに、少なくとも10年間、組合の求めに応じその記録を示すこと。
ハ 個人情報を第三者に漏らしたり、目的外に利用しないこと。
ニ 個人情報保護のための責任者を定め、その者の職氏名を組合に報告すること。
ホ 個人情報は特定の者を指定して取り扱わせるとともに、その指定した者の職氏名を組合に報告すること。
ヘ 組合が承認した場合を除き、情報記録媒体を複製、複写し、又は第三者に提供しないこと。
ト 情報記録媒体の処分については、組合の指示に従うこと。
チ 組合が承認した場合を除き、個人情報を用いて行う事務処理を第三者に再委託しないこと。
リ 個人情報の保護の実施状況について組合が調査を求めたときは、これに協力すること。
ヌ 個人情報の漏えい等の事故が発生したときは、直ちに事実関係を組合に報告し、組合の指示により速やかに事故の処理に当たること。
ル 契約終了後において、個人情報を消去又は返却させること。
(2)個人情報保護管理者は、必要に応じ、委託先における前号に規定する契約事項の履行状況について調査すること。
(3)その他必要な措置

(個人情報の漏えい等が発生したときの職員等の対応)
第13条 職員等は、個人情報の漏えい等の事故の発生又はその兆候を察知したときは、直ちに自分の所属するグループ又は福祉施設の個人情報取扱責任者に連絡しなければならない。
2 前項において、職員等は、個人情報の漏えい等の事故が情報機器から発生した場合は、直ちに当該情報機器に接続されたLANケーブルを外すとともに、情報機器上に残された状況を消さないよう不用意な操作を行ってはならない。
3 個人情報取扱責任者は、自分の所属するグループ又は福祉施設において取り扱う個人情報の漏えい等の事故の発生若しくはその兆候を察知したとき又はそれらの連絡があったときは、直ちに共済経理・福祉グループに連絡するとともに、個人情報の漏えい等の状況を調査し、紛失等した個人情報の原状回復措置をとらなければならない。
4 個人情報取扱責任者は、自分の所属するグループ又は福祉施設以外において取り扱う個人情報の漏えい等の事故の発生若しくはその兆候を察知したとき又はそれらの連絡があったときは、直ちに当該グループ又は福祉施設の個人情報取扱責任者に連絡しなければならない。
5 第3項の連絡を受けた共済経理・福祉グループは、当該個人情報の漏えい等の事故が情報機器から発生した場合は、当該情報機器の運営委託業者に稼働停止その他必要な措置を講じるよう指示するとともに、当該情報機器のウイルス感染の有無等必要な調査を行わなければならない。
6 個人情報の漏えい等の事故が発生したグループ又は福祉施設(以下「事案関係グループ等」という。)の個人情報取扱責任者は、個人情報保護管理者に、個人情報保護管理者は総括個人情報保護管理者及び支部長に情報漏えい等の状況及び講じた措置の内容を報告する。
7 前項の場合において、個人情報保護管理者は、支部長と協議し、総括個人情報保護管理者に報告のうえ、同管理者の指示により次の措置を講じる。
(1) 関係者への謝罪
(2) 報道機関等への公表
(3) 警察への被害届の提出及び告訴
8 個人情報保護管理者は、第6項の報告等を踏まえ、個人情報に係る安全管理体制を見直すとともに再発防止策を講じ、総括個人情報保護管理者及び支部長に報告するものとする。

第5章 開示等の請求等に係る手続

(開示等申出書の提出の方法)
第14条 規程第25条第1項に定める開示等申出書の提出は、開示等申出書受付窓口への訪問又は郵送により行わなければならない。
2 前項に規定する開示等申出書受付窓口は、共済経理・福祉グループに置く。

(開示等の請求等の受理)
第15条 開示等申出書受付窓口の職員は、開示等申出書受付窓口への訪問による開示等の請求等があった場合は、本人又は代理人であることを確認したうえで、開示等の申出者が提出した書類に記入漏れ、明らかな誤記入等の不備がないか確認し、当該書類に受付印を押印してこれを受領し、開示等の申出者に対し受付票を交付し、及び当該開示等の請求等に係る保有個人データを取り扱う担当グループ又は福祉施設に書類を回送するものとする。

2 開示等申出書受付窓口の職員は、開示等の請求等が郵送によりなされた場合は、本人又は代理人であることを確認したうえで、開示等の申出者が提出した書類に記入漏れ、明らかな誤記入等の不備がないか確認し、当該書類が到達した日を受付日として受付印を押印してこれを受領し、受信簿に記入し、及び当該開示等の請求等に係る保有個人データを取り扱う担当グループ又は福祉施設に書類を回送するものとする。

(開示等の請求等の処理)
第16条 前条の規定により開示等申出書受付窓口の職員から開示等の請求等の書類を回送されたグループ又は福祉施設の個人情報取扱責任者は、規程第26条の規定による開示等の請求等に係る決定を行い、通知するものとする。

2 個人情報取扱責任者は、前項の規定により通知した場合には、当該開示等の請求等に係る事案について、個人情報の開示等台帳(別紙様式第4号)に記録し、10年間これを保存しなければならない。

(本人等の確認)
第17条 開示等の申出者が本人又は代理人であることの確認をするための書類は、別表3に定めるとおりとする。

(開示等申出書)
第18条 規程第25条第1項に規定する開示等申出書は、次の各号に掲げる区分に応じ、それぞれ当該各号に定める様式とする。ただし、当該様式により難いと認めるときは、これと異なる様式によることができるものとする。
 (1) 利用目的の通知の求め 別紙様式第5号
 (2) 開示の請求 別紙様式第5号の2
 (3) 訂正等の請求 別紙様式第5号の3
 (4) 利用停止等の請求 別紙様式第5号の4
 (5) 第三者への提供の停止の請求 別紙様式第5号の5

(決定通知書)
第19条 規程第26条第1項に規定する開示等の請求等に係る決定通知書は、次の各号に掲げる区分に応じ、それぞれ当該各号に定める様式とする。ただし、当該様式により難いと認めるときは、これと異なる様式によることができるものとする。
 (1) 利用目的の通知、開示、訂正等又は利用停止等若しくは第三者への提供の停止の決定をしたとき。
イ 利用目的の通知 別紙様式第6号
ロ 開示 別紙様式第6号の2
ハ 訂正等 別紙様式第6号の3
二 利用停止等 別紙様式第6号の4
ホ 第三者への提供の停止 別紙様式第6号の5
 (2) 利用目的の通知、開示、訂正等又は利用停止等若しくは第三者への提供の停止をしない旨の決定をしたとき。
イ 利用目的の通知をしない場合 別紙様式第7号
ロ 全部又は一部を開示しない場合 別紙様式第8号又は別紙様式第8号の2
ハ 全部又は一部を訂正等しない場合 別紙様式第9号又は別紙様式第9号の2
二 全部又は一部について利用停止等をしない場合 別紙様式第10号又は別紙様式第10号の2
ホ 全部又は一部について第三者への提供を停止しない場合 別紙様式第11号又は別紙様式第11号の2
 (3) 規程第25条第1項の開示等の請求等に係る個人情報が存在しない場合 別紙様式第12号

第6章 苦情の処理

(苦情受付窓口)
第20条 規程第28条第2項に規定する苦情受付窓口は、共済経理・福祉グループに置く。

第7章 その他

(情報セキュリティ研修の実施)
第21条 個人情報保護管理者は、個人情報を含む情報機器を安全かつ適切に運用・管理するため、全ての職員等に対し、情報セキュリティ教育を定期的に実施するものとする。
2 個人情報保護管理者は、職員の個人情報の取扱いに関する必要な専門的知識及び技能の習得並びに資質の向上を図るため、情報セキュリティに関連する資格の取得を推進するものとする。

(個人情報保護監査)
第22条 地方公務員等共済組合法施行規程(昭和37年総理府・文部省・自治省令第1号)第171条及び運営規則第7節に定める内部監査として、個人情報の漏えいの防止等に資するため、個人情報の適切な管理状況について、定期に及び必要に応じ随時に監査を行うものとする。

(実施細目)
第23条 この細則に定めるもののほか、この細則の実施に際し、必要な事項は、別に定める。

附 則
この細則は、平成17年12月1日から施行する。

   附 則
この細則は、平成18年4月1日から施行する。

   附 則
この細則は、平成23年10月1日から施行する。

   附 則
この細則は、平成28年8月1日から施行する。


   附 則
この細則は、平成29年4月1日から施行する。

附 則
この細則は、平成29年7月1日から施行する。

附 則
この細則は、平成31年4月1日から施行する。