○市立湖西病院特定個人情報等取扱規程
令和6年7月1日
病企管規程第6号
(目的)
第1条 この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)に基づき、病院事業管理者が取り扱う特定個人情報等(個人番号(番号法第2条第5項に定める個人番号をいう。以下同じ。)及び特定個人情報(番号法第2条第8項に定める特定個人情報をいう。以下同じ。)をいう。以下同じ。)の適正な取扱いに関し、必要な事項を定めることを目的とする。
(1) 保護責任者 特定個人情報等の適切な管理を確保する任に当たるものをいう。
(2) 事務取扱担当者 特定個人情報等の管理に関する事務を担当するものをいう。
(3) 管理区域 特定個人情報等の情報漏えい等を防止するために、特定個人情報ファイル(番号法第2条第9項に定める特定個人情報ファイルをいう。以下同じ。)を取り扱う情報システムを管理する区域をいう。
(4) 取扱区域 特定個人情報等の情報漏えい等を防止するために、特定個人情報等を取り扱う事務を実施する区域をいう。
2 前項に定めるもののほか、この規程で使用する用語の意義は、番号法で使用する用語の例による。
(個人番号を取り扱う事務の範囲)
第3条 個人番号を取り扱う事務の範囲は、給与所得の源泉徴収票及び給与支払報告書作成事務とする。
(特定個人情報の範囲)
第4条 前条に規定する事務において使用する特定個人情報ファイルの内容は、次のとおりとする。
(1) 番号法第16条に基づく本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、身元確認書類等)及びこれらの写し
(2) 税務署等の行政機関等に提出するために作成した法定調書及びこれらの控え
(3) 法定調書を作成する上で職員から受領する個人番号が記載された申告書等
(4) その他個人番号と関連付けて保存される情報
2 前項各号に該当するか否かは、保護責任者が決定する。
(安全管理措置に関する組織体制)
第5条 管理課長を、第3条に規定する事務で取り扱う特定個人情報等の保護責任者とする。
2 管理課職員及び必要に応じて保護責任者が指名した職員を、第3条に規定する事務で取り扱う特定個人情報等の事務取扱担当者とする。
(保護責任者の責務)
第6条 保護責任者は、この規程に定められた事項を理解し、遵守するとともに、事務取扱担当者にこれを理解させ、遵守させるための教育訓練、安全対策の実施及び周知徹底等の措置を実施する責任を負う。
2 保護責任者は、特定個人情報等がこの規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。
(事務取扱担当者の責務)
第7条 事務取扱担当者は、特定個人情報等を取扱う業務に従事する際、番号法その他関連法令等及び保護責任者の指示した事項に従う。
2 事務取扱担当者は、具体的に命令され又は注意喚起された情報セキュリティ対策を怠ったことによって、職務上の秘密が漏えいし、公務の運営に重大な支障を生じさせた場合は懲戒処分の対象となることを認識した上で、その業務を行うものとする。
3 事務取扱担当者は、保護責任者が措置するこの規程を遵守させるための教育を受けなければならない。
(運用状況の記録)
第8条 保護責任者は、運用状況を確認するため、次に掲げる項目につき、利用実績等を記録する。
(1) 特定個人情報等の取得及び特定個人情報ファイルへの入力状況
(2) 書類・媒体等の持ち出しの記録
(3) 管理区域及び取扱区域への入退室
(4) 特定個人情報ファイルの削除又は廃棄記録
(5) 事務取扱担当者の特定個人情報ファイルを取り扱う情報システムの利用状況の記録
(取扱状況の確認手段)
第9条 事務取扱担当者は、特定個人情報ファイルの取扱状況を確認するため、次に掲げる事項を記録するものとする。
(1) 特定個人情報ファイルの種類及び名称
(2) 利用目的
(3) 削除又は廃棄状況
(4) 特定個人情報ファイルを取り扱う管理区域の場所
(5) 特定個人情報等を取り扱う事務を実施する取扱区域の場所
(情報漏えい等事案への対応)
第10条 事務取扱担当者は、特定個人情報等の漏えい等による事故が発生したことを知った場合又はその恐れがあると判断した場合は、情報セキュリティに関する統一的な窓口(以下「窓口」という。)及び保護責任者へ報告し、保護責任者は、窓口の指示に従い次の措置を講ずるものとする。
(1) 組織内における報告及び被害の拡大防止
(2) 事実関係の調査及び原因の究明
(3) 影響範囲の特定
(4) 再発防止策の検討及び実施
(5) 影響を受ける可能性のある本人への連絡等
(6) 事実関係、再発防止策等の公表
(7) 個人情報保護委員会への報告
(監査、点検及び訓練等による取扱状況の検証)
第11条 保護責任者は、情報セキュリティ委員会で承認を受けた計画等に基づき実施される監査、点検及び訓練等により、特定個人情報の適正な取扱いその他法令等の遵守状況について検証しなければならない。
(取扱状況の確認及び安全管理措置の見直し)
第12条 保護責任者は、前条の監査、点検、訓練等の結果に基づき、安全管理措置の評価、見直し及び改善に取り組むものとする。
(1) 管理区域 入退室管理及び管理区域へ持ち込む機器、電子媒体等の制限を行う。
(2) 取扱区域 事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等をするなど座席配置を工夫し、事務取扱担当者以外の者が特定個人情報等を容易に閲覧等できないようにする。
(機器及び電子媒体等の盗難等の防止)
第14条 保護責任者は、管理区域及び取扱区域における特定個人情報等を取扱う機器、電子媒体、書類等の盗難又は紛失を防止するため、特定個人情報等を取扱う機器(機器の内部に特定個人情報等を保存しない場合を除く。)、電子媒体、書類等は、施錠できる場所に保管するものとする。
(電子媒体等の取扱いにおける漏えい等の防止)
第15条 特定個人情報等が記録された電子媒体又は書類等の持ち運びは、次の各号に掲げる場合を除き禁止する。なお、持ち運びとは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動も持ち運びに該当するものとする。
(1) 個人番号関係事務又は個人番号利用事務に係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
(2) 行政機関等への法定調書の提出等、個人番号関係事務又は個人番号利用事務に関して個人番号利用事務の実施者に対しデータ又は書類を提出する場合
2 前項の規定により特定個人情報等が記録された電子媒体又は書類等の持ち運びを行う場合には、必要に応じ、次に掲げる安全策を講ずるものとする。
(1) 特定個人情報等が記録された電子媒体を安全に持ち運ぶ方法
ア 持出しデータの暗号化
イ 持出しデータのパスワードによる保護
ウ 施錠できる搬送容器の使用
エ 追跡可能な移送手段の利用
(2) 特定個人情報等が記載された書類等を安全に持ち運ぶ方法
ア 封緘、目隠しシールの貼付
(廃棄又は削除における物理的安全管理措置)
第16条 特定個人情報等の廃棄又は削除における記録媒体等の管理は、次のとおりとする。
(1) 事務取扱担当者は、特定個人情報等が記録された書類等を廃棄する場合、シュレッダー等による記載内容が復元不可能な状態までの裁断、焼却場での焼却、溶解等の復元不可能な手段を用いるものとする。
(2) 事務取扱担当者は、特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用、物理的な破壊等の復元不可能な手段を用いるものとする。
(3) 事務取扱担当者は、特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を用いるものとする。
(4) 特定個人情報等を取り扱う情報システムにおいては、当該関連する法定調書の法定保存期間が経過する日が属する年の末日までに個人番号を削除するものとする。
(5) 個人番号が記載された書類等については、当該書類等の保存期間が経過する日が属する年の末日までに廃棄をするものとする。
2 事務取扱担当者は、個人番号若しくは特定個人情報ファイルを削除した場合又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。
(アクセス制御)
第17条 特定個人情報へのアクセス制御は、次のとおりとする。
(1) 情報システムにおいて、アクセスすることのできる特定個人情報ファイルを限定する。
(2) 特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
(アクセス者の識別と認証)
第18条 特定個人情報を取り扱う情報システムは、ユーザー情報及び二要素認証により、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証するものとする。
(外部からの不正アクセス等の防止)
第19条 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する方法は、特定個人情報を取り扱うネットワークとインターネットを分離し、インターネット以外の通信は特定通信として許可されたもの以外通信不可とする方法とする。
(情報漏えい等の防止)
第20条 特定個人情報をインターネット等により外部に送信する場合、通信経路における情報漏えい及び情報システムに保存されている特定個人情報の情報漏えい等を防止するものとする。
(特定個人情報の適正な取得)
第21条 特定個人情報等の取得は、適法かつ公正な手段によって行うものとする。
(特定個人情報の利用目的)
第22条 特定個人情報等の利用目的は、第3条に規定する事務の範囲内とする。
(特定個人情報の取得時の利用目的の通知等)
第23条 特定個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を情報主体に通知し、又は公表しなければならない。この場合において、通知の方法については、原則として書面(電子的方式又は磁気的方式で作られた記録を含む。以下同じ。)によることとし、公表の方法については、書面の掲示、ウェブサイトでの公表等適切な方法によるものとする。
2 利用目的の変更を要する場合は、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知、公表又は明示を行うことにより、変更後の利用目的の範囲内で特定個人情報を利用することができる。
(個人番号の提供の要求)
第24条 事務取扱担当者は、第3条に規定する事務を処理するために必要がある場合に限り、本人に対して個人番号の提供を求めることができるものとする。
(個人番号の提供を求める時期)
第25条 事務取扱担当者は、第3条に規定する事務を処理するために必要があるときに限り、本人に対して個人番号の提供を求めることができるものとする。
(特定個人情報の提供の求めの制限)
第26条 事務取扱担当者は、番号法第19条各号のいずれかに該当し特定個人情報の提供を受けることができる場合を除き、特定個人情報の提供を求めてはならない。
(特定個人情報の収集制限)
第27条 事務取扱担当者は、第3条に規定する事務の範囲を超えて、特定個人情報を収集しないものとする。
(本人確認)
第28条 事務取扱担当者は、番号法第16条に規定する措置により、本人の個人番号の確認及び本人確認を行う。また、代理人については、同条に規定する措置により、当該代理人の身元確認、代理権の確認及び本人の個人番号の確認を行う。
(個人番号の利用制限)
第29条 人の生命、身体又は財産の保護のために必要がある場合を除き、本人の同意があったとしても、利用目的を超えて特定個人情報を利用してはならない。
(特定個人情報ファイルの作成の制限)
第30条 特定個人情報ファイルを作成するのは、第3条に規定する事務を実施するために必要な範囲に限り、これらの場合を除き特定個人情報ファイルを作成してはならない。
(特定個人情報の保管制限)
第31条 特定個人情報は、第3条に規定する事務の範囲を超えて保管してはならない。
2 第3条に規定する事務における個人番号を記載する書類等の保存期間は所管法令で定められた期間とし、保存期間を経過するまでの間は、当該書類だけでなく、個人番号をシステム内においても保管することができることとする。
(特定個人情報の提供制限)
第32条 番号法第19条各号に掲げる場合を除き、本人の同意の有無に関わらず、特定個人情報を第三者に提供してはならない。
(特定個人情報の廃棄又は削除)
第33条 第3条に規定する事務を処理する必要がある期間に限り、個人番号が記載された書類を保管し続けるものとする。
2 第1項に規定する書類に記載された個人番号については、それらの事務を処理する必要がなくなり、定められた保存期間を経過した場合には、特定個人情報を速やかに廃棄又は削除するものとする。
(委託先における安全管理措置)
第34条 保護責任者は、第3条に規定する事務の全部又は一部を委託する場合には、自らが果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう、必要かつ適切な監督を行うものとする。
2 委託先は、病院事業管理者の許諾を得た場合に限り、委託を受けた個人番号関係事務又は個人番号利用事務の全部又は一部を再委託することができるものとする。再委託先が更に再委託する場合も同様とする。
(補則)
第35条 この規程に定めるもののほか必要な事項は、別に定める。
附則
この規程は、公布の日から施行する。