第２条　この規程において使用する用語は、法及び橿原市個人情報の保護に関する法律施行条例（令和４年橿原市条例第29号。以下「条例」という。）において使用する用語の例による。

（市の責務）

第３条　条例第２条第１項の市の機関（以下「実施機関」という。）においては、保有個人情報の漏えい等が生じた場合に本人が被る権利利益の侵害の大きさを考慮し、事務又は業務の規模及び性質、保有個人情報の取扱状況（取り扱う保有個人情報の性質及び量を含む。）、保有個人情報を記録した媒体の性質等に起因するリスクに応じて、個人情報の安全管理のために必要かつ適切な措置を講ずるものとする。

２　実施機関の職員（会計年度任用職員及び派遣労働者を含む。以下同じ。）は、法の趣旨にのっとり、関連する法令、規程等の定めに従い、保有個人情報を取り扱わなければならない。

（個人情報適正管理委員会）

第４条　保有個人情報の管理に係る重要事項の決定、連絡、調整等を行うため、本市に橿原市個人情報適正管理委員会（以下「管理委員会」という。）を設置する。

２　管理委員会は、次条に規定する個人情報保護責任者をもって組織し、委員長は副市長、副委員長は個人情報保護を所管する部長をもって充てる。

３　管理委員会の庶務は、個人情報保護を所管する課又は室において処理する。

（個人情報保護責任者）

第５条　各実施機関に、次の各号に掲げる区分に応じ、個人情報保護責任者を置く。

(１)　市長　部（橿原市役所行政組織条例（平成８年橿原市条例第27号）第１条に掲げる内部組織をいう。）ごとに、それぞれ個人情報保護責任者を置き、各部の長をもって充てる。

(２)　前号以外の実施機関　次の表の右欄に掲げる者をもって充てる。

２　個人情報保護責任者は、その所管する部又は実施機関（以下「部等」という。）の保有個人情報の取扱いに関して、統括的な権限及び責任を有する。

３　個人情報保護責任者は、その所管する部等の保有個人情報について、緊急時等における連絡体制の整備並びに本指針の遵守に関する意見の集約並びに職員に対する教育、訓練、助言及び指示を行うものとする。

（個人情報保護管理者）

第６条　橿原市個人情報の保護に関する法律等施行規則（令和５年橿原市規則第20号）の規定により各実施機関の課室等に個人情報保護管理者を置き、当該課室等の長をもって充てる。

（個人情報保護担当者）

第７条　各課室等に当該課室等の個人情報保護管理者が指定する個人情報保護担当者を１人又は複数人置く。

２　個人情報保護担当者は、個人情報保護管理者を補佐し、各課室等における保有個人情報の管理に関する事務を担当する。

（個人情報監査責任者）

第８条　本市に個人情報監査責任者（以下「監査責任者」という。）を置き、個人情報保護を所管する副部長をもって充てる。

２　監査責任者は、保有個人情報の管理の状況について監査する任に当たる。

（教育研修）

第９条　管理委員会及び個人情報保護責任者は、保有個人情報の取扱いに従事する職員に対し、保有個人情報の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。

２　管理委員会及び個人情報保護責任者は、個人情報保護管理者及び個人情報保護担当者に対し、課室等の現場における保有個人情報の適切な管理のための教育研修を必要に応じて実施するものとする。

３　個人情報保護管理者は、当該課室等の職員に対し、保有個人情報の適切な管理のために、管理委員会又は個人情報保護責任者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。

（アクセス等の制限）

第10条　個人情報保護管理者は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報にアクセスする権限を有する職員の範囲及び権限の内容を、当該職員が業務を行う上で必要最小限の範囲に限るものとする。

２　アクセス権限を有しない職員は、保有個人情報にアクセスしてはならない。

３　職員は、アクセス権限を有する場合であっても、業務上の目的以外の目的で保有個人情報にアクセスしてはならず、アクセスは必要最小限としなければならない。

４　個人情報保護管理者は、職員が業務上の目的で保有個人情報を取り扱う場合であっても、次に掲げる行為については、当該保有個人情報の秘匿性等その内容に応じて当該行為を行うことができる場合を必要最小限に限定するものとする。

(１)　保有個人情報の複製

(２)　保有個人情報の送信

(３)　保有個人情報が記録されている媒体の外部への送付又は持ち出し

(４)　その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為

５　職員は、前項各号に掲げる行為については、個人情報保護管理者の指示に従い行うものとする。

（媒体等の取扱い）

第11条　職員は、個人情報保護管理者の指示に従い、保有個人情報が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、施錠ができる什器又は耐火金庫に施錠の上保管しなければならない。

２　職員は、保有個人情報が記録されている媒体を外部へ送付し、又は持ち出す場合には、原則として、パスワード等（パスワード、ＩＣカード、生体情報等をいう。）を使用して権限を識別する機能を設定する等のアクセス制御のために必要な措置を講じなければならない。

（誤送信等の防止）

第12条　職員は、保有個人情報を含む電磁的記録又は媒体の誤送信、誤送付、誤交付又はウェブサイト等への誤掲載を防止するため、個別の事務又は事業において取り扱う個人情報の秘匿性等その内容に応じ、複数の職員による確認やチェックリストの活用等の必要な措置を講じなければならない。

（外国における取扱い）

第13条　保有個人情報が外国（民間事業者が提供するクラウドサービスを利用する場合においては、当該クラウドサービスを提供する事業者が所在する外国及びデータが保存されるサーバ等が所在する外国が該当する。）において取り扱われる場合は、当該外国の個人情報の保護に関する制度等を把握した上で、保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。

（取扱い状況の記録）

第14条　個人情報保護管理者は、保有個人情報の秘匿性等その内容に応じて台帳等を整備し、当該保有個人情報の利用及び保管等の取扱いの状況について記録するものとする。

（廃棄）

第15条　職員は、保有個人情報又は保有個人情報が記録されている媒体（端末及びサーバに内蔵されているものを含む。）が不要となった場合には、個人情報保護管理者の指示に従い、当該保有個人情報の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行う。

２　保有個人情報の消去や保有個人情報が記録されている媒体の廃棄を委託する場合（２以上の段階にわたる委託を含む。）には、必要に応じて職員が消去及び廃棄に立ち会い、又は写真等を付した消去及び廃棄を証明する書類を受け取るなど、委託先において消去及び廃棄が確実に行われていることを確認する。

（誤りの訂正等）

第16条　職員は、保有個人情報の内容に誤り等を発見した場合には、個人情報保護管理者の指示に従い、訂正等を行わなければならない。

（情報システムにおける安全の確保等）

第17条　職員は、保有個人情報を情報システムで取り扱う場合は、橿原市情報セキュリティポリシー（令和２年２月14日実施）を遵守しなければならない。

２　各実施機関は、個人情報を取り扱い、又は情報システムを構築し、若しくは利用するに当たっては、サイバーセキュリティ基本法（平成26年法律第104号）第26条第１項第２号に掲げられたサイバーセキュリティに関する対策の基準等を参考として、取り扱う保有個人情報の性質等に照らして適正なサイバーセキュリティの水準を確保しなければならない。

（個人情報の取扱いの委託）

第18条　個人情報の取扱いに係る業務を外部に委託（以下「外部処理委託」という。）をする場合には、個人情報の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置を講じなければならない。

２　外部処理委託を行う場合は、契約書に次に掲げる事項を明記するとともに、委託先における責任者及び業務従事者の管理及び実施体制並びに個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認するものとする。

(１)　個人情報に関する秘密保持、利用目的以外の目的のための利用の禁止等の義務

(２)　再委託（再委託先が委託先の子会社である場合も含む。以下同じ。）の制限又は事前承認等再委託に係る条件に関する事項

(３)　個人情報の複製等の制限に関する事項

(４)　個人情報の安全管理措置に関する事項

(５)　個人情報の漏えい等の事案の発生時における対応に関する事項

(６)　委託終了時における個人情報の消去及び媒体の返却に関する事項

(７)　法令及び契約に違反した場合における契約解除、損害賠償責任その他必要な事項

(８)　契約内容の遵守状況についての定期的報告に関する事項及び委託先における委託された個人情報の取扱状況を把握するための監査等に関する事項（再委託先の監査等に関する事項を含む。）

３　保有個人情報の取扱いに係る業務を外部に委託する場合には、取扱いを委託する個人情報の範囲は、委託する業務内容に照らして必要最小限でなければならない。

４　保有個人情報の取扱いに係る業務を外部に委託する場合で、個人情報を直接に処理する期間が３か月を超える場合には、委託する業務に係る保有個人情報の秘匿性等その内容、量等に応じて、作業の管理及び実施体制並びに個人情報の管理の状況について、１年間につき１回以上、原則として実地検査により確認しなければならない。

５　委託先において、保有個人情報の取扱いに係る業務が再委託される場合には、委託先に第１項及び第２項の措置を講じさせるとともに、再委託される業務に係る保有個人情報の秘匿性等その内容に応じて、委託先を通じて又は委託元自らが前項の措置を実施する。この場合において、保有個人情報の取扱いに係る業務について再委託先が再々委託を行う場合以降も同様とする。

６　保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記しなければならない。

７　保有個人情報を提供し、又は業務委託する場合には、漏えい等による被害発生のリスクを低減する観点から、提供先の利用目的、委託する業務の内容、保有個人情報の秘匿性等その内容などを考慮し、必要に応じ、特定の個人を識別することができる記載の全部若しくは一部を削除し、又は別の記号等に置き換える等の措置を講じなければならない。

（安全管理上の問題への対応）

第19条　職員は、保有個人情報の漏えい等安全管理の上で問題となる事案又は問題となる事案の発生のおそれを認識した場合は、直ちに当該保有個人情報を管理する個人情報保護管理者に報告しなければならない。

２　個人情報保護管理者は、前項による報告を受けた場合は、被害の拡大防止又は復旧等のために必要な措置を速やかに講じなければならない。ただし、外部からの不正アクセスや不正プログラムの感染が疑われる場合は、当該端末等のＬＡＮケーブルを抜くなど、被害拡大防止のため直ちに行い得る措置について、職員が直ちに行うことを妨げるものではない。

３　個人情報保護管理者は、事案の発生した経緯、被害状況等を調査し、個人情報保護責任者に報告しなければならない。ただし、特に重大と認める事案が発生した場合には、直ちに個人情報保護責任者に当該事案の内容等について報告しなければならない。

４　個人情報保護責任者は、前項による報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を管理委員会、実施機関の長等に速やかに報告しなければならない。

５　個人情報保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるとともに、同種の業務を実施している部等に再発防止措置を共有するものとする。

６　漏えい等が生じた場合であって法第68条第１項の規定による個人情報保護委員会への報告及び同条第２項の規定による本人への通知を要する場合には、前各項と並行して、速やかに所定の手続を行うとともに、個人情報保護委員会による事案の把握等に協力する。

７　法第68条第１項の規定による個人情報保護委員会への報告及び同条第２項の規定による本人への通知を要しない場合であっても、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、本人への連絡等の措置を講ずるものとする。

（監査及び点検の実施）

第20条　監査責任者は、実施機関等における保有個人情報の適切な管理を検証するため、この規程に定める措置の状況を含む保有個人情報の管理の状況について、定期に又は必要に応じ随時に監査（実地監査及び外部監査を含む。以下同じ。）を行い、その結果を個人情報保護責任者、管理委員会、当該実施機関の長等に報告するものとする。

２　個人情報保護管理者は、各課室等における保有個人情報の記録媒体、処理経路、保管方法等について、定期に又は必要に応じ随時に点検を行い、必要があると認めるときは、その結果を個人情報保護責任者に報告するものとする。

３　個人情報保護責任者、個人情報保護管理者等は、監査又は点検の結果等を踏まえ、実効性等の観点から保有個人情報の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずるものとする。

（その他）

第21条　この規程に定めるもののほか、個人情報の管理に関し必要な事項は、市長が別に定める。

この規程は、令和６年１月１日から実施する。