○上三川町本人確認情報管理規程

平成28年1月5日

告示第5号

目次

第1章 総則(第1条―第3条)

第2章 基本原則(第4条―第11条)

第3章 管理体制(第12条―第14条)

第4章 安全管理(第15条―第26条)

第5章 帳票管理(第27条―第29条)

第6章 その他(第30条・第31条)

附則

第1章 総則

(目的)

第1条 この規程は、住民基本台帳ネットワークシステム(以下「住基ネット」という。)の情報資産(住民基本台帳ネットワークシステムに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)を適切に管理するために必要な事項を定めるものとする。

(用語の定義)

第2条 この規程において、次の各号に掲げる用語の定義は、それぞれ当該各号に定めるところによる。

(1) 住基ネット コミュニケーションサーバ、都道府県サーバ、指定情報処理機関サーバ、端末機、電気通信関係装置(ファイアウォールを含む。以下同じ。)、電気通信回線、プログラム等により構成され、市町村長(特別区の区長を含む。以下同じ。)が本人確認情報(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の5第1号に規定する本人確認情報をいう。)を都道府県知事に通知し、委任都道府県知事(法第30条の10第3項に規定する委任都道府県知事をいう。以下同じ。)が本人確認情報を指定情報処理機関(法第30条の10第1項に規定する指定情報処理機関をいう。以下同じ。)に通知し、並びに都道府県知事及び指定情報処理機関が本人確認情報の記録、保存及び提供を行うためのシステム

(2) コミュニケーションサーバ 都道府県知事に本人確認情報の通知及び転出確定通知(住民基本台帳法施行令(昭和42年政令第292号。以下「令」という。)第13条第3項の規定による通知をいう。以下同じ。)を行うための市町村長の使用に係る電子計算機

(3) 都道府県サーバ 市町村長から本人確認情報の通知及び転出確定通知を受け、本人確認情報の記録、保存及び提供を行い、並びに委任都道府県知事にあっては、指定情報処理機関に本人確認情報の通知を行うための都道府県知事の使用に係る電子計算機

(4) 指定情報処理機関サーバ 委任都道府県知事から本人確認情報の通知を受け、本人確認情報の記録、保存及び提供を行うための指定情報処理機関の使用に係る電子計算機

(5) ファイアウォール ネットワークにおいて不正侵入を防御する電子計算機

(6) 情報資産 住基ネットに係る全ての情報(データを含む。)及び情報システム(ハードウェア、ソフトウェア、ネットワーク及び磁気ディスクなどをいう。以下同じ。)の総称

(7) データ 住基ネットにおいて通知され、記録され、保存され、又は提供される情報

(8) 情報セキュリティ 情報資産をさまざまな危険や脅威から保護し、正常な機能及び状態を保持すること。

(9) サーバ室 電子計算機、磁気ディスク等保管室、受電設備、低周波電源装置等の設備を設置する室並びに電子計算機室及び磁気ディスク等保管室の空気調和をする空気調和機及びその付属設備を設置する室

(10) 従事者 上三川町職員のうち、現に住基ネットの事務に従事している住民生活課総合窓口係員

(11) 管理責任者 第12条に規定するデータ統括保護管理者及び本人確認情報管理責任者

(12) 本人確認情報管理を行う機器 住基ネットの情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び住民基本台帳カードについて本人確認情報管理を行う機器

(適用範囲)

第3条 この規定は、従事者及び管理責任者並びに住基ネットのうち、上三川町が整備及び管理責任を持つ範囲における情報資産及びその構成機器や関連設備を設置する建物等に適用する。

第2章 基本原則

(基本方針)

第4条 個人情報は個人の人格尊重の理念の下に慎重に取り扱われるべきものであることから、従事者及び管理責任者は、法令等の遵守はもとより、次条から第11条までの規定にのっとり、本人確認情報を適正に取り扱わなければならない。

(利用又は提供目的の明確化)

第5条 本人確認情報の利用又は提供は、法令等の定める事由でなければならない(法第30条の7第3項から第7項まで及び法第30条の8関係)。

(適正な取得)

第6条 本人確認情報は、適法かつ適正な方法で収集及び提供されなければならない(法第30条の5関係)。

(利用及び提供の制限)

第7条 本人確認情報は、法令等に定める目的以外に利用し、又は提供してはならない(法第30条の30第1項及び法第30条の34関係)。

(正確性の確保)

第8条 本人確認情報を常に最新かつ正確な状態に保たなければならない(法第12条の3及び法第30条の5関係)。

(安全性の確保)

第9条 本人確認情報の取扱いに当たっては漏えい、滅失又は毀損の防止その他の本人確認情報の適切な管理のために必要な措置を講ずるものとする(法第30条の29及び法第30条の33関係)。

(公開の原則)

第10条 本人確認情報の取扱い状況を明らかにするものとする(法第30条の7第8項(ただし、指定情報処理機関へ委任した部分を除く。)及び法第30条の23第2項関係)。

(訂正の確保)

第11条 本人確認情報の取扱いに当たっては、本人確認情報の所在及び内容が確認でき、かつ、訂正等に対応できる体制を講ずるものとする(法第30条の37及び法第30条の40関係)。

第3章 管理体制

(管理責任者)

第12条 住基ネットの情報セキュリティを確保するため、次の各号の体制を整備するものとする。

(1) 住基ネットの情報セキュリティに関する最高責任者としてデータ統括保護管理者(以下「統括保護管理者」という。)を置き、副町長をもって充てる。

(2) 本人確認情報管理責任者を置き、住民生活課長をもって充てる。

(3) 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するものとするとともに、当該本人確認情報の漏えい、滅失及び毀損の防止その他の当該本人確認情報の適切な管理のための必要な措置を講じなければならない。

(4) 本人確認情報管理責任者は、本人確認情報管理を行う機器の管理方法を定めるものとする。

(本人確認情報管理方法)

第13条 本人確認情報管理責任者は、当該情報資産の管理方法(操作者の指定を含む)を定めるものとする。

2 本人確認情報管理責任者は、不正アクセス又は不正アクセスのおそれがあり、本人確認情報の漏えいや毀損等の被害を受けるおそれがある場合には、本人確認情報の保護を第一優先とし、ネットワークの遮断等の対応の判断を行うとともに、できるだけ速やかに改善措置を講ずるものとする。

(セキュリティ会議)

第14条 統括保護管理者は、セキュリティ会議を招集する。

2 セキュリティ会議は、統括保護管理者のほか、住民生活課長、企画課長、総合窓口係長によって組織する。

3 セキュリティ会議は、本人確認情報確認保護の遵守状況の確認、監査の実施、教育及び研修の実施、緊急時の対応等について総合的な審議や調整を行う。

4 統括保護責任者は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。

5 セキュリティ会議の庶務は、住民生活課において処理する。

第4章 安全管理

(本人確認情報の適正な取扱い)

第15条 従事者は、本人確認情報を取り扱う際、セキュリティを確保して適正に取り扱うため、次の各号に掲げる点に留意する。

(1) 統合端末のディスプレイを、来庁者等に画面を見られることがないよう設置する。

(2) 統合端末のディスプレイに斜視防止フィルタを適用する等の覗き見防止措置を行う。

(3) スクリーンセーバを利用する等して、統合端末の画面を長時間表示させない。

(4) 本人確認情報の入力、削除及び訂正を行った者以外の者が、入力、削除及び訂正した内容を確認する。

(5) 本人確認情報の入力、削除及び訂正に用いた帳票等は、シュレッダー等で廃棄する。

(6) 本人確認情報の訂正は、本人確認情報管理責任者の許可を得てから行い、訂正した内容の記録を1年間、施錠可能な書庫等に施錠保存する。

(7) 本人確認情報をメモに書き込む及び端末にテキスト文書として保存したりしない。

(8) 本人確認情報の入力、削除及び訂正を行った際、実施月日、実施者、処理内容の記録を残していること。

(9) 業務上必要のない検索は行わない。

(10) 事前に、検索及び抽出条件を明確にする。

(11) 検索及び抽出の結果によってディスプレイ上に表示された本人確認情報について、基本的には画面のハードコピーを取らない。必要があってハードコピーを取る場合は、事前に本人確認情報管理責任者の承認を得て、その記録を残す。

(12) 離席時は業務アプリケーションを必ずログオフ又は終了させる。

(13) 離席時に終了する場合でも、サーバの運用時間中は、端末1台は終了させないこと。

(14) 大量に本人確認情報を出力することは基本的に実施しない。必要があって、大量に本人確認情報を出力する場合は、事前に本人確認情報管理責任者の決裁及び承認を得て、その記録を残す。

(15) 大量を定義する印刷物(整合性確認処理時のファイルへの出力数)等の量は20名以上とする。

(実施状況の確認)

第16条 本人確認情報管理責任者は、1ヶ月に1回、第15条の規定が実際の業務において遵守されていることを確認し、その結果を記録する。

(ソフトウェアの適正な管理)

第17条 本人確認情報処理事務におけるセキュリティを確保するため、ソフトウェアの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を講ずるものとする。

(ハードウェアの適正な管理)

第18条 本人確認情報処理事務におけるセキュリティを確保するため、ハードウェアの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を講ずるとともに、電源対策、空気調和対策、防災対策、防犯対策等を講ずるものとする。

(ネットワークの適正な管理)

第19条 本人確認情報処理事務におけるセキュリティを確保するため、ネットワークの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を講ずるとともに、電源対策、空気調和対策、防災対策、防犯対策等を講ずるものとする。

(施設の適正な管理)

第20条 サーバ室及び端末装置等を設置する場所の入退室の管理、その他これらの施設への不正なアクセスを予防するための措置を講ずるものとする。

(操作管理)

第21条 電子計算機及び端末装置の操作手順に関して、適正な管理を行うために必要な措置を講ずるものとする。

(運用等における対策)

第22条 情報システムの監視、情報セキュリティ対策の遵守状況の確認等、運用面の対策を講ずるものとする。

(緊急時における対策)

第23条 住基ネットを構成するハードウェア、ソフトウェア及びネットワークの障害により住民サービスが停止する場合又は不正行為により本人確認情報に脅威を及ぼすおそれがある場合(以下「緊急時」という。)に、被害を未然に防ぎ、又は被害の拡大を防止し早急な復旧を図るため、緊急時対応計画書を作成するものとする。

2 緊急事態が発生した場合、又はそのおそれが認められる場合は、前項の規定に基づき迅速かつ適切な対策を講ずるものとする。

(従事者対策)

第24条 従事者に対し、情報セキュリティの重要性に関する意識の啓発を行うとともに、本人確認情報処理事務の適正な執行を確保するため、必要な措置を講ずるものとする。

(従事者及び管理責任者の義務)

第25条 従事者及び管理責任者は、情報セキュリティの重要性について共通の認識を持つとともに、業務の遂行において、法令等及びこの規程を遵守する義務を負う。

(監査)

第26条 情報セキュリティ対策が遵守されていることを検証するため、定期的に監査を実施するものとする。

第5章 帳票管理

(帳票管理方法)

第27条 管理の対象とする帳票は、次の各号に定めるものとする。

(1) 広域交付住民票

(2) 転入通知確認書

(3) 戸籍附票記載事項通知確認書

(4) 住民票コード要求・付番処理件数一覧表

(5) 住民票の写しの広域交付・特例転入出処理件数一覧表

(6) 本人確認情報更新処理一覧表

(7) 戸籍附票記載事項通知処理件数一覧表

(8) カード交付申請者一覧表

(9) カード交付通知書兼照会書

(10) カード運用状況集計表

(11) カード関連通知書

(12) カード発行結果リスト

(13) カード交付者一覧表

(14) カード交付状況

(15) カード交付通知書

(16) カード発行結果状況集計表

(17) カード有効枚数集計表

(18) 住民票コード通知表

(19) 本人確認情報リスト

(20) 本人確認情報整合結果リスト

2 本人確認情報管理責任者は、次の各号を記録するための帳票管理簿を作成し、帳票の出力、保管、廃棄等を行う際、従事者に必要項目を記録させる。ただし、住民からの申請書に基づき、住民に交付する部数のみを印刷する場合を除く。

(1) 帳票の内容(数量及び内訳)

(2) 出力又は廃棄年月日

(3) 出力又は廃棄する従事者の氏名及び所属課名

(4) 使用理由又は、廃棄理由及び廃棄方法

(5) 本人確認情報管理責任者の承認

(6) 注意項目

(7) 保管場所及び保管期間

3 従事者は、帳票を出力する際は、次の各号に掲げる点に留意する。

(1) 出力装置を、来庁者等に出力帳票を見られないように設置する。

(2) 帳票を出力した際、出力装置上に放置せず、速やかに回収する。

(3) 出力装置を適時確認し、帳票が放置されている場合は、出力した者を特定して注意し、廃棄等の対処をする。

4 従事者は、帳票及び帳票管理簿を保管する際は、施錠可能な書庫等に保管し、権限のない者がアクセスできないようにする。鍵は本人確認情報管理責任者が管理する。

5 従事者は、帳票を廃棄する際は、事前に本人確認情報管理責任者の承認を得て、廃棄状況を帳票管理簿に記録し、焼却、裁断等により廃棄する。

(帳票受渡管理方法)

第28条 本人確認情報管理責任者は、次の各号を記録するための帳票受渡管理簿を作成し、帳票を利用する際、職員に必要項目を記録させる。

(1) 帳票名

(2) 利用する職員の氏名及び所属課名

(3) 利用目的

(4) 利用年月日及び返却予定年月日

(5) 利用場所

(6) 返却年月日

(7) 本人確認情報管理責任者の確認

2 職員は、帳票を持ち出す際は、次の各号に掲げる点に留意する。

(1) 帳票受渡管理簿に必要項目を記録して、本人確認情報管理責任者の承認を得る。

(2) 利用中は、保管場所と同等の安全を確保し、権限のない者がアクセス可能な場所に放置しない。

(3) 原則として、複写は行わない。

(4) 帳票の盗難又は紛失時には、直ちに本人確認情報管理責任者へ報告する。

(5) 返却の際、帳票受渡管理簿に必要項目を記録して、本人確認情報管理責任者へ報告する。

(帳票に関する実施状況の確認)

第29条 本人確認情報管理責任者は、1ヶ月に1回、次の各号に掲げる点について確認し、その結果を記録する。

(1) 帳票管理簿に必要項目(帳票の内容、出力年月日、出力した職員の氏名等)が記録されている。

(2) 帳票管理簿と現況が一致しており、紛失等はない。

(3) 出力装置が、来庁者等に出力された帳票を見られないよう設置されている。

(4) 帳票及び帳票保管庫の鍵が施錠保管されており、権限のない者がアクセス可能な場所に放置されていない。

(5) 廃棄状況の記録が残っている

第6章 その他

(管理業務等の委託)

第30条 住基ネットの管理に係る業務(以下「管理業務」という。)等を委託する場合は、その委託先事業者の選定に当たって、個人情報保護措置の実施状況等を考慮するものとする。

2 管理業務等を委託する場合は、情報資産の保護のために次の各号に掲げる事項を委託先事業者と取り交わすものとする。

(1) 法第30条の17第2項に規定する秘密保持義務に関する事項

(2) 法第30条の29第2項に規定する本人確認情報の安全確保に関する事項

(3) 意識の啓発及び教育に関する事項

(4) 損害賠償に関する事項

(5) 法令の遵守に関する事項

(6) 委託事業の一部を第三者に委託又は請け負わせる場合の制限、事前申請及び承認に関する事項

(7) 前各号に掲げるもののほか、必要な措置に関する事項

3 委託先事業者について、委託の都度、必要最小限の人数で、本人確認情報を取り扱うことができる者を指定する。

4 委託先事業者に対し、適切な監督を行うものとする。

(雑則)

第31条 この規程については、法の改正、情報技術の進展に伴う住基ネットの変更又はその他の事由により、適時見直しを行うものとする。

附 則

この規程は、平成28年1月5日から施行する。

上三川町本人確認情報管理規程

平成28年1月5日 告示第5号

(平成28年1月5日施行)

体系情報
第3編 執行機関/第1章 長/第4節 情報の公開・保護等
沿革情報
平成28年1月5日 告示第5号