(諮問第143号説明資料)

Similar documents

必要となる教育を行うとともに 実施結果について指定する書面により甲に提出しなければならない 第 10 条乙は 甲がこの特記事項の遵守に必要となる教育を実施するときは これを受けなければならない ( 知り得た情報の保持の義務 ) 第 11 条乙は 本契約の履行に当たり知り得た受託情報を第三者に漏らして

特定個人情報の取扱いに関する管理規程 ( 趣旨 ) 第 1 条この規程は 特定個人情報の漏えい 滅失及び毀損の防止その他の適切な管理のための措置を講ずるに当たり遵守すべき行為及び判断等の基準その他必要な事項を定めるものとする ( 定義 ) 第 2 条 この規定における用語の意義は 江戸川区個人情報保

プライバシーマーク審査センター審査業務規則

(3) 利用 保管方法 要介護認定情報等の申出にて発生する厚生労働省 大学内での倫理審査の文書 研究方法のマニュアル等は 研究室で適切に管理する 厚生労働省より提供を受けた要介護認定情報等の保存媒体の保管場所は 研究室の戸棚に保管し 施錠する 要介護認定情報等の利用場所は 研究室のみとする サーバ室

情報セキュリティ基本方針書(案)

マイナンバー対策セミナー(実践編) 「マイナンバー対策マニュアル」を利用した具体的な対策方法について

スマートデバイス利用規程 1 趣旨 対象者 対象システム 遵守事項 スマートデバイスのセキュリティ対策 スマートデバイスの使用 スマートデバイスに導入するソフトウェア スマー

目 次 第 1 はじめに 2 1 ガイドライン策定の目的 2 2 ガイドラインの対象となる防犯カメラ 2 3 防犯カメラで撮影された個人の画像の性格 2 第 2 防犯カメラの設置及び運用に当たって配慮すべき事項 3 1 設置目的の設定と目的外利用の禁止 3 2 設置場所 撮影範囲 照明設備 3 3

Microsoft Word - 06_個人情報取扱細則_ doc

はじめてのマイナンバーガイドライン(事業者編)

4 保護管理者は 次の各号に掲げる組織体制を整備する (1) 職員 ( 臨時職員を含む 以下同じ ) がこの訓令に違反している事実又は兆候を把握した場合の保護管理者及び監査責任者への報告連絡体制 (2) 保有個人情報等の漏えい 滅失又は毀損等 ( 以下 情報漏えい等 という ) の事案の発生又は兆候

<4D F736F F D204E4F2E CC2906C8FEE95F195DB8CEC82C982A882AF82E98AC48DB882C98AD682B782E98B4B92F68DC C5>

Microsoft Word - ○指針改正版(101111).doc

第 1 はじめに 1 ガイドライン策定の目的安全で安心なまちづくりを進める上で 近年 防犯カメラの設置は広く有用であると認められており 市内においても防犯カメラの設置が進んでいます しかし その一方で 知らないうちに自分の姿が撮影され 目的外に利用されること等に不安を感じる市民の方もいます そこで

特定個人情報の取扱いの対応について

特定個人情報等取扱規程

業務委託契約書

<93C18B4C8E64976C8F9195CA8E862E786C73>

公 印 規 程

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

特定個人情報取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 岩手県建設業厚生年金基金 ( 以下 当厚生年金基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義 ) 第 2 条本

閣原防第 6 号 原子力防災会議保有個人情報管理規程を次のように定める 平成 24 年 12 月 25 日 原子力防災会議議長野田佳彦 原子力防災会議保有個人情報管理規程 第 1 章総則 ( 目的 ) 第 1 条この規程は 原子力防災会議 ( 以下 会議 という ) の保有する個人情報の適切な管理に

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

戸籍制度に関する研究会資料 13 マイナンバー制度における個人情報保護と戸籍制度における個人情報保護 について 1 新システムにおける戸籍情報保護方針の検討 ( 制度面における検討の進め方とシステム面との関係について ) 秘匿性の高い情報を取り扱う戸籍事務にマイナンバー制度を導入するに当たっては,

日本赤十字社企業年金基金特定個人情報等取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 日本赤十字社企業年金基金 ( 以下 当基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義

3 乙は 業務従事者が本誓約に基づき課される守秘義務に違反した場合は 乙が本誓約に違反した ものとして その責任を負うものとする ( 乙による具体的措置の実施 ) 第 4 条乙は 業務従事者に対して入手した秘密情報を本件に必要な限度で開示 提供するものとする 2 乙は 甲の求めに応じて 業務従事者の

調査票

Ⅰ. マイナンバー制度概要 マイナンバー法の厳しい罰則規定 ( 民間企業 個人に係わるもの ) 行為懲役罰金 1 正当な理由がなく マイナンバーファイルを 提供 4 年以下 200 万円以下 2 不正な利益を得る目的で マイナンバーを 提供 盗用 3 年以下 150 万円以下 3 不正アクセス等によ

個人情報分析表 類型 K1: 履歴書 職務経歴書 社員基礎情報 各種申請書 誓約書 同意書 入退室記録 教育受講者名簿 理解度確認テスト 本人から直接取得 社員管理に利用する 保管庫に保管する 廃棄する 残存 1. 同意を得ないで取得する 1. 目的外利用する 1. 紛失する 1. 廃棄物から情報漏

第 1 章総則 ( 目的 ) 第 1 条本規程は 日立国際電気企業年金基金 ( 以下 基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義 ) 第 2 条本規程において 個人情報 とは 個

ください 5 画像の保存 取扱い防犯カメラの画像が外部に漏れることのないよう 一定のルールに基づき慎重な管理を行ってください (1) 取扱担当者の指定防犯カメラの設置者は 必要と認める場合は 防犯カメラ モニター 録画装置等の操作を行う取扱担当者を指定してください この場合 管理責任者及び取扱担当者

特定個人情報取扱細則 ( 目的 ) 第 1 条この細則は 当組合の個人情報保護方針及び特定個人情報取扱規程 ( 以下 規程 という ) 等に基づき 当組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条この細則で

1 策定の目的 この手引書は 茅ヶ崎市地域防犯カメラ ( 以下 地域防犯カメラ という ) の設置及び運用について配慮すべき事項を定めることにより 地域防犯カメラの有用性とプライバシー保護等との調和を図り 地域防犯カメラを適切かつ効果的に活用し 茅ヶ崎市の安心して安全に暮らせるまちづくりを推進するこ

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

程の見直しを行わなければならない 1 委託先の選定基準 2 委託契約に盛り込むべき安全管理に関する内容 (2) 個人データの安全管理措置に係る実施体制の整備 1) 実施体制の整備に関する組織的安全管理措置 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 6 項に基づき 個人データの

借上くんマイナンバー制度対応

特定個人情報取扱要領 ( 目的 ) 第 1 条この要領は この組合の 個人情報保護方針 および 特定個人情報取扱規程 ( 以下 規程 という ) に基づき この組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条

どこでも連絡帳 で利用するスマホ タブレットのセキュリティ対策盗難 紛失対策 1) メディカルケアステーションのパスワードは保存しない 2) パスワードで 画面をロックする (8 桁以上の英数字 & 記号の組み合わせで ) アンドロイドと iphone での設定の方法は 以下を参照してください 被害

Microsoft Word - 51.doc

中小企業向け はじめてのマイナンバーガイドライン

Microsoft Word - 4-2”©„Èfi_„�Ł\.doc

日商PC検定用マイナンバー_参考資料

<4D F736F F D CC2906C B835E82CC8EE688B582A282C98AD682B782E98B4B92F68CC2906C2E646F63>

1 ガイドライン策定の目的防犯カメラについては テレビや新聞で報道されているように 犯罪の解決や犯罪の抑止につながることなど その効果は社会的に認められており さまざまな施設に防犯カメラが設置されております しかし その効果が認知される一方で 防犯カメラにより個人のプライバシーなどの人権が侵害される

< F2D81A C091538AC7979D8B4B92F62889FC>

1 名称 三田市議会ペーパーレス会議システム導入 運用業務 2 目的電子データによる議会関連資料やその他関係資料の共有 情報の伝達 共有及びペーパーレス会議を実現するためのツールを導入することにより 議会運営の活性化及び議会 議員活動の効率化を図るとともに用紙類や印刷費 作業時間等に関わる経費等の削

個人情報保護規定

別紙 3 個人情報及び機密情報に係る標準特記仕様書 受託者は 契約書及び仕様書等に定めのない事項について この特記仕様書に定める事項に従って 契約を履行しなければならない 1 定義本業務において 公益財団法人東京都中小企業振興公社 ( 以下 公社という ) の保有する個人情報 ( 以下 単に 個人情

14個人情報の取扱いに関する規程

特定個人情報の取扱いの対応について

んだ者をいう 13 従業者本会の組織内にあって 直接または間接に本会の指揮監督を受けて本会の業務に従事している者をいい 従業員のみならず 本会との間の雇用契約にない者 ( 理事 監事 各委員会委員等及び派遣職員等 ) を含む 14 特定個人情報の取扱い特定個人情報の取得 安全管理措置 保管 利用 提

3 部門管理者は 個人データの取扱いを外部に委託する場合には その委託先における個人データの取扱状況等の監督を行わなければならない 4 個人データの取扱いにかかる事項であってこの細則に定めのない事項については 取扱者の申請に基づき 部門管理者がこれを承認して行う 5 部門管理者は 個人データの組織的

スライド 1

複十字病院診療録および診療諸記録の電子保存に関する運用管理規定

平成 30 年度新潟県自殺対策強化月間テレビ自殺予防 CM 放送業務委託契約書 ( 案 ) 新潟県 ( 以下 甲 という ) と ( 以下 乙 という ) とは 平成 30 年度新潟県自殺対 策強化月間テレビ自殺予防 CM 放送業務について 次の条項により委託契約を締結する ( 目的 ) 第 1 条

(I12) 土木学会特定個人情報取扱規程 平成 28 年 1 月 22 日制定 ( 目的 ) 第 1 条本規程は 公益社団法人土木学会 ( 以下 学会 という ) における 行政手続きにおける特定の個人を識別するための番号の利用等に関する法律 ( 以下 番号法 という ) 個人情報の保護に関する法律

<4D F736F F D208F4897D58B5A8CC2906C8FEE95F195DB8CEC8B4B92F65F4E45575F2E646F63>

社長必見≪ここがポイント≫マイナンバーガイドライン(事業者編)

Microsoft Word - sp224_2d.doc

特定個人情報取扱規程 ( 目的 ) 第 1 条社会福祉法人埼玉県社会福祉協議会 ( 以下 本会 という ) は 個人 番号及び特定個人情報を適正に取り扱うことを目的として 本規程を定める ( 用語の定義 ) 第 2 条本規程における用語の定義は 次の各号に定めるところによる (1) 番号法行政手続に

Ⅰ バイタルリンク 利用申込書 ( 様式 1-1)( 様式 ) の手続 バイタルリンク を利用する者 ( 以下 システム利用者 という ) は 小松島市医師会長宛に あらかじ め次の手順による手続きが必要になります 新規登録手続の手順 1 <システム利用者 ( 医療 介護事業者 )>

マイナンバー制度 実務対応 チェックリスト

<8B4B92F681458CC2906C8FEE95F195DB8CEC2E786C7378>

報主体の権利利益及びプライバシーの侵害の防止に関し 必要な措置を講じるよう勤める 2 本センターの職員等は 業務上知り得た個人情報を漏えいし または不当な目的に使用してはならない 第 2 章 管理体制及び責任 ( 管理体制 ) 第 6 条本センターは 個人情報の適切な管理を効果的に実施するため 役割

2 物理的対策関連サーバ故障時にあってもサービスを継続させるため 主要なサーバおよび接続機器は 別な物理サーバによるアクティブ - コールドスタンバイ構成による冗長構成とする (1) データ多重化ストレージ ( ハードディスク ) 故障時にあってもサービスを継続させるため 主要なサーバにおけるストレ

事務ガイドライン ( 第三分冊 )13 指定信用情報機関関係新旧対照表 Ⅰ-2 業務の適切性 現行改正後 ( 案 ) Ⅰ-2 業務の適切性 Ⅰ-2-4 信用情報提供等業務の委託業務の効率化の観点から 内閣総理大臣 ( 金融庁長官 ) の承認を受けて信用情報提供等業務の一部を委託することが可能とされて

特定個人情報の取扱いに関するモデル契約書 平成27年10月

財団法人日本体育協会個人情報保護規程

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

P004: 個人情報取り扱い細則 個人情報取り扱い細則 制定平成 26 年 9 月 1 日初版 改定平成 28 年 4 月 1 日第二版 株式会社 **** 個人情報保護 管理者 1/6

特定個人情報保護評価書 ( 基礎項目評価書 ) 評価書番号評価書名 23 国民年金関係事務基礎項目評価書 個人のプライバシー等の権利利益の保護の宣言 甲府市は 国民年金関係事務における特定個人情報ファイルの取扱いにあたり 特定個人情報ファイルの取扱いが個人のプライバシー等の権利利益に影響を及ぼしかね

特定個人情報取扱規程

相模原市防犯カメラの設置及び運用に関するガイドライン

保健福祉局地域福祉課

ALogシリーズ 監査レポート集

保健福祉局地域福祉課

Microsoft PowerPoint - 03 要綱概要版

Ⅱ. 防犯カメラの設置及び運用に当たっての留意事項 1 設置の目的防犯カメラの設置者は 犯罪 又は事故を防止するなどの目的を明確にし その目的を逸脱した運用を行わないようにしてください 2 撮影の範囲と設置場所防犯カメラで撮影された映像は その取扱いによっては 撮影された個人のプライバシーを侵害する

(Microsoft Word - \201iAL\201jAG-Link\227\230\227p\213K\222\350.doc)

第 4 条各課及び研究開発部 ( 以下 各課等 という ) に 保護管理者を一人置くこととし 別表第 1 欄のとおりとする 2 保護管理者は 各課等における保有個人情報を適切に管理する任に当たる ( 保護担当者 ) 第 5 条各課等に 当該各課等の保護管理者が指定する保護担当者を一人置くこととし 別

<4D F736F F D FAC94848BC CA94CC A83498ED05F E646F63>

第 1 ガイドライン策定の目的及び対象 1 ガイドライン策定の目的美濃加茂市では犯罪のない安全で安心できる住みよい地域社会を実現するため 平成 21 年 10 月に 美濃加茂市防犯活動推進条例 を施行するとともに 同条例に基づく防犯計画を策定し 市民 事業者及び市が一体となって 犯罪のないまちづくり

諮問第148号説明資料

Microsoft Word - 別冊1-0-表紙.doc

新潟勤労者医療協会 下越病院    医療情報システムに関する運用管理規程

扱う職員 ( 以下 特定個人情報等取扱者 という ) 並びにその役割を指定する 2 保護管理者は 各特定個人情報等取扱者が取り扱う特定個人情報等の範囲を指定する ( 監査責任者 ) 第 7 条研究所に監査責任者 1 人を置く 2 監査責任者は 総務課長をもって充てる 3 監査責任者は 保有個人情報等

< F2D8FEE95F1835A834C A CC2906C8FEE95F195DB8CEC82CC B E E6A7464>

とする 4 秘密情報へのアクセス 秘密情報の入手 利用 開示 提供 持出という行為には 秘密情報を記録した媒体へのアクセス及び秘密情報を記録した媒体の入手 利用 提供 開示 持出という行為も含むものとする 5 秘密情報の複製には 同一形式での複写 複製 ( 以下 単に複製という ) 以外にも 電磁的

Ⅰ はじめに 1 ガイドラインを策定する目的 大阪市は 政令指定都市の中でも街頭犯罪が多い都市となっており 安全で安心して暮らせるまちづくりのための対策が必要となっています その中で 防犯カメラは 24 時間撮影が可能であることから 犯罪の抑止効果があるとともに 犯罪発生時には容疑者の特定にも役立つ

独立行政法人農業者年金基金個人情報保護管理規程

保総発第○○○号

ネットワーク保守サービス 契約約款 2016 年 4 月 関西国際空港情報通信ネットワーク株式会社

Microsoft Word - 指針

目次 1. はじめに ) 目的 ) TRUMP1 での課題 登録施設におけるデータ管理の負担 登録から中央データベースに反映されるまでのタイムラグ ) TRUMP2 での変更 オンラインデータ管理の実現 定期

<4D F736F F D2082C782B182C582E D92A FE382CC97AF88D38E968D E646F6378>

上記の要件をすべて満たさないカメラ ( 例えば 録画装置を備えていないカメラ ) であっても 不特定多数の人を撮影している場合は プライバシーを侵害するおそれがあります このガイドラインの趣旨を踏まえ プライバシーの保護に配慮するとともに設置目的に沿った適切な運用を行うことが必要です 第 2 防犯カ

公益財団法人岩手県南技術研究センター特定個人情報取扱規程 平成 28 年 4 月 1 日制定 規程第 14 号 第 1 章目的等 ( 目的 ) 第 1 条この規程は 公益財団法人岩手県南技術研究センター ( 以下 センター という ) が 行政手続における特定の個人を識別するための番号の利用等に関す

一般社団法人北海道町内会連合会定款変更(案)

防犯カメラの設置及び管理運用に関するガイドライン Ⅰ はじめに 1 ガイドラインを策定する目的防犯カメラは 犯罪の抑止に役立ち 安全で安心して暮らせるまちづくりに 効果があると認められる また 自主防犯活動団体等による防犯活動を補完することで犯罪抑止効果の高まりや地域住民の防犯意識の向上 自主防犯活

Transcription:

( 諮問第 143 号説明資料 ) 障害福祉システムで個人情報を処理すること並びに同システムの開発業務及び 保守業務を委託することについて 1 諮問の内容身体障害者福祉法 知的障害者福祉法 障害者総合支援法ほか障害者に関する資格事務 届出の受理 その台帳管理等の情報管理は これまで紙台帳や簡易データベース ( エクセルファイル ) により対応してきたが 事務の効率化 情報のより適切な管理等を図るため 障害福祉システム ( 以下 本システム という ) を導入する ( 本システムで処理する事務は 別紙 1のとおり ) このことは 個人情報のコンピュータ処理に該当するため 審議会に諮問する また 本システムの開発業務及び保守業務は 外部の民間事業者に委託して行うこととなるため 個人情報を取り扱う業務の処理の委託についても併せて諮問する 2 諮問の理由個人情報のコンピュータによる処理及び個人情報を取り扱う業務の処理の委託は 千代田区個人情報保護条例 ( 平成 10 年千代田区条例第 43 号 ) 第 17 条第 1 項並びに同条例第 34 条の2 第 3 項に該当するため 審議会の意見を聴く 3 コンピュータ処理及び業務委託の必要性 (1) コンピュータ処理 障害者の異動 資格の取得 変更等に伴う事務処理を本システムで行うことにより 円滑かつ効率的に事務を行うことができ また 障害者の種別や支援の程度に応じたサービスを重複や漏れなく提供できる 定型的な事務処理 ( 例 : 台帳管理 行政報告 統計処理等 ) をシステム化することにより 職員の事務負担を大幅に軽減することができる 台帳管理事務をシステム化することにより 情報にアクセスできる者を限定し 誰がいつどのような作業をしたかを記録することが可能となり 情報セキュリティを向上することができる (2) 個人情報を取り扱う業務の処理の委託 本システムの開発業務においては 既存の紙台帳をデータ化し エクセルファイル等のデータを本システムへ取り込み また 各事務の流れを踏まえたカスタマイズが必要であり その業務は高度な専門性を要し 外部の事業者への委託が必要不可欠である システムトラブル等の迅速な復旧や職員の操作サポート等を内容とする保守業務を委託する必要がある 1

4 基本的な事務の流れ等 5 本システムの構成 住民情報の更新 2

6 取り扱う個人情報 別紙 2 のとおり 7 個人情報漏えい等のリスク及びその対策 (1) コンピュータ処理についてアシステム機器の盗難 破壊 ( ウィルス感染によるものも含む ) 障害等による漏えい 消去等のリスク ( ア ) サーバーを設置するデータセンターは 入退室セキュリティシステム ( 生体認証等 ) 監視カメラ( ビデオ映像保持 ) 何重ものセキュリティゲートを備え 24 時間有人監視を行っている ( イ ) 区役所庁舎内は 職員不在時には外部者が出入りできないようセキュリティ管理されている ( ウ ) 削除 ( エ ) クライアント内には個人情報を保存しない運用とする ( オ ) システム障害に備え サーバーのハードディスクを二重化するとともに 外部メディアに定期的にデータバックアップをとる ( バックアップデータには暗号化を行い 外部メディアはキャビネット内に施錠して管理する ) ( カ ) ウィルス対策ソフトを導入し 最新のパターンファイルに随時更新する ( 外部メディアを利用するときは ウィルスチェックを行う ) イ権限のない者による不正操作 ( 覗き見 複写等 ) 等により漏えいするリスク ( ア ) 本システムは インターネットを含む外部ネットワークとは接続しない閉鎖したシステムとする ( イ ) 削除 ( ウ ) 操作する職員毎に権限管理を行う システムの重要な変更に関する権限 ( 管理者権限 ) は 一部の職員に限定して付与する ( エ ) システムソフトウェアにおいてアクセスログをとる ( 不正な操作が行われていないかアクセスログをチェックする ) ( オ ) システム操作を中断するときは ログオフ又はスクリーンセーバーによるロックをかける運用とする ( 一定時間操作がないときには 自動的にスクリーンセーバーにより画面をロックする設定とする ) ウ本システムから外部メディア等へ書き出したデータの盗難 紛失等のリスク 3

個人情報を書き出すデータには暗号化又はパスワードを設定する エ出力した帳票の紛失 誤廃棄等のリスク ( ア ) 削除 原則として事務室内で取り扱うこととし 文書を事務室外に持ち出す場合には 持ち出し目的 担当者名 持参先等を記録し その返却を他の職員が確認することとする ( イ ) 文書の出力は必要最小限とし 不要となった個人情報を含む文書は速やかにシュレッダーで確実に破砕する ( 文書の誤廃棄を避けるため 2 人以上の職員で確認する ) (2) システムの開発 保守の委託についてア情報管理体制に問題ある事業者を選定するリスク 本件業務の受託事業者 ( 以下 受託事業者 という ) は ISMS 認証 (ISO27001) プライバシーマーク認定(JIS Q 15001) の資格を保有する事業者である イ受託事業者若しくはその従業者等の契約内容 個人情報保護関係規程等の不知等による契約違反 規程違反等が行われるリスク ( ア ) 受託事業者に対し 個人情報保護の規程及び個人情報保護の誓約書を提出させる ( イ ) 受託事業者に本件業務の従事者のリストを提出させ 従事者全員に個人情報保護の誓約書を提出させる ( 罰則適用等 一部を手書きとさせる ) ( ウ ) 作業責任者を定めさせ 他の従事者への契約内容の周知や監督を義務づける ( エ ) 受託事業者に従事者に対する個人情報保護の教育 ( 研修 ) の実施を義務付ける ウ ( データセンター内の ) 従事者の不正操作 不正持ち出し等による漏えいのリスク ( ア )( 再掲 ) データセンターにおいては 入退室セキュリティシステム ( 生体認証等 ) 監視カメラ( ビデオ映像保持 ) 何重ものセキュリティゲートを備え 24 時間有人監視を行っている ( イ )( 再掲 ) 本システムは インターネットを含む外部ネットワークとは接続しない閉鎖したシステムとする ( ウ )( 再掲 ) 操作者 ( 従事者 ) 毎に操作権限を設定し 権限を越えた操作は行わせない 4

( エ )( 再掲 ) アクセスログをとる ( 不正な操作が行われていないか不定期にチェックする ) ( オ ) 受託事業者にはあらかじめ作業場所の届出を行わせ 作業場所以外での個人情報の処理を禁止する ( カ ) 作業内容を記録する台帳を作成させ 処理の日時 内容 処理者等について記録させる ( アクセスログとあわせてチェックする ) ( キ ) 作業場所への従事者の入退室の際には 物品の持ち込み 持ち出しのチェックを徹底させる ( 私物のパソコン 携帯電話 カメラ等の持込みを禁止する ) ( ク ) 個人情報の複写や個人情報の作業場所以外への持ち出しをするときは 区の事前の許可を義務付ける ( 作業場所内で行うあらかじめ区が認めた目的の範囲内での複写は除く ) 許可の際には 次の対策を行わせる 磁気テープ等の媒体に個人情報を複写するときは パスワード又は暗号化等のデータ保護対策を行うこと 紙帳票を持ち出すときは 強固なケースに施錠等のデータ保護対策を行ったうえで持ち出すこと 移送時の体制を明確化し 区にあらかじめ報告すること ( その際は 受託事業者の正社員又は契約社員のみ移送を行うこととし 派遣労働者やアルバイト等による移送を認めない ) 持ち出しの目的が完了した場合は区に報告を行うとともに その結果不要となった磁気テープ等又は紙帳票は 確実な方法で廃棄し その処理状況を本区に報告すること ( ケ ) 個人情報の処理を行う端末には 個人情報漏えいのおそれがあるアプリケーションのインストールを禁止する ( コ ) データの破損や誤消去等に備えて行うデータバックアップのデータを保存する電磁テープ等の取り扱いについて 次の点を徹底する 本契約に基づく情報のバックアップデータの保管の際は 当該データが記録された磁気テープ等の保管状況並びに記録されたデータの正確性について 定期的に点検させる バックアップデータを記録した磁気テープ等は その内容物に関する表記を行わせず 記号番号による管理をすることとする エ ( 区役所庁舎内の ) 従事者等の不正操作 不正持ち出し等による漏えいのリスク ( ア ) 区役所おいて従事者等が業務処理を行う場合は 社名入りのネームプレートを着用させるとともに 物品の持ち込み 持ち出しの管理を徹底する ( 業務に必要のないパソコン カメラ 携帯電話等の持込みは禁止 5

する ) ( イ ) クライアントにおいては データの外部メディア (USB メモリ CD-R 等 ) への書き出しを禁止する ( データ書き出しができる操作者及び端末を限定する ) オ受託事業者から業務の一部がさらに外部事業者に委託され 当該外部事業者 ( 再委託先 ) から漏えいするリスク ( ア ) 個人情報の処理を伴う再委託は原則禁止とする ( イ ) 個人情報の処理を伴う再委託が必要不可欠なときは 再委託の必要性及び再委託先においてセキュリティレベルが確保できることの理由を具体に書面で提出させた上で承諾する その際は承諾の条件として 再委託先に本契約と同等以上の個人情報保護対策を行うよう求める カ震災等の不慮の事故や従事者等による労働争議等で業務が継続できなくなるリスク ( ア ) 本システムのサーバー機器等を設置するデータセンターの施設及び設備面は次のとおりである 地震 出水等の災害においても情報を守れる施設構造( 免震 耐震等 ) となっている 2 系統の受電が可能であるとともに 自家発電設備 無停電電源装置 (UPS) を備える サーバールームは 先進の防災設備( 火災報知設備 消化設備 非常放送設備 ) を完備しており 24 時間適正な温度 湿度を維持できるような空調環境を整備している ( イ ) 本件業務を常に滞りなく運用できるよう 業務受託体制図及び事故や従業者の労働争議等の不測の事態に備えた運用体制を整備したサポート体制図を提出させる キ受託事業者において契約内容が継続して履行されないリスク ( ア ) 受託事業者に対し 個人情報保護に関する取り組み状況を明らかにする報告書を年 1 回提出させる ( 区が必要とする場合にも当該報告書を提出させることができるよう義務付ける ) ( イ ) 受託事業者に対し 本件業務の処理状況の詳細を 運用保守業務報告書 作業完了報告書として毎月提出させる ( ウ ) 個人情報保護の視点で区が実施する立入り調査やシステム監査等への協力を義務付ける 6

ク個人情報の漏えい事故が発生した場合の被害拡大のリスク ( ア ) 個人情報の保護に関し事故が発生した場合は 直ちに本区に報告し 本区の指示に従うことを義務付ける ( イ ) 万一 受託事業者において個人情報の漏えい等の重大な違反行為が発生した場合には 受託事業者に対し 直ちにサーバー等の機器 ソフトウェア 紙帳票等を全て区に引き渡しさせる ケ契約満了後の受託事業者の個人情報の継続保有による漏えいのリスク 本契約の終了時において 個人情報が記録された機器及び磁気テープ等は 区と協議のうえで本区に返還又は確実な廃棄処理を行わせる 廃棄処理を行う場合には 本区に処理状況を報告させる 8 実施時期 平成 27 年 6 月契約 ( 予定 ) 7 月システム稼働 ( 予定 ) 7

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック