○千葉県市町村職員共済組合が実施する長期給付事業における個人番号関係事務に係る特定個人情報等取扱要綱
平成29年6月29日
公告第23号
(目的)
第1条 この要綱は、千葉県市町村職員共済組合個人番号及び特定個人情報の適正な取扱いに関する規程(以下「規程」という。)及び千葉県市町村職員共済組合個人番号及び特定個人情報の適正な取扱いに関する規程細則(以下「細則」という。)に基づき、千葉県市町村職員共済組合(以下「組合」という。)が実施する長期給付事業(以下「長期給付事業」という。)において個人番号関係事務(細則別紙1の2(1)で利用目的に定めるものに限る。)を行うに当たり、個人番号及び特定個人情報(以下「特定個人情報等」という。)を取り扱う事務の各段階を明確にするとともに、長期給付事業における特定個人情報等の適正な取扱いを確保するため必要な事項を定めるものとする。
(特定個人情報等の範囲)
第2条 長期給付事業における個人番号関係事務において取り扱う特定個人情報等の範囲は、個人番号及び個人番号と関連付けて管理される氏名、生年月日、性別、住所等とする。
(特定個人情報等の利用目的)
第3条 長期給付事業における個人番号関係事務において取り扱う特定個人情報等の利用目的は、年金受給権者(扶養親族を含む。)に係る次のものとする。
(1) 所得税法(昭和40年法律第33号。以下「所得税法」という。)に基づき年金の支払者が行う源泉徴収票等作成・届出事務
(2) 所得税法に基づき年金の支払者が行う公的年金等の受給者の扶養親族等申告書の取扱い事務
(3) 所得税法に基づき退職手当等の支払者が行う退職所得の受給に関する申告書の取扱い事務
(4) 地方税法(昭和25年法律第226号)に基づき年金の支払者が行う公的年金等支払報告書作成・届出事務
(5) 相続税法(昭和25年法律第73号)に基づき退職手当金等の支払者が行う退職手当金等受給者別支払調書作成・届出事務
(特定個人情報等を取り扱う事務の種類)
第4条 長期給付事業における個人番号関係事務として特定個人情報等を取り扱う事務の種類は次の各号のとおりとする。ただし、第3号の事務は全国市町村職員共済組合連合会(以下「連合会」という。)が行う。
(1) 個人番号取得事務 第3条に掲げる事務を行うために個人番号を取得する事務(長期給付事業における個人番号利用事務で取得するものを除く。)
(2) 個人番号入力事務 取得した個人番号を基に個人番号を管理する情報システムへ入力する事務
(3) 各種電子媒体出力事務 個人番号を含む公的年金等源泉徴収票、公的年金等の支払報告書、非居住者等に支払われる給与、報酬、年金及び賞金の支払調書及び退職手当金等受給者別支払調書データを電子媒体に出力し届出を行う事務
(4) 各種帳票作成事務 退職所得の受給に関する申告関係事務及び第3号の電子媒体に出力されなかった源泉徴収票等を手作成し届出を行う事務
(5) 特定個人情報管理・保管事務 特定個人情報等を含む紙媒体又は電子データを漏えい、滅失、き損がないよう安全に管理及び保管する事務
(6) 委託先管理事務 長期給付事業における特定個人情報等の管理及びその内容に特定個人情報等を含む申請を委託する委託先(再委託先を含む。)を管理する事務
(7) 廃棄・削除事務 第15条に規定する保存年限を経過したことにより、不要になった特定個人情報等を安全に廃棄又は削除する事務
(8) 情報システム管理事務 特定個人情報等を取り扱う情報システムの管理事務
(事務取扱関係者)
第5条 前条各号に掲げる事務の実施、当該事務に係る決裁など、業務上、特定個人情報等を知る機会がある者を事務取扱関係者とし、事務局長、年金課長及び年金課の職員(派遣会社からの派遣される者及び臨時職員を含む。)に限定する。
(特定個人情報保護責任者)
第6条 第4条各号に掲げる事務に係る特定個人情報保護責任者は、細則第2条第2号に規定する年金課長とする。
(事務取扱担当者)
第7条 第4条各号に掲げる事務を実施する事務取扱担当者(細則第3条第4項に規定する事務取扱担当者をいう。)は、年金課の職員であって、特定個人情報保護責任者が指定する者(派遣会社からの派遣される者及び臨時職員を含む。)とする。
(本人確認)
第8条 事務取扱担当者は、年金受給者又は年金請求者(以下「本人」という。)に個人番号の提供を求めるに当たっては、規程第9条に規定する本人確認の措置に基づき、次に掲げるいずれかの書類(以下「本人確認書類」という。)の提示をもって個人番号の確認及び当該人の身元確認(以下「本人確認」という。)を行うものとする。ただし、郵送等により個人番号の提供を受ける場合には、次に掲げる書類の写しにより本人確認を行うこともできるものとする。
(1) 個人番号カード
(2) 通知カード及び身元確認書類
(3) 個人番号が記載された住民票の写し及び身元確認書類
2 前項の規定にかかわらず、あらかじめ個人識別事項(氏名及び住所又は生年月日)を印字して送付された書類へ個人番号を記載して返送された場合、書類に印字した個人識別事項と添付されている個人番号カード、通知カード又は個人番号が記載された住民票の写し(以下「番号確認書類」という。)に記載された個人識別事項が同一であることを確認することにより、身元確認を行うものとする。
3 前2項の規定にかかわらず、地方公共団体情報システム機構(以下「J―LIS」という。)から個人番号を取得している者については、本人確認を行うことを要しない。
4 代理人から個人番号の提供を受ける場合については、次に掲げる書類の提示をもって、代理権の確認、当該代理人の身元確認及び本人の個人番号の確認を行うものとする。
(1) 委任状(任意代理人の場合)又は戸籍謄本(法定代理人の場合)等、代理権を確認することができる書類
(2) 代理人の個人番号カード又は身元確認書類
(3) 本人の番号確認書類
(運用状況の記録)
第9条 事務取扱担当者は、第4条各号の事務に係る特定個人情報等の運用状況を、次に掲げる項目につき特定個人情報等の運用状況記録票(別紙1)へ記録する。
(1) 特定個人情報等の収集及び特定個人情報ファイルへの入力状況の記録
(2) 特定個人情報ファイルの利用・出力状況の記録
(3) 書類・媒体等の持出しの記録
(4) 特定個人情報ファイルの廃棄・削除記録
2 事務取扱担当者は、前項の廃棄又は削除を第三者に委託する場合には、委託先が確実に廃棄又は削除したことについて、証明書等により確認するものとする。
3 事務取扱担当者は、特定個人情報ファイルを情報システムで取り扱う場合には、情報システムの利用状況(ログイン実績、アクセスログ等)を情報システムのログにより記録するものとする。
(取扱状況の確認及び記録)
第10条 事務取扱担当者は、第4条各号の事務に係る特定個人情報ファイルの取扱状況について、特定個人情報ファイル管理台帳(別紙2)に次に掲げる事項を記録する。
(1) 特定個人情報ファイルの種類、名称
(2) 責任者、取扱部署
(3) 利用目的
(4) 廃棄・削除状況
(5) アクセス権を有する者
(取扱状況の把握及び安全管理措置の見直し)
第11条 特定個人情報保護責任者は、第9条に規定する特定個人情報の運用状況及び第10条に規定する特定個人情報ファイルの取扱状況について、自ら行う点検又は細則第2条第3号に規定する特定個人情報保護監査責任者による監査を実施するものとする。
2 特定個人情報保護責任者は、前項に定める点検等の結果に基づき、安全管理措置の評価、見直し及び改善に取り組むものとする。
(特定個人情報を取り扱う区域の管理)
第12条 第4条各号に掲げる事務に係る特定個人情報等を取り扱う「管理区域」及び「取扱区域」は次の各号のとおりとする。
(1) 管理区域 連合会委託先データセンター
(2) 取扱区域 第4条各号に掲げる事務を実施する共済組合事務室
2 前項の管理区域及び取扱区域について、それぞれ次の各号に掲げる安全管理措置を講じるものとする。
(1) 管理区域 入退室管理及び管理区域へ持ち込む機器等の制限
(2) 取扱区域 壁や間仕切り等を設置する、又は事務取扱担当者以外の者の往来が少ない場所や後ろから覗き見される可能性が低い場所とするなど座席配置等の工夫
(機器及び電子媒体等の盗難等の防止)
第13条 特定個人情報保護責任者及び事務取扱担当者は、管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。
(1) 特定個人情報ファイルを取り扱う情報システム機器は、施錠できる部屋に設置する、又はセキュリティワイヤー等により固定する。
(2) 特定個人情報等を取り扱う電子媒体又は書類等を、施錠できるキャビネット、書庫等に保管する。
(各管理段階ごとの取扱方法等)
第14条 第4条各号に掲げる事務の取扱部署、取扱方法、場所、安全管理措置等は、次の各号のとおりとする。
(1) 個人番号取得事務
区分
取扱部署
取扱方法
場所
安全管理措置
取得
年金課
【扶養親族等申告書が持参により提出された場合】
@本人の個人番号の記入を確認する。
A扶養親族の申告がある場合は、扶養親族の個人番号の記入を確認する。
B個人番号に不備がある場合は、速やかに個人番号の記入・訂正を求める。
C速やかに記入・訂正できない場合は、正確な個人番号を記入した書類の提出を求める。
DJ―LISから個人番号を取得していない場合は本人確認を行う。
【扶養親族等申告書が郵送等により提出された場合】
@本人の個人番号の記入を確認する。
A扶養親族の申告がある場合は、扶養親族の個人番号の記入を確認する。
B個人番号に不備がある場合は、正確な個人番号を記入した書類の提出を求める。
CJ―LISから個人番号を取得していない場合は本人確認を行う。
【退職年金(厚生年金保険給付を併せて請求しない場合)の請求に伴い個人番号申告書が持参により提出された場合】
@「個人番号収受簿」(別紙3)に本人から署名又は押印を受ける。
A本人確認書類が添付されていない場合は、速やかに提出を求める。
【退職年金(厚生年金保険給付を併せて請求しない場合)の請求に伴い個人番号申告書が郵送等により提出された場合】
@「個人番号収受簿」(別紙3)に取得の記録を記入する。
A本人確認書類が同封されていない場合は、速やかに提出を求める。
【整理退職一時金の請求に伴い個人番号申告書が持参により提出された場合】
@「個人番号収受簿」(別紙3)に本人から署名又は押印を受ける。
A本人確認書類が添付されていない場合は、速やかに提出を求める。
【整理退職一時金の請求に伴い個人番号申告書が郵送等により提出された場合】
@「個人番号収受簿」(別紙3)に取得の記録を記入する。
A本人確認書類が同封されていない場合は、速やかに提出を求める。
【遺族一時金の請求に伴い個人番号申告書が持参により提出された場合】
@「個人番号収受簿」(別紙3)に本人から署名又は押印を受ける。
A本人確認書類が添付されていない場合は、速やかに提出を求める。
【遺族一時金の請求に伴い個人番号申告書が郵送等により提出された場合】
@「個人番号収受簿」(別紙3)に取得の記録を記入する。
A本人確認書類が同封されていない場合は、速やかに提出を求める。
【代理人から提出された場合】
第8条第4項に規定する本人確認を行う。
取扱区域
@受領した書類は施錠できるキャビネットに保管する。
A鍵は定められた場所に保管し、事務取扱担当者のうち特定個人情報保護責任者が指定する者が鍵の管理を行う。
(2) 個人番号入力事務
区分
取扱部署
情報システム
取扱方法
場所
安全管理措置
入力
年金課
個人番号管理システム
扶養親族等申告書又は個人番号申告書により取得した個人番号を次の方法により入力する。
@システムで桁チェックを行う。
A個人番号と個人情報が一致しているか、入力者と別の者が目視チェック及び読合せチェックを行う。
Bチェック後、本人確認書類はシュレッダーによる細断を行う。
C一括アップロードを行う場合、作成した一括アップロードファイルはPCのハードディスク及びサーバ等に保存せず、媒体に保存する。
D「特定個人情報等の運用状況記録票」(別紙1)に入力及び書類廃棄の記録を記入する。
取扱区域
@システムを使用できるPCを限定する。
A特定個人情報保護責任者が事務取扱担当者毎に異なるID及びパスワードを付与する。
B目視チェック及び読合せチェックを行う。
Cチェック後の本人確認書類は、シュレッダーによる細断を行う。
D第9条に規定する記録を記入する。
(3) 各種帳票作成事務
区分
取扱部署
出力・提出方法・提出先
場所
安全管理措置
作成
年金課
以下の帳票について、提出先の連合会が指定する方法により手作成する。
@年金事務機械処理標準システムに作成機能がない帳票
退職所得の源泉徴収票
退職手当金等受給者別支払調書
A同システムに作成機能はあるが、出力されなかった場合に手作成する帳票
公的年金等の源泉徴収票
公的年金等支払報告書
非居住者等に支払われる給与、報酬、年金及び賞金の支払調書
B同システムに作成機能はあるが、記載内容を訂正する場合又は新規作成をする場合に手作成する帳票
公的年金等の源泉徴収票
公的年金等支払報告書
非居住者等に支払われる給与、報酬、年金及び賞金の支払調書
取扱区域
@執務スペースの施錠できるキャビネットに保管する。
A鍵は定められた場所に保管し、事務取扱担当者のうち特定個人情報保護責任者が指定する者が鍵の管理を行う。
提出
年金課
@グループウェアのメール機能によりエクセルデータを提出する。
A提出先は連合会年金部年金給付課
B「特定個人情報等の運用状況記録票」(別紙1)の提出の記録を記入する。
  
@エクセルデータにはパスワードを付す。
A第9条に規定する記録を行う。
(4) 特定個人情報管理・保管事務
区分
取扱部署
管理・保管媒体
管理・保管方法
場所
安全管理措置
管理
年金課
紙媒体
「特定個人情報ファイル管理台帳」(別紙2)に取扱いの記録を記入する。
  
第10条に規定する記録を行う。
保管
年金課
紙媒体
施錠できるキャビネットに保管する。
取扱区域
@施錠できるキャビネットに保管する。
A鍵は定められた場所に保管し、事務取扱担当者のうち特定個人情報保護責任者が指定する者が鍵の管理を行う。
電子データ
【情報システムに入力した場合】
安全管理措置が図られた連合会委託先のデータセンターで管理する。
管理区域
組合のサーバには保存しない。
【個人番号を含む書類を作成した場合】
パスワードロック、データの暗号化を行い、電子媒体に保存し、保管する。
取扱区域
@電子媒体は施錠できるキャビネットに保管する。
A鍵は定められた場所に保管し、事務取扱担当者のうち特定個人情報保護責任者が指定する者が鍵の管理を行う。
(5) 委託先管理事務
区分
取扱部署等
取扱方法
安全管理措置
選定
特定個人情報保護責任者
「委託先選定評価シート」(別紙4)を用いて、委託先選定評価を実施し、当組合と同等の安全管理措置が図られている事業者のみに委託する。
実地調査、ヒアリング又は報告書により、委託先の状況を確認し、「委託先選定評価シート」(別紙4)に記入する。
契約
特定個人情報保護責任者
委託契約の内容に右欄の事項を含む。
【委託契約の内容に含む事項】
@秘密保持義務
A個人情報の安全管理に関する事項
ア 目的外利用の禁止
イ 契約範囲外の加工・複写・複製の禁止
ウ 委託契約終了後の個人情報の返還・廃棄・削除に関する事項
B事務取扱担当者の教育・監督に関する事項
C再委託に関する事項(原則、再委託は禁止。やむを得ず再委託する場合は、委託と同等の条件を満たすこと)
D契約内容の履行状況を確認するための委託者への報告又は委託者による監査に関する事項
E契約内容の不履行等が発生した場合の措置に関する事項
F特定個人情報等の漏えい、滅失又はき損による事故等(以下「情報漏えい事案等」という。)が発生した場合の報告に関する事項
再評価
特定個人情報保護責任者
年1回定期的に委託先を調査し、再評価を行う。
実地調査、ヒアリング又は報告書により、委託先の状況を確認し、「委託先選定評価シート」(別紙4)の見直しを行う。
(6) 廃棄・削除事務
区分
取扱部署
実施時期
取扱方法
場所
安全管理措置
廃棄
年金課
保存期間経過後
【紙媒体の場合】
@シュレッダーによる細断又は安全管理措置が図られた委託先にて溶解する。
A「特定個人情報等の運用状況記録票」(別紙1)に廃棄の記録を記入する。
取扱区域
@シュレッダーによる細断を行う。
A第9条に規定する記録を行う。
【電子媒体の場合】
@物理的な破壊を行う。
A「特定個人情報等の運用状況記録票」(別紙1)に廃棄の記録を記入する。
取扱区域
@物理的な破壊を行う。
A第9条に規定する記録を行う。
削除
年金課
保存期間経過後
【電子データの削除の場合】
@データを削除した者と別の者が目視チェックを行う。
Aデータのアクセス履歴を取得する。
B「特定個人情報等の運用状況記録票」(別紙1)に削除の記録を記入する。
取扱区域
@目視チェックを行う。
Aアクセス履歴を取得する。
B第9条に規定する記録を行う。
(7) 情報システム管理事務
区分
取扱部署等
情報システム
管理項目
場所
安全管理措置
システム管理
連合会委託先
個人番号管理システム
アクセスの制御
管理区域
生体認証、ID及びパスワードによりログインする仕組みとする。
特定個人情報保護責任者
個人番号管理システム
アクセスの監視
取扱区域
@使用できるPCを限定する。
A事務取扱担当者ごとに異なるID及びパスワードを付与する。
連合会委託先
個人番号管理システム
アクセスの監視
管理区域
操作証跡を作成し、管理する。
連合会委託先
個人番号管理システム
外部からの不正アクセス等の防止
管理区域
@データベース全体を暗号化する。
Aバックアップされデータも暗号化された状態で保管する。
B電気通信回線は、専用回線を使用し、外部のITシステムとの通信は行わない。
Cウィルス対策ソフトを使用する。
D必要なソフトウェア以外のソフトウェアを導入しない。
(廃棄・削除方法)
第15条 個人番号を含む帳票等、対応する情報システム等、取扱部署、保存年限及び廃棄・削除方法は次のとおりとする。
帳票等
情報システム等
取扱部署
保存年限
廃棄・削除方法
個人番号管理システムの保存データ
個人番号管理システム
年金課
提出期限の属する年の翌年1月10日の翌日から7年間
個人番号管理システムによるデータ削除
公的年金等の受給者の扶養親族等申告書
個人番号申告書
紙媒体
年金課
提出期限の属する年の翌年1月10日の翌日から7年間
シュレッダー・溶解
公的年金等の源泉徴収票(個人番号の記載のあるもの)
紙媒体・電子データ
年金課
提出期限の属する年の翌年1月10日の翌日から7年間
シュレッダー・溶解・物理的な破壊
退職所得の源泉徴収票(個人番号の記載のあるもの)
非居住者等に支払われる給与、報酬、年金及び賞金の支払調書(個人番号の記載のあるもの)
退職手当金等受給者別支払調書(個人番号の記載のあるもの)
紙媒体・電子データ
年金課
法定申告期限から7年間
シュレッダー・溶解・物理的な破壊
公的年金等支払報告書(個人番号の記載のあるもの)
紙媒体・電子データ
年金課
法定申告期限から5年間
シュレッダー・溶解・物理的な破壊
(事故発生時の対応)
第16条 特定個人情報等の漏洩、滅失又はき損等の事案の発生又はその兆候を察知した者は、規程第18条に基づき対応するものとする。
附 則
この要綱は、公告の日から施行し、平成27年10月5日から適用する。

(別紙1)

特定個人情報等の運用状況記録票

年月日

氏名

入力・利用・出力・持出し・廃棄・削除状況(具体的な内容を記載)

事務取扱担当者

備考

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

(別紙2)

特定個人情報ファイル管理台帳

No.

種類・名称

利用目的

(提出先)

記録媒体

保管場所

取扱部署

責任者

事務取扱担当者

(アクセス権者)

保存年限

廃棄・削除方法

廃棄・削除実施者

廃棄・削除時期

廃棄・削除実施日

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

(別紙3)

個人番号収受簿

提出者氏名

書類受領日

受領書類

署名又は押印

備考

個人番号申告書

第3号被保険者

確認書類

提出者

事務取扱担当者

本人

扶養家族

関係届

委任状

身元確認

個人番号

身元確認

個人番号

 

平成  年  月  日

 

 

 

 

 

 

 

 

 

 

 

平成  年  月  日

 

 

 

 

 

 

 

 

 

 

 

平成  年  月  日

 

 

 

 

 

 

 

 

 

 

 

平成  年  月  日

 

 

 

 

 

 

 

 

 

 

 

平成  年  月  日

 

 

 

 

 

 

 

 

 

 

 

平成  年  月  日

 

 

 

 

 

 

 

 

 

 

 

平成  年  月  日

 

 

 

 

 

 

 

 

 

 

 

平成  年  月  日

 

 

 

 

 

 

 

 

 

 

 

平成  年  月  日

 

 

 

 

 

 

 

 

 

 

 

平成  年  月  日

 

 

 

 

 

 

 

 

 

 

(別紙4)

作成年月日:    年  月  日 

 

特定個人情報等取扱業務委託先評価シート

1 最終判定(判定条件を全て満たしていることが「採用」の条件である)

□ 採用

□ 不採用

2 基本情報

項目

記入欄

備考

 (1) 委託選定

□新規  □再評価 ※

 

 (2) 委託先名称

 

 

 (3) 委託先の部門名

 

 

 (4) 委託先の業務責任者

 

 

 (5) 業務委託内容

 

 

 (6) 預託個人情報

 

 

 ※ 新規の委託選定時における評価の場合は、「新規」、既に契約履行中の契約における再評価の場合は、「再評価」を選択する。

3 評価項目

No

評価項目

委託パターン ※1

判定

※2

改善措置等

T

U

V

W

プライバシーマーク付与事業者か

 

 

過去2年間に特定個人情報等の漏えい事故を起こしていないか

 

 

 ※上記を満たす場合は、判定欄に「○」を記入し、以下の項目は省略することができる。

1

特定個人情報等の保護体制が整備されているか

 

 

2

特定個人情報等の保護やセキュリティに関する規程や手順書が整備されているか

 

 

3

事故時の手順書やマニュアルが整備されているか

 

 

4

特定個人情報等の取扱いについて、定期的に内部監査や点検が実施されているか

 

 

5

従業員等から機密保持に関する誓約書を取得しているか

 

 

6

従業員等に特定個人情報等の保護に必要な教育を実施しているか

 

 

7

特定個人情報等の取扱い場所の入退管理を実施しているか

 

 

8

特定個人情報等の保管場所の施錠管理を実施しているか

 

 

9

特定個人情報等の持ち出し管理を実施しているか

 

 

10

特定個人情報等の授受の記録が取られているか

 

 

11

特定個人情報等を確実に廃棄・消去しているか

 

 

12

クリアデスク、クリアスクリーンを実施しているか

 

 

13

特定個人情報等を格納するサーバは安全管理に必要な措置を講じているか

 

 

14

上記サーバのアクセスログを取得しているか

 

 

15

職務内容に応じたアクセス権限を与えているか

 

 

16

PC等のウイルス対策を実施しているか

 

 

17

システム障害対策を実施しているか

 

 

18

施設や機器に対する物理的安全対策(地震、火災、避雷、停電等)を実施しているか

 

 

19

災害発生時の手順書やマニュアルが整備されているか

 

 

20

秘密保持契約を締結できるか

 

 

※1 委託パターン

   T:特定個人情報等の取扱い(利用・加工等)を委託する場合

   U:クラウド事業者に委託する場合

   V:IDC、ISP、倉庫会社のように、特定個人情報等を受領している認識がない場合

   W:警備会社、清掃会社のように個人情報に触れる機会がある場合

※2 No1からNo20の判定は、A(満足)、B(改善が必要)、C(評価項目を満たしていない)、―(該当しない)を記入し、Bの場合は、「改善措置等」欄に改善対応状況を記入する。

【評価方法】

 評価する委託先について、該当する委託パターンの列を確認の上、「○」が記載されている評価項目の判定結果を記入する。

【選定基準】

 (1) プライバシーマーク付与事業者で、過去2年間に特定個人情報等の漏えい事故を起こしていない場合は、判定欄に「○」を記入し、採用可とする。

 (2) 判定結果に一つでも「C」がある場合は不採用とする。判定結果が「B」の場合は改善措置の実施を条件に採用可とする。