個人情報等を取り扱う業務における受託業者や指定管理業者に対する措置について

　デジタル庁が創設され、国や地方のデジタル業務改革を強力に推進していく方針に伴い、公的部門で取り扱うデータの質的・量的な増大が不可避となります。それに伴い個人情報の保護に万全を期するため、独立的な権限を有する国の機関である「個人情報保護委員会」が個人情報の取り扱いを一元的に監視監督する体制が確立されました。

　「個人情報の保護に関する法律（以下「法」という。）第66条第1項」および「行政手続における特定の個人を識別するための番号の利用等に関する法律（以下「番号法」という。）第12条」の規定により、保有個人情報および個人番号（以下「保有個人情報等」という。）の漏えい、滅失またはき損の防止その他の保有個人情報等の安全管理のために必要かつ適切な措置のことです。

　法第66条第2項の規定により、指定管理者、業務委託を受けた者など、行政機関等から保有個人情報等の取扱いの委任を受けた者（以下「第三者」という。）に対しても法第66条第1項の安全管理措置を講じる義務があり、令和5年4月1日以降、本市において個人情報を取り扱う業務を第三者に委任する場合に実施する措置は、次に掲げる事項とします。

　安全管理措置の遵守義務について確認するため、個人情報等を取り扱う業務を委任する場合は、業務委託等においては「個人情報取扱特記事項」を、指定管理においては「個人情報の取扱いについて」を契約書または協定書と併せて締結します。

※契約金額が10万円以下の場合で、仕様書を省略しているときは、「個人情報取扱特記事項」を交付し、その内容について合意を得ることとします。

　個人情報等を取り扱う事務における責任および管理体制を明確にするため、個人情報取扱特記事項第11条および第12条の規定により、個人情報等を取り扱う事務における責任者、従事者の管理および実施体制ならびに個人情報等を取り扱う作業場所の報告を求めます。

　市へ報告を行う際の様式は、「個人情報等管理体制報告書」とします。

（提出の期限）
委任後1カ月以内

　委任後、実際に個人情報等が適切に取り扱われているか確認するため、個人情報取扱特記事項第13条の規定により、個人情報等管理状況チェック表の報告を求めます。

※個人情報等管理状況チェック表は、
　1　従業員数101人以上の事業者または情報システム委託業者を対象にしたもの
　2　従業員数100人以下の事業者を対象にしたもの
　があります。

（提出の期限）
委任後1カ月以内

（委託業務等）

　委任後、実際に個人情報等が適切に取り扱われているか実地において確認するため、個人情報取扱特記事項第16条の規定により、個人情報等の秘匿性などその内容や量などに応じて、必要と判断する場合は、実地調査の実施を求めることがあります。

（指定管理）

　委任後、実際に個人情報等が適切に取り扱われているか実地において確認するため、個人情報の取扱いについて個人情報取扱特記事項第16条の規定により、モニタリングの実施に併せて実地調査を行います。

　個人情報取扱特記事項（指定管理においては、「個人情報の取扱いについて」）では、基本的事項として、法（特定個人情報および個人番号を取り扱うときは、番号法を含む。）ならびに市の定める東近江市保有個人情報等取扱規程（令和5年東近江市訓令第2号）および東近江市情報セキュリティ対策基準（平成27年東近江市訓令第42号）その他関係法令を遵守し、個人情報等を適正に取り扱わなければならないこととしています。

　東近江市保有個人情報等取扱規程は、市における安全管理措置について定めたもので、内容は以下のとおりです。