大阪市データ保護管理要綱

大阪市データ保護管理要綱

（目的）

第1条　この要綱は、大阪市情報セキュリティ管理規程（平成19年達第19号。以下「規程」という。）第15条第2項に基づき、局等における電子計算機処理に係るデータの管理に関し必要な事項を定めることにより、データの漏えい、滅失、き損、改ざん等の防止を図り、もって市政の円滑な運営及び市政に対する信頼を確保することを目的とする。

（用語）

第2条　この要綱において使用する用語は、この要綱に定めるもののほか、規程において使用する用語の例による。

2　この要綱において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) 　個人情報　個人情報の保護に関する法律（平成十五年法律第五十七号。以下「法律」という。）第2条第1項に規定する個人情報をいう。

(2) 　保有個人情報　法律第60条第1項に規定する保有個人情報をいう。

（対象データ及び保護データの指定）

第3条　この要綱と対象とするデータは、規程第2条第1項第10号に規定する局等が所管するデータのうち行政情報化に関するものとする。

2　局等情報セキュリティ責任者は、所管するデータが次の各号のいずれかに該当するときは、当該データを保護すべきデータ（以下「保護データ」という。）として指定する。

(1)　個人情報に関するデータ

(2)　法令等の定めにより守秘義務が課せられているデータ

(3)　外部に知られることを適当としない法人等に関するデータ

(4)　漏えいした場合、市政に対する信頼を著しく阻害するおそれのあるデータ

(5)　滅失し、又はき損した場合、その復元が著しく困難であり、市政の円滑な運営を妨げるおそれのあるデータ

3　局等情報セキュリティ責任者は、前項の指定を行ったときは、第10条第2項の報告とあわせ、最高情報セキュリティ責任者に報告しなければならない。ただし、次の各号に掲げる電子計算機処理に係る保護データは除く。

(1)　専ら文章を作成し、又は文書若しくは図画の内容を記録するための処理

(2)　製版その他の専ら印刷物を製作するための処理

(3)　専ら文書又は図画の内容の伝達を電気通信の方法により行うための処理

（保護データの管理）

第4条　情報セキュリティ責任者は、前条第2項の規定により保護データと指定されたデータを記録しているファイルが格納された記録媒体等を耐火保管庫に保管し、又は予備を作成して別の施設に保管しなければならない。

（入出力帳票の管理）

第5条　情報セキュリティ責任者は、データを記録している入出力帳票の授受について次の各号の事項を記録するとともに、データを記録している入出力帳票を所定の場所において適切に管理しなければならない。

(1)　業務名

(2)　搬入者及び受領者の氏名並びにその所属等の名称

(3)　帳票又は媒体の種別

(4)　数量又は件数

(5)　授受年月日

(6)　その他局等情報セキュリティ責任者が必要と認める事項

（他の業務に係るデータの利用）

第6条　他の業務の目的で収集されたデータ（個人情報に関するもの及び入出力帳票に記録されているものを除く。以下この条、次条及び第8条において同じ。）を利用しようとする課等（以下「利用課等」という。）の情報セキュリティ責任者は、第1号様式によるデータ利用依頼書により当該データを所管する情報セキュリティ責任者に申し出なければならない。

2　前項の申出を受けた情報セキュリティ責任者は、当該申出に係るデータを利用させようとするときは、局等情報セキュリティ責任者の承認を受けなければならない。

3　情報セキュリティ責任者は、情報通信ネットワークを用いた電子計算機処理（以下「オンライン処理」という。）によりデータを利用させようとするときは、利用課等の情報セキュリティ責任者と協議して、次に掲げる事項を定めなければならない。

(1)　利用できるデータ及びプログラムの範囲に関する事項

(2)　当該オンライン処理に係る電子計算機の利用者の認証符号及び暗証符号に関する事項

(3)　当該オンライン処理に係るデータ及びプログラムの維持管理に関する事項

(4)　当該オンライン処理に係る電子計算機の利用方法に関する事項

(5)　当該オンライン処理において事故が発生した場合の対処に関する事項

(6)　その他当該オンライン処理の実施に関し必要な事項

4　前項のオンライン処理に係る情報システムを所管する情報セキュリティ責任者は、オンライン処理が同項の規定により定められた事項に基づき実施されるように利用者を指導しなければならない。

（水道局によるデータの利用）

第7条　前条の規定は、水道局の長からデータの利用の申出があった場合について準用する。

（外部へのデータの提供）

第8条　データは、本市以外のものに提供してはならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。

(1)　当該データが公表を目的として収集されたものである場合

(2)　法令等に定めがある場合

(3)　当該データを所管する局等情報セキュリティ責任者が公益上特に必要であり、かつ、データの保護上支障がないと認める場合

2　局等情報セキュリティ責任者は、前項各号のいずれかの規定によりデータを提供しようとするときは、第2号様式によるデータ提供報告書により最高情報セキュリティ責任者に報告しなければならない。ただし、インターネットを利用してデータを提供する場合は、この限りでない。

3　最高情報セキュリティ責任者は、必要があると認めるときは、局等情報セキュリティ責任者に対し、データの提供の中止、提供方法の変更その他必要な措置を講ずるよう求めることができる。

4　局等情報セキュリティ責任者は、第1項第3号の規定により保護データを提供しようとするときは、当該データの提供を受けるものと協定又は契約を締結し、次に掲げる事項を定めなければならない。ただし、第3条第2項第5号の規定により保護データに指定したデータを提供するときは、この限りでない。

(1)　データ名及び提供するデータ項目

(2)　利用目的

(3)　利用条件

(4)　データの管理に関する事項

(5)　データの秘密保持に関する事項

(6)　データの無断使用及び第三者への提供の禁止に関する事項

(7)　データの複写及び複製の禁止に関する事項

(8)　電子計算機処理終了後の措置に関する事項

(9)　事故発生時の報告に関する事項

(10)　その他局等情報セキュリティ責任者が必要と認める事項

5　前項に定めるもののほか、局等情報セキュリティ責任者は、第1項ただし書の規定に基づきオンライン処理によりデータを提供しようとするときは、当該データの保護のために必要な措置を講じなければならない。

（保有個人情報の目的外利用又は提供）

第9条　局等情報セキュリティ責任者は、法律第69条第2項の規定に基づき、他の課等においてオンライン処理により保有個人情報を利用させようとするときは、次に掲げる事項を定めなければならない。この場合において、保有個人情報を利用しようとする課等の属する局等が局等情報セキュリティ責任者の属する局等以外の局等であるときは、局等情報セキュリティ責任者は、当該局等の局等情報セキュリティ責任者と協議しなければならない。

(1)　利用できる保有個人情報及びプログラムの範囲に関する事項

(2)　当該オンライン処理に係る電子計算機の利用者の認証符号及び暗証符号に関する事項

(3)　当該オンライン処理に係る保有個人情報及びプログラムの維持管理に関する事項

(4)　当該オンライン処理に係る電子計算機の利用方法に関する事項

(5)　当該オンライン処理において事故が発生した場合の対処に関する事項

(6)　その他当該オンライン処理の実施に関し必要な事項

2　前項のオンライン処理に係る情報システムを所管する情報セキュリティ責任者は、オンライン処理が同項の規定により定められた事項に基づき実施されるように利用者を指導しなければならない。

3　法律第69条第2項の規定により、他の課等において保有個人情報を利用するときは、当該課等の情報セキュリティ責任者は、当該保有個人情報を用いて作成したファイル及び入出力帳票を当該利用する目的の範囲を超えて利用し、又は提供してはならない。

4　局等情報セキュリティ責任者は、法律第69条第2項第1号又は第3号の規定により、保有個人情報を本市以外のものに提供しようとするときは、第2号様式によるデータ提供報告書により最高情報セキュリティ責任者に報告しなければならない。

5　局等情報セキュリティ責任者は、法律第69条第2項第1号又は第3号の規定により保有個人情報を本市以外のものに提供しようとするときは、当該データの提供を受けるものと協定又は契約を締結し、次に掲げる事項を定めなければならない。

(1)　データ名及び提供するデータ項目

(2)　利用目的

(3)　利用条件

(4)　データの管理に関する事項

(5)　データの秘密保持に関する事項

(6)　データの無断使用及び第三者への提供の禁止に関する事項

(7)　データの複写及び複製の禁止に関する事項

(8)　電子計算機処理終了後の措置に関する事項

(9)　事故発生時の報告に関する事項

(10)　その他局等情報セキュリティ責任者が必要と認める事項

6　前項に定めるもののほか、局等情報セキュリティ責任者は、法律第69条第2項の規定により保有個人情報を本市以外のものに提供しようとするときは、当該データの保護のために必要な措置を講じなければならない。

（データの管理状況の調査等）

第10条　局等情報セキュリティ責任者は、毎年1回、その所管する保護データの管理状況について調査しなければならない。ただし、第3条第3項ただし書に規定する電子計算機処理に係る保護データは除く。

2　局等情報セキュリティ責任者は、前項の調査を行ったときは、保護データの管理状況について第3号様式による保護データ指定報告書兼データ管理状況報告書により最高情報セキュリティ責任者に報告しなければならない。

3　最高情報セキュリティ責任者は、必要に応じ局等情報セキュリティ責任者にその所管する保護データの管理状況について報告を求めることができる。

（施行の細目）

第11条　この要綱の実施について必要な事項は、最高情報セキュリティ責任者が定める。

　　附則

1　この要綱は、平成19年4月2日から施行する。

（経過措置）

2　この要綱の施行の際、現にされている大阪市情報セキュリティ管理規程による廃止前の大阪市電子計算機処理データ保護管理規程第7条に規定する保護データの指定は、この要綱第3条の規定による保護データの指定とみなす。

3　この要綱の施行の際、現にされている大阪市情報セキュリティ管理規程による廃止前の大阪市電子計算機処理データ保護管理規程第18条第4項に規定する協議は、この要綱第6条第3項の規定による協議とみなす。

4　この要綱の施行の際、現にされている大阪市情報セキュリティ管理規程による廃止前の大阪市電子計算機処理データ保護管理規程第20条第4項に規定する協定又は契約は、この要綱第8条第4項の規定による協定又は契約とみなす。

5　この要綱の施行の際、現にされている大阪市情報セキュリティ管理規程による廃止前の大阪市電子計算機処理データ保護管理規程第20条第5項に規定する必要な措置は、この要綱第8条第5項の規定による必要な措置とみなす。

6　この要綱の施行の際、現にされている大阪市情報セキュリティ管理規程による廃止前の大阪市電子計算機処理データ保護管理規程第21条第3項に規定する協議は、この要綱第9条第1項の規定による協議とみなす。

7　この要綱の施行の際、現にされている大阪市情報セキュリティ管理規程による廃止前の大阪市電子計算機処理データ保護管理規程第21条第6項に規定する協定又は契約は、この要綱第9条第5項の規定による協定又は契約とみなす。

8　この要綱の施行の際、現にされている大阪市情報セキュリティ管理規程による廃止前の大阪市電子計算機処理データ保護管理規程第22条第2項に規定する協定又は契約は、この要綱第10条第1項の規定による協定又は契約とみなす。

　　附則

この改正要綱は、平成22年3月10日から施行する。

　　附則

この改正要綱は、平成23年4月1日から施行する。

　　附則

この改正要綱は、平成26年10月1日から施行する。

　　附則

この改正要綱は、平成28年4月1日から施行する。

　　附則

この改正要綱は、平成30年4月1日から施行する。

　　附則

この改正要綱は、令和5年4月1日から施行する。