大阪市水道局データ保護管理要綱

（目的）

第1条　この要綱は、大阪市水道局情報セキュリティ管理規程（平成23年1月7日大阪市水道事業管理規程第1号。以下「規程」という。）第15条第2項に基づき、水道局における電子計算機処理に係るデータの管理に関し必要な事項を定めることにより、データの漏えい、滅失、き損、改ざん等の防止を図り、もって事業の円滑な運営及び事業に対する信頼を確保することを目的とする。

（用語）

第2条　この要綱において使用する用語は、この要綱に定めるもののほか、規程において使用する用語の例による。

2　この要綱において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1)　個人情報　個人情報の保護に関する法律（平成十五年法律第五十七号。以下「法律」という。）第2条第1項に規定する個人情報をいう。

(2)　保有個人情報　法律第60条第1項に規定する保有個人情報をいう。

(3)　局等　大阪市情報システム等の整備及び運用に関する規程（令和5年大阪市達第16　号）第2条第3号に規定する局等をいう。

（対象データ及び保護データの指定）

第3条　この要綱の対象とするデータは、規程第2条第1項第10号に規定する課等が所管するデータのうち局事業の情報化に関するものとする。

2　情報セキュリティ責任者は、所管するデータが次のいずれかに該当するときは、当該データを保護すべきデータ（以下「保護データ」という。）として指定する。

(1)　個人情報に関するデータ

(2)　法令等の定めにより守秘義務が課せられているデータ

(3)　外部に知られることを適当としない法人等に関するデータ

(4)　漏えいした場合、事業に対する信頼を著しく阻害する恐れのあるデータ

(5)　滅失し、又はき損した場合、その復元が著しく困難であり、事業の円滑な運営を妨げる恐れのあるデータ

3　情報セキュリティ責任者は、前項の指定を行ったときは、第10条第2項の報告とあわせ、最高情報セキュリティ責任者に報告しなければならない。ただし、次の各号に掲げる電子計算機処理に係る保護データは除く。

(1)　専ら文章を作成し、又は文書若しくは図画の内容を記録するための処理

(2)　製版その他の専ら印刷物を製作するための処理

(3)　専ら文書又は図画の内容の伝達を電気通信の方法により行うための処理

（保護データの管理）

第4条　情報セキュリティ責任者は、前条第2項の規定により保護データと指定されたデータを記録しているファイルが格納された記録媒体等を耐火保管庫に保管し、又は予備を作成して別の施設に保管しなければならない。

（入出力帳票の管理）

第5条　情報セキュリティ責任者は、データを記録している入出力帳票の授受について次の各号の事項を記録するとともに、データを記録している入出力帳票を所定の場所において適切に管理しなければならない。

(1)　業務名

(2)　搬入者及び受領者の氏名並びにその所属等の名称

(3)　帳票又は媒体の種別

(4)　数量又は件数

(5)　授受年月日

(6)　その他情報統括責任者が必要と認める事項

（他の業務に係るデータの利用）

第6条　他の業務の目的で収集されたデータ（個人情報に関するもの及び入出力帳票に記録されているものを除く。以下この条、次条及び第8条において同じ。）を利用しようとする課等（以下「利用課等」という。）の情報セキュリティ責任者は、第1号様式によるデータ利用依頼書により当該データを所管する情報セキュリティ責任者に申し出なければならない。

2　前項の申出を受けた情報セキュリティ責任者は、当該申出に係るデータを利用させようとするときは、最高情報セキュリティ責任者の承認を受けなければならない。

3　情報セキュリティ責任者は、情報通信ネットワークを用いた電子計算機処理（以下「オンライン処理」という。）によりデータを利用させようとするときは、利用する課等の情報セキュリティ責任者と協議して、次に掲げる事項を定めなければならない。

(1)　利用できるデータ及びプログラムの範囲に関する事項

(2)　当該オンライン処理に係る電子計算機の利用者の認証符号及び暗証符号に関する事項

(3)　当該オンライン処理に係るデータ及びプログラムの維持管理に関する事項

(4)　当該オンライン処理に係る電子計算機の利用方法に関する事項

(5)　当該オンライン処理において事故が発生した場合の対処に関する事項

(6)　その他当該オンライン処理の実施に関し必要な事項

4　前項のオンライン処理に係る情報システムを所管する情報セキュリティ責任者は、オンライン処理が同項の規定により定められた事項に基づき実施されるように利用者を指導しなければならない。

（他の局等によるデータの利用）

第7条　前条の規定は、本市の他の局等の長からデータの利用の申出があった場合について準用する。

（外部へのデータの提供）

第8条　データは、本市以外のものに提供してはならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。

(1)　当該データが公表を目的として収集されたものである場合

(2)　法令等に定めがある場合　

(3)　最高情報セキュリティ責任者が公益上特に必要であり、かつ、データの保護上支障がないと認める場合

2　情報セキュリティ責任者は、前項各号のいずれかの規定によりデータを提供しようとするときは、第2号様式によるデータ提供報告書により最高情報セキュリティ責任者に報告しなければならない。ただし、インターネットを利用してデータを提供する場合は、この限りでない。

3　最高情報セキュリティ責任者は、必要があると認めるときは、情報セキュリティ責任者に対し、データの提供の中止、提供方法の変更その他必要な措置を講ずるよう求めることができる。

4　最高情報セキュリティ責任者は、第1項第3号の規定により保護データを提供しようとするときは、当該データの提供を受けるものと協定又は契約を締結し、次に掲げる事項を定めなければならない。ただし、第3条第2項第5号の規定により保護データに指定したデータを提供するときは、この限りでない。

(1)　データ名及び提供するデータ項目

(2)　利用目的

(3)　利用条件

(4)　データの管理に関する事項

(5)　データの秘密保持に関する事項

(6)　データの無断使用及び第三者への提供の禁止に関する事項

(7)　データの複写及び複製の禁止に関する事項

(8)　電子計算機処理終了後の措置に関する事項

(9)　事故発生時の報告に関する事項

(10) その他最高情報セキュリティ責任者が必要と認める事項

5　前項に定めるもののほか、最高情報セキュリティ責任者は、第1項ただし書の規定に基づきオンライン処理によりデータを提供しようとするときは、当該データの保護のために必要な措置を講じなければならない。

（保有個人情報の目的外利用又は提供）

第9条　情報セキュリティ責任者は、法律第69条第2項の規定に基づき、他の課等においてオンライン処理により保有個人情報を利用させようとするときは、次に掲げる事項を定めなければならない。この場合において、保有個人情報を利用しようとする課等が情報セキュリティ責任者の属する課等以外の課等であるときは、情報セキュリティ責任者は、当該課等の情報セキュリティ責任者と協議しなければならない。

(1)　利用できる保有個人情報及びプログラムの範囲に関する事項

(2)　当該オンライン処理に係る電子計算機の利用者の認証符号及び暗証符号に関する事項

(3)　当該オンライン処理に係る保有個人情報及びプログラムの維持管理に関する事項

(4)　当該オンライン処理に係る電子計算機の利用方法に関する事項

(5)　当該オンライン処理において事故が発生した場合の対処に関する事項

(6)　その他当該オンライン処理の実施に関し必要な事項

2　前項のオンライン処理に係る情報システムを所管する情報セキュリティ責任者は、オンライン処理が同項の規定により定められた事項に基づき実施されるように利用者を指導しなければならない。

3　法律第69条第2項の規定により、他の課等において保有個人情報を利用するときは、当該課等の情報セキュリティ責任者は、当該保有個人情報を用いて作成したファイル及び入出力帳票を当該利用する目的の範囲を超えて利用し、又は提供してはならない。

4　情報セキュリティ責任者は、法律第69条第2項の規定により、保有個人情報を本市以外のものに提供しようとするときは、第2号様式によるデータ提供報告書により最高情報セキュリティ責任者に報告しなければならない。

5　情報セキュリティ責任者は、法律第69条第2項第1号又は第3号の規定により保有個人情報を本市以外のものに提供しようとするときは、当該データの提供を受けるものと協定又は契約を締結し、次に掲げる事項を定めなければならない。

(1)　データ名及び提供するデータ項目

(2)　利用目的

(3)　利用条件

(4)　データの管理に関する事項

(5)　データの秘密保持に関する事項

(6)　データの無断使用及び第三者への提供の禁止に関する事項

(7)　データの複写及び複製の禁止に関する事項

(8)　電子計算機処理終了後の措置に関する事項

(9)　事故発生時の報告に関する事項

(10) その他最高情報セキュリティ責任者が必要と認める事項

6　前項に定めるもののほか、情報セキュリティ責任者は、法律第69条第2項の規定により保有個人情報を本市以外のものに提供しようとするときは、当該データの保護のために必要な措置を講じなければならない。

（データの管理状況の調査等）

第10条　情報セキュリティ責任者は、毎年1回、その所管する保護データの管理状況について調査しなければならない。ただし、第3条第3項ただし書に規定する電子計算機処理に係る保護データは除く。

2　情報セキュリティ責任者は、前項の調査を行ったときは、保護データの管理状況について第3号様式による保護データ指定報告書兼データ管理状況報告書により最高情報セキュリティ責任者に報告しなければならない。

3　最高情報セキュリティ責任者は、必要に応じ情報セキュリティ責任者にその所管する保護データの管理状況について報告を求めることができる。

（施行の細目）

第11条　この要綱の施行について必要な事項は、最高情報セキュリティ責任者が定める。

附　則

1  この要綱は、平成8年4月1日から施行する。

2  この要綱の施行前における電子計算機の結合に関する大阪市水道局と結合先との協定又は契約等は、第19条に定める要件を満たすものとみなす。

附　則

この要綱は、平成14年4月1日から施行する。

附　則

この要綱は、平成18年4月1日から施行する。

附　則

1　この要綱は、平成23年2月8日から施行する。

（経過措置）

2　この要綱の施行前における保護データの指定は、第3条に定める要件を満たすものとみなす。

3　この要綱の施行前における他の業務に係るデータの利用は、第6条に定める要件を満たすものとみなす。

4　この要綱の施行前における他局等によるデータの利用は、第7条に定める要件を満たすものとみなす。

5　この要綱の施行前における外部へのデータの提供は、第8条に定める要件を満たすものとみなす。

6　この要綱の施行前における保有個人情報処理のための電子計算機の結合に関する協定又は契約は、第10条に定める要件を満たすものとみなす。

附　則

この要綱は、平成23年4月1日から施行する。

附　則

この要綱は、平成28年12月26日から施行する。

附　則

この要綱は、平成30年5月30日から施行する。

附　則

この内規は、令和元年6月4日から施行する。

附　則

1　この要綱は、令和5年4月1日から施行する。

2　この要綱による改正前の大阪市水道局データ保護管理要綱の規定により、締結した協定又は契約ついては、なお従前の例による。