○オンライン結合の基準について

平成17年11月25日

例規情管第40号本部長

各所属長

愛媛県個人情報保護条例(平成13年県条例第41号)第10条第2項の規定に基づき、実施機関(公安委員会及び警察本部長に限る。)がオンライン結合により個人情報の提供を行う場合に守るべき基準を別添のとおり定め、平成18年4月1日から施行することとしたので、適正な運用に努められたい。

別添

オンライン結合の基準

第1 趣旨

この基準は、愛媛県個人情報保護条例(平成13年県条例第41号)第12条第2項の規定に基づき、実施機関(公安委員会及び警察本部長に限る。以下同じ。)がオンライン結合により個人情報の提供を行う場合に守るべき基準に関し必要な事項を定めるものとする。

第2 提供を行う場合の措置

オンライン結合により個人情報の提供を行う場合は、公益上の必要性、相手方の対応措置及び実施機関が講ずる技術的措置に関する基準を満たさなければならない。ただし、一般の県民に対する情報提供を目的とするシステムにあっては、第3及び第5の2のみが適用されるものとする。

第3 公益上の必要性に関する基準

1 次のいずれかに該当し、かつ、手作業処理又は磁気テープ等の搬送により個人情報を提供する方法では十分な成果が期待できないものでなければならない。

(1) 実施機関又は相手方の事務の性質上、個人情報の提供の即時性又は個人情報の最新性を確保する必要があること。

(2) 実施機関のシステムが相手方の保有する個人情報の収集を兼ねるものであること。

(3) 相手方との共有的な性質の個人情報の処理に伴うもので、データの相互利用的意味合いが強いこと。

2 オンライン結合を行うことによって住民サービスの向上、住民負担の軽減等オンライン結合を行う公益上の必要が認められなければならない。

第4 相手方の対応措置に関する基準

相手方に、次に掲げる個人情報の保護のための制度が整備され、又は提供された個人情報を保護するために適切な措置が講じられていなければならない。

1 全般的措置に関する項目

電子計算機処理される個人情報に関して、次に掲げる事項を定めた規程等を制定していること又は当該オンライン結合により提供される個人情報について、次の事項を明記した覚書等を取り交わしていること。

(1) 目的外の利用及び提供の禁止

(2) 個人情報を取り扱う職員の責務

(3) 不要となった個人情報の確実な廃棄

(4) その他個人情報保護のために必要な措置

2 管理的措置に関する項目

(1) 端末機の管理について適切な措置が講じられていること。

(2) ファイルへの不当なアクセスを防止するため適切な措置が講じられていること。

(3) 管理的措置の方策例

別表1のとおり。

第5 実施機関が講ずる技術的措置に関する基準

オンライン結合を行うことにより個人情報の漏えい、滅失、き損及び改ざん等の危険が生じないようにするために、次に掲げるハードウェア上及びソフトウェア上の適切な技術的措置を講じなければならない。

1 不正アクセスの排除に関する項目

ファイルへの不正なアクセスを排除するための適切な技術的措置が講じられていること。

2 障害の予防、回復に関する項目

(1) 障害を予防し、ファイルの安全性を確保するために適切な措置が講じられていること。

(2) 障害を速やかに回復するために適切な措置が講じられていること。

3 技術的措置の方策例

別表2のとおり。

第6 情報管理課長への連絡

所属長は、オンライン結合により個人情報を取り扱う業務を実施しようとするときは、実施時期及び業務内容を情報管理課長に連絡しなければならない。

別表1

管理的措置の方策例

種別

方策の例

1 端末機の管理についての適切な措置

1 端末機の管理責任者を定める。

2 端末機の使用状況を監視し、記録する。

2 ファイルへの不当なアクセスを防止するための適切な措置

1 ファイルへのアクセス権限を定める。

2 アクセス権限を確認するためのパスワード、IDカード等が不正に使用されないように、次の措置を採る。

(1) パスワード、IDカード等の管理者を指定する。

(2) 依頼、承認、発行手続を明確にする。

(3) アクセス可能であった者が権限を失ったときは、直ちに権限を抹消する。

(4) パスワードを他人に知られ、又はIDカードを紛失する等の事故があったときは、直ちに無効とする手続を定める。

(5) その他パスワードについては、次の措置を採る。

ア 適宜変更し、かつ、推測が困難なものとする。

イ 他人に教えないよう徹底する。

ウ 書き留めておかないよう徹底する。

別表2

技術的措置の方策例

種別

方策の例

1 ファイルへの不正なアクセスを排除するための適切な技術的措置

1 無資格者によるアクセスを制限するため、原則としてパスワード、IDカード等が必要なシステムとする。

2 パスワードが画面に表示されないようにする。

3 端末機を専用回線で接続する。

4 端末機を公衆回線により接続する場合は、端末機の確認機能を設ける。

5 相手方のアクセスをデータの必要箇所のみに制限する機能を設ける。

6 特に重要なデータを提供する場合には、専用回線の利用、送信データの暗号化等により厳重なデータ保護対策を実施する。

2 障害を予防し、ファイルの安全性を確保するための適切な措置

1 機器の能力及び容量を超えないように負荷状態を監視し、又は制御する機能を設ける。

2 コンピュータウイルス対策を実施する。

3 障害を速やかに回復するための適切な措置

1 回線の接続状況等システムの運転状況を把握する機能を設ける。

2 定期的にデータのバックアップ及びバックアップ時以降の更新データを保存する等の措置をし、障害発生時にはこれらのデータをもとに速やかにシステムを回復させる機能を設ける。

オンライン結合の基準について

平成17年11月25日 例規情管第40号

(平成28年5月16日施行)

体系情報
第2編 務/第3章 情報管理
沿革情報
平成17年11月25日 例規情管第40号
平成28年5月16日 例規広県第166号