(諮問第 159 号説明資料) 公害総合システムで個人情報を処理すること並びに同システムの開発業務及び保守業務を委 託することについて 1 諮問の内容 環境政策課では、騒音防止法、大気汚染防止法、都民の健康と安全を確保する環境に関する条 例等の法令や要綱、指針などに基づき、騒音・振動・大気・水質などの各種環境測定、公害関連 事業場の管理、公害関連各種届出の受付・対応、公害関係苦情の受付・対応、都や国への公害関 連の報告など、公害関連の規制や指導の事業を行っている。 これらの事業に係る情報は、委託を行っている一部測定事業を除き、アクセス(公害関連事業 場台帳)、エクセル(受付簿)、ワード(苦情処理票)、紙台帳(一部公害関連事業場台帳)によ り、管理している。 これらの情報の管理を一元化し、入力作業の効率化・標準化、規制指導業務の適正化、統計処 理の正確化及び苦情対応・届出受付業務の円滑化を図るため、公害総合システム(以下「本シス テム」 )を導入する。 本システムでは、各公害関連事業場、受付簿、苦情処理票に個人情報を処理する。個人情報の コンピュータ処理に該当するため、審議会の意見を聞く。 また、本システムの開発業務及び保守業務は、民間事業者に委託する予定である。このことは 個人情報を取り扱う業務処理の委託に該当するため、併せて審議会の意見を聴く。 2 諮問の理由 個人情報のコンピュータ処理及び個人情報を取り扱う業務の処理の委託は、千代田区個人情報 保護条例(平成 10 年千代田区条例第 43 号)第 17 条第1項及び第 34 条の2第3項の規定に該当 するため、審議会の意見を聴く。 3 個人情報のコンピュータ処理及び業務委託の必要性 (1)個人情報のコンピュータ処理の必要性 ・ 本システムにより、公害関連データの一元管理を行い、データの検索、抽出機能や、報告書 作成機能を持たせることにより、業務の円滑化、標準化、効率化を図ることができる。 ・ 【削除】認証、操作者の権限管理、アクセスログの記録等により、これまでの簡易データ ベース(アクセス、エクセル等)と紙台帳による管理に比べ、情報セキュリティを大幅に向上 させることができる。 (2)個人情報を取り扱う業務の処理の委託の必要性 ・ 本システムにおいては、パッケージソフトのカスタマイズが想定されるため、その業務は専 1 門性を要する。 ・ 本システムのアプリケーションもしくは機器のトラブル等の復旧対応又は操作者の操作サポ ート等を委託により実施する必要がある。 4 本システムの構成(概略図) 環境政策課公害指導係 クライアント サーバー クライアント プリンタ クライアント ○ 他のネットワーク(インターネット含む。)とは接続しない閉鎖したネットワークとする。 5 コンピュータ処理(委託により処理)する個人情報 (1)苦情関係 ア 苦情申立者 ・住所 ・氏名 ・連絡先電話番号 ・男女 ・メールアドレス ・事業所名 イ 連絡者(苦情申立者の代理人、中継ぎ者等) ・住所 ・氏名 ・連絡先電話番号 ・男女 ・メールアドレス ・事業所名 ウ 申立対象 対象が個人の場合 ・住所 ・氏名 ・連絡先電話番号 ・男女 ・メールアドレス ・事業所名 対象が、企業、事業所の場合 ・担当者名 ・担当者の職名 ・連絡先電話番号 ・メールアドレス 2 エ その他 ・他の行政機関の担当者の氏名 ・所属部課係名 ・連絡先電話番号 ・メールアドレス (2)事業場関係 ①担当者名 ②担当者の職名 ③連絡先電話番号 ④メールアドレス (3)届出書関係 ①担当者名 ②担当者の職名 ③連絡先電話番号 (4)その他 騒音計、放射線測定器等貸出受付簿 個人の場合 ・氏名 ・電話番号 法人の場合 ・事業所名 ・担当者名 ・連絡先電話番号 6 個人情報漏えい等のリスク及びその対策 (1)コンピュータ処理について ア 権限のない者による不正操作等により漏えいするリスク (対策) (ア) インターネットを含む外部ネットワークとは接続しない閉鎖したネットワークとする。 (イ) 【削除】資格認証を行う。 【削除】 (ウ)操作者毎に権限管理を行い、システムの重要な変更に関する権限(管理者権限)は、 一部の操作者に限定して付与する。 (エ)システムソフトウェアにおいて、アクセスログを記録する。 (不正なシステムアクセス が行われていないかをチェックする。) (オ)システム操作を中断するときは、ログオフ又はスクリーンセーバーによるロックをか ける運用とする。 (一定時間操作がないときには、自動的にスクリーンセーバーにより画 面をロックする設定とする。 ) イ 本システムの盗難、破壊(ウィルス感染によるものも含む。 )等による漏えいのリスク (対策) (ア)サーバー、無停電電源装置、外付けハードディスクは、庁舎内の鍵付サーバーラック に施錠して保管する。開錠は保守点検時のみの運用とする。 (イ)クライアント(ノート PC)は未使用時にはキャビネット内に施錠して保管する。 (ウ)クライアント内には個人情報を保存しない運用とする。 (エ)ウィルス対策ソフトを導入し、最新のパターンファイルに随時更新し、CD-ROM、 USB メモリ等の外部メディア(以下「外部メディア」という。 )を利用するときは必ず ウィルスチェックを行う。 3 ウ 本システムから外部メディア等へ書き出したデータの盗難、紛失等のリスク (対策) 本システムからの外部メディア等へのデータ書き出しは禁止する。 (外付けハードディス クへのデータバックアップを除く。) (外部メディアへのデータ書き出しは、 管理者権限を有する者のみが行えるようにする。 個人情報を含むデータを書き出すときは暗号化、パスワード等の保護措置を行う。) エ データが破損し、又は誤消去することにより、業務を継続できなくなるリスク (対策) バックアップデータを、サーバー内及び外付けハードディスク内に自動生成する。 オ 出力した帳票の紛失、誤廃棄等のリスク (対策) (ア)出力した帳票の管理は、 【削除】原則として事務室外へ持ち出さない。持ち出す場合に は、持ち出し目的、担当者名、持ち出し先等を記録し、その返却を他の職員が確認する こととする。 (イ)帳票の出力は必要最小限とし、不要となった個人情報を含む文書は速やかにシュレッ ダーで破砕する。 (文書の誤廃棄を避けるため、2人以上の職員で確認する。 ) (2)本システムの保守の委託について ア 情報管理体制に不安、問題がある事業者を選定するリスク (対策) (ア)本システムの導入事業者の選定(入札)においては、ISMS 又はプライバシーマーク の認証資格を有する事業者のみを対象とする。 (イ)事業者選定後、当該落札事業者に過去の漏えい事故の有無、事故が発生させていた場 合にはその後のフォロー体制を確認する。 イ 受託者又はその従業者等が契約内容や個人情報保護関係規程の不知等により契約・規程違反 行為が行われるリスク (対策) (ア)個人情報保護に関する規程及び個人情報保護に関する誓約書を提出させる。 (イ)本業務の従事者の名簿の提出を求め、また、全ての従事者に個人情報保護に関する誓 約書を提出させる。 (罰則適用等の部分を一部手書きとする。 ) (ウ)作業責任者を定めさせ、他の従事者への契約内容の周知や監督を義務づける。 4 (エ)従事者に対する個人情報保護の教育(研修)の実施を求める。 ウ 従事者が個人情報を庁舎から持ち出し、紛失、盗難等により漏えいするリスク (対策) (ア) 本業務においては、 個人情報を外部に持ち出しての作業を禁止する。 (開発業務のうち、 紙台帳をデータ化する業務は除く。 ) (イ)従事者による作業時には、区が必要性の説明を受け承諾したものを除き、パソコン、 デジタルカメラ、携帯電話の持込みを禁止する。 エ 受託者から業務の一部がさらに外部事業者に委託され、当該外部事業者(再委託先)から漏 えいするリスク (対策) (ア)本契約においては、個人情報の処理を伴う再委託は禁止する。 オ 個人情報の漏えい事故が発生した場合の被害拡大のリスク (対策) (ア)個人情報の漏えい等の事故が発生した場合は、直ちに区に報告し、区の指示に従うよ う義務付ける。 (イ)個人情報の漏えい事故が発生した場合に備え、区その他の関係者との連絡、証拠保全、 被害拡大の防止、復旧及び再発防止の措置を迅速かつ適切に実施するための緊急時対応 計画を定めさせる。 (緊急時対応計画は、震災時、労働争議時における対応も含めたもの とする。 ) カ 契約期間終了後に、受託者により個人情報が継続保有され、漏えいするリスク (対策) 本契約の終了時に、受託者が本業務にかかる個人情報を保有するときは確実に返却させた 上で、本業務にかかる個人情報を保有していないことについての誓約書を提出させる。 7 実施時期 平成 28 年7月(予定) 導入事業者(システム)決定、契約 契約後システム開発 平成 29 年 4 月(予定) 本システム運用開始 5
© Copyright 2024 ExpyDoc
