特定個人情報保護評価書(重点項目評価書) 評価書番号 2 評価書名 予防接種事務 重点項目評価書 個人のプライバシー等の権利利益の保護の宣言 郡山市は、予防接種事務における特定個人情報ファイルの取扱いにあた り、特定個人情報ファイルの取扱いが個人のプライバシー等の権利利益に 影響を及ぼしかねないことを認識し、特定個人情報の漏えいその他の事態 を発生させるリスクを軽減させるために適切な措置を講じ、もって個人のプラ イバシー等の権利利益の保護に取り組んでいることを宣言する。 特記事項 評価実施機関名 郡山市 公表日 平成27年1月9日 [平成26年4月 様式3] 予防接種事務 1 郡山市保健福祉部保健所地域保健課 項目一覧 Ⅰ 基本情報 Ⅱ 特定個人情報ファイルの概要 (別添1) 特定個人情報ファイル記録項目 Ⅲ リスク対策 Ⅳ 開示請求、問合せ Ⅴ 評価実施手続 (別添2) 変更箇所 予防接種事務 2 郡山市保健福祉部保健所地域保健課 Ⅰ 基本情報 1.特定個人情報ファイルを取り扱う事務 ①事務の名称 予防接種事務 ②事務の内容 郡山市は、予防接種の実施(対象者への通知、受託医療機関との協議、予診票の管理、支払い、事故 報告、副反応報告)事務に関し、予防接種法及び特定の個人を識別するための番号の利用等に関する 法律(以下「番号法」という。)の規定に従い、特定個人情報を取り扱う。 ③対象人数 [ 10万人以上30万人未満 ] <選択肢> 1) 1,000人未満 3) 1万人以上10万人未満 2) 1,000人以上1万人未満 4) 10万人以上30万人未満 2.特定個人情報ファイルを取り扱う事務において使用するシステム システム1 ①システムの名称 ②システムの機能 ③他のシステムとの接続 母子保健情報管理システム 予診票入力、接種台帳管理、医療機関への支出台帳作成、実績報告帳票作成 [ ] 情報提供ネットワークシステム [ ○ ] 庁内連携システム [ ] 住民基本台帳ネットワークシステム [ ] 既存住民基本台帳システム [ ] 税務システム [ ○ ] 宛名システム等 [ ○ ] その他 ( 中間サーバー ) システム2~5 システム2 ①システムの名称 共通基盤システム(庁内連携システム) 1 情報連携テーブル格納機能 :各事務システム間の連携において、各事務システムの連携用テーブルに情報を格納する。 ②システムの機能 2 情報連携テーブル修正機能 :各事務システムにおいて、異動等により情報に修正があった場合、その異動情報等を、連携用テーブ ルに格納する。 3 情報連携テーブル参照機能 :各事務システムにおいて、他システムの情報が必要な場合に、他システムの連携テーブルを参照す る。 ③他のシステムとの接続 [ ] 情報提供ネットワークシステム [ [ ] 住民基本台帳ネットワークシステム [ ○ ] 既存住民基本台帳システム [ ○ ] 宛名システム等 [ ○ ] その他 予防接種事務 [ ( 各事務システム ] 庁内連携システム ] 税務システム ) 3 郡山市保健福祉部保健所地域保健課 システム3 ①システムの名称 団体内統合宛名システム(以下「統合宛名システム」という。)(宛名システム) 1.宛名番号付番機能 :団体内統合宛名番号(以下「統合宛名番号」という。)が未登録の個人について、新規に統合宛名番号 を付番する。各事務システムからの統合宛名番号要求に対し、統合宛名番号を付番し、各事務システ ム及び中間サーバーに対し返却する。 2.宛名情報等管理機能 : 統合宛名システムにおいて宛名情報を統合宛名番号、個人番号と紐付けて保存し、管理する。 ②システムの機能 3.中間サーバー連携機能 :中間サーバー、又は中間サーバー端末からの要求に基づき、統合宛名番号に紐づく宛名情報等を通 知する。 4.各事務システム連携機能 :各事務システムからの要求に基づき、個人番号、又は統合宛名番号に紐づく宛名情報を通知する。 ③他のシステムとの接続 [ ] 情報提供ネットワークシステム [ ○ ] 庁内連携システム [ ] 住民基本台帳ネットワークシステム [ ] 既存住民基本台帳システム [ ] 宛名システム等 [ ] 税務システム [ ○ ] その他 予防接種事務 ( 中間サーバー ) 4 郡山市保健福祉部保健所地域保健課 システム4 ①システムの名称 中間サーバー 1.符号管理機能 :情報照会、情報提供に用いる個人の識別子である「符号」と、情報保有機関内で個人を特定するため に利用する「統合宛名番号」とを紐付け、その情報を保管・管理する。 2.情報照会機能 :情報提供ネットワークシステムを介して、特定個人情報(連携対象)の情報照会及び情報提供受領(照 会した情報の受領)を行う。 3.情報提供機能 :情報提供ネットワークシステムを介して、情報照会要求の受領及び当該特定個人情報(連携対象)の 提供を行う。 4.各事務システム接続機能 :中間サーバーと各事務システム、統合宛名システム及び既存住基システムとの間で情報照会内容、 情報提供内容、特定個人情報(連携対象)、符号取得のための情報等について連携する。 ②システムの機能 5.情報提供等記録管理機能 :特定個人情報(連携対象)の照会、又は提供があった旨の情報提供等記録を生成し、管理する。 6.情報提供データベース管理機能 :特定個人情報(連携対象)を副本として,保持・管理する。 7.データ送受信機能 :中間サーバーと情報提供ネットワークシステム(インターフェイスシステム)との間で情報照会、情報提 供、符号取得のための情報等について連携する。 8.セキュリティ管理機能 :セキュリティを管理する。 9.職員認証・権限管理機能 :中間サーバーを利用する職員の認証と職員に付与された権限に基づいた各種機能や特定個人情報 (連携対象)へのアクセス制御を行う。 10.システム管理機能 :バッチ処理の状況管理、業務統計情報の集計、稼動状態の通知、保管切れ情報の削除を行う。 ③他のシステムとの接続 [ ○ ] 情報提供ネットワークシステム [ ] 庁内連携システム [ [ ] 既存住民基本台帳システム [ ] 税務システム ] 住民基本台帳ネットワークシステム [ ○ ] 宛名システム等 [ ] その他 ( ) システム5 システム6~10 システム11~15 システム16~20 3.特定個人情報ファイル名 予防接種事務における接種対象者の個人情報管理ファイル 4.個人番号の利用 ※ 法令上の根拠 番号法第9条第1項 別表第一の第10項 5.情報提供ネットワークシステムによる情報連携 ※ ①実施の有無 ②法令上の根拠 [ 実施する <選択肢> 1) 実施する 2) 実施しない 3) 未定 ] <情報照会> 番号法第19条第7項 別表第二の第17項、第18項、第19項 6.評価実施機関における担当部署 ①部署 保健福祉部保健所地域保健課 ②所属長 課長 箭内範夫 7.他の評価実施機関 予防接種事務 5 郡山市保健福祉部保健所地域保健課 Ⅱ 特定個人情報ファイルの概要 1.特定個人情報ファイル名 予防接種事務における接種対象者の個人情報管理ファイル 2.基本情報 ①ファイルの種類 ※ ②対象となる本人の数 [ [ システム用ファイル 10万人以上100万人未満 <選択肢> 1) システム用ファイル 2) その他の電子ファイル(表計算ファイル等) ] <選択肢> 1) 1万人未満 2) 1万人以上10万人未満 3) 10万人以上100万人未満 4) 100万人以上1,000万人未満 5) 1,000万人以上 ] ③対象となる本人の範囲 ※ 予防接種法に規定する接種対象者(対象者が未成年の場合、その保護者を含む) その必要性 ④記録される項目 予防接種の実施にあたり、対象者に通知を行う際、未成年者に対してはその保護者あてに通知を行うた め。 <選択肢> 1) 10項目未満 2) 10項目以上50項目未満 [ 100項目以上 ] 3) 50項目以上100項目未満 4) 100項目以上 ・識別情報 [ ○ ] 個人番号 [ ] 個人番号対応符号 [ ○ ] その他識別情報(内部番号) ・連絡先等情報 [ ○ ] 4情報(氏名、性別、生年月日、住所) [ ○ ] 連絡先(電話番号等) [ ○ ] その他住民票関係情報 主な記録項目 ※ ・業務関係情報 [ ] 国税関係情報 [ ] 地方税関係情報 [ ○ ] 健康・医療関係情報 [ ] 医療保険関係情報 [ ] 児童福祉・子育て関係情報 [ [ ] 生活保護・社会福祉関係情報 [ ] 雇用・労働関係情報 [ ] 災害関係情報 [ ] その他 [ 法令に基づき記録する必要があるため。 全ての記録項目 別添1を参照。 ⑥事務担当部署 保健福祉部保健所地域保健課 予防接種事務 [ ] 学校・教育関係情報 ) その妥当性 平成27年10月以降 ] 介護・高齢者福祉関係情報 ] 年金関係情報 ( ⑤保有開始日 [ ] 障害者福祉関係情報 6 郡山市保健福祉部保健所地域保健課 3.特定個人情報の入手・使用 [ ○ ] 本人又は本人の代理人 ①入手元 ※ ②入手方法 ③使用目的 ※ [ ○ ] 評価実施機関内の他部署 ( 市民課 ) [ ] 行政機関・独立行政法人等 ( ) [ ] 地方公共団体・地方独立行政法人 [ ] 民間事業者 [ ] その他 ( ) ( ) ( ) [○ ]紙 [ ] 電子記録媒体(フラッシュメモリを除く。) [ ○ ] 電子メール [ ] 専用線 [ ] 情報提供ネットワークシステム [ ] その他 [ ] フラッシュメモリ [ ○ ] 庁内連携システム ( ) 接種対象者の年齢等接種要件を正確に把握する必要があるため。 使用部署 地域保健課、こども支援課、各行政センター、ソーシャルメディア推進課(電算室) ④使用の主体 使用者数 ⑤使用方法 [ 50人以上100人未満 <選択肢> 1) 10人未満 3) 50人以上100人未満 5) 500人以上1,000人未満 ] 2) 10人以上50人未満 4) 100人以上500人未満 6) 1,000人以上 予防接種法に基づく、予防接種の実施(対象者への通知、受託医療機関との協議、予診票の管理、支 払い、事故報告、副反応報告)事務 情報の突合 ⑥使用開始日 予防接種事務 7 郡山市保健福祉部保健所地域保健課 4.特定個人情報ファイルの取扱いの委託 委託の有無 ※ [ 委託する ( <選択肢> 1) 委託する ] 2) 委託しない 1 ) 件 委託事項1 予防接種情報管理運用業務 ①委託内容 予防接種の実施に関する内容の管理を行う。 <選択肢> 1) 10人未満 [ 10人未満 ] 3) 50人以上100人未満 5) 500人以上1,000人未満 ②委託先における取扱者数 ③委託先名 ④再委託の有無 ※ 再 委 託 2) 10人以上50人未満 4) 100人以上500人未満 6) 1,000人以上 株式会社福島情報処理センター [ 再委託しない <選択肢> 1) 再委託する ] 2) 再委託しない ⑤再委託の許諾方法 ⑥再委託事項 委託事項2~5 委託事項6~10 委託事項11~15 委託事項16~20 予防接種事務 8 郡山市保健福祉部保健所地域保健課 5.特定個人情報の提供・移転(委託に伴うものを除く。) 提供・移転の有無 [ ] 提供を行っている ( )件 [ ] 移転を行っている ( )件 [ ○ ] 行っていない 提供先1 ①法令上の根拠 ②提供先における用途 ③提供する情報 ④提供する情報の対象となる 本人の数 [ <選択肢> 1) 1万人未満 2) 1万人以上10万人未満 3) 10万人以上100万人未満 4) 100万人以上1,000万人未満 5) 1,000万人以上 ] ⑤提供する情報の対象となる 本人の範囲 ⑥提供方法 [ ] 情報提供ネットワークシステム [ ] 専用線 [ ] 電子メール [ ] 電子記録媒体(フラッシュメモリを除く。) [ ] フラッシュメモリ [ ]紙 [ ] その他 ( ) ⑦時期・頻度 提供先2~5 提供先6~10 提供先11~15 提供先16~20 予防接種事務 9 郡山市保健福祉部保健所地域保健課 移転先1 ①法令上の根拠 ②移転先における用途 ③移転する情報 ④移転する情報の対象となる 本人の数 [ ] <選択肢> 1) 1万人未満 2) 1万人以上10万人未満 3) 10万人以上100万人未満 4) 100万人以上1,000万人未満 5) 1,000万人以上 ⑤移転する情報の対象となる 本人の範囲 ⑥移転方法 [ ] 庁内連携システム [ ] 専用線 [ ] 電子メール [ ] 電子記録媒体(フラッシュメモリを除く。) [ ] フラッシュメモリ [ ]紙 [ ] その他 ( ) ⑦時期・頻度 移転先2~5 移転先6~10 移転先11~15 移転先16~20 6.特定個人情報の保管・消去 保管場所 ※ <母子保健情報管理システム、共通基盤システム、統合宛名システムにおける措置> 入退室管理を行っている部屋に設置したサーバ内に保管する。 サーバへのアクセスはIDとパスワードによる認証が必要となる。 <中間サーバー・プラットフォームにおける措置> ①特定個人情報の消去は地方公共団体からの操作によって実施されるため、通常、サーバー・プラット フォームの保守・運用を行う事業者が特定個人情報を消去することはない。 ②ディスク交換やハード更改等の際は、中間サーバー・プラットフォームの保守・運用を行う事業者にお いて、保存された情報が読み出しできないよう、物理的破壊又は専用ソフト等を利用して完全に消去す る。 7.備考 予防接種事務 10 郡山市保健福祉部保健所地域保健課 (別添1) 特定個人情報ファイル記録項目 <個人情報> 1個人コード、2フリガナ、3被接種者氏名、4生年月日、5性別、6住所、7電話番号、8接種時地区、9保護者名、10住登外フラグ <共通項目> 11医療機関コード <各予防接種> ・BCG 12接種回数、13接種年月日、14請求年月、15長期療養特例フラグ、16判定、17判定年月日、18反応、19接種時学校、20ワクチン製造 所、21ロット番号、22量、23接種液名称、24針痕数、2510か月医療機関、26備考 ・三種混合 27接種回数、28接種年月日、29請求年月、30長期療養特例フラグ、接種情報、31判定、32判定年月日、33反応、34接種時学校、35ワ クチン製造所、36ロット番号、37量、38接種液名称、39医療機関名、40医師名、41備考 ・MR 42接種回数、43接種年月日、44請求年月、45長期療養特例フラグ、接種情報、46判定、47判定年月日、48反応、49接種時学校、50ワ クチン製造所、51ロット番号、52量、53接種液名称、54医療機関名、55医師名、56備考 ・麻しん 57接種回数、58接種年月日、59請求年月、60長期療養特例フラグ、61判定、62判定年月日、63反応、64接種時学校、65ワクチン製造 所、66ロット番号、67量、68接種液名称、69医療機関名、70医師名、71備考 ・風しん 72接種回数、73接種年月日、74請求年月、75長期療養特例フラグ、76判定、77判定年月日、78反応、79接種時学校、80ワクチン製造 所、81ロット番号、82量、83接種液名称、84医療機関名、85医師名、86備考 ・二種混合 87接種回数、88接種年月日、89請求年月、90長期療養特例フラグ、91判定、92判定年月日、93反応、94接種時学校、95ワクチン製造 所、96ロット番号、97量、98接種液名称、99医療機関名、100医師名、101備考 ・日本脳炎 102接種回数、103接種年月日、104請求年月、105長期療養特例フラグ、106判定、107判定年月日、108反応、109接種時学校、110使 用ワクチン、111ワクチン製造所、112ロット番号、113量、114接種液名称、115医療機関名、116医師名、117備考 ・不活化ポリオ 118接種回数、119接種年月日、120請求年月、121長期療養特例フラグ、122判定、123判定年月日、124反応、125接種時学校、126ワク チン製造所、127ロット番号、128量、129接種液名称、130医療機関名、131医師名、132備考 ・四種混合 133接種回数、134接種年月日、135請求年月、136長期療養特例フラグ、137判定、138判定年月日、139反応、140接種時学校、141ワク チン製造所、142ロット番号、143量、144接種液名称、145医療機関名、146医師名、147備考 ・子宮頸がん 148接種回数、149接種年月日、150請求年月、151長期療養特例フラグ、接種情報、152判定、153判定年月日、154反応、155接種時学 校、156ワクチン製造所、157使用ワクチン、158ロット番号、159量、160接種液名称、161医療機関名、162医師名、163備考 ・ヒブ 164接種回数、165接種年月日、166請求年月、167長期療養特例フラグ、168判定、169判定年月日、170反応、171接種時学校、172ワク チン製造所、173ロット番号、174量、175接種液名称、176医療機関名、177医師名、178備考 ・小児用肺炎球菌 179接種回数、180接種年月日、181請求年月、182長期療養特例フラグ、183判定、184判定年月日、185反応、186接種時学校、187ワク チン製造所、188ロット番号、189量、190接種液名称、191医療機関名、192医師名、193備考 ・おたふく 194接種回数、195接種年月日、196請求年月、197長期療養特例フラグ、198判定、199判定年月日、200反応、201接種時学校、202ワク チン製造所、203ロット番号、204量、205接種液名称、206医療機関名、207医師名、208備考 ・水痘 209接種回数、210接種年月日、211請求年月、212長期療養特例フラグ、213判定、214判定年月日、215反応、216接種時学校、217ワク チン製造所、218ロット番号、219量、220接種液名称、221医療機関名、222医師名、223備考 ・ロタ1価 224接種回数、225接種年月日、226請求年月、227長期療養特例フラグ、228判定、229判定年月日、230反応、231接種時学校、232ワク チン製造所、233ロット番号、234量、235接種液名称、236医療機関名、237医師名、238備考 ・ロタ5価 239接種回数、240接種年月日、241請求年月、242長期療養特例フラグ、243判定、244判定年月日、245反応、246接種時学校、247ワク チン製造所、248ロット番号、249量、250接種液名称、251医療機関名、252医師名、253備考 予防接種事務 11 郡山市保健福祉部保健所地域保健課 ・成人風しん(単抗原)予防接種 254接種回数、255接種年月日、256請求年月、257長期療養特例フラグ、258判定、259判定年月日、260反応、261接種時学校、262ワク ・水痘 209接種回数、210接種年月日、211請求年月、212長期療養特例フラグ、213判定、214判定年月日、215反応、216接種時学校、217ワク チン製造所、218ロット番号、219量、220接種液名称、221医療機関名、222医師名、223備考 ・ロタ1価 224接種回数、225接種年月日、226請求年月、227長期療養特例フラグ、228判定、229判定年月日、230反応、231接種時学校、232ワク チン製造所、233ロット番号、234量、235接種液名称、236医療機関名、237医師名、238備考 ・ロタ5価 239接種回数、240接種年月日、241請求年月、242長期療養特例フラグ、243判定、244判定年月日、245反応、246接種時学校、247ワク チン製造所、248ロット番号、249量、250接種液名称、251医療機関名、252医師名、253備考 ・成人風しん(単抗原)予防接種 254接種回数、255接種年月日、256請求年月、257長期療養特例フラグ、258判定、259判定年月日、260反応、261接種時学校、262ワク チン製造所、263ロット番号、264量、265接種液名称、266医療機関名、267医師名、268備考 ・成人風しん(MR)予防接種 269接種回数、270接種年月日、271請求年月、272長期療養特例フラグ、273判定、274判定年月日、275反応、276接種時学校、277ワク チン製造所、278ロット番号、279量、280接種液名称、281医療機関名、282医師名、283備考 ・成人風しん(抗体検査) 284検査回数、285検査年月日、286請求年月、287長期療養特例フラグ、288判定、289説明年月日、290検査年月日、291検査方法、 292検査キット、293検査結果、294結果区分、295医療機関名、296医師名、297備考 ・高齢肺炎球菌 298接種回数、299接種年月日、300請求年月、301長期療養特例フラグ、302判定、303判定年月日、304反応、305接種時学校、306ワク チン製造所、307ロット番号、308量、309接種液名称、310医療機関名、311医師名、312備考 ・高齢者インフルエンザ 313接種回数、314接種年月日、315請求年月、316長期療養特例フラグ、317判定、318判定年月日、319反応、320接種時学校、321ワク チン製造所、322ロット番号、323量、324接種液名称、325医療機関名、326医師名、327備考 予防接種事務 12 郡山市保健福祉部保健所地域保健課 Ⅲ リスク対策 ※(7.②を除く。) 1.特定個人情報ファイル名 予防接種事務における接種対象者の個人情報管理ファイル 2.特定個人情報の入手 (情報提供ネットワークシステムを通じた入手を除く。) リスク: 目的外の入手が行われるリスク <母子保健情報管理システムにおける措置> 本人が書面を提出する際、誤った情報や不要な情報を記入することがないようチェックを行う。 リスクに対する措置の内容 <共通基盤システムにおける措置> 各事務システム間での情報連携のために、各システムの副本データを置くものであり、各システムが自 動連携するシステムであるので、操作者が直接アクセスすることができないシステムとなっている。 <統合宛名システムにおける措置> 共通基盤システムを経由した各事務システムと中間サーバーとの連携を行うものである。 このシステムは、完全自動化されているため、職員等が直接アクセスすることはできなくなっている。 また、メンテナンス等を行う場合には、操作ログを保管する機能を有している。 <選択肢> 1) 特に力を入れている 2) 十分である 3) 課題が残されている 特定個人情報の入手(情報提供ネットワークシステムを通じた入手を除く。)におけるその他のリスク及びそのリスクに対する措置 リスクへの対策は十分か [ 十分である ] ― 3.特定個人情報の使用 リスク1: 目的を超えた紐付け、事務に必要のない情報との紐付けが行われるリスク <母子保健情報管理システムにおける措置> 情報提供ネットワークシステムを介して提供する情報も、番号法で定められた相手方に提供する情報に 限定している。 リスクに対する措置の内容 <統合宛名システムにおける措置> ①特定個人情報の中間サーバーとの連携システムであり、その他のシステムに連携する機能は有して いない。 ②中間サーバーからの要求にこたえるだけであるので、必要な情報の切り分けは、統合宛名システムで は行われない。 <共通基盤システムにおける措置> ①情報の格納 自動でデータの副本を更新するシステムである。 ②情報の取得 自動で必要な情報を取得するのみで、それ以外の情報は取得できないシステムとなっている。 <選択肢> 1) 特に力を入れている 3) 課題が残されている リスク2: 権限のない者(元職員、アクセス権限のない職員等)によって不正に使用されるリスク <選択肢> ユーザ認証の管理 [ 行っている ] 1) 行っている リスクへの対策は十分か 具体的な管理方法 [ 十分である ] 2) 十分である 2) 行っていない <母子保健情報システムにおける措置> ①システムを利用する必要がある職員を特定し、個人ごとにユーザーIDを割り当てるとともに、パスワー ドによる認証を行なっている。 ②ユーザーIDのログ情報を管理している。 <共通基盤システム・統合宛名システムにおける措置> 操作者の登録管理を行う。 予防接種事務 13 郡山市保健福祉部保健所地域保健課 その他の措置の内容 ― <選択肢> 1) 特に力を入れている 3) 課題が残されている 特定個人情報の使用におけるその他のリスク及びそのリスクに対する措置 リスクへの対策は十分か [ 十分である ] 2) 十分である ― 予防接種事務 14 郡山市保健福祉部保健所地域保健課 4.特定個人情報ファイルの取扱いの委託 [ ] 委託しない リスク: 委託先における不正な使用等のリスク 委託契約書中の特定個人情 報ファイルの取扱いに関する 規定 [ 定めている ] <選択肢> 1) 定めている 2) 定めていない 郡山市個人情報保護条例及び関連規則等、郡山市情報セキュリティ要綱及び郡山市情報セキュリティ 対策基準等の業務実施に関係する法令等を遵守すること。 <選択肢> 再委託先による特定個人情 1) 特に力を入れて行っている 2) 十分に行っている 報ファイルの適切な取扱いの [ 再委託していない ] 3) 十分に行っていない 4) 再委託していない 担保 規定の内容 具体的な方法 その他の措置の内容 ― <選択肢> 1) 特に力を入れている 3) 課題が残されている 特定個人情報ファイルの取扱いの委託におけるその他のリスク及びそのリスクに対する措置 リスクへの対策は十分か [ 十分である ] 2) 十分である ― 5.特定個人情報の提供・移転 (委託や情報提供ネットワークシステムを通じた提供を除く。) [ ○ ] 提供・移転しない リスク: 不正な提供・移転が行われるリスク 特定個人情報の提供・移転 に関するルール [ ] <選択肢> 1) 定めている 2) 定めていない ルールの内容及び ルール遵守の確認方 法 その他の措置の内容 <選択肢> 1) 特に力を入れている 2) 十分である 3) 課題が残されている 特定個人情報の提供・移転(委託や情報提供ネットワークシステムを通じた提供を除く。)におけるその他のリスク及びそのリスクに対 する措置 リスクへの対策は十分か 予防接種事務 [ ] 15 郡山市保健福祉部保健所地域保健課 6.情報提供ネットワークシステムとの接続 [ ] 接続しない(入手) [ ] 接続しない(提供) リスク1: 目的外の入手が行われるリスク <母子保健情報管理システムにおける措置> 番号法の規定に基づき、認められる範囲内において特定個人情報の照会を行う。また、理解度を高める ため、規定内容の周知を行い、業務以外に利用することを禁止する。 リスクに対する措置の内容 リスクへの対策は十分か <中間サーバー・ソフトウェアにおける措置> ①情報照会機能(※1)により、情報提供ネットワークシステムに情報照会を行う際には、情報提供許可 証の発行と照会内容の照会許可用照合リスト(※2)との照合を情報提供ネットワークシステムに求め、 情報提供ネットワークシステムから情報提供許可証を受領してから情報照会を実施することとなる。つま り、番号法上認められた情報連携以外の照会を拒否する機能を備えており、目的外提供やセキュリティ リスクに対応している。 ②中間サーバーの職員認証・権限管理機能(※3)では、ログイン時の職員認証の他に、ログイン・ログ アウトを実施した職員、時刻、操作内容の記録が実施されるため、不適切な接続端末の操作や、不適切 なオンライン連携を抑止する仕組みになっている。 (※1)情報提供ネットワークシステムを使用した特定個人情報の照会及び照会した情報の受領を行う機 能。 (※2)番号法別表第2及び第19条第14号に基づき、事務手続きごとに情報照会者、情報提供者、照 会・提供可能な特定個人情報をリスト化したもの。 (※3)中間サーバーを利用する職員の認証と職員に付与された権限に基づいた各種機能や特定個人 情報へのアクセス制御を行う機能。 [ 十分である ] <選択肢> 1) 特に力を入れている 3) 課題が残されている 2) 十分である リスク2: 不正な提供が行われるリスク <母子保健情報管理システムにおける措置> 番号法の規定により認められた機関以外からの要求以外は、受け付けないよう制御する。 また、情報提供の記録(提供が認められなかった場合、その記録)を残す。 リスクに対する措置の内容 <中間サーバー・ソフトウェアにおける措置> ①情報提供機能(※)により、情報提供ネットワークシステムにおける照会許可用照合リストを情報提供 ネットワークシステムから入手し、中間サーバーにも格納して、情報提供機能により、照会許可用照会リ ストに基づき情報連携が認められた特定個人情報の提供の要求であるかチェックを実施している。 ②情報提供機能により、情報提供ネットワークシステムに情報提供を行う際には、情報提供ネットワーク システムから情報提供許可証と情報照会者へたどり着くための経路情報を受領し、照会内容に対応した 情報を自動で生成して送付することで、特定個人情報が不正に提供されるリスクに対応している。 ③特に慎重な対応が求められる情報については自動応答を行わないように自動応答不可フラグを設定 し、特定個人情報の提供を行う際に、送信内容を改めて確認し、提供を行うことで、センシティブな特定 個人情報が不正に提供されるリスクに対応している。 ④中間サーバーの職員認証・権限管理機能では、ログイン時の職員認証の他に、ログイン・ログアウト を実施した職員、時刻、操作内容の記録が実施されるため、不適切な接続端末の操作や、不適切なオ ンライン連携を抑止する仕組みになっている。 (※)情報提供ネットワークシステムを使用した特定個人情報の提供の要求の受領及び情報提供を行う 機能。 <選択肢> 1) 特に力を入れている 3) 課題が残されている 情報提供ネットワークシステムとの接続に伴うその他のリスク及びそのリスクに対する措置 リスクへの対策は十分か [ 十分である ] 2) 十分である ― 予防接種事務 16 郡山市保健福祉部保健所地域保健課 7.特定個人情報の保管・消去 リスク: 特定個人情報の漏えい・滅失・毀損リスク ①事故発生時手順の策定・ 周知 [ ②過去3年以内に、評価実施 機関において、個人情報に関 する重大事故が発生したか [ その内容 ― 再発防止策の内容 ― その他の措置の内容 十分に行っている 発生なし ] <選択肢> 1) 特に力を入れて行っている 2) 十分に行っている 3) 十分に行っていない <選択肢> 1) 発生あり ] 2) 発生なし ― <選択肢> 1) 特に力を入れている 3) 課題が残されている 特定個人情報の保管・消去におけるその他のリスク及びそのリスクに対する措置 リスクへの対策は十分か [ 十分である ] 2) 十分である ― 8.監査 実施の有無 [ ○ ] 自己点検 [ ○ ] 内部監査 [ ] 外部監査 9.従業者に対する教育・啓発 従業者に対する教育・啓発 [ 十分に行っている ] <選択肢> 1) 特に力を入れて行っている 2) 十分に行っている 3) 十分に行っていない <郡山市における措置> 情報セキュリティ担当部署が次の教育・啓発を行っている。 ・情報セキュリティ対策通知 ・情報セキュリティ対策遵守徹底事項カード配布 ・個人情報保護・情報セキュリティハンドブックによる自己啓発 具体的な方法 <中間サーバー・プラットフォームにおける措置> ①中間サーバー・プラットフォームの運用に携わる職員及び事業者に対し、セキュリティ研修等を実施す ることとしている。 ②中間サーバー・プラットフォームの業務に就く場合は、運用規則等について研修を行うこととしている。 10.その他のリスク対策 <中間サーバー・プラットフォームにおける措置> 中間サーバー・プラットフォームを活用することにより、統一した設備環境による高レベルのセキュリティ管理(入退室管理等)、ITリテラ シの高い運用担当者によるセキュリティリスクの低減、及び技術力の高い運用担当者による均一的で安定したシステム運用・監視を実 現する。 予防接種事務 17 郡山市保健福祉部保健所地域保健課 Ⅳ 開示請求、問合せ 1.特定個人情報の開示・訂正・利用停止請求 ①請求先 郵便番号963-8601 郡山市朝日一丁目23番7号 受付窓口:政策開発部ソーシャルメディア推進課 市政情報センター 024-924-3511 ②請求方法 指定様式による書面の提出により開示・訂正・利用停止請求を受け付ける。 ③法令による特別の手続 ― ④個人情報ファイル簿への不 ― 記載等 2.特定個人情報ファイルの取扱いに関する問合せ ①連絡先 郵便番号963-8024 郡山市朝日二丁目15番1号 受付窓口:保健福祉部保健所地域保健課 感染症係 024-924-2163 ②対応方法 問合せ受付票を準備し、対応記録を残す。 必要に応じて庁内横断的な連絡を行う。 予防接種事務 18 郡山市保健福祉部保健所地域保健課 Ⅴ 評価実施手続 1.基礎項目評価 ①実施日 平成26年12月19日 [ ②しきい値判断結果 基礎項目評価及び重点項目評価の実施が義務付けられる ] <選択肢> 1) 基礎項目評価及び重点項目評価の実施が義務付けられる 2) 基礎項目評価の実施が義務付けられる(任意に重点項目評価を実施) 3) 特定個人情報保護評価の実施が義務付けられない(任意に重点項目評価を実施) 2.国民・住民等からの意見の聴取 【任意】 ①方法 ②実施日・期間 ③主な意見の内容 3.第三者点検 【任意】 ①実施日 ②方法 ③結果 予防接種事務 19 郡山市保健福祉部保健所地域保健課 (別添2)変更箇所 変更日 予防接種事務 項目 変更前の記載 変更後の記載 20 提出時期 提出時期に係る説明 郡山市保健福祉部保健所地域保健課
© Copyright 2024 ExpyDoc