厚生労働省保有個人情報管理規程の一部を改正する訓令(案)新旧対照

(
○厚生労働省保有個人情報管理規程の一部を改正する訓令(案)新旧対照表
厚生労働省保有個人情報管理規程(平成17年厚生労働省訓第3号)
(傍線部分は改正部分)
改 正
現 行
目次
第1章・第2章(略)
第3章 情報システムの安全確保等(第 15 条―第 29 条)
第4章 情報システム室等の安全管理(第 30 条―第 33 条)
第5章 保有個人情報の提供及び業務の委託等(第 34 条―第 38 条)
第6章 安全確保上の対応(第 39 条―第 44 条)
第7章 雑則(第 45 条―第 51 条)
附則
目次
第1章・第2章(略)
第3章 情報システムの安全確保等(第 15 条―第 26 条)
第4章 情報処理機器室等の安全管理(第 27 条―第 30 条)
第5章 保有個人情報の提供及び業務の委託等(第 31 条―第 35 条)
第6章 安全確保上の対応(第 36 条―第 41 条)
第7章 雑則(第 42 条―第 48 条)
附則
(目的)
第1条 この訓令は、行政機関の保有する個人情報の保護に関する法律(平成 15 年
法律第 58 号。以下「法」という。
)第6条の規定に基づき、厚生労働省(内部部
局に限る。以下同じ。
)の保有する個人情報の適切な管理のために必要な措置につ
いて定め、その保有個人情報の漏えい、滅失、毀損等を防止し、適正な管理を図る
ことを目的とする。
(目的)
第1条 この訓令は、行政機関の保有する個人情報の保護に関する法律(平成 15 年
法律第 58 号。以下「法」という。
)第6条の規定に基づき、厚生労働省(内部部
局に限る。以下同じ。
)の保有する個人情報の適切な管理のために必要な措置につ
いて定め、その保有個人情報の漏えい、滅失、き損等を防止し、適正な管理を図る
ことを目的とする。
(定義)
第2条(略)
2~5(略)
6 この訓令において「総括課」とは、大臣官房統計情報部企画課、医政局総務課、
健康局総務課、医薬食品局総務課、医薬食品局食品安全部企画情報課、労働基準局
総務課、労働基準局安全衛生部計画課、職業安定局総務課、職業安定局派遣・有期
労働対策部企画課、職業安定局雇用開発部雇用開発企画課、職業能力開発局総務課、
雇用均等・児童家庭局総務課、社会・援護局総務課、社会・援護局障害保健福祉部
企画課、老健局総務課、保険局総務課及び年金局総務課(年金管理審議官の分掌す
る事務については、事業企画課とする。
)をいい、
「総括課長」とは、これらの長を
いう。
7(略)
(定義)
第2条(略)
2~5(略)
6 この訓令において「総括課」とは、大臣官房統計情報部企画課、医政局総務課、
健康局総務課、医薬食品局総務課、医薬食品局食品安全部企画情報課、労働基準局
総務課、労働基準局安全衛生部計画課、労働基準局労災補償部労災管理課、職業安
定局総務課、職業安定局派遣・有期労働対策部企画課、職業安定局高齢・障害者雇
用対策部高齢者雇用対策課、職業能力開発局総務課、雇用均等・児童家庭局総務課、
社会・援護局総務課、社会・援護局障害保健福祉部企画課、老健局総務課、保険局
総務課及び年金局総務課(年金管理審議官の分掌する事務については、事業企画課
とする。)をいい、「総括課長」とは、これらの長をいう。
7(略)
1
(
改 正
現 行
8 厚生労働省組織令第 19 条第2項に規定する参事官であって大臣官房総務課長が
定めるもの、厚生労働省組織規則第 41 条第7項に規定する首席職業指導官及び同
規則第 72 条第2項に規定する首席年金数理官は、課及び課長とみなす。
9(略)
8 厚生労働省組織令第 19 条第2項に規定する参事官であって大臣官房総務課長が
定めるもの、厚生労働省組織規則第 41 条第5項に規定する首席職業指導官及び同
令第 72 条第2項に規定する首席年金数理官は、課及び課長とみなす。
9(略)
(アクセス制御)
第15条 課長(情報システムを取り扱う課長に限る。以下この章及び次章において
同じ。
)は、保有個人情報(情報システムで取り扱うものに限る。以下この章(第
23 条を除く。
)及び次章において同じ。
)の秘匿性等その内容に応じて、パスワー
ド等(パスワード、IC カード、生体情報等をいう。以下同じ。
)を使用して権限を
識別する機能(以下「認証機能」という。
)を設定する等のアクセス制御のために
必要な措置を講ずるものとする。
(アクセス制御)
第15条 課長(情報システムを取り扱う課長に限る。以下この章及び次章において
同じ。
)は、保有個人情報(情報システムで取り扱うものに限る。以下この章(第
21 条を除く。
)及び次章において同じ。
)の秘匿性等その内容に応じて、パスワー
ド等(パスワード、IC カード、生体情報等をいう。以下同じ。
)を使用して権限を
識別する機能(以下「認証機能」という。
)を設定する等のアクセス制御のために
必要な措置を講ずるものとする。
(アクセス記録)
第17条 課長は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報へ
のアクセス状況を記録し、その記録(以下「アクセス記録」という。)を一定の期
間保存し、及びアクセス記録を定期的に分析するために必要な措置を講ずるものと
する。
2(略)
(アクセス記録)
第17条 課長は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報へ
のアクセス状況を記録し、その記録(以下「アクセス記録」という。
)を一定の期
間保存し、及びアクセス記録を定期に又は随時に分析するために必要な措置を講ず
るものとする。
2(略)
(アクセス状況の監視)
第18条 課長は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報へ
の不適切なアクセスの監視のため、一定数以上の保有個人情報がダウンロードされ
た場合に警告表示がなされる機能の設定、当該機能の定期的確認等の必要な措置を
講ずるものとする。
(新設)
(管理者権限の設定)
第19条 課長は、保有個人情報の秘匿性等その内容に応じて、情報システムの管理
者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の
防止のため、当該特権を最小限とする等の必要な措置を講ずるものとする。
(新設)
2
(
改 正
現 行
第20条(略)
第18条(略)
(不正プログラムによる漏えい等の防止)
第21条 課長は、不正プログラムによる保有個人情報の漏えい、滅失又は毀損の防
止のため、不正プログラムの感染防止等に必要な措置を講ずるものとする。
(コンピュータウイルスによる漏えい等の防止)
第19条 課長は、コンピュータウイルスによる保有個人情報の漏えい、滅失又はき
損の防止のため、コンピュータウイルスの感染防止等に必要な措置を講ずるものと
する。
第22条~第28条(略)
第20条~第26条(略)
(記録機能を有する機器・媒体の接続制限)
第29条 課長は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報の
漏えい、滅失又は毀損の防止のため、スマートフォン、USBメモリ等の記録機能
を有する機器・媒体の情報システム端末等への接続の制限(当該機器の更新への対
応を含む。)等の必要な措置を講ずるものとする。
(新設)
第4章 情報システム室等の安全管理
(入退管理)
第30条 課長は、保有個人情報を取り扱う基幹的なサーバ等の機器を設置する室そ
の他の区域(以下「情報システム室等」という。)に立ち入る権限を有する者を定
めるとともに、用件の確認、入退の記録、部外者の識別、部外者が立ち入る場合の
職員の立会い又は監視設備による監視、外部電磁的記録媒体等の持込み、利用及び
持ち出しの制限又は検査等の措置を講ずるものとする。
2 課長は、必要があると認めるときは、情報システム室等の出入口の特定化による
入退の管理の容易化、所在表示の制限等の措置を講ずるものとする。
3 課長は、情報システム室等の入退の管理について、必要があると認めるときは、
立入りに係る認証機能を設定し、及びパスワード等の管理に関する定めの整備(そ
の定期又は随時の見直しを含む。)、パスワードの読取防止等を行うために必要な
措置を講ずるものとする。
3
第4章 情報処理機器室等の安全管理
(入退室の管理)
第27条 課長は、保有個人情報を取り扱う基幹的なサーバ等の機器を設置する部屋
(以下「情報処理機器室」という。
)に入室する権限を有する者を定めるとともに、
用件の確認、入退室の記録、部外者の識別、部外者が入室する場合の職員の立会い
等の措置を講ずるものとする。
2 課長は、必要があると認めるときは、情報処理機器室の出入口の特定、所在表示
の制限等の措置を講ずるものとする。
3 課長は、情報処理機器室の入退室の管理について、必要があると認めるときは、
入室に係る認証機能を設定し、及びパスワード等の管理に関する定めの整備(その
定期又は随時の見直しを含む。
)
、パスワードの読取防止等を行うために必要な措置
を講ずるものとする。
(
改 正
現 行
(情報システム室等の管理)
第31条 課長は、外部からの不正な侵入に備え、情報システム室等への施錠装置、
警報装置、監視設備等の設置等の措置を講ずるものとする。
2 課長は、災害等に備え、情報システム室等に、耐震、防火、防煙、防水等の必要
な措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の
措置を講ずるものとする。
(情報処理機器室の管理)
第28条 課長は、外部からの不正な侵入に備え、情報処理機器室への施錠装置、警
報装置、監視設備等の設置等の措置を講ずるものとする。
2 課長は、災害等に備え、情報処理機器室に、耐震、防火、防煙、防水等の必要な
措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の措
置を講ずるものとする。
第32条(略)
第29条(略)
(執務室等に設置する場合の特例)
第33条 課長は、情報システム室等について、専用の部屋を確保するのが困難であ
る等の理由により執務室内にサーバ等を設置する場合において、必要があると認
めるときは、第 30 条及び第 31 条に規定する措置に準じて、所要の措置を講ずる
ものとする。
(執務室等に設置する場合の特例)
第30条 課長は、情報処理機器室について、専用の部屋を確保するのが困難である
等の理由により執務室内にサーバ等を設置する場合において、必要があると認める
ときは、第 27 条及び第 28 条に規定する措置に準じて、所要の措置を講ずるものと
する。
第34条~第36条(略)
第31条~第33条(略)
(業務の委託等)
第37条 課長は、保有個人情報の取扱いに係る業務を外部に委託する場合には、個
人情報の適切な管理を行う能力を有しない者を選定することがないよう、必要な措
置を講ずるものとする。また、契約書に、次に掲げる事項を明記するとともに、委
託先における責任者及び業務従事者の管理及び実施体制、個人情報の管理の状況に
ついての検査に関する事項等の必要な事項について書面で確認するものとする。
(1) 個人情報に関する秘密保持、目的外利用の禁止等の義務
(2) 再委託の制限又は事前承認等再委託に係る条件に関する事項
(3)~(5)(略)
(6) 違反した場合における契約解除、損害賠償責任に関する事項
(7)(略)
(業務の委託等)
第34条 課長は、保有個人情報の取扱いに係る業務を外部に委託する場合には、個
人情報の適切な管理を行う能力を有しない者を選定することがないよう、必要な措
置を講ずるものとする。また、契約書に、次に掲げる事項を明記するとともに、委
託先における責任者等の管理体制、個人情報の管理の状況についての検査に関する
事項等の必要な事項について書面で確認するものとする。
(1) 個人情報に関する秘密保持等の義務
(2) 再委託の制限又は条件に関する事項
(3)~(5)
(略)
(6) 違反した場合における契約解除の措置
(7)
(略)
4
(
改 正
現 行
2 保有個人情報の取扱いに係る業務を外部に委託する場合には、委託する保有個人
情報の秘匿性等その内容に応じて、委託先における個人情報の管理の状況につい
て、年1回以上の定期的検査等により確認するものとする。
3 委託先において、保有個人情報の取扱いに係る業務が再委託される場合には、委
託先に第1項の措置を講じさせるとともに、再委託される業務に係る保有個人情報
の秘匿性等その内容に応じて、委託先を通じて又は委託元自らが第2項の措置を実
施する。保有個人情報の取扱いに係る業務について再委託先が再々委託を行う場合
以降も同様とする。
(新設)
第38条~第44条(略)
第35条~第41条(略)
第45条(略)
2・3(略)
4 前3項の措置を講ずる場合には、保有個人情報の取扱いに従事する派遣労働者に
ついても、職員と同様の措置を講ずるものとする。
第42条(略)
2・3(略)
(新設)
第46条~第51条(略)
第43条~第48条(略)
(新設)
5