堺市個人情報取扱事務の委託等に関する基準

1　趣旨
この基準は、個人情報の保護に関する法律（平成15年法律第57号。以下、「法」という。）第66条第2項の規定に基づき、堺市個人情報の保護に関する法律施行条例（令和4年条例第29号）第2条第2項に規定する実施機関（以下「実施機関」という。）が個人情報の取扱いを伴う事務（以下「個人情報取扱事務」という。）の委託を行う場合に講じなければならない個人情報の保護に関する措置について、必要な事項を定めるものとする。
2　対象となる委託契約
この基準の対象となる委託契約は、契約の名称中に「委託」の文言があるか否かにかかわらず、実施機関が個人情報取扱事務の全部又は一部を実施機関以外のものに委託して行わせるもので、施行日以降を契約期間に含む契約のすべてとし、公法上の契約であると私法上の契約であるとを問わないものとする。
3　委託に当たっての留意事項
個人情報取扱事務を委託しようとするときは、次に掲げる事項に留意しなければならない。
(1) 入札の方法により契約を締結する場合は入札前に、随意契約の方法により契約を締結する場合は見積書を徴する前に、当該契約の内容に、法及び個人情報取扱特記事項（別記様式。以下「特記事項」という。）を遵守する旨が含まれていることを相手方に周知すること。
(2) 委託先の選定に当たっては、特記事項を遵守できる相手方を選定するため、個人情報の保護体制等について必要な調査を行うこと。
(3) 個人情報取扱事務を処理させるために委託先に提供する保有個人情報は、本件業務を処理するために必要最小限のものとすること。
(4) 委託する業務に係る保有個人情報の秘匿性等その内容やその量等に応じて、作業の管理体制及び実施体制や個人情報の管理の状況について、原則として実地検査により確認すること。実地検査を行うことができない場合には、報告書の提出を求めること。
(5) 委託する業務に係る保有個人情報の取扱いを派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記すること。
(6) 保有個人情報を委託先に提供する場合には、提供先の利用目的、委託する業務の内容、保有個人情報の秘匿性等その内容などを考慮し、必要に応じ、特定の個人を識別することができる記載の全部又は一部を削除し、又は別の記号等に置き換える等の措置を講ずること。
4　契約締結に当たっての措置
個人情報取扱事務の委託契約の締結に当たっては、当該契約に係る契約書、請書、確認書、覚書その他これらに類する書類（以下「契約書等」という。） に、受注者の個人情報の取扱いについて法を遵守すべきことを明記するものとする。併せて、特記事項を遵守する旨の条項とし、必ず特記事項を別記として添付する。ただし、契約書等において特記事項に掲げる内容を直接記載する場合は、この限りでない。

【契約書等記載例】
（個人情報の保護）
第○条　受注者は、この契約による事務を処理するための個人情報の取扱いについては、個人情報の保護に関する法律（平成15年法律第57号）と併せ、別記「個人情報取扱特記事項」を遵守しなければならない。

附則
（施行期日）
1　この基準は、平成18年4月1日から施行する。
（堺市個人情報取扱事務の委託に関する基準の廃止）
2　堺市個人情報取扱事務の委託に関する基準（平成15年制定）は、廃止する｡
附則
この基準は、平成24年4月1日から施行する。
附則
この基準は、平成24年10月1日から施行する。
附則
この基準は、平成27年12月16日から施行する。
附則
この基準は、令和5年4月1日から施行する。

別記 個人情報取扱特記事項
（基本的事項）
第1　受注者は、この契約による業務（以下「本件業務」という。）を行うに当たり、個人情報を取り扱う際には、個人情報の保護に関する法律（平成15年法律第57号。以下｢法｣という。）を遵守し、同法第66条第2項の個人情報取扱事務の受注者として、個人情報の保護の重要性を認識し、個人の権利利益を侵害することのないよう適正に取り扱わなければならない。

（秘密の保持）
第2　受注者は、本件業務に関して知り得た個人情報を正当な理由なく他に知らせ、又は不当な目的に使用してはならない。この契約が終了し、又は解除された後においても同様とする。
（罰則の教示等）
第3　受注者は、本件業務に従事している者に対し、在職中だけではなく退職後においても本件業務に関して知り得た個人情報を正当な理由なく他に知らせ、又は不当な目的に使用してはならないこと、その他個人情報の保護に関して必要な事項を周知しなければならない。
2　受注者は、前項の周知の際に、本件業務に従事している者又は従事していた者が、法第176条又は第180条の違反行為をしたときは、法により懲役又は罰金に処されること（法第183条により、日本国外においてこれらの違反行為をした者についても適用されることを含む。）を教示しなければならない。
3　受注者は、本件業務に従事している者又は従事していた者が、法第178条、第179条又は第182条の違反行為をしたときは、法第184条により、受注者に対しても、罰金刑が科されることを十分認識し、本件業務を処理しなければならない。
（収集の制限）
第4　受注者は、本件業務を処理するために個人情報を収集するときは、当該処理に必要な範囲内で、適法かつ公正な手段により行わなければならない。
（適正管理）
第5　受注者は、本件業務に係る個人情報の漏えい、改ざん、滅失又は毀損の防止その他個人情報の適正な管理のため、次の各号に掲げる措置のほか必要な措置を講じなければならない。
(1) 施錠が可能な保管庫又は施錠若しくは入退室管理の可能な保管室で厳重に個人情報を保管すること。
(2) 発注者が指定した場所へ持ち出す場合又は発注者が事前に承諾した場合を除き、個人情報を定められた場所から持ち出さないこと。持ち出しの承諾を得た場合においても、パスワード、ICカード、生体情報等（以下「パスワード等」という。）を使用して権限を識別する機能（以下「認証機能」という。）を設定する等のアクセス制御のために必要な措置を講ずること。
(3) 個人情報の漏えい、改ざん、滅失又は毀損その他の事故を防ぎ、真正性、見読性及び保存性の維持に責任を負うこと。特に事故を防ぐため、複数の者による確認やチェックリストの活用等の必要な措置を講ずること。
(4) 個人情報の漏えい等の防止のため、個人情報の秘匿性等その内容に応じてスマートフォン、USBメモリ等の記録機能を有する機器・媒体の情報システム端末等への接続の制限を行うこと。また、作業場所に、私用電子計算機、私用外部記録媒体その他の私用物を持ち込ませない等の漏えいを防止する措置を講ずること。
(5) 個人情報を利用する作業を行う電子計算機に、個人情報の漏えいにつながると考えられるアプリケーションをインストールしないこと。また、アプリケーションやソフトウェアに関する公開された脆弱性の解消、把握された不正プログラムの感染防止等に必要な措置（導入したソフトウェアを常に最新の状態に保つことを含む。）を講ずること。
(6) 本件業務に着手する前に、個人情報の保護、情報セキュリティに対する意識の向上その他本件業務の適切な履行に必要な教育及び研修を、作業従事者全員に対して実施すること。
(7) 受注者は、本件業務の個人情報を情報システムで取り扱う場合、個人情報の秘匿性等その内容に応じて、以下のとおり安全を確保しなければならない。
ア　（アクセス制御）パスワード等の管理に関する定めを整備（その定期又は随時の見直しを含む。）し、IDやパスワードを設定する等のアクセス制御のために必要な措置を講ずること。
イ　（アクセス記録）当該個人情報へのアクセス状況を記録し、その記録（以下「アクセス記録」という。）を一定の期間保存し、及び必要に応じてアク セス記録を分析する等の措置を講ずること。
ウ　（アクセス記録）アクセス記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講ずること。
エ　（アクセス状況の監視）当該個人情報への不適切なアクセスの監視のため、個人情報を含む又は含むおそれがある一定量以上の情報が情報システムからダウンロードされた場合には、必要に応じて警告表示がなされる機能の設定、当該設定の定期的確認等の措置を講ずること。
オ　（管理者権限の設定）情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため、当該特権を必要最小限とする等の措置を講ずること。
カ　（外部からの不正アクセスの防止）個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定による経路制御等の必要な措置を講ずること。
キ　（情報システムにおける個人情報の処理）個人情報について、一時的に加工等の処理を行うため複製等を行う場合には、その対象を必要最小限に限り、処理終了後は速やかに再利用できない状態まで消去し、不正利用を防止するため必要な対策を講ずること。
ク　(暗号化) 情報の不正利用を防止するために必要な暗号化を講ずること。
ケ　(端末の限定)本件業務を処理する端末を限定するために必要な措置を講ずること。
コ　(端末の盗難防止等)端末の盗難又は紛失の防止のため、端末の固定、執務室の施錠等の必要な措置を講ずること。
サ　(第三者の閲覧防止)端末の使用に当たっては、個人情報が第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講ずること。
シ　（入力情報の照合等）情報システムで取り扱う個人情報の重要度に応じて、入力原票と入力内容との照合、処理前後の当該個人情報の内容の確認、既存の個人情報との照合等を行うこと。
ス　（バックアップ）個人情報の重要度に応じて、復元可能なバックアップを作成し、分散保管するために必要な措置を講ずること。
セ　(情報システム設計書等の管理)個人情報に係る情報システムの設計書、構成図等の文書について外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講ずること。
ソ　(入退管理)個人情報を取り扱う基幹的なサーバ等の機器を設置する室その他の区域（以下「情報システム室等」という。）に立ち入る権限を有する者を定めるとともに、用件の確認、入退の記録、部外者についての識別化、部外者が立ち入る場合の従事者の立会い又は監視設備による監視、外部電磁的記録媒体等の持込み、利用及び持ち出しの制限又は検査等の措置を講ずること。また、個人情報を記録する媒体を保管するための施設（以下「保管施設」という。）を設けている場合においても、必要があると認めるときは、同様の措置を講ずること。
タ　(入退管理)情報システム室等について、必要があると認めるときは、出入口の特定化による入退の管理の容易化、所在表示の制限等の措置を講ずること。
チ　(入退管理)情報システム室等及び保管施設の入退の管理について、必要があると認めるときは、立入りに係る認証機能を設定し、及びパスワード等の管理に関する定めを整備（その定期又は随時の見直しを含む。）し、IDやパスワードを設定する等の入退の管理に関する必要な措置を講ずること。
ツ　(情報システム室等の管理)外部からの不正な侵入に備え、情報システム室等及び保管施設に施錠装置、警報装置及び監視設備の設置等の措置を講ずること。
テ　(情報システム室等の管理)災害等に備え、情報システム室等及び保管施設に耐震、防火、防煙、防水等の必要な措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の措置を講ずること。
（返還、廃棄等）
第6　受注者は、本件業務を処理するために発注者から提供され、又は自らが収集した個人情報について、保有する必要がなくなった、又はこの契約が終了し、若しくは解除されたときは、発注者の指定した方法により、確実かつ速やかに返還若しくは引き渡し又は消去若しくは廃棄しなければならない。
2　受注者は、個人情報の消去又は廃棄に際して発注者から立会いを求められた場合は、これに応じなければならない。
3　受注者は、本件業務において利用する個人情報を廃棄する場合は、当該情報が記録された電磁的記録媒体の物理的な破壊その他当該個人情報を判読不可能とするのに必要な措置を講じなければならない。
4　受注者は、個人情報の消去又は廃棄を行った後、消去又は廃棄を行った日時及び消去又は廃棄の内容を記録し、書面で発注者に報告しなければならない。
（再委託の禁止）
第7　受注者は、本件業務を処理するための個人情報については、自ら取り扱うものとし、第三者（以下「再委託先」という。）にその処理を委託してはならない。
2　前項の規定に関わらず、事前に再委託先の商号又は名称、再委託する業務の内容、再委託する理由、その他発注者が必要とする事項を記載した書面をもって申請し、発注者が事前に承諾した場合に限り、受注者は、本件業務の一部を再委託先に委託することができる。この場合において、受注者は、再委託先に対し、受注者と同様の義務を負わせ、その遵守を監督しなければならない。
3　受注者は、前項の規定により、本件業務の一部を再委託したときは、その契約内容を速やかに書面で発注者に報告しなければならない。
4　受注者は、再委託先の当該業務に関する行為及びその結果について、再委託先との契約の内容にかかわらず、発注者に対して責任を負うものとする。
（目的外の使用等の禁止）
第8　受注者は、発注者の指示又は承諾がある場合を除き、本件業務に関して知り得た個人情報を、本件業務を処理する以外の目的に使用し、又は第三者に提供してはならない。
（複写及び複製の禁止）
第9　受注者は、発注者の指示又は承諾がある場合を除き、本件業務を処理するために、発注者から提供された個人情報が記録された資料等を複写し、又は複製してはならない。
（定期報告及び緊急時報告）
第10　受注者は、発注者から、個人情報の取扱いの状況について報告を求められた場合は、直ちに報告しなければならない。
2　受注者は、個人情報の取扱いの状況に関する定期報告及び緊急時報告の手順を定めなければならない。
（監査又は検査）
第11　発注者は、本件業務に係る個人情報の取扱いについて、本契約の規定に基づき必要な措置が講じられているかどうか検証及び確認するため、必要に応じて受注者及び再委託先に対して、監査又は検査（実地検査含む。）を行うことができる。
2　発注者は、前項の目的を達するため、受注者に対して必要な情報を求め、又は本件業務の処理に関して必要な指示をすることができる。
（事故発生時における報告）
第12　受注者は、この個人情報取扱特記事項に違反する事態が生じ、又は生じるおそれがあると認めるときは、その旨を速やかに発注者に報告し、その指示に従わなければならない。この契約が終了し、又は解除された後においても同様とする。
2　受注者は、被害の拡大防止又は復旧等のために必要な措置を速やかに講ずること。ただし、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等からの通信を遮断するなど、被害拡大防止のため直ちに行い得る措置については、直ちに行う（従事者に行わせることを含む。）ものとする。
3　受注者は、前々項の規定による報告後も、事故の発生した経緯、被害状況等を継続して調査し報告しなければならない。
4　発注者は、受注者から事故発生に関する報告があった場合、市民に対して適切な説明責任を果たすため、必要な範囲においてその内容を公表することができる。
（損害賠償）
第13　受注者は、この個人情報取扱特記事項に違反したことにより、発注者又は第三者に損害を与えたときは、その損害を賠償しなければならない。
（契約の解除）
第14　発注者は、受注者がこの個人情報取扱特記事項に違反していると認めたときは、この契約を解除することができる。
（協議）
第15　受注者は、本業務の仕様書に定めのない方法で個人情報を取り扱う場合には、予め発注者と協議を行うこと。

【注】　個人情報取扱事務の委託の実態に即して、適宜必要な事項を追加し、契約書本文と重複する事項は省略できるものとする。