○福岡県市町村職員共済組合が実施する長期給付事業における個人番号利用事務に係る特定個人情報等取扱要綱
平成29年10月23日
(目的)
第1条 この要綱は、福岡県市町村職員共済組合個人番号及び特定個人情報の適正な取扱いに関する規程(以下「規程」という。)及び福岡県市町村職員共済組合個人番号及び特定個人情報の適正な取扱いに関する規程細則(以下「細則」という。)に基づき、福岡県市町村職員共済組合(以下「組合」という。)が実施する長期給付事業(以下「長期給付事業」という。)において個人番号利用事務(細則別紙1の1で利用目的に定めるものに限る。)を行うに当たり、個人番号及び特定個人情報(以下「特定個人情報等」という。)を取り扱う事務の各段階を明確にするとともに、長期給付事業における特定個人情報等の適正な取扱いを確保するため必要な事項を定めるものとする。
(特定個人情報等の範囲)
第2条 長期給付事業における個人番号利用事務において、取り扱う特定個人情報等の範囲は、個人番号及び個人番号と関連付けて管理される氏名、生年月日、性別、住所等とする。
(特定個人情報等の利用目的)
第3条 長期給付事業における個人番号利用事務において取り扱う特定個人情報等の利用目的は、次のとおりとする。
(1) 厚生年金保険法(昭和29年法律第115号)による年金である保険給付若しくは一時金の支給又は保険料その他徴収金の徴収に関する事務であって、次に掲げるもの
イ 厚生年金保険法による同法第2条の5第1項第3号に規定する第三号厚生年金被保険者(以下「第三号厚生年金被保険者」という。)に係る請求等(請求、申請、届出又は申出をいう。以下この条において同じ。)の受理、その請求等に係る事実についての審査又はその請求等に対する応答に関する事務
ハ 厚生年金保険法による保険給付及び当該保険給付の受給権者に係る請求等の受理、その請求等に係る事実についての審査又はその請求等に対する応答に関する事務
ニ 厚生年金保険法による保険給付の支給に関する事務
ホ 第三号厚生年金被保険者であった期間に係る厚生年金保険の保険料その他厚生年金保険法の規定による徴収金に関する事務
(2) 地方公務員等共済組合法(昭和37年法律第152号)による年金である給付又は地方公務員等共済組合法の長期給付等に関する施行法(昭和37年法律第153号)による年金である給付の支給に関する事務であって、次に掲げるもの
イ 地方公務員等共済組合法第76条の退職等年金給付の支給に関する事務
ロ 地方公務員等共済組合法による掛金に関する事務
ハ 地方公務員等共済組合法による退職等年金給付及び当該退職等年金給付の受給権者に係る請求等の受理、その請求等に係る事実についての審査又はその請求等に対する応答に関する事務
ニ 被用者年金制度の一元化等を図るための厚生年金保険法等の一部を改正する法律(平成24年法律第63号。以下「一元化法」という。)附則第60条第5項又は第61条第1項の規定によりなおその効力を有するものとされた一元化法第3条の規定による改正前の地方公務員等共済組合法(以下「改正前地共済法」という。)第39条の組合員の資格の得喪に関する事務
ホ 地方公務員等共済組合法の長期給付等に関する施行法第3条に規定する給付、一元化法附則第60条第5項に規定する改正前地共済法による職域加算額及び一元化法附則第61条第1項に規定する給付並びにこれらの給付の受給権者に係る請求等の受理、その請求等に係る事実についての審査又はその請求等に対する応答に関する事務
ヘ 一元化法附則第65条第1項に規定する退職共済年金、障害共済年金又は遺族共済年金について適用するものとされた厚生年金保険法の規定による事務として行う第1号に掲げる事務に準ずる事務
(3) 社会保障協定の実施に伴う厚生年金保険法等の特例等に関する法律(平成19年法律第104号)による文書の受理及び送付又は保有情報の提供に関する事務であって、次に掲げるもの
イ 社会保障協定の実施に伴う厚生年金保険法等の特例等に関する法律第59条第1項の相手国法令による申請等に係る文書の受理又は送付に関する事務
ロ 社会保障協定の実施に伴う厚生年金保険法等の特例等に関する法律第60条第1項又は第2項の保有情報の提供に関する事務
(4) 国民年金法(昭和34年法律第141号)による年金である給付の支給又は加入員の資格の取得及び喪失に関する事項の届出に関する事務であって、次に掲げるもの
イ 国民年金法第3条第2項の規定により組合が行う被保険者に係る請求等の受理、その請求等に係る事実についての審査又はその請求等に対する応答に関する事務
(特定個人情報等を取り扱う事務の種類)
第4条 長期給付事業における個人番号利用事務として特定個人情報等を取り扱う事務の種類は、次の各号のとおりとする。
(1) 個人番号取得事務 第3条に掲げる事務を行うために個人番号を取得する事務
(2) 回付・進達事務 厚生年金保険法による保険給付の受給権者に係る請求書等(請求書、申請書、届出書又は申出書をいう。以下同じ。)を他実施機関へ回付する事務及び国民年金法により組合が行う被保険者に係る請求書等を地方公務員共済組合連合会へ進達する事務
(3) 個人番号入力事務 取得した個人番号を基に個人番号を管理する情報システムへ入力する事務
(4) 特定個人情報管理・保管事務 特定個人情報等を含む紙媒体又は電子データを漏えい、滅失、き損がないよう安全に管理及び保管する事務
(5) 委託先管理事務 長期給付事業における特定個人情報等の管理及びその内容に特定個人情報等を含む申請を委託する委託先(再委託先を含む。)を管理する事務
(6) 廃棄・削除事務 第15条に規定する保存年限を経過したことにより、不要になった特定個人情報等を安全に廃棄又は削除する事務
(7) 情報システム管理事務 特定個人情報等を取り扱う情報システムの管理事務
(事務取扱関係者)
第5条 前条各号に掲げる事務の実施、当該事務に係る決裁など、業務上、特定個人情報等を知る機会がある者を事務取扱関係者とし、事務局長、年金課長、資格情報課長及び当該課の職員(派遣会社からの派遣される者及び臨時職員を含む。)に限定する。
(本人確認)
第8条 事務取扱担当者は、年金受給者又は年金請求者(以下「本人」という。)に個人番号の提供を求めるに当たっては、規程第9条に規定する本人確認の措置に基づき、次に掲げるいずれかの書類(以下「本人確認書類」という。)の提示をもって個人番号の確認及び当該人の身元確認(以下「本人確認」という。)を行うものとする。ただし、郵送等により個人番号の提供を受ける場合には、次に掲げる書類の写しにより本人確認を行うこともできるものとする。
(1) 個人番号カード
(2) 通知カード及び身元確認書類
(3) 個人番号が記載された住民票の写し及び身元確認書類
2 前項の規定にかかわらず、あらかじめ個人識別事項(氏名及び生年月日又は住所)を印字して送付された書類へ個人番号を記載して返送された場合、書類に印字した個人識別事項と添付されている個人番号カード、通知カード又は個人番号が記載された住民票の写し(以下「番号確認書類」という。)に記載された個人識別事項が同一であることを確認することにより、身元確認を行うものとする。
3 前2項の規定にかかわらず、地方公共団体情報システム機構(以下「J―LIS」という。)から個人番号を取得している者については、本人確認を行うことを要しない。
4 代理人から個人番号の提供を受ける場合については、次に掲げる書類の提示をもって、代理権の確認、当該代理人の身元確認及び本人の個人番号の確認を行うものとする。
(1) 委任状(任意代理人の場合)又は戸籍謄本(法定代理人の場合)等、代理権を確認することができる書類
(2) 代理人の個人番号カード又は身元確認書類
(3) 本人の番号確認書類
(運用状況の記録)
第9条 事務取扱担当者は、第4条各号の事務に係る特定個人情報等の運用状況を、次に掲げる項目につき特定個人情報等の運用状況記録票(別紙1)へ記録する。
(1) 特定個人情報等の収集及び特定個人情報ファイルへの入力状況の記録
(2) 特定個人情報ファイルの利用・出力状況の記録
(3) 書類・媒体等の持出しの記録
(4) 特定個人情報ファイルの廃棄・削除記録
2 事務取扱担当者は、前項の廃棄又は削除を第三者に委託する場合には、委託先が確実に廃棄又は削除したことについて、証明書等により確認するものとする。
3 事務取扱担当者は、特定個人情報ファイルを情報システムで取り扱う場合には、情報システムの利用状況(ログイン実績、アクセスログ等)を情報システムのログにより記録するものとする。
(取扱状況の確認及び記録)
第10条 事務取扱担当者は、第4条各号の事務に係る特定個人情報ファイルの取扱状況について、特定個人情報ファイル等管理台帳(別紙2)に、次に掲げる事項を記録する。
(1) 特定個人情報ファイルの種類、名称
(2) 責任者、取扱部署
(3) 利用目的
(4) 廃棄・削除状況
(5) アクセス権を有する者
2 特定個人情報保護責任者は、前項に定める点検等の結果に基づき、安全管理措置の評価、見直し及び改善に取り組むものとする。
(1) 管理区域 全国市町村職員共済組合連合会(以下「連合会」という。)委託先データセンター
(2) 取扱区域 第4条各号に掲げる事務を実施する共済組合事務室
(1) 管理区域 入退室管理及び管理区域へ持ち込む機器等の制限
(2) 取扱区域 壁や間仕切り等を設置する、又は事務取扱担当者以外の者の往来が少ない場所や後ろから覗き見される可能性が低い場所とするなど座席配置等の工夫
(機器及び電子媒体等の盗難等の防止)
第13条 特定個人情報保護責任者及び事務取扱担当者は、管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。
(1) 特定個人情報ファイルを取り扱う情報システム機器は、施錠できる部屋に設置する又はセキュリティワイヤー等により固定する。
(2) 特定個人情報等を取り扱う電子媒体又は書類等を施錠できるキャビネット、書庫等に保管する。
(1) 個人番号取得事務
区分 | 取扱部署等 | 対象者 | 取扱方法 | 場所 | 安全管理措置 |
取得 | 連合会委託先 | J―LIS | 【一括取得の場合】 既存の年金受給権者は、管理されている住民票コード(又は氏名、生年月日、性別及び住所の4情報)にて、住民基本台帳ネットワークシステムによりJ―LISから個人番号を一括取得する。 | 管理区域 | 安全管理措置が図られた連合会委託先にて保管する。 |
年金課 | J―LIS | 【一括取得できなかった場合】 一括取得できなかった者については、住民基本台帳ネットワークシステムによりJ―LISから個人番号を個別に取得する。 | 取扱区域 | ①個人番号が記載された紙媒体は、施錠できるキャビネットに保管する。 ②鍵は定められた場所に保管し、事務取扱担当者のうち特定個人情報保護責任者が指定する者が鍵の管理を行う。 |
(2) 回付・進達事務
区分 | 取扱部署等 | 回付・進達方法 | 場所 | 安全管理措置 |
回付 | 年金課 | 【情報連携システムによる場合】 ①情報連携システムを利用して他の実施機関へ電子回付する。 ②「特定個人情報等の運用状況記録票」(別紙1)に回付の記録を記入する。 | 取扱区域 | ①システムを使用できるPCを限定する。 ②特定個人情報保護責任者が連合会に申請し、担当者ごとに異なるIDを取得する。 ③第9条に規定する記録を行う。 |
進達 | 年金課 | 【紙媒体による場合】 ①書類を封筒に封緘し、郵送する。 ②進達先は地方公務員共済組合連合会年金業務部 ③「特定個人情報等の運用状況記録票」(別紙1)に提出の記録を記入する。 | ①郵送の履歴が残る方法とする。 ②第9条に規定する記録を行う。 |
(3) 個人番号入力事務
区分 | 取扱部署等 | 情報システム | 取扱方法 | 場所 | 安全管理措置 |
入力 | 連合会委託先 | 個人番号管理システム | 【一括取得した個人番号を入力する場合】 住民基本台帳ネットワークシステムによりJ―LISから一括取得した個人番号データを個人番号管理システムに入力する。 | 管理区域 | 安全管理措置が図られた連合会委託先にて保管する。 |
年金課 | 個人番号管理システム | 【一括取得できなかった個人番号を入力する場合】 ①システムで桁チェックを行う。 ②個人番号と個人情報が一致しているか、入力者と別の者が目視チェック及び読合せチェックを行う。 ③チェック後、住民基本台帳ネットワークシステムから出力した紙媒体又は本人確認書類はシュレッダーによる細断を行う。 ④「特定個人情報等の運用状況記録票」(別紙1)に入力及び書類廃棄の記録を記入する。 | 取扱区域 | ①システムを使用できるPCを限定する。 ②特定個人情報保護責任者が事務取扱担当者ごとに異なるID及びパスワードを付与する。 ③目視チェック及び読合せチェックを行う。 ④シュレッダーによる細断を行う。 ⑤第9条に規定する記録を行う。 |
(4) 特定個人情報管理・保管事務
区分 | 取扱部署 | 管理・保管媒体 | 管理・保管方法 | 場所 | 安全管理措置 |
管理 | 資格情報課及び年金課 | 紙媒体 | 「特定個人情報ファイル等管理台帳」(別紙2)に取扱いの記録を記入する。 | 第10条に規定する記録を行う。 | |
保管 | 資格情報課及び年金課 | 紙媒体 | 施錠できるキャビネットで保管する。 | 取扱区域 | ①個人番号が記載された紙媒体は、施錠できるキャビネットに保管する。 ②鍵は定められた場所に保管し、事務取扱担当者のうち特定個人情報保護責任者が指定する者が鍵の管理を行う。 |
電子データ | 情報システムに保管し、安全管理措置が図られた連合会委託先のデータセンターで管理する。 | 管理区域 | 組合のサーバには保存しない。 |
(5) 委託先管理事務
区分 | 取扱部署等 | 取扱方法 | 安全管理措置 |
選定 | 特定個人情報保護責任者 | 「特定個人情報等取扱業務委託先評価シート」(別紙3)を用いて、委託先選定評価を実施し、当組合と同等の安全管理措置が図られている事業者のみに委託する。 | 実地調査、ヒアリング又は報告書により、委託先の状況を確認し、「特定個人情報等取扱業務委託先評価シート」(別紙3)に記入する。 |
契約 | 特定個人情報保護責任者 | 委託契約の内容に右欄の事項を含む。 | 【委託契約の内容に含む事項】 ①秘密保持義務 ②個人情報の安全管理に関する事項 ア 目的外利用の禁止 イ 契約範囲外の加工・複写・複製の禁止 ウ 委託契約終了後の個人情報の返還・廃棄・削除に関する事項 ③事務取扱担当者の教育・監督に関する事項 ④再委託に関する事項(原則、再委託は禁止。やむを得ず再委託する場合は、委託と同等の条件を満たすこと。) ⑤契約内容の履行状況を確認するための委託者への報告又は委託者による監査に関する事項 ⑥契約内容の不履行等が発生した場合の措置に関する事項 ⑦特定個人情報等の漏えい、滅失又はき損による事故等が発生した場合の報告に関する事項 |
再評価 | 特定個人情報保護責任者 | 年1回定期的に委託先を調査し、再評価を行う。 | 実地調査、ヒアリング又は報告書により、委託先の状況を確認し、「特定個人情報等取扱業務委託先評価シート」(別紙3)の見直しを行う。 |
(6) 廃棄・削除事務
区分 | 取扱部署 | 実施時期 | 取扱方法 | 場所 | 安全管理措置 |
廃棄 | 年金課 | 保存期間経過後 | 【紙媒体の場合】 ①シュレッダーによる細断又は安全管理措置が図られた委託先にて溶解する。 ②「特定個人情報等の運用状況記録票」(別紙1)に廃棄の記録を記入する。 | 取扱区域 | ①シュレッダーによる細断を行う。 ②第9条に規定する記録を行う。 |
削除 | 年金課 | 保存期間経過後 | 【電子データの削除の場合(個人番号管理システム)】 ①データを削除した者と別の者が目視チェックを行う。 ②データのアクセス履歴を取得する。 ③「特定個人情報等の運用状況記録票」(別紙1)に削除の記録を記入する。 【電子データの削除の場合(情報連携システム)】 保存期限の到来により、自動で削除される。 | 取扱区域 | 【個人番号管理システム】 ①目視チェックを行う。 ②アクセス履歴を取得する。 ③第9条に規定する記録を行う。 【情報連携システム】 自動削除のため、作業は要しない。 ①登録された画像データは、処理完結後5年で外部媒体に退避し保存される。 ②転送された画像データは、紐付けされなければ転送から5営業日経過後に削除される。 ※日本年金機構において管理する。 |
(7) 情報システム管理事務
区分 | 取扱部署等 | 情報システム | 管理項目 | 場所 | 安全管理措置 |
システム管理 | 連合会委託先 | 個人番号管理システム | アクセスの制御 | 管理区域 | ID及び生体認証によりログインする仕組みとする。 |
特定個人情報保護責任者 | 個人番号管理システム | アクセスの制御 | 取扱区域 | ①使用できるPCを限定する。 ②事務取扱担当ごとに異なるIDを付与し、生体認証によりログインする仕組みとする。 | |
連合会委託先 | 個人番号管理システム | アクセスの監視 | 管理区域 | 操作証跡を作成し、管理する。 | |
個人番号管理システム | 外部からの不正アクセス等の防止 | 管理区域 | ①データベース全体を暗号化する。 ②バックアップされたデータも暗号化された状態で保管する。 ③電気通信回線は、専用回線を使用し、外部のITシステムとの通信は行わない。 ④ウィルス対策ソフトを使用する。 ⑤必要なソフトウェア以外のソフトウェアを導入しない。 | ||
情報連携システム | アクセスの制御 | 管理区域 | ID及びパスワードによりログインする仕組みとする。 | ||
特定個人情報保護責任者 | 情報連携システム | アクセスの制御 | 取扱区域 | 連合会に申請の上、担当者ごとに異なるIDを取得し、パスワードによりログインする仕組みとする。 | |
連合会委託先 | 情報連携システム | アクセスの監視 | 管理区域 | 操作証跡を作成し、管理する。 | |
情報連携システム | 外部からの不正アクセス等の防止 | 管理区域 | ①電気通信回線は、専用回線を使用し、外部のITシステムとの通信は行わない。 ②ウィルス対策ソフトを使用する。 ③必要なソフトウェア以外のソフトウェアを導入しない。 |
(廃棄・削除方法)
第15条 個人番号を含む帳票(写しを含む。)等、対応する情報システム等、取扱部署、保存年限及び廃棄・削除方法は、次のとおりとする。
帳票等 | 情報システム等 | 取扱部署 | 保存年限 | 廃棄・削除方法 |
請求書等 | 紙媒体 | 年金課 | 年金受給権者が死亡等により失権した日(遺族給付に転給した場合(次順位を含む。)は、遺族給付の年金受給権者が死亡した日)の属する翌年事業年度から起算して10年 | シュレッダー・溶解 |
個人番号管理システムの保存データ | 個人番号管理システム | 年金課 | 年金受給権者が死亡等により失権した日(遺族給付に転給した場合(次順位を含む。)は、遺族給付の年金受給権者が死亡した日)の属する翌年事業年度から起算して10年 | 個人番号管理システムによるデータ削除 |
情報連携システムの保存データ | 情報連携システム | 年金課 | ①登録された画像データは、処理完結後5年で外部媒体に退避し保存される。 ②転送された画像データは、紐付けされなければ転送から5営業日経過後に削除される。 ※日本年金機構において管理する。 | 情報連携システムによるデータ削除 |
(事故発生時の対応)
第16条 特定個人情報等の漏えい、滅失又はき損等の事案の発生又はその兆候を察知した者は、規程第18条に基づき対応するものとする。
附則
この要綱は、平成29年10月23日から施行し、平成28年10月18日から適用する。
附則(令和4年3月24日)
この改正は、令和4年4月1日から施行する。