(趣旨)

1　個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)及び行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号利用法」という。)に定める事務処理(「保有個人情報の開示・訂正・利用停止事務取扱要綱」に定めるものを除く。)は、別に定めがある場合を除き、この要綱に定めるところによる。

(用語の定義)

2　この要綱において使用する用語は、法、番号利用法及び東京都情報公開条例(平成11年東京都条例第5号)において使用する用語の例による。

3　この要綱において局等とは、東京都情報公開事務取扱要綱(平成11年12月27日付11政都情第389号)に定める局情報コーナーを設置する局をいう。

第2　管理体制

(個人情報保護責任者等)

1　各局等に局等における個人情報保護責任者を置くこととし、局等の長をもって充てる。

2　各部(部に相当する室及び所を含む。以下「部等」という。)に部等における個人情報保護責任者を置くこととし、部等の長をもって充てる。

3　各課(課に相当する室及び所を含む。以下「課等」という。)に課等における個人情報管理責任者を置くこととし、課等の長をもって充てる。

4　2又は3の規定にかかわらず、保有個人情報を取り扱う事務を担任する担当部長又は担当課長が別に置かれている場合は、これを部等における個人情報保護責任者又は個人情報管理責任者とすることができる。

5　個人番号(番号利用法第2条第5項及び第8項に規定する個人番号をいう。以下同じ。)、特定個人情報(番号利用法第2条第8項に規定する特定個人情報をいう。以下同じ。)及びこれらと同等の水準により管理された個人情報を取り扱う局等に、監査責任者を置くこととし、局等における個人情報保護責任者が指名する者をもって充てる。

(個人情報保護責任者等の責務)

6　局等又は部等における個人情報保護責任者は、局等又は部等における個人情報の管理に関する統括的な権限及び責任を有し、個人情報管理責任者は、課等における保有個人情報の適正な管理について責任を負うとともに、個人情報の保護に関し、所属職員を指揮監督する。

7　監査責任者は、局等における5に定める個人情報等の管理状況について監査する。

(特定個人情報事務取扱担当者)

8　個人情報管理責任者は、個人番号及び特定個人情報(以下「特定個人情報等」という。)を取り扱う事務(個人番号利用事務及び個人番号関係事務)ごとに、特定個人情報等を取り扱う職員(以下「特定個人情報事務取扱担当者」という。)及びその役割を指定するとともに、各特定個人情報事務取扱担当者が取り扱う特定個人情報等の範囲を指定する。

(個人情報安全管理基準の策定)

9　局等における個人情報保護責任者は、局等における保有個人情報の安全管理に関する基準を整備しなければならない。

10　部等における個人情報保護責任者又は個人情報管理責任者は、個人情報の適正な取扱いを確保するため特に必要であると認めるときは、部等又は課等における保有個人情報の安全管理に関する基準を策定することができる。ただし、その場合は、局等における基準との齟齬がないよう策定するものとする。

(自己点検及び監査)

11　個人情報管理責任者は、9及び10に基づき策定した保有個人情報の安全管理に関する基準による点検を毎年度1回以上行わなければならない。

12　監査責任者は、定期に及び必要に応じ随時に監査を行い、その結果を局等における個人情報保護責任者及び総務局総務部情報公開課長(以下「情報公開課長」という。)に報告する。

13　局等における個人情報保護責任者は、点検又は監査の結果を踏まえ、保有個人情報の管理に不適切な点があると認めるときは、直ちに是正措置を講じなければならない。

(特定個人情報等の利用等)

14　特定個人情報事務取扱担当者は、8に基づき指定された役割及び取り扱う範囲を超えて、特定個人情報等を利用してはならない。

15　個人情報管理責任者は、前項の規定にかかわらず、番号利用法第30条第1項の規定により読み替えて適用される法第69条第2項第1号の規定に基づき、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があるか又は本人の同意を得ることが困難であるときは、特定個人情報事務取扱担当者に、指定された役割及び取り扱う範囲を超えて、特定個人情報等を利用させることができる。

16　個人情報管理責任者は、特定個人情報等を取り扱う事務を実施する区域を明確にし、物理的な安全管理措置を講じなければならない。

(保有個人情報の管理等)

17　職員は、保有個人情報を記録した公文書(電磁的記録媒体を含む。以下同じ。)を施錠できる保管庫等に厳重に保管しなければならず、特定個人情報等を記録した公文書は施錠できる耐火金庫等に厳重に保管しなければならない。

18　個人情報管理責任者は、保有個人情報を記録した公文書を保管した保管庫等の鍵等を適切に管理しなければならない。

19　職員は、保有個人情報を記録した公文書を庁舎外に持ち出してはならない。ただし、個人情報管理責任者が事務の遂行上必要と認める場合は、この限りでない。

20　前項ただし書の規定により、保有個人情報を記録した公文書を庁舎外に持ち出す場合は、個人情報管理責任者の指示に従い、盗難又は紛失を防止するための安全管理措置を講じなければならない。

21　個人情報管理責任者は、17から20までに定めるもののほか、保有個人情報を記録した公文書の盗難、紛失若しくは不適正な持ち出し、保有個人情報及び都の各局等(10の規定に基づく部等又は課等における基準を策定した場合は、部等又は課等)が取得し、又は取得しようとしている個人情報であって、保有個人情報として取り扱われることが予定されているものに係る不正アクセス、虚偽記載、改ざん若しくは不適正な消去又はその他保有個人情報の漏えい、滅失若しくは毀損(以下「保有個人情報に係る事故」という。)がないよう保有個人情報を適正に管理しなければならない。

(廃棄等)

22　個人情報管理責任者は、保有個人情報並びに保有個人情報が記録されている媒体が不要となった場合又は定められている保存期間を経過した場合には、当該保有個人情報の復元又は判読が不可能となる方法により、速やかに当該情報の消去又は当該媒体の廃棄を行わなければならない。なお、委託を行う場合、契約、協定等において、委託完了時の個人情報の返還、廃棄、消去等について、あらかじめ定めるものとし、廃棄を行う際には、職員の立会等必要な措置を講じ、廃棄、消去等を行った際には、完了報告を受領しなければならない。

(教育訓練)

23　個人情報管理責任者は、保有個人情報の適切な管理のために、所属職員に対して、個人情報保護の重要性及び保有個人情報の適正管理等に関する理解と関係規程遵守の徹底が図られるよう必要な指導及び教育を行わなければならない。

(事故発生時の対応)

24　個人情報管理責任者は、保有個人情報に係る事故の発生若しくはそのおそれがある事象を把握した場合又は特定個人情報事務取扱担当者その他の職員が関係規程に違反した行為を行った事実の発生若しくはそのおそれがある事象を把握した場合、直ちに、被害の拡大を防止するための適切な措置を講じるとともに、速やかに局等及び部等の個人情報保護責任者並びに情報公開課長に報告しなければならない。

25　個人情報管理責任者は、前項に規定する事故又は事象(以下「事故等」という。)のうち、個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号。以下「委員会規則」という。)第43条各号に該当するもの又は行政手続における特定の個人を識別するための番号の利用等に関する法律第29条の4第1項及び第2項に基づく特定個人情報の漏えい等に関する報告等に関する規則(平成27年特定個人情報保護委員会規則第5号。以下「特定委員会規則」という。)第2条各号に該当するものについては、事故等の発生を把握した時点から5日以内に、個人情報保護委員会の指定する報告フォームにより、個人情報保護委員会に報告しなければならない。

26　個人情報管理責任者は、委員会規則第45条の規定に基づき、同規則第43条各号に該当する場合又は特定委員会規則第5条の規定に基づき、同規則第2条各号に該当する場合は、速やかに本人に対して通知しなければならない。それ以外の場合であっても、事案の内容等に応じて通知を行うものとする。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するために必要な当該通知に代わるべき措置をとるとき又は当該保有個人情報に法第78条第1項各号に掲げる不開示情報のいずれかが含まれるときは、この限りでない。

第3　報告事項

(保有個人情報の目的外利用・目的外提供の報告)

1　保有個人情報の目的外利用又は目的外提供を行う場合は、次のとおりとする。

(1)　法第69条の規定に基づき各局等が、保有個人情報の目的外利用又は目的外提供を行うに当たっては、原則として、相手方から文書を求める方法によって行うものとし、「保有個人情報の目的外利用・目的外提供の依頼について」(別記第1号様式)による。

(2)　各局等は、保有個人情報の目的外利用又は目的外提供をする場合には、必要に応じ、利用又は提供の相手方に対し、使用目的や方法など必要な条件を付するものとする。

(3)　各局等は、保有個人情報の目的外利用又は目的外提供を行った場合には、「保有個人情報の目的外利用・目的外提供の実績報告書」(別記第2号様式)により、毎月、総務局総務部情報公開課(以下「情報公開課」という。)に報告する。

(4)　法第69条第2項第2号を根拠とする目的外利用又は同条第2項第3号を根拠とする目的外提供については、各局等は、利用又は提供を行った後、「法第69条第2項第2号に係る保有個人情報の目的外利用報告」(別記第3号様式)又は「法第69条第2項第3号に係る保有個人情報の目的外提供報告」(別記第4号様式)により速やかに情報公開課に報告する。

(特定個人情報の利用の報告)

2　各局等は、番号利用法第30条第1項の規定に基づき、特定個人情報を取り扱う事務の目的を超えた利用を行った場合には、「特定個人情報の目的外利用実績報告書」(別記第5号様式)により毎月、情報公開課に報告する。

(特定個人情報の提供の報告)

3　各局等が、番号利用法第19条第13号及び第15号から第17号までに定める特定個人情報の提供を行う場合は、次のとおりとする。

(1)　提供を行うに当たっては、相手方から文書を求める方法によって行うものとし、原則として、「特定個人情報の提供依頼について」(別記第6号様式)による。

(2)　提供を行った場合には、「特定個人情報の提供実績報告書」(別記第7号様式)により毎月、情報公開課に報告する。

(保有個人情報の開示請求・訂正請求・利用停止請求の報告)

4　各局等は、保有個人情報の開示請求等があった場合には、請求件数及び決定内容について、「保有個人情報運用実績報告書」(別記第8号様式)により毎月、情報公開課に報告する。

(存否応答拒否事案の報告)

5　法第81条に基づき開示請求に対する存否応答を拒否する必要がある場合は、情報公開課に対し事前に照会するとともに、本条を適用し、不開示決定を行った旨を東京都情報公開・個人情報保護審議会(以下「審議会」という。)に対し、「東京都情報公開・個人情報保護審議会への報告について」(別記第9号様式)により報告する。

(保有個人情報についての事故等の報告)

6　各局等は、第2.24で報告を行った事故等について、事故等の内容、これに対して講じた措置の概要、今後の改善対策等を、「個人情報に係る事故報告について」(別記第10号様式)により、事故等の発生を把握した時点から30日以内(委員会規則第第43条第3号又は特定委員会規則第2条第2号に該当する場合は60日以内)に情報公開課に報告するとともに、第2.25で個人情報保護委員会に報告した内容の確報を、個人情報保護委員会の指定する報告フォームにより報告する。また、委員会規則第43条各号及び特定委員会規則第2条各号に該当せず、第2.25で報告を行わなかったものについて、後に該当することが判明した場合も、報告を行うものとする。なお、個人情報保護委員会に確報を行った場合、情報公開課への報告は、別記第10号様式に代えて、報告フォームに入力した内容を報告することで足りるものとする。

第4　審議会への報告等

(審議会への報告)

1　各局等は、保有個人情報を取り扱う事務を新たに開始するときは、原則として、審議会に対し、「東京都情報公開・個人情報保護審議会への報告について」(別記第11号様式)により報告するものとする。

2　審議会は、前項に関し必要があると認めるときは、関係資料の提出及び関係職員の出席を求めることができるものとする。

第5　苦情相談

(個人情報相談総合窓口の設置及び苦情・相談の受付)

1　各局等における個人情報に関する苦情・相談受付体制は、次のとおりとする。

(1)　事業者の取り扱う個人情報及び都が保有する個人情報に係る相談に対応するため、情報公開課に個人情報の取扱いについて総合的に相談に応ずる窓口(以下「個人情報相談総合窓口」という。)を置く。

(2)　事業者が行う個人情報の取扱いに関する苦情・相談は、個人情報相談総合窓口のほか、消費生活総合センター及び各局等において受け付けるものとする。

(3)　都が保有する個人情報の取扱いに関する苦情・相談は、個人情報相談総合窓口及び各局等において受け付けるものとする。

(苦情・相談の処理のあっせん等)

2　各局等において、個人情報に関する苦情・相談を受け付けた場合には、次のとおりあっせん等の対応を行う。

(1)　苦情・相談の処理のあっせん等は、原則として、当該苦情等の内容に係わる業務を担当する課所が行う。

(2)　情報公開課は、個人情報の取扱いに関する総合的な窓口として、都民、事業者及び都の各局等に対し情報提供を行うとともに、苦情・相談にも対応する。

(3)　苦情・相談の処理のあっせん等を行う場合には、次の事項に留意するものとする。

ア　苦情・相談対応は、相談者と事業者との間の解決を基本とし、相談者に個人情報保護制度を説明し、事業者又は事業者団体の苦情・相談窓口を紹介するなど自主的な解決に向けた方法を助言する。

イ　相談者が既に事業者と交渉しているなど、相談者が自ら解決することがこれ以上は困難であると認めるときは、事業者又は事業者団体に連絡し、相談者への連絡を依頼するなど必要な措置をとる。

ウ　苦情・相談を受け付けたときは、法令に基づき、個人情報を適正に取り扱うよう事業者を指導するなど、迅速かつ適切な処理に努めるものとする。

(4)　苦情・相談を受け付けた場合、苦情・相談の内容、対応の経過及び結果等を、原則として、「個人情報相談処理票」(別記第12号様式)に記録し、その概要を、毎月、「個人情報についての苦情・相談の実績報告書」(別記第13号様式)により、情報公開課に報告する。

(表現の自由等への配慮)

3　苦情・相談の処理のあっせん等に当たっては、表現の自由、学問の自由、信教の自由、政治活動の自由に十分配慮しなければならない。

第6　事業者指導

(処理調整)

1　受け付けた苦情・相談について、当事者間の交渉で解決せず、事業者における個人情報の不適正な取扱いのおそれがあり、事業者に対する指導を要する場合は、個人情報保護委員会に連絡を行う。

(説明又は資料の提出の要求)

2　事業者指導担当課が、事業者に対して苦情・相談に係る個人情報の取扱いについての事実を明らかにするため説明又は資料の提出を求める場合には、必要な限度で行うものとし、原則として書面による。

(助言及び勧告等)

3　事業者指導担当課は、法第170条に基づき、権限の委任がなされた場合に限り、助言及び勧告等を行うことができる。

(その他)

4　事業者指導の具体的な事務執行については、行政手続法(平成5年法律第88号)、聴聞及び弁明の機会の付与に関する規則(平成6年東京都規則第169号)等を踏まえるものとする。

第7　委託等

(委託等に伴う措置)

1　個人情報を取り扱う事務を委託するとき又は指定管理者に公の施設の管理を行わせるとき(以下「委託等を行うとき」という。)は、当該委託(2以上の段階にわたる委託を含む。)を受けた者又は当該指定管理者(以下「受託者等」という。)において、都が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認する。

2　委託等を行うときは、個人情報の保護に関し必要な措置を講じ、受託者等に対する十分かつ適切な監督を行わなければならない。

3　受託者等が行う受託業務又は公の施設の管理業務等に伴って生じる個人情報については、都が保有する個人情報であるか、受託者等が自ら保有する個人情報であるかによって、開示請求等の取扱い及び法の罰則の適用が異なるため、契約、協定の締結に当たっては、その範囲を明らかにするものとする。

(契約における留意事項)

4　委託等を行うときは、契約書等(必要に応じて仕様書を含む。)に、当該委託等の趣旨、目的に応じて、次に掲げる事項を記載するものとする。

(1)　個人情報の秘密保持に関すること(委託の用に供する個人情報が、不正競争防止法(平成5年法律第47号)に規定する営業秘密や限定提供データに該当し得る場合はその旨を記載する。)。

(2)　個人情報の目的外利用及び第三者への提供の禁止に関すること。

(3)　再委託及び再々委託等における条件に関すること。

(4)　個人情報の複写及び複製の禁止に関すること。

(5)　委託完了時における個人情報の返還、廃棄、消去等の義務(再委託及び再々委託の相手方等を含む。)

(6)　個人情報の廃棄、消去等の完了報告義務(再委託及び再々委託の相手方等を含む。)

(7)　個人情報の管理方法の指定に関すること。

(8)　契約内容の順守状況についての定期的報告(再委託及び再々委託の相手方等を含む。)に関すること。

(9)　個人情報の管理状況について、必要に応じ、職員が立入調査を行うこと(再委託及び再々委託の相手方等を含む。)。

(10)　事故発生時における報告義務

(11)　受託者等における当該委託に従事する者に対する教育・研修義務(再委託及び再々委託の相手方等を含む。)

(12)　義務違反又は義務を怠った場合における契約解除等の措置及び損害賠償に関すること。

(13)　その他当該契約において必要とする個人情報の保護に関する事項

5　受託者等における責任者及び当該委託に従事する者の管理体制及び実施体制、個人情報の管理の状況についての検査に関する事項等については、書面で確認するものとする。

6　指定管理者の募集に際しては、応募者が個人情報保護について十分に理解して事業計画に反映できるように、募集要項等に記載するとともに協定等で規定する。これらの規定については、必要に応じて、情報公開課と調整するものとする。

(再委託等)

7　受託者等が受託した事務の全部又は一部を再委託(委託の相手方の子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定する子会社をいう。)への委託を含む。)するときは、都が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認の上、承認を行うものとする。ただし、特定個人情報に係る事務について、当該事務の全部又は一部を再委託するときは、番号利用法第10条第1項に定める許諾を行うものとする。これらは、再委託を受けた者が更に再委託を行う場合以降(これらを以下「再委託等」という。)も同様とする。

8　前項の承認又は許諾に当たり、再委託等の制限又は事前承認等、再委託等に係る条件に関する事項を契約書等に明記することとし、当該再委託等を受ける者において保有個人情報を適切に管理する能力を有するかどうかを慎重に判断しなければならない。

9　再委託等を認める場合は、受託者等が当該再委託等を受けた者に対して必要かつ適切な監督を行っているか等について、監督を行わなければならない。

第8　その他

1　個人情報に関して委託等を行う場合、当該個人情報の取扱いについては、この要綱を遵守するほか、地方自治法(昭和22年法律第67号)第150条第1項に基づく次の方針等の趣旨も踏まえ、個人情報の保護に万全を期すものとする。

(1)　東京都内部統制基本方針

(2)　東京都内部統制推進要綱

2　保有個人情報に関して電子的処理を行う場合、当該保有個人情報の取扱いについては、この要綱を遵守するほか、次の規程等に留意し、保有個人情報の保護に万全を期すものとする。

(1)　東京都デジタルサービス開発・運用規程(令和5年東京都訓令第35号)

(2)　東京都サイバーセキュリティ基本方針

(3)　東京都サイバーセキュリティ対策基準

附則

附則(平成31年31生広情第117号)

附則(令和元年31生広情第1205号)

附則(令和4年3生広情第765号)

附則(令和5年4総総情第1373号)

附則(令和6年5総総情第1603号)

別記

(平31生広情1295・一部改正、令5総総情1373・旧第2号様式繰上・一部改正)

(平31生広情1295・平31生広情117・一部改正、令5総総情1373・旧第3号様式繰上・一部改正)

(平31生広情1295・一部改正、令5総総情1373・旧第4号様式繰上・一部改正)

(平31生広情1295・一部改正、令5総総情1373・旧第4号様式の2繰上・一部改正)

(令5総総情1373・追加)

(令5総総情1373・追加)

(令5総総情1373・追加)

(平31生広情1295・平31生広情117・一部改正、令5総総情1373・旧第5号様式繰上・一部改正)

(平31生広情1295・一部改正、令5総総情1373・旧第6号様式繰上・一部改正)

(平31生広情1295・令4生広情765・一部改正、令5総総情1373・旧第7号様式繰上・一部改正)

(平31生広情1295・一部改正、令5総総情1373・旧第8号様式繰上・一部改正)

(平31生広情1295・平31生広情117・一部改正、令5総総情1373・旧第9号様式繰上・一部改正)

(平31生広情1295・一部改正、令5総総情1373・旧第10号様式繰上)