Contract
「個人情報に係る
外部委託契約仕様書の特記ガイドライン」
平成18年12月
令和5年 12 月改訂版
このガイドラインは、杉並区が個人情報を取り扱う業務を委託するにあたって、事業者の方に留意していただく個人情報保護策の標準的な内容を示したものです。
そのため、委託する業務の内容によっては、適用する委託の条件、ガイドラインが変わることがあります。詳細は、業務を所管する課に直接お問い合わせください。
なお、委託業務において、特定個人情報を取り扱う業務については、本ガイドラインの記載事項に加え、契約の個人情報に係る特記仕様に含まれる特定個人情報の取扱いに関する遵守事項についても併せてご確認ください。
-目次-
1.「個人情報に係る外部委託契約仕様書の特記ガイドライン」
1 個人情報の適切な管理 ・・・・・・・・・・・・・・・・・・・2
2 秘密の保持 ・・・・・・・・・・・・・・・・・・・・・・・・5
3 再委託の制限 ・・・・・・・・・・・・・・・・・・・・・・・5
4 目的外の使用の禁止 ・・・・・・・・・・・・・・・・・・・・6
5 第三者への提供の制限 ・・・・・・・・・・・・・・・・・・・6
6 複写及び複製の制限 ・・・・・・・・・・・・・・・・・・・・7
7 個人情報の返還・廃棄 ・・・・・・・・・・・・・・・・・・・7
8 個人情報の取扱いに関する実地検査 ・・・・・・・・・・・・・8
9 事故発生時の報告 ・・・・・・・・・・・・・・・・・・・・・9
10 関係法令の遵守 ・・・・・・・・・・・・・・・・・・・・・・11
2.様式例・記載例
○ 情報管理台帳 ・・・・・・・・・・・・・・・・・・・・・・・14
○ 情報管理台帳使用記録 ・・・・・・・・・・・・・・・・・・・15
○ 情報管理体制等届出書 ・・・・・・・・・・・・・・・・・・・16
○ 情報管理体制 ・・・・・・・・・・・・・・・・・・・・・・・17
○ 研修実施報告書 ・・・・・・・・・・・・・・・・・・・・・・18
○ 再委託承認申請書 ・・・・・・・・・・・・・・・・・・・・・19
○ 複写・複製承認申請書 ・・・・・・・・・・・・・・・・・・・20
○ 個人情報の廃棄報告書 ・・・・・・・・・・・・・・・・・・・21
○ 誓約書(受託業務に携わるボランティア例) ・・ ・・・・・・・22
○ 誓約書(人材派遣契約における派遣労働者例)・・ ・・・・・・・23
○ 個人情報の保護に係る誓約書 ・・・・・・・・・・・・・・・・24
個人情報に係る外部委託契約仕様書の特記ガイドライン (受託者用) 個人情報を取り扱う業務を委託※するにあたっては、杉並区個人情報の保護に関する安全管理措置等基準 (令和5年4月1日杉並第 71119 号。以下「基準」という。)第 43 条第2項に基づく自己点検を行い、区が業務を委託しようとする事業者(以下「受託者」という。)との間で仕様を取り交している。仕様で定める事項は、委託する業務内容・取り扱う個人情報に応じて以下のようなものとする。 ※個人情報を取り扱う業務委託には、派遣労働者の受入れを伴う業務を含むものとする。なお、本ガイドライン中の従事者は、派遣労働者を含むものとする。 1 個人情報の適切な管理(枠内は、特記仕様書(参考例)の記載内容。以下同じ) | |
受託者は、個人情報を取り扱う業務を履行するときは、個人情報の漏えい、紛失、破壊又は 改ざん等の事故防止その他個人情報の適切に管理するため、以下の措置を講じなければならない。 (1)情報管理責任者の選任等、情報の管理体制を整備すること。 (2)情報管理台帳を作成すること。 (3)情報を記録した紙及び電磁的記録媒体(USB メモリ、CD、DVD 等(PC 等のハードディスクを含む。))は、盗難対策(施錠管理)その他情報漏えい等の事件・事故を防止するための安全管理措置を講じること。 (4)情報を記録した情報システムには、取り扱う個人情報の質や量に応じて、不正アクセス対策、不正プログラム対策、データ損失対策その他情報漏えい等の事件・事故を防止する 安全管理措置を講じること。により、適切な安全性を確保すること。また、情報システムの脆弱性を突いた攻撃への対策を講じる、新しい手法の攻撃への対策を講じる等、安全性が継続的に確保できるような対策を行うこと。 なお、コンピュータを使用する場合には、パスワード使用等の安全管理措置を講じること。 (5)個人情報を保管している事業所から個人情報を持ち出す場合には、盗難・紛失防止に努めること。また、個人情報を持ち出す場合には、事前に甲の承認を得ること。 (6)従事者に対して個人情報保護に関する研修及び指導を行うこと。 (7)受託者は、本特記仕様の遵守状況について区が求めるときには、報告を行うこと。但し、契約期間が1か月以上の場合は同期間内に1回以上、契約期間が1年を超える場合は年 1回以上、必ず報告を行うこと。 (8)契約締結後 10 日以内に下記を定め、提出すること。 ① 情報管理体制表 情報管理責任者及び従事者の役職名・氏名及び情報管理体制における役割を明記す | |
ること。 ② 研修計画 個人情報保護に関する必要な研修の計画について具体的に記載すること。 (9)研修を実施したときは、研修実施後速やかにその旨を書面により区に届け出ること。 | |
〔コメント〕 (1)「個人情報を取り扱う業務」とは、次に掲げるものをいう。 ① 必要な個人情報を区から引き渡され履行する業務 ② 受託者が個人情報を収集しなければ履行できない業務 ③ 個人情報を区から受託者に引き渡し、受託者も個人情報を収集しなければ履行できない業務 (2)情報管理責任者は、情報の適正な管理のほか、情報管理台帳の作成や情報を取り扱う従事者に対して繰り返し研修・指導を行う。 (3)情報の管理体制とは、休日・夜間を含む事故発生時の受託者側の緊急連絡網にも使用できるものであり、必要に応じて役職名(○○部長、××所長など)、電話番号等を付記した次のようなものである。 従 事 従 事 従 事 従 事 (4)情報管理台帳には、個人情報の管理状況を把握できるように以下の内容等を記録する。ただし、日常的に個人情報を所定の保管場所から持ち出す場合で、情報管理責任者の指定する職員等の立会いを条件に使用する等、情報管理責任者が受託業務の個人情報の使用状況を常時把握できるときは、④の個人情報の使用記録の記載を省略することができる。情報管理台帳は、最終の個人情報の返還・廃棄日から5年間保存しなければならない。 参考 ただし、特定個人情報の取り扱いを記録した台帳に関しては、区から特段の指示がない限り 7 年間保存しなければならない。 ① 区から引き渡された個人情報の内容(氏名、住所、生年月日等)、引き渡された日、受領者等 ② 受託業務を履行するために受託者自身が収集する個人情報の内容とその収集開始日等 ③ 個人情報の複写・複製の記録(個人情報を記録した帳票名・ファイル名、複写・複製の日、個人情報の内容、件数、理由、使用者、記録媒体、廃棄日) | |
管 理 責 任 者 (○○部長○○○○)自宅・・・××××-×××× 携帯・・・×××-××××-×××× | ||
副管理責任者 (○○課長○○○○○)自宅・・・××××-×××× 携帯・・・×××-××××-×××× | ||
④ 個人情報の使用記録(個人情報を記録した帳票名・ファイル名、所定の保管場所から持ち出し使用した日、件数、理由、使用者、情報管理責任者の承認印)
⑤ 個人情報の区への返還の記録(個人情報を記録した帳票名・ファイル名、返還日、返還方法、返還場所、区の受領者氏名)
⑥ 個人情報の廃棄の記録(個人情報を記録した帳票名・ファイル名、廃棄日、廃棄方法、立会者)
(5)やむを得ず、個人情報を事業所の外に持ち出す場合は、次の盗難・紛失防止策を講じる。
① 個人情報は、極力事業所外に持ち出さないようにする。
② 個人情報を持ち出す場合には、盗難・紛失防止に努め、個人情報を放置しないようにする。ア 肩掛けかばんを使用する。
イ 自転車やバイクの走行中は、かごにネットをかける。ウ 自転車やバイクのかごに個人情報を放置しない。
エ やむを得ず、自動車内に個人情報を置いて、自動車から離れるときは、必ず施錠をする。
③ 訪問する業務や配送のために個人情報を事業所から持ち出す場合は、個人情報の内容(氏名、住所、電話等)や件数を必要最小限にするとともに持ち出す従事者を限定する。この場合において、従事者は情報管理責任者の承認を得て、持ち出す個人情報の内容を情報管理台帳に記録する。
④ 電子情報により個人情報を持ち出す場合には、第三者の目にふれても容易に個人が特定できないように暗号化するなどの工夫もすべきである。
(6)情報システムの不正アクセス対策、不正プログラム対策、データ損失対策その他情報漏えい等の事件・事故を防止する安全管理措置について、取り扱う個人情報の質や量に応じて、以下の観点を踏まえながら、適切なセキュリティ対策を行うように、区と調整をすること。
① ウイルス等を用いた攻撃、情報システムの脆弱性を突いた攻撃、その他新しい手法の攻撃等に備えるために、使用する機器のオペレーティングシステムやセキュリティ対策ソフトウェア、その他ソフトウェアを常に最新の状態に更新すること。
② ネットワークの形態等に応じて、ファイアウォールや UTM 機器(複数のセキュリティの機能をひとつのハードウェアに統合した機器)の導入を検討する等、不正なアクセスを遮断できるようにすること。
③ システム障害時やランサムウェア等の感染時にもシステムを復旧できるように、システムバックアップやデータバックアップを適切に取得すること。
④ 情報システムの安全性については、システムの運用開始後にも継続的に見直しを行うことで、安全性を継続的に確保すること。
⑤ 個人情報を含む通信を暗号化する、ネットワーク回線等については、秘匿性の高いものを選択する等、情報が盗み取られないような仕組みにすること。
⑥ ログ等の定期的な分析により、不正なアクセスをあらかじめ検知できるようにすること。
(7)研修について、個人情報の取り扱いやその注意事項を記載した文書の配付、事業所内の掲示等をもって、従事者に対する個人情報保護の周知・指導ができると区が認めたとき(常に情報管理責任者の管理下で個人情報を扱い、かつ、個人情報を扱う従事者が少人数である、又は取り扱う個人情報が限定されている。)は研修の実施とみなすことができる。
2 秘密の保持 委託業務 受託者若しくは受託者であった者又は受託業務に従事している者若しくは従事していた者は、その業務に関して知り得た個人情報をみだりに他人に知らせ、又は不当な目的に利用してはな らない。 〔コメント〕 (1)受託者は、従事者に対して、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」 という。)第 67 条により守秘義務が課されていること、違反者には罰則の適用があること等について、十分な説明を行い、従事者の理解を得ること。 (2)受託業務に携わるボランティアや実習生、臨時・短期間雇用の従事者からは、「誓約書」など従事中・従事後の秘密の保持を約す文書を徴する。 人材派遣契約 杉並区が締結する人材派遣契約に係る派遣労働者又は派遣労働者であった者は、その業務に関して知り得た個人情報をみだりに他人に知らせ、又は不当な目的に利用してはならない。 〔コメント〕 (1)受託者は、従事者に対して、法第 67 条により守秘義務が課されていること、違反者には罰則の適用があること等について、十分な説明を行い、従事者の理解を得ること。 (2)杉並区が締結する人材派遣契約(以下「人材派遣契約」という。)における派遣労働者からは、派遣就業期間中・派遣就業期間終了後の秘密の保持を約す「誓約書」を徴する。 ※ 人材派遣契約に係る派遣元事業者においては、派遣労働者の作成する誓約書(個人情報保護に関する事項を記載したもの。派遣先である杉並区宛)をとりまとめ、杉並区へ提出すること。 3 再委託の制限 | |
(1)受託者は、個人情報を取り扱う業務の全部又は一部を第三者に委託し、又は請け負わせてはならない。ただし、事前に文書により区の承認を受けた場合は、その一部に限り再委託(再委託先が受託者の子会社(会社法(平成 17 年法律第 86 号)第2条第1項第3号に規定する子会社をいう。以下同じ。)である場合も含む。以下同じ。)をすることができる。 (2)(1)ただし書きにより受託者が、個人情報を取り扱う業務の一部を第三者に再委託する場合は、杉並区個人情報の保護に関する安全管理措置等基準(令和5年4月1日杉並第 71119 号)第 43 条第1項 第1号から第5号までの規定と同様の措置を講じなければならない。 | |
〔コメント〕 (1)個人情報を取り扱う業務は、原則として再委託禁止である。受託者が受託業務の一部の再委託が必要な場合は、事前に文書による区の承認が必要である。再委託をする場合、個人情報保護の区に対する責任は、区との契約の相手方である受託者が負うことになる。 (2)再委託承認基準及び再委託承認申請書の様式は、区ホームページ「入札のお知らせ」にある。再 | |
委託承認申請書は、経理課契約では総務部経理課契約係に、主管課契約では、主管課に提出する。
(3)受託者は、基準等に基づき、再委託先に安全管理措置を遵守させるために必要な事項を契約書、個人情報の保護に係る誓約書等に明記し、取り交わさなければならない(詳細は個人情報の保護に係る誓約書(様式例)を参照すること。)。また、同誓約書の写しを再委託承認申請書とともに区に提出すること。
(4)受託者は、再委託先に引き渡す、又は再委託先が収集する個人情報の内容や件数、期間などは区に届けなければならない。
(5)受託者は、再委託先から個人情報の返還(複写・複製したものを含む。)があったときは、区と取り交した契約書等に定めるところにより、当該個人情報を区に返還又は受託者自身が廃棄しなければならない。
(6)受託者は、区の承認を得て再委託先に個人情報の廃棄(複写・複製したものを含む。)を指示したときは、「7 個人情報の返還・廃棄」の(5)を準用し、廃棄に関して記録する。また、最終の個人情報の廃棄のときは、区にその旨を報告する。
4 目的外の使用の禁止
受託者は、受託業務を履行するために区から引き渡された個人情報及び受託業務履行のために自らが収集した個人情報をその目的の範囲内において使用しなければならない。
〔コメント〕
(1) 受託者における個人情報の目的外の使用は、いかなる場合も認めない。
5 第三者への提供の制限
受託者は、受託業務を履行するために区から引き渡された個人情報及び受託業務履行のために自らが収集した個人情報を第三者に提供してはならない。ただし、区が個人情報の第三者への提供を前提として委託する業務で、本人の同意がある場合又は個人情報の保護に関する法律
(平成 15 年法律第 57 号。以下「法」という。)第 27 条第1項各号のいずれかに該当し、あらかじめ区の許可を得た場合に限り、個人情報を第三者に提供できる。
〔コメント〕
(1)目的外使用と同様に、受託者(再委託先を含む。)は、原則として個人情報を第三者に提供することはできない。
例えば、区が委託した業務に関する個人情報について、警察署から捜査事項照会があったとしても、受託者(再委託先を含む。)が直接回答することはできない。
(2)事前に文書で区の承認を受け、再委託をする場合は、ここでいう第三者には該当しない。「3 再委託の禁止」を参照すること。
6 複写及び複製の制限
受託者は、個人情報の複写・複製を区から委託された場合及び区から文書による複写・複製 の承認があった場合を除き、個人情報の複写及び複製を行ってはならない。受託した業務のた めの複写・複製であっても情報管理責任者の管理の下で複写・複製しなければならない。また、情報管理責任者は、その返還又は廃棄を確認しなければならない。
〔コメント〕
(1)「複写・複製」には、受託者が区から引き渡された個人情報、受託者が収集した個人情報をもとに加工したものも含まれる。
(2)個人情報を取り扱う業務は、原則として複写及び複製禁止である。複写・複製を本来業務として区から委託された場合以外の複写・複製は、文書による区の承認が必要である。
(3)区から承認があった場合でも、複写・複製の範囲、件数は必要最小限とする。
(4)複写・複製をした場合には、個人情報を記録した帳票名・ファイル名、複写・複製の日、個人情報の内容、件数、理由、使用者、記録媒体、廃棄日を情報管理台帳に記録する。
7 個人情報の返還・廃棄
受託者は、受託した業務で収集・使用した個人情報(当該個人情報を複写・複製したもの及び
当該個人情報を記録した媒体を含む。以下この項において同じ。)は、速やかに区に返還しなければならない。ただし、区から個人情報の廃棄の指示があった場合は、区の指示する方法により、
速やかに廃棄しなければならない。
〔コメント〕
(1)受託者は、業務完了後、速やかに受託した業務で収集・使用した個人情報(当該個人情報を複写・複製したもの及び当該個人情報を記録した媒体を含む。以下この項において同じ。)を区に返還しなければならない。
(2)返還方法は、原則として窓口持参とする。
(3)個人情報を返還するときは、情報管理台帳に返還した個人情報を記録した帳票名・ファイル名、返還日、返還方法、返還場所を記録するとともに区の受領者に署名をしてもらう。電磁的記録の場合も同様な記録をする。
(4)受託した業務で収集・使用した個人情報は、区から廃棄の指示があった場合は、下記の方法により廃棄する。
① 電子記録(媒体)・・・当該個人情報を復元できない処理(溶解・破砕もしくは、区が承認したデータ消去ソフトウェアによる論理的な削除等)を実施した上、当該実施内容を記したデータ消去証明書もしくは廃棄報告書にデータが復元不可である旨を記載し提出すること。
② 電子記録以外の情報・・・シュレッダーによる裁断、溶解、焼却、破砕等、当該記録の判読が不可能な方法により消去し、消去記録を提出すること。
この場合の廃棄方法は、シュレッダーによる裁断、溶解、焼却、破砕等とする。
(5)個人情報を廃棄した場合には、情報管理台帳に個人情報を記録した帳票名・ファイル名、廃棄日、廃棄方法、立会者を記録する。また、最終の個人情報の廃棄日から10日以内に区に個人情報廃棄報告書を提出しなければならない。
(6)情報管理台帳は、最終の個人情報の返還・廃棄日から5年間保存しなければならない。
参考 | ただし、特定個人情報の取り扱いを記録した台帳に関しては、区から特段の指示がない限り 7 | |
年間保存しなければならない。 8 個人情報の取扱いに関する実地検査 区は、個人情報を保護するために必要があると認めるときは、受託者が業務を行う事務所、作業所等に立入り、個人情報の管理状況等について実地検査実施することができる。但し、契約期間が1年を超えるものについては、契約期間内に1回以上、実地検査を行うものとする。 なお、受託者が保有個人情報の取扱いに係る業務を再委託する場合、再委託される業務に係る保有個人情報の秘匿性等その内容に応じて、受託者を通じて又は区自らが実地検査を実施することができる。 これらの場合において、受託者又は受託者の再委託先が法に基づく規定を定めているときは、その規定を尊重し、立入調査を実施する。 〔コメント〕 (1)実地検査は、契約した業務に限られ、個人情報の管理状況等についてのみ実施できるものである。受託者が個人情報保護に関する規定を定めている場合には、委託者である区も実地検査の制限を受けることがある。したがって、受託者の内部規定を勘案のうえ、実地検査を行う場合の手続きを区と協議する。 (2)実地検査の実施については、次の表の考え方に基づき所管課において適切に判断し実施する。 なお、1か月未満の契約については実施不要としているが、当該業務の規模及び性質、保有個人情報の取扱状況(取り扱う保有個人情報の性質及び量を含む。)、保有個人情報を記録した媒体の性質等に起因するリスクに応じて、所管課において実施が必要と判断した場合には、実施することは妨げない。 | ||
長期継続契約 | 原則年1回実施。特記事項遵守事項の報告(1-(7)参照。以下同じ)に代えることも可能だが報告内容に不備・疑問点がある場合は実地検査を実施 (なお「契約期間内に1回」は実地検査を実施する)。 |
1年の契約 | 原則年1回実施。特記事項遵守事項の報告に代えることも可能だが報告内容 に不備・疑問点がある場合は実地検査を実施。 |
1 か月以上1年未 満の契約 | 必要に応じて履行期間内に実施。 |
1 か月未満の契約 | 実施不要 |
9 事故発生時の報告
受託者は、受託した業務で使用している個人情報の漏えい等の事故が発生した場合は、速やかに区に報告するとともに、自己の情報管理体制を活用し、最善の方策を講じなければならない。
〔コメント〕
(1)情報管理体制は、日常の個人情報管理体制であるとともに事故発生時の受託者の連絡網であり、区への報告とともに、受託者が取るべき対応策を検討する組織でもある。この場合の対応策とは、被害を最小限にとどめる方策、再発防止策である。
【緊急連絡体制の例】委託業務
《開庁時間》
杉 並 区
受託事業者
担当者○○○○
担当係長○○○○
担当課長○○○○
危機管理対策課
情報管理課
《夜間・閉庁日》※区担当者と連絡が取れる場合
※区担当者と連絡が取れない場合
杉 並 区
受託事業者
担当者○○○○
担当係長○○○○
担当課長○○○○
休日夜間警戒本部
危機管理対策課
情報管理課
人材派遣契約
杉 並 区(派遣先)
派遣元事業者
派遣労働者
担当係長○○○○
(指揮命令者)
担当課長○○○○
(派遣先責任者)
危機管理対策課
情報管理課
10 関係法令の遵守
受託者は、法及び杉並区個人情報の保護に関する条例(令和5年杉並区条例第6号)等の関係法令を遵守し、個人情報を取り扱う業務を適正に履行しなければならない。
〔コメント〕
(1) 受託者は、区から法及び条例等の関係法令の趣旨の説明を受け、受託業務を適切に履行しなければならない。
(2)受託者(受託者であった者を含む。)、受託業務従事者(受託業務従事者であった者を含む。)、指定管理者(指定管理者であった者を含む。)、指定管理業務従事者(指定管理業務従事者であった者を含む。)、派遣労働者(派遣労働者であった者を含む。)に守秘義務が課されている。(法第 67 条を参照)
(3)法において課されている守秘義務に違反した場合、法に基づき、罰則が適用されることがある。
様式例・記載例
情報管理台帳(例) ○○年 4月 1日作成
契約の件名 | ○○○○○○業務委託 | ||||||
区担当者 | ○○部○○課○○係長 本庁 次郎 | ||||||
情報管理責任者 | 杉並支社長 杉並 太郎 | 情報の管理体制 | 別紙のとおり | ||||
情報管理担当者 | 業者 花子 | ||||||
帳票名 | 町丁別調査対象者リスト | ||||||
区から引き渡された個人情報 ・ 受託者が収集した個人情報 ・ 複写した個人情報 | |||||||
取得日(期間) | ○○年 4 月 1 日 | 媒体 | 紙 | 件数 | 3600件 | ||
内容 | 氏名・住所・電話番号 | ||||||
複写・複製 | 有 ・ 無 | ||||||
複写日 | ○○年 4 月 2 日 | 媒体 | 紙 | 件数 | 別紙「担当地区件数一覧」のとおり | ||
部数 | 担当地区毎に1部(担当地区のみ) 計36部 | ||||||
区承認日・承認 者 | ○○年 4 月 1 日 ○○部○○課長 本庁 太郎 | ||||||
内容 | 氏名・住所・電話番号 | ||||||
理由 | 調査員36名がそれぞれの担当区域を調査するため | ||||||
使用者 | 別紙「担当地区一覧」のとおり | ||||||
台帳作成確認 | 業者 花子 | ||||||
返還・廃棄 | 返還 ・ 廃棄(裁断・溶解・焼却・破砕・データ消去) | ||||||
返還・廃棄日 | ○○年 5 月 18 日 | ||||||
返還・廃棄場所 | ○○課に持参 | 廃棄の区側立会い者 | |||||
区受領者・廃棄の区側指示者 | ○○部○○課○○係長 本庁 次郎 | ||||||
特記事項 | |||||||
※1 この台帳は、実際の帳票又は電子データ(1つの文書ファイル)ごとに作成すること。
※2 この台帳は、最終の返還又は廃棄日から5年間保存すること。(特定個人情報を取り扱う場合には7年間保存すること。)
使用記録
月日 | 使用者 | 事業所からの持出 | 外出先 | 持出 承認 | 備考 | ||||
外出時分 | 帰所時分 | ||||||||
4 | 2 | 業者 花子 | 9 | 50 | 15 | 30 | 本社(中野区中野1丁目) | 署名 | 本社報告のた め |
4 | 15 | 業者 花子 | 13 | 0 | 17 | 30 | ○○区民センター集会室 | 署名 | 調査員説明会 のため |
5 | 18 | 業者 花子 | 13 | 0 | 15 | 30 | 区○○課 | 署名 | 返還のため |
情報管理体制等届出書
(様 式 例 ・ 記 載 例)
○○年○○月○○日
杉並区○○○○課長 宛
○○区○○○○
所 在 地 ○○-○○-○○
申 請 者 事 業 者 名 (株)○○○○○○
代表者役職・氏名 代表取締役 ○○○○
○○年○○月○○日第○○○○○○○○号をもって締結した下記契約に関する業務の情報管理体制等について、届け出ます。
記
契約件名 | ○○年度 ○○○○○○業務委託 | |
情報管理体制 | 情報管理責任者名 | ○○○○部 ○○○○部長 ○○ ○○ |
情報管理副責任者名 | ○○○○部 ○○○○課長 ○○ ○○ | |
担当者名 | ○○○○部 ○○○○係長 ○○ ○○ | |
情報管理体制 | 別紙のとおり | |
情報の保管場所 | 弊社○○○○部○○○○課執務室内 | |
情報の保管方法 | ・職員不在時の執務室の施錠 ・施錠できるキャビネットに常時保管 | |
パソコン使用時のセ キュリティ対策 | ・ID パスワード設定、データはサーバにて管理。 ・ウィルス対策ソフト | |
情報の持出の有無 | 有 ・ 無 | |
個人情報に関する研修計画 | 契約締結後、直ちに従事者全員を対象に研修を実施 し、その後、概ね6か月ごとに研修を実施する。また新規従事者に対しては、随時研修を実施する。 | |
※ この届出書は契約締結後、10日以内に提出すること。
情報管理体制
○○年○○月○○日現在
【営業時間内の弊社の連絡先】
(株)○○○○○○ ○○○○部 担当者:○○ ○○
営業時間9:00~18:00(土・日、祝日を除く)
電話:××××-×××× FAX:××××-××××
E-mail ××××@××××.ne.jp
【情報管理体制(緊急連絡体制)】
情報管理責任者 ○○○○部○○○○部長 ○○ ○○自宅電話:××××-×××× 携帯電話:×××-××××-×××× E-mail:××××@××××.ne.jp | ||
情報管理副責任者 ○○○○部○○○○課長 ○○ ○○自宅電話:××××-×××× 携帯電話:×××-××××-×××× E-mail:××××@××××.ne.jp | ||
担当者 ○○○○部○○○○係長 ○○ ○○自宅電話:××××-×××× 携帯電話:×××-××××-×××× E-mail:××××@××××.ne.jp | ||
従事者
従事者
従事者
従事者
研 修 実 施 報 告 書
(様 式 例 ・ 記 載 例)
○○年○○月○○日
杉並区○○○○課長 宛
○○区○○○○
所 在 地 ○○-○○-○○
申 請 者 事 業 者 名 (株)○○○○○○
情報管理責任者職・氏名 ○○○○部長 ○○ ○○
○○年○○月○○日第○○○○○○○○号をもって締結した下記契約に基づく研修を実施したので、報告します。
記
契約件名 | ○○年度 ○○○○○○業務委託 |
研修実施日 | ○○年○○月○○日 |
対象者及び人数 | 本業務に従事する全職員40名 |
研修内容 | 弊社の個人情報に関する規程及び事故発生時の対応について |
備 考 |
※ この報告書は研修実施後、速やかに提出すること。
再 委 託 承 認 申 請 書
(様 式 例 ・ 記 載 例)
○○年○○月○○日
杉並区○○○○課長 宛
○○区○○○○ | |||||
所 | 在 | 地 | ○○-○○-○○ | ||
申 請 者 | 事 | 業 | 者 | 名 | (株)○○○○○○ |
代表者役職・氏名 代表取締役 ○○ ○○
○○年○○月○○日第○○○○○○○○号をもって締結した下記契約に関する業務の一部を再委託したいので承認願います。
記
契約件名 | ○○年度 ○○○業務委託 |
再委託先 (所在地・事業者名・代表者) | ○○区○○○○○○○○-○○-○○ (株)○○○○ 代表取締役 ○○ ○○ |
再委託する業務内容 | 利用者送迎バスの運行 |
個人情報の有無 | (1)個人情報 有 ・ 無 (2)特定個人情報 有 ・ 無 |
再委託する理由 (別紙によることも可) | 上記業者は、運行業務を専門に行っており、他施設の送迎等の実績を有するため。 |
再委託先に引き渡す、再委託先が収集する個人情報の内 容、件数 | ・引き渡す個人情報:送迎希望者の氏名、住所、電話番号リスト(リスト数1件。利用者20人) ・収集する個人情報:送迎希望者の身体状況(利用者20 人) |
再委託期間 | ○○年○○月○○日~○○年○○月○○日 |
再委託先との契約等 | 有 ・ 無 業務に関する協定書(別添のとおり) |
※契約書がある場合は写しを添付、無い場合はその理由と支払い予定額を記載すること。また、個人情報を取り扱う業務を再委託する場合は、必要事項を明記した誓約書等を添付すること。
複 写 ・ 複 製 承 認 申 請 書
(様 式 例 ・ 記 載 例)
○○年○○月○○日
杉並区○○○○課長 宛
○○区○○○○
所 在 地 ○○-○○-○○
申 請 者 事 業 者 名 (株)○○○○○○
代表者役職・氏名 代表取締役 ○○ ○○
○○年○○月○○日第○○○○○○○○号をもって締結した下記契約に関する業務に係る個人情報を複写・複製したいので承認願います。
記
契約件名 | ○○年度 ○○○業務委託 |
複写・複製が必要な理由 | 訪問調査を実施するため |
複写・複製する個人情報の内容 | 町丁別調査対象者リスト |
複写・複製する項 目、件数 | 氏名・住所・電話番号 3,600件 |
複写・複製する媒体(紙・電磁的記録媒体) | 紙 |
持出の有無 | 有 ・ 無 |
廃棄予定日 | 調査終了後 |
個 人 情 報 の 廃 棄 報 告 書
(様 式 例 ・ 記 載 例)
○○年○○月○○日
杉並区○○○○課長 宛
○○区○○○○
所 在 地 ○○-○○-○○
申 請 者 事 業 者 名 (株)○○○○○○
代表者役職・氏名 代表取締役 ○○ ○○
○○年○○月○○日○○杉並第○○○○号により指示のあった個人情報を廃棄したので、報告します。
なお、○○年○○月○○日第○○○○○○○○号をもって締結した○○年度○○
○○○○業務委託に関するすべての個人情報は返還及び廃棄
しました。
記
契約件名 | ○○年度 ○○○○○○業務委託 |
廃棄年月日(最終) | ○○年○○月○○日 |
廃棄した個人情報の帳票名・ファイ ル名 | 利用者個人情報ファイル(○○年○月分) |
廃棄方法 | ・紙リストは事業所所有のシュレッダー処理。 ・PC データは、データ消去ソフトを使用し、データ復元不可。 |
備 考 | ○○年4月~○○年2月分の利用者個人情報ファイルは、翌月上旬にシュレッダーにより処理。 杉並区○○○○部○○課○○氏立会い |
※ この報告書は、最終の廃棄日から10日以内に提出すること。
誓 約 書
(受託業務に携わるボランティアの例)
事業者名
代表者役職・氏名 宛
私は、貴団体のボランティア活動により知り得た個人情報を他に漏らさないことなど、活動中、活動終了後にかかわらず貴団体の定める個人情報に関する規定及び個人情報保護法等、関係法令を遵守することを誓います。
年 月 日
住所
氏名
誓 約 書
(人材派遣契約における派遣労働者 例)
杉並区○○○○課長 宛
私は、○○○○契約の業務に従事するに当たり、下記の事項を遵守することを派遣元事業者から説明を受け、理解をした上で従事することを誓います。
1 個人情報の適切な管理
業務の履行に当たって取り扱う個人情報について、漏えい、紛失、破壊又は改ざんの事故防止その他の適切な管理を行います。
2 秘密の保持
派遣就業期間中及び派遣就業期間が終了した後も、その業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用しません。
3 目的外の使用の禁止
業務の履行のために杉並区から提供された個人情報及び業務を履行する過程で収集した個人情報を杉並区が指示した目的以外に使用しません。
4 第三者への提供の制限
業務の履行のために杉並区から提供された個人情報及び業務を履行する過程で収集した個人情報を第三者に提供しません。
5 複写及び複製の制限
業務の履行のために杉並区から提供された個人情報及び業務を履行する過程で収集した個人情報を、杉並区から承認があった場合を除き、複写及び複製を行いません。
6 個人情報の返還等
業務の履行のために杉並区から提供された個人情報及び業務を履行する過程で収集した個人情報(当該個人情報を複写・複製したもの及び当該個人情報を記録した媒体を含む。)について、派遣就業期間の終了時までに杉並区に返還し、又は引き渡します。
7 事故発生時の報告
業務の履行に当たり、取り扱う個人情報について、漏えい、紛失等の事故が発生した場合は、直ちに杉並区に報告します。
8 関係法令の遵守
個人情報の保護に関する法律(平成15年法律第57号)及び杉並区個人情報の保護に関する条例(令和5年杉並区条例第6号)等の関係法令を遵守し、個人情報を取り扱う業務を適正に履行します。
年 月 日
住所氏名
(様式例)
個人情報の保護に係る誓約書
(甲)
所 在 地氏名・名称
代 表 者 様 (乙)
所 在 地氏名・名称
代 表 者 印
甲と に関する 契約(以下「本契約」という。)を履行するに当たり、下記の事項を遵守することを誓約します。
記
1 個人情報の適切な管理
乙は、個人情報を取り扱う業務を履行するときは、個人情報の漏えい、紛失、破壊又は改ざん等の事故防止その他の個人情報を適切に管理するため、以下の措置を講じなければならない。
(1) 情報管理責任者の選任等、情報の管理体制を整備すること。
(2) 情報管理台帳を作成すること。
(3) 情報を記録した紙及び電磁的記録媒体(USBメモリ、CD、DVD等(PC等のハードディスクを含む。))は、盗難対策(施錠管理)その他情報漏えい等の事件・事故を防止するための安全管理措置を講じること。
(4) 情報を記録した情報システムには、取り扱う個人情報の質や量に応じて、不正アクセス対策、不正プログラム対策、データ損失対策その他情報漏えい等の事件・事故を防止する安全管理措置を講じることにより、適切な安全性を確保すること。また、情報システムの脆弱性を突いた攻撃への対策を講じる、新しい手法の攻撃への対策を講じる等、安全性が継続的に確保できるような対策を行うこと。
なお、コンピュータを使用する場合には、パスワード使用等の安全管理措置を講じること。
(5) 個人情報を保管している事業所から個人情報を持ち出す場合には、盗難・紛失防止に努めること。また、個人情報を持ち出す場合には、事前に区の承認を得ること。
(6)従事者に対して個人情報保護に関する教育及び指導を行うこと。
(7)乙は、誓約書の遵守状況について区又は甲が求めるときには、報告を行うこと。但し、契約期間が1か月以上の場合は同期間内に1回以上、契約期間が1年を超える場合は年1回以上、必ず報告を行うこと。
(8)誓約書締結後 10 日以内に下記を定め、区に提出すること。
① 情報管理体制表
情報管理責任者及び従事者の役職名・氏名及び情報管理体制における役割を明記すること。
② 研修計画
個人情報に関する必要な研修の計画について具体的に記載すること。
(9)研修を実施したときは、研修実施後速やかにその旨を書面により区に届け出ること。
2 秘密の保持
乙若しくは乙であった者又は受託業務に従事している者若しくは従事していた者は、その業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。
3 再委託の制限
乙は、個人情報を取り扱う業務の全部又は一部を第三者に委託し、又は請け負わせてはならない。
4 目的外の使用の禁止
乙は、受託業務を履行するために区または甲から引き渡された個人情報及び受託業務履行のために自らが収集した個人情報をその目的の範囲内において使用しなければならない。
5 第三者への提供の制限
乙は、受託業務を履行するために区または甲から引き渡された個人情報及び受託業務履行のために自らが収集した個人情報を第三者に提供してはならない。ただし、区が個人情報の第三者への提供を前提として委託する業務で、本人の同意がある場合又は個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第27条第1項各号のいずれかに該当し、あらかじめ区の許可を得た場合に限り、個人情報を第三者に提供することができる。
6 複写及び複製の制限
乙は、個人情報の複写・複製を甲から委託された場合及び区から文書による複写・複製の承認があった場合を除き、個人情報の複写及び複製を行ってはならない。受託した業務のための複写・複製であっても情報管理責任者の管理の下で複写・複製しなければならない。
また、情報管理責任者は、その返還又は廃棄を確認しなければならない。
7 個人情報の返還・廃棄
乙は、受託した業務で収集・使用した個人情報(当該個人情報を複写・複製したもの及び当該個人情報を記録した媒体を含む。以下この項において同じ。)は、速やかに区に返還しなければならない。ただし、区から個人情報の廃棄の指示があった場合は、区の指示する方法により速やかに廃棄しなければならない。
8 個人情報の取扱いに関する実地検査
区または甲は、個人情報を保護するために必要があると認めるときは、乙が業務を行う事務所、作業所等に立入り、個人情報の管理状況等について実地検査を実施することができる。但し、契約期間が1年を超えるものについては、契約期間内に1回以上、実地検査を行うものとする。
9 事故発生時の報告
乙は、受託した業務で使用している個人情報の漏えい等の事故が発生した場合は、速やかに区に報告するとともに、自己の情報管理体制を活用し、最善の方策を講じなければならない。
10 関係法令の遵守
乙は、法及び杉並区個人情報の保護に関する条例(令和5年杉並区条例第6号)等の関係法令を遵守し、個人情報を取り扱う業務を適正に履行しなければならない。