この規程は、個人情報の保護に関する法律(平成15年法律第57号)、個人情報の保護に関する法律施行条例(令和4年東京都条例第130号)及び東京都教育委員会個人情報取扱事務要綱(平成17年9月22日付17教総総第1009号)の規定に基づき、東京都教育委員会における保有個人情報の適正な管理のために必要な事項を定め、個人の権利利益を保護することを目的とする。

第2　法令等の遵守

職員は、保有個人情報の保護に関し、次の各号に掲げる法令等を遵守しなければならない。

(1)　個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)

(2)　個人情報の保護に関する法律施行条例(令和4年東京都条例第130号。以下「法施行条例」という。)

(3)　東京都教育委員会個人情報取扱事務要綱(平成17年9月22日付17教総総第1009号以下「要綱」という。)

第3　定義

この基準において使用する用語は、法及び東京都情報公開条例(平成11年東京都条例第5号)において使用する用語の例による。

第4　情報処理システムにおける技術的安全管理措置

保有個人情報を記録した情報処理システムの安全確保については、東京都サイバーセキュリティ基本方針、東京都サイバーセキュリティ対策基準及び東京都教育委員会におけるサイバーセキュリティ安全管理措置・実施手順による。

第5　東京都教育委員会において保有個人情報を取り扱う事務

(1)　東京都教育委員会において保有個人情報を取り扱う事務は、法施行条例第3条の規定に基づき備え付けた登録簿に記載された事務及び職員又は職員であった者に係る事務のほか、別表のとおりである。

(2)　保有個人情報を取り扱う事務を開始、変更又は廃止するときは、法施行条例第3条の規定に基づき登録簿の備付け、又は更新を行う。

第6　管理体制・個人情報管理責任者の役割

個人情報管理責任者は、以下の安全管理の基準に基づき、保有個人情報の保護について厳重、適正な管理を行う。

(管理体制)

(1)　個人情報管理責任者は、東京都教育委員会における保有個人情報及び保有個人情報を記録した公文書(以下「保有個人情報等」という。)の適正な管理について責任を負うとともに、個人情報の保護に関し、所属職員を指導する。

(管理状況の点検)

(2)　保有個人情報等の安全管理を厳格に行うため、個人情報管理責任者は、保有個人情報の収集及び利用並びに保有個人情報等の保管及び廃棄の状況(以下「保有個人情報等の管理状況」という。)について、毎年度1回以上、点検を行う。

(是正措置)

(3)　職員は、保有個人情報等の管理状況に関して問題となる事案が発生した場合には、直ちに個人情報管理責任者に報告し、個人情報管理責任者は、保有個人情報等の管理状況に不適切な点があると認めるときには、直ちに是正措置を講ずる。

(教育研修)

(4)　個人情報管理責任者は、個人情報が都民の生活に直接かかわる大切な財産であることを認識し、職員に対して、個人情報保護の重要性及び保有個人情報の適正管理等に対する理解と関係規程遵守の徹底が図られるよう必要な啓発その他、教育研修を行う。

(事故対応)

(5)　職員は、保有個人情報を記録した公文書の盗難、紛失若しくは不適正な持ち出し若しくは保有個人情報に係る不正アクセス、虚偽記載、改ざん若しくは不適正な消去若しくはその他保有個人情報の漏えい、滅失若しくは毀損(以下「保有個人情報に係る事故」という。)が発生した場合又は発生のおそれがある事象を把握した場合には、直ちに個人情報管理責任者に報告する。

(6)　個人情報管理責任者は、前項の報告を受けたときは、直ちに事実関係を調査した上で、教育委員会及び部等における個人情報保護責任者に報告するとともに、事故の対象となった保有個人情報の本人への対応及び事案の公表等の被害の拡大を防止するための適切な措置を講じる。

(7)　個人情報管理責任者は、(5)で把握した事象のうち、個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)第43条各号に該当するものについては、東京都教育庁総務部総務課を経由して、個人情報保護委員会に報告する。

(8)　個人情報管理責任者は、(6)の措置を講じた後、速やかに事故の原因を調査して再発防止対策を講じるとともに、必要に応じて、これらの内容について教育委員会及び部等における個人情報保護責任者に報告する。

なお、事案の内容、影響等に応じて、その後の経過及び再発防止策等を公表する。

第7　保有個人情報等の安全管理措置

個人情報管理責任者は、保有個人情報に係る事故がないように、次の事項について、所属職員を指導するほか必要な措置を講ずる。

(保管等)

(1)　職員は、退庁時に保有個人情報を記録した公文書を個人情報管理責任者が指示する保管庫等に保管し、必ず施錠しなければならない。

また、保管庫等の鍵等は、関係職員以外の者が使用できないよう、安全な場所に保管しなければならない。

(2)　職員は、事務の遂行上必要な場合を除き、保有個人情報等を複製してはならない。

(3)　職員は、保有個人情報を記録した公文書を机上等に放置してはならない。

また、関係職員以外の者が保有個人情報を知ることができないよう、常に留意しなければならない。

(保有個人情報等の庁舎外への持ち出し等)

(4)　職員は、原則として、個人情報管理責任者の指示又は許可によらずに、保有個人情報等を庁舎外に持ち出し又は送付(通信回線を利用した送信を含む。以下同じ。)してはならない。

(5)　職員は、保有個人情報等を庁舎外に持ち出す場合には、保有個人情報に係る事故を防止するため、保有個人情報等の運搬に当たり、次の各号を遵守しなければならない。

ア　原則として、盗難又は紛失等を防止することができる形状、機能を持つ鞄(かばん)などに収納すること。

イ　保有個人情報を記録した公文書を常に肌身離さず携帯し、移動経路は必要かつ最小限のものとすること。

ウ　その他個人情報管理責任者が指示した安全対策を講じること。

(6)　前項の規定は、庁舎内において保有個人情報等を運搬する場合に準用する。

(7)　職員は、庁舎外に持ち出した保有個人情報等の持ち帰りについて、個人情報管理責任者の確認を得なければならない。事務の遂行上やむを得ず、持ち出した保有個人情報等を庁舎外で保管する場合、当該職員は、保有個人情報に係る事故を防止するための必要な措置を講じなければならない。

(8)　職員は、保有個人情報等を送付する場合には、保有個人情報に係る事故を防止するため、次の各号を遵守しなければならない。

ア　送付先及び送付物に誤りがないか確認すること。

イ　送付先の情報及び送付内容が第三者に知られないようにすること。

ウ　送付物の内容により適切な送付方法を選択すること。

エ　その他個人情報管理責任者が指示した安全対策を講じること。

(9)　職員は、TAIMS端末利用基準(令和2年6月30日付2戦I情第578号)に規定するTAIMS個人端末を庁舎外に持ち出し、庁舎外において情報処理作業を行う際は、保有個人情報に係る事故を防止するため、TAIMS端末利用基準第2.4の規定を遵守すること。

(保有個人情報等の消去又は廃棄)

(10)　個人情報管理責任者は、保有個人情報等が不要となった場合には、当該保有個人情報等の復元又は判読が不可能な方法により、消去又は廃棄を行う。

なお、保有個人情報等の消去又は廃棄を委託して行う場合には、職員が立ち会うなどの方法により、適切に消去又は廃棄したことを確認する。

(保有個人情報の提供時の措置要求等)

(11)　個人情報管理責任者は、保有個人情報を実施機関以外のものに提供する場合には、当該提供先に対して安全確保の措置を要求し、必要があると認めるときは、実地調査等により当該措置状況を確認し、所要の改善要求等を行う。

(12)　個人情報管理責任者は、法令に基づく場合及び法第69条第2項各号に該当する場合を除き、保有個人情報を取り扱う事務の目的を超えて、保有個人情報を都の機関等以外のものへ提供してはならない。

(保有個人情報等の安全管理措置に関する記録)

(13)　個人情報管理責任者は、保有個人情報を記録した公文書の施錠保管の状況並びに保有個人情報等の庁舎外への持ち出し、送付及び廃棄に関して、別途様式を定め、記録を整備する。

第8　委託に伴う措置

(1)　個人情報管理責任者は、保有個人情報を取り扱う事務を委託しようとするとき、又は指定管理者に公の施設の管理を行わせるときは、当該契約又は協定(以下「委託契約等」という。)の締結等に当たり、次の各号に掲げる事項について、取り決めを行う。

ア　取り扱う個人情報が、受託者若しくは指定管理者又は東京都のうちのいずれの保有に属するのか、その範囲を明らかにする事項

イ　安全管理、秘密の厳守等の受託者又は指定管理者(以下「受託者等」という。)が保有個人情報保護について遵守すべき事項(要綱第7.4で、契約書等に記載することと規定されている事項)

ウ　再委託に関する事項

(2)　個人情報管理責任者は、保有個人情報を適切に管理する能力を有しないものを受託者等として選定することがないよう、前項に規定する事項について、あらかじめ仕様書等に明記するとともに、必要に応じて職員に調査を行わせる。

(3)　個人情報管理責任者は、保有個人情報を取り扱う事務の再委託について、再委託を受ける者が保有個人情報を適切に管理する能力を有することを確認できた場合に認めるものとする。その場合、保有個人情報の取扱いに係る態様について東京都が十分管理できるよう、再委託の内容及び再委託先等について、東京都の承諾をあらかじめ求める等の適切な再委託先を選定するために必要な措置をとり、その旨を具体的に委託契約書等に明記する。

(4)　個人情報管理責任者は、受託者等が委託契約等において取り決めた事項を遵守しているか、また、受託者が再委託を受けた者に対して必要かつ適切な監督を行っているか等を職員に監督させるなど、受託者等及び再委託を受けた者に対する必要な監督を行う。

(5)　個人情報管理責任者は、受託者等において保有個人情報の消去又は廃棄が行われるときは、職員が立ち会うなどの方法により、適切に消去又は廃棄したことを確認する。

(6)　個人情報管理責任者は、受託者等に個人情報記載文書等を搬送する必要がある場合は、保有個人情報に係る事故を防止するための必要な措置を講じる。

(7)　個人情報管理責任者は、受託者等に個人情報記載文書等を受け渡すときは、授受簿等を定めて職員にその都度受渡しの確認を行わせる。

(8)　電子情報処理委託については、電子情報処理委託に係る標準特記仕様書を用い、又は、特記仕様書の事項を委託仕様書に記載する。

附則

東京都教育委員会において保有個人情報を取り扱う事務

※　犯罪の予防、鎮圧又は捜査、被疑者の逮捕、交通の取締りその他公共の安全と秩序の維持に係る事務を除く