1.ガイドラインの対象となる外部委託業務とは

（1）個人を検索し得る状態（複数の個人情報を扱う）で個人情報を記録する公文書を使用し,情報システムを用いた個人情報の処理を主として行う業務及び出力された帳票の製本,封入（ふうにゅう）,封かん（ふうかん）処理業務

例えば

台帳などのデータを入力して業務用の一覧表を作成する

打ち出された通知書を製本し封筒に入れて発送する

.....といった業務が考えられます。

（2）情報システムを用いて処理を行い,当該個人を検索し得る状態で個人情報を記録する公文書を作成する業務

例えば

イベントなどの参加申込書を受けつけ,それを入力し一覧表を作成する

.....といった業務が考えられます。

2.審査会の設置

受託業者のセキュリティの審査等を行うため,「情報システム処理に伴う個人情報に係る外部委託審査会」を設置します。

3.市の管理権限が及ぶ庁舎等での業務実施

個人情報を取り扱う業務は,外部委託をする場合でも市の管理権限が及ぶ庁舎等で行います。
ただし,特殊な装置の利用を必要とする場合など,やむを得ず市の管理権限がおよぶ庁舎等以外で個人情報を取り扱う必要があり,市としてその作業の監督を十分に行えることが確認されている場合であって,あらかじめ外部委託審査会の承諾を得た場合はこの限りではありません。

4.受託業者の調査

〔業者選定時〕受託予定業者(再委託先も含む)のセキュリティ対応状況の調査を行います。
〔契約締結時〕受託業者(再委託先も含む)への実地調査を行います。
〔委託期間中〕作業状況の立ち入り調査を行います。

5.セキュリティ研修の義務化

受託予定業者(再委託先も含む)における個人情報保護責任者は市の指定するセキュリティ研修を受講していただきます。ただし,以下の(1)～(3)の場合のいずれかに該当する場合は,受講が免除となります。

(1)受託予定業者(再委託先も含む)における個人情報等保護責任者が当該業務に関して,法令等により守秘義務を課されている場合（当該業務に関して,特定個人情報等を取り扱う場合を除く）。

(2)個人情報等保護責任者が,市の指定する個人情報等の保護及び情報セキュリティに関する研修を前回受講した年度から、3年を経過していない場合。

(3)受託予定者がISMS適合性評価制度の認証を取得している場合,又はISMAPもしくはISMAP-LIUクラウドサービスリストに登録されているクラウドサービスの提供事業者である場合。

6.再委託の禁止

個人情報を取り扱う委託業務の再委託は認めません。
ただし,外部委託審査会において特別な事情があると認めた場合はこの限りではありません。

7.個人情報の搬送・保管等

市職員が行う場合を除き,受託者が自ら行わなければなりません。
ただし,受託者が自ら搬送を行えない場合であって,受託者以外の者に貸切の直行便を用いて搬送を行わせることについて,あらかじめ外部委託審査会の承諾を受けた場合はこの限りではありません。