1.ガイドラインの目的

このガイドラインは,個人情報等を取り扱う事務であって,契約の形態・種類を問わず(指定管理者は除く)個人情報等の情報システム処理を伴うものを外部に委託する場合における個人情報の保護に関する法律（平成15年法律第57号）第66条第1項又は仙台市議会の個人情報の保護に関する条例（令和5年仙台市条例第29号）第9条第1項及び仙台市死者情報保護事務取扱要綱（令和5年3月24日総務局長決裁)第7条に規定する個人情報の保護に関する措置について,仙台市個人情報等を取り扱う業務の委託に関する基準(令和5年3月24日総務局長決裁)に定めるもののほか,必要な事項を定めることにより,個人情報等の的確な保護を図ることを目的とする。

2.定義

(1)個人情報等
個人情報の保護に関する法律第2条第1項又は仙台市議会の個人情報の保護に関する条例第2条第1項に規定する個人情報及び仙台市死者情報保護事務取扱要綱第2条第1号に規定する死者情報をいう。
(2)電子計算機
ハードウェア及びソフトウェアで構成するコンピュータをいう。
(3)情報システム
電子計算機,ネットワーク,周辺機器等の組み合わせ,又は電子計算機単体で構成され,情報処理を行う仕組みをいう。
(4)情報システム処理
情報システム処理とは,情報システムを用いて情報の入力,変換,集計,修正,編集,蓄積,更新,検索,消去,出力又はこれに類する処理を行うことをいう。　
(5)公文書
仙台市情報公開条例（平成12年仙台市条例第80号）第2条第2号に規定する公文書をいう。
(6)法令等
法令等とは,法律,政令,省令,訓令及びその他の国の行政機関が定める又は発する命令,規則,通達,通知をいう。

3.対象となる委託業務

(1)対象となる業務
このガイドラインの対象となる業務は次に掲げるもの（以下「外部委託業務」という。）とする。

1. 個人の氏名,生年月日その他の記述又は個人に付された番号,記号その他の符号により当該個人を容易に検索し得る状態で体系的に個人情報等を記録している公文書を使用し,当該個人情報等の情報システム処理を行う業務。
2. 個人情報等の情報システム処理を行い,個人の氏名,生年月日その他の記述又は個人に付された番号,記号その他の符号により当該個人を容易に検索し得る状態で体系的に個人情報等を記録する公文書を作成する業務。
3. 個人情報等の情報システム処理を行い出力された帳票で,個人の氏名,生年月日その他の記述又は個人に付された番号,記号その他の符号により当該個人を容易に検索し得る状態で体系的に個人情報等を記録しているものの製本,封入又は封かん処理を行う業務。

(2)適用除外
前項に該当する業務であっても,取り扱う個人情報等が次に掲げるもののみである場合は,このガイドラインの適用を受けないこととする。

1. 公務員等（国家公務員（国家公務員法（昭和22年法律第120号）第2条第1項に規定する国家公務員をいう。以下同じ。）,独立行政法人等（独立行政法人等の保有する情報の公開に関する法律（平成13年法律第140号）第2条第1項に規定する独立行政法人等をいう。）の役員及び職員（国家公務員である者を除く。）,地方公務員（地方公務員法（昭和25年法律第261号）第2条に規定する地方公務員をいう。）並びに地方独立行政法人（地方独立行政法人法（平成15年法律第118号）第2条第1項に規定する地方独立行政法人をいう。）の役員及び職員をいう。）の職務の遂行に係る情報で,かつ,当該公務員等の職,氏名及びその職務遂行の内容に係るもの
2. 法令等の規定により又は慣行として公にされ,又は公にすることが予定されている情報

(3)外部委託の形態
このガイドラインの対象となる委託は,実施機関が行う業務の全部又は一部を実施機関以外のものに依頼して行わせることすべてをいう。したがって,業務委託契約に係るものに限らず実施機関が他のものに業務を依頼する場合も含むものとする。

4.外部委託審査会

(1)外部委託業務の実施にあたり,個人情報等の保護を図るために,受託者において個人情報等保護の対策が適切かつ十分に取られているかを審査することを目的とし,「外部委託審査会」を置く。
(2)外部委託審査会は会長及び審査員をもって組織し,会長はまちづくり政策局デジタル戦略推進部長を,審査員は総務局総務部文書法制課長,まちづくり政策局デジタル戦略推進部行政デジタル推進課長,まちづくり政策局デジタル戦略推進部情報システム課長及び財政局財政部契約課長をもって充てる。
(3)外部委託審査会の庶務は,まちづくり政策局デジタル戦略推進部行政デジタル推進課において処理する。

5.外部委託業務実施に伴う手続き

(1)外部委託業務を所管する課（以下「業務担当課」という。）は,受託予定者が6に定める契約事項を遵守できることを確認するため,受託予定者に対して,契約締結前に調査を行うものとする。ただし,契約締結前に調査を行うことができないことにつき,特別の事情がある場合は,この限りでない。
(2)外部委託業務の実施にあたり,個人情報等を取り扱う作業は,市の管理権限がおよぶ庁舎等の内部で行わせなければならない。ただし,特殊な装置の利用を必要とするなど,市の管理権限がおよぶ庁舎等以外の場所で受託予定者に個人情報等を取り扱う作業を行わせる必要がある場合であって,業務担当課の長が,(1)に規定する調査の結果に基づき,市として当該作業の監督を十分に行えることを認めた場合には,この限りでない。
(3)業務担当課の長が,(1)に規定する調査の結果に関して,受託予定者の個人情報等保護の対策が適切かつ十分であると認めた場合は,受託予定者と契約を締結することができる。ただし,外部委託業務の実施にあたり,市の管理権限がおよぶ庁舎等以外の場所で受託予定者に個人情報等の情報システム処理を含む作業を行わせようとする場合は,業務担当課の長は,様式第1号,様式第1-2号,又は様式第1-3号により外部委託審査会に審査を依頼するものとし,その承認を得られない場合は,受託予定者と契約を締結してはならない。
(4)競争入札の場合において,(1)から(3)までのいずれかに規定する手続を仙台市契約規則（昭和39年10月1日　仙台市規則第47号）第14条に定める期間内に行うことができないと見込まれるときは,落札者の決定を保留することができる。この場合において,業務担当課は,落札候補者を受託予定者とみなして(1)から(3)までのいずれかに規定する手続きを行うものとする。
(5)(1)ただし書きの場合において,業務担当課は,調査に係る項目のうち契約締結前に調査を行うことができるものについては,契約締結前に調査を行い,契約締結後でなければ調査を行うことができないものについては,契約締結後すみやかに調査を行うものとする。
(6)業務担当課の長は,(5)に規定する調査を行った場合には,調査完了後すみやかに,当該調査結果に関して,様式第1号,様式第1-2号,又は様式第1-3号により外部委託審査会に審査を依頼し,その承認を得なければならないものとし,承認を得られない場合は契約を解除するものとする。
(7)業務担当課が新たに契約を締結する外部委託業務（以下「新たな委託業務」という。）について,次に掲げる1～4の場合のいずれにも該当することを,当該業務担当課及び外部委託審査会事務局が確認した場合には,外部委託審査会の承認を得たものとみなすことができる。

1. 新たな委託業務の受託予定者（再委託予定先を含む。）と当該業務担当課が契約を締結する年度又は当該年度の前年度までに契約を締結した外部委託業務（(3)ただし書き及び6(5)に規定する外部委託審査会の承認を得たものに限る。以下「従前の委託業務」という。）の受託者（再委託先を含む。）が同一であること。
2. 新たな委託業務に係る(1)に規定する調査の結果が従前の委託業務に係る調査の結果と相違ないこと。
3. 新たな業務委託と従前の業務委託における個人情報等を取り扱う作業の手順が同様であること。
4. 受託予定者（再委託予定先も含む）における個人情報等の取扱いに関する問題が生じていないこと。または,受託予定者（再委託予定先も含む）における個人情報の取扱いに問題が生じた後に,外部委託審査会にて承認を得ていること。

(7)-2 (7)の条件を満たさない場合,次に掲げる1,2のいずれにも該当すること、又は3に該当することを、当該業務担当課及び外部委託審査会事務局が確認した場合には,外部委託審査会の承認を得たものとみなすことができる。

1. 新たな委託業務に係る(1)に規定する調査の結果、仙台市行政情報セキュリティポリシー(平成14年市長通達)第1章(2)12にて定義する外部サービスを新たに使用しないこと,外部サービスの変更が行われていないこと,並びに外部サービスを使用して重要性分類IIIの行政情報のみ取り扱うこと。
2. 受託予定者（再委託予定先も含む）における個人情報等の取扱いに関する問題が生じていないこと。または,受託予定者（再委託予定先も含む）における個人情報の取扱いに問題が生じた後に,外部委託審査会にて承認を得ていること。
3. 法令等に委託内容及び委託先の定めがあること。

(8)複数の業務担当課が同一の受託予定者に対し(1)に規定する調査を行う場合は,次に掲げる場合のいずれにも該当する場合に限り,特定の業務担当課が実施した調査の結果を自らが実施したものとみなすことができる。

1. いずれの業務担当課が委託する業務においても,個人情報等を取り扱う作業の手順が同じである場合。
2. 特定の業務担当課が調査及び確認をした受託予定者における個人情報等保護の対策について,全ての業務担当課の長が適切かつ十分であると認めた場合。

(9)受託(予定)者における個人情報等保護責任者は,外部委託業務のうち個人情報等を取り扱う作業に着手する前に,市の指定するところにより個人情報等の保護及び情報セキュリティに関する研修を受講しなければならないものとする。ただし,次に掲げる1～3の場合のいずれかに該当する場合は,この限りではない。

1. 受託（予定）者における個人情報等保護責任者が当該業務に関して,法令等により守秘義務を課されている場合（当該業務に関して,特定個人情報等を取り扱う場合を除く。）
2. 個人情報等保護責任者が、市の指定する個人情報等の保護及び情報セキュリティに関する研修を前回受講した年度から、3年を経過していない場合。
3. 受託(予定)者がISMS適合性評価制度の認証を取得している場合,又はISMAPもしくはISMAP-LIUクラウドサービスリストに登録されているクラウドサービスの提供事業者である場合。

6.個人情報等の保護についての契約事項等

(1)契約書または仕様書には,個人情報等の保護について基本的な事項として,次の事項を必ず定めるものとする

1. 個人情報の保護に関する法律（議会においては仙台市議会の個人情報の保護に関する条例）に基づく個人情報の適正な取扱いの遵守義務及び死者情報について本市の実施機関における安全管理措置と同等の措置を行うよう努める旨
2. 業務に関して知り得た個人情報等の守秘義務（契約終了後,退職後も同様）
3. 個人情報等の漏えい,滅失,改ざん,き損等を防止する義務
4. 個人情報等の収集を適正,公正な方法により行う義務
5. 個人情報等の無断複写,目的外使用の禁止
6. 個人情報等の第三者への提供,引渡しの禁止
7. 業務の再委託の禁止または制限
8. 貸与品等の返却義務（電子データ化された個人情報等を復元困難な方法により消去を行ったことの確認を含む）
9. 異常事態の発生についての報告義務

(2)次の事項は,委託する業務の状況に合わせて個人情報等の保護に必要な措置をとることを受託者に義務付けるものとする。

　1.作業の従事者及び監督体制に関する事項

• 個人情報等保護責任者の指定
• 作業責任者の指定
• 作業従事者の特定
• 作業従事者に対する個人情報等の適正な取扱い義務の周知
• 個人情報等保護責任者,作業責任者及び作業従事者からの個人情報等の保護に関する誓約書の徴収とその写しの提出
• 個人情報等の保護に関する研修,教育等の実施

　2.作業場所に関する事項

• 作業場所の特定
• 作業場所の施錠,開錠の責任者の指定及び鍵の管理
• 作業場所への入退室の管理及び記録
• 作業場所における個人情報等の処理に用いる機器等の特定
• 作業場所への持込み・持出し品等の管理及び記録
• 防犯及び防火措置の実施

　3.個人情報等の保管及び管理に関する事項

• 保管場所の特定
• 保管庫等の施錠及び開錠の責任者の指定並びに鍵の管理
• 保管している個人情報等の件数及び内容等の記録
• 盗難,紛失等の事故防止措置の実施
• 障害時,緊急時における個人情報等の滅失,き損,流出等の防止措置の実施
• 保有の必要のない個人情報等の確実な廃棄又は消去

　4.個人情報等の受渡し又は搬送に関する事項

• 個人情報等の受渡し又は搬送の方法の指定
• 個人情報等の受渡し又は搬送の記録

　5.個人情報等の適正な取扱いに係る計画に関する事項

• 個人情報等の正確性を保つための作業方法の計画
• 個人情報等に係る作業状況の把握に関する計画

(3)受託者に対して,市職員による作業への立会い,立入りによる調査について契約上の協力義務を定めるものとする。

(4)外部委託業務の再委託は認めない。ただし,特別な事情がある場合はこの限りでない。

(5)業務担当課は,(4)ただし書きの規定により,外部委託業務のうち個人情報等を取り扱う業務を再委託しようとする場合は,5に規定する受託予定者に対する調査に準じた調査を再委託予定先に対して行った上で,様式第1号,様式第1-2号,又は様式第1-3号により外部委託審査会に審査を依頼し,その承認を得なければならない。ただし,再委託予定先が当該業務に関して,法令等により守秘義務を課されている事業者等である場合（当該業務に関して,特定個人情報等を取り扱う場合を除く。）には,外部委託審査会の承認を要しない。
(6)個人情報等の搬送や保管など,契約の目的を達成するために必要となる行為は,市職員が行う場合を除き受託者が自ら行わなければならないものとする。ただし,受託者が自ら搬送等を行えない場合であって,受託者以外の者に,専用の直行便を用いた搬送や第三者等の立ち入りを禁止した施錠可能な場所への保管を行わせるなど,十分な保護対策を行うことを業務担当課の長があらかじめ確認している場合は,(5)の規定に関わらず,この限りでない。

7.法令に定めのある外部委託業務

法令に委託内容及び委託先の定めがあり,かつ上記5～7のいずれかの規定の適用が困難な外部委託業務の実施にあたって,業務担当課は,契約締結前に様式第5号により外部委託審査会に審査を依頼し,その承認を得なければならない。

8.外部委託業務に関する事項の報告等

外部委託審査会は,実際に契約が締結された外部委託業務の業務担当課の長に対して,必要に応じ,当該業務に関する事項について報告を求め,及び調査をし,並びにその結果に関する必要な指示及び助言を行うことができる。

9.適用

このガイドラインは,市長部局のほか,教育局,行政委員会事務局及び消防局において締結する契約に適用する。
なお,所管外郭団体に対しても,このガイドラインの周知・徹底及び指示・指導を行うこととする。

10.委任

(1)特段の事情により上記5～7のいずれかの規定の適用が困難な外部委託業務の取扱いについては,まちづくり政策局長が外部委託審査会に諮り定めるものとする。

(2)このガイドラインの実施細目は,まちづくり政策局長が定める。

附則
このガイドラインは,平成15年5月14日より実施する。
附則
このガイドラインは,平成17年4月1日より実施する。
附則
この改正については,平成18年4月1日より実施する。
附則
この改正は,平成18年12月1日から実施し,平成18年12月1日以降における外部委託審査会で審査する外部委託業務に適用する。
附則
この改正については,平成23年5月1日より実施する。
附則
この改正については,平成26年4月1日より実施する。
附則
この改正については,平成26年12月1日より実施する。

附則
この改正については,平成29年1月1日から実施する。ただし,平成29年3月31日までに契約を締結する外部委託業務については,なお従前の例による。
附則
この改正については,平成30年1月11日から実施する。ただし,平成30年3月31日までに契約を締結する外部委託業務については,なお従前の例による。
附則
この改正については,平成31年1月11日から実施する。ただし,平成31年3月31日までに契約を締結する外部委託業務については,なお従前の例による。
附則
この改正については,平成31年4月1日から実施する。
附則
この改正については,令和2年2月20日から実施する。ただし,令和2年3月31日までに契約を締結する外部委託業務については,なお従前の例による。
附則
この改正については,令和3年4月1日から実施する。
附則
この改正については,令和4年4月1日から実施する。
附則
この改正については,令和5年4月1日から実施する。ただし,令和5年3月31日までに契約を締結する外部委託業務については,なお従前の例による。