Comments
Description
Transcript
(諮問第 147 号説明資料) 子育てモバイルシステムによる
(諮問第 147 号説明資料) 子育てモバイルシステムによるサービス提供業務を委託すること及び同システムで 受託者が個人情報をコンピュータ処理することについて 1 諮問内容 予防接種法により接種が義務づけられる定期接種をはじめ、区が独自に公費を助 成し促進する予防接種等、近年、小児を対象とした予防接種が多様化している。 これらの小児にかかる予防接種を、スマートフォン、携帯電話、パソコン等で、 接種歴、接種スケジュール等を管理できる子育てモバイルシステム(以下「本件シ ステム」という。)を区民の利用に供する。 本システムは ASP サービスを利用するものであり、その提供事業者と委託契約を 締結する。当該事業者(以下「受託者」という。)は、区民に提供される Web アプリ ケーション(以下「本件アプリ」という。)から収集する区民の個人情報(電子メー ルアドレス等)を管理し、予防接種等のお知らせメール配信等を行うこととなる。 これらは、個人情報を取り扱う業務の処理の委託及び受託者による個人情報のコ ンピュータ処理に該当するため、審議会の意見を聴く。 2 諮問理由 個人情報を取り扱う業務の処理の委託及び受託者による個人情報のコンピュータ 処理は、千代田区個人情報保護条例(平成 10 年千代田区条例第 43 号)第 34 条の2 第3項及び第 34 条第1項により準用する第 17 条第1項の規定に該当する。 3 外部委託の必要性 ・ 近年、小児を対象とする予防接種が多様化し、保護者にとってはそのスケジュー ル管理が煩雑化し、負担となっている。日々、病気等により予防接種を延期した子 の保護者等から多数の確認・相談の電話を受けている。 ・ 本件アプリの提供により、保護者は、時間、場所を問わず、子の予防接種スケジ ュールを確認することができ、区民サービス及び接種率を向上させることができる。 4 外部委託する業務の内容(概要) (1)区が提供する予防接種等の情報を基に、区民がアプリを利用して 24 時間 365 日 でサービスを利用できるよう本件システムを運用する。 (2)サービスの利用登録を希望する区民に対し、ログイン用のアカウントを発行す る。 (3)利用登録した区民(以下「利用者」という。)の登録情報を管理する。 (4)全ての利用者に対し、予防接種の接種スケジュールを作成し、提供する。 (5)希望する利用者に対し、予防接種・健診メール、区からのお知らせ等の一斉メ ールを送信する。 1 (6)予防接種法改正時に予防接種スケジュールシステムの改正を行う。 (7)利用者からの本件アプリの操作などに対する問合せに対応する。 (8)本件システムのメンテナンス、アップグレードに対応する。 (9)流行ウイルス情報の記事を更新する。 5 受託者によるコンピュータ処理の内容、業務の流れ 【削除】 ① 区民は、自宅等からインターネットで本件アプリに接続し、利用許諾に同意した 上で、ユーザー登録をする。 ② 利用者は、専用 URL のホームページからログイン ID、パスワードを入力し、シス テムログインし、サービス(予防接種等)を利用する。 電子メールによる案内通知を希望する利用者には、電子メールでお知らせメール を配信する。 2 6 ・ ・ ・ ・ ・ ・ ・ 委託業務で取り扱う個人情報 親又は子のハンドルネーム(ニックネーム) 子の誕生日 子の性別 郵便番号 メールアドレス(予防接種・健診等のお知らせメールを利用する場合のみ) 子の各予防接種の接種状況 操作方法等の問い合わせ内容 7 個人情報のリスク及びその対策 (1)情報管理体制に問題ある事業者を選定することにより、個人情報が漏えいする リスク (対策) ア 本件システムのサーバを設置するデータセンターは、ISMS 認証及びプライバ シーマークの認定を受けている事業者のものとする。 イ 受託者には、個人情報の保護に関する内部規程及び個人情報の保護に関する誓 約書を提出させる。 ウ 受託者には、あらかじめ本件業務に従事する者(以下「従事者」という。)の 名簿を提出させ、名簿掲載者以外の業務従事を認めない。(従事者に変更があっ た場合も同様とする。) エ 本件業務は、受託者の社員が行うものとし、派遣労働者及びアルバイトの従事 者としての使用を認めない。 (2)従事者における法令等や契約内容の不知により、個人情報が漏えいするリスク (対策) ア 受託者に対し、従事者を対象とした個人情報保護に関する研修の実施を義務づ ける。 イ 受託者に対し、全ての従事者に個人情報保護に関する誓約書を提出するよう求 め、その誓約書の写しを区に提出させる。(誓約書は一部を手書きとする。) ウ 従事者中に責任者を定めさせ、従事者に対し、法令等や契約の遵守を周知させ、 従事者を監督させる。 (3)受託者のサーバー等の破壊、不正侵入、ウィルス感染等により個人情報が漏え いするリスク (対策) ア 本システムのサーバーは、次の設備を備えたデータセンター内に設置している。 ・ 24 時間 365 日の有人監視 ・ 監視カメラ 3 ・ ID カード等による入退室管理 ・ ファイアウォール(インターネットからの不正侵入の遮断) 等 イ インターネットからの不正侵入を防ぐため、【削除】の対策を行っている。 ウ ウイルス対策ソフトを導入している。 (4)従事者による個人情報の不正利用、不正な持ち出し、システムの不正操作等に より、個人情報が漏えいするリスク (対策) ア (再掲)受託者に対し、全ての従事者に個人情報保護に関する誓約書を提出す るよう求め、その誓約書の写しを区に提出させる。(誓約書は罰則に関する事項 等の一部を手書きとする。) イ 区の事前の承諾のない個人情報の目的外利用、個人情報の外部提供及び個人情 報ファイルの複写を禁止する。 ウ 本件業務において処理する個人情報は、あらかじめ届出させる業務スペース以 外への持ち出しを禁止する。(本件業務においては、メール配信を希望した利用 者にお知らせメールを送信する以外、サーバー外に個人情報を持ち出したり、文 書に出力することはない。) (5)利用者端末からサーバーに通信する際に第三者が盗用又は覗き見し、漏えいす るリスク (対策) 利用者(区を含む。)とサーバー間、受託者とサーバー間のの個人情報関連の 通信時には、SSL による暗号化を行い、送受信するデータを保護する。 (6)サーバーの障害等により、業務が継続できなくなるリスク (対策) データバックアップは、日時で実行し、障害発生時には前日復旧を行う。 (7)受託者の再委託先から個人情報が漏えいするリスク (対策) 本件業務契約においては、個人情報を取り扱う業務の処理の再委託を禁止する。 (8)契約期間満了後も受託者が継続して個人情報を保有することによる漏えい等の リスク (対策) ア (再掲)本件業務において処理する個人情報は、あらかじめ届出させる業務ス ペース外への持ち出しを禁止する。 4 イ 契約期間満了時に、受託者に対し、本件業務に関する個人情報を一切保有して いないことを証する誓約書の提出を求める。 (9)個人情報の漏えい事故が発生した場合の被害拡大のリスク (対策) ア 個人情報の漏えい事故が発生した場合に備え、区その他の関係者との連絡、証 拠保全、被害拡大の防止、復旧及び再発防止の措置を迅速かつ適切に実施するた めの緊急時対応計画を定めさせる。(緊急時対応計画は、震災時、労働争議等に おける対応も含めたものとする。) イ 個人情報に関する事故が発生した場合は、直ちに区に報告し、区の指示に従う ことを義務づける。 7 実施時期(予定) 平成 27 年9月 10 月 委託契約締結 サービス提供開始 5