経済産業省
20220330官第5号
個人情報の保護に関する法律
(平成15年法律第57号)
第66条第1項の規定に基づき、
及び同法を実施するため、経済産業省個人情報保護管理規程を次のように制定する。
令和4年4月1日
経済産業大臣 萩生田 光一
経済産業省個人情報保護管理規程
目次
第1章 総則
第1節 通則
第2節 保有個人情報等の管理体制等
第2章 個人情報等の管理
第1節 個人情報等の取得、利用等
第2節 個人情報等を保有する課等において行う安全確保の措置
第3節 システム管理課等において行う安全確保の措置
第3章 個人情報ファイル等の保有等に関する通知等
第4章 事故の報告及び再発防止措置
第5章 点検及び監査
第6章 独立行政法人等に対する指導及び助言
第7章 補則
第1章 総則
第1節 通則
(目的)
第1条 この規程は、経済産業省(特許庁を除く。以下同じ。
)の保有する個人情報等につい
て、その安全管理のために必要かつ適切な事項を定めることにより、経済産業省の事務及
�び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産
業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその
他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
(適用の範囲)
第2条 経済産業省の保有する個人情報等の取扱いは、個人情報の保護に関する法律(以下
「個人情報保護法」という。)、行政手続における特定の個人を識別するための番号の利用
等に関する法律(平成25年法律第27号。以下「番号法」という。)、その関係法令等及
びこの規程の定めるところによる。
(定義)
第3条 この規程において「個人情報」とは、生存する個人に関する情報であって、次のい
ずれかに該当するものをいう。
(1) 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的
記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識するこ
とができない方式をいう。次項(2)において同じ。
)で作られる記録をいう。以下
同じ。
)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表さ
れた一切の事項(個人識別符号を除く。
)をいう。以下同じ。
)により特定の個人を
識別することができるもの(他の情報と容易に照合することができ、それにより特
定の個人を識別することができることとなるものを含む。)(2) 個人識別符号が含まれるもの
2 この規程において「個人識別符号」とは、次のいずれかに該当する文字、番号、記号そ
の他の符号のうち、個人情報の保護に関する法律施行令(平成15年政令第507号)第
1条に規定するものをいう。
(1) 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、
番号、記号その他の符号であって、当該特定の個人を識別することができるもの
(2) 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当
てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方
式により記録された文字、番号、記号その他の符号であって、その利用者若しくは
購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載
され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受
ける者を識別することができるもの
3 この規程において「個人番号」とは、番号法第7条第1項又は第2項の規定により、住
民票コード(住民基本台帳法(昭和42年法律第81号)第7条第13号に規定する住民
票コードをいう。以下同じ。
)を変換して得られる番号であって、当該住民票コードが記載
された住民票に係る者を識別するために指定されるものをいう。
4 この規程において個人情報について「本人」とは、個人情報又は個人番号によって識別
される特定の個人をいう。
�5 この規程において「仮名加工情報」とは、次の(1)又は(2)に掲げる個人情報の区
分に応じて当該(1)又は(2)に定める措置を講じて他の情報と照合しない限り特定の
個人を識別することができないように個人情報を加工して得られる個人に関する情報をい
う。
(1) 第1項(1)に該当する個人情報 当該個人情報に含まれる記述等の一部を削除
すること(当該一部の記述等を復元することのできる規則性を有しない方法により
他の記述等に置き換えることを含む。)。
(2) 第1項(2)に該当する個人情報 当該個人情報に含まれる個人識別符号の全部
を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法
により他の記述等に置き換えることを含む。)。
6 この規程において「匿名加工情報」とは、次の(1)又は(2)に掲げる個人情報の区
分に応じて当該(1)又は(2)に定める措置を講じて特定の個人を識別することができ
ないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元
することができないようにしたものをいう。
(1) 第1項(1)に該当する個人情報 当該個人情報に含まれる記述等の一部を削除
すること(当該一部の記述等を復元することのできる規則性を有しない方法により
他の記述等に置き換えることを含む。)。
(2) 第1項(2)に該当する個人情報 当該個人情報に含まれる個人識別符号の全部
を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法
により他の記述等に置き換えることを含む。)。
7 この規程において「特定個人情報」とは、個人番号(個人番号に対応し、当該個人番号
に代わって用いられる番号、
記号その他の符号であって、
住民票コード以外のものを含む。)をその内容に含む個人情報をいう。
8 この規程において「保有個人情報」とは、経済産業省の職員(非常勤職員、臨時職員、
調査員、行政事務研修員及び派遣労働者(経済産業省と派遣労働契約を締結している者に
限る。
)等であって経済産業省の指揮命令に服している者を含む。以下同じ。
)が職務上作
成し、又は取得した個人情報、個人番号又は特定個人情報であって、職員が組織的に利用
するものとして、経済産業省が保有しているもの(経済産業省行政文書管理規則(平成2
3・04・01シ第4号)第3条(1)に規定する行政文書に記録されているものに限る。)をいう。
9 この規程において「個人情報ファイル」とは、保有個人情報(個人番号を含むものを除く。
以下この項及び第11項において同じ。)を含む情報の集合物であって、
次に掲げるものをいう。
(1) 一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索す
ることができるように体系的に構成したもの
(2) (1)に掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、そ
の他の記述等により特定の保有個人情報を容易に検索することができるように体系的に
構成したもの
10 この規程において「特定個人情報ファイル」とは、個人番号をその内容に含む個人情報
�ファイルをいう。
11 この規程において「行政機関等匿名加工情報」とは、次のいずれにも該当する個人情報
ファイルを構成する保有個人情報の全部又は一部(これらの一部に行政機関の保有する情
報の公開に関する法律(平成11年法律第42号。以下「行政機関情報公開法」という。)第5条に規定する不開示情報(同条第1号に掲げる情報を除き、同条第2号ただし書に規
定する情報を含む。
)が含まれているときは、これらの不開示情報に該当する部分を除く。)を加工して得られる匿名加工情報をいう。
(1) 個人情報保護法第75条第2項各号のいずれかに該当するもの又は同条第3項の
規定により同条第1項に規定する個人情報ファイル簿に掲載しないこととされるも
のでないこと。
(2) 行政機関情報公開法第3条に規定する行政機関の長に対し、当該個人情報ファイ
ルを構成する保有個人情報が記録されている行政文書の開示の請求(行政機関情報
公開法第3条の規定による開示の請求をいう。
)があったとしたならば、これらの者
が次のいずれかを行うこととなるものであること。
イ 当該行政文書に記録されている保有個人情報の全部又は一部を開示する旨の決定
をすること。
ロ 行政機関情報公開法第13条第1項又は第2項の規定により意見書の提出の機会
を与えること。
(3) 行政機関等の事務及び事業の適正かつ円滑な運営に支障のない範囲内で、個人情
報保護法第114条第1項の基準に従い、当該個人情報ファイルを構成する保有個
人情報を加工して匿名加工情報を作成することができるものであること。
12 この規程において「個人情報等」とは、個人情報、個人番号、特定個人情報、仮名加工
情報、匿名加工情報及び行政機関等匿名加工情報をいう。
13 この規程において「保有個人情報等」とは、保有個人情報及び行政機関等匿名加工情報
をいう。
14 この規程において「行政機関等匿名加工情報等」とは、行政機関等匿名加工情報、行
政機関等匿名加工情報の作成に用いた保有個人情報から削除した記述及び個人識別符号
(以下「削除情報」という。
)並びに個人情報保護法第114条第1項の規定により行っ
た保有個人情報の加工の方法に関する情報をいう。
15 この規程において「課等」とは、次に掲げるものをいう。
(1) 経済産業省組織令(平成12年政令第254号)に定める経済産業省本省の内部
部局に置かれる課、経済産業省組織規則(平成13年経済産業省令第1号)に定め
る産業保安監督部等(産業保安監督部及び那覇産業保安監督事務所をいう。
)に置か
れる課並びに産業保安監督署、経済産業省職制規程(平成13・01・06広第1
号)第7条第1項及び第8条第1項の規定に基づき課に準ずる組織として置かれる
室並びにこれらに準ずるものとして、経済産業省本省にあっては総括個人情報保護
管理者が定めるもの、施設等機関(経済産業省組織令に定める本省に置かれる施設
等機関をいう。)にあっては総括個人情報保護管理者の承認を得て当該施設等機関の
�長が定めるもの、経済産業局にあっては総括個人情報保護管理者の承認を得て各経
済産業局長が定めるもの及び産業保安監督部等にあっては総括個人情報保護管理者
の承認を得て産業保安監督部等の長が定めるもの
(2) 経済産業省組織令に定める資源エネルギー庁本庁の内部部局に置かれる課、資源
エネルギー庁職制規程(平成13・01・06資庁第1号)第6条第1項及び第7
条第1項の規定に基づき課に準ずる組織として置かれる室並びにこれらに準ずるも
のとして、総括個人情報保護管理者の承認を得て資源エネルギー庁長官が定めるもの(3) 経済産業省組織令に定める中小企業庁の内部部局に置かれる課及び中小企業庁職
制規程(平成13・01・06中庁第1号)第4条第1項及び第5条第1項の規定
に基づき課に準ずる組織として置かれる室並びにこれらに準ずるものとして総括個
人情報保護管理者の承認を得て中小企業庁長官が定めるもの
16 この規程において「システム管理課等」とは、別表の情報システム欄に掲げる情報シス
テムに応じ、同表の甲欄に掲げる課等をいう。
(職員の責務)
第4条 職員は、個人情報保護法及び番号法の趣旨にのっとり、関連する法令及び規程等の
定め並びに総括個人情報保護管理者、副総括個人情報保護管理者、個人情報保護管理者及
び副個人情報保護管理者の指示に従い、保有個人情報等を取り扱わなければならない。
2 職員は、番号法第19条各号のいずれかに該当する場合を除き、他人(自己と同一の世
帯に属する者以外の者をいう。以下同じ。
)に対し個人番号の提供を求め、又は他人の特定
個人情報を収集し若しくは保管してはならない。
3 職員は、違法若しくは不当な行為を助長し、若しくは誘発するおそれがある方法により
個人情報を利用してはならず、又は偽りその他不正の手段により個人情報を取得してはな
らない。
第2節 保有個人情報等の管理体制等
(総括個人情報保護管理者等)
第5条 経済産業省に、総括個人情報保護管理者1人を置き、官房長をもって充てる。
2 経済産業省に、副総括個人情報保護管理者1人を置き、大臣官房個人情報保護室長をも
って充てる。
3 各課等に、個人情報保護管理者1人を置き、各課等の長をもって充てる。
4 個人情報保護管理者は、あらかじめ、その所属する課等に属する職員のうちから、副個
人情報保護管理者を指名することができる。
5 経済産業省に、個人情報保護監査責任者1人を置き、大臣官房首席監察官をもって充て
る。
(総括個人情報保護管理者等の任務)
�第6条 総括個人情報保護管理者は、経済産業省における保有個人情報等の管理に関する事
務を総括する。
2 副総括個人情報保護管理者は、総括個人情報保護管理者の命を受けて、総括個人情報保
護管理者を補佐する。
3 個人情報保護管理者は、各課等における保有個人情報等の適切な管理を確保する任に当
たる。個人情報保護管理者は、保有個人情報等を情報システムで取り扱う場合は、当該情
報システムのシステム管理課等の長と連携してその任に当たる。
4 副個人情報保護管理者は、個人情報保護管理者の命を受けて、個人情報保護管理者を補
佐する。
5 個人情報保護監査責任者は、
保有個人情報等の管理の状況について監査する任に当たる。
(保有個人情報等の適切な管理のための連絡及び調整)
第7条 総括個人情報保護管理者は、経済産業省の保有個人情報等の管理に係る重要事項の
決定のためその他必要があると認めるときは、経済産業省における大臣官房政策調整官会
議(会議体に関する規程(平成13・01・06広第3号)第3条に規定する大臣官房政
策調整官会議をいう。
)等において、関連部署との連絡及び調整を行う。
(教育研修)
第8条 総括個人情報保護管理者は、保有個人情報等の取扱いに従事する職員に対し、保有
個人情報等の取扱いについて理解を深め、個人情報、個人番号、特定個人情報の保護及び
行政機関等匿名加工情報等の適切な管理に関する意識の高揚を図るための啓発その他必要
な教育研修を行う。
2 総括個人情報保護管理者は、保有個人情報等を取り扱う情報システムの管理に関する事
務に従事する職員に対し、保有個人情報等の適切な管理のために、情報システムの管理、
運用及びセキュリティ対策に関して必要な教育研修を行う。
3 総括個人情報保護管理者は、個人情報保護管理者又は副個人情報保護管理者に対し、各
課等の現場における保有個人情報等の適切な管理を確保するために必要な教育研修を行う。
4 個人情報保護管理者は、その所属する課等の職員に対し、保有個人情報等の適切な管理
のために、総括個人情報保護管理者の実施する教育研修への参加の機会を付与する等の必
要な措置を講ずる。
第2章 個人情報等の管理
第1節 個人情報等の取得、利用等
(個人情報の保有の制限等)
第9条 課等は、個人情報を保有するに当たっては、法令の定める所掌事務又は業務を遂行
するため必要な場合に限り、かつ、その利用の目的(以下「利用目的」という。
)をできる
限り特定しなければならない。
2 課等は、前項の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報
�を保有してはならない。
3 課等は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合
理的に認められる範囲を超えて行ってはならない。
(利用目的の明示)
第10条 課等は、本人から直接書面(電磁的記録を含む。)に記録された当該本人の個人
情報を取得するときは、次に掲げる場合を除き、あらかじめ、本人に対し、その利用目的
を明示しなければならない。
(1) 人の生命、身体又は財産の保護のために緊急に必要があるとき。
(2) 利用目的を本人に明示することにより、本人又は第三者の生命、身体、財産その
他の権利利益を害するおそれがあるとき。
(3) 利用目的を本人に明示することにより、国の機関、独立行政法人等(独立行政法
人通則法(平成11年法律第103号)第2条第1項に規定する独立行政法人及び
個人情報保護法別表第1に掲げる法人をいう。第44条において同じ。)、地方公共
団体又は地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第
2条第1項に規定する地方独立行政法人をいう。)が行う事務又は事業の適正な遂行
に支障を及ぼすおそれがあるとき。
(4) 取得の状況からみて利用目的が明らかであると認められるとき。
(利用目的以外の目的のための利用及び提供の制限)
第11条 個人情報保護管理者は、
個人情報保護法第69条第1項又は第2項の規定により、
保有個人情報を利用目的以外の目的のために自ら利用し、又は提供しようとする場合は、
原則として、あらかじめ、副総括個人情報保護管理者に通知しなければならない。
2 個人情報保護管理者は、個人情報保護法第71条第1項の規定により、保有個人情報を
外国にある第三者に利用目的以外の目的のために提供しようとする場合は、原則として、
あらかじめ、副総括個人情報保護管理者に通知しなければならない。
3 個人情報保護管理者は、個人情報保護法第107条第2項の規定により、行政機関等匿
名加工情報を法令に基づく場合等に提供しようとする場合は、原則として、あらかじめ、
副総括個人情報保護管理者に通知しなければならない。
4 個人情報保護管理者は、個人情報保護法第107条第3項の規定により、削除情報(保
有個人情報に該当するものに限る。)を利用目的以外の目的のために自ら利用し、又は提
供しようとする場合は、原則として、あらかじめ、副総括個人情報保護管理者に通知しな
ければならない。
(保有個人情報を提供する場合の措置)
第12条 個人情報保護管理者は、個人情報保護法第69条第1項又は第2項第2号から第
4号までの規定により保有個人情報を提供しようとする場合は、当該保有個人情報の提供
を受ける者に対し、原則として、その利用しようとする保有個人情報に関する次に掲げる
�事項について、書面で確認するものとする。
(1) 記録範囲及び記録項目
(2) 利用の目的
(3) 利用の形態
(4) その他必要と認める事項
2 個人情報保護管理者は、前項の場合において必要があると認めるときは、同項の規定に
より確認した利用の形態等について実地の調査等を行い、又は改善を要求する等必要な措
置を講ずるものとする。
3 保有個人情報を提供する場合には、漏えい等による被害発生のリスクを低減する観点か
ら、提供先の利用目的、保有個人情報の秘匿性等その内容などを考慮し、必要に応じ、氏
名を番号に置き換える等の匿名化措置を講ずるものとする。
(行政機関等匿名加工情報等の提供)
第13条 個人情報保護管理者は、個人情報保護法第113条(個人情報保護法第116条
第2項において準用する場合を含む。
)の規定により、行政機関等匿名加工情報の利用に関
する契約を締結した者(以下「契約相手方」という。
)から個人情報保護法第110条第2
項第7号の規定に基づき当該契約相手方が講じた行政機関等匿名加工情報の適切な管理に
支障を及ぼすおそれがある旨の報告を受けたときは、直ちに総括個人情報保護管理者及び
副総括個人情報保護管理者に報告するとともに、当該契約相手方がその是正のために講じ
た措置を確認しなければならない。
2 個人情報保護管理者は、個人情報保護法第118条に基づき、前項の契約を解除しよう
とするとき及び解除したときは、直ちに総括個人情報保護管理者及び副総括個人情報保護
管理者に報告しなければならない。
3 副総括個人情報保護管理者は、前2項の報告を受けたときは、直ちに個人情報保護委員
会に報告するものとする。
(業務を外部に委託をする場合の措置)
第14条 個人情報等の取扱いに係る業務又は行政機関等匿名加工情報の作成に係る業務を
外部に委託(請負契約のための発注を含む。以下この条において同じ。
)をする者は、個人
情報等の適切な管理を行う能力を有すると認める者と契約しなければならない。
2 委託に関する契約書には、次に掲げる事項を記載するものとする。
(1) 個人情報等に関する秘密保持、目的外利用の禁止等の義務
(2) 再委託(再委託先が委託先の子会社(会社法(平成17年法律第86号)第2条
第1項第3号に規定する子会社をいう。
)である場合も含む。以下、同じ。
)の制限
又は事前承認等再委託に係る条件に関する事項
(3) 個人情報等の複製等の制限に関する事項
(4) 個人情報等の安全管理に関する事項
(5) 個人情報等の漏えい等の事態の発生時における対応に関する事項
�(6) 個人情報等の管理の状況についての調査に関する事項
(7) 委託終了時における個人情報等の消去及び記録された媒体の返却に関する事項
(8) 違反した場合における契約解除の措置、損害賠償責任その他必要な事項
(9) 契約内容の遵守状況についての定期的報告に関する事項及び委託先における委託
された個人情報等の取扱状況を把握するための監査等に関する事項(再委託先の監
査等に関する事項を含む。)3 保有個人情報等の取扱いに係る業務又は行政機関等匿名加工情報の作成に係る業務を外
部に委託をする者は、契約を締結した後、委託先における責任者及び業務従事者の管理体
制及び実施体制、個人情報等の管理の状況についての検査に関する事項等の必要な事項に
ついて書面で確認しなければならない。
4 第16条第1項の規定により個人情報保護管理者が管理A又は管理Bとして管理する保
有個人情報等の取扱いに係る業務又は行政機関等匿名加工情報の作成に係る業務を外部に
委託をする者は、委託先における管理体制及び実施体制や個人情報等の管理の状況につい
て、少なくとも年1回以上確認しなければならない。この場合において、特段の必要があ
ると認めるときは、実地検査により確認するものとする。
5 委託先が保有個人情報等の取扱いに係る業務を外部に再委託をする場合(二以上の段階
にわたる委託を含む。
)には、第2項の契約書には、再委託先に係る同項(1)から(9)
までに掲げる事項を記載するとともに、再委託をする業務に係る保有個人情報等の秘匿性
等その内容に応じて、委託先を通じて又は委託元自らが前項に規定する確認を実施しなけ
ればならない。
6 保有個人情報等の取扱いに係る業務を外部に委託をする場合には、漏えい等による被害
発生のリスクを低減する観点から、委託をする業務の内容、保有個人情報等の秘匿性等を
考慮し、必要に応じ、氏名の番号への置換えその他の匿名化措置を講ずるものとする。
(派遣労働者の派遣を受ける場合の措置)
第15条 保有個人情報等の取扱いに係る業務又は行政機関等匿名加工情報の作成に係る業
務を派遣労働者に行わせる者は、労働者派遣契約書に秘密保持義務等個人情報等の取扱い
に関する事項を明記するものとする。
第2節 個人情報等を保有する課等において行う安全確保の措置
(保有個人情報等の管理区分)
第16条 個人情報保護管理者は、保有個人情報等の漏えい、滅失又は毀損の防止その他の
保有個人情報等の適切な管理のために、個人識別の容易性(匿名化の程度等)
、要配慮個人
情報の有無、漏えい等が発生した場合に生じ得る被害の性質・程度などを考慮し、次の表
の左欄に掲げる区分に応じ、同表の右欄に掲げる管理区分に管理するものとする。
秘匿性を有し、漏えいした場合、重大な支障が生じるおそれがある
ため、厳重に管理することが適当と判断される保有個人情報等
管理A
�管理Aに区分されるもの以外の保有個人情報等であって、本人の数
が千人以上のもの及びこれに準ずる管理が適当と判断されるもの
管理B
管理A又は管理Bに区分されるもの以外の保有個人情報等 管理C
2 個人情報保護管理者は、保有個人情報等について、前項の管理区分に応じて、経済産業
省個人情報保護管理マニュアル(以下「マニュアル」という。
)で定める保有個人情報等の
取扱方法に準拠し、次に掲げる事項を定めるものとする。
(1) 保有個人情報等のアクセス制限に関すること。
(2) 保有個人情報等の暗号化に関すること。
(3) 保有個人情報等の複製等の制限に関すること。
(4) 保有個人情報等が記録された媒体の保管等に関すること。
(5) 保有個人情報等の廃棄等に関すること。
(6) 保有個人情報等のバックアップに関すること。
(7) 保有個人情報等の誤送付等の防止に関すること。
(8) 保有個人情報等が外国において取り扱われる場合の外的環境の把握に関すること。
3 個人情報保護管理者は、前項の規定により定めた保有個人情報等の取扱方法について、
必要があると認めるときは、その見直し等を行うものとする。
(アクセス制限)
第17条 個人情報等を保有する課等の職員(以下この節において「課員」という。
)は、前
条第2項の規定により個人情報保護管理者が定めた方法に従い、保有個人情報等のアクセ
ス制限を行わなければならない。
2 課員は、アクセス権限を有しない保有個人情報等にアクセスしてはならない。
3 課員は、アクセス権限を有する保有個人情報等であっても、業務上の目的以外の目的で
これにアクセスしてはならない。
(暗号化)
第18条 課員は、次に掲げる行為については、第16条第2項の規定により個人情報保護
管理者が定めた方法に従い、保有個人情報等(情報システムに係るものに限る。
)の暗号化
を行わなければならない。
(1) 保有個人情報等の共有ドライブ(当該保有個人情報等に係るアクセス権限を有す
る課員のみがアクセスすることが可能な共有ドライブを除く。
)への保存
(2) 保有個人情報等の外部電磁的記録媒体(電磁的記録を記録する媒体であって、電
子計算機や通信回線装置に内蔵されるもの(内蔵電磁的記録媒体)以外の電磁的記
録媒体をいう。
)等への記録
(3) 保有個人情報等が記録されている外部電磁的記録媒体等の外部への持出し
(4) その他保有個人情報等の適切な管理に支障を及ぼすおそれのある行為
�(複製等の制限)
第19条 課員は、次に掲げる行為については、第16条第2項の規定により個人情報保護
管理者が定めた方法によりこれを行わなければならない。
(1) 保有個人情報等の複製
(2) 保有個人情報等の送信
(3) 保有個人情報等(情報システムに係るものに限る。
)の外部電磁的記録媒体等への
記録
(4) 保有個人情報等が記録されている媒体の外部への送付又は持ち出し
(5) その他保有個人情報等の適切な管理に支障を及ぼすおそれのある行為
(媒体の保管等)
第20条 課員は、第16条第2項の規定により個人情報保護管理者が定めた方法に従い、
保有個人情報等が記録されている媒体を保管しなければならない。
2 課員は、保有個人情報等が記録された電磁的記録又は媒体の誤送信、誤送付、誤交付又
はウェブサイト等への誤掲載を防止するため、個別の事務又は事業において取り扱う保有
個人情報等の秘匿性等に応じ、複数の職員による確認、チェックリストの活用その他の必
要な措置を講じなければならない。
3 課員は、保有個人情報等が外国において取り扱われる場合には、当該外国の個人情報の
保護に関する制度等を把握した上で、保有個人情報等の安全管理のために必要かつ適切な
管理のための措置を講じなければならない。
(廃棄等)
第21条 課員は、保有個人情報等又は保有個人情報等が記録されている媒体(端末及びサ
ーバ内に内蔵されているものを含む。
)が不要となった場合には、第16条第2項の規定に
より個人情報保護管理者が定めた方法に従い、当該保有個人情報等の確実な消去又は当該
媒体の廃棄を行わなければならない。
(バックアップ)
第22条 課員は、第16条第2項の規定により個人情報保護管理者が定めた方法により、
保有個人情報等(情報システムに係るものに限る。第25条及び第26条において同じ。)のバックアップを行わなければならない。
(誤り等の訂正等)
第23条 課員は、保有個人情報等の内容に誤り等を発見した場合には、当該誤り等が明ら
かに軽微であると認められる場合を除き、個人情報保護管理者の指示に従い、当該誤り等
の訂正等を行わなければならない。
�(第三者の閲覧防止)
第24条 課員は、端末の使用に当たっては、保有個人情報等が第三者に閲覧されることが
ないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な
措置を講じなければならない。
(アクセス記録)
第25条 個人情報保護管理者は、保有個人情報等の漏えい、滅失、毀損その他の保有個人
情報等の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものと
して個人情報保護委員会規則が定めるものが生じた又はそのおそれがあると認めるとき
は、必要に応じて当該保有個人情報等への不適切なアクセスの監視やアクセス状況を定期
的に分析する等の措置を講じなければならない。
(情報システム設計書等の管理)
第26条 保有個人情報等に係る情報システムの設計書及び構成図等の文書を保有している
課等の長は、当該文書について外部に知られることがないよう、その保管、複製等及び廃
棄について必要な措置を講じなければならない。
第3節 システム管理課等において行う安全確保の措置
(アクセス制御の措置)
第27条 システム管理課等の長は、保有個人情報等に係る情報システムについて、第16
条第1項の管理区分に応じてマニュアルで定める保有個人情報等の取扱方法に従い、パス
ワード等を使用して権限を識別する機能を設定するなど、アクセス制御のために必要な措
置を講じなければならない。
(アクセス記録の措置)
第28条 システム管理課等の長は、個人情報保護管理者から申請があった場合には、保有
個人情報等への不適切なアクセスの監視、アクセス状況の記録、その記録の一定期間の保
存、及び分析するために必要な措置を講じなければならない。
2 システム管理課等の長は、アクセス記録の改ざん、窃取又は不正な消去の防止のために
必要な措置を講じなければならない。
(暗号化の措置)
第29条 システム管理課等の長は、保有個人情報等に係る情報システムについて、第16
条第1項の管理区分に応じてマニュアルで定める保有個人情報等の取扱方法に従い、暗号
化のために必要な措置を講じなければならない。
(バックアップの措置)
第30条 システム管理課等の長は、保有個人情報等について、第16条第1項の管理区分
�に応じてマニュアルで定める保有個人情報等の取扱い方法に従い、バックアップを行うた
めの必要な措置を講じなければならない。
(外部からの不正アクセスの防止)
第31条 システム管理課等の長は、保有個人情報等に係る情報システムへの外部からの不
正アクセスを防止するため、ファイアウォールの設定等の必要な措置を講じなければなら
ない。
(管理者権限の措置等)
第32条 システム管理課等の長は、保有個人情報等に係る情報システムについて、管理者
権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため、
当該特権を最小限とする等の必要な措置を講じなければならない。
2 システム管理課等の長は、不正プログラムによる保有個人情報等(情報システムに係る
ものに限る。
)の漏えい、滅失又は毀損の防止のため、ソフトウェアに関する公開された脆
弱性の解消、把握された不正プログラムの感染防止等に必要な措置(導入したソフトウェ
アを常に最新の状態に保つことを含む。
)を講じなければならない。
(管理区域の立入り等)
第33条 機器管理課等(別表の情報システム欄に掲げる情報システムに応じ、同表の乙欄
に掲げる課等をいう。以下この条及び次条において同じ。
)の長は、保有個人情報等を取り
扱う基幹的なサーバ等の機器を設置する区域(以下この条及び次条において「管理区域」
という。
)に立ち入ることのできる権限を有する者を定めるとともに、用件の確認、立入り
の記録、部外者についての識別化、部外者が立ち入る場合の職員の立会い又は監視設備に
よる監視、外部電磁的記録媒体等の持込み、利用及び持ち出しの制限又は検査等の措置を
講じなければならない。
2 機器管理課等の長は、必要があると認めるときは、管理区域の出入口の特定化及び所在
表示の制限等の措置を講じなければならない。
3 機器管理課等の長は、管理区域の立入りの管理について、必要があると認めるときは、
立入りに係る認証機能を設定するとともに、認証カード等の取扱いに関する定めの整備及
びその定期又は随時の見直し等の措置を講じなければならない。
(管理区域に関する措置)
第34条 機器管理課等の長は、外部からの不正な侵入に備え、管理区域に施錠装置、警報
装置及び監視設備を設置する等必要な措置を講じなければならない。
2 機器管理課等の長は、災害等に備え、管理区域に、耐震、防火等の必要な措置を講ずる
とともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の措置を講じなければな
らない。
�第3章 個人情報ファイル等の保有等に関する通知等
(個人情報ファイル等の保有等に関する通知)
第35条 個人情報ファイル(個人情報保護法第74条第2項第1号から第11号までに掲
げるものを除く。
)を保有しようとする個人情報保護管理者は、あらかじめ、マニュアルで
定める事項を副総括個人情報保護管理者に通知しなければならない。通知した事項を変更
しようとするときも、同様とする。
2 個人情報保護管理者は、管理A及び管理Bに区分される保有個人情報(個人情報保護法
第74条第2項第1号から第9号まで及び第11号に掲げるもの並びに前項の規定により
通知を行ったものを除く。
)を保有したときは、遅滞なく、マニュアルで定める事項を副総
括個人情報保護管理者に通知しなければならない。通知した事項を変更したときも、同様
とする。
3 個人番号、特定個人情報又は特定個人情報ファイルを保有しようとする個人情報保護管
理者は、あらかじめ、マニュアルで定める事項を副総括個人情報保護管理者に通知しなけ
ればならない。通知した事項を変更しようとするときも、同様とする。
(行政機関等匿名加工情報等の保有等に関する通知)
第36条 行政機関等匿名加工情報等を作成した個人情報保護管理者は、マニュアルで定め
る事項を副総括個人情報保護管理者に通知しなければならない。通知した事項を変更しよ
うとするときも、同様とする。
(個人情報ファイル簿の整備)
第37条 総括個人情報保護管理者は、個人情報保護法第75条、第108条及び第115
条の規定に従い、経済産業省の個人情報ファイル簿を整備しなければならない。
2 総括個人情報保護管理者は、個人情報ファイル簿の整備に当たっては、秘密保全の必要
について十分留意するものとする。
3 個人情報ファイル簿は、整備上必要な場合を除き、閲覧所に備え置き、一般の閲覧に供
するものとする。
(保有個人情報等の取扱いの状況の記録)
第38条 副総括個人情報保護管理者は、第35条及び第36条の規定により通知を受けた
保有個人情報等について、台帳を整備し、当該保有個人情報等の利用及び保管等の取扱い
について記録しなければならない。
第4章 事故の報告及び再発防止措置
(事故の報告)
第39条 保有個人情報の漏えい、滅失、毀損その他の保有個人情報の安全の確保に係る事
態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則が
定めるものが生じた又はそのおそれがあることを知った職員は、直ちに、当該保有個人情
�報を管理する個人情報保護管理者にその旨を報告しなければならない。
2 個人情報保護管理者は、前項の規定により職員から報告を受けたときは、速やかに、副
総括個人情報保護管理者に報告するとともに、被害の拡大防止又は復旧等のために必要な
措置を講じなければならない。ただし、外部からの不正アクセスや不正プログラムの感染
が疑われる事態については、被害の拡大防止のために必要な措置を直ちに講じなければな
らない。
3 個人情報保護管理者は、前項の措置を講じた後速やかに、当該事態が発生した経緯、被
害状況等を調査し、その調査結果を総括個人情報保護管理者及び副総括個人情報保護管理
者に報告しなければならない。ただし、軽易な事態としてマニュアルで定めるものについ
ては、総括個人情報保護管理者への報告は要しない。
4 個人情報保護管理者は、前項の規定により報告した後、当該事態の内容や影響等に応じ
て、当該事態が生じた旨並びに当該事態の内容、経緯及び被害状況を公表するとともに、
本人に対し、当該内容を通知しなければならない。
5 副総括個人情報保護管理者は、第3項の報告を受けたときは、速やかに当該事態が生じ
た旨並びに当該事態の内容、経緯及び被害状況を個人情報保護委員会に報告しなければな
らない。
6 副総括個人情報保護管理者は、保有個人情報のうち特定個人情報について、漏えい事態
その他の番号法違反の事態又は番号法違反のおそれのある事態が発覚した場合は、
「特定個
人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規
則」
(特定個人情報保護委員会)及び「特定個人情報の適正な取扱いに関するガイドライン
(行政機関等・地方公共団体等編)」(個人情報保護委員会)のうち「
(別添2)特定個人情
報の漏えい等に関する報告等(行政機関等・地方公共団体等編)
」に従って、個人情報保護
委員会に報告しなければならない。
7 副総括個人情報保護管理者は、第3項の報告を受けた場合及び第4項の措置が講じられ
た場合において、当該事態が行政機関等匿名加工情報等に係るものであったときは、直ち
に個人情報保護委員会に報告しなければならない。
(再発防止措置)
第40条 個人情報保護管理者は、保有個人情報の漏えい、滅失、毀損その他の保有個人情
報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個
人情報保護委員会規則が定めるものが生じた場合には、前条第3項の調査結果に基づき、
当該事態の発生した原因を分析し、
再発防止のために必要な措置を講じなければならない。
2 個人情報保護管理者は、事態の内容、影響等に応じて、前項の規定により講じた措置を
公表しなければならない。
3 副総括個人情報保護管理者は、第1項の措置が講じられた場合において、当該事態が行
政機関等匿名加工情報等に係るものであったときは、直ちに個人情報保護委員会に報告す
るものとする。
�第5章 点検及び監査
(点検)
第41条 個人情報保護管理者は、各課等における保有個人情報等の管理及び利用の状況に
ついて、毎年及び必要に応じ随時に点検を行い、その結果を副総括個人情報保護管理者に
報告するものとする。
2 副総括個人情報保護管理者は、必要があると認めるときは、前項の点検の結果を総括個
人情報保護管理者に報告するものとする。
(監査)
第42条 個人情報保護監査責任者は、
保有個人情報等の適切な管理について検証するため、
この規程で規定する措置の状況を含む保有個人情報等の管理及び利用の状況について、定
期に及び必要に応じ随時に監査(外部監査を含む。以下同じ。
)を行い、その結果を総括個
人情報保護管理者に報告するものとする。
2 個人情報保護監査責任者は、被監査部門から独立した者(次項において「監査事務実施
者」という。
)をもって、前項の監査に必要な事務を行わせることができる。
3 監査事務実施者は、前項の規定により監査を行った場合には、その結果を個人情報保護
監査責任者に報告するものとする。
(評価及び見直し)
第43条 副総括個人情報保護管理者は、点検又は監査の結果等を踏まえ、実効性等の観点
から保有個人情報等の適切な管理のための措置について評価し、必要があると認めるとき
は、その見直し等を行うものとする。
2 副総括個人情報保護管理者は、前項の見直し等の結果を総括個人情報保護管理者に報告
するものとする。
第6章 独立行政法人等に対する指導及び助言
(独立行政法人等に対する指導及び助言)
第44条 独立行政法人等を所管する課等の個人情報保護管理者は、当該独立行政法人等に
対し、その業務運営における自主性に配慮しつつ、当該独立行政法人等の保有する個人情
報等の保護に関して必要な指導及び助言を行うものとする。
第7章 補則
(個人番号等の管理等)
第45条 保有個人情報のうち、経済産業省が行う番号法第2条第11項に規定する個人番
号関係事務における個人番号又は特定個人情報に係る第2章の措置等については、次条の
規定に基づき副総括個人情報保護管理者が別に定めるものとする。
(細則等の策定)
�第46条 総括個人情報保護管理者又は副総括個人情報保護管理者は、この規程の実施に必
要な細則等を定めることができる。
附 則
(施行期日)
1 この規定は、令和4年4月1日から施行する。
(経済産業省個人情報保護管理規程の廃止)
2 経済産業省個人情報保護管理規程(平成17・03・03シ第1号)は、廃止する。
�別表
情報システム 甲 乙
1 経済産業省のネットワークに接
続された情報システム(2から8
までに掲げる情報システムを除
く。)大臣官房情報システム室大臣官房情報システム室2 専ら調査統計グループにおける
統計調査に関する事務の処理のた
めに使用される情報システムであ
って、経済産業省のネットワーク
に接続されたもの
大臣官房調査統計グル
ープ統計情報システム室大臣官房情報システム室3 専ら貿易保険に関する事務の処
理のために使用される情報システ
ムであって、経済産業省のネット
ワークに接続されたもの
貿易経済協力局通商金
融課
貿易経済協力局通商金
融課
4 専ら貿易管理に関する事務の処
理のために使用される情報システ
ムであって、経済産業省のネット
ワークに接続されたもの
貿易経済協力局貿易管
理課
大臣官房情報システム室5 公開するホームページの運用を
行うために使用される情報システ
ム、専ら電子申請の受付等に関す
る事務の処理のために使用される
情報システム、専ら電子入札に関
する事務の処理のために使用され
る情報システム、専ら経済産業省
の官職証明書発行等に関する事務
の処理のために使用される情報シ
ステムであって、経済産業省のネ
ットワークに接続されたもの
大臣官房情報システム室大臣官房情報システム室6 個別業務に関する事務のために
使用される情報システム(2から
5まで及び8に掲げる情報システ
ムを除く。
)であって、経済産業省
のネットワークに接続されたもの
当該個別業務を所掌す
る課等
大臣官房情報システム室�7 専ら地方経済産業局の業務に関
する事務のために使用される情報
システムであって、経済産業省の
ネットワークに接続されたもの
(8に掲げる情報システムを除
く。)北海道経済産業局総務
企画部総務課広報・情
報システム室
東北経済産業局総務企
画部総務課
関東経済産業局総務企
画部政策評価広報課
中部経済産業局総務企
画部総務課情報公開・
広報室
中部経済産業局電力・
ガス事業北陸支局総務
課北陸経済調査室
近畿経済産業局総務企
画部総務課広報・情報
システム室
中国経済産業局総務企
画部広報・情報システ
ム室
四国経済産業局総務企
画部総務課
九州経済産業局総務企
画部総務課広報・情報
システム室
北海道経済産業局総務
企画部総務課広報・情
報システム室
東北経済産業局総務企
画部総務課
関東経済産業局総務企
画部政策評価広報課
中部経済産業局総務企
画部総務課情報公開・
広報室
中部経済産業局電力・
ガス事業北陸支局総務
課北陸経済調査室
近畿経済産業局総務企
画部総務課広報・情報
システム室
中国経済産業局総務企
画部広報・情報システ
ム室
四国経済産業局総務企
画部総務課
九州経済産業局総務企
画部総務課広報・情報
システム室
8 個別業務に関する事務のために
使用される情報システム(7に掲
げる情報システムにおいて運用さ
れるものに限る。
)であって、経済
産業省のネットワークに接続され
たもの
当該個別業務を所掌す
る課等
北海道経済産業局総務
企画部総務課広報・情
報システム室
東北経済産業局総務企
画部総務課
関東経済産業局総務企
画部政策評価広報課
中部経済産業局総務企
画部総務課情報公開・
広報室
中部経済産業局電力・
ガス事業北陸支局総務
課北陸経済調査室
近畿経済産業局総務企
�画部総務課広報・情報
システム室
中国経済産業局総務企
画部広報・情報システ
ム室
四国経済産業局総務企
画部総務課
九州経済産業局総務企
画部総務課広報・情報
システム室
9 上記以外の情報システム 当該システムの管理課 当該システムの管理課
�