国立大学法人一橋大学個人情報保護規則(平成17年規則第38号)の全部を改正する。
第7章 個人情報の開示、訂正及び利用停止(第56条)
第14章 行政機関等との連携(第64条・第65条)
第1条 この規則は、国立大学法人一橋大学(以下「本学」という。)が保有する個人情報の適正な管理及び取扱いについて、必要な事項を定める。
2 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることに鑑み、その適正な取扱いが図られなければならない。
第3条 この規則において、「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
2 この規則において、「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、
政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
3 この規則において、「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして
政令で定める記述等が含まれる個人情報をいう。
4 この規則において、個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
5 この規則において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
一 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
6 この規則において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
7 この規則において、「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
8 この規則において、「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして
政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして
政令で定めるもの
9 この規則において、「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
10 この規則において、「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
11 この規則において、「個人関連情報データベース等」とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして
政令で定めるものをいう。
12 この規則において、「個人関連情報取扱事業者」とは、個人関連情報データベース等を事業の用に供している者で、第9項各号に掲げる者を除く。
14 この規則において、「個人情報ファイル」とは、保有個人情報を含む情報の集合物であって、次に掲げるものをいう。
一 一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの
15 この規則において、「行政機関等匿名加工情報」とは、次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報の全部又は一部(これらの一部に
独立行政法人等情報公開法第5条に規定する不開示情報(同条第1号に掲げる情報を除き、同条第2号ただし書に規定する情報を含む。)が含まれているときは、これらの不開示情報に該当する部分を除く。)を加工して得られる匿名加工情報をいう。
一 第62条第2項各号のいずれかに該当するもの又は同条第3項の規定により同条第1項に規定する個人情報ファイル簿に掲載しないこととされるものでないこと。
二 本学に対し、当該個人情報ファイルを構成する保有個人情報が記録されている法人文書の開示の請求(
独立行政法人等情報公開法第3条の規定による開示の請求をいう。)があったとしたならば、本学が次のいずれかを行うこととなるものであること。
イ 当該法人文書に記録されている保有個人情報の全部又は一部を開示する旨の決定をすること。
三 本学の事務及び事業の適正かつ円滑な運営に支障のない範囲内で、
法第114条第1項の基準に従い、当該個人情報ファイルを構成する保有個人情報を加工して匿名加工情報を作成することができるものであること。
16 この規則において、「行政機関等匿名加工情報ファイル」とは、行政機関等匿名加工情報を含む情報の集合物であって、次に掲げるものをいう。
一 特定の行政機関等匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の行政機関等匿名加工情報を容易に検索することができるように体系的に構成したものとして
政令で定めるもの
17 この規則において、「職員等」とは、本学の役員又は職員(派遣労働者を含む。)をいう。
18 この規則において、「管理区域」とは、個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを設置又は管理する区域をいう。
19 この規則において、「取扱区域」とは、個人データを取り扱う事務を実施する区域をいう。
20 この規則において、「部局」とは、各学部、各大学院研究科、大学院研究部・教育部、経済研究所、附属図書館、研究機構、社会科学高等研究院、森有礼高等教育国際流動化機構、情報基盤センター、社会科学古典資料センター、保健センター、学生支援センター及び事務局をいう。
21 この規則において、「部局長」とは、前項に規定する部局の長をいう。
22 この規則において、「漏えい等」とは、漏えい、滅失又は毀損をいう。
第4条 本学に、本学における個人データの管理に関する業務を総括させるため、総括責任者を置き、学長が指名する副学長をもって充てる。
第5条 総括責任者は、個人データの管理に関する業務を統括するとともに、本規則に定められた事項を理解し、遵守するとともに、保護責任者にこれを理解させ、遵守させるための教育訓練、安全対策の実施並びに周知徹底等の措置を実施する責任を負う。
2 総括責任者は、法令遵守の観点から、保護責任者に対して指導、助言する。
第6条 本学に、副総括責任者を置き、総務部総務課長をもって充てる。
2 副総括責任者は、前条に掲げる事務について総括責任者を補佐するものとする。
第7条 本学に、個人データの適切な管理のため、次の表のとおり、保護責任者及び保護担当者を置く。
|
|
|
個人データの種別 | 保護責任者 | 保護担当者 |
本学の教員が保有し、管理するもの | 当該教員が所属する部局の部局長 | 個人データを管理する当該教員 |
その他 | 左欄の個人データを保有し、管理する課、室及び事務部(以下「課等」という。)の長 | 保護責任者が指名する者 |
第8条 保護責任者は、部局又は課等(以下「部局等」という。)における個人データを適切に管理する任に当たり、個人データの適切な管理のために必要な措置を講じ、個人データの安全確保に努める責任を負う。
2 個人データを情報システムで取り扱う場合、保護責任者は、当該情報システムの管理者と連携して、その任に当たる。
3 保護責任者は、個人データを複数の部署で取り扱う場合の各部署の任務分担及び責任を明確化する。
4 保護責任者は、個人データの秘匿性等その内容に応じて、当該個人データを取り扱う権限を有する職員等の範囲と権限の内容を、当該職員等が業務を行う上で必要最小限の範囲に限るものとする。
第9条 保護担当者は、保護責任者を補佐し、当該部局等における個人データの管理に関する事務を担当する。
2 保護担当者は、個人データの取得、保管、利用、提供、開示、訂正、利用停止、廃棄、削除又は委託処理等、個人データを取り扱う業務に従事する際、法令等、本規則並びに総括責任者、副総括責任者及び保護責任者の指示した事項に従い、個人データの保護に十分な注意を払い、その業務に従事しなければならない。
3 保護担当者は、個人データの漏えい等、法令等及び本規則に違反している事実又は兆候を把握した場合、速やかに保護責任者に報告するものとする。
第10条 本学に、個人データの管理の状況について監査させるため、監査責任者を置き、学長が指名する副学長をもって充てる。
2 監査責任者は、第4条の総括責任者を兼ねることはできない。
第11条 総括責任者は、個人データの管理に係る重要事項の決定、連絡・調整等を行うため必要があると認めるときは、一橋大学情報公開・個人情報保護委員会に諮るものとする。
第12条 個人データの漏えい等の事案の発生又は兆候を把握した場合及び個人情報の取扱いに係る規律に違反している事実又は兆候を把握した場合等、安全確保の上で問題となる事案又は問題となる事案の発生のおそれを認識した職員等は、直ちに当該個人データを管理する保護責任者に報告しなければならない。
2 保護責任者は、前項の報告を受けた場合、被害の拡大防止又は復旧等のために必要な措置を速やかに講ずるものとする。ただし、外部からの不正アクセスや不正プログラムの感染が疑われる当該端末等のLANケーブルを抜くなど、被害拡大防止のため直ちに行い得る措置については、直ちに行う(当該部局等の職員等に行わせることを含む。)ものとする。
3 保護責任者は、発生した事案の経緯、被害状況等を調査し、総括責任者に報告するものとする。ただし、被害状況等から特に重大と認められる場合には、直ちに総括責任者に当該事案について報告しなければならない。
4 総括責任者は、前項の規定に基づく報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を学長に速やかに報告するものとする。
5 総括責任者は、事案の内容等に応じて、事案の内容、経緯、被害状況等について、個人情報保護委員会及び文部科学省に対し、速やかに報告を行う。
6 保護責任者は、事案の発生した原因を分析し、再発防止のために必要な措置を講じなければならない。
第13条 保護責任者は、本規則に基づく運用状況を確認するため、次の各号に定める項目について利用状況等を記録し、その記録を一定期間保存し、分析するための体制を整備するものとする。
二 個人データが記載又は記録された書類・媒体等の持ち運び等の状況
四 削除・廃棄を委託した場合、これを証明する記録等
五 個人情報データベース等を情報システムで取り扱う場合、職員等の情報システムの利用状況(ログイン実績、アクセスログ等)
第14条 保護責任者は、個人データの取扱状況を把握するため、
別記様式第1号の個人情報管理台帳を作成し、以下の事項を記録するものとする。なお、個人情報管理台帳には、個人データ自体は記載しないものとする。
第15条 監査責任者は、個人データの適切な管理を検証するため、本学における個人データの管理の状況について、定期に及び随時に監査(外部監査を含む。以下同じ。)を行い、その結果を総括責任者に報告するものとする。
第16条 保護責任者は、各部局等における個人データの記録媒体、処理経路、保管方法等について、定期に及び随時に点検を行い、必要があると認めるときは、その結果を総括責任者に報告するものとする。
第17条 総括責任者及び保護責任者は、監査又は点検の結果等を踏まえ、実効性等の観点から個人データの適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずるものとする。
第18条 総括責任者、副総括責任者及び保護責任者は、職員等に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該職員等に対する必要かつ適切な監督を行わなければならない。
第19条 総括責任者は、個人データを取り扱う職員等に対し、個人データの取扱いについて理解を深め、個人データの保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。
2 総括責任者は、個人データを取り扱う情報システムの管理に関する事務に従事する職員等に対し、個人データの適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行う。
3 保護責任者は、当該部局等の職員等に対し、個人データの適切な管理のために総括責任者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずるものとする。
4 個人データを取り扱う職員等は、総括責任者が主催する教育研修を受講するものとする。
第20条 職員等は、
法の趣旨に則り、法令等及び規則等の定め並びに総括責任者、副総括責任者、保護責任者及び保護担当者の指示に従い、個人データを取り扱わなければならない。
2 権限を有しない職員等は、個人データを取り扱ってはならない。
3 職員等は、取り扱う権限を有する場合であっても、業務上の目的以外の目的で個人データを取り扱ってはならない。
第21条 保護責任者は、管理区域及び取扱区域を明確にし、それぞれの区域に対し、物理的安全管理のための適切な措置を講じるものとする。
第22条 保護責任者は、管理区域に立ち入る権限を有する者を定めるとともに、用件の確認、入退の記録、部外者についての識別化、部外者が立ち入る場合の職員等の立会い又は監視設備による監視、外部電磁的記録媒体等の持込み、利用、持ち出しの制限又は検査等の措置を講ずるものとする。また、個人データを記録する媒体を保管するための施設(以下「保管施設」という。)を設けている場合においても、必要があると認めるときは、同様とする。
2 保護責任者は、必要があると認めるときは、管理区域の出入口の特定化による入退の管理の容易化、所在表示の制限等の措置を講ずるものとする。
3 保護責任者は、管理区域及び保管施設の入退の管理について、必要があると認めるときは、立入りに係る認証機能の設定、パスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。)及びパスワード等の読取防止等を行うために必要な措置を講ずるものとする。
第23条 保護責任者は、外部からの不正な侵入に備え、管理区域に施錠装置、警報装置、監視設備の設置等の措置を講ずるものとする。
2 保護責任者は、災害等に備え、管理区域に、耐震、防火、防煙、防水等の必要な措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の措置を講ずるものとする。
第24条 保護責任者は、取扱区域に可能な限り壁又は間仕切り等を設置し、又は当該取扱区域において個人データを取り扱う職員等以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等をするなど座席配置の工夫等をすることにより、権限を有しない者による個人データの閲覧等を防止するものとする。
第25条 職員等は、端末の使用に当たっては、個人データが第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講じなければならない。
第26条 保護責任者は、管理区域及び取扱区域における個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置のいずれかを講じるものとする。
一 個人データを取り扱う機器、電子媒体又は書籍等を、施錠できるキャビネット・書庫等に保管する。
二 個人データを取り扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。
2 職員等は、保護責任者が必要と認めるときを除き、端末を外部へ持ち出し、又は外部から持ち込んではならない。
第27条 保護責任者は、個人データの秘匿性等その内容に応じて、当該個人データの情報漏えい等の防止のため、スマートフォン、USBメモリ等の記録機能を有する機器・媒体の情報システム端末等への接続の制限(当該機器の更新への対応を含む。)等の必要な措置を講ずるものとする。
第28条 職員等は、保護責任者の指示に従い、個人データが記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫への保管、施錠等を行わなければならない。
第29条 本学は、個人データが記録された電子媒体又は書類等の持ち運び(個人データを管理区域又は取扱区域の外へ移動させることをいい、学内での移動等も含まれる。)は、次に掲げる場合を除き禁止する。
一 個人データに係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
2 前項により個人データが記録された電子媒体又は書類等の持ち運びを行う場合には、以下の安全策を講じるものとする。
一 個人データが記録された電子媒体を安全に持ち運ぶ方法
二 個人データが記載された書類等を安全に持ち運ぶ方法
第30条 職員等は、個人データ又は個人データが記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合には、保護責任者の指示に従い、次の各号に掲げる場合ごとに、適切な措置を講じるものとする。
一 個人データが記録された書類等を廃棄する場合、焼却、溶解、シュレッダー、マスキング等の復元不可能な手段を用いるものとする。
二 個人データが記録された機器及び電子媒体等を廃棄する場合、専用データ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を用いるものとする。
三 情報システム中の個人データを削除する場合、容易に復元できない手段を用いるものとする。
2 保護責任者は、個人データの削除、又は電子媒体等の廃棄を委託した場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認するものとする。
第31条 保護責任者は、個人データ(情報システムで取り扱うものに限る。以下本節において同じ。)の秘匿性等その内容に応じて、パスワード等(パスワード、ICカード、生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講ずるものとする。
2 保護責任者は、前項の措置を講ずる場合には、パスワード等の管理に関する定めを整備(その定期又は随時の見直しを含む。)するとともに、パスワード等の読取防止等を行うために必要な措置を講ずるものとする。
第32条 保護責任者は、次の各号に掲げる方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用するものとする。
一 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。
二 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入し、不正ソフトウェアの有無を確認する。
三 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
四 ログ等の分析を定期に及び随時に行い、不正アクセス等を検知する。
五 不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み(ネットワークの遮断等)を導入し、適切に運用する。
六 情報システムの不正な構成変更(許可されていない電子媒体及び機器の接続、ソフトウェアのインストール等)を防止するために必要な措置を講じる。
第33条 保護責任者は、個人データへのアクセス状況を記録し、その記録(以下「アクセス記録」という。)を一定の期間保存し、定期に又は随時に分析するために必要な措置を講ずる。
2 保護責任者は、アクセス記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講ずるものとする。
第34条 保護責任者は、個人データの秘匿性等その内容及びその量に応じて、当該個人データへの不適切なアクセスの監視のため、個人データを含む又は含むおそれがある一定量以上の情報が情報システムからダウンロードされた場合に警告表示がなされる機能の設定、当該設定の定期的確認等の必要な措置を講ずるものとする。
第35条 保護責任者は、個人データを取り扱う情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため、当該特権を最小限とする等の必要な措置を講ずるものとする。
第36条 保護責任者は、不正プログラムによる個人データの漏えい等の防止のため、ソフトウェアに関する公開された脆弱性の解消、把握された不正プログラムの感染防止等に必要な措置(導入したソフトウェアを常に最新の状態に保つことを含む。)を講ずるものとする。
第37条 保護責任者は、情報システムの設計時に安全性を確保し、継続的に見直す(情報システムのぜい弱性を突いた攻撃への対策を講じることも含む。)ものとする。
第38条 職員等は、個人データについて、一時的に加工等の処理を行うため複製等を行う場合には、その対象を必要最小限に限り、処理終了後は不要となった情報を速やかに消去するものとする。
2 保護責任者は、当該個人データの秘匿性等その内容に応じて、随時、消去等の実施状況を重点的に確認するものとする。
第39条 保護責任者は、個人データをインターネット等により外部に送信する場合、次の各号に掲げる方法等により、通信経路における情報漏えい、情報システム内に保存されている個人情報の情報漏えい等を防止するものとする。
一 通信経路における情報漏えい等を防止するため、通信経路の暗号化。
二 情報システムに保存されている個人情報の情報漏えい等を防止するため、データの暗号化又はパスワードによる保護。
第40条 職員等は、情報システムで取り扱う個人データの重要度に応じて、入力原票と入力内容との照合、処理前後の個人データの内容の確認、既存の個人データとの照合等を行うものとする。
2 職員等は、個人データの内容に誤り等を発見した場合には、保護責任者の指示に従い、訂正等を行うものとする。
第41条 保護責任者は、個人データの重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講ずるものとする。
第42条 保護責任者は、個人データに係る情報システムの設計書、構成図等の文書について外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講ずるものとする。
第43条 保護責任者は、職員等が外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(個人情報の取得その他の各段階における安全管理措置等)
第44条 第3章から第8章までに定める個人情報の取得、利用、保管、提供、開示、訂正、利用停止、削除及び廃棄の各段階における安全管理措置は、本章の各安全管理措置による。
2 個人データに該当しない個人情報及び仮名加工情報を取り扱う場合についても、本章の各安全管理措置に準じ、必要な措置を講じるものとする。
第45条 本学は、偽りその他不正の手段により個人情報を取得してはならない。
2 本学は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該要配慮個人情報を学術研究の用に供する目的(以下「学術研究目的」という。)で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(本学と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
八 その他前各号に掲げる場合に準ずるものとして
政令で定める場合
第46条 本学は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 本学は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
第47条 本学は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 本学は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 本学は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより本学の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合
第48条 本学は、あらかじめ本人の同意を得ないで、第46条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 本学は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人情報を学術研究目的で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
第49条 本学は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
第50条 本学は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
第51条 本学は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(本学と当該第三者が共同して学術研究を行う場合に限る。)。
七 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
2 本学は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、
個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第45条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
六 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
3 本学は、前項第1号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第3号から第5号まで、第7号又は第8号に掲げる事項を変更しようとするときはあらかじめ、その旨について、
個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4 次に掲げる場合において、当該個人データの提供を受ける者は、前3項の規定の適用については、第三者に該当しないものとする。
一 本学が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 本学と特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
5 本学は、前項第3号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
第52条 本学は、外国(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として
個人情報保護委員会規則で定めるものを除く。以下同じ。)にある第三者(個人データの取扱いについて
法第4章第2節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第3項において「相当措置」という。)を継続的に講ずるために必要なものとして
個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに第55条第1項第2号において同じ。)に個人データを提供する場合には、前条第1項各号に定める場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
2 本学は、前項の規定により本人の同意を得ようとする場合には、
個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
3 本学は、個人データを外国にある第三者(第1項に規定する体制を整備している者に限る。)に提供した場合には、
個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
第53条 本学は、個人データを第三者(第3条第9項各号に掲げる者を除く。以下この条及び次条(第55条第3項において読み替えて準用する場合を含む。)において同じ。)に提供したときは、
別記様式第2号の個人データ提供記録簿により記録を作成しなければならない。ただし、当該個人データの提供が第51条第1項各号又は第4項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第51条第1項各号のいずれか)に該当する場合は、この限りでない。
第54条 本学は、第三者から個人データの提供を受けるに際しては、
個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第51条第1項各号又は第4項各号のいずれかに該当する場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
2 本学は、前項の規定による確認を行ったときは、
別記様式第3号の個人データ受領記録簿により記録を作成しなければならない。
第55条 本学は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第51条第1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ
個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が本学から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、
個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
2 第52条第3項の規定は、前項の規定により本学が個人関連情報を提供する場合について準用する。この場合において、同条第3項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
3 前条第2項及び第3項の規定は、第1項の規定により本学が確認する場合について準用する。この場合において、同条第2項中「
別記様式第3号の個人データ受領記録簿」とあるのは、「
別記様式第4号の個人関連情報提供記録簿」と読み替えるものとする。
第56条 個人情報の開示、訂正(訂正、追加又は削除をいう。)及び利用停止(利用の停止、消去又は提供の停止をいう。)の取扱いについては、法令等に定めるもののほか、別に定めるところによる。
第57条 個人情報を利用する必要がなくなった場合で、法令等において定められている保存期間を経過した場合には、当該個人情報を速やかに廃棄又は削除しなければならない。
第58条 総括責任者及び保護責任者は、個人データの全部又は一部を委託する場合には、本学自らが果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう、必要かつ適切な監督を行うものとする。
2 前項の「必要かつ適切な監督」には次に掲げる事項が含まれる。
二 委託先に安全管理措置を遵守させるために必要な契約の締結
3 前項第1号の委託先の適切な選定に当たっては、委託先の安全管理措置が、本学における安全管理措置と同等であることを確認するため、本規則に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。
4 第2項第3号の「委託先における個人データの取扱状況の把握」については、委託契約の内容として、以下の規定等を盛り込むものとし、当該契約の遵守状況について、1年に1回以上(当該委託先との契約期間が1年に満たない場合は、契約期間中に1回程度)の頻度で、委託先から報告を受けるものとする。
五 漏えい事案等が発生した場合の委託先の責任に関する規定
六 委託契約終了後の個人データの返却又は廃棄に関する規定
九 個人データを取り扱う従業者の明確化に関する規定
十 委託者が委託先に対して実地の調査を行うことができる規定
5 本学は、委託先において個人データの安全管理が適切に行われていることについて、1年に1回以上(当該委託先との契約期間が1年に満たない場合は、契約期間中に1回程度)の頻度で、委託先の実地調査等を行うものとする。
6 本学は、委託先において情報漏えい事故等が発生した場合に、適切な対応がなされ、速やかに本学に報告される体制になっていることを確認するものとする。
7 委託先は、本学の許諾を得た場合に限り、委託を受けた個人データの全部又は一部を再委託することができるものとする。再委託先が更に再委託する場合も同様とする。
8 本学は、再委託先の適否の判断のみならず、委託先が再委託先に対しても必要かつ適切な監督を行っているかどうかについても監督する。
9 本学は、委託先が再委託をする場合、当該再委託契約の内容として、第4項と同等の規定等を盛り込ませるものとする。
10 個人データの取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記するものとする。
第60条 本学は、仮名加工情報(仮名加工情報データベース等(仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして
政令で定めるものをいう。)を構成するものに限る。以下同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして
個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
2 本学は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして
個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。
3 本学は、第48条の規定にかかわらず、法令に基づく場合を除くほか、第46条第1項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。
4 仮名加工情報についての第47条の規定の適用については、同条第1項及び第3項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第4項第1号から第3号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。
5 本学は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第50条の規定は、適用しない。
6 本学は、第51条第1項及び第2項並びに第52条第1項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第51条第4項中「前3項」とあるのは「第60条第6項」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第6項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第53条第1項ただし書中「第51条第1項各号又は第4項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第51条第1項各号のいずれか)」とあり、及び第54条第1項ただし書中「第51条第1項各号又は第4項各号のいずれか」とあるのは「法令に基づく場合又は第51条第4項各号のいずれか」とする。
7 本学は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
8 本学は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは
民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって
個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
9 仮名加工情報及び仮名加工情報である個人データについては、第46条第2項及び第65条の規定は、適用しない。
第61条 本学は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項において同じ。)を第三者に提供してはならない。
2 第51条第4項及び第5項の規定は、本学が仮名加工情報の提供を受ける場合に準用する。この場合において、同条第4項中「前3項」とあるのは「第61条第1項」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第5項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。
第62条 本学は、本学が保有している個人情報ファイルについて、
法第75条に定める個人情報ファイル簿を作成し、公表しなければならない。
2 前項の規定は、次に掲げる個人情報ファイルについては、適用しない。
二 前項の規定による公表に係る個人情報ファイルに記録されている記録情報の全部又は一部を記録した個人情報ファイルであって、その利用目的、記録項目及び記録範囲が当該公表に係るこれらの事項の範囲内のもの
三 前号に掲げる個人情報ファイルに準ずるものとして
政令で定める個人情報ファイル
3 第1項の規定にかかわらず、本学は、記録項目の一部若しくは
法第74条第1項第5号若しくは第7号に掲げる事項を個人情報ファイル簿に記載し、又は個人情報ファイルを個人情報ファイル簿に掲載することにより、利用目的に係る事務又は事業の性質上、当該事務又は事業の適正な遂行に著しい支障を及ぼすおそれがあると認めるときは、その記録項目の一部若しくは事項を記載せず、又はその個人情報ファイルを個人情報ファイル簿に掲載しないことができる。
第63条 本学は、行政機関等匿名加工情報(行政機関等匿名加工情報ファイルを構成するものに限る。以下この節において同じ。)を作成することができる。
2 行政機関等匿名加工情報の作成及び提供等に関し、必要な事項は別に定める。
第64条 本学は、「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定)4を踏まえ、関係省庁と緊密に連携して、その保有する個人情報の適切な管理を行う。
第65条 学長は、本学において取り扱う個人データの漏えい等その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして
個人情報保護委員会規則で定めるものが生じたときは、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、本学が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、
個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
2 前項の事態が発生した場合の対応は、別に定めるところによる。
第66条 本学は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めるものとする。
2 本学は、前項の目的を達成するために必要な体制の整備に努めるものとする。
第67条 この規則に定めるもののほか、個人情報の取扱いに関し必要な事項は、別に定める。
別記様式第1号
(第14条関係) 別記様式第2号
(第53条関係) 別記様式第3号
(第54条関係) 別記様式第4号
(第55条関係)
