○国立大学法人一橋大学における個人情報及び特定個人情報の漏えい等事態等対応手続に関する内規

国立大学法人一橋大学における個人情報及び特定個人情報の漏えい等事態等対応手続に関する内規

令和４年３月25日
規則第51号

（目的）

第１条　本規則は、国立大学法人一橋大学個人情報保護規則（平成17年規則第38号。以下「個人情報保護規則」という。）第65条第２項及び国立大学法人一橋大学特定個人情報保護規則（令和４年規則第46号。以下「特定個人情報保護規則」という。）第14条第５項の規定に基づき、個人データ又は特定個人情報の漏えい、滅失又は毀損（それぞれ第２条各号に定義する漏えい、滅失又は毀損をいう。以下併せて「漏えい等」という。）に関して報告対象事態（第３条に定める「報告対象事態」をいう。）が発生した場合の本学における対応についての手続について定める。

２　本規則に定めのない事項については、個人情報の保護に関する法律（平成15年法律第57号）、行政手続における特定の個人を識別するための番号の利用等に関する法律（平成25年法律第27号。以下「番号法」という。）その他関係法令の定めるところによる。

（定義）

第２条　本規則における用語の定義は、それぞれ各号に定めるところによる。

一　漏えい　個人データ又は特定個人情報が外部に流出することをいう。ただし、第三者に閲覧されないうちに全てを回収した場合は、漏えいに該当しない。

二　滅失　個人データ又は特定個人情報の内容が失われることをいう。

三　毀損　個人データ又は特定個人情報の内容が意図しない形で変更されること及び内容を保ちつつも利用不能な状態となることをいう。

２　本規則に定めのない用語の定義は、法令並びに個人情報保護規則及び特定個人情報保護規則の定めるところに従う。

（報告対象事態）

第３条　学長は、次の２項に掲げる事態（以下「報告対象事態」という。）を知ったときは、総括責任者に個人情報保護委員会への報告を行わせるものとする。ただし、高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じているものはこの限りでない。

２　個人データにかかる報告対象事態は、次に掲げる各号による。

一　要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態

二　不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

三　不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

四　個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

３　特定個人情報にかかる報告対象事態は、次に掲げる各号による。

一　次に掲げる事態

イ　不正の目的をもって行われたおそれがある特定個人情報の漏えい等が発生し、又は発生したおそれがある事態

ロ　不正の目的をもって、特定個人情報が利用され、又は利用されたおそれがある事態

ハ　不正の目的をもって、特定個人情報が提供され、又は提供されたおそれがある事態

二　特定個人情報ファイルに記録された特定個人情報が電磁的方法により不特定多数の者に閲覧され、又は閲覧されるおそれがある事態

三　次に掲げる特定個人情報に係る本人の数が百人を超える事態

イ　漏えい等が発生し、又は発生したおそれがある特定個人情報

ロ　番号法第９条の規定に反して利用され、又は利用されたおそれがある個人番号を含む特定個人情報

ハ　番号法第19条の規定に反して提供され、又は提供されたおそれがある事態

（第一報）

第４条　本学の職員等は、漏えい等の事案の発生を認識した場合には、保護責任者に報告をしなければならない。

（総括責任者への報告）

第５条　前条の報告を受けた保護責任者は、直ちに副総括責任者へ報告するものとする。

２　前項の報告を受けた副総括責任者は、直ちに総括責任者へ報告するものとする。

（被害の拡大の防止）

第６条　保護責任者は、前条の第一報があった場合、速やかに漏えい等の事案の防止その他の暫定措置を講ずるように関係部署に対して指示をする。

２　保護責任者は、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等のＬＡＮケーブルを抜いてネットワークからの切り離しを行う等、適切な対応について、関係部署に対して指示をする。

（学長への報告）

第７条　総括責任者は、第６条の報告を受け、必要と認める場合、直ちに、学長に対して報告を行う。

（事実関係の調査、原因の究明）

第８条　総括責任者は、関係部署と連携の上、以下の観点において事実関係の調査を行う。

一　漏えい等があった個人情報を取り扱う部署及び担当者の特定

二　漏えい等のルートの解明

三　漏えい等の有無の確認（漏えい等していた場合には、漏えい先の特定を含む。）

四　漏えい等の対象となる本人、情報の項目及び人数の特定

２　総括責任者は、原因の究明にあたっては、以下の観点により検討を行う。

一　各部局レベルにとどまらず全学的な問題がなかったか

二　学内規程等に不備がなかったか

三　安全管理措置（組織的・人的・物理的・技術的）に不備はなかったか（特に、不正アクセスの場合は、技術的安全管理措置において情報システムの脆弱性・不備はなかったか）

四　組織全体の問題か・個人に起因する原因か

３　本学の情報システムに対する不正アクセスが認められる場合は、外部のフォレンジック専門業者に委託をする等の方法により、事実関係の調査及び原因の究明を行う。

４　総括責任者は、必要に応じて、警察、弁護士等に対して相談を行う。

（影響範囲の特定）

第９条　総括責任者は、前条で把握した事実関係に関して、漏えい等の対象となる情報の本人の数、漏えいした情報の内容、漏えいした原因等を踏まえ、影響範囲を特定する。

（本人への通知）

第10条　保護責任者は、報告対象事態（高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じている場合を除く。）を知ったときは、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害その他当該事態の状況に応じて速やかに、第２項に規定する事項を本人に通知するものとする。

２　本人への通知事項は、当該本人の権利利益を保護するために必要な範囲において以下の事項を通知するものとする。

一　概要

二　漏えい等が発生し、又は発生したおそれがある個人データの項目

三　原因

四　二次被害又はそのおそれの有無及びその内容

五　その他参考となる事項

３　第１項の規定にかかわらず、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとる場合には本人への通知を要しない。

（再発防止策の検討及び実施）

第11条　総括責任者は、第８条で究明した原因及び前条で特定した影響範囲を踏まえ、再発防止策を検討し、速やかに実施する。

２　再発防止策は以下の観点に留意して策定するものとする。

一　全学レベルの見直しが必要か、各部局レベルの見直しで足りるか

二　学内規程等の見直しが必要か

三　安全管理措置（組織的・人的・物理的・技術的）の見直しが必要か

四　運用の見直しやモニタリングで足りるか

（事実関係及び再発防止策の公表）

第12条　総括責任者は、漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等について、必要に応じて公表するものとする。

２　前項にかかわらず、本人の権利利益が侵害されていないと認められる場合（次の各号に掲げる場合を含むがこれらの場合に限られない。）には、事実関係及び再発防止策等についての公表を省略することができる。なお、サイバー攻撃による場合等で、公表することでかえって被害の拡大につながる可能性があると考えられる場合には、専門機関等に相談するものとする。

一　紛失したデータを第三者に見られることなく速やかに回収した場合

二　高度な暗号化等の秘匿化が施されていて紛失したデータだけでは本人の権利利益が侵害されていないと認められる場合

（個人情報保護委員会への速報及び確報）

第13条　総括責任者は、報告対象事態を知ったときは、速やかに、個人情報保護委員会に以下の事項のうち、その時点で把握している当該事態に関する事項を個人情報保護委員会所定の様式により報告しなければならない。報告期限の起算点となる「知った」時点については、本学のいずれかの部署が当該事態を知った時点を基準とする。

一　概要

二　個人データ／特定個人情報の項目

三　個人データ／特定個人情報に係る本人の数

四　原因

五　二次被害又はそのおそれの有無及びその内容

六　本人への対応の実施状況

七　公表の実施状況

八　再発防止のための措置

九　その他参考となる事項

２　本学は、報告対象事態を知った日から30日以内（第３条第２項第３号又は同条第３項第１号の事態を知った場合には60日以内）に、第１項に掲げる当該事態に関する事項を個人情報保護委員会所定の様式により記載の事項を個人情報保護委員会に報告しなければならない。

附　則

この規則は、令和４年４月１日より施行する。