国立大学法人 総合研究大学院大学 規程集(学外)

トップページに戻る
最上位 > 第3編 法人庶務
国立大学法人総合研究大学院大学の保有する特定個人情報保護規程
平成27年12月1日
法人規程第45号
目 次
第1章 総則
(目的)
第1条 この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)に基づき、国立大学法人総合研究大学院大学(以下「法人」という。)における特定個人情報等の取扱い、その他特定個人情報等の保護に関し必要な事項を定める。
2 法人における番号法に基づく特定個人情報等の取扱い、保護に関しては、国立大学法人総合研究大学院大学個人情報保護規程(平成17年3月18日法人規程第2号。以下「個人情報保護規程」という。)及び、個人情報に関する法人の他の規程等に優先して本規程の定めを適用する。
(定義)
第2条 この規則における用語の意義は、番号法第2条及び個人情報保護規程第2条に定めるもののほか、次に掲げるとおりとする。
(1) 「個人番号」とは、番号法第2条第5項により、特定の個人を識別するために指定されるものをいう。
(2) 「特定個人情報」とは、個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード(住民基本台帳法(昭和42年法律第81号)第7条第13号に規定する住民票コードをいう。)以外のものを含む。以下同じ。)をその内容に含む個人情報をいう。
(3) 「特定個人情報等」とは、個人番号及び特定個人情報をいう。
(4) 「保有特定個人情報」とは、法人の役員及び教職員(派遣労働者を含む。以下「教職員等」という。)が職務上作成し、又は取得した特定個人情報であって、法人の教職員等が組織的に利用するものとして、法人が保有するものをいう。
(5) 「特定個人情報ファイル」とは、個人番号をその内容に含む個人情報ファイルをいう。
(6) 「特定個人情報取扱事務」とは、番号法第2条第11項に定める、他人の個人番号を必要な限度で利用して行う事務をいう。
(7) 「特定個人情報保護委員会」とは、番号法第6章に定めるものをいう。
(利用範囲等)
第3条 法人は、番号法第9条第3項に定める事務を行うために必要な限度で、特定個人情報を利用するものとする。法人から当該事務の全部又は一部の委託を受けた者も、同様とする。
2 前項の規定にかかわらず、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であると認められるときは、利用目的以外の目的のために自ら個人番号を利用することができることとする。ただし、個人番号を利用目的以外の目的のために自ら利用し、又は提供することによって、本人又は第三者の権利利益を不当に侵害するおそれがあると認められるとき又は、他の法令の規定により個人番号の利用又は提供が制限されている場合は、この限りでない。
第2章 特定個人情報の管理体制
(総括保護管理者)
第4条 個人情報保護規程第3条に定める総括保護管理者は、法人における特定個人情報等の管理に関する事務を総括し、特定個人情報等の適正な取扱いについて教職員等を監督する。
2 特定個人情報取扱事務の範囲、当該事務において利用する特定個人情報等の範囲及び当該事務に従事する教職員等(以下「事務取扱担当者」という。)は、総括保護管理者が別に定める。
(総括保護管理者補佐)
第5条 個人情報保護規程第3条の2に定める総括保護管理者補佐は、前条に掲げる事務について、総括保護管理者を補佐する。
(保護管理者)
第6条 個人情報保護規程第4条に定める保護管理者は、当該部局における保有特定個人情報の管理を総括し、特定個人情報等の適正な取扱いについて当該部局の教職員等を監督する。
2 保護管理者は、特定個人情報等を取り扱う事務取扱担当者並びにその役割を指定する。
3 保護管理者は、事務取扱担当者が取り扱う特定個人情報等の範囲を指定する。
4 保護管理者は、保有特定個人情報を情報システムで取り扱う場合、学術情報基盤センターの支援を得て適切に管理を行うものとする。
(監査責任者)
第7条 個人情報保護規程第6条に定める監査責任者は、法人における特定個人情報等の管理状況及び教職員等の監督状況を監査する。
(保有特定個人情報の適切な管理のための委員会)
第8条 総括保護管理者は、必要と認めるときは、個人情報保護規程第7条に定める個人情報保護委員会において、特定個人情報等の管理に係る重要事項の決定、連絡・調整等を行うものとする。
第3章 教育研修
(教育研修)
第9条 総括保護管理者は、教職員等に対し、特定個人情報等の取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。
2 総括保護管理者は、学術情報基盤センターと連携し、保有特定個人情報を取り扱う情報システムの管理に関する事務に従事する教職員等に対し、特定個人情報等の適切な管理に必要な情報システムの管理、運用及びセキュリティー対策に関する教育研修を行うものとする。
3 保護管理者は、教職員等に対し、特定個人情報等の適切な管理のために、前2項に定める教育研修への参加の機会を付与する等の必要な措置を講ずるものとする。
第4章 教職員等の責務
(教職員等の責務)
第10条 教職員等は、関係法令、規程等を遵守するとともに、総括保護管理者及び保護管理者の指示に従い、特定個人情報等を取り扱わなければならない。
2 教職員等は、特定個人情報等の漏えい、滅失又は毀損等の事案の発生又は兆候を把握した場合及び事務取扱担当者が関係法令、規程等に違反している事実又は兆候を把握した場合は、速やかに保護管理者に報告しなければならない。
(事務取扱担当者の義務)
第11条 事務取扱担当者又はこれらの職にあった者は、その業務に関して知り得た特定個人情報等の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。
第5章 保有特定個人情報の取扱い
(利用の制限)
第12条 保護管理者は、特定個人情報等の利用に当たり、番号法があらかじめ限定的に定めた事務に限定するものとする。
(利用目的の明示)
第13条 事務取扱担当者は、本人から直接書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録(以下「電磁的記録」という。)を含む。)に記録された当該本人の特定個人情報等を取得するときは、次に掲げる場合を除き、あらかじめ、本人に対し、その利用目的を明示しなければならない。
(1) 人の生命、身体又は財産の保護のために緊急に必要があるとき。
(2) 利用目的を本人に明示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき。
(3) 利用目的を本人に明示することにより、国の機関、独立行政法人等(独立行政法人通則法(平成11年法律第103号)第2条第1項に規定する独立行政法人及び独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号。以下「個人情報保護法」という。)別表に掲げる法人をいう。以下同じ。)、地方公共団体又は地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。)が行う事務又は事業の適正な遂行に支障を及ぼすおそれがあるとき。
(4) 取得の状況からみて利用目的が明らかであると認められるとき。
(適正な取得)
第14条 事務取扱担当者は、特定個人情報取扱事務を処理するために必要があるときは、本人に対し個人番号(当該本人と同一の世帯に属する者の個人番号を含む。)の提供を求めることができる。
2 事務取扱担当者は、前項により本人から個人番号の提供を受けるときは、法令の定めるところにより本人確認を行わなければならない。
3 教職員等は、第1項の場合を除き、本人に対し個人番号の提供を求めてはならない。
4 教職員等は、偽りその他不正の手段により特定個人情報等を取得してはならない。
(アクセス制限)
第15条 保護管理者は、保有特定個人情報にアクセスする権限(以下「アクセス権限」という。)を有する者をその利用目的を達成するために必要最小限の教職員等に限る措置を講じるものとする。
2 アクセス権限を有しない教職員等は、保有特定個人情報にアクセスしてはならない。
3 教職員等は、アクセス権限を有する場合であっても、業務上の利用目的以外の目的のために保有特定個人情報にアクセスしてはならない。
(複製等の制限)
第16条 特定個人情報等は、アクセス権限を有する教職員等が業務上の利用目的のため利用する場合に限り、取り扱うことができる。ただし、次の各号に掲げる行為については、保護管理者の指示に従い取り扱うものとする。
(1) 特定個人情報等の複製
(2) 特定個人情報等の送信
(3) 特定個人情報等が記録されている媒体の外部への送付又は持ち出し
(4) その他特定個人情報等の適切な管理に支障を及ぼすおそれのある行為
(正確性の確保)
第17条 事務取扱担当者は、利用目的の達成に必要な範囲内で、当該特定個人情報等が過去又は現在の事実と合致するよう努めなければならない。
2 事務取扱担当者は、特定個人情報等を情報システムに入力する際には、既存の特定個人情報等の確認、入力原票と入力内容との照合、入力前後の特定個人情報等の照合等を行うものとする。
3 事務取扱担当者は、取り扱う特定個人情報等の内容に誤り等を発見した場合は、保護管理者の指示に従い、訂正等を行うものとする。
(媒体の管理等)
第18条 事務取扱担当者は、保護管理者の指示に従い、特定個人情報等が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫等への保管、施錠等を行うものとする。
(廃棄等)
第19条 事務取扱担当者は、特定個人情報等又は特定個人情報等が記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合には、保護管理者の指示に従い、当該特定個人情報等の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行うものとする。
(取扱状況の記録)
第20条 保護管理者は、特定個人情報ファイルの取扱い状況を確認する手段を整備して、当該特定個人情報等の利用及び保管等の取扱状況について記録する。
(取扱区域)
第21条 保護管理者は、特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、物理的な安全管理措置を講ずる。
(端末の限定)
第22条 保護管理者は、保有特定個人情報を利用して処理を行う情報システム端末を限定するために必要な措置を講じなければならない。
(端末の盗難防止等)
第23条 保護管理者は、前条により限定された情報システム端末の盗難又は紛失の防止のため、情報システム端末の固定、執務室の施錠等の必要な措置を講じなければならない。
2 教職員等は、保護管理者が必要があると認めるときを除き、当該情報システム端末を設置する場所から外部へ持ち出し、又は外部から持ち込んではならない。
第6章 情報システム等における安全の確保等
(アクセス制御等の措置)
第24条 保護管理者は、保有特定個人情報(情報システムで取り扱うものに限る。以下同じ。)について、パスワード等(パスワード、ICカード、生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御、情報システムへのアクセス制御、アクセス記録、外部からの不正アクセスの防止、コンピュータウィルスによる漏えい等の防止、その処理を行う端末の限定及び端末の盗難防止等のために必要な措置を講じなければならない。
2 保護管理者は、前項に規定する措置を講ずる場合は、パスワード等の管理に関する定めを整備(その定期又は随時の見直しを含む。)するとともに、パスワード等の読取防止等を行うために必要な措置を講じなければならない。
(アクセス記録)
第25条 保護管理者は、当該保有特定個人情報へのアクセス状況を記録し、その記録(以下「アクセス記録」という。)を一定の期間保存し、アクセス記録を定期的に又は随時に分析するために必要な措置を講じなければならない。
2 保護管理者は、アクセス記録の改ざん、窃取又は不正な削除の防止のために必要な措置を講じなければならない。
(アクセス状況の監視)
第26条 保護管理者は、当該保有特定個人情報への不適切なアクセスの監視のため、保有特定個人情報を含むか又は含むおそれがある一定量以上の情報が情報システムからダウンロードされた場合に警告表示がなされる機能の設定、当該設定の定期的確認等の必要な措置を講じなければならない。
(管理者権限の設定)
第27条 保護管理者は、保有特定個人情報について、情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため、当該特権を最小限とする等の必要な措置を講じなければならない。
(外部からの不正アクセスの防止)
第28条 保護管理者は、学術情報基盤センターの協力を得て、保有特定個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定による経路制御等の必要な措置を講じなければならない。
(不正プログラムによる漏えい等の防止)
第29条 保護管理者は、学術情報基盤センターの協力を得て、不正プログラムによる保有個人情報の漏えい、滅失又は毀損の防止のため、ソフトウェアに関する公開された脆弱性の解消、把握された不正プログラムの感染防止等に必要な措置(導入したソフトウェアを最新の状態に保つことを含む。)を講じなければならない。 
(情報システムにおける保有特定個人情報の処理)
第30条 事務取扱担当者は、保有特定個人情報について、一時的に加工等の処理を行うため複製等を行う場合には、その対象を必要最小限に限り、処理終了後は不要となった情報を速やかに消去するとともに、保護管理者は、当該保有特定個人情報について、随時、消去等の実施状況を重点的に確認しなければならない。
(暗号化)
第31条 保護管理者は、保有特定個人情報の秘匿性等その内容に応じて、暗号化のために必要な措置を講じなければならない。
2 事務取扱担当者は、前項に規定する措置に従い、その処理する保有特定個人情報について、適切に暗号化を行うものとする。
(第三者の閲覧防止)
第32条 事務取扱担当者は、端末の使用に当たっては、保有特定個人情報が第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講じる。
(記録機能を有する機器・媒体の接続制限)
第33条 保護管理者は、当該保有特定個人情報の漏えい、滅失又は毀損の防止のため、スマートフォン、USBメモリ等の記録機能を有する機器・媒体の情報システム端末等への接続の制限(当該機器の更新への対応を含む。)等の必要な措置を講じなければならない。
第7章 情報システム室等の安全管理
(入退管理)
第34条 保護管理者は、保有特定個人情報を取り扱う基幹的なサーバ等の機器を設置する室その他の区域(以下「情報システム室等」という。)に立ち入る権限を有する者を定めるとともに、用件の確認、入退の記録、部外者についての識別化、部外者が立ち入る場合の教職員等の立会い又は監視設備による監視、外部電磁記録媒体等の持込み、利用及び持ち出しの制限又は検査等の措置を講ずる。また、保有特定個人情報を記録する媒体を保管するための施設を設けている場合においても、必要があると認めるときは、同様の措置を講ずるものとする。
第8章 保有特定個人情報の提供及び業務の委託等
(提供の制限)
第35条 教職員等は、次の各号のいずれかに該当する場合を除き、特定個人情報を提供してはならない。
(1) 特定個人情報等取扱事務を処理するために必要な限度で特定個人情報を提供するとき
(2) 本人又は代理人が、当該本人の個人番号を含む特定個人情報を提供するとき
(3) 特定個人情報の取扱いの全部若しくは一部の委託又は合併その他の事由による事業の承継に伴い特定個人情報を提供するとき
(4) 番号法第52条第1項の規定により求められた特定個人情報を特定個人情報保護委員会に提供するとき
(5) 各議院若しくは各議院の委員会若しくは参議院の調査会が国会法(昭和22年法律第79号)第104条第1項(同法第54条の4第1項において準用する場合を含む。)若しくは議院における証人の宣誓及び証言等に関する法律(昭和22年法律第225号)第1条の規定により行う審査若しくは調査、訴訟手続その他の裁判所における手続、裁判の執行、刑事事件の捜査、租税に関する法律の規定に基づく犯則事件の調査又は会計検査院の検査(番号法第53条において「各議院審査等」という。)が行われるとき、その他政令で定める公益上の必要があるとき
(6) 人の生命、身体又は財産の保護のために必要がある場合において、本人の同意があり、又は本人の同意を得ることが困難であるとき
(7) 番号法第19条第14号に基づき、その他、上記各号に準ずるものとして特定個人情報保護委員会規則で定めるとき
(収集及び保管の制限)
第36条 教職員等は、前条各号のいずれかに該当する場合を除き、特定個人情報等を収集し、又は保管してはならない。
(特定個人情報ファイルの作成の制限)
第37条 事務取扱担当者は、第35条第4号から第7号までのいずれかに該当して特定個人情報を提供し、又はその提供を受けることができる場合を除き、特定個人情報等取扱事務を処理するために必要な範囲を超えて特定個人情報ファイルを作成してはならない。
(特定個人情報等取扱い業務受託業者に対する措置要求)
第38条 保護管理者は、特定個人情報等の取扱いに係る業務を外部に委託する場合は、委託先において特定個人情報等の漏えい、滅失又は毀損の防止その他の特定個人情報等の適切な管理のために必要な措置が講じられていることを確認し、かつ、書面により、委託先における責任者及び業務従事者の管理並びに実施に係る体制、特定個人情報等の管理の状況についての検査に関する事項その他特定個人情報等の管理に関し必要な事項を確認し、特定個人情報等の適切な管理を行う能力を有する者が選定され、及び当該委託に係る契約書に次に掲げる事項が明記されるよう必要な措置を講じるものとする。
(1) 特定個人情報等に関する秘密保持、目的外利用の禁止等の義務
(2) 特定個人情報等を取り扱う業務従事者の範囲並びに業務従事者に対する監督及び教育に関する事項
(3) 再委託の制限又は事前承認等再委託に係る条件に関する事項
(4) 特定個人情報等の複製等の制限に関する事項
(5) 特定個人情報等の漏えい等の事案の発生時における対応及び責任に関する事項
(6) 委託終了時における特定個人情報等の消去及び媒体の返却に関する事項
(7) 契約内容の遵守状況についての報告の義務
(8) 違反した場合における契約解除、損害賠償責任その他必要な事項
2 保護管理者は、特定個人情報等の取扱いに係る業務を外部に委託する場合は、委託の内容に応じて、委託先における特定個人情報等の管理の状況について、年1回以上の定期的検査等により確認するものとする。
3 保護管理者は、委託先において、特定個人情報等の取扱いに係る業務が再委託される場合は、委託先に第1項の措置を講じさせるとともに、委託先を通じて又は委託元自らが前項の措置を実施するものとする。特定個人情報等の取扱いに係る業務について再委託先が再々委託を行う場合以降も同様とする。
4 特定個人情報等の取扱いに係る業務を派遣労働者によって行わせる場合は、保護管理者は、労働者派遣契約書に秘密保持義務等特定個人情報等の取扱いに関する事項が明記されるよう必要な措置を講じるものとする。
第9章 安全確保上の問題への対応
(事案の報告及び再発防止措置)
第39条 事務取扱担当者が関係法令、規程等に違反し若しくは違反するおそれがある場合、又は特定個人情報等の漏えい、滅失若しくは毀損その他の特定個人情報等の安全確保の上で問題となる事案が発生し、若しくは発生するおそれがある場合に、その事実を知った教職員等は、速やかに当該特定個人情報等を管理する保護管理者に報告しなければならない。
2 前項の報告を受けた保護管理者は、事実関係を調査し、その原因の究明を行い、被害の拡大防止又は復旧等のために必要な措置を講じるとともに、事案の発生した経緯、被害状況等について、総括保護管理者に報告する。ただし、特に重大と認める事案が発生した場合には、直ちに総括保護管理者に当該事案の内容等について報告するものとする。
3 総括保護管理者は、前項ただし書の報告を受けた場合は、事案の内容等に応じて、二次被害の防止、類似事案の発生回避の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態を確保するものとする。
4 総括保護管理者は、当該事案の内容、経緯、被害状況等を学長に速やかに報告する。
5 学長は、前項に基づく報告結果を踏まえ、事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等について、速やかに公表する。
6 学長は、関係法令、規程等に違反し若しくは違反するおそれのある事案を把握した場合は、事実関係及び再発防止策等について、速やかに特定個人情報保護委員会に報告するものとする。また、特定個人情報に関する重大事案又はそのおそれのある事案が発覚したときは、直ちにその旨を特定個人情報保護委員会に報告しなければならない。
第10章 監査及び点検の実施
(監査・点検・評価及び見直し)
第40条 監査責任者は、特定個人情報等の管理の状況及び教職員等の監督状況について、定期に又は随時に監査(外部監査を含む。)を行い、その結果を総括保護管理者に報告する。
2 保護管理者は、当該部局における特定個人情報等の記録媒体、処理経路、保管方法等について、定期に又は随時に点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告する。
3 総括保護管理者及び保護管理者は、監査又は点検の結果等を踏まえ、特定個人情報等の適切な管理のための措置について、実効性等の観点から評価し、必要があると認めるときは、その見直し等の措置を講ずる。
第11章 特定個人情報ファイル
(特定個人情報ファイル簿の作成及び公表)
第41条 保護管理者は、当該部局において特定個人情報ファイル(個人情報保護法第11条第2項各号に掲げるもの及び同条第3項の規定により特定個人情報ファイル簿に掲載しないものを除く。以下この条において同じ。)を保有するに至ったときは、直ちに、別記様式1に必要事項を記載し、総括保護管理者に届け出なければならない。
2 総括保護管理者は、前項の届出を受けたときは、速やかに個人情報保護法第11条第1項各号の事項を記載した帳簿(以下「特定個人情報ファイル簿」という。)を作成し、インターネットの利用その他の情報通信の技術を利用する方法により公表する。
3 特定個人情報ファイル簿は、法人が保有している特定個人情報ファイルを通じて一の帳簿とする。
(特定個人情報ファイル簿の変更等)
第42条 保護管理者は、前条第1項の規定により届け出た内容に変更があったとき、特定個人情報ファイルの保有をやめたとき又はその特定個人情報ファイルが個人情報保護法第11条第2項第7号に該当するに至ったときは、直ちに、別記様式2に必要事項を記載し、総括保護管理者に届け出なければならない。
2 総括保護管理者は、前項の届出を受けたときは、速やかに特定個人情報ファイル簿を修正し、又は当該特定個人情報ファイルに関する記載を削除する。
第12章 雑則
(雑則)
第43条 この規程に定めるもののほか、この規程の実施のための手続その他この規程の施行に関し必要な事項は、学長が別に定める。
附 則
 この規程は、平成27年12月1日から施行する。
別記様式1
 
images
別記様式2 
 
images