○国立大学法人金沢大学特定個人情報管理規程
| (平成27年12月1日規程第2473号) |
|
目次
第1章 総則(第1条?第2条)
第2章 特定個人情報の利用制限(第3条?第4条)
第3章 特定個人情報の安全管理措置等(第5条-第24条)
第4章 特定個人情報の提供制限等(第25条-第29条)
第5章 特定個人情報の開示,訂正及び利用停止(第30条)
第6章 特定個人情報保護評価(第31条)
第7章 雑則(第32条)
附則
第1章 総則
(趣旨)
第1条 国立大学法人金沢大学及び金沢大学(以下「本学」という。)における特定個人情報(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第2条第8項に規定する個人情報をいう。以下同じ。)の取扱いについては,番号法又はこれに基づく他の法令若しくは指針に定めるもののほか,この規程の定めるところによる。
2 特定個人情報等の取扱いについて,この規程のほか,番号法又はこれに基づく他の法令,指針若しくは規程等に定めのない事項は,個人情報の保護に関する法律(平成15年法律第57号)及び国立大学法人金沢大学個人情報管理規程の定めるところによる。
(定義)
第2条 この規程において,次の各号に掲げる用語の意義は,それぞれ当該各号に定めるところによる。
(1) 法人文書 国立大学法人金沢大学法人文書管理規則(以下「文書管理規則」という。)第2条第1号に定めるものをいう。
(2) 保有個人情報 前号に定める法人文書に記録されている個人情報をいう。
(3) 法人文書ファイル 文書管理規則第2条第4号に定めるものをいう。
(4) 個人番号 番号法第7条第1項又は第2項の規定により,住民票コードを変換して得られる番号であって,当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
(5) 特定個人情報 個人番号(個人番号に対応し,当該個人番号に代わって用いられる番号,記号その他の符号であって,住民票コード以外のものを含む。ただし,番号法第7条第1項及び第2項,第8条並びに第67条並びに附則第3条第1項から第3項まで及び第5項を除く。)をその内容に含む個人情報をいう。
(6) 職員等 役員,職員及び本学の業務に従事する派遣労働者をいう。
(7) 個人番号関係事務 番号法第9条第3項の規定により,個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(8) 個人番号関係事務実施者 個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。
第2章 特定個人情報の利用制限
(個人番号の利用制限)
第3条 個人番号は,番号法があらかじめ限定的に定めた事務の範囲の中から,具体的な利用目的を特定した上で,利用しなければならない。
(特定個人情報ファイルの作成の制限)
第4条 個人番号関係事務実施者は,個人番号関係事務を処理するために必要な場合その他番号法で定める場合を除き,特定個人情報ファイルを作成してはならない。
第3章 特定個人情報の安全管理措置等
(委託先の監督)
第5条 本学が,個人番号関係事務の全部又は一部の委託をする場合は,委託した個人番号関係事務で取り扱う特定個人情報の安全管理措置について,本学自らが果たすべき措置と同等の措置がその委託先において講じられるよう,委託先に対する必要かつ適切な監督を行わなければならない。
2 前項に定める必要かつ適切な監督には,次の各号に掲げる事項を含むものとする。
(1) 委託先の適切な選定
(2) 委託先に安全管理措置を遵守させるための必要な契約の締結
(3) 委託先における特定個人情報の取扱状況の把握
3 前項第1号に定める委託先の適切な選定においては,番号法に基づき本学が果たすべき安全管理措置と同等の措置がその委託先において講じられるか確認するため,本学は,委託先の設備,技術水準,従業者に対する監督?教育の状況,その他委託先の経営環境等をあらかじめ確認するものとする。
4 第2項第2号に定める契約の内容には,次の各号に掲げる事項について明記するものとする。なお,併せて,本学が必要と認めるときは,委託先に対して当該事項に係る実地の調査を行うことができるよう明記するものとする。
(1) 秘密保持義務
(2) 事業所内からの特定個人情報の持出しの禁止
(3) 特定個人情報の目的外利用の禁止
(4) 再委託における条件
(5) 漏えい事案等が発生した場合の委託先の責任
(6) 委託契約終了後の特定個人情報の返却又は廃棄
(7) 特定個人情報を取り扱う従業者の明確化
(8) 従業者に対する監督?教育
(9) 契約内容の遵守状況に係る本学への報告
(再委託)
第6条 本学が個人番号関係事務の全部又は一部の委託をした委託先は,本学の許諾を得た場合に限り,再委託をすることができる。
2 前項に定める再委託の許諾に係る適否については,本学が,前条第2項から第4項までに掲げる事項に準じ,再委託先における特定個人情報の安全管理措置の状況を確認した上で判断するものとする。
3 本学は,再委託先についても,前条第1項に準じて必要かつ適切な監督を行うものとする。
4 前3項に定める規定は,個人番号関係事務について,再委託先が再々委託を行う場合以降も同様とする。
(安全管理措置総則)
第7条 個人番号関係事務実施者は,個人番号(生存する個人のものだけでなく死者のものも含む。)の漏えい,滅失又は毀損の防止その他の個人番号の適切な管理を行わなければならない。
2 本学は,保有個人情報である特定個人情報の漏えい,滅失又は毀損の防止その他の保有個人情報である特定個人情報の適切な管理のために必要な措置を講じなければならない。
(総括保護管理者)
第8条 本学に,特定個人情報等の適正な取扱いに関する総括保護管理者を置き,総務担当理事をもって充てる。
2 総括保護管理者は,本学における特定個人情報等の適正な取扱いに関する事務を総括するものとする。
(副総括保護管理者)
第9条 本学に,特定個人情報等の適正な取扱いに関する副総括保護管理者を置き,総務部長をもって充てる。
2 副総括保護管理者は,総括保護管理者を補佐するものとする。
(保護管理者)
第10条 本学に,特定個人情報等の適正な取扱いに関する保護管理者を置き,個人番号関係事務を実施する課の長又はそれに相当する者をもって充てる。
2 保護管理者は,所掌する課等における特定個人情報等を適切に管理するものとする。
(監査責任者)
第11条 本学に,特定個人情報等の適正な取扱いに関する監査責任者を置き,総括保護管理者が指名する者をもって充てる。
2 監査責任者は,特定個人情報等の管理状況について監査するものとする。
(特定個人情報等の適正な取扱いのための委員会)
第12条 特定個人情報等の適正な取扱いに係る重要事項の決定,連絡?調整等を行うため必要があるときは,国立大学法人金沢大学基幹会議規程第2条第1号に定める総務企画会議で審議する。
(特定個人情報等を取り扱う職員の役割等)
第13条 保護管理者は,特定個人情報等を取り扱う職員等(個人番号関係事務実施者を含む。以下「特定個人情報等事務担当者」という。)及びその役割を指定する。
2 保護管理者は,各特定個人情報等事務担当者が取り扱う特定個人情報等の範囲を指定する。
3 保護管理者は,特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担及びその責任を明確化する。
(アクセス状況の記録等)
第14条 保護管理者は,特定個人情報等へのアクセス状況を記録し,その記録を一定の期間保存し,定期に又は随時に分析するために必要な措置を講ずる。また,アクセス記録の改ざん,窃取又は不正な削除の防止のために必要な措置を講ずる。
(特定個人情報ファイル取扱状況の記録等)
第15条 保護管理者は,特定個人情報ファイルの取扱状況を確認する手段を整備して,当該特定個人情報等の利用及び保管等の取扱状況について記録する。
(監査)
第16条 監査責任者は,特定個人情報等の管理状況について,定期に及び必要に応じ随時に監査(外部監査を含む。)を行い,その結果を総括保護管理者に報告する。
2 総括保護管理者は,特定個人情報等の管理状況の監査結果等を踏まえ,必要があると認めるときは,本規程の見直し等の措置を講ずる。
(教育研修)
第17条 総括保護管理者は,特定個人情報等事務担当者に対し,特定個人情報等の取扱いについて理解を深め,特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。
2 総括保護管理者は,特定個人情報等を取り扱う情報システムの管理に関する事務に従事する職員等に対し,特定個人情報等の適切な管理のために,情報システムの管理,運用及びセキュリティ対策に関して必要な教育研修を行う。
3 総括保護管理者は,保護管理者に対し,課等における特定個人情報等の適切な管理のために必要な教育研修を行う。
4 保護管理者は,所掌する課の職員等に対し,特定個人情報等の適切な管理のために,総括管理者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。
(物理的安全管理措置)
第18条 保護管理者は,特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし,物理的な安全管理措置を講ずる。
2 保護管理者は,特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)を明確にし,物理的な安全管理措置を講ずるとともに,管理区域において,入退管理及び管理区域へ持ち込む機器等の制限等の措置を講ずる。
3 保護管理者は,管理区域のうち,基幹的なサーバ等の機器を設置する室その他の区域(以下「情報システム室等」という。)に立ち入る権限を有する者を定めるとともに,用件の確認,入退の記録,部外者についての識別化,部外者が立ち入る場合の職員の立会い又は監視設備による監視,外部電磁的記録媒体等の持込み,利用及び持ち出しの制限又は検査等の措置を講ずる。また,特定個人情報等を記録する媒体を保管するための施設を設けている場合においても,必要があると認めるときは,同様の措置を講ずる。
(盗難等の防止)
第19条 保護管理者は,管理区域及び取扱区域における特定個人情報等を取り扱う機器,電子媒体及び書類等の盗難又は紛失等を防止するために,物理的な安全管理措置を講ずる。また,電子媒体及び書類等の移動等において,紛失及び盗難等に留意する。
(電子媒体等の取扱いにおける漏えい等の防止)
第20条 保護管理者は,保護管理者により許可された電子媒体又は機器等以外のものについては,使用の制限等の必要な措置を講ずる。また,保護管理者は,記録機能を有する機器の情報システム端末等への接続の制限等の必要な措置を講ずる。
2 職員等は,保護管理者が必要があると認めるときを除き,特定個人情報等が記録された電子媒体又は書類等を外部へ持ち出してはならない。なお,特定個人情報等が記録された電子媒体又は書類等を持ち出す場合には,職員等は,容易に個人番号が判明しない措置の実施,追跡可能な移送手段の利用等,安全な方策を講ずる。
(電子媒体等の廃棄)
第21条 保護管理者は,特定個人情報等が記録された電子媒体及び書類等について,文書管理に関する規程等によって定められている保存期間を経過した場合には,個人番号をできるだけ速やかに復元できない手段で削除又は廃棄する。
2 保護管理者は,個人番号若しくは特定個人情報ファイルを削除した場合又は電子媒体等を廃棄した場合には,削除又は廃棄した記録を保存する。また,これらの作業を委託する場合には,委託先が確実に削除又は廃棄したことについて,証明書等により確認する。
(アクセス制御)
第22条 保護管理者は,職員等が情報システムを使用して個人番号関係事務を行う場合,特定個人情報等事務担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために,適切なアクセス制御を行う。
2 保護管理者は,特定個人情報等を取り扱う情報システムが,特定個人情報等事務担当者として正当なアクセス権を有する者であることを,識別した結果に基づき認証できるよう,必要な措置を講ずる。
3 保護管理者は,特定個人情報等を取り扱う情報システムを外部等からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し,適切に運用する。
4 保護管理者は,特定個人情報等事務担当者が特定個人情報等をインターネット等により外部に送信する場合,通信経路における情報漏えい等を防止するための措置を講ずる。
(職員等の責務)
第23条 職員等は,番号法,これに基づく他の法令及び指針並びに本規程の定め及び総括保護管理者,副総括保護管理者及び保護管理者の指示に従い,特定個人情報等を取り扱わなければならない。
(情報漏えい事案等への対応及び再発防止措置)
第24条 職員等は,個人番号の漏えい,滅失又は毀損等の事案の発生又は兆候を把握した場合及び特定個人情報等事務担当者が番号法,これに基づく他の法令若しくは指針又は本規程の定めに違反している事実又は兆候を把握した場合は,速やかに保護管理者に報告しなければならない。
2 保護管理者は,前項の報告を受けた場合又は特定個人情報等の漏えい等安全確保の上で問題となる事案が発生した場合には,速やかに副総括保護管理者に報告するものとする。
3 副総括保護管理者は,被害の拡大防止又は復旧等のために必要な措置を講ずるものとする。
4 副総括保護管理者は,事案の発生した経緯,被害状況等を調査し,総括保護管理者に報告するものとする。ただし,特に重大と認める事案が発生した場合には,直ちに総括保護管理者に当該事案の内容等について報告するものとする。
5 副総括保護管理者は,事実関係を調査し,番号法違反又は番号法違反のおそれが把握できた場合には,その原因の究明を行うとともに,当該原因を踏まえ,再発防止策を検討し,速やかに実施するものとする。
6 総括保護管理者は,第4項の規定に基づく報告を受けた場合には,当該事案の内容,経緯,被害状況等を学長に速やかに報告するものとする。
7 総括保護管理者は,二次被害の防止,類似事案の発生回避等の観点から,事案の内容,影響等に応じて,事実関係及び再発防止策の公表,当該事案に係る本人への連絡又は本人が容易に知り得る状態に置くものとする。
8 本学が番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には,事実関係及び再発防止策等について,速やかに個人情報保護委員会に報告するものとする。また,以下の各号に掲げる特定個人情報に関する重大事案又はそのおそれのある事案が発覚した時点で,直ちにその旨を個人情報保護委員会に報告する。
(1) 情報提供ネットワークシステム又は個人番号を取り扱う情報システムで使用するネットワークから外部に情報漏えい等があった場合(不正アクセス又は不正プログラムによるものを含む。)
(2) 事案における特定個人情報の本人の数が101人以上である場合
(3) 不特定多数の人が閲覧できる状態になった場合
(4) 職員等が不正の目的で持ち出したり利用したりした場合
(5) その他各機関において重大事案と判断される場合
第4章 特定個人情報の提供制限等
(提供の求めの制限)
第25条 職員等は,個人番号関係事務を処理するために必要な場合その他番号法で定める場合を除き,他人(自己と同一の世帯に属する者以外の者をいう。以下同じ。)の個人番号の提供を求めてはならない。
(特定個人情報の提供制限)
第26条 職員等は,番号法第19条各号で限定的に明記された場合を除き,特定個人情報を提供(本学以外の機関等に特定個人情報が移動することをいう。)してはならない。
(収集?保管の制限)
第27条 職員等は,番号法第19条各号のいずれかに該当する場合を除き,他人の個人番号を含む特定個人情報を収集又は保管してはならない。
(廃棄)
第28条 職員等は,保有する個人番号が記載された文書について,保存期間満了時は,原則として,当該文書をできるだけ速やかに廃棄しなければならない。
(本人確認)
第29条 個人番号関係事務実施者は,個人番号の提供を受ける場合において,番号法又はこれに基づく他の法令若しくは指針に基づき,本人確認を行うものとする。
第5章 特定個人情報の開示,訂正及び利用停止
(開示,訂正及び利用停止)
第30条 特定個人情報の開示,訂正及び利用停止については,国立大学法人金沢大学個人情報開示請求等取扱規程に基づき実施するものとする。
第6章 特定個人情報保護評価
(特定個人情報保護評価)
第31条 本学は,特定個人情報ファイルを取り扱う事務における当該特定個人情報ファイルの取扱いについて,番号法又はこれに基づく他の法令若しくは指針の定めに従い,必要に応じて,自ら特定個人情報保護評価を行うものとする。
第7章 雑則
(雑則)
第32条 この規程に定めるもののほか,特定個人情報等の取扱い等に関し必要な事項は,本学が別に定める。
附 則
この規程は,平成27年12月1日から施行する。
附 則
|
|
この規程は,平成29年5月30日から施行する。
附 則
|
|
この規程は,令和2年4月1日から施行する。
附 則
|
|
この規程は,令和4年4月1日から施行する。