○国立大学法人信州大学における個人情報の保護に関する取扱要項
| (令和4年3月30日国立大学法人信州大学要項第43号) |
|
目次
第1章 目的(第1)
第2章 定義(第2)
第3章 個人情報の取得・利用目的(第3-第8)
第4章 安全管理措置
第1節 安全管理のために必要かつ適切な措置(第9)
第2節 組織的安全管理措置(第10-第29)
第3節 人的安全管理措置(第30)
第4節 物理的安全管理措置(第31-第38)
第5節 技術的安全管理措置(第39-第50)
第5章 個人情報の取扱い
第1節 個人データの取扱いに係る監督(第51・第52)
第2節 漏えい等の報告等(第53)
第3節 第三者提供(第54-第58)
第4節 苦情処理(第59)
第5節 仮名加工情報(第60・第61)
第6節 学術研究目的で行う個人情報の取扱い(第62)
第6章 個人情報ファイル(第63)
第7章 保有個人情報の開示,訂正及び利用停止(第64)
第8章 行政機関等匿名加工情報等(第65-第68)
第9章 その他(第69・第70)
附則
第1章 目的
第1 目的
1 この要項は,個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)に基づき,国立大学法人信州大学(以下「本法人」という。)における個人情報の保護に関する基本的事項を定めることにより,本法人の事務及び事業の適正かつ円滑な運営を図りつつ,個人の権利利益を保護することを目的とする。
2 本法人における個人情報の取扱いについては,法その他の関係法令に別段の定めがあるもののほか,この要項の定めによる。
第2章 定義
第2 定義
この要項における用語の意義は,法に定めるもののほか,次に掲げるとおりとする。
「部局等」 アドミニストレーション本部,各学部,各研究科,アクア・リジェネレーション機構,先鋭領域融合研究群の各研究所及び各拠点,社会実装研究クラスターの各研究所,拠点及びセンター,附属図書館,総合健康安全センター,DE&I推進センター,医学部附属病院,共創研究クラスターの各共創研究所,各機構(各機構の各センター等を除く。)及び各機構の各センター等並びに内部監査室,学長府,総務部,財務部,学務部,研究推進部,国際部及び環境施設部
第3章 個人情報の取得・利用目的
第3 利用目的の特定
1 第11で規定する保護管理者は,個人情報を取り扱うに当たっては,その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 保護管理者は,利用目的を変更する場合には,変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
第4 利用目的による制限
1 職員(本法人の役員及び職員(派遣労働者を含む。)をいう。以下同じ。)は,あらかじめ本人の同意を得ないで,第3の規定により特定された利用目的の達成に必要な範囲を超えて,個人情報を取り扱ってはならない。
2 職員は,大学等の統合その他の事由により本法人以外の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は,あらかじめ本人の同意を得ないで,承継前における当該個人情報の利用目的の達成に必要な範囲を超えて,当該個人情報を取り扱ってはならない。
3 前2項の規定は,次に掲げる場合については,適用しない。
(1) 法令に基づく場合
(2) 人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって,本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって,本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 当該個人情報を学術研究の用に供する目的(以下「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み,個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6) 学術研究機関等に個人データを提供する場合であって,当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み,個人の権利利益を不当に侵害するおそれがある場合を除く。)。
第5 不適正な利用の禁止
職員は,違法又は不当な行為を助長し,又は誘発するおそれがある方法により個人情報を利用してはならない。
第6 適正な取得
1 職員は,偽りその他不正の手段により個人情報を取得してはならない。
2 職員は,法第20条第2項各号に掲げる場合を除くほか,あらかじめ本人の同意を得ないで,要配慮個人情報を取得してはならない。
第7 取得に際しての利用目的の通知等
1 保護管理者は,個人情報を取得した場合は,あらかじめその利用目的を公表している場合を除き,速やかに,その利用目的を,本人に通知し,又は公表しなければならない。
2 保護管理者は,前項の規定にかかわらず,本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は,あらかじめ,本人に対し,その利用目的を明示しなければならない。ただし,人の生命,身体又は財産の保護のために緊急に必要がある場合は,この限りでない。
3 保護管理者は,利用目的を変更した場合は,変更された利用目的について,本人に通知し,又は公表しなければならない。
4 前3項の規定は,次に掲げる場合については,適用しない。
(1) 利用目的を本人に通知し,又は公表することにより本人又は第三者の生命,身体,財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し,又は公表することにより本法人の権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって,利用目的を本人に通知し,又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4) 取得の状況からみて利用目的が明らかであると認められる場合
第8 データ内容の正確性の確保
1 保護管理者は,利用目的の達成に必要な範囲内において,個人データを正確かつ最新の内容に保たなければならない。また,利用する必要がなくなったときは,当該個人データを遅滞なく消去するよう努めなければならない。
2 前項の規定に関わらず,保有個人情報の消去については,国立大学法人信州大学法人文書管理規程(令和4年国立大学法人信州大学規程第172号)の定めるところによる。
第4章 安全管理措置
第1節 安全管理のために必要かつ適切な措置
第9 安全管理のために必要かつ適切な措置
保護管理者は,その取り扱う個人データの漏えい,滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
第2節 組織的安全管理措置
第10 総括保護管理者
本法人に,本法人における個人データの管理に関する事務を総括させるため総括保護管理者を置き,総務担当の理事をもって充てる。
第11 保護管理者及び保護担当者
本法人に,本法人における個人データの適切な管理を確保する(個人データを情報システムで取り扱う場合,当該情報システムの管理者と連携する。)ため,次の表のとおり,個人データの種別欄に応じ,保護管理者及び保護管理者を補佐する保護担当者を置く。
| 個人データの種別 | 保護管理者 | 保護担当者 |
| 事務執行組織が保有する個人データ(健康診断に係る個人データを除く。) | 内部監査室にあっては室長,学長府にあっては府長,課にあっては課長,事務部にあっては,事務長又は事務部長,総合健康安全センター事務室長 | 保護管理者が指名する者 |
| 教員が保有する個人データ(健康診断に係る個人データを除く。) | 部局等の長 | 個人データを保有する教員 |
| 教育学部附属学校が保有する個人データ | 教育学部附属学校の長 | 個人データを保有する職員 |
| 医学部附属病院が保有する個人データ | 医学部附属病院長 | 保護管理者が指名する者 |
| 健康診断に係る個人データ | 総合健康安全センター長 | 保護管理者が指名する者 |
第12 監査責任者
本法人に,本法人における個人データの管理の状況について監査させるため,監査責任者を置き,内部監査室長をもって充てる。
第13 スタッフ組織
総括保護管理者は,個人データの管理に係る重要事項の決定,連絡・調整等を行うため,関係職員を構成員とするスタッフ組織を組織する。
第14 職員の責務
職員は,法の趣旨に則り,関係法令及び本要項等の定め並びに総括保護管理者,保護管理者及び保護担当者の指示に従い,個人データを取り扱わなければならない。
第15 職員等の義務
本法人の職員又は職員であった者は,その業務に関して知り得た個人情報の内容をみだりに他人に知らせ,又は不当な目的に利用してはならない。
第16 入力情報の照合等
職員は,情報システムで取り扱う個人データの重要度に応じて,入力原票と入力内容との照合,処理前後の当該個人データの内容の確認,既存の個人データとの照合等を行う。
第17 個人データの取扱状況の記録
保護管理者は,個人データの秘匿性等その内容に応じて,台帳等を整備して,当該個人データの利用及び保管等の取扱いの状況について記録するものとする。
第18 個人情報等の提供
1 本法人は,第5章第3節又は第5節の規定に基づき,行政機関及び独立行政法人等(法別表第2に掲げる法人を除く。第19までにおいて同じ。)以外の者に個人データ,仮名加工情報又は個人関連情報(以下「個人データ等」という。)を提供する場合には,原則として,次の各号に掲げる事項を定めた書面を取り交わすものとする。
(1) 個人情報データベース等の名称
(2) 提供先の利用目的
(3) 提供先の利用する業務の根拠法令
(4) 提供先の利用する記録範囲及び記録項目
(5) 提供先の利用形態
(6) 提供先の利用期間
(7) 利用後の廃棄又は返還等の方法
(8) 提供先の利用する組織の名称(部,課,係等の名称)
2 保護管理者は,前項により行政機関及び独立行政法人等以外の者に個人データ等を提供する場合には,次に掲げる安全確保の措置を求めるものとする。
(1) 利用目的以外の利用禁止
(2) 秘密保持の義務
(3) 再提供に関する事項
(4) 個人情報データベース等の複製に関する事項
(5) 情報漏えい等の事故等の発生時における報告に関する事項
(6) 違反した場合に関する事項
3 前項の場合において必要があると認めるときは,個人データ等の提供前又は随時に提供先に対し実地の調査等を行い,措置状況を確認してその結果を記録するとともに,改善要求等の措置を講ずる。
4 保護管理者は,第5章第3節又は第5節の規定に基づき行政機関又は独立行政法人等に個人データ等を提供する場合において,必要があると認めるときは,個人データ等の提供を受ける者に対し,前3項に規定する措置を講ずる。
5 個人情報を提供する場合には,漏えい等による被害発生のリスクを低減する観点から,提供先の利用目的,個人情報の秘匿性等その内容等を考慮し,必要に応じ,氏名を番号に置き換える等の匿名化措置を講ずる。
第19 業務の委託
1 個人情報の取扱いに係る業務を外部に委託する場合には,個人情報の適切な管理を行う能力を有しない者を選定することがないよう,必要な措置を講じ,契約書に,次に掲げる事項を明記するとともに,委託先における責任者及び業務従事者の管理・実施体制,個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認する。
(1) 個人情報に関する秘密保持,目的外利用の禁止,委託先からの持出の禁止等の義務
(2) 再委託(再委託先が委託先の子会社(会社法(平成17年法律第86号)第2条第3号に規定する子会社をいう。)である場合も含む。以下同じ。)の制限又は事前承認等再委託に係る条件に関する事項
(3) 個人情報の複製等の制限に関する事項
(4) 個人情報の安全管理措置に関する事項
(5) 個人情報の情報漏えい等の事案の発生時における対応及び責任に関する事項
(6) 委託終了時における個人情報の消去及び媒体の返却に関する事項
(7) 契約内容の遵守状況についての報告の義務
(8) 違反した場合における契約解除,損害賠償責任
(9) 契約内容の遵守についての定期的報告に関する事項及び委託先における委託された個人情報の取扱状況を把握するための監査等に関する事項(再委託先の監査等に関する事項を含む。)
(10) その他必要な事項
2 個人データの取扱いに係る業務を外部に委託する場合には,取扱いを委託する個人情報の範囲は,委託する業務内容に照らして必要最小限でなければならない。
3 個人情報の取扱いに係る業務を外部に委託する場合には,委託する業務に係る個人情報の秘匿性等その内容やその量等に応じて,委託先における管理体制及び実施体制や個人情報の管理の状況について,少なくとも年1回以上,原則として実地検査により確認する。
4 委託先において,個人情報の取扱いに係る業務が再委託される場合には,保護管理者は,委託先に第19第1項の措置を講じさせるとともに,再委託される業務に係る個人情報の秘匿性等その内容に応じて,委託先を通じて又は本法人自らが第19第3項の措置を実施する。個人情報の取扱いに係る業務について再委託先が再々委託を行う場合以降も同様とする。
5 個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には,労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記する。
6 個人情報を業務委託する場合には,漏えい等による被害発生のリスクを低減する観点から,委託先の利用目的,委託する業務の内容,個人情報の秘匿性等その内容等を考慮し,必要に応じ,氏名を番号に置き換える等の匿名化措置を講ずる。
第20 外的環境の把握
保護管理者は,個人情報が外国において取り扱われる場合,当該外国の個人情報の保護に関する制度等を把握した上で,個人情報の安全管理のために必要かつ適切な措置を講じなければならない。
第21 アクセス制限
1 保護管理者は,個人データの秘匿性等その内容に応じて,当該個人データにアクセス権限を有する職員とその権限の内容を,当該職員が業務を行う上で必要最小限の範囲に限るものとする。
2 アクセス権限を有しない職員は,個人データにアクセスしてはならない。
3 職員は,アクセス権限を有する場合であっても,利用目的以外の目的で個人データにアクセスしてはならない。
第22 複製等の制限
職員が,利用目的に従い個人データを取り扱う場合であっても,保護管理者は,次の各号に掲げる行為については,当該個人データの秘匿性等その内容に応じて,当該行為を行うことができる場合を限定し,職員は,第36に定めるもののほか保護管理者の指示に従いこれを行わなければならない。
(1) 個人データの複製
(2) 個人データの送信
(3) 個人データが記録されている媒体の外部への送付又は持出し
(4) その他個人データの適切な管理に支障を及ぼすおそれのある行為
第23 誤りの訂正等
職員は,個人データの内容に誤り等を発見した場合には,保護管理者の指示に従い,訂正等を行うものとする。
第24 バックアップ
保護管理者は,個人データの重要度に応じて,バックアップを作成し,分散保管するために必要な措置を講ずる。
第25 事案の報告及び再発防止措置
1 個人データの情報漏えい等安全確保の上で問題となる事案又は問題となる事案の発生のおそれを認識した場合に,その事案等を認識した職員は,直ちに当該個人データを管理する保護管理者に報告する。
2 保護管理者は,前項の規定に基づく報告を受けた場合には,被害の拡大防止又は復旧等のために必要な措置を速やかに講ずる。ただし,外部からの不正アクセスや不正プログラムの感染が疑われる当該端末等のLANケーブルを抜く等,被害拡大防止のため直ちに行い得る措置については,直ちに行う(職員に行わせることを含む。)ものとする。
3 保護管理者は,事案の発生した経緯,被害状況等を調査し,総括保護管理者に報告する。ただし,特に重大と認める事案が発生した場合には,直ちに総括保護管理者に当該事案の内容等について報告する。
4 総括保護管理者は,前項の規定に基づく報告を受けた場合には,事案の内容等に応じて,当該事案の内容,経緯,被害状況等を学長に速やかに報告する。
5 保護管理者は,事案の発生した原因を分析し,再発防止のために必要な措置を講ずる。
第26 速やかな報告及び通知
1 総括保護管理者及び保護管理者は,漏えい等が生じた場合であって第53の規定による個人情報保護委員会(以下「委員会」という。)への報告及び第53第2項の規定による本人への通知を要する場合には,第25各項と並行して,速やかに所定の手続を行うとともに,委員会による事案の把握等に協力する。
2 第53第1項の規定による委員会への報告及び第53第2項の規定による本人への通知を要しない場合であっても,事案の内容,影響等に応じて,事実関係及び再発防止策の公表,当該事案に係る個人情報の本人への連絡等の措置を講ずる。
第27 監査
学長は,信州大学における個人情報の保護に関する内部監査を,国立大学法人信州大学内部監査室内部監査規程(平成18年国立大学法人信州大学規程第84号)に基づき実施するものとする。
第28 点検
保護管理者は,部局等における個人データの記録媒体,処理経路,保管方法等について,定期に及び必要に応じ随時に点検を行い,必要があると認めるときは,その結果を総括保護管理者に報告する。
第29 評価及び見直し
総括保護管理者,保護管理者等は,監査又は点検の結果等を踏まえ,実効性等の観点から個人データの適切な管理のための措置について評価し,必要があると認めるときは,その見直し等の措置を講ずる。
第3節 人的安全管理措置
第30 教育研修
1 総括保護管理者は,個人データの取扱いに従事する職員に対し,個人データの取扱いについて理解を深め,個人情報の保護に関する意識の高揚を図るための啓発,セキュリティの確保(サイバーセキュリティ(サイバーセキュリティ基本法(平成26年法律第104号。以下「基本法」という。)第2条に規定するサイバーセキュリティをいう。)を含む。)その他必要な教育研修を行う。
2 総括保護管理者は,個人データを取り扱う情報システムの管理に関する事務に従事する職員に対し,個人データの適切な管理のために,情報システムの管理,運用及びセキュリティ対策に関して必要な教育研修を行う。
3 総括保護管理者は,保護管理者及び保護担当者に対し,部局等における個人データの適切な管理のための教育研修を定期的に実施する。
4 保護管理者は,個人データの適切な管理のために,当該部局等の職員に対し,第1項及び第2項に定める教育研修への参加の機会を付与する等の必要な措置を講ずるとともに,研修未受講者に対して再受講の機会を付与する等の必要な措置を講ずる。
第4節 物理的安全管理措置
第31 入退管理
1 保護管理者は,個人データを取り扱う基幹的なサーバ等の機器を設置する室その他の区域(以下「情報システム室等」という。)に立ち入る権限を有する者を定めるとともに,用件の確認,入退の記録,部外者についての識別化,部外者が立ち入る場合の職員の立会い又は監視設備による監視,外部電磁的記録媒体等の持込み,利用及び持ち出しの制限又は検査等の措置を講ずる。
2 保護管理者は,個人データを記録する媒体を保管するための施設を設けている場合においても,必要があると認めるときは,同様の措置を講ずる。
3 保護管理者は,必要があると認めるときは,情報システム室等の出入口の特定化による入退の管理の容易化,所在表示の制限等の措置を講ずる。
4 保護管理者は,情報システム室等及び保管施設の入退の管理について,必要があると認めるときは,立入りに係るパスワード等(パスワード,ICカード,生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定し,及びパスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。),パスワード等の読取防止等を行うために必要な措置を講ずる。
第32 情報システム室等の管理
1 保護管理者は,外部からの不正な侵入に備え,情報システム室等に施錠装置,警報装置,監視設備等を設置する等の措置を講ずる。
2 保護管理者は,災害等に備え,情報システム室等に,耐震,防火,防煙,防水等の必要な措置を講ずるとともに,サーバ等の機器の予備電源の確保,配線の損傷防止等の措置を講ずる。
第33 第三者の閲覧防止
職員は,端末の使用に当たっては,個人データが第三者に閲覧されることがないよう,使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講ずる。
第34 媒体の管理等
個人データが記録されている媒体の保管については,個人データが記録されている媒体を定められた場所に保管するとともに,必要があると認めるときは,施錠した耐火金庫での保管等を行う。
第35 端末の盗難防止等
1 保護管理者は,端末の盗難又は紛失の防止のため,端末の固定,端末を設置する室等の施錠等の必要な措置を講ずる。
2 職員は,保護管理者が必要と認めるときを除き,端末を外部へ持ち出し,又は外部から持ち込んではならない。
第36 記録機能を有する機器・媒体への格納及び持ち出し制限
スマートフォン,USBメモリ等の記録機能を有する機器・媒体(以下「外部記憶装置」という。)への個人情報の格納及び情報システム室等からの持ち出しについては,国立大学法人信州大学における情報機器及び外部記憶装置にかかる情報の格納及び外部への持ち出しに関する管理要項の定めるところにより行う。
第37 記録機能を有する機器・媒体の接続制限
保護管理者は,個人データの秘匿性等その内容に応じて,当該個人データの情報漏えい等の防止のため,外部記憶装置の情報システム端末等への接続の制限(当該機器の更新への対応を含む。)等の必要な措置を講ずる。
第38 廃棄等
職員は,個人データの廃棄等については,保護管理者の指示に従い,当該個人データの復元又は判読が不可能な方法で当該情報の廃棄等を行うこととし,個人データの消去や個人データが記録されている媒体の廃棄を委託する場合(2以上の段階にわたる委託を含む。)には,必要に応じて職員が消去及び廃棄に立ち会い,又は写真等を付した消去及び廃棄を証明する書類を受け取る等,委託先において消去及び廃棄が確実に行われていることを確認することとする。
第5節 技術的安全管理措置
第39 端末の限定
保護管理者は,電子化個人情報(情報システムで取り扱う個人データをいう。以下同じ。)の秘匿性等その内容に応じて,その処理を行う端末を限定するために必要な措置を講ずる。
第40 アクセス権限
保護管理者は,第21第1項に定めるところにより,電子化個人情報を取り扱う職員のアクセス権限を定期又は随時に見直し,必要に応じて付与又は削除することとする。
第41 アクセス制御
1 保護管理者は,電子化個人情報の秘匿性等その内容に応じて,認証機能を設定する等のアクセス制御のために必要な措置を講ずる。
2 保護管理者は,前項の措置を講ずる場合には,パスワード等の管理に関する定めを整備(その定期又は随時の見直しを含む。)するとともに,パスワード等の読取防止等を行うために必要な措置を講ずる。
第42 アクセス記録
1 保護管理者は,電子化個人情報の秘匿性等その内容に応じて,当該電子化個人情報へのアクセス状況を記録し,その記録(以下「アクセス記録」という。)を一定の期間保存し,及びアクセス記録を定期的に分析するために必要な措置を講ずる。
2 保護管理者は,アクセス記録の改ざん,窃取又は不正な消去の防止のため必要な措置を講ずる。
第43 アクセス状況の監視
保護管理者は,電子化個人情報の秘匿性等その内容及びその量に応じて,当該電子化個人情報への不適切なアクセスの監視のため,電子化個人情報を含む又は含むおそれがある一定量以上の情報が情報システムからダウンロードされた場合に警告表示がなされる機能の設定,当該設定の定期的確認等の必要な措置を講ずる。
第44 管理者権限の設定
保護管理者は,電子化個人情報の秘匿性等その内容に応じて,情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため,当該特権を最小限とする等の必要な措置を講ずる。
第45 外部からの不正アクセスの防止
保護管理者は,電子化個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため,ファイアウォールの設定による経路制御等の必要な措置を講ずる。
第46 不正プログラムによる情報漏えい等の防止
保護管理者は,不正プログラムによる電子化個人情報の情報漏えい等の防止のため,ソフトウェアに関する公開された脆弱性の解消,把握された不正プログラムの感染防止等に必要な措置(導入したソフトウェアを常に最新の状態に保つことを含む。)を講ずる。
第47 情報システムの設計等
1 電子化個人情報を取り扱い,又は情報システムを構築し,若しくは利用するに当たっては,基本法第26条第1項第2号に掲げられたサイバーセキュリティに関する対策の基準等を参考として,取り扱う個人データの性質等に照らして適正なサイバーセキュリティの水準を確保する。
2 保護管理者は,電子化個人情報に係る情報システムの設計書,構成図等の文書について外部に知られることがないよう,その保管,複製,廃棄等について必要な措置を講ずる。
第48 暗号化
保護管理者は,電子化個人情報の秘匿性等その内容に応じて,その暗号化のために必要な措置を講ずるものとし,職員は,これを踏まえ,その処理する電子化個人情報について,当該電子化個人情報の秘匿性等その内容に応じて,適切に暗号化を行う。
第49 個人データの処理
1 職員は,電子化個人情報について,一時的に加工等の処理を行うため複製等を行う場合には,その対象を必要最小限に限り,処理終了後は不要となった情報を速やかに消去する。
2 保護管理者は,当該個人データの秘匿性等その内容に応じて,随時,消去等の実施状況を重点的に確認する。
第50 誤送信等の防止
職員は,個人情報を含む電磁的記録又は媒体の誤送信・誤送付,誤交付,又はウェブサイト等への誤掲載を防止するため,個別の事務又は事業において取り扱う個人情報の秘匿性等その内容に応じ,複数の職員による確認やチェックリストの活用等の必要な措置を講ずる。
第5章 個人情報の取扱い
第1節 個人データの取扱いに係る監督
第51 従業者の監督
保護管理者は,職員に個人データを取り扱わせるに当たっては,当該個人データの安全管理が図られるよう,職員に対する必要かつ適切な監督を行わなければならない。
第52 委託先の監督
保護管理者は,個人データの取扱いの全部又は一部を委託する場合は,その取扱いを委託された個人データの安全管理が図られるよう,委託を受けた者に対する必要かつ適切な監督を行わなければならない。
第2節 漏えい等の報告等
第53 漏えい等の報告等
1 総括保護管理者は,法第26条第1項に定めるところにより,本法人が取り扱う個人データの漏えい,滅失,毀損等の事態が生じたときは,当該事態が生じた旨を個人情報保護委員会に報告しなければならない。
2 前項に規定する事態が生じた場合には,保護管理者は,本人に対し,法第26条第2項に定めるところにより,当該事態が生じた旨を通知しなければならない。
第3節 第三者提供
第54 第三者提供の制限
1 保護管理者は,次に掲げる場合を除くほか,あらかじめ本人の同意を得ないで,個人データを第三者に提供してはならない。
(1) 法令に基づく場合
(2) 人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって,本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって,本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6) 当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み,個人の権利利益を不当に侵害するおそれがある場合を除く。)(本法人と当該第三者が共同して学術研究を行う場合に限る。)。
(7) 当該第三者が学術研究機関等である場合であって,当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み,個人の権利利益を不当に侵害するおそれがある場合を除く。)。
2 次に掲げる場合において,当該個人データの提供を受ける者は,前項の規定の適用については,第三者に該当しないものとする。
(1) 保護管理者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2) 解散その他の事由による事業の承継に伴って個人データが提供される場合
(3) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって,その旨並びに共同して利用される個人データの項目,共同して利用する者の範囲,利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては,その代表者の氏名について,あらかじめ,本人に通知し,又は本人が容易に知り得る状態に置いているとき。
3 保護管理者は,前項第3号に規定する個人データの管理について責任を有する者の氏名,名称若しくは住所又は法人にあっては,その代表者の氏名に変更があったときは遅滞なく,同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ,その旨について,本人に通知し,又は本人が容易に知り得る状態に置かなければならない。
第55 外国にある第三者への提供の制限
1 保護管理者は,外国にある第三者に個人データを提供する場合には,法第28条第1項に定めるところにより,第54第1項各号に掲げる場合を除くほか,あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては,第54の規定は,適用しない。
2 保護管理者は,前項の規定により本人の同意を得ようとする場合には,法第28条第2項に定めるところにより,あらかじめ,当該外国における個人情報の保護に関する制度,当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
3 保護管理者は,個人データを外国にある第三者に提供した場合には,法第28条第3項に定めるところにより,当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに,本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
第56 第三者提供に係る記録の作成等
1 保護管理者は,個人データを第三者に提供したときは,法第29条第1項に定めるところにより,記録を作成しなければならない。ただし,同項ただし書きに該当する場合はこの限りではない。
2 保護管理者は,前項の記録を,法第29条第2項に定めるところにより,保存しなければならない。
第57 第三者提供を受ける際の確認等
1 保護管理者は,第三者から個人データの提供を受けるに際しては,法第30条第1項に定めるところにより,確認を行わなければならない。ただし,同項ただし書きに該当する場合はこの限りではない。
2 保護管理者は,前項の規定による確認を行ったときは,法第30条第3項に定めるところにより,記録を作成しなければならない。
3 保護管理者は,前項の記録を,法第30条第4項に定めるところにより,保存しなければならない。
第58 個人関連情報の第三者提供の制限等
1 保護管理者は,第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは,第54第1項各号に掲げる場合を除くほか,法第31条第1項に定めるところにより確認することをしないで,当該個人関連情報を当該第三者に提供してはならない。
2 保護管理者は,前項の規定により個人関連情報を外国にある第三者に提供した場合には,法第31条第2項に定めるところにより,当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じなければならない。
3 保護管理者は,第三者に個人関連情報を提供した際は,法第31条第3項に定めるところにより,記録を作成しなければならない。
4 保護管理者は,前項の記録を,法第31条第3項に定めるところにより,保存しなければならない。
第4節 苦情処理
第59 苦情処理
1 本法人は,本法人における個人情報の取扱いに関する苦情(以下「苦情」という。)の適切かつ迅速な処理に努めなければならない。
2 本法人は,苦情の相談の受付等を行う窓口を設置するものとする。
3 苦情を受け付けたときは,関係する保護管理者は,当該苦情に関する当該個人情報の取扱いの状況等を迅速に調査して,その適切かつ迅速な処理に努めるとともに,必要に応じ,総括保護管理者と対応について協議するものとする。
第5節 仮名加工情報
第60 仮名加工情報の作成等
1 保護管理者は,仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下第60において同じ。)を作成するときは,法第41条第1項に定めるところにより,個人情報を加工しなければならない。
2 保護管理者は,仮名加工情報を作成したとき,又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下同じ。)を取得したときは,法第41条第2項に定めるところにより,削除情報等の安全管理のための措置を講じなければならない。
3 保護管理者は,第4の規定にかかわらず,法令に基づく場合を除くほか,第3第1項の規定により特定された利用目的の達成に必要な範囲を超えて,仮名加工情報(個人情報であるものに限る。以下同じ。)を取り扱ってはならない。
4 仮名加工情報についての第7の規定の適用については,法第41条第4項に定めるところにより行う。
5 保護管理者は,法第41条第6項に定めるところにより,第54第1項及び第55第1項の規定にかかわらず,法令に基づく場合を除くほか,仮名加工情報である個人データを第三者に提供してはならない。
6 職員は,仮名加工情報を取り扱うに当たっては,当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために,当該仮名加工情報を他の情報と照合してはならない。
7 職員は,仮名加工情報を取り扱うに当たっては,電話をかけ,郵便若しくは一般信書便事業者若しくは信書便により送付し,電報を送達し,ファクシミリ装置若しくは電磁的方法を用いて送信し,又は住居を訪問するために,当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
8 仮名加工情報,仮名加工情報である個人データについては,第3第2項,第53の規定は,適用しない。
9 保護管理者は,仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは,当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。
第61 仮名加工情報の第三者提供の制限等
1 保護管理者は,法令に基づく場合を除くほか,仮名加工情報(個人情報であるものを除く。以下同じ。)を第三者に提供してはならない。
2 職員は,法第42条第3項に定めるところにより,仮名加工情報を取り扱うこととする。
第6節 学術研究目的で行う個人情報の取扱い
第62 学術研究機関等の責務
1 本法人は,学術研究目的で行う個人情報の取扱いについて,法の規定を遵守するとともに,その適正を確保するために必要な措置を自ら講じ,かつ,当該措置の内容を公表するよう努めなければならない。
2 前項の規定に関し必要な事項は,別に定める。
第6章 個人情報ファイル
第63 個人情報ファイル
本法人は,法第75条の規定に基づき,個人情報ファイル簿を作成し,公表しなければならない。
第7章 保有個人情報の開示,訂正及び利用停止
第64 開示,訂正及び利用停止
本法人は,国立大学法人信州大学の保有する個人情報の開示等に関する取扱要項(平成17年国立大学法人信州大学要項第16号)に定めるところにより,保有個人情報の開示,訂正及び利用停止を行うものとする。
第8章 行政機関等匿名加工情報等
第65 行政機関等匿名加工情報の作成及び提供等
1 保護管理者は,法の規定に従い,行政機関等匿名加工情報(行政機関等匿名加工情報ファイルを構成するものに限る。以下同じ。)を作成することができる。
2 本法人は,次の各号のいずれかに該当する場合を除き,行政機関等匿名加工情報を提供してはならない。
(1) 法令に基づく場合(国立大学法人信州大学における行政機関等匿名加工情報の提供に関する取扱要領(令和2年国立大学法人信州大学要項第8号)に定めるところにより,行政機関等匿名加工情報の提供等を行う場合を含む。)
(2) 保有個人情報を利用目的のために第三者に提供することができる場合において,当該保有個人情報を加工して作成した行政機関等匿名加工情報を当該第三者に提供するとき。
3 第54の規定にかかわらず,本法人は,法令に基づく場合を除き,利用目的以外の目的のために削除情報(保有個人情報に該当するものに限り,行政機関等匿名加工情報の作成に用いた保有個人情報から削除した記述等及び個人識別符号をいう。)を自ら利用し,又は提供してはならない。
第66 識別行為の禁止等
1 職員は,行政機関等匿名加工情報を取り扱うに当たっては,法令に基づく場合を除き,当該行政機関等匿名加工情報の作成に用いられた個人情報に係る本人を識別するために,当該行政機関等匿名加工情報を他の情報と照合してはならない。
2 保護管理者は,行政機関等匿名加工情報,第65第3項に規定する削除情報及び法第104条第1項の規定により行った加工の方法に関する情報(以下「行政機関等匿名加工情報等」という。)の漏えいを防止するために次の各号に掲げる基準に従い,行政機関等匿名加工情報等の適切な管理のために必要な措置を講じなければならない。
(1) 行政機関等匿名加工情報等を取り扱う者の権限及び責任を明確に定めること。
(2) 行政機関等匿名加工情報等の取扱いに関する規程類を整備し,当該規程類に従って行政機関等匿名加工情報等を適切に取り扱うとともに,その取扱いの状況について評価を行い,その結果に基づき改善を図るために必要な措置を講ずること。
(3) 行政機関等匿名加工情報等を取り扱う正当な権限を有しない者による行政機関等匿名加工情報等の取扱いを防止するために必要かつ適切な措置を講ずること。
3 前2項の規定は,本法人から行政機関等匿名加工情報等の取扱いの委託(2以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。
第67 従事者の義務
行政機関等匿名加工情報等の取扱いに従事する職員若しくは職員であった者又は第66第3項の委託を受けた業務に従事している者若しくは従事していた者は,その業務に関して知り得た行政機関等匿名加工情報等の内容をみだりに他人に知らせ,又は不当な目的に利用してはならない。
第68 匿名加工情報の取扱いに係る義務
1 本法人は,匿名加工情報(行政機関等匿名加工情報を除く。以下同じ。)を第三者に提供するときは,法令に基づく場合を除き,インターネットの利用その他適切な方法により,あらかじめ,第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに,当該第三者に対して,電子メールを送信する方法又は書面を交付する方法その他適切な方法により,当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
2 職員は,匿名加工情報を取り扱うに当たっては,法令に基づく場合を除き,当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために,当該個人情報から削除された記述等若しくは個人識別符号若しくは法第43条第1項の規定により行われた加工の方法に関する情報を取得し,又は当該匿名加工情報を他の情報と照合してはならない。
3 保護管理者は,匿名加工情報の漏えいを防止するため次に掲げる基準に従い,匿名加工情報の適切な管理のために必要な措置を講じなければならない。
(1) 匿名加工情報を取り扱う者の権限及び責任を明確に定めること。
(2) 匿名加工情報の取扱いに関する内規等を整備し,当該内規等に従って匿名加工情報を適切に取り扱うとともに,その取扱いの状況について評価を行い,その結果に基づき改善を図るために必要な措置を講ずること。
(3) 匿名加工情報を取り扱う正当な権限を有しない者による匿名加工情報の取扱いを防止するために必要かつ適切な措置を講ずること。
4 前2項の規定は,本法人から匿名加工情報の取扱いの委託(2以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。
第9章 その他
第69 オプトアウト手続に関する届出
法第27条第2項に定める個人情報保護委員会への届出は,真に必要な場合に限ることとし,総括保護管理者がこれを行うものとする。
第70 雑則
この要項に定めるもののほか,本法人が保有する個人情報の管理について必要な事項は,別に定める。
附 則
この要項は,令和4年4月1日から実施する。
附 則(令和4年9月30日令和4年度要項第2号)
|
|
この要項は,令和4年10月1日から実施する。
附 則(令和5年2月28日令和4年度要項第12号)
|
|
この要項は,令和5年3月1日から実施する。
附 則(令和5年3月29日令和4年度要項第25号)
|
|
この要項は,令和5年4月1日から実施する。
附 則(令和5年6月21日令和5年度要項第1号)
|
|
この要項は,令和5年6月22日から実施する。
附 則(令和6年5月28日令和6年度要項第3号)
|
|
この要項は,令和6年5月29日から実施し,令和6年4月1日から適用する。ただし,第2のアクア・リジェネレーション機構に係る改正規定については,令和6年3月26日から適用する。
附 則(令和7年3月31日令和6年度要項第18号)
|
|
この要項は,令和7年4月1日から実施する。
附 則(令和7年6月26日令和7年度要項第2号)
|
|
この要項は,令和7年6月27日から実施する。