○国立大学法人信州大学における個人番号及び特定個人情報の保護に関する取扱要項
| (令和4年3月30日国立大学法人信州大学要項第44号) |
|
目次
附則
第1 目的
1 この要項は,行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)に基づき,国立大学法人信州大学(以下「本法人」という。)における個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いに関する基本的事項を定めることにより,本法人の事務及び事業の適正かつ円滑な運営を図りつつ,個人の権利利益を保護することを目的とする。
2 本法人における特定個人情報等の取扱いについては,番号法,個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)その他関係法令に別段の定めがあるもののほか,この要項の定めによる。
第2 定義
この要項における用語の意義は,次の各号に定めるもののほか,番号法及び個人情報保護法に定めるところによる。
(1) 「個人情報ファイル」とは,個人情報保護法第60条第2項に規定する個人情報ファイルであって本法人が保有するものをいう。
(2) 「本人」とは,個人番号によって識別される特定の個人をいう。
(3) 「部局」とは,総務部,財務部及び教育学部をいう。
第3 総括保護管理者
本法人に,本法人における特定個人情報等の管理に関する事務を総括させるため総括保護管理者を置き,総務担当の理事をもって充てる。
第4 保護管理者
本法人に,本法人における特定個人情報等の適切な管理を確保する(特定個人情報等を情報システムで取り扱う場合,当該情報システムの管理者と連携する。)ため保護管理者を置き,総務部人事課長,財務部経理調達課長及び教育学部事務長をもって充てる。
第5 事務取扱担当者
1 保護管理者は,職員(派遣労働者を含む。以下同じ。)のうちから,特定個人情報等を取り扱う職員(以下「事務取扱担当者」という。)を指名し,その役割を指定する。
2 保護管理者は,各事務取扱担当者が取り扱う特定個人情報等の範囲を指定する。
第6 特定個人情報等の取扱いに関する組織体制の整備
保護管理者は,次の各号に掲げる組織体制を整備する。
(1) 事務取扱担当者がこの要項等に違反している事実又は兆候を把握した場合の職員からの報告連絡体制
(2) 特定個人情報等の漏えい,滅失又はき損(以下「情報漏えい等」という。)事案の発生又は兆候を把握した場合の職員からの報告連絡体制
(3) 特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化
(4) 特定個人情報等の情報漏えい等の事案の発生又は兆候を把握した場合の対応体制
第7 監査責任者
本法人に,本法人における特定個人情報等の管理の状況について監査させるため,監査責任者を置き,内部監査室長をもって充てる。
第8 スタッフ組織
総括保護管理者は,特定個人情報等の管理に係る重要事項の決定,連絡・調整等を行うため,関係職員を構成員とするスタッフ組織を組織する。
第9 個人番号の利用の制限
本法人における個人番号関係事務は,次の各号に掲げる事務とする。
(1) 給与所得・退職所得の源泉徴収関係事務
(2) 国家公務員共済組合関係届出・申請事務
(3) 財産形成貯蓄関係届出・申請及び取引関係法定書類作成・提供事務
(4) 雇用保険関係届出・申請事務
(5) 健康保険・厚生年金保険関係届出・申請事務
(6) 国民年金第3号被保険者関係届出・申請事務
(7) 報酬・料金等の支払調書関係事務
(8) 不動産の使用料等の支払調書関係事務
(9) 不動産等の譲受け対価の支払調書関係事務
(10) 高等学校等就学支援金関係事務
第10 特定個人情報等の提供の求めの制限
1 本法人は,番号法に定める個人番号利用事務及び個人番号関係事務(以下「個人番号利用事務等」という。)を処理するために必要な場合その他番号法で定める場合を除き,個人番号の提供を求めてはならない。
2 事務取扱担当者は,番号法第14条第1項の規定により本人から個人番号(当該本人と同一世帯に属する者の個人番号を含む。)の提供を受けるときは,番号法第16条の定めるところにより本人確認を行わなければならない。
第11 特定個人情報ファイルの作成の制限
事務取扱担当者は,番号法第19条第13号から第17号までのいずれかに該当して特定個人情報を提供し,又はその提供を受けることができる場合を除き,個人番号利用事務等を処理するために必要な範囲を超えて特定個人情報ファイルを作成してはならない。
第12 特定個人情報等の収集及び保管の制限
本法人は,番号法第19条各号のいずれかに該当する場合を除き,特定個人情報等を収集又は保管してはならない。
第13 提供の制限
保護管理者は,番号法で定める場合を除き,特定個人情報等を提供してはならない。
第14 特定個人情報等を取り扱う区域の管理
保護管理者は,特定個人情報等の情報漏えい等を防止するために,次の各号に掲げる区域を明確にし,それぞれの区域において当該各号に掲げる措置を講ずるものとする。
(1) 管理区域 特定個人情報ファイルを取り扱う情報システムを管理する区域と定め,同区域において,入退室管理及び管理区域へ持ち込む機器及び電子媒体の制限等の措置を講ずる。
(2) 取扱区域 事務取扱担当者が特定個人情報を取り扱う事務を実施する区域と定め,同区域において,可能な限り,壁,間仕切り等を設置し及び座席配置を配慮する。
第15 個人情報保護取扱要項の準用
1 国立大学法人信州大学における個人情報の保護に関する取扱要項(令和4年国立大学法人信州大学要項第43号。以下「個人情報保護取扱要項」という。)第5,第6第1項,第8,第9,第14から第17まで,第19から第53まで,第59及び第64の規程は,特定個人情報等の取扱いについて準用する。この場合において,これらの規定中「個人情報」とあるのは「特定個人情報等」と,「個人データ」とあるのは「特定個人情報等」と,「部局等」とあるのは「部局」と読み替えるほか,次の表の左欄に掲げる個人情報保護取扱要項の規定中,同表の中欄に掲げる字句は,それぞれ同表の右欄に掲げる字句に読み替えるものとする。
| 個人情報保護取扱要項の規定 | 読み替えられる字句 | 読み替える字句 |
| 第8 | また,利用する必要がなくなったときは,当該個人データを遅滞なく消去するよう努めなければならない。 | また,利用する必要がなくなった場合で,法令等において定める保存期間等を経過したときは,当該特定個人情報等をできるだけ速やかに消去しなければならない。 |
| 第8,第21及び第22 | 利用目的 | 個人番号利用事務等 |
| 第14 | 総括保護管理者,保護管理者及び保護担当者 | 総括保護管理者及び保護管理者 |
| 第14,第16,第21第1項並びに第3項,第22,第23,第33,第35,第38,第40及び第48から第51 | 職員 | 事務取扱担当者 |
| 第17 | 記録するものとする。 | 記録するものとする。この場合において,当該記録には特定個人情報等を記録してはならない。 |
| 第19第4項 | 委託先において,特定個人情報等の取扱いに係る業務が再委託される場合には, | あらかじめ本法人が許諾した場合に限り,委託先は,特定個人情報等の取扱いに係る業務を再委託することができる。この場合において, |
| 第30第1項 | 個人データの取扱いに従事する職員 | 保護管理者及び事務取扱担当者 |
| 第30第3項 | 保護担当者 | 事務取扱担当者 |
| 第30第4項 | 当該部局の職員に対し, | 当該部局の職員(第1項及び第2項の職員に限る。)に対し, |
| 第46 | 講ずる。 | 講ずるとともに,特定個人情報等をインターネット等により外部へ送信する場合にあっては,次の各号に掲げる方法により,通信経路における情報漏えい,情報システム内に保存されている特定個人情報の情報漏えい等を防止するものとする。
(1) 通信経路の暗号化 (2) データの暗号化又はパスワードによる保護 |
| 第53 | 法第26条第1項 | 番号法第29条の4 |
| 第53 | 法第26条第2項 | 平成27年特定個人情報保護委員会告示第2号 |
2 前項において読み替えて準用する第30第1項の研修は,次の各号に掲げるところにより実施する。
(1) 研修の計画をあらかじめ策定し,これに沿ったものとする。
(2) 研修の内容は,特定個人情報の適正な取扱いを確保するために必要なサイバーセキュリティの確保に関する事項として,情報システムに対する不正な活動その他のサイバーセキュリティに対する脅威及び当該脅威による被害の発生又は拡大を防止するため必要な措置に関するものを含むものとする。
(3) 保護管理者は,特定個人情報ファイルを取り扱う事務に従事する者の全てに対して,おおむね一年ごとに研修を受けさせるようにする。
第16 雑則
この要項に定めるもののほか,本法人が保有する特定個人情報等の管理について必要な事項は,別に定める。
附 則
この要項は,令和4年4月1日から実施する。
附 則(令和5年12月20日令和5年度要項第7号)
|
|
この要項は,令和5年12月21日から実施する。