○国立大学法人山形大学特定個人情報取扱規程
平成27年9月24日
目次
第1章 総則(第1条―第3条)
第2章 特定個人情報等の適正な管理(第4条―第14条)
第3章 開示,訂正及び利用停止(第15条)
第4章 委託の取扱い(第16条・第17条)
第5章 安全管理措置
第1節 組織的安全管理措置(第18条―第25条)
第2節 人的安全管理措置(第26条―第28条)
第3節 物理的安全管理措置(第29条―第34条)
第4節 技術的安全管理措置(第35条―第38条)
第6章 雑則(第39条・第40条)
附則
第1章 総則
(趣旨)
第1条 国立大学法人山形大学(以下「本学」という。)における特定個人情報の適正な取扱いについては,法令又は別に定めるもののほか,この規程の定めるところによる。
(1) 個人情報 国立大学法人山形大学個人情報保護規程(以下「個人情報保護規程」という。)第2条第1号に規定する個人情報であって,本学が取り扱い又は保有するものをいう。
(2) 個人情報ファイル 個人情報保護規程第2条第12号に規定する個人情報ファイルであって,本学が保有するものをいう。
(3) 個人番号 「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号。以下「番号法」という。)第2条第5項に規定する個人番号をいう。
(4) 特定個人情報 番号法第2条第8項に規定する特定個人情報であって,個人番号をその内容に含む個人情報をいう。
(5) 特定個人情報ファイル 個人番号をその内容に含む個人情報ファイルをいう。
(6) 本人 個人番号によって識別される特定の個人をいう。
(7) 部局及び部局長 次の表に掲げるものをいう。
部局 | 部局長 | |
各学部 | 当該学部を基礎とする研究科及び当該学部に置く教育研究支援施設を含み,地域教育文化学部にあっては教育実践研究科を,医学部にあっては医学部附属病院を含む。 | 各学部長 |
学士課程基盤教育院 | 学士課程基盤教育院長 | |
附属学校 | 附属学校運営部長 | |
各キャンパス | この表に掲げる他の部局を除き,当該キャンパスに置く教育研究支援施設,図書館及び事務部を含む。 | 各キャンパス長 |
法人本部 | 戦略本部,監査室,機構及び所管する教育研究推進組織を含む。 | 総務部長 |
(8) 職員 本学と雇用関係にある者(役員を含む。常勤,非常勤を問わない。)
(他の学内諸規則との関係)
第3条 この規程は,特定個人情報の取扱いに関し個人情報の取扱いの特例を定めるものであり,個人情報の取扱いに関する他の学内諸規則に優先して適用されるものとする。
2 特定個人情報の取扱いに関しこの規程に特段の定めがない事項については,個人情報の取扱いに関する他の学内諸規則が適用されるものとする。
第2章 特定個人情報等の適正な管理
(個人番号を取り扱うことができる事務の範囲)
第4条 本学が個人番号を取り扱うことができる事務の範囲は,次のとおりとする。
(1) 給与所得の源泉徴収票作成事務
(2) 共済組合の届出・申請事務
(3) 厚生年金保険の届出・申請事務
(4) 雇用保険の届出・申請事務
(5) 労働者災害補償の届出・申請事務
(6) 国民年金第3号被保険者の届出・申請事務
(7) 財産形成貯蓄,財産形成年金貯蓄及び財産形成住宅貯蓄の届出・申請事務
(8) 報酬,料金,契約金,賞金等の支払調書作成事務
(特定個人情報等の範囲)
第5条 前条各号に掲げる事務を遂行するために各部局において取り扱う個人番号及び個人番号と関連付けて管理される個人情報(以下「特定個人情報等」という。)の範囲は,次のとおりとする。
(1) 本人から第10条の規定に基づき提示を受けた本人確認書類(個人番号カード,身元確認書類等)及びこれらの写し
(2) 各部局が税務署等の行政機関等に提出するために作成した法定調書及びこれらの控え
(3) 各部局が法定調書を作成する上で本人から提出を受けた個人番号が記載された申告書等及びこれらの写し
(4) その他個人番号と関連付けて管理される情報
(事務取扱責任者・事務取扱担当者)
第6条 前条各号に掲げる特定個人情報等を取り扱う部局の課又は室に,特定個人情報等を管理する事務に従事する職員(以下「事務取扱責任者」という。)を置き,当該課又は室の長をもって充てる。
2 事務取扱責任者は,特定個人情報等を取り扱う事務に従事する職員(以下「事務取扱担当者」という。)の範囲を明確にしておかなければならない。
(個人番号の提供の要求)
第7条 各部局は,第4条各号に掲げる事務を遂行するために必要がある場合に限り,利用目的を明示した上で,本人に対し個人番号の提供を求めることができる。
(個人番号の提供の求めの制限)
第8条 各部局は,前条の規定により個人番号の提供を受けることができる場合を除き,個人番号の提供を求めてはならない。
(個人番号の提供)
第9条 職員は,第7条の規定により個人番号の提供を求められたときは,個人番号を当該部局に提供するものとする。
2 職員は,前項の規定により提供した個人番号に変更があったときは,速やかにその旨を当該部局に申し出るものとする。
(本人確認の措置)
第10条 各部局は,第7条の規定により個人番号の提供を受けるときは,個人番号カード,身元確認書類等の提示等,番号法第16条で定められた方法により本人確認の措置をとらなければならない。
(特定個人情報の利用制限)
第11条 各部局は,第7条の規定により提供を受けた特定個人情報について,本人の同意があったとしても,利用目的以外の目的のために当該特定個人情報を利用してはならない。
2 前項の規定にかかわらず,各部局は,人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意があり,又は本人の同意を得ることが困難であるときは,利用目的以外の目的のために当該特定個人情報を利用することができる。ただし,利用目的以外の目的のために当該特定個人情報を利用することによって,本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは,この限りでない。
(特定個人情報ファイルの作成制限)
第12条 各部局は,第4条に規定する事務の範囲を超えて,特定個人情報ファイルを作成してはならない。
(特定個人情報の提供制限)
第13条 各部局は,番号法第19条各号に該当する場合を除き,本人の同意があったとしても,第三者に特定個人情報を提供してはならない。
2 前項において「提供」とは,本学を超えて特定個人情報が移動することを意味し,本学の部局間で特定個人情報が移動する場合は,「提供」ではなく「利用」に当たる。
(特定個人情報の収集・保管制限)
第14条 各部局は,第4条に規定する事務の範囲を超えて,特定個人情報を収集し,又は保管してはならない。
2 各部局は,特定個人情報を含む法人文書について,国立大学法人山形大学法人文書管理規程第14条の規定に基づき設定された保存期間に従い,当該期間保管するものとし,第4条各号に掲げる事務を遂行する必要がなくなった場合で,かつ,当該期間を経過した場合には,個人番号をできるだけ速やかに廃棄又は削除しなければならない。
第3章 開示,訂正及び利用停止
(開示,訂正及び利用停止)
第15条 本学の保有する自己を本人とする特定個人情報の開示,訂正及び利用停止については,番号法第29条第2項,独立行政法人等の保有する情報の公開に関する法律(平成13年法律第140号)第12条から第24条まで及び第26条から41条まで,国立大学法人山形大学における個人情報の開示等に関する細則第3条から第14条まで,国立大学法人山形大学個人情報情報公開取扱実施細則並びに国立大学法人山形大学個人情報保護情報公開に関する開示・不開示の審査基準細則の規定により行うものとする。
第4章 委託の取扱い
(委託先の監督)
第16条 各部局は,第4条各号に掲げる事務の全部又は一部を委託する場合には,委託先において,この規程に基づき自らが果たすべき安全管理措置と同等の措置が講じられるよう,必要かつ適切な監督を行わなければならない。
2 前項に定める「必要かつ適切な監督」には,次に掲げる事項が含まれる。
(1) 委託先の適切な選定
(2) 委託先に安全管理措置を遵守させるための必要な契約の締結
(3) 委託先における特定個人情報の取扱状況の把握
3 前項第1号に定める「委託先の適切な選定」を行うに当たっては,各部局は,自らが果たすべき安全管理措置と同等の措置が委託先において適切に講じられるか否かについて,次の事項をあらかじめ確認しなければならない。
(1) 設備
(2) 技術水準
(3) 従業者(事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいう。具体的には,従業員のほか,取締役,監査役,理事,監事,派遣社員等を含む。)に対する監督・教育の状況
(4) その他委託先の経営環境等
4 第2項第2号に定める「委託先に安全管理措置を遵守させるための必要な契約の締結」を行うに当たっては,各部局は,委託契約の内容として,次の規定を盛り込まなければならない。
(1) 秘密保持義務
(2) 事業所内からの特定個人情報の持ち出しの禁止
(3) 特定個人情報の目的外利用の禁止
(4) 再委託における条件
(5) 漏えい事案等が発生した場合の委託先の責任
(6) 委託契約終了後の特定個人情報の返却又は廃棄
(7) 特定個人情報を取り扱う従業者の明確化
(8) 従業者に対する監督・教育
(9) 契約内容の遵守状況について報告を求める規定
(10) 必要があると認めるときは委託先に対して,実地の監査,調査等を行うことができる規定
(再委託)
第17条 各部局から第4条各号に掲げる事務の全部又は一部の委託を受けた者は,当該委託をした部局の許諾を得た場合に限り,その全部又は一部の再委託をすることができる。再委託先が更に再委託する場合も同様とする。
2 前項の場合において,各部局は,再委託先の適否の判断だけでなく,委託先が再委託先に対して必要かつ適切な監督を行っているかどうかについても監督するものとする。
第5章 安全管理措置
第1節 組織的安全管理措置
(安全管理措置)
第18条 部局長は,特定個人情報等(生存する個人のものだけでなく死者のものも含む。以下同じ。)の漏えい,滅失又は毀損の防止その他の特定個人情報等の適切な管理のために必要な措置を講じなければならない。
(安全管理措置を講ずるための組織体制)
第19条 本学における特定個人情報等の安全管理措置を講ずるための組織体制は,国立大学法人山形大学保有個人情報管理細則(以下「個人情報管理細則」という。)第3条から第7条までに定めるところによる。
(事務取扱責任者の責務)
第20条 第6条第1項に定める事務取扱責任者は,この規程に定められた事項を事務取扱担当者に理解させ,遵守させるとともに,この規程に定められた安全管理措置を適切に実施しなければならない。
(事務取扱担当者の責務)
第21条 第6条第2項に定める事務取扱担当者は,この規程に定められた事項を理解し,遵守するとともに,事務取扱責任者の指示に従い,特定個人情報等を適正に取り扱わなければならない。
(運用状況の確認)
第22条 保護管理者は,この規程に基づく運用状況を確認するため,次に掲げる措置を講じるものとする。
(1) 特定個人情報等の利用状況等を記録し,その記録(以下「アクセス記録」という。)を一定の期間保存し,定期に及び必要に応じ随時に分析等するための体制を整備
(2) アクセス記録の改ざん,窃取又は不正な削除の防止のために必要な措置及び分析等
(取扱状況の確認手段)
第23条 保護管理者は,特定個人情報ファイルの取扱状況を確認するための手段として,個人情報保護規程第20条に定める個人情報ファイル簿に,次に掲げる項目を含めて記録するものとする。
(1) 特定個人情報ファイルの名称
(2) 本学の名称及び特定個人情報ファイルが利用に供される事務をつかさどる部等の名称
(3) 特定個人情報ファイルの利用目的
(4) 特定個人情報ファイルに記録される項目及び本人として特定個人情報ファイルに記録される個人の範囲
(5) 特定個人情報ファイルに記録される特定個人情報等の収集方法
(6) 記録情報に要配慮個人情報が含まれるときは,その旨
(7) 記録情報を外部の者に経常的に提供する場合には,その提供先
(8) 開示,訂正又は利用停止の請求を受理する組織の名称及び所在地
(9) 訂正又は利用の停止,消去若しく提供について他の法律又はこれに基づく命令より特別の手続が定められているときは,その旨
(10) その他個人情報の保護に関する法律施行令第19条第1項で定める事項
(情報漏えい等事案への対応)
第24条 特定個人情報等の漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案(以下この条において「事案」という。)が発生した場合の対応については,番号法第28条の4及び「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(平成27年特定個人情報保護委員会規則第5号)並びに「独立行政法人等及び地方公共団体等における特定個人情報の漏えい事案等が発生した場合の対応について」(平成27年特定個人情報保護委員会告示第1号)に定めるもののほか,この条の定めるところによる。
2 情報漏えい等事案を認識した職員は,直ちに当該特定個人情報等を管理する保護管理者に報告しなければならない。
3 保護管理者は,前項の報告を受けたときは,次に掲げる事項について必要な措置を講じるものとする。
(1) 直ちに行う措置
ア 総括保護管理者への報告
イ 被害の拡大防止等
(2) 速やかに行う措置
ア 事実関係の調査及び原因の究明
イ 影響範囲の特定
ウ 再発防止策の検討及び実施
エ 影響を受ける可能性のある本人への連絡等
4 総括保護管理者は,前項の報告を受けた場合には,事案の内容等に応じて,学長に速やかに報告するものとする。
5 学長は,前項の報告を受けた場合には,事案の内容等に応じて,文部科学省及び個人情報保護委員会に対し速やかに報告するものとする。
6 学長は,事案の内容等に応じて,二次被害の防止,類似事案の発生回避等の観点から,事実関係及び再発防止策等について,速やかに公表するものとする。
(監査及び点検)
第25条 監査責任者は,特定個人情報の管理の状況について,定期に及び必要に応じ随時に監査(外部監査及び他部署等による点検を含む。)を行い,その結果を総括保護管理者に報告するものとする。
2 保護管理者は,自ら管理責任を有する特定個人情報の記録媒体,処理経路,保管方法等について,定期に及び必要に応じ随時に点検を行い,必要があると認めるときは,その結果を総括保護管理者に報告するものとする。
3 特定個人情報の適切な管理のための措置については,総括保護管理者,保護管理者等は,監査の結果等を踏まえ,実効性等の観点から評価し,必要があると認めるときは,その見直し等の措置を講じるものとする。
第2節 人的安全管理措置
(事務取扱担当者等の監督)
第26条 総括保護管理者及び保護管理者は,特定個人情報等がこの規程に基づき適正に取り扱われるよう,事務取扱責任者及び事務取扱担当者に対して必要かつ適切な監督を行うものとする。
(事務取扱担当者等の教育)
第27条 総括保護管理者及び保護管理者は,事務取扱担当者に,特定個人情報等の適正な取扱いについて理解を深め,特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。
2 総括保護管理者及び保護管理者は,特定個人情報等を取り扱う情報システムの管理に関する事務に従事する職員に対し,特定個人情報等の適切な管理のために,情報システムの管理,運用及びセキュリティ対策に関して必要な教育研修を行うものとする。
3 総括保護管理者は,保護管理者及び事務取扱責任者に対し,当該部局における特定個人情報等の適切な管理のために必要に応じて教育研修を行うものとする。
4 前項の教育研修については,教育研修への参加の機会を付与するとともに,研修未受講者に対して再受講の機会を付与する等の必要な措置を講じるものとする。
(法令等違反に対する厳正な対処)
第28条 総括保護管理者は,法令及びこの規程に違反した職員に対し,法令及び学内諸規則に基づき厳正に対処する。
第3節 物理的安全管理措置
(管理区域の管理)
第29条 保護管理者は,特定個人情報ファイルを取り扱う情報システム(サーバ等)を管理する区域(以下「管理区域」という。)を明確にし,事務取扱担当者の座席配置を工夫する等の物理的な安全管理措置並びに管理区域において,入退室管理及び管理区域へ持ち込む機器等の制限等の措置を講じるものとする。
(取扱区域の管理)
第30条 保護管理者は,特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)について,事務取扱担当者以外の者が特定個人情報等を容易に閲覧等できないよう留意するものとする。
(情報システム室等の管理)
第31条 保護管理者は,管理区域のうち,基幹的なサーバー等の機器を設置する室等(以下「情報システム室等」という。)を区分して管理する場合には,情報システム室等について,次に掲げる措置を講じるものとする。
(1) 保護管理者は,情報システム室等に入室する権限を有する者を定めるとともに,用件の確認,入退室の記録,部外者についての識別化,部外者が入室する場合の職員の立会い等の措置を講じるものとする。また,情報システム室等に特定個人情報等を記録する媒体を保管するための施設を設けている場合においても,必要があると認めるときは,同様の措置を講じるものとする。
(2) 保護管理者は,必要があると認めるときは,情報システム室等の出入口の特定化による入退室の管理の容易化,所在表示の制限等の措置を講じるものとする。
(3) 保護管理者は,必要があると認めるときは,入室に係る認証機能を設定し,及びパスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。),パスワード等の読取防止等を行うために必要な措置を講じるものとする。
(4) 保護管理者は,外部からの不正な侵入に備え,情報システム室等に施錠装置,警報装置,監視設備の設置等の措置を講じるものとする。
(機器及び電子媒体等の盗難等の防止)
第32条 保護管理者は,管理区域及び取扱区域における特定個人情報等を取り扱う機器,電子媒体及び書類等の盗難又は紛失等を防止するために,物理的な安全管理措置を講じるものとする。また,電子媒体及び書類等の本学内の移動等において,紛失・盗難等に留意するものとする。
(電子媒体等の取扱いにおける漏えい等の防止)
第33条 保護管理者は,許可された電子媒体又は機器等以外のものについて使用の制限等の必要な措置を講じるものとする。また,記録機能を有する機器の情報システム端末等への接続の制限等の必要な措置を講じるものとする。
2 保護管理者は,この規程に定める手続に基づき,特定個人情報等が記録された電子媒体又は書類等を持ち運ぶ(特定個人情報等を管理区域又は取扱区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいう。)必要が生じた場合には,容易に個人番号が判明しないよう安全な方策を講じるものとする。
(個人番号の削除,機器及び電子媒体等の廃棄)
第34条 保護管理者は,特定個人情報等が記録された電子媒体及び書類等について,第14条第2項に該当する場合には,個人番号をできるだけ速やかに復元できない手段で削除又は廃棄するものとする。
2 保護管理者は,個人番号若しくは特定個人情報ファイルを削除した場合,又は電子媒体等を廃棄した場合には,削除又は廃棄した記録を保存するものとする。また,これらの作業を委託する場合には,委託先が確実に削除又は廃棄したことについて,証明書等により確認するものとする。
第4節 技術的安全管理措置
(アクセス制御)
第35条 保護管理者は,情報システムを使用して第4条各号に掲げる事務を行う場合,事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために,適切なアクセス制御を行うものとする。
(アクセス者の識別と認証)
第36条 保護管理者は,特定個人情報等を取り扱う情報システムは,ユーザーID,パスワード,磁気・ICカード等の識別方法により,事務取扱担当者が正当なアクセス権を有する者であることを,識別した結果に基づき認証するものとする。
(不正アクセス等による被害の防止等)
第37条 保護管理者は,情報システムを外部等からの不正アクセス又は不正ソフトウェアから保護する仕組み等を導入し,適切に運用するものとする。
2 保護管理者は,情報システムをインターネットから独立する等の高いセキュリティ対策を踏まえたシステム構築や運用体制整備を行うものとする。
(情報漏えい等の防止)
第38条 保護管理者は,特定個人情報等をインターネット等により外部に送信する場合,通信経路における情報漏えい等を防止するための措置を講じるものとする。
2 保護管理者は,特定個人情報ファイルを機器又は電子媒体等に保存する必要がある場合,原則として,暗号化又はパスワードにより秘匿するものとする。
第6章 雑則
(適用除外)
第39条 特定個人情報の取扱い及び管理に当たっては,個人情報の取扱い及び管理に関する次の規定は,適用しない。
(1) 個人情報保護規程第4条,第13条及び第14条
(2) 個人情報管理細則第13条
(その他)
第40条 この規程に定めるもののほか,特定個人情報の取扱いに関し必要な事項は,学長が別に定める。
附則
この規程は,平成27年10月5日から施行する。
附則(平成28年2月4日)
この規程は,平成28年2月4日から施行する。
附則(平成28年3月22日)
この規程は,平成28年4月1日から施行する。
附則(平成29年3月27日)
この規程は,平成29年4月1日から施行する。
附則(平成29年5月18日)
この規程は,平成29年5月18日から施行し,平成29年4月1日から適用する。
附則(平成29年5月24日)
この規程は,平成29年5月30日から施行する。
附則(平成30年11月1日)
この規程は,平成30年11月1日から施行する。
附則(平成30年12月17日)
この規程は,平成31年4月1日から施行する。
附則(平成31年3月27日)
この規程は,平成31年4月1日から施行する。
附則(令和2年12月23日)
この規程は,令和3年4月1日から施行する。
附則(令和4年3月16日)
この規程は,令和4年4月1日から施行する。
附則(令和4年10月25日)
この規程は,令和4年11月1日から施行し,令和4年10月1日から適用する。
附則(令和5年3月22日)
この規程は,令和5年4月1日から施行する。