○国立大学法人香川大学特定個人情報取扱規則
令和4年4月1日
第1章 総則
(趣旨)
第1条 この規則は、国立大学法人香川大学(以下「大学法人」という。)が、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号。以下「番号法」という。)、「個人情報の保護に関する法律」(平成15年法律第57号。以下「個人情報保護法」という。)及び「特定個人情報の適正な取扱いに関するガイドライン」(以下「ガイドライン」という。)に基づき、大学法人における特定個人情報の安全管理措置について適正な取扱いを確保するために必要な事項を定める。
2 個人番号及び特定個人情報については、番号法、個人情報保護法、ガイドライン及びこの規則に定めるもののほか、国立大学法人香川大学個人情報管理規則(以下「個人情報管理規則」という。)を適用する。
(定義)
第2条 この規則における用語の定義は、個人情報管理規則、番号法その他関係法令の定めるもののほか、この条の定めるところによる。
2 個人番号 番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
3 特定個人情報 個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。)をその内容に含む個人情報をいう。
4 特定個人情報ファイル 個人番号をその内容に含む個人情報ファイルをいう。
5 個人番号関係事務 番号法第9条第3項の規定により個人番号利用事務(行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が同条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。)に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(個人番号を取り扱う事務の範囲)
第3条 大学法人において個人番号を取り扱う事務の範囲は以下のとおりとする。
(1) 役員及び職員に係る個人番号関係事務
① 給与所得・退職所得の源泉徴収事務
② 国家公務員共済届出・申請事務
③ 健康保険・厚生年金保険届出・申請事務
④ 雇用保険届出・申請事務
⑤ 財産形成住宅貯蓄・財産形成年金貯蓄申し込み関係事務
(2) 役員及び職員の配偶者に係る個人番号関係事務
国民年金の第3号被保険者の届出事務
(3) 第1号以外の個人に係る個人番号関係事務
報酬・料金等の支払調書作成事務
不動産の使用料等の支払調書作成事務
不動産等の譲受けの対価の支払調書作成事務
不動産等の売買又は貸付けのあっせん手数料の支払調書作成事務
(特定個人情報の範囲)
第4条 前条において大学法人が個人番号を取り扱う事務において使用される個人番号及び個人番号と関連付けて管理される特定個人情報は以下のとおりとする。
(1) 役員、職員又はそれ以外の個人から、番号法第16条に基づく本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、通知カード、身元確認書類等)の写し
(2) 大学法人が行政機関等に提出するために作成した届出書等及びこれらの控え
(3) 大学法人が届出書等を作成するうえで役員、職員又はそれ以外の個人から受領する個人番号が記載された申告書等
(4) その他個人番号と関連づけて保存される情報
第2章 安全管理措置
第1節 組織的安全管理措置
(管理体制)
第5条 特定個人情報の適正な管理を行うため、個人情報管理規則第3条に定めるもののほか、特定個人情報を取り扱う各部署に特定個人情報に係る事務に従事する者(個人番号が付された書類等を受領する担当者を含む。以下「事務取扱担当者」という。)を置き、保護管理者が当該管理責任を有する範囲内の職員を指名する。指名された者以外の者は、いかなる理由があろうとも特定個人情報に係る事務に携わることはできない。
(総括保護管理者等の責務)
第6条 総括保護管理者は、この規則を遵守するとともに、保護管理責任者、保護管理者、保護担当者(以下「特定個人情報管理担当者」という。)及び事務取扱担当者にこれを遵守させるための教育、安全対策の実施並びに周知徹底等の措置を実施する責任を負う。
3 保護管理責任者は、次の業務を所管する。
(1) 特定個人情報の安全管理に関する教育・研修の企画及び実施
(2) 特定個人情報の利用申請の承認及び管理
(3) 特定個人情報の運用状況の把握及び管理
(4) 特定個人情報ファイルの取扱状況の把握及び管理
(5) 保護管理者及び保護担当者の監督及び管理
(6) 事務取扱担当者の監督及び管理
(7) 特定個人情報ファイルを取り扱う情報システム(サーバ等)を管理する区域(以下「管理区域」という。)及び特定個人情報を取り扱う事務を実施する区域(以下「利用区域」という。)の設定及び管理
(8) 委託先における特定個人情報の取扱状況等の監督
(9) その他大学法人における特定個人情報の安全管理
(保護管理者の責務)
第7条 保護管理者は、保護管理責任者を補佐し、当該部署の個人番号及び特定個人情報の管理に関する事務を担当する。
2 保護管理者は、この規則を遵守するとともに、事務取扱担当者がこれを遵守しているかを常時把握し、管理する責任を負う。
(特定個人情報の記録)
第8条 事務取扱担当者は、この規則に基づく運用状況を確認するため、以下の項目につき、システムログ及び利用実績を記録し、保護管理者がこれを管理、保管するものとする。
(1) 特定個人情報の取得及び特定個人情報ファイルへの入力状況
(2) 特定個人情報ファイルの利用・出力状況の記録
(3) 書類及び特定個人情報記録媒体等の持ち運びの記録
(4) 特定個人情報ファイルの削除・廃棄記録
(5) 削除・廃棄を委託した場合、これを証明する記録等
(6) 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
(取扱状況の確認)
第9条 事務取扱担当者は、特定個人情報ファイルの取扱状況を確認するため、特定個人情報ファイル管理台帳(別紙様式)に以下の事項を記録し、保護管理者がこれを管理、保管するものとする。
(1) 特定個人情報ファイルの種類、名称
(2) 取扱部署、事務取扱担当者
(3) 管理区域、利用区域
(4) 利用目的
(5) 削除・廃棄状況
(情報漏えい事案等への対応)
第10条 総括保護管理者は、特定個人情報の漏えい、滅失又は毀損による事故(以下「漏えい事案等」という。)が発生したと判断した場合又はその恐れがあると判断した場合は、学長にその旨を報告するとともに、特定個人情報管理担当者と連携して、速やかに事実の調査を行い、漏えい事案等の防止、若しくは漏えい事案等による損害を最小限に食い止めなければならない。
2 総括保護管理者は、漏えい事案等が発生したと判断した場合は、その事実を本人に通知するとともに、必要に応じて公表する。
3 総括保護管理者は、漏えい事案等が発生したと判断した場合は、情報漏えい等が発生した原因を分析し、再発防止に向けた対策を講じるものとする。
4 総括保護管理者は、番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には、個人情報管理規則第32条に定める報告のほか、速やかに文部科学省及び個人情報保護委員会に報告するものとする。ただし、次の各号に掲げる事案又はそのおそれのある事案については、当該事案が発覚した時点で、直ちに文部科学省及び個人情報保護委員会に報告するものとする。
(1) 個人番号を取り扱う情報システムで使用するネットワークから外部に情報漏えい等があった場合(不正アクセス又は不正プログラムによるものを含む。)
(2) 事案における特定個人情報の本人の数が101人以上である場合
(3) 不特定多数の人が閲覧できる状態になった場合
(4) 職員等が不正の目的で持ち出したり利用したりした場合
(5) その他重大事案と判断される場合
(苦情への対応)
第11条 大学法人は、大学法人における特定個人情報の取扱いに関する苦情については、適切かつ迅速な処理に努めなければならない。
2 事務取扱担当者が情報主体からの苦情等を受け付けた場合には、その旨を保護管理者に報告する。報告を受けた保護管理者は、適切に対応するものとする。
(監査及び点検の実施)
第12条 監査責任者は、保有特定個人情報の管理の状況について個人情報管理規則第37条に基づき監査(外部監査及び他部署等による点検を含む。)を実施する。
(安全管理措置の見直し)
第13条 保護管理者は、定期に又は随時に特定個人情報の運用状況の記録及び特定個人情報ファイルの取扱状況の確認を実施しなければならない。
第2節 人的安全管理措置
(事務取扱担当者に関する監督及び管理)
第14条 保護管理者は、特定個人情報がこの規則に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。
(事務取扱担当者の責務)
第15条 事務取扱担当者は、特定個人情報の「取得」、「利用」、「保管」、「提供」、「開示、訂正、利用停止」、「廃棄」又は委託処理等、特定個人情報を取扱う業務に従事するに当たっては、特定個人情報を保護するため、番号法、個人情報保護法、ガイドライン、この規則及び個人情報管理規則を遵守するとともに、特定個人情報管理担当者の指示に従わなければならない。
2 事務取扱担当者は、特定個人情報の漏えい等、番号法、個人情報保護法、ガイドライン、この規則又は個人情報管理規則に違反している事実、若しくはその兆候を把握した場合には、速やかに保護管理者を通じて総括保護管理者に報告するものとする。
3 各部署において個人番号が記載された書類等の受領をする事務取扱担当者は、自分の手元に個人番号(個人番号が記された書面の写し、メモ等を含む。)を残してはならないものとする。
(教育・研修)
第16条 大学法人は、個人情報管理規則第5条に基づき、特定個人情報管理担当者及び事務取扱担当者にこの規則を遵守させるために必要な教育を実施するものとする。
2 特定個人情報管理担当者及び事務取扱担当者は、前項の規定に基づく教育を受けなければならない。
第3節 物理的安全管理措置
(管理区域及び利用区域)
第17条 大学法人における管理区域及び利用区域は保護管理責任者が設定し、それぞれの区域に対し、次の各号に従い以下の措置を講じるものとする。
(1) 管理区域
管理区域であることを明示するとともに、入退室管理及び管理区域へ持ち込む機器及び電子媒体等の制限等の措置を講ずる。
(2) 利用区域
事務取扱担当者等以外の者が特定個人情報等を容易に閲覧等できないよう留意する必要がある。
(機器及び電子媒体等の盗難等の防止)
第18条 大学法人は、管理区域及び利用区域における特定個人情報を取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。
(1) 特定個人情報を取扱う機器、電子媒体又は書類等は、施錠できるキャビネット・書庫等に保管する。
(2) 特定個人情報ファイルを取扱う情報システム機器は、セキュリティワイヤー等により固定する。
2 事務取扱担当者が、短時間であっても管理区域及び利用区域を離れるときは、前項各号の定める措置を遵守し、特定個人情報の盗難等を防止しなければならない。
(電子媒体等を持ち出す場合の漏えい等の防止)
第19条 大学法人は、特定個人情報が記録された電子媒体又は書類等の持ち出し(特定個人情報を、管理区域若しくは利用区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいい、学内での移動も含む。)は、次に掲げる場合を除き禁止する。
(1) 個人番号関係事務に係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
(2) 行政機関等への届出書等の提出等、大学法人が実施する個人番号関係事務に関するデータ又は書類を提出する場合
(3) 各部署で取りまとめた個人番号関係事務に必要な特定個人情報を取り扱う各部署間で移動する場合
2 前項により特定個人情報が記録された電子媒体又は書類等の持ち出しを行う場合には、以下の安全策を講じるものとする。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従うものとする。
(1) 特定個人情報が記録された電子媒体を安全に持ち出す方法
① 持ち出しデータの暗号化
② 持ち出しデータのパスワードによる保護
③ 施錠できる搬送容器の使用
④ 追跡可能な移送手段の利用
(2) 特定個人情報が記載された書類等を安全に持ち出す方法
① 封緘、目隠しシールの貼付(各部署の事務取扱担当者間において特定個人情報が記載された書類等を移送する場合を含む。)
(廃棄・削除)
第20条 特定個人情報の廃棄・削除段階における記録媒体等の管理は次のとおりとする。
(1) 事務取扱担当者は、特定個人情報が記録された書類等を廃棄する場合、シュレッダーによる裁断又は焼却場での焼却・溶解等の復元不可能な手段を用いなければならない。
(2) 事務取扱担当者は、特定個人情報が記録された機器及び電子媒体等を廃棄する場合、専用データ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を用いなければならない。
(3) 事務取扱担当者は、特定個人情報ファイル中の個人番号又は一部の特定個人情報を削除する場合、容易に復元できない手段を用いなければならない。
(4) 特定個人情報を取り扱う情報システムにおいては、当該関連する法定調書の法定保存期間経過後の最初に到来する年度末に個人番号を削除するよう情報システムを構築するものとする。
(5) 個人番号が記載された書類等については、当該関連する法定調書の法定保存期間経過後の最初に到来する年度末に廃棄をするものとする。
2 保護管理者は、事務取扱担当者が個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した以下の内容についての記録を保存するものとする。
(1) 特定個人情報ファイルの種類・名称
(2) 取扱部署、保護管理者の氏名
(3) 削除・廃棄状況
第4節 技術的安全管理措置
(アクセス制御)
第21条 特定個人情報へのアクセス制御は以下のとおりとする。
(1) 特定個人情報ファイルを取り扱うことのできる情報システム端末等を限定する。
(2) 各情報システムにおいて、アクセスすることのできる特定個人情報ファイルを限定する。
(3) ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
(アクセス者の識別と認証)
第22条 特定個人情報を取り扱う情報システムは、ユーザーID、パスワード、磁気・ICカード等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証するものとする。
2 事務取扱担当者が異動等によって変更となった場合には、即時にパスワードを変更、磁気・ICカードを変更するなどし、アクセス権の変更設定を行わなければならない。
3 アクセス権を有しない者は、いかなる理由があっても、特定個人情報を取り扱う情報システムにアクセスしてはならない。
(外部からの不正アクセス等の防止)
第23条 大学法人は、以下の各方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。
(1) 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する方法
(2) 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入し、不正ソフトウェアの有無を確認する方法
(3) 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする方法
(4) ログ等の分析を定期的に行い、不正アクセス等を検知する方法
(情報漏えい等の防止)
第24条 大学法人は、特定個人情報をインターネット等により外部に送信する場合、通信経路における情報漏えい等及び情報システムに保存されている特定個人情報の情報漏えい等を防止するものとする。
(1) 通信経路における情報漏えい等の防止策
通信経路の暗号化
(2) 情報システムに保存されている特定個人情報の情報漏えい等の防止策
データの暗号化又はパスワードによる保護
第3章 特定個人情報の取得
(特定個人情報の適正な取得)
第25条 大学法人は、特定個人情報の取得を適法かつ公正な手段によって行うものとする。
(特定個人情報の利用目的)
第26条 大学法人が、役員、職員又はその他の個人から取得する特定個人情報の利用目的は、第3条に掲げた個人番号を取り扱う事務の範囲内とする。
(特定個人情報の取得時の利用目的の通知)
第27条 大学法人は、特定個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を情報主体に通知し、又は公表しなければならない。
2 利用目的の変更を要する場合、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知、公表又は明示を行うことにより、変更後の利用目的の範囲内で特定個人情報を利用することができる。
(個人番号の提供の要求)
第28条 大学法人は、第3条に掲げる事務を処理するために必要がある場合に限り、個人番号の提供を求めることができるものとする。
(個人番号の提供を求める時期)
第29条 大学法人は、第3条に定める事務を処理するために必要があるときに個人番号の提供を求めることとする。
2 前項にかかわらず、本人との法律関係等に基づき、個人番号関係事務の発生が予想される場合には、当該事務の発生が予想できた時点で個人番号の提供を求めることが可能であるものとする。
(特定個人情報の提供の求めの制限)
第30条 大学法人は、番号法第19条各号のいずれかに該当し特定個人情報の提供を受けることができる場合を除き、特定個人情報の提供を求めてはならない。
(特定個人情報の取得制限)
第31条 大学法人は、第3条に定める事務の範囲を超えて、特定個人情報を取得しないものとする。
(本人確認)
第32条 大学法人が個人番号を取得するに当たっては、番号法第16条に定める各方法により、個人番号の確認及び当該人の身元確認を行うものとする。また、代理人については、同条に定める各方法により、当該代理人の身元確認、代理権の確認及び本人の個人番号の確認を行うものとする。
第4章 特定個人情報の利用
(個人番号の利用制限)
第33条 大学法人は、第26条に掲げる利用目的の範囲内でのみ個人番号を利用するものとする。
2 大学法人は、人の生命、身体又は財産の保護のために必要がある場合を除き、本人の同意があったとしても、利用目的を超えて個人番号を利用してはならないものとする。
(特定個人情報ファイルの作成の制限)
第34条 大学法人は、第3条に定める事務を実施するために必要な範囲内でのみ特定個人情報ファイルを作成する。
第5章 特定個人情報の保管
(特定個人情報の正確性の確保)
第35条 事務取扱担当者は、特定個人情報を、第26条に掲げる利用目的の範囲において、正確かつ最新の状態で管理するよう努めるものとする。
(特定個人情報の保管制限)
第36条 大学法人は、第3条に定める事務の範囲を超えて、特定個人情報を保管してはならない。
2 大学法人は、所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、届出書等の書類の再作成等の個人番号関係事務を行うために必要があると認められるため、当該書類及び書類を作成するシステム内においても保管することができる。
3 大学法人は、番号法上の本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、通知カード、身元確認書類等)の写しや大学法人が行政機関等に提出する届出書等の書類の控えや当該書類を作成するうえで大学法人が受領する個人番号が記載された申告書等を特定個人情報として保管するものとする。これらの書類については、法定調書の再作成を行うなど個人番号関係事務の一環として利用する必要があると認められるため、関連する所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、保存することができる。
第6章 特定個人情報の提供
(特定個人情報の提供制限)
第37条 大学法人は、番号法第19条各号に掲げる場合を除き、本人の同意の有無に関わらず、特定個人情報を第三者に提供しないものとする。
第7章 特定個人情報の開示、訂正及び利用停止等
(開示、訂正及び利用停止等)
第38条 大学法人は、個人情報保護法の規定に基づき、特定個人情報の開示、訂正及び利用停止の請求があった場合には、その適切かつ迅速な処理に努めなければならない。
第8章 特定個人情報の廃棄・削除
(特定個人情報の廃棄・削除)
第39条 大学法人は第3条に規定する事務を処理する必要がある範囲内に限り特定個人情報を収集又は保管し続けるものとする。なお、書類等について所管法令によって一定期間保存が義務付けられているものについては、これらの書類等に記載された個人番号については、その期間保管するものとし、それらの事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除するものとする。
第9章 特定個人情報の委託の取扱い
(委託先における安全管理措置)
第40条 大学法人は、個人番号関係事務の全部又は一部を委託する場合には、大学法人自らが果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう、必要かつ適切な監督を行なうものとする。
2 前項の「必要かつ適切な監督」には次に掲げる事項が含まれる。
(1) 委託先の適切な選定
(2) 委託先に安全管理措置を遵守させるために必要な契約の締結
(3) 委託先における特定個人情報の取扱状況の把握
3 前項第1号の「委託先の適切な選定」としては、以下の事項について特定個人情報の保護に関して大学法人が定める水準を満たしているかについて、あらかじめ確認する。
(1) 設備
(2) 技術水準
(3) 従業者(事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいう。具体的には、従業員のほか、取締役、監査役、理事、派遣社員等を含む。)に対する監督・教育の状況
(4) 経営環境状況
(5) 特定個人情報の安全管理の状況(「個人番号を取り扱う事務の範囲の明確化」、「特定個人情報の範囲の明確化」、「事務取扱担当者の明確化」、「個人番号の削除、機器及び電子媒体等の廃棄」を含む。)
4 第2項第2号の「委託先に安全管理措置を遵守させるために必要な契約の締結」については、委託契約の内容として、以下の規定等を盛り込むものとする。
(1) 秘密保持義務に関する規定
(2) 事業所内からの特定個人情報の持ち出しの禁止
(3) 特定個人情報の目的外利用の禁止
(4) 再委託における条件
(5) 漏えい事案等が発生した場合の委託先の責任に関する規定
(6) 委託契約終了後の特定個人情報の返却又は廃棄に関する規定
(7) 従業者に対する監督・教育に関する規定
(8) 契約内容の遵守状況について報告を求める規定に関する規定
(9) 特定個人情報を取り扱う従業者の明確化に関する規定
(10) 委託者が委託先に対して、実地の監査、調査等を行うことができる規定
5 大学法人は、委託先の管理については、財務部経理課を責任部署とする。
6 大学法人は、委託先において特定個人情報の安全管理が適切に行われていることについて、1年に1回又は臨時に必要に応じてモニタリングをするものとする。
7 大学法人は、委託先において情報漏えい事故等が発生した場合に、適切な対応がなされ、速やかに大学法人に報告される体制になっていることを確認するものとする。
8 委託先は、大学法人の許諾を得た場合に限り、委託を受けた個人番号関係事務の全部又は一部を再委託することができるものとする。再委託先が更に再委託する場合も同様とする。
9 大学法人は、再委託先の適否の判断のみならず、委託先が再委託先に対しても必要かつ適切な監督を行っているかどうかについても監督する。
10 大学法人は、委託先が再委託をする場合、当該再委託契約の内容として、第4項と同等の規定等を盛り込ませるものとする。
第10章 その他
(雑則)
第41条 この規則に定めるもののほか、特定個人情報の取扱いに関し必要な事項は、別に定める。
附則
1 この規則は、令和4年4月21日から施行し、令和4年4月1日から適用する。
2 この規則の制定により、国立大学法人香川大学特定個人情報取扱要項(平成27年10月5日制定)は廃止する。
