○欧洲杯足球买比赛平台网址_欧洲杯开户首选-官网中文版香川大学個人情報管理規則
平成29年11月24日
目次
第1章 総則(第1条?第2条)
第2章 管理体制(第3条?第4条)
第3章 教育研修(第5条)
第4章 職員の責務(第6条)
第5章 個人情報の取扱い(第6条の2―第12条)
第6章 情報システムにおける安全性の確保等(第13条―第27条の2)
第7章 情報システム室等の安全管理(第28条?第29条)
第8章 業務の委託等(第30条)
第8章の2 第三者提供の制限等(第31条―第31条の5)
第8章の3 仮名加工情報(第31条の6?第31条の7)
第9章 安全確保上の問題への対応(第32条―第33条の3)
第10章 個人情報ファイル簿の作成及び公表(第34条)
第11章 個人情報の開示、訂正及び利用停止(第35条)
第12章 行政機関等匿名加工情報の提供(第36条)
第13章 監査及び点検等の実施(第37条―第39条)
第14章 行政機関との連携(第40条)
第15章 雑則(第41条)
附則
第1章 総則
(趣旨)
第1条 欧洲杯足球买比赛平台网址_欧洲杯开户首选-官网中文版香川大学(以下「大学法人」という。)における個人情報の取扱いに関しては、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)及びその他関係法令等に基づき、この規則の定めるところによる。
(定義)
第2条 この規則において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
(1) 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2) 個人識別符号が含まれるもの
2 この規則において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「政令」という。)第1条で定めるものをいう。
(1) 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
(2) 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
3 この規則において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
4 この規則において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
(1) 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(2) 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(1) 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(2) 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
7 この規則において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
8 この規則において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
(1) 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
(2) 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
9 この規則において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
(1) 国の機関
(2) 地方公共団体
(3) 独立行政法人等(法別表第二に掲げる法人を除く。)
(4) 地方独立行政法人
10 この規則において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
11 この規則において「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。
12 この規則において「保有個人情報」とは、大学法人の役員又は職員(以下「職員」という。)が職務上作成し、又は取得した個人情報であって、職員が組織的に利用するものとして、大学法人が保有する法人文書(独立行政法人等の保有する情報の公開に関する法律(平成13年法律第140号。以下「独立行政法人等情報公開法」という。)第2条第2項に規定する法人文書をいう。以下同じ。)に記録されているものをいう。
13 この規則において「個人情報ファイル」とは、保有個人情報を含む情報の集合物であって、次の各号に掲げるものをいう。
(1) 一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
(2) 前号に規定するもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの
14 この規則において「行政機関等匿名加工情報」とは、次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報の全部又は一部(これらの一部に独立行政法人等情報公開法第5条に規定する不開示情報(同条第1号に掲げる情報を除き、同条第2号ただし書に規定する情報を含む。以下この項において同じ。)が含まれているときは、当該不開示情報に該当する部分を除く。)を加工して得られる匿名加工情報をいう。
(1) 第34条の規定に基づき、法第75条第1項に規定する個人情報ファイル簿に記載するものであること。
(2) 大学法人に対し、当該個人情報ファイルを構成する保有個人情報が記録されている法人文書の独立行政法人等情報公開法第3条の規定による開示の請求があったとしたならば、大学法人が次のいずれかを行うこととなるものであること。
イ 当該法人文書に記録されている保有個人情報の全部又は一部を開示する旨の決定をすること。
ロ 独立行政法人等情報公開法第14条第1項又は第2項の規定により意見書の提出の機会を与えること。
(3) 大学法人の事務及び事業の適正かつ円滑な運営に支障のない範囲内で、法第116条第1項の基準に従い、当該個人情報ファイルを構成する保有個人情報を加工して匿名加工情報を作成することができるものであること。
15 この規則において「行政機関等匿名加工情報ファイル」とは、行政機関等匿名加工情報を含む情報の集合物であって、次に掲げるものをいう。
(1) 特定の行政機関等匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの
(2) 前号に掲げるもののほか、特定の行政機関等匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
第2章 管理体制
(総括保護管理者等)
第3条 大学法人に、個人データの適正な管理を行うため、総括保護管理者、保護管理責任者、保護管理者、保護担当者及び監査責任者を置く。
2 総括保護管理者は、学長が指名する理事をもって充て、大学法人における個人データの管理に関する業務を総轄する任に当たる。
3 保護管理責任者は、別表第1のとおり各部局等に置くこととし、所掌する組織における個人データの管理に関する業務を統括する任に当たる。
4 保護管理者は、別表第2のとおり各部局等に置くこととし、所掌する組織における個人データの適切な管理を確保する任に当たる。個人データを情報システムで取り扱う場合、保護管理者は、当該情報システムの管理者と連携して、その任に当たる。
5 保護担当者は、保護管理者の下にそれぞれ1人又は複数人を置くこととし、保護管理者が当該管理責任を有する範囲内の職員を指名する。指名された保護担当者は、保護管理者を補佐し、保護管理者の個人データの管理に関する事務を担当する。この場合において、教育研究に係る保護管理者は、保護担当者を兼ねることができる。
6 監査責任者は、監査室長をもって充て、大学法人における個人データの管理の状況について監査する任に当たる。
(個人情報保護委員会)
第4条 大学法人は、大学法人が取得し保有する個人情報について、その取扱いに関する審議等を行うため、欧洲杯足球买比赛平台网址_欧洲杯开户首选-官网中文版香川大学個人情報保護委員会を置く。
2 欧洲杯足球买比赛平台网址_欧洲杯开户首选-官网中文版香川大学個人情報保護委員会について必要な事項は、別に定める。
第3章 教育研修
(教育研修)
第5条 総括保護管理者は、個人データの取扱いに従事する職員(派遣労働者を含む。以下同じ。)に対し、個人データの取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るため、啓発その他必要な教育研修を行う。
2 総括保護管理者は、個人データを取り扱う情報システムの管理に関する事務に従事する職員に対し、個人データの適切な管理のため、情報システムの管理、運用及び情報セキュリティ対策に関して必要な教育研修を行う。
3 総括保護管理者は、保護管理責任者、保護管理者及び保護担当者に対し、所掌する組織における個人データの適切な管理のための教育研修を定期的に実施する。
4 保護管理責任者は、管理責任を有する範囲内の職員に対し、個人データの適切な管理のために、総括保護管理者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。
第4章 職員の責務
(職員の責務)
第6条 職員は、法の趣旨に則り、関係する法令、この規則等の定め並びに総括保護管理者、保護管理責任者、保護管理者及び保護担当者の指示に従い、個人データを取り扱わなければならない。
2 前項の規定は、大学法人の学生等(学生、研究生その他大学法人が定める規則等に基づき、大学法人が受け入れる者をいう。以下「学生等」という。)が、教育上等の理由から大学法人の個人データを取り扱う場合について準用する。
第5章 個人情報の取扱い
(利用目的の特定)
第6条の2 職員は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 職員は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的による制限)
第6条の3 職員は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 職員は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前2項の規定は、次に掲げる場合については、適用しない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 当該個人情報を学術研究の用に供する目的(以下「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6) 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(不適正な利用の禁止)
第6条の4 職員は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
(適正な取得)
第6条の5 職員は、偽りその他不正の手段により個人情報を取得してはならない。
2 職員は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6) 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(大学法人と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
(7) 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、法第57条第1項各号に掲げる者その他個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「個人情報保護委員会規則」という。)で定める者により公開されている場合
(8) その他前各号に掲げる場合に準ずるものとして政令で定める場合
(取得に際しての利用目的の明示通知等)
第6条の6 職員は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 職員は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、 人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 職員は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することにより当該法人の権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4) 取得の状況からみて利用目的が明らかであると認められる場合
(データ内容の正確性の確保等)
第6条の7 職員は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
(安全管理措置)
第6条の8 総括保護管理者は、その取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(職員の監督)
第6条の9 保護管理者は、職員に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、職員に対する必要かつ適切な監督を行わなければならない。
(委託先の監督)
第6条の10 保護管理者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
(アクセス等の制限)
第7条 保護管理者は、個人データの秘匿性等その内容に応じて、当該個人データにアクセスする権限を有する職員の範囲と権限の内容を、当該職員が業務を行う上で必要最小限の範囲に限る。
2 アクセス権限を有しない職員は、個人データにアクセスしてはならない。
3 職員は、アクセス権限を有する場合であっても、業務上の目的以外の目的で個人データにアクセスしてはならない。
4 職員が業務上の目的で個人データを取り扱う場合であっても、保護管理者は、次に掲げる行為については、当該個人データの秘匿性等その内容に応じて、当該行為を行うことができる場合を限定し、職員は、保護管理者の指示に従い行う。
(1) 個人データの複製
(2) 個人データの送信
(3) 個人データが記録されている媒体の外部への送付又は持出し
(4) その他個人データの適切な管理に支障を及ぼすおそれのある行為
(誤りの訂正等)
第8条 職員は、個人データの内容に誤り等を発見した場合には、保護管理者の指示に従い、訂正等を行う。
(媒体の管理等)
第9条 職員は、保護管理者の指示に従い、個人データが記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは施錠可能で入退室管理ができる保護管理者が管理する区域内のサーバ等記録媒体に保存する。
(誤送付等の防止)
第9条の2 職員は、個人データを含む電磁的記録又は媒体の誤送信?誤送付、誤交付又はウェブサイト等への誤掲載を防止するため、個別の事務?事業において取り扱う個人情報の秘匿性等その内容に応じ、複数の職員による確認やチェックリストの活用等の必要な措置を講ずるものとする。
(廃棄等)
第10条 職員は、個人データ又は個人データが記録されている媒体が不要となった場合には、保護管理者の指示に従い、媒体の破砕又は当該個人データの復元及び判読が極めて困難な方法により当該情報を消去し、廃棄を行う。
(個人データの取扱状況の記録)
第11条 保護管理責任者は、個人データの秘匿性等その内容の重要度に応じて個人情報ファイル取扱台帳を作成し、当該個人データの利用及び保管等の取扱いの状況について記録するものとする。
(外国の状況の把握)
第11条の2 職員は、外国(本邦の域外にある国又は地域をいう。以下同じ。)において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(個人データの学生等の利用)
第12条 学生等が、個人データを教育、研究、研修、実習、共同研究等(以下「教育研究等」という。)において利用するに当たっては、次の各号に掲げる措置等を講じなければならない。
(1) 学生等を指導し、又は共同研究等を行う職員は、当該学生等に個人データを利用させるときは、保護管理者に届け出て、保護管理責任者の許可を得た上でなければ利用させてはならない。
(2) 保護管理責任者は、個人データを学生等に利用させることを許可するに当たっては、利用する学生等を特定し、当該個人データの利用がその取り扱う業務の目的以内で、大学法人の内部において利用する場合でなければ許可してはならない。
(3) 第1号に規定する職員は、学生等に個人データを利用させるときは、当該個人データの不正な利用、複製、提供、漏洩、滅失又はき損に注意をはらい、保護管理者の指示に従い、適切に管理する。
第6章 情報システムにおける安全性の確保等
(アクセス制御)
第13条 保護管理責任者は、個人データ(情報システムで取り扱うものに限る。以下この章において同じ。)の秘匿性等その内容に応じて、パスワード等(パスワード、ICカード、生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講ずる。
2 保護管理責任者は、前項の措置を講ずる場合には、パスワード等の管理に関する定めを整備(その定期又は随時の見直しを含む。)するとともに、パスワード等の読取防止等を行うために必要な措置を講ずる。
(アクセス記録)
第14条 保護管理責任者は、個人データの秘匿性等その内容に応じて、当該個人データへのアクセス状況を記録し、その記録(以下「アクセス記録」という。)を一定の期間保存し、及びアクセス記録を定期的に分析するために必要な措置を講ずる。
2 保護管理責任者は、アクセス記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講ずる。
(アクセス状況の監視)
第15条 保護管理責任者は、個人データの秘匿性等その内容及びその量に応じて、当該個人データへの不適切なアクセスの監視のため、個人データを含むか又は含むおそれがある一定量以上の情報が情報システムからダウンロードされた場合に警告表示がなされる機能の設定、当該設定の定期的確認等の必要な措置を講ずる。
(管理者権限の設定)
第16条 保護管理責任者は、個人データの秘匿性等その内容に応じて、情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため、当該特権を最小限とする等の必要な措置を講ずる。
(外部からの不正アクセスの防止)
第17条 保護管理責任者は、個人データを取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定による経路制御等の必要な措置を講ずる。
(不正プログラムによる漏えい等の防止)
第18条 保護管理責任者は、不正プログラムによる個人データの漏えい、滅失又はき損防止のため、ソフトウェアに関する公開された脆弱性の解消、把握された不正プログラムの感染防止等に必要な措置(導入したソフトウェアを常に最新の状態に保つことを含む。)を講ずる。
(情報システムにおける個人データの処理)
第19条 職員は、個人データについて、一時的に加工等の処理を行うため複製等を行う場合には、その対象を必要最小限に限り、処理終了後は不要となった情報を速やかに消去する。保護管理者は、当該個人データの秘匿性等その内容に応じて、随時、消去等の実施状況を重点的に確認する。
(暗号化)
第20条 保護管理者は、個人データの秘匿性等その内容に応じて、暗号化のために必要な措置を講ずる。職員は、これを踏まえ、その処理する個人データについて、当該個人データの秘匿性等その内容に応じて、適切に暗号化を行う。
(記録機能を有する機器?媒体の接続制限)
第21条 保護管理者は、個人データの秘匿性等その内容に応じて、当該個人データの漏えい、滅失又はき損の防止のため、スマートフォン、USBメモリ等の記録機能を有する機器?媒体の情報システム端末等への接続の制限(当該機器の更新への対応を含む。)等の必要な措置を講ずる。
(端末の限定)
第22条 保護管理者は、個人データの秘匿性等その内容に応じて、その処理を行う端末を限定するために必要な措置を講ずる。
(端末の盗難防止等)
第23条 保護管理者は、端末機器の盗難又は紛失防止のため、端末機器の固定又は端末機器設置部屋の施錠等必要な措置を講ずる。
2 職員は、保護管理者が必要があると認めるときを除き、端末を外部へ持ち出し、又は外部から持ち込んではならない。
(第三者の閲覧防止)
第24条 職員は、端末機器の使用に当たっては、個人データが第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講ずる。
(入力情報の照合等)
第25条 職員は、情報システムで取り扱う個人データの重要度に応じて、入力原票と入力内容との照合、処理前後の当該個人データの内容の確認、既存の個人データとの照合等を行う。
(バックアップ)
第26条 保護管理者は、個人データの重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講ずる。
(情報システム設計書等の管理)
第27条 保護管理者は、個人データに係る情報システムの設計書、構成図等の文書について秘匿性等その内容に応じて、その保管、複製、廃棄等について、必要な措置を講ずる。</