第1章 総則
(趣旨)
第1条 この規程は、個人情報の保護に関する法律(平成15年法律第57号)(第5章第4節を除く。以下「法」という。)の規定に基づき、高知県公立大学法人(以下「本法人」という。)における個人情報の保護に関し必要な事項を定めるものである。
2 本法人における個人情報の取扱いに関して、この規程に定めのない事項については、法その他関係法令に定めるところによる。
(定義)
第2条 この規程において、「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
(1)当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2)個人識別符号が含まれるもの
2 この規程において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、個人情報の保護に関する法律施行令平成15年政令第507号。以下「政令」という。)第1条で定めるものをいう。
(1)特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
(2)個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
3 この規程において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令第2条で定める記述等が含まれる個人情報をいう。
4 この規程において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令第4条第1項で定めるものを除く。)をいう。
(1)特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
(2)前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令第4条第2項で定めるもの
5 この規程において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
6 この規程において「保有個人情報」とは、本法人の役員又は職員(教員を含む。以下同じ。)が職務上作成し、又は取得した個人情報であって、法人の役員又は職員が組織的に利用するものとして、本法人が保有しているものをいう。ただし、高知県公立大学法人公文書管理規程第2条第1号に規定する公文書(行政機関の保有する情報の公開に関する法律第2条第2項各号に掲げるものに相当するものとして政令第16条で定めるものを除く。)に記録されているものに限る。
7 この規程において「個人情報ファイル」とは、保有個人情報を含む情報の集合物であって、次に掲げるものをいう。
(1)一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
(2)前号に掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの
8 この規程において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
9 この規程において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
(1)第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により 他の記述等に置き換えることを含む。)。
(2)第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
10 この規程において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各項に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
(1)第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(2)第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
11 この規程において「行政機関等匿名加工情報」とは、次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報の全部又は一部(これらの一部に高知県情報公開条例(平成2年高知県条例第1号)第6条第1項に規定する不開示情報(行政機関の保有する情報の公開に関する法律(平成11年法律第42号)第5条に規定する不開示情報に相当するものに限る。)が含まれているときは、これらの不開示情報に該当する部分を除く。)を加工して得られる匿名加工情報をいう。
(1)法第75条第2項各号のいずれかに該当するもの又は同条第3項の規定により同条第1項に規定する個人情報ファイル簿に掲載しないこととされるものでないこと。
(2)本法人に対し、当該個人情報ファイルを構成する保有個人情報が記録されている公文書について高知県情報公開条例第5条の規定による開示の請求があったとき、本法人が次のいずれかを行うこととなるものであること。
ア 当該公文書に記録されている保有個人情報の全部又は一部を開示する旨の決定をすること。
イ 高知県情報公開条例第12条の2第1項又は第2項の規定により意見書の提出の機会を与えること。
(3)本法人の事務及び事業の適正かつ円滑な運営に支障のない範囲内で、法第116条第1項の基準に従い、当該個人情報ファイルを構成する保有個人情報を加工して匿名加工情報を作成することができるものであること。
12 この規程において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
13 この規程において「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。
14 この規程で使用する用語の定義は、前各号に定めるほか、法に定めるところによる。
第2章 管理体制
(総括保護管理者)
第3条 本法人に、総括保護管理者1名を置き、理事長をもって充てる。
2 総括保護管理者は、本法人における個人情報の管理に関する事務を総括する。
(大学保護管理者)
第4条 本法人が設置する高知県立大学及び高知工科大学に、それぞれ大学保護管理者1名を置き、学長をもって充てる。
2 大学保護管理者は、大学における個人情報の管理に関する事務を統括するとともに、総括保護管理者を補佐するものとする。
3 法人本部における前項の事務は法人本部長に執行させる。
(保護管理者)
第5条 各大学及び法人本部(法人監査室を含む。)に、それぞれ保護管理者1名を置き、大学においては事務局長を、法人本部においては総務部長をもって充てる。
2 保護管理者は、所属する大学又は法人本部における個人情報の適切な管理を確保する任に当たる。ただし、個人情報を情報システムで取り扱う場合、保護管理者は、当該情報システムの管理者と連携するものとする。
3 保護管理者は、次に掲げる体制を整備しなければならない。
(1)個人情報の取扱いに従事する職員がこの規程等に違反している事実又はそのおそれを把握した場合の保護管理者への報告連絡体制
(2)個人情報の漏えい、滅失又は毀損等(以下「漏えい等」という。)事案の発生又はそのおそれを把握した場合の職員から保護管理者への報告連絡体制
(3)個人情報を複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化
(4)個人情報の漏えい等の事案の発生又はそのおそれを把握した場合の対応体制
4 保護管理者は、管理責任を有する個人情報(仮名加工情報を含む。)の記録媒体、処理経路、保管方法等について、定期に及び必要に応じ随時に点検を行い、必要があると認めるときは、その結果を大学保護管理者及び総括保護管理者に報告する。
(保護担当者)
第6条 保護管理者を補佐し、個人情報の管理に関する事務を担当する任に当たるものとして保護担当者を置く。
2 保護担当者は、各大学の事務局及び法人本部の課室の長をもって充てる。
(教育研究組織等の管理体制)
第7条 第5条第1項及び第2項並びに前条の規定にかかわらず、教育、研究に係る個人情報のうち、教員が管理する個人情報の保護管理者については、当該教員の所属長を保護管理者とし、当該教員を保護担当者とする。
(監査責任者)
第8条 本法人に、監査責任者1名を置き、法人監査室長をもって充てる。
2 監査責任者は、個人情報の適切な管理を検証するため、この規程に規定する措置の状況を含む個人情報の管理の状況について、定期に及び必要に応じ随時に監査を行い、その結果を大学保護責任者及び総括保護管理者に報告する。
(委員会)
第9条 総括保護管理者は、本法人における個人情報の管理に係る重要事項の決定、連絡・調整等を行うため、関係職員を構成員とする委員会を置くことができる。
2 委員会に関する必要な事項は、総括保護管理者が別に定める。
第3章 個人情報の取扱い
(職員等の責務)
第10条 役員及び職員(派遣労働者を含む。)(以下「職員等」という。)は、個人情報保護法の趣旨に則り、関連する法令及びこの規程等の定め並びに総括保護管理者、大学保護管理者、保護管理者及び保護担当者の指示に従い、個人情報を取り扱わなければならない。
2 職員等(これらの職にあった者を含む。)は、その業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。
(利用目的の特定)
第11条 職員等は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 職員等は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的による制限)
第12条 職員等は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 職員等は、合併その他の事由により他の個人情報取扱事業者(法16条第2項に規定する「個人情報取扱事業者」をいう。以下同じ。)から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前2項の規定は、次に掲げる場合については、適用しない。
(1)法令(条例を含む。以下この章において同じ。)に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5)職員等が、当該個人情報を学術研究の用に供する目的(以下「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6)学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(不適正な利用の禁止)
第13条 職員等は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
(適正な取得)
第14条 職員等は、偽りその他不正の手段により個人情報を取得してはならない。
2 職員等は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5)職員等が、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6)学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(本法人と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
(7)当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、法第57条第1項各号に掲げる者その他個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「委員会規則」という。)で定める者により公開されている場合
(8)その他前各号に掲げる場合に準ずるものとして政令第9条で定める場合
(取得に際しての利用目的の通知等)
第15条 職員等は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 職員等は、前項の規定にかかわらず、本法人と本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 職員等は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前3項の規定は、次に掲げる場合については、適用しない。
(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)利用目的を本人に通知し、又は公表することにより本法人の権利又は正当な利益を害するおそれがある場合
(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4)取得の状況からみて利用目的が明らかであると認められる場合
(データ内容の正確性の確保等)
第16条 個人データを取り扱う職員等は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
第4章 安全管理措置
第1節 組織的安全管理措置
(個人データの取扱状況の確認手段の整備)
第17条 保護担当者は、個人データの取扱状況を確認するための手段として、個人データの秘匿性等その内容に応じて、次の各号に掲げる項目を記録した個人情報データベース等台帳(別記様式)を整備するものとする。
(1)個人情報データベース等の名称
(2)取扱部署
(3)個人情報データベース等の利用目的
(4)個人情報データベース等に記録されている個人情報の項目
(5)要配慮個人情報が含まれている場合は、その旨
(6)個人情報データベース等に記録される個人の範囲
(7)個人情報データベース等に記録されている本人の数
(8)個人データの収集の方法
(9)個人情報ファイル簿への掲載の有無
(10)責任者
(11)担当者(アクセス権を有する者)
(12)その他総括保護管理者が必要と認める事項
(個人データの運用状況の記録)
第18条 保護担当者は、この規程に基づく運用を確保し、個人データの取扱いの検証を可能とするために、個人データの秘匿性等その内容に応じて、次の各号に定める項目を記録するものとする。
(1)個人情報データベース等の利用・出力状況(ログイン実績、アクセスログ等を含む。)
(2)個人データが記載又は記録された書類・媒体等の持ち運び等の状況
(3)個人情報データベース等の削除・廃棄の状況(委託した場合の消去・廃棄を証明する記録を含む。)
(漏えい等の報告等)
第19条 個人データの漏えい等安全確保の上で問題となる事案(以下「事案」という。)の発生又は事案の発生のおそれを認識した場合に、その事案の発生又は事案の発生のおそれを認識した職員等は、直ちに当該個人データを管理する保護管理者に報告しなければならない。
2 保護管理者は、事案の発生防止又は発生した事案による被害の拡大防止若しくは復旧等のために必要な措置を速やかに講ずるものとする。ただし、被害の拡大防止のため直ちに行い得る措置については、直ちに講じるものとする。
3 保護管理者は、事案が発生した場合にあっては、速やかに当該事案の内容、発生した経緯、被害状況等を調査し、大学保護管理者に報告しなければならない。ただし、特に重大と認める事案が発生した場合には、直ちに大学保護管理者に当該事案の内容等について報告しなければならない。
4 大学保護管理者は、前項の規定に基づく報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を総括保護管理者に速やかに報告しなければならない。
5 総括保護管理者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きい次の各号に掲げるものが生じたときは、速やかに、当該事態に関する概要、漏えい等が発生し、又は発生したおそれがある個人データの項目、個人データに係る本人の数、原因、被害状況等(報告をしようとする時点において把握しているものに限る。)について、個人情報保護委員会(個人情報保護法第130条第1項に規定する個人情報保護委員会をいう。以下同じ。)へ報告しなければならない。ただし、本法人が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
(1)要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条において同じ。)の漏えい等が発生し、又は発生したおそれがある事態
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(3)不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(4)個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
6 前項の場合において、総括保護管理者は、前項の規定による速報に加え、当該事態を知った日から30日以内(当該事態が前項第3号に掲げる事態である場合にあっては、60日以内)に、当該事態に関する個人データの項目、個人データに係る本人の数、原因、被害状況等について、個人情報保護委員会へ報告しなければならない。
7 第5項の場合において、総括保護管理者は、本人に対し、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、当該事態に関する概要、個人データの項目、原因、被害状況等を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
8 保護管理者及び大学保護管理者は、当該事態が生じた原因を分析し、再発防止のために必要な措置を講じなければならない。
9 保護管理者及び大学保護管理者は、総括保護管理者の指示に従い、発生した事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る個人データの本人への対応等の措置を講ずるものとする。
(個人データの管理措置の評価及び見直し)
第20条 総括保護管理者、大学保護管理者、保護管理者は、第5条第4項に規定する点検及び第8条第2項に規定する監査の結果等を踏まえ、実効性等の観点から個人データの適切な管理のための措置について評価し、必要があると認めるときは、この規程等の見直し含めた安全管理措置の改善等の措置を講じなければならない。
第2節 人的安全管理措置
(監督)
第21条 総括保護管理者及び大学保護管理者は、職員等に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該職員等に対する必要かつ適切な監督を行わなければならない。
(教育及び研修)
第22条 総括保護管理者及び大学保護管理者は、個人データの取扱いに従事する職員等に対し、個人データの取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を定期的に行うものとする。
2 保護管理者は、職員に対し、個人データの適切な管理のために、総括保護管理者及び大学保護管理者の実施する教育研修等への参加の機会を付与する等の必要な措置を講じなければならない。
第3節 物理的安全管理措置
(個人データを取り扱う区域の管理)
第23条 本法人は、個人データの情報漏えい等を防止するため個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域(以下「管理区域」という。)及びその他の個人データを取り扱う事務を実施する区域(以下「取扱区域」という。)を設け、適切な管理を行うために、次の各号に掲げる区分に応じて、それぞれ当該各号に定める措置を講ずるものとする。
(1)管理区域 退室管理及び管理区域へ持ち込む機器、電子媒体等の制限を行うこと
(2)取扱区域 権限を有しない者が個人データを閲覧等することができないよう措置を講じること
(機器及び電子媒体等の盗難等の防止)
第24条 本法人は、個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、施錠可能な場所への保管等の措置を講ずるものとする。
(機器及び電子媒体等を持ち運ぶ場合の漏えい等の防止)
第25条 個人データが記録された機器、電子媒体又は書類等を持ち運ぶ場合には、法令等により別に定めがある場合を除き、次の各号に掲げる区分に応じて、それぞれ当該各号に定める安全策を講じるものとする。
(1)個人情報が記録された機器又は電子媒体を安全に持ち運ぶ方法
ア 持ち運ぶデータの暗号化
イ 持ち運ぶ機器又はデータのパスワードによる保護
ウ 施錠できる搬送容器の使用
(2)個人情報が記載された書類等を安全に持ち運ぶ方法
ア 封緘、目隠しシールの貼付
イ 施錠できる搬送容器の使用
(個人データの削除及び機器、電子媒体等の廃棄)
第26条 個人データが記録された電子媒体、書類等を廃棄又は削除する場合は、次の各号に掲げる措置を講ずるものとする。
(1)個人データが記録された書類等を廃棄する場合、焼却、溶解、シュレッダーによる細断等の復元不可能な手段をとるものとする。
(2)情報システム(パソコン等の機器を含む。)において個人データを削除する場合、容易に復元できない手段をとるものとする。
(3)個人データが記録された機器、電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段をとるものとする。また、これらの作業を委託する場合は、委託先が確実に廃棄又は削除したことについて証明書等により確認するものとする。
第4節 技術的安全管理措置
(アクセス制御)
第27条 本法人は、個人データ(情報システム(パソコン等の機器を含む。)で取り扱うものに限る。以下この節において同じ。)の秘匿性等その内容に応じて、ユーザーID等(ユーザーID、パスワード、磁気・ICカード、生体情報等をいう。以下同じ。)を使用して権限を識別する機能を設定する等のアクセス制御のために必要な措置を講ずるものとする。
2 前項の措置を講ずる場合には、ユーザーID等の管理に関する定めを整備するなど、ユーザーID等を適切に管理し、定期又は随時の見直すとともに、ユーザーID等の読取防止等を行うために必要な措置を講ずる。
(アクセス者の識別と認証)
第28条 本法人においては、個人データを取り扱う情報システムを使用する担当者が正当なアクセス権を有する者であることを、ユーザーID等の識別方法により識別した結果に基づき認証しなければならない。
(外部からの不正アクセス等の防止)
第29条 本法人においては、次の各号に掲げる方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用するものとする。
(1)個人データを取り扱う情報システムと外部ネットワーク又はその他の情報システムとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。
(2)情報システム及び機器に、セキュリティ対策ソフトウェア、ウイルス対策ソフトウェア等を導入し、不正ソフトウェアの有無を確認する。
(3)機器、ソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
(4)定期に及び必要に応じ随時にログ等の分析を行い、不正アクセス等を検知する。
(情報システムの使用に伴う漏えい等の防止)
第30条 本法人においては、情報システムを使用して個人データ取扱う場合(インターネット等により外部と送受信する場合を含む。)、次の各号に掲げる方法により、通信経路における情報漏えい、情報システム内に保存されている個人データの情報漏えい等を防止するものとする。
(1)情報システムの設計時に安全性を確保し、継続的に見直すこと(情報システムの脆弱性をついた攻撃への対策を講ずることも含む。)。
(2)個人データを含む通信の経路又は内容を暗号化すること
(3)送信する個人データについて、パスワード等による保護をすること
第5節 外的環境の把握
第31条 本法人が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。
第5章 個人情報に係る業務の委託
(委託先の監督)
第32条 本法人は、個人データの取扱いに係る業務の全部又は一部を外部に委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者(以下「委託先」という。)に対して必要かつ適切な監督を行わなければならない。
2 前項に定める、委託先に対する必要かつ適切な監督を行うために講ずべき措置等に関し必要な事項は、別に定める。
第6章 個人データの第三者提供
(第三者提供の制限)
第33条 職員等は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(1)第12条第3項第1号から第4号までに掲げる場合
(2)当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(3)当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(本法人と当該第三者が共同して学術研究を行う場合に限る。)。
(4)当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
2 本法人は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第14条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
(1)本法人の名称、住所及び理事長の氏名
(2)第三者への提供を利用目的とすること
(3)第三者に提供される個人データの項目
(4)第三者に提供される個人データの取得方法
(5)第三者への提供方法
(6)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
(7)本人の求めを受け付ける方法
(8)第三者に提供される個人データの更新の方法
(9)当該届出に係る個人データの第三者への提供を開始する予定日
3 本法人は、前項第1号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第3号から第5号まで、又は第7号から第9号までに掲げる事項を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4 次に掲げる場合において、当該個人データの提供を受ける者は、前3項の規定の適用については、第三者に該当しないものとする。
(1)本法人が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を外部に委託することに伴って当該個人データが提供される場合
(2)合併その他の事由による事業の承継に伴って個人データが提供される場合
(3)特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
5 本法人は、前項第3号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
6 本法人は、第4項第3号に規定する共同して利用される個人データの提供先において、個人データの提供する目的以外での利用、他の者への再提供、複写複製、改ざん、漏えい、盗用等がなされないように、個人データの安全管理のために講ずべき措置について、提供先と契約書を締結する等、適切な措置を講じなければならない。
(外国にある第三者への提供の制限)
第34条 職員等は、外国にある第三者に個人データを提供する場合には、次に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。
(1)当該第三者が、個人の権利利益を保護する上で日本と同等の水準にあると認められる個人情報保護に関する制度を有している国として委員会規則で定めた国にある場合
(2)当該第三者が、法第4章第2節の規定により個人情報取扱事務者が講ずべきこととされている措置に相当する措置(この条において「相当措置」という。)を継続的に講ずるために必要なものとして委員会規則が定める基準に適合する体制を整備している場合
(3)前条第1項各号に該当する場合
2 職員等は、前項の同意を得ようとする場合には、電磁的記録の提供による方法、書面の交付による方法その他適切な方法により、あらかじめ、次に掲げる事項を、本人に提供しなければならない。
(1)当該外国の名称
(2)適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
(3)当該第三者が講ずる個人情報の保護のための措置に関する情報
3 前項の規定にかかわらず、職員等は、第1項の規定により本人の同意を得ようとする時点において、前項第1号に定める事項が特定できない場合には、同号及び同項第2号に定める事項に代えて、次に掲げる事項について情報提供しなければならない。
(1)前項第1号に定める事項が特定できない旨及びその理由
(2)前項第1号に定める事項に代わる本人に参考となるべき情報がある場合には、 当該情報
4 第2項の規定にかかわらず、職員等は、第1項の規定により本人の同意を得ようとする時点において、第2項第3号に定める事項について情報提供できない場合には、同号に定める事項に代えて、その旨及びその理由について情報提供しなければならない。
5 本法人は、個人データを外国にある第三者(第1項第2号に規定する体制を整備している者に限る。)に提供した場合には、当該第三者による相当措置の継続的な実施を確保するため、次に掲げる措置を講ずるとともに、電磁的記録の提供による方法、書面の交付による方法その他適切な方法により、本人の求めに応じて当該措置に関する情報を当該本人に提供しなければならない。
(1)当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
(2)当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供を停止すること。
6 本法人は、前項の規定による求めを受けたときは、本人に対し、遅滞なく、次に掲げる事項について情報提供しなければならない。ただし、情報提供することにより本法人の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができる。
(1)当該第三者による法第28条第1項に規定する体制の整備の方法
(2)当該第三者が実施する相当措置の概要
(3)前項第1号の規定による確認の頻度及び方法
(4)当該外国の名称
(5)当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要
(6)当該第三者による相当措置の実施に関する支障の有無及びその概要
(7)前号の支障に関して前項第2号の規定により本法人が講ずる措置の概要
7 本法人は、第5項の規定による求めに係る情報の全部又は一部について提供しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
8 本法人は、前項の規定により、本人から求められた情報の全部又は一部について提供しない旨を通知する場合には、本人に対し、その理由を説明するよう努めなければならない。
(第三者提供に係る記録の作成等)
第35条 本法人は、職員等が個人データを第三者(法16条第2項各号に掲げる者を除く。以下この条及び次条(第37条第2項において読み替えて準用する場合を含む。)において同じ。)に提供したときは、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項に関する記録を文書、電磁的記録又はマイクロフィルムを用いて作成しなければならない。ただし、当該個人データの提供が第33条第1項各号又は第4項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第33条第1項各号のいずれか)に該当する場合は、この限りでない。
(1)第33条第2項の規定により個人データを第三者に提供した場合 次のイから ニまでに掲げる事項
ア 当該個人データを提供した年月日
イ 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。)の氏名(不特定かつ多数の者に対して提供したときは、その旨)
ウ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
エ 当該個人データの項目
(2)第33条第1項又は第34条第1項の規定により個人データを第三者に提供した場合 次のイ及びロに掲げる事項
ア 第33条第1項又は第34条第1項の本人の同意を得ている旨
イ 前号ロからニまでに掲げる事項
2 前項の規定にかかわらず、前項各号に定める事項のうち、既に前項の規定により作成した記録(当該記録を保存している場合におけるものに限る。)に記載されている事項と内容が同一であるものについては、前項の当該事項の記録を省略することができる。
3 本法人は、職員が個人データを第三者に提供した都度、第1項本文の記録を、速やかに作成しなければならない。ただし、当該第三者に対し個人データを継続的に若しくは反復して提供(第33条第2項の規定による提供を除く。以下この項において同じ。)したとき、又は継続的に若しくは反復して提供する確実な見込みがあるときは、一括して作成することができる。
4 前項の規定にかかわらず、第33条第1項又は第34条第1項の規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に第1項各号に掲げる事項が記載されているときは、当該契約その他の書面をもって第1項の当該事項に関する記録に代えることができる。
5 本法人は、第1項本文により作成された記録を、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間保存しなければならない。
(1)前項の規定により契約書その他の書面で記録に代えた場合 最後に当該契約書等に係る個人データの提供を行った日から起算して1年を経過する日までの間
(2)第3項ただし書きの規定により一括して記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間
(3)前2号以外の場合 当該記録を作成した日から3年
(第三者提供を受ける際の確認等)
第36条 職員等は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認をし、当該第三者の当該個人データの取得方法が適法なものであることを確認しなければならない。ただし、当該個人データの提供が法第27条第1項各号又は第5項各号のいずれかに該当する場合は、この限りではない。
(1)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
(2)当該第三者による当該個人データの取得の経緯
2 前項の規定による同項第1号に掲げる事項の確認を行う方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法によるものとする。
3 第1項の規定による同項第2号に掲げる事項の確認を行う方法は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法によるものとする。
4 前2項の規定にかかわらず、第三者から他の個人データの提供を受けるに際して既に前2項に規定する方法による確認(当該確認について委員会規則第23条に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。
5 本法人は、職員等が第1項の規定による確認を行ったときは、文書、電磁的記録又はマイクロフィルムを用いて、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める事項に関する記録を作成しなければならない。
(1)個人情報取扱事業者から法第27条第2項の規定による個人データの提供を受けた場合 次のイからホまでに掲げる事項
ア 個人データの提供を受けた年月日
イ 第1項各号に掲げる事項
ウ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足 りる事項
エ 当該個人データの項目
オ 法第27条第4項の規定により公表されている旨
(2)個人情報取扱事業者から法第27条第1項又は法第28条第1項の規定による個人データの提供を受けた場合 次のイ及びロに掲げる事項
ア 法第27条第1項又は法第28条第1項の本人の同意を得ている旨
イ 前号ロからニまでに掲げる事項
(3)個人関連情報取扱事業者から法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得した場合 次のイからニまでに掲げる事項
ア 法第31条第1項第1号の本人の同意が得られている旨及び外国にある個人情報取扱事業者にあっては、同項第2号の規定による情報の提供が行われている旨
イ 第1項第1号に掲げる事項
ウ 第1号ハに掲げる事項
エ 当該個人関連情報の項目
(4)第三者(個人情報取扱事業者に該当する者を除く。)から個人データの提供を受けた場合 第1号ロからニまでに掲げる事項
6 前項の規定にかかわらず、前項各号に定める事項のうち、既に前項の規定により作成した記録(当該記録を保存している場合におけるものに限る。)に記載されている事項と内容が同一であるものについては、前項の当該事項の記録を省略することができる。
7 本法人は、職員等が第三者から個人データの提供を受けた都度、第5項の記録を速やかに作成しなければならない。ただし、当該第三者から継続的に若しくは反復して個人データの提供(法第27条第2項の規定による提供を除く。以下この項及び次項において同じ。)を受けたとき、又は継続的に若しくは反復して提供を受ける確実な見込があるときは、一括して作成することができる。
8 前項の規定にかかわらず、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に第5項各号に定める事項が記載されているときは、契約書等をもって記録に代えることができる。
9 本法人は、第5項の記録を、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間保存しなければならない。
(1)前項の規定により契約書その他の書面で記録に代えた場合 最後に当該契約書等に係る個人データの提供を受けた日から起算して1年を経過する日までの間
(2)第7項ただし書の規定により一括して記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して3年を経過する日までの間
(3)前2号以外の場合 当該記録を作成した日から3年間
(個人関連情報の第三者提供の制限等)
第37条 職員等は、第三者が個人関連情報(法第16条第7項に規定する個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第33条第1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人関連情報の提供を受ける当該第三者から申告を受ける方法その他の適切な方法により確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
(1)当該第三者が本法人から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
(2)外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、電磁的記録の提供による方法、書面の提示を受ける方法その他の適切な方法により、あらかじめ、当該外国の名称、適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度の情報、当該第三者が講ずる個人情報の保護のための措置に関する情報その他当該本人に参考となるべき情報が当該本人に提供されていること。
2 第34条第5項から第8項までの規定は、前項の規定により職員等が個人関連情報を提供する場合について準用する。この場合において、同条第5項中「個人データ」を「個人関連情報」、「講ずるとともに、電磁的記録の提供による方法、書面の交付による得方法その他適切な方法により、本人の求めに応じて当該措置に関する情報を当該本人に提供し」を「講じ」と読み替えるものとする。
3 本法人は、職員等が第1項の規定による確認を行ったときは、文書、電磁的記録又はマイクロフィルムを用いて、次の各号に掲げる事項に関する記録を作成しなければならない。
(1)第1項第1号の本人の同意が得られていることを確認した旨及び外国にある第三者への提供にあっては、同項第2号の規定による情報の提供が行われていることを確認した旨
(2)個人関連情報を提供した年月日(第5項ただし書の規定により、記録を一括して作成する場合にあっては、当該提供の期間の初日及び末日)
(3)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
(4)当該個人関連情報の項目
4 前項の規定にかかわらず、前項各号に定める事項のうち、既に前項に規定する方法により作成した記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、前項の当該事項の記録を省略することができる。
5 本法人は、職員等が個人関連情報を第三者に提供した都度、第3項の記録を速やかに作成しなければならない。ただし、当該第三者に対し個人関連情報を継続的に若しくは反復して提供したとき、又 は当該第三者に対し個人関連情報を継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。
6 前項の規定にかかわらず、第1項の規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人関連情報を第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に第3項各号に定める事項が記載されているときは、当該書面をもって当該事項に関する記録に代えることができる。
7 本法人は、第3項の記録を、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める期間保存しなければならない。
(1)前項に規定する方法により記録を作成した場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して1年を経過する日までの間
(2)第5項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して3年を経過する日までの間
(3)前2号以外の場合 3年
第7章 仮名加工情報
(仮名加工情報の作成等)
第38条 職員等は、仮名加工情報(法第16条第5項に規定する仮名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするため、次に掲げる基準に従い、個人情報を加工しなければならない。
(1)個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(2)個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(3)個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等を削除すること(当該記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
2 本法人は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報(その情報を用いて仮名加工情報の作成に用いられた個人情報を復元できるものに限る。)をいう。以下この条において同じ。)を取得したときは、削除情報等に係る安全管理のための措置については、第4章の規定を準用する。
3 職員等は、第12条の規定にかかわらず、法令に基づく場合を除くほか、第11条第1項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。
4 仮名加工情報についての第15条の規定の適用については、同条第1項及び第3項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第4項第1号から第3号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。
5 職員等は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第16条の規定は、適用しない。
6 本法人は、第33条第1項及び第2項並びに第34条第1項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第33条第4項中「前3項」とあるのは、「第38条第6項」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第5項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第35条第1項ただし書中「第33条第1項各号又は第4項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第33条第1項各号のいずれか)」とあり、及び第36条第1項ただし書中「法第27条第1項各号又は第5項各号のいずれか」とあるのは「法令に基づく場合又は法第27条第5項各号のいずれか」とする。
7 職員等は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
8 職員等は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
9 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第11条第2項及び第19条の規定は、適用しない。
(仮名加工情報の第三者提供の制限等)
第39条 職員等は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第3項において同じ。)を第三者に提供してはならない。
2 第33条第4項及び第5項の規定は、仮名加工情報の提供を受ける者について準用する。この場合において、同条第4項中「前各項」とあるのは「第39条第1項」と、 同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第5項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。
3 前条第7項及び第8項の規定は、仮名加工情報の取扱いについて準用する。この場合において、前条第7項中「ために、」 とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする
4 第4章及び第32条で定める安全管理の規定は、仮名加工情報の取扱いについて準用する。
第8章 学術研究機関等としての責務
(学術研究機関等の責務)
第40条 高知県立大学及び高知工科大学は、学術研究目的で行う個人情報等の取扱いについて、法の規定を遵守するとともに、その適正を確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
2 前項で規定する各大学における学術研究目的で行う個人情報等の取扱いについては、別に定めるものとする。
第9章 個人情報ファイル
(個人情報ファイル簿の作成及び公表)
第41条 本法人は、個人情報ファイルを保有するに至ったときは、直ちに、次の各号に掲げる事項を記載した帳簿(以下この条において「個人情報ファイル簿」という。)を作成し、公表しなければならない。
(1)個人情報ファイルの名称
(2)本法人の名称及び個人情報ファイルが利用に供される事務をつかさどる組織の名称
(3)個人情報ファイルの利用目的
(4)個人情報ファイルに記録される項目(以下「記録項目」という。)及び本人(他の個人の氏名、生年月日その他の記述等によらないで検索し得る者に限る。次項第6号において同じ。)として個人情報ファイルに記録される個人の範囲(以下「記録範囲」という。)
(5)個人情報ファイルに記録される個人情報(以下「記録情報」という。)の収集方法
(6)記録情報に要配慮個人情報が含まれるときは、その旨
(7)記録情報を本法人以外の者に経常的に提供する場合には、その提供先
(8)保有個人情報の開示、訂正又は利用停止に係る請求を受理する組織の名称及び所在地
(9)保有個人情報の訂正又は利用停止に係る請求について他の法令の規定により特別の手続が定められているときは、その旨
(10)法第60条第2項第1号に係る個人情報ファイル又は同項第2に係る個人情報ファイルの別
(11)法第 60 条第2項第1号に係る個人情報ファイルについて、政令第21条第7項に該当する個人情報ファイルがあるときは、その旨
(12)当該個人情報ファイルを加工して作成する行政機関等匿名加工情報に関する提案の募集をする場合は、行政機関等匿名加工情報に関する提案の募集をする個人情報ファイルである旨
(13)当該個人情報ファイルを加工して作成する行政機関等匿名加工情報に関する提案の募集をする場合は、行政機関等匿名加工情報に関する提案を受ける組織の名称及び所在地
(14)行政機関等匿名加工情報を作成したときは、行政機関等匿名加工情報の概要として委員会規則で定める事項
(15)行政機関等匿名加工情報を作成したときは、作成された行政機関等匿名加工情報に関する提案を受ける組織の名称及び所在地
(16)行政機関等匿名加工情報を作成したときは、作成された行政機関等匿名加工情報に関する提案をすることができる期間
(17)記録情報に条例要配慮個人情報(法第60条第5に規定する「条例要配慮個人情報」をいう。)が含まれるときは、その旨
2 前項の規定は、次に掲げる個人情報ファイルについては、適用しない。
(1)本法人の職員又は職員であった者に係る個人情報ファイルであって、専らその人事、給与若しくは福利厚生に関する事項又はこれらに準ずる事項を記録するもの(本法人が行う職員の採用に関する個人情報ファイルを含む。)
(2)専ら試験的な電子計算機処理の用に供するための個人情報ファイル
(3)1年以内に消去することとなる記録情報のみを記録する個人情報ファイル
(4)資料その他の物品若しくは金銭の送付又は業務上必要な連絡のために利用する記録情報を記録した個人情報ファイルであって、送付又は連絡の相手方の氏名、住所その他の送付又は連絡に必要な事項のみを記録するもの
(5)職員が学術研究の用に供するためその発意に基づき作成し、又は取得する個人情報ファイルであって、記録情報を専ら当該学術研究の目的のために利用するもの
(6)本人の数が1,000人に満たない個人情報ファイル
(7)前各号に掲げる個人情報ファイルに準ずるものとして政令第20条第3で定める個人情報ファイル
(8)前項の規定による公表に係る個人情報ファイルに記録されている記録情報の全部又は一部を記録した個人情報ファイルであって、その利用目的、記録項目及び記録範囲が当該公表に係るこれらの事項の範囲内のもの
(9)法第60条第2項第2号に係る個人情報ファイルで、その利用目的及び記録範囲が前項の規定による公表に係る法第60条第2項第1号に係る個人情報ファイルの利用目的及び記録範囲の範囲内であるもの
3 第1項の規定にかかわらず、本法人は、記録項目の一部若しくは第1項第5号若しくは第7号に掲げる事項を個人情報ファイル簿に記載し、又は個人情報ファイルを個人情報ファイル簿に掲載することにより、利用目的に係る事務又は事業の性質上、当該事務又は事業の適正な遂行に著しい支障を及ぼすおそれがあると認めるときは、その記録項目の一部若しくは事項を記載せず、又はその個人情報ファイルを個人情報ファイル簿に掲載しないことができる。
4 個人情報ファイル簿は、本法人が保有している個人情報ファイルを通じて一の帳簿とするものとする。
5 本法人は、個人情報ファイル簿に記載すべき事項に変更があったときは、直ちに当該個人情報ファイル簿を修正しなければならない。
6 本法人は、個人情報ファイル簿に掲載した個人情報ファイルの保有をやめたとき、又はその個人情報ファイルの本人の数が1、000人に満たなくなったときは、遅滞なく、当該個人情報ファイルについての記載を消除しなければならない。
7 本法人は、個人情報ファイル簿を作成したときは、遅滞なく、これを法人本部の事務所に備え置き一般の閲覧に供するとともに、インターネットの利用その他の情報通信の技術を利用する方法により公表しなければならない。
第10章 雑則
(苦情処理)
第42条 総括保護管理者は、個人情報等の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 総括保護管理者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
(他の規程等との関係)
第43条 特定個人情報(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第2条第8項で規定する「特定個人情報」をいう。)の取扱いについては、番号法及び高知県公立大学法人特別個人情報取扱要綱に定めるところによるほか、この規程に定めるところによる。
2 情報システムで扱う個人データの安全管理については、この規程に定めるところによるほか、高知県公立大学法人情報システム運用基本規程、高知県公立大学法人情報システム利用規程及び高知県公立大学法人情報セキュリティ対策基準に定めるところによる。
(所管)
第44条 この規程の所管は、法人本部総務部総務企画課とする。
(その他)
第45条 この規程で定めるもののほか、個人情報の保護に関し必要な事項は、別に定める。
附 則
1 この規程は、令和5年4月1日から施行する。
2 高知県公立大学法人が取り扱う個人情報の保護に関する規程は廃止する。