○国立大学法人鹿児島大学が保有する個人情報の保護管理に関する規則
令和4年3月17日
規則第25号
国立大学法人鹿児島大学が保有する個人情報の保護管理に関する規則(平成17年規則第26号)の全部を改正する。
(趣旨)
第1条 国立大学法人鹿児島大学(以下「本学」という。)における個人情報保護管理については、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)、同法施行令(平成15年政令第507号。以下「保護法施行令」という。)、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)又はその他関係法令等に定めるもののほか、この規則の定めるところによる。
(定義)
第2条 この規則において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
(1) 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2) 個人識別符号が含まれるもの
2 この規則において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、保護法施行令で定めるものをいう。
(1) 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
(2) 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
3 この規則において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして保護法施行令で定める記述等が含まれる個人情報をいう。
4 この規則において「保有個人情報」とは、本学の役員又は職員が職務上作成し、又は取得した個人情報であって、本学の役員又は職員が組織的に利用するものとして、本学が保有する法人文書に記録されているものをいう。
5 この規則において「個人情報ファイル」とは、保有個人情報を含む情報の集合物であって、次に掲げるものをいう。
(1) 一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
(2) 前号に掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの
6 この規則において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
(1) 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(2) 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(1) 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(2) 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
9 この規則において「行政機関等匿名加工情報」とは、次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の全部又は一部(これらの一部に独立行政法人等の保有する情報の公開に関する法律(平成13年法律第140号。以下「独公開法」という。)第5条に規定する不開示情報(同条第1号に掲げる情報を除く。以下この項において同じ。)が含まれているときは、当該不開示情報に該当する部分を除く。)を加工して得られる匿名加工情報をいう。
(1) 個人情報保護法第75条第2項各号のいずれかに該当するもの又は同条第3項の規定により同条第1項に規定する個人情報ファイル簿に掲載しないこととされるものでないこと。
(2) 本学に対し、当該個人情報ファイルを構成する保有個人情報が記録されている法人文書の独公開法第3条の規定による開示の請求があった場合、次のいずれかを行うものであること。
ア 当該法人文書に記録されている保有個人情報の全部又は一部を開示する旨の決定をすること。
イ 独公開法第14条第1項又は第2項の規定により意見書の提出の機会を与えること。
(3) 本学の事務及び事業の適正かつ円滑な運営に支障のない範囲内で、独公開法第44条の10第1項の基準に従い、当該個人情報ファイルを構成する保有個人情報を加工して匿名加工情報を作成することができるものであること。
10 この規則において「行政機関等匿名加工情報ファイル」とは、行政機関等匿名加工情報を含む情報の集合物であって、次に掲げるものをいう。
(1) 特定の行政機関等匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの
(2) 前号に掲げるもののほか、特定の行政機関等匿名加工情報を容易に検索することができるように体系的に構成したものとして保護法施行令で定めるもの
11 この規則において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
12 この規則において「教育・研究関係保有個人情報」とは、第4項に規定する保有個人情報のうち教育又は研究に関する情報であって、教員等又は技術職員が管理するものをいう。
13 この規則において「診療関係保有個人情報」とは、第4項に規定する保有個人情報のうち診療に関する情報をいう。
14 この規則において「個人番号」とは、番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
15 この規則において「特定個人情報」とは、個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第7条第1項及び第2項、第8条並びに第67条並びに附則第3条第1項から第3項まで及び第5項を除く。)をその内容に含む個人情報をいう。
16 この規則において「特定個人情報ファイル」とは、個人番号をその内容に含む個人情報ファイルをいう。
17 この規則において「個人番号利用事務」とは、行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第9条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。
18 この規則において「個人番号関係事務」とは、番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
19 この規則において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
(1) 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
(2) 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
20 この規則において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
(1) 国の機関
(2) 地方公共団体
(3) 独立行政法人等
(4) 地方独立行政法人
21 この規則において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
22 この規則において「保有個人データ」とは、本学が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして保護法施行令で定めるもの以外のものをいう。
23 この規則において「個人関連情報取扱事業者」とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものを事業の用に供している者をいう。ただし、前項各号に掲げる者を除く。
24 この規則において「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。
25 この規則において「学部等」とは、事務局、各学部、各研究科、附属病院、各機構又は機構の各センター、ヒトレトロウイルス学共同研究センター、各学内共同教育研究施設、各学域及び各学系をいう。
26 この規則において「教員等」とは、教授、准教授、講師、助教、助手、校長、園長、教頭、主幹教諭、教諭、養護教諭、栄養教諭及び教務職員をいう。
(利用目的の特定)
第3条 本学は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない。
2 本学は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的による制限)
第4条 本学は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用の目的(以下「利用目的」という。)の達成に必要な範囲を超えて、個人情報(特定個人情報を除く。以下この条において同じ。)を取り扱ってはならない。
2 本学は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前2項の規定は、次に掲げる場合については、適用しない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 当該個人情報を学術研究の用に供する目的(以下「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6) 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(特定個人情報の利用目的による制限)
第5条 本学は、利用目的の達成に必要な範囲を超えて、特定個人情報を取り扱ってはならない。
2 本学は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って特定個人情報を取得した場合は、承継前における当該特定個人情報の利用目的の達成に必要な範囲を超えて、当該特定個人情報を取り扱ってはならない。
3 前2項の規定は、次に掲げる場合については、適用しない。ただし、番号法第23条第1項及び第2項に規定される記録に記録された特定個人情報については、この限りでない。
(1) 番号法第9条第5項の規定に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるとき。
(取得に際しての利用目的の通知等)
第6条 本学は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 本学は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記録された当該本人の個人情報を取得するときは、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 本学は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前3項の規定は、次に掲げる場合については、適用しない。
(1) 利用目的を本人に明示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき。
(2) 利用目的を本人に通知し、又は公表することにより本学の権利又は正当な利益を害するおそれがある場合
(3) 国又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4) 取得の状況からみて利用目的が明らかであると認められるとき。
(不適正な利用の禁止)
第7条 本学は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
(適正な取得)
第8条 本学は、偽りその他不正の手段により個人情報を取得してはならない。
2 本学は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6) 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
(7) 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、個人情報保護法第57条第1項各号に掲げる者その他個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「保護法施行規則」という。)で定める者により公開されている場合
(8) その他前各号に掲げる場合に準ずるものとして保護法施行令で定める場合
(データ内容の正確性の確保等)
第9条 本学は、利用目的の達成に必要な範囲内で、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
(安全管理措置)
第10条 本学は、取り扱う個人データの漏えい、滅失又は毀損(以下「情報漏えい等」という。)の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない。
2 前項の規定は、本学から個人情報(行政機関等匿名加工情報及び削除情報に該当するものを除く。)の取扱いの委託を受けた者が受託した業務を行う場合について準用する。
(総括保護管理者)
第11条 本学に、学長を補佐し、本学における保有個人情報の管理に関する事務を総括する総括保護管理者を置き、学長が指名する理事をもって充てる。
2 保護管理者は、当該保有個人情報の適切な管理を確保するものとする。
3 保護管理者は、保有個人情報を情報システムで取り扱う場合、当該情報システムの管理者と連携して、その任に当たる。
4 保護管理者は、必要に応じて第2項の事務を補佐する副保護管理者を置くことができる。
(保護担当者)
第13条 本学に、前条の保護管理者を補佐し、当該部署の保有個人情報の管理に関する事務を担当する保護担当者を置く。
2 保護管理者は、当該課等の保護担当者を1人又は複数人指名するものとする。
3 前項の規定にかかわらず、各教員等又は各技術職員が管理する教育・研究関係保有個人情報の保護担当者は、当該各教員等又は当該各技術職員とする。
4 前3項の規定にかかわらず、特定個人情報等に係る事項については、この限りではない。
(監査責任者)
第14条 本学に、保有個人情報の管理の状況について監査する監査責任者を置き、監査室長をもって充てる。
(保有個人情報の適切な管理のための委員会)
第15条 総括保護管理者は、保有個人情報の管理に係る重要事項の決定、連絡・調整等を行うため、関係役員及び職員を構成員とする保有個人情報の適切な管理に関する委員会を置く。
2 前項の委員会に関し、必要な事項については、学長が別に定める。
第16条 各保護管理者は、保有個人情報の適切な管理を実施するため、当該学部等において委員会を設置することができる。
2 前項の規定に基づき設置する委員会に関し必要な事項は、当該学部等において別に定る。
(事務取扱担当者)
第17条 本学に、特定個人情報等を取り扱う職員(以下「事務取扱担当者」という。)を置く。
2 各事務取扱担当者が取り扱う特定個人情報等の範囲は別に定める。
(教育研修)
第18条 総括保護管理者は、保有個人情報の取扱いに従事する職員(派遣労働者を含む。以下同じ。)に対し、保有個人情報の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。
2 総括保護管理者は、保有個人情報を取り扱う情報システムの管理に関する事務に従事する職員に対し保有個人情報の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行うものとする。
3 総括保護管理者は、保護管理者及び保護担当者に対し、課室等の現場における保有個人情報の適切な管理のための教育研修を行うものとする。
4 保護管理者は、当該学部等又は課室等の職員に対し、保有個人情報の適切な管理のために総括保護管理者の実施する教育研修への参加の機会を与えるよう努めるものとする。
(従事者の義務等)
第19条 個人情報の取扱いに従事する本学の役員若しくは職員又はこれらの職にあった者は、その業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。
2 職員は、個人情報保護法及び番号法の趣旨に則り、関連する学内規則並びに総括保護管理者、保護管理者及び保護担当者の指示に従い、保有個人情報を取り扱わなければならない。
(アクセス制限)
第20条 保護管理者は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報にアクセスする権限を有する職員の範囲と権限の内容を、当該職員が業務を行う上で必要最小限の範囲に制限する等の措置を講ずるものとする。
2 アクセス権限を有しない職員は、保有個人情報にアクセスしてはならない。
3 職員は、アクセス権限を有する場合であっても、業務上の目的以外で保有個人情報にアクセスしてはならず、アクセスは必要最小限としなければならない。
(複製等の制限)
第21条 職員が業務上の目的で保有個人情報を取り扱う場合であっても、保護管理者は、次に掲げる行為について、当該保有個人情報の秘匿性等その内容に応じて、当該行為を行うことができる場合を限定することとし、職員は、保護管理者の指示に従い取り扱うものとする。
(1) 保有個人情報の複製
(2) 保有個人情報の送信
(3) 保有個人情報が記録されている媒体の外部への送付又は持出し
(4) その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為
(誤りの訂正等)
第22条 職員は、保有個人情報の内容に誤り等を発見した場合には、保護管理者の指示に従い、訂正等を行うものとする。
(媒体の管理等)
第23条 職員は、保護管理者の指示に従い、保有個人情報が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫への保管、施錠等を行うものとする。また、保有個人情報が記録されている媒体を外部へ送付し又は持ち出す場合には、原則として、パスワード等(パスワード、ICカード、生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講ずる。
(誤送付等の防止)
第24条 職員は、保有個人情報を含む電磁的記録又は媒体の誤送信・誤送付、誤交付、又はウェブサイト等への誤掲載を防止するため、個別の事務・事業において取り扱う個人情報の秘匿性等その内容に応じ、複数の職員による確認やチェックリストの活用等の必要な措置を講ずる。
(廃棄等)
第25条 職員は、保有個人情報又は保有個人情報が記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合には、保護管理者の指示に従い、当該保有個人情報の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行うものとする。
2 保有個人情報の消去や保有個人情報が記録されている媒体の廃棄を委託する場合(二以上の段階にわたる委託を含む。)には、委託先において消去及び廃棄が確実に行われていることを確認する。
(保有個人情報の取扱状況の記録)
第26条 保護管理者は、保有個人情報(特定個人情報等を除く。以下この条において同じ。)の秘匿性等その内容に応じて、台帳等を整備して、当該保有個人情報の利用、保管等の取扱いの状況について記録するものとする。
2 保護管理者は、特定個人情報ファイルの取扱状況を確認する手段を整備して、当該特定個人情報等の利用及び保管等の取扱状況について記録するものとする。
(特定個人情報ファイルの作成の制限)
第27条 保護管理者は、個人番号関係事務を処理するために必要な場合、又は番号法第19条第13号から第17号までのいずれかに該当して特定個人情報を提供し、若しくはその提供を受けることができる場合を除き、特定個人情報ファイルを作成してはならない。
(特定個人情報等の収集・保管の制限)
第28条 保護管理者は、番号法第19条各号のいずれかに該当する場合を除き、他人の個人番号を含む個人情報を収集又は保管してはならない。
(取扱区域及び管理区域)
第29条 保護管理者は、本学における特定個人情報等の情報漏えい等を防止するために、次に掲げる区域を明確にし、適切な安全管理措置を講ずるものとする。
(1) 取扱区域
特定個人情報等を取り扱う事務を実施する区域を取扱区域とし、物理的な安全管理措置を講ずるものとする。
(2) 管理区域
特定個人情報ファイルを取り扱う情報システムを管理する区域を管理区域とし、入退室管理等により安全管理措置を講ずるものとする。
(外的環境の把握)
第30条 保有個人情報が、外国において取り扱われる場合、当該外国の個人情報の保護に関する制度等を把握した上で、保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。
2 保護管理者は、前項の措置を講ずる場合には、パスワード等の管理に関する定めを整備(その定期又は随時の見直しを含む。)するとともに、パスワード等の読取防止等を行うために必要な措置を講ずるものとする。
(アクセス記録)
第32条 保護管理者は、保有個人情報(特定個人情報等を除く。以下この条において同じ。)の秘匿性等その内容に応じて、当該保有個人情報へのアクセス状況を記録し、その記録(以下「アクセス記録」という。)を一定の期間保存し、及びアクセス記録を定期的に分析するために必要な措置を講ずるものとする。
2 保護管理者は、アクセス記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講ずるものとする。
3 保護管理者は、特定個人情報等へのアクセス状況を記録し、その記録を一定の期間保存し、定期に及び必要に応じ随時に分析等するための体制を整備する。また、アクセス記録の改ざん、窃取又は不正な削除の防止のために必要な措置を講ずるとともに、分析等を行うものとする。
(アクセス状況の監視)
第33条 保護管理者は、保有個人情報(特定個人情報等を除く。以下この条において同じ。)の秘匿性等その内容及びその量に応じて、当該保有個人情報への不適切なアクセスの監視のため、保有個人情報を含むか又は含むおそれがある一定量以上の情報が情報システムからダウンロードされた場合に警告表示がなされる機能の設定、当該設定の定期的確認等の必要な措置を講ずるものとする。
(管理者権限の設定)
第34条 保護管理者は、保有個人情報(特定個人情報等を除く。)の秘匿性等その内容に応じて、情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため、当該特権を最小限とする等の必要な措置を講ずるものとする。
(外部からの不正アクセスの防止)
第35条 保護管理者は、保有個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定による経路制御等の必要な措置を講ずるものとする。
(不正プログラムによる保有個人情報の漏えい等の防止)
第36条 保護管理者は、不正プログラムによる保有個人情報の情報漏えい等の防止のため、ソフトウェアに関する公開された脆弱性の解消、把握された不正プログラムの感染防止等に必要な措置(導入したソフトウェアを常に最新の状態に保つことを含む。)を講ずるものとする。
(情報システムにおける保有個人情報の処理)
第37条 職員は、保有個人情報について、一時的に加工等の処理を行うため複製等を行う場合には、その対象を必要最小限に限り、処理終了後は不要となった情報を速やかに消去するものとする。
2 保護管理者は、前項の保有個人情報の秘匿性等その内容に応じて、随時、消去等の実施状況を重点的に確認するものとする。
(暗号化)
第38条 保護管理者は、保有個人情報の秘匿性等その内容に応じて、暗号化のために必要な措置を講ずるものとする。
2 職員は、前項の規定に基づき、その処理する保有個人情報について、当該保有個人情報の秘匿性等その内容に応じて、適切に暗号化を行うものとする。
(入力情報の照合等)
第39条 職員は、情報システムで取り扱う保有個人情報(特定個人情報等を除く。以下この条において同じ。)の重要度に応じて、入力原票と入力内容との照合、処理前後の当該保有個人情報の内容の確認、既存の保有個人情報との照合等を行うものとする。
(バックアップ)
第40条 保護管理者は、保有個人情報(特定個人情報等を除く。)の重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講ずるものとする。
(情報システム設計書等の管理)
第41条 保護管理者は、保有個人情報(特定個人情報等を除く。)に係る情報システムの設計書、構成図等の法人文書について外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講ずるものとする。
(端末の限定)
第42条 保護管理者は、保有個人情報の秘匿性等その内容に応じて、その処理を行う端末を限定するために必要な措置を講ずるものとする。
(端末の盗難防止)
第43条 保護管理者は、端末の盗難又は紛失の防止のため、端末の固定、執務室の施錠等の必要な措置を講ずるものとする。
2 職員は、保護管理者が必要があると認めるときを除き、端末を外部へ持ち出し、又は外部から持ち込んではならない。
(第三者の閲覧防止)
第44条 職員は、端末使用に当たっては、保有個人情報が第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講ずるものとする。
(記録機能を有する機器・媒体の接続制限)
第45条 保護管理者は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報の情報漏えい等の防止のため、スマートフォン、USBメモリ等の記録機能を有する機器・媒体の情報システム端末等への接続の制限(当該機器の更新への対応を含む。)等の必要な措置を講ずるものとする。
(入退管理)
第46条 保護管理者は、保有個人情報を取り扱う基幹的なサーバ等の機器を設置する室その他の区域(以下「情報システム室等」という。)に立ち入る権限を有する者を定めるとともに、用件の確認、入退の記録、部外者についての識別化、部外者が立ち入る場合の職員の立会い又は監視設備による監視、外部電磁的記録媒体等の持込み、利用及び持ち出しの制限又は検査等の措置を講ずるものとする。この場合において、保有個人情報を記録する媒体を保管するため施設を設ける必要があると認めるときは、同様の措置を講ずるものとする。
2 保護管理者は、必要があると認めるときは、情報システム室等の出入口の特定化による入退の管理の容易化、所在表示の制限等の措置を講ずるものとする。
3 保護管理者は、情報システム室等及び保管施設の入退の管理について、必要があると認めるときは、立入りに係る認証機能を設定し、及びパスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。)、パスワード等の読取防止等を行うために必要な措置を講ずるものとする。
(情報システム室等の管理)
第47条 保護管理者は、外部からの不正な侵入に備え、情報システム室等に施錠装置、警報装置及び監視設備の設置等の措置を講ずるものとする。
2 保護管理者は、災害等に備え、情報システム室等に耐震、防火、防煙、防水等の必要な措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の措置を講ずるものとする。
(事案の報告及び再発防止措置)
第48条 保有個人情報の情報漏えい等の事案の発生又は兆候を把握した場合及び事務取扱担当者が本規則等に違反している事実又は兆候を把握した場合等、安全確保の上で問題となる事案(以下「事案」という。)又は問題となる事案の発生のおそれを認識した場合に、その事案等を認識した職員は、直ちに当該保有個人情報を管理する保護管理者に報告するものとする。
2 保護管理者は、被害の拡大防止又は復旧等のために必要な措置を速やかに講ずるものとする。ただし、外部からの不正アクセスや不正プログラムの感染が疑われる当該端末等のLANケーブルを抜く等、被害拡大防止のため直ちに行い得る措置については、直ちに行う(職員に行わせることを含む。)ものとする。
3 保護管理者は、事案の発生した経緯、被害状況等を調査し、総括保護管理者に報告するものとする。ただし、特に重大と認める事案が発生した場合には、直ちに総括保護管理者に当該事案の内容等について報告するものとする。
4 総括保護管理者は、前項の規定に基づく報告を受けた場合には、発生した事案の内容等に応じて、当該事案の内容、経緯、被害状況等を学長に速やかに報告するものとする。
5 総括保護管理者は、事案の内容等に応じて、事案の内容、経緯、被害状況等について、文部科学省に対し、速やかに情報提供を行う。
6 保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるものとする。
(公表等)
第49条 学長又は総括保護管理者は、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る保有個人情報の本人への対応等の措置を講ずるものとする。
(監査)
第50条 監査責任者は、保有個人情報の適切な管理を検証するため、本学における保有個人情報の管理の状況について、定期に及び必要に応じ随時に監査(外部監査を含む。以下同じ。)を行い、その結果を総括保護管理者に報告するものとする。
(点検)
第51条 保護管理者は、各課室等における保有個人情報の記録媒体、処理経路、保管方法等について、定期に及び必要に応じ随時に点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告するものとする。
(評価及び見直し)
第52条 総括保護管理者、保護管理者等は、監査又は点検の結果等を踏まえ、実効性等の観点から保有個人情報の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずるものとする。
(従業者の監督)
第53条 本学は、職員に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該職員に対する必要かつ適切な監督を行わなければならない。
(委託先の監督)
第54条 本学は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
(委託の際の安全管理措置等)
第55条 保有個人情報の取扱いに係る業務を外部に委託する場合には、個人情報の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置を講ずるものとする。この場合において、契約書に、次に掲げる事項を明記するとともに、委託先における責任者及び業務従事者の管理及び実施体制並びに個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認するものとする。
(1) 個人情報に関する秘密保持、目的外利用の禁止等の義務
(2) 再委託(再委託先が委託先の子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定する子会社をいう。)である場合も含む。以下同じ。)の制限又は事前承認等再委託に係る条件に関する事項
(3) 個人情報の複製等の制限に関する事項
(4) 個人情報の漏えい等の事案の発生時における対応に関する事項
(5) 委託終了時における個人情報の消去及び媒体の返却に関する事項
(6) 違反した場合における契約解除、損害賠償責任その他必要な事項
2 個人番号関係事務の全部又は一部を委託する場合には、委託先において、番号法に基づき本学が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認するものとする。
3 保有個人情報の取扱いに係る業務を外部に委託する場合には、委託する業務に係る保有個人情報の秘匿性等その内容や量等に応じて、委託先における管理体制及び実施体制並びに個人情報の管理状況について、少なくとも年1回以上、原則として実地検査により確認するものとする。
4 個人番号関係事務の全部又は一部の委託をする際には、「委託を受けた者」において、本学が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行うものとする。
6 個人番号関係事務の全部又は一部の「委託を受けた者」が再委託をする際には、委託をする個人番号関係事務において取り扱う特定個人情報の適切な安全管理が図られることを確認した上で再委託の諾否を判断するものとする。
7 保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記するものとする。
8 保有個人情報を提供又は業務委託する場合には、漏えい等による被害発生のリスクを低減する観点から、提供先の利用目的、委託する業務の内容、保有個人情報の秘匿性等その内容などを考慮し、必要に応じ、氏名を番号に置き換える等の匿名化措置を講ずる。
(漏えい等の報告等)
第56条 本学は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きい次の各号に定める事態が生じたときは、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、本学が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって保護法施行規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
(1) 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。)の漏えい等が発生し、又は発生したおそれがある事態。
(2) 不正に利用されることにより財産的被害が生じる恐れがある個人データの漏えい等が発生し、又は発生したおそれがある事態。
(3) 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態。
(4) 個人データに係る本人の数が1,000人を超える漏えい等が発生し、又は発生した恐れがある事態。
(第三者提供の制限)
第57条 本学は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6) 当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
(7) 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
2 本学は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、保護法施行規則第11条で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第8条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
(1) 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下同じ。)の氏名
(2) 第三者への提供を利用目的とすること。
(3) 第三者に提供される個人データの項目
(4) 第三者に提供される個人データの取得の方法
(5) 第三者への提供の方法
(6) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
(7) 本人の求めを受け付ける方法
(8) その他個人の権利利益を保護するために必要なものとして保護法施行規則で定める事項
4 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
(1) 本学が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2) 合併その他の事由による事業の承継に伴って個人データが提供される場合
(3) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
(外国にある第三者への提供の制限)
第58条 本学は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として保護法施行規則で定めるものを除く。以下同じ。)にある第三者(個人データの取扱いについてこの節の規定により本学が講ずべきこととされている措置に相当する措置(第3項において「相当措置」という。)を継続的に講ずるために必要なものとして保護法施行規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
2 本学は、前項の規定により本人の同意を得ようとする場合には、保護法施行規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
3 本学は、個人データを外国にある第三者(第1項に規定する体制を整備している者に限る。)に提供した場合には、保護法施行規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
(第三者提供に係る記録の作成等)
第59条 本学は、個人データを第三者(個人情報保護法第16条第2項各号に掲げる者を除く。以下この条及び次条(第61条第3項において読み替えて準用する場合を含む。)において同じ。)に提供したときは、提供の都度、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の保護法施行規則で定める事項に関する記録を文書、電磁的記録又はマイクロフィルムを用いて速やかに作成しなければならない。ただし、当該個人データの提供が第57条第1項各号又は第4項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第57条第1項各号のいずれか)に該当する場合は、この限りでない。
2 本学は、前項の記録を、当該記録を作成した日から保護法施行規則で定める期間保存しなければならない。
(1) 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
(2) 当該第三者による当該個人データの取得の経緯
ア 個人データの提供を受けた年月日
イ 第1項各号に掲げる事項
ウ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
エ 当該個人データの項目
オ 保護法施行規則の規定により公表されている旨
イ 第1項第1号に掲げる事項
ウ 第1号ウに掲げる事項
エ 当該個人関連情報の項目
4 本学は、前項の記録を、当該記録を作成した日から保護法施行規則で定める期間保存しなければならない。
(個人関連情報の第三者提供の制限等)
第61条 本学は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第57条第1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ保護法施行規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
(1) 当該第三者が本学から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
(2) 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、保護法施行規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
(苦情の処理)
第62条 学長は、本学における個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 本学は、前項の目的を達成するために必要な体制の整備に努めなければならない。
(仮名加工情報の作成等)
第63条 本学は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして保護法施行規則で定める基準に従い、個人情報を加工しなければならない。
5 本学は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第9条の規定は、適用しない。
6 本学は、第57条第1項及び第2項並びに第58条第1項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第57条第4項中「前各項」とあるのは「第63条第6項」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第5項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第59条第1項ただし書中「第57条第1項各号又は第4項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第57条第1項各号のいずれか)」とあり、及び第59条第1項ただし書中「第57条第1項各号又は第4項各号のいずれか」とあるのは「法令に基づく場合又は第57条第4項各号のいずれか」とする。
7 本学は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
8 本学は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成十四年法律第九十九号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
(個人情報ファイル簿の作成及び公表)
第65条 本学は、保護法施行令第20条各項で定めるところにより、本学が保有している個人情報ファイルについて、個人情報保護法第74条第1項第1号から第7号まで、第9号及び第10号に掲げる事項その他保護法施行令で定める事項を記載した帳簿(以下「個人情報ファイル簿」という。別記様式)を作成し、公表するものとする。
2 本学が保有している個人情報ファイルが国立大学法人鹿児島大学個人情報開示等に関する取扱規則(令和4年規則第26号)第2条第5項各号のいずれにも該当する場合は、当該個人情報ファイルについては、個人情報ファイル簿に同規則第35条各号に掲げる事項を併せて記載するものとする。
3 本学が行政機関等匿名加工情報を作成したときは、当該行政機関等匿名加工情報の作成に用いた保有個人情報を含む個人情報ファイルについては、個人情報ファイル簿に国立大学法人鹿児島大学個人情報開示等に関する取扱規則第42条各号に掲げる事項を記載しなければならない。
4 第1項の規定は、次に掲げる個人情報ファイルについては、適用しない。
(1) 本学の役員若しくは職員又はこれらの職にあった者に係る個人情報ファイルであって、専らその人事、給与若しくは福利厚生に関する事項又はこれらに準ずる事項を記録するもの(本学が行う職員の採用試験に関する個人情報ファイルを含む。)
(2) 専ら試験的な電子計算機処理の用に供するための個人情報ファイル
(3) 前項の規定による公表に係る個人情報ファイルに記録されている記録情報の全部又は一部を記録した個人情報ファイルであって、その利用目的、記録項目及び記録範囲が当該公表に係るこれらの事項の範囲内のもの
(4) 1年以内に消去することとなる記録情報のみを記録する個人情報ファイル
(5) 資料その他の物品若しくは金銭の送付又は業務上必要な連絡のために利用する記録情報を記録した個人情報ファイルであって、送付又は連絡の相手方の氏名、住所その他の送付又は連絡に必要な事項のみを記録するもの
(6) 役員又は職員が学術研究の用に供するためその発意に基づき作成し、又は取得する個人情報ファイルであって、記録情報を専ら当該学術研究の目的のために利用するもの
(7) 本人の数が1,000人に満たない個人情報ファイル
(8) 前各号に掲げる個人情報ファイルに準ずるものとして保護法施行令で定める個人情報ファイル
(9) 前項の規定による公表に係る個人情報ファイルに記録されている記録情報の全部又は一部を記録した個人情報ファイルであって、その利用目的、記録項目及び記録範囲が当該公表に係るこれらの事項の範囲内のもの
(10) 前号に掲げる個人情報ファイルに準ずるものとして保護法施行令で定める個人情報ファイル
5 第1項の規定にかかわらず、本学は、記録項目の一部若しくは個人情報保護法第74条第1項第5号若しくは第7号に掲げる事項を個人情報ファイル簿に記載し、又は個人情報ファイルを個人情報ファイル簿に掲載することにより、利用目的に係る事務又は事業の性質上、当該事務又は事業の適正な遂行に著しい支障を及ぼすおそれがあると認めるときは、その記録項目の一部若しくは事項を記載せず、又はその個人情報ファイルを個人情報ファイル簿に掲載しないことができるものとする。
(開示、訂正及び利用停止)
第66条 個人情報保護法第76条、第90条及び第98条に規定する開示請求権、訂正請求権及び利用停止請求権については、別に定める。
(文部科学省との連携)
第67条 本学は、「個人情報の保護に関する基本方針」(平成16年閣議決定)4を踏まえ、文部科学省と緊密に連携して、その保有する個人情報の適切な管理を行うものとする。
(雑則)
第68条 この規則に定めるもののほか、個人情報保護に関し必要な事項は、学長が別に定める。
2 前項の規定にかかわらず、各学部等の保有個人情報の適正な管理について必要な事項がある場合は、各学部等の長(ヒトレトロウイルス学共同研究センターにあっては、ヒトレトロウイルス学共同研究センター長が本学以外の者である場合は、鹿児島大学キャンパス長)が別に定めるところによる。
附則
この規則は、令和4年4月1日から施行する。
附則
この規則は、令和5年4月1日から施行する。
附則
この規則は、令和5年10月12日から施行する。
別表(第12条関係)
保有個人情報の区分 | 保護管理者 |
役員の保有個人情報 (診療関係情報及び特定個人情報等を除く。) | 当該各役員 |
事務局又は各学部等事務部の事務に関する保有個人情報 (診療関係情報及び特定個人情報等を除く。) | 各課(室)長又は事務(部)長 |
各学部等の教育・研究関係保有個人情報 (診療関係情報及び特定個人情報等を除く。) | 学部長、研究科長、機構長若しくは機構のセンター長、ヒトレトロウイルス学共同研究センター長(センター長が本学以外の者である場合は、鹿児島大学キャンパス長)、学内共同教育研究施設の長、学域長又は学系長 |
附属病院又は保健管理センターの診療関係保有個人情報(特定個人情報等を除く。) | 附属病院長又は保健管理センター所長 |
特定個人情報等 | 特定個人情報等を取り扱う各課(室)長又は事務(部)長 |