○長崎大学特定個人情報管理規程

平成27年11月24日

規程第51号

目次

第1章 総則(第1条―第4条)

第2章 特定個人情報の利用制限(第5条・第6条)

第3章 特定個人情報の安全管理措置等

第1節 委託の取扱い(第7条)

第2節 組織的安全管理措置(第8条―第17条)

第3節 人的安全管理措置(第18条・第19条)

第4節 物理的安全管理措置(第20条―第23条)

第5節 技術的安全管理措置(第24条―第27条)

第4章 特定個人情報等の提供制限等(第28条―第32条)

第5章 特定個人情報の開示,訂正及び利用停止(第33条)

第6章 特定個人情報の保護(第34条)

第7章 その他(第35条)

附則

第1章 総則

(目的)

第1条 この規程は,国立大学法人長崎大学(以下「本学」という。)が,行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。),独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号。以下「個人情報保護法」という。)及び特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)(平成26年特定個人情報保護委員会告示第6号。以下「ガイドライン」という。)に基づき,本学が特定個人情報の適正な取扱いを確保することを目的とする。

2 個人番号及び特定個人情報については,番号法,個人情報保護法,ガイドライン及びこの規程に定めるもののほか,長崎大学個人情報保護規則(平成17年規則第6号。以下「規則」という。)及び長崎大学個人情報管理規程(平成17年規程第10号)を適用する。

(定義)

第2条 この規程における用語の定義は,次のとおりとする。ただし,この規程における用語は,他に特段の定めのない限り番号法その他の関係法令の定めるところによる。

(1) 部局等 国立大学法人長崎大学基本規則(平成16年規則第1号)第31条の2から第31条の5までに規定する本部等,同基本規則第33条から第35条まで及び第38条から第40条の11までに規定する教育研究組織,同基本規則第46条に規定する学域,事務局並びに監査室をいう。

(2) 個人番号 番号法第7条第1項又は第2項の規定により,住民票コードを変換して得られる番号であって,当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。

(3) 特定個人情報 個人番号(個人番号に対応し,当該個人番号に代わって用いられる番号,記号その他の符号であって,住民票コード以外のものを含み,番号法第7条第1項及び第2項,第8条並びに第67条並びに附則第3条第1項から第3項まで及び第5項を除く。)をその内容に含む個人情報をいう。

(4) 特定個人情報等 個人番号及び特定個人情報をいう。

(5) 個人情報ファイル 保有個人情報を含む情報の集合物であって,次に掲げるものをいう。

 一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

 に掲げるもののほか,一定の事務の目的を達成するために氏名,生年月日その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの

(6) 特定個人情報ファイル 個人番号をその内容に含む個人情報ファイルをいう。

(7) 個人番号利用事務 番号法第9条第1項又は第2項の規定により,その保有する特定個人情報ファイルにおいて個人情報を効率的に検索し,及び管理するために必要な限度で個人番号を利用して処理する事務をいう。

(8) 個人番号関係事務 番号法第9条第3項の規定により,個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。

(9) 個人番号関係事務実施者 個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。

(個人番号を取り扱う事務の範囲)

第3条 本学において個人番号を取り扱う事務の範囲は,次に掲げる事務とする。

 所得税法(昭和40年法律第33号)その他の所得税に関する法律により行う事務

 地方税法(昭和25年法律第226号)その他の地方税に関する法律により行う事務

 雇用保険法(昭和49年法律第116号)により行う事務

 労働者災害補償保険法(昭和22年法律第50号)により行う事務

 健康保険法(大正11年法律第70号)により行う事務

 国民年金法(昭和34年法律第141号)により行う事務

 厚生年金保険法(昭和29年法律第115号)により行う事務

 確定拠出年金法(平成13年法律第88号)により行う事務

 国家公務員共済組合法(昭和33年法律第128号)により行う事務

 私立学校教職員共済法(昭和28年法律第245号)により行う事務

 船員保険法(昭和14年法律第73号)により行う事務

 勤労者財産形成促進法(昭和46年法律第92号)により行う事務

 その他の番号法及びその関係法により行う事務

(2) 前号に規定するもの以外の個人に係る個人番号関係事務

 所得税法(昭和40年法律第33号)その他の所得税に関する法律により行う事務

 地方税法(昭和25年法律第226号)その他の地方税に関する法律により行う事務

 国民年金法(昭和34年法律第141号)により行う事務

 厚生年金保険法(昭和29年法律第115号)により行う事務

 国家公務員共済組合法(昭和33年法律第128号)により行う事務

 その他の番号法及びその関係法により行う事務

(特定個人情報の範囲)

第4条 前条に規定する事務において使用される特定個人情報は,以下のとおりとする。

(1) 前条に規定する者から,番号法第16条に基づく本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード,通知カード,身元確認書類等)の写し

(2) 本学が行政機関等に提出するために作成した届出書等(これらの控えを含む。)

(3) 本学が届出書等を作成する上で前条に規定する者から受領する個人番号が記載された申告書等(これらの控えを含む。)

(4) その他個人番号と関連づけて保存される情報

第2章 特定個人情報の利用制限

(個人番号の利用制限)

第5条 本学は,第3条に規定する事務以外で個人番号を利用してはならない。

2 前項の規定にかかわらず,人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意があり,又は本人の同意を得ることが困難である場合は,個人番号関係事務を処理する目的で保有している個人番号を利用することができる。

(特定個人情報ファイルの作成の制限)

第6条 本学は,第3条に規定する事務を実施するために必要な場合,又は番号法第19条第11号から第14号までのいずれかに該当する場合を除き特定個人情報ファイルを作成してはならない。

第3章 特定個人情報の安全管理措置等

第1節 委託の取扱い

(委託先における安全管理措置)

第7条 本学は,個人番号関係事務の全部又は一部を委託する場合には,本学自らが果たすべき安全管理措置と同等の措置が委託先において講じられるよう,必要かつ適切な監督を行わなければならない。

2 前項の監督には,次に掲げる事項が含まれる。

(1) 委託先の適切な選定

(2) 委託先に安全管理措置を遵守させるために必要な契約の締結

(3) 委託先における特定個人情報の取扱状況の把握

3 前項第2号の契約に係る契約書には,次に掲げる事項を明記しなければならない。

(1) 秘密保持義務に関する規定

(2) 事業所内からの特定個人情報の持ち出しの禁止

(3) 特定個人情報の目的外利用の禁止

(4) 再委託における条件

(5) 漏えい事案等が発生した場合の委託先の責任に関する規定

(6) 委託契約終了後の特定個人情報の返却又は廃棄に関する規定

(7) 特定個人情報を取り扱う従業者の明確化に関する規定

(8) 従業者に対する監督及び教育に関する規定

(9) 契約内容の遵守状況について報告を求める規定

(10) 本学が委託先に対して実地の監査,調査等を行うことができる規定

4 第2項第3号の特定個人情報の取扱状況の把握については,次に掲げる事項を行うこと等により,委託契約で盛り込んだ内容の実施の程度を把握した上で,委託の内容等の見直しを検討することを含め,適切に評価しなければならない。

(1) 第2項第2号の契約に基づき報告を求めること。

(2) 委託先に対して実地の監査,調査等を行うこと。

5 本学は,委託先において特定個人情報の安全管理が適切に行われていることについて,1年に1回定期に又は随時に必要に応じてモニタリングを行う。

6 本学は,委託先において特定個人情報の取扱いに係る業務が再委託される場合には,委託先に第1項から第3項に規定する措置を講じさせるとともに,委託先を通じて又は自らが前項の措置を実施するものとする。特定個人情報の取扱いに係る業務について再委託先が再々委託を行う場合以降も同様とする。

第2節 組織的安全管理措置

(総括責任者)

第8条 本学に,総括責任者を置き,学長が指名する理事又は副学長をもって充てる。

2 総括責任者は,特定個人情報等の管理に関する事務を総括する。

3 総括責任者は,この規程を遵守するとともに,保護責任者及び事務取扱担当者にこれを遵守させるための教育,安全対策の実施及び周知徹底等の措置を実施する責任を負う。

4 総括責任者は,保護責任者及び事務取扱担当者について,番号法,個人情報保護法,ガイドライン,この規程及び規則に反する行為があるなど,特定個人情報等の取扱いに適していないと判断した場合には,当該者が特定個人情報等の取扱いに携わることを禁ずることができる。この場合において,総括責任者は,第9条第1項及び第10条第1項の規定にかかわらず,後任者を指名しなければならない。

(保護責任者)

第9条 特定個人情報等を取り扱う各部局等の事務部(課又は室を置くときは,当該課又は室とする。以下「課室等」という。)に,保護責任者を置き,総括責任者が指名する当該課室等の長をもって充てる。

2 保護責任者は,各課室等における特定個人情報等を適切に管理する。

3 保護責任者は,この規程を遵守するとともに,事務取扱担当者がこれを遵守しているかを常時把握し,管理する責任を負う。

(事務取扱担当者)

第10条 特定個人情報等を取り扱う各課室等に,事務取扱担当者を置き,当該課室等の保護責任者が指名する者をもって充てる。

2 事務取扱担当者は,保護責任者を補佐し,各課室等における特定個人情報等に関する事務を担当する。

3 事務取扱担当者以外の者は,特定個人情報等に係る事務に携わることはできない。

4 事務取扱担当者は,特定個人情報等を取り扱う業務に従事するにあたり,特定個人情報等を保護するため,番号法,個人情報保護法,ガイドライン,この規程及び規則を遵守するとともに,総括責任者及び保護責任者の指示に従わなければならない。

5 事務取扱担当者は,特定個人情報等の漏えい等,番号法,個人情報保護法,ガイドライン,この規程又は規則に違反している事実又はその兆候を把握した場合には,速やかに保護責任者を通じて総括責任者に報告しなければならない。

(監査責任者)

第11条 本学に,監査責任者を置き,学長が指名する監事をもって充てる。

2 監査責任者は,本学における特定個人情報等の管理の状況について監査する。

(特定個人情報の適切な管理のための委員会)

第12条 本学における特定個人情報等の管理に係る重要事項の決定,連絡,調整等は,長崎大学個人情報保護委員会において行う。

(特定個人情報の運用状況の記録)

第13条 事務取扱担当者は,この規程に基づく運用状況を確認するため,特定個人情報等へのアクセス状況(紙媒体の場合も含む。)を記録しなければならない。

2 保護責任者は,前項の記録を一定の期間保存し,定期に及び必要に応じ随時に分析等するための体制を整備する。

3 保護責任者は,第1項の記録について,改ざん,窃取又は不正な削除の防止のために必要な措置を講ずるとともに,分析等を行う。

(取扱状況の確認)

第14条 事務取扱担当者は,特定個人情報ファイルの取扱状況を確認するため,以下の事項を記録し,保護責任者がこれを管理し,及び保管する。

(1) 特定個人情報ファイルの名称

(2) 特定個人情報ファイルが利用に供される事務をつかさどる組織の名称

(3) 特定個人情報ファイルの利用目的

(4) 特定個人情報ファイルに記録される項目及び本人として特定個人情報ファイルに記録される個人の範囲

(5) 特定個人情報ファイルに記録される特定個人情報等の収集方法

(情報漏えい等事案に対応する体制等)

第15条 本学は,情報漏えい等の事案の発生又は兆候を把握した場合に,適切かつ迅速に対応するための体制及び手順等を整備する。

(監査)

第16条 監査責任者は,特定個人情報等の管理の状況について,定期に及び必要に応じ随時に監査(外部監査を含む。以下同じ。)を行い,その結果を総括責任者に報告する。

(安全管理措置の見直し)

第17条 総括責任者は,監査の結果等を踏まえ,必要があると認めるときは,この規程の見直し等の措置を講ずる。

第3節 人的安全管理措置

(事務取扱担当者の監督)

第18条 総括責任者は,特定個人情報等がこの規程に基づき適正に取り扱われるよう,保護責任者及び事務取扱担当者に対して必要かつ適切な監督を行う。

(事務取扱担当者等の教育)

第19条 総括責任者は,保護責任者及び事務取扱担当者に,特定個人情報等の適正な取扱いについて理解を深め,特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育・研修を行う。

2 総括責任者は,特定個人情報等を取り扱う情報システムの管理に関する事務に従事する職員に対し,特定個人情報等の適切な管理のために,情報システムの管理,運用及びセキュリティ対策に関して必要な教育・研修を行う。

3 総括責任者は,保護責任者及び事務取扱担当者に,課室等における特定個人情報等の適切な管理のために必要な教育・研修を行う。

4 総括責任者は,保護責任者及び事務取扱担当者に,教育・研修への参加の機会を付与するとともに,研修未受講者に対して再受講の機会を付与する等の必要な措置を講ずる。

第4節 物理的安全管理措置

(特定個人情報等を取り扱う区域の管理)

第20条 総括責任者は,本学における特定個人情報ファイルを取り扱う情報システム(サーバ等)を管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を設定し,次の各号に掲げる区域についてそれぞれ当該各号に規定する措置を講ずる。

(1) 管理区域 管理区域であることを明確にし,入退室管理及び管理区域へ持ち込む機器等の制限等の物理的な安全管理措置を講ずる。

(2) 取扱区域 事務取扱担当者等以外の者が特定個人情報等を容易に閲覧等できないよう必要な措置を講ずる。

2 前項第1号に規定する管理区域のうち,基幹的なサーバ等の機器を設置する室等(以下「情報システム室等」という。)については,次の各号に掲げる措置を講ずる。

(1) 情報システム室等に入室する権限を有する者を定めるとともに,用件の確認,入退室の記録,部外者についての識別化,部外者が入室する場合の職員の立会い等の措置

(2) 情報システム室等の出入口の特定化による入退室の管理の容易化,所在表示の制限等の措置

(3) 入室に係る認証機能を設定し,及びパスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。),パスワード等の読取防止等を行うために必要な措置

(4) 施錠装置,警報装置及び監視設備の設置等の措置

(機器,電子媒体等の盗難等の防止)

第21条 保護責任者は,管理区域及び取扱区域における特定個人情報等を取り扱う機器,電子媒体,書類等の盗難,紛失等を防止するために,必要な措置を講じなければならない。

(電子媒体等の取扱いにおける漏えい等の防止)

第22条 保護責任者は,許可された機器,電子媒体等以外のものについて使用の制限等の必要な措置を講じなければならない。

2 保護責任者は,記録機能を有する機器の情報システム端末等への接続制限等の必要な措置を講じなければならない。

3 保護責任者は,特定個人情報等が記録された電子媒体,書類等を持ち運ぶ必要が生じた場合には,持運びの状況に応じて次のいずれかの安全策を講じるものとする。ただし,行政機関等に法定調書等をデータで提出する際は,行政機関等が指定する提出方法に従うものとする。

(1) 特定個人情報等が記録された電子媒体を安全に持ち運ぶ方法としては,データの暗号化,パスワードによる保護,施錠できる搬送容器の使用,追跡可能な移送手段の利用等

(2) 特定個人情報等が記載された書類を安全に持ち運ぶ方法としては,封緘,目隠しシールの貼付,施錠できる搬送容器の使用,追跡可能な移送手段の利用等

4 前項の「持ち運ぶ」とは,特定個人情報等を管理区域又は取扱区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいい,学内の移動等であっても,特定個人情報等の紛失,盗難等に留意しなければならない。

(個人番号の削除並びに機器,電子媒体等の廃棄)

第23条 事務取扱担当者は,特定個人情報等が記録された電子媒体,書類等について,番号法その他の関係法令に定めるもののほか,長崎大学法人文書管理規程(平成23年規程第15号)に規定する保存期間を経過した場合には,個人番号を速やかに復元できない手段で削除し,又は廃棄しなければならない。

2 事務取扱担当者は,個人番号若しくは特定個人情報ファイルを削除した場合又は機器,電子媒体等を廃棄した場合には,削除し,又は廃棄した記録を保存しなければならない。

3 事務取扱担当者は,前2項に規定する作業を委託する場合には,委託先が確実に削除し,又は廃棄したことについて,証明書等により確認しなければならない。

第5節 技術的安全管理措置

(アクセス制御)

第24条 保護責任者は,情報システムを使用して個人番号関係事務を行う場合,事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために,適切なアクセス制御を行わなければならない。

(アクセス者の識別と認証)

第25条 特定個人情報等を取り扱う情報システムは,事務取扱担当者が正当なアクセス権を有する者であることを,識別した結果に基づき認証する。

(不正アクセス等による被害の防止等)

第26条 保護責任者は,情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組み等を導入し,適切に運用しなければならない。

(情報漏えい等の防止)

第27条 保護責任者は,特定個人情報等をインターネット等により外部に送信する場合,通信経路における情報漏えい等を防止するための措置を講じなければならない。

2 事務取扱担当者は,特定個人情報ファイルを機器,電子媒体等に保存する必要がある場合,暗号化又はパスワードにより秘匿しなければならない。

第4章 特定個人情報等の提供制限等

(個人番号の提供の要求)

第28条 個人番号関係事務実施者は,第3条に規定する事務を処理するために必要がある場合に限り,役職員等に対し,個人番号の提供を求めることができる。

(個人番号の提供に係る求めの制限)

第29条 本学は,番号法第19条各号のいずれかに該当し特定個人情報の提供を受けることができる場合を除き,役職員等に対し,個人番号の提供を求めてはならない。

(特定個人情報の提供制限)

第30条 本学は,番号法第19条各号のいずれかに該当する場合を除き,特定個人情報の提供をしてはならない。

(収集・保管制限)

第31条 本学は,番号法第19条各号のいずれかに該当する場合を除き,特定個人情報(他人の個人番号を含むものに限る。)を収集し,又は保管してはならない。

(本人確認)

第32条 個人番号関係事務実施者は,本学が個人番号を取得するに当たり,番号法第16条に定める方法により,本人確認を行わなければならない。

第5章 特定個人情報の開示,訂正及び利用停止

(開示,訂正及び利用停止)

第33条 本学は,特定個人情報の開示,訂正及び利用停止の求めがあった場合には,規則の規定に基づき処理する。

第6章 特定個人情報の保護

(特定個人情報保護評価)

第34条 本学は,特定個人情報ファイル(専ら本学の教職員又は教職員であった者の人事,給与又は福利厚生に関する事項を記録するものその他の特定個人情報保護評価に関する規則(平成26年特定個人情報保護委員会規則第1号。以下「保護評価規則」という。)で定めるものを除く。以下この条において同じ。)を保有しようとするときは,番号法第27条の定めにより,当該特定個人情報ファイルを保有する前に,同法同条第1項に定める事項を評価した結果を記載した書面(以下この条において「評価書」という。)を公示し,広く国民の意見を求めるものとする。当該特定個人情報ファイルについて,保護評価規則で定める重要な変更を加えようとするときも,同様とする。

2 本学は,保護評価規則で定めるところにより,前項の規定により得られた意見を十分考慮した上で評価書に必要な見直しを行った後に,当該評価書に記載された特定個人情報ファイルの取扱いについて番号法第36条に規定する特定個人情報保護委員会の承認を受けるものとする。当該特定個人情報ファイルについて,保護評価規則で定める重要な変更を加えようとするときも,同様とする。

3 本学は,前項の規定により,評価書について承認を受けたときは,速やかに当該評価書を公表するものとする。

第7章 その他

(補則)

第35条 この規程に定めるもののほか,本学における特定個人情報の保護について必要な事項は,学長が別に定めることができる。

附 則

この規程は,平成27年11月24日から施行する。

附 則(平成28年1月5日規程第1号)

この規程は,平成28年1月5日から施行する。

附 則(平成28年3月29日規程第19号)

この規程は,平成28年4月1日から施行する。

附 則(平成28年10月18日規程第53号)

この規程は,平成28年10月18日から施行する。

附 則(平成29年3月28日規程第13号)

この規程は,平成29年4月1日から施行する。

附 則(平成29年12月26日規程第54号)

この規程は,平成30年1月1日から施行する。

附 則(平成30年6月26日規程第36号)

1 この規程は,平成30年7月1日から施行する。

附 則(平成31年3月29日規程第18号)

この規程は,平成31年4月1日から施行する。

附 則(令和2年3月12日規程第11号)

この規程は,令和2年4月1日から施行する。

附 則(令和2年4月1日規程第23号)

この規程は,令和2年4月1日から施行し,令和元年10月1日から適用する。

附 則(令和2年6月15日規程第32号)

この規程は,令和2年6月15日から施行し,改正後の長崎大学情報公開取扱規程,長崎大学特定個人情報管理規程,長崎大学ホームページ管理運用規程,長崎大学文書処理規程,長崎大学公印規程,長崎大学の部局における事務の専決に関する規程,長崎大学旅行命令権の委任に関する規程,長崎大学会計実施規程,長崎大学防災管理規程,長崎大学におけるエネルギーの使用の合理化に関する規程,長崎大学電気工作物保安規程,長崎大学水道施設管理規程及び長崎大学事務局等文書決裁規程の規定は,令和2年4月1日から適用する。

附 則(令和2年6月30日規程第34号)

この規程は,令和2年7月1日から施行する。

長崎大学特定個人情報管理規程

平成27年11月24日 規程第51号

(令和2年7月1日施行)

体系情報
第3編
沿革情報
平成27年11月24日 規程第51号
平成28年1月5日 規程第1号
平成28年3月29日 規程第19号
平成28年10月18日 規程第53号
平成29年3月28日 規程第13号
平成29年12月26日 規程第54号
平成30年6月26日 規程第36号
平成31年3月29日 規程第18号
令和2年3月12日 規程第11号
令和2年4月1日 規程第23号
令和2年6月15日 規程第32号
令和2年6月30日 規程第34号