○国立大学法人北海道教育大学個人情報等取扱規則
| (制 定 令和4年3月24日令和3年規則第40号) |
|
国立大学法人北海道教育大学保有個人情報等取扱規則(平成16年規則第165号)の全部を改正する。
第1章 総則
(目的)
第1条 この規則は,国立大学法人北海道教育大学(以下「本学」という。)における個人情報等の取扱いについて,必要な事項を定める。
(定義)
第2条 この規則において使用する用語は,この規則に特段の定めのない限り,個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)において使用する用語の例による。
第2章 安全管理措置
第1節 組織的安全管理措置
(総括保護管理者)
第3条 本学に総括保護管理者を置き,学長が指名する理事又は副学長をもって充てる。
2 総括保護管理者は,本学における個人情報に関する業務を統括するものとする。
3 総括保護責任者は,本学における個人情報の取扱いについて責任を負う。
(保護管理者)
第4条 総括保護管理者の下に,保護管理者を置き,各校,教職大学院,学校臨床心理専攻,共同学校教育学専攻,附属図書館,教員養成イノベーション機構,各教育研究支援機関,保健管理センター,各附属学校(園),事務局の課又は室及び監査室(以下「部局」という。)の長をもって充てる。
2 保護管理者は,自らが所掌する部局(以下「所掌部局」という。)において,個人情報に関する業務を統括し,個人情報の取扱いについて責任を負う。
(取扱担当者)
第5条 保護管理者は,所掌部局における個人データに係る業務を行う職員(以下「取扱担当者」という。)を指名する。ただし,教員が個人データを保有しているときは,当該教員が,取扱担当者として当該個人データに係る業務を行う。
2 保護管理者は,所掌部局に所属する取扱担当者を監督し,必要な指示をする。
3 取扱担当者は,個人データについて,漏えい,滅失若しくは毀損し(以下「漏えい等」という。),若しくは法令及び本学規則等に違反した取扱いが行われ,又はそのおそれがあると認めるときは,直ちに保護管理者に報告するものとし,保護管理者はこれを総括保護管理者に報告するものとする。
(委員会)
第6条 個人情報に関する事項を審議するため,国立大学法人北海道教育大学運営規則(平成26年規則第25号)第10条の2第1項の規定に基づき,国立大学法人北海道教育大学個人情報管理委員会(以下「委員会」という。)を置く。
2 委員会は,次に掲げる委員で組織する。
(1) 総括保護管理者
(2) 最高情報セキュリティ責任者
(3) キャンパス長
(4) 教職大学院長
(5) 学校臨床心理専攻長
(6) 共同学校教育学専攻長
(7) 附属図書館長
(8) 保健管理センター長
(9) 事務局長
(10) 学長が指名する者
3 委員会は,次の事項を審議する。
(1) 個人情報の管理に係る方策に関する事項
(2) 個人情報に関する教育研修に関する事項
(3) 個人情報の漏えい等への対応に関する事項
(4) その他個人情報の適切な管理のために必要な事項
4 委員会に委員長を置き,第2項第1号の委員をもって充てる。
5 委員長は委員会を招集し,議長となる。
6 委員会は,委員の3分の2以上が出席しなければ,会議を開くことができない。
7 委員会の議事は,出席した委員の過半数をもって決定し,可否同数のときは,議長の決するところによる。
8 議長が必要と認めたときは,委員以外の者を出席させ,意見を聴くことができる。
(監査責任者)
第7条 本学に監査責任者を置き,監査室長をもって充てる。
2 監査責任者は,本学における個人情報に関する業務を監査し,総括保護管理者及び保護管理者に対し,必要な意見を述べる。
(役職員の責務等)
第8条 役職員(派遣労働者を含む。以下同じ。)は,法令及び本学規則等並びに総括保護管理者,保護管理者及び取扱担当者の指示に従い,個人情報を取り扱わなければならない。
(個人データの管理)
第9条 個人データを保有するに至ったときは,取扱担当者は,個人データ記録簿(別記様式第1号。以下「個人データ記録簿」という。)を作成し,保護管理者の確認を受けるものとする。
2 取扱担当者は,前項の規定により保護管理者の確認を受けたときは,当該個人データ記録簿に基づき,個人情報データベース等管理台帳 (別記様式第2号。以下「個人情報データベース等管理台帳」という。)に,所定の事項を記入するものとする。
3 取扱担当者は,個人データを消除したときは,これを個人データ記録簿及び個人情報データベース等管理台帳により記録するものとする。
4 取扱担当者は,個人データについて,次の各号に掲げる取扱いを行うときは,個人データ取扱記録簿(別記様式第3号。以下「個人データ取扱記録簿」という。)を作成し,保護管理者の確認を受けるものとする。
(1) 利用目的の達成に必要な範囲を超えた利用
(2) 第三者への提供又は委託
5 取扱担当者は,前項の規定による確認を受けたときは,当該個人データ取扱記録簿に基づき,個人データ取扱管理簿(別記様式4号)に,所定の事項を記入するものとする。
6 外国において個人データを取り扱う場合は,当該外国の個人情報の保護に関する制度等を把握した上で,個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(漏えい等への対応)
第10条 役職員は,個人情報の漏えい等の発生又はそのおそれを認めたときは,保護管理者に報告するものとする。
2 前項の報告を受けた保護管理者は,当該漏えい等に対して適切に対応するとともに,個人データ漏えい等事案報告書(別記様式第5号)により,速やかに総括保護管理者に報告するものとする。ただし,漏えい等をした個人データに特定個人情報が含まれる場合については,特定個人情報漏えい等事案報告書(別記様式第6号)により報告するものとする。
3 前項までに定めるもののほか,個人情報の漏えい等への対応については,別に定める。
(苦情への対応)
第11条 個人情報の取扱いに関する苦情及び相談等を受け付けるため,総務企画部総務課に情報公開室を,各校室に情報公開コーナーを設置する。
2 役職員は,個人情報の取扱いに関する苦情を受けたときは,保護管理者に報告するものとし,保護管理者は,適切に対応するものとする。
(取扱状況の確認)
第12条 総括保護管理者は,定期又は必要に応じて随時に,個人データの取扱状況を確認するとともに,安全管理措置の見直しを随時行うものとする。
第2節 人的安全管理措置
(教育・研修)
第13条 総括保護管理者は,役職員に対し,定期的に,個人情報を適切に取り扱うために必要な教育訓練を行うものとする。
第3節 物理的安全管理措置
(管理区域)
第14条 個人情報データベース等を取り扱う機器のうち,サーバ,メインコンピューター等の重要な情報システム(以下「情報システム」という。)の管理を所掌する保護管理者(以下「情報システム保護管理者」という。)は,管理区域を指定するものとし,管理区域における個人データの取扱いについて責任を負う。
2 情報システムについては,管理区域に設置するものとし,情報システムで取り扱う個人データについては,管理区域において取り扱うものとする。
3 情報システムを設置するにあたっては,セキュリティーワイヤー等で固定する等情報システムの盗難等を防ぐために必要な措置を講じるものとする。
4 管理区域については,入退室管理を行うとともに,管理区域に持ち込む電子機器及び電子媒体等については,情報システム保護管理者の許可を受けたものに限るものとする。
(取扱区域)
第15条 保護管理者は,取扱区域を指定するものとし,取扱区域における個人データの取扱いについて責任を負う。
2 個人データ(管理区域において取り扱うものを除く。以下この条において同じ。)については,保護管理者の許可を受けた場合を除き,取扱区域において取り扱うものとする。
3 個人データが記録された電子機器,電子媒体又は書籍等については,キャビネット又は書庫等に施錠して保管するものとする。
4 取扱区域は,取扱担当者以外の者から個人データが見えにくい場所とし,壁や間仕切りを設置する等,可能な限り他の区域と遮蔽する措置を講じるものとする。
(区域外への個人データの移動)
第16条 個人データは,管理区域又は取扱区域(以下「管理区域等」という。)の外に移動させてはならない。ただし,次の各号に掲げる場合は,この限りでない。
(1) 個人データの取扱いを委託する場合に,当該委託を受けた者に対し,必要と認められる範囲内で個人データを提供する場合
(2) 保護管理者の許可を受けた場合
2 個人データを管理区域等の外に移動させるときは,次の各号に掲げる一以上の措置を講じるものとし,前項第2号の場合については,保護管理者の指示に従い,その移動の状況を記録するものとする。
(1) 電子媒体に記録された個人データを移動させるとき。
ア 個人データに暗号化処理を行う。
イ 個人データにパスワードを設定する。
ウ 当該電子媒体を搬送する容器を施錠する。
エ 当該電子媒体の移送状況を追跡する。
(2) 書類等に記載された個人データを移動させるとき。
ア 当該書類等を封緘する。
イ 個人データが記載された部分に情報を保護するためのシールを貼付する。
ウ 当該書類等の移送状況を追跡する。
(個人データの消除等)
第17条 個人データを消除するときは,当該個人データの復元が不可能となる方法によるものとする。
2 個人データが記録された媒体を廃棄するときは,次に掲げるいずれかの措置を講じたうえで,廃棄するものとする。
(1) 当該媒体を個人データの復元が不可能となる程度に裁断,焼却又は溶解する。
(2) 当該媒体にデータの復元を不可能とするソフトウェアを使用する。
(3) 当該媒体を個人データの復元が不可能となる程度に物理的に破壊する。
第4節 技術的安全管理措置
(情報システムの管理)
第18条 情報システム保護管理者は,情報システムについて,ユーザーID,パスワード,磁気・ICカード等により,利用者を識別し,認証する措置を講じるほか,次の各号に掲げる措置を講ずるものとする。
(1) 個人データを取り扱う情報システムを限定する。
(2) 個人データと紐付けてアクセスできる情報の範囲を限定する。
(3) 情報システムを利用することができる者を限定し,当該者のユーザーIDにのみアクセス権を付与する。
(不正アクセス等からの防御措置)
第19条 情報システム保護管理者は,次の各号に掲げる措置のほか,情報システムを不正アクセス及び不正ソフトウェアから防御する措置を講ずるものとする。
(1) 情報システムと外部ネットワークとの接続箇所に,ファイアウォールを設置する。
(2) 情報システムに,セキュリティ対策ソフトウェア,ウイルス対策ソフトウェア等を導入し,不正ソフトウェアを監視する。
(3) 情報システム及び情報システムにおいて利用するソフトウェアを常に最新の状態にする。
(4) 情報システムのログの分析を定期的に行い,不正アクセスを監視する。
(データ漏えい等の防止措置)
第20条 情報システム保護管理者は,次の各号に掲げる措置のほか,情報システムからの個人データの漏えい等を防止するための措置を講じるものとする。
(1) 新たに情報システムを設計するときは,個人データの漏えい等を防ぎ,システムのぜい弱性を突いた攻撃への対策措置を講じる。
(2) 情報システムの点検を随時行い,必要な改良を行う。
(3) 情報システムで取り扱う個人データの通信経路,通信内容等を暗号化する。
(4) 情報システムで取り扱う個人データにパスワードを設定する。
第5節 委託先における安全管理措置
(委託先における安全管理措置)
第21条 保護管理者は,個人データの取扱いの全部又は一部を委託する場合は,次に掲げる措置を講ずるほか,当該委託を受けた者(以下「委託先」という。)が,本学が果たすべき安全管理措置と同等の措置を講じるよう,必要な措置を講ずるものとする。
(1) 適切な委託先の選定
(2) 適切な契約の締結
(3) 委託先における個人データの取扱状況の把握
2 委託先との契約には,次に掲げる事項を定めるものとする。
(1) 秘密保持義務に関する事項
(2) 個人データの持出し禁止に関する事項
(3) 個人データの目的外利用の禁止に関する事項
(4) 漏えい等が発生した場合の委託先の責任に関する事項
(5) 業務終了後における個人データの返却又は廃棄に関する事項
(6) 委託先の従業者に対する監督・教育に関する事項
(7) 契約内容の遵守状況についての報告に関する事項
(8) 個人データを取り扱う者の特定に関する事項
(9) 次項から第6項までに規定する事項
3 保護管理者は,年に1回以上,委託先における個人データの管理体制並びに実施体制及び個人データの管理の状況についての検査を行うものとする。ただし,検査の方法は,原則として実地検査とする。
4 委託先は,本学の許可を受けた場合に限り,個人データの取扱いを再委託することができるものとする。
5 委託先は,再委託先に対し必要かつ適切な監督を行うものとし,保護管理者は,当該監督の状況について監督するものとする。
6 委託先は,再委託に係る契約において,第2項各号に掲げる事項を定めるものとする。
7 再委託先が更に委託する場合については,前3項の規定を準用する。
第6節 仮名加工情報等の安全管理措置
(仮名加工情報等の安全管理措置)
第22条 仮名加工情報,当該仮名加工情報に係る削除情報等,匿名加工情報,行政機関等匿名加工情報、法第107条第4項に規定する削除情報及び法第114条第1項の規定により行った加工の方法に関する情報(以下「仮名加工情報等」という。)の安全管理措置は,第1節から第5節の規定を準用する。この場合において,「個人情報」又は「個人データ」とあるのを「仮名加工情報等」と読み替えるものとする。
第3章 個人情報ファイル簿
(個人情報ファイル簿)
第23条 法第75条第1項に規定する個人情報ファイル簿については,国立大学法人北海道教育大学個人情報ファイル簿(別記様式第7号)によるものとする。
2 取扱担当者は,個人情報の保護に関する法律施行令(平成15年政令第507号。以下「施行令」という。)第21条第1項,第3項及び第4項の規定により行政機関の長等が行うべき事務を行うものとする。ただし,同条第1項又は第3項に係る事務については,事後に,同条第4項に係る事務については事前に,保護管理者の確認を受けなければならない。
第4章 行政機関等匿名加工情報の提供
(利用料)
第24条 本学との間で法第113条の規定により行政機関等匿名加工情報の利用に関する契約を締結する者は,本学に,21,000円に次に掲げる合計額を加算した額の利用料を納入しなければならない。
(1) 行政機関等匿名加工情報の作成に要する時間1時間までごとに3,950円
(2) 行政機関等匿名加工情報の作成の委託を受けた者に対して支払う額(当該委託をする場合に限る。)
2 本学との間で法第116条第2項において準用する法第113条の規定により行政機関等匿名加工情報の利用に関する契約を締結する者は,次の各号に掲げる区分に応じ,当該各号に定める額の利用料を納入しなければならない。
(1) 次号に掲げる者以外の者 前号の規定により納付しなければならない利用料の額と同一の額
(2) 法第113条(法第116条第2項において準用する場合を含む。)の規定により当該行政機関等匿名加工情報の利用に関する契約を締結した者 12,600円
第5章 雑則
(庶務)
第25条 個人情報及び仮名加工情報等の取扱いに係る庶務は,総務企画部総務課が行う。ただし,情報システムに係る庶務は,IT総合管理室が行う。
(雑則)
第26条 この規則に定めるもののほか,個人情報等の適切な取扱いに関し,必要な事項は,別に定める。
附 則
この規則は,令和4年4月1日から施行する。
附 則(令和4年11月24日令和4年規則第21号)
|
|
この規則は,令和4年11月24日から施行し,令和4年4月1日から適用する。
附 則(令和5年3月31日令和4年規則第70号)
|
|
この規則は,令和5年4月1日から施行する。
附 則(令和6年10月1日令和6年規則第8号)
|
|
この規則は,令和6年10月1日から施行し,令和5年4月1日から適用する。
附 則(令和7年3月27日令和6年規則第46号)
|
|
この規則は,令和7年4月1日から施行する。
別記様式第1号(第9条関係)
個人データ記録簿
別記様式第2号(第9条関係)
個人情報データベース等管理台帳
別記様式第3号(第9条関係)
個人データ取扱記録簿
別記様式第4号(第9条関係)
個人データ取扱管理簿
別記様式第5号(第10条関係)
個人データ漏えい等事案報告書
別記様式第6号(第10条関係)
特定個人情報漏えい等事案報告書
別記様式第7号(第23条関係)
国立大学法人北海道教育大学個人情報ファイル簿