○国立大学法人新潟大学保有個人情報の取扱いに係る委託業務実地検査取扱要領
| (令和元年8月1日学長裁定) |
|
(趣旨)
第1条 この要項は,国立大学法人新潟大学個人情報の管理に関する規程(平成17年規程第19号。以下「規程」という。)第41条の規定に基づき,規程第33条第2項に規定する外部委託業務の委託先における実地検査(以下「実地検査」という。)に関し,必要な事項を定めるものとする。
(実地検査)
第2条 実地検査は,国立大学法人新潟大学契約事務実施細則(平成17年細則第4号)第17条で規定する誓約書(以下「誓約書」という。)に記載している内容の状況を検査するものとする。ただし,外部委託業務が,再委託される場合や特定個人情報等秘匿性の高い個人情報を除き,次の各号のいずれかに該当する場合は,委託先から国立大学法人新潟大学(以下「本学」という。)へ誓約書に記載している内容の状況に関する報告書を提出することで検査したものとみなすことができる。
(1) 外部委託業務において取り扱う保有個人情報の本人の数が1,000人未満のもの
(2) 外部委託業務の契約開始日から履行完了日までの間が14日以内のもののもの
(3) 外部委託業務において取り扱う保有個人情報が既に公表されている情報又は直近に公開される情報であるもの
(4) 外部委託業務において取り扱う保有個人情報が匿名加工情報であるもの
(5) 委託先の事業所の委託業務履行区域において,委託先以外の者の立入を禁止している場合
(6) 委託先がプライバシーマークまたはISO/IEC27001等情報セキュリティマネジメントシステム(ISMS)の認証資格を保有しているもの
(7) 次に掲げる理由により,実地検査の妥当性を欠くと総括保護管理者が認めたもの
イ.委託業務の実地検査により納期が遅延するおそれがある場合
ロ.容易に個人を特定できないように匿名化措置を講じている情報等,秘匿性が高いとは言えない情報の委託である場合
ハ.委託先が業務を無断で再委託する余地がない場合
2 保護管理者は,委託契約の実地検査を効果的である時期や回数を判断して検査を実施するものとする。
(実施部署)
第3条 実地検査は,外部委託業務の所管課の保護管理者(以下「保護管理者」という。)又は保護管理者が指定する保護担当者が,当該外部委託業務の契約事務等責任者又はその補助者と協力して実施する。
(検査項目)
第4条 実地検査における検査項目は,次に掲げる項目とする。
(1) 業務従事者の管理体制及び実施体制
(2) 個人情報に関する秘密保持及び目的外利用の禁止
(3) 個人情報の複製等の制限
(4) 委託終了時における個人情報の消去及び媒体の返却確認
(5) 個人情報の漏えい等の事案の発生時における委託先の対応及び本学への連絡体制
(6) 本学の了承が無い再委託の有無
(報告等)
第5条 保護管理者は,実地検査を実施したときは,検査結果を総括保護管理者に報告しなければならない。
2 第4条第4号に規定する検査項目は,契約期間中は実地検査を留保してその手順等を確認し,給付完了後に実地検査を実施するものとする。
[第4条第4号]
3 保護管理者は,実地検査により保有個人情報の取扱いが不適切と判断した場合は,改善計画を総括保護管理者に提出しなければならない。
(実施時期)
第6条 実地検査の実施時期は,外部委託業務の内容に応じて契約開始日から履行完了日までの間の適切な時期とする。
(雑則)
第7条 この要項に定めるもののほか,実地検査に関し必要な事項は,別に定める。
附 則
この要領は,令和元年8月1日から実施する。
附 則(令和2年7月20日)
|
|
この要領は,令和2年8月1日から実施する。
附 則(令和2年12月9日)
|
|
この要領は,令和3年1月1日から実施する。
附 則(令和4年3月23日)
|
|
この要領は,令和4年4月1日から実施する。