東海国立大学機構規則集

○東海国立大学機構個人情報保護規程施行細則

(令和4年3月9日機構細則第9号)

(趣旨)

第1条　東海国立大学機構個人情報保護規程（令和3年度機構規程第24号。以下「規程」という。）第50条の規定に基づく東海国立大学機構（以下「機構」という。）における個人情報の取扱いに関し必要な事項は，この細則の定めるところによる。

[東海国立大学機構個人情報保護規程（令和3年度機構規程第24号。以下「規程」という。）第50条]

(定義)

第2条　この細則において使用する用語は，規程において使用する用語の例による。

(個人情報の区分，秘匿性及び重要度)

第3条　個人情報は，その漏えい，利用目的以外の利用等により発生する精神的な苦痛及び経済的被害を踏まえ，次の各号に掲げる情報に区分するものとする。

(1)　個人を表す基本的な情報（以下「基本情報」という。）

(2)　その他前号に準ずる情報

(3)　漏えい等によって他人に知られることにより，個人に対して精神的な苦痛を与える情報（以下「プライバシー情報」という。）及び利用目的以外に利用されることにより，個人の持つ資産に直接的な損失又は影響を与え得る情報（以下「経済的情報」という。）

(4)　前3号に掲げる情報よりも更に注意を要する情報（以下「要注意情報」という。）

2　個人情報の秘匿性及び重要度については，次に掲げる表の区分による。

秘匿性／重要度		個人情報の内容
1	基本情報	氏名，住所，生年月日，性別
2	その他基本情報に準ずる情報	規程第2条第15号に規定する個人番号，メールアドレス，職員個人番号，学籍番号，健康保険証番号，年金証書番号，電話番号，健康保険証情報，年金証書情報，学校名，役職，職種，身長，体重，血液型，身体特性，写真，音声，体力診断
3	プライバシー情報	人種，国籍，趣味，特技，嗜好，民族，賞罰，職歴，学歴，成績，試験得点
	経済的情報	パスポート情報，情報システムのアカウント・パスワード，預金先情報，年収・年収区分，資産，建物，土地，預金残高，謝金，所得，債務情報
4	要注意情報	信条，思想，宗教，信仰，診療情報（病状，カルテ，健康診断，手術歴，看護記録，検査記録，DNA，病歴，治療法，レセプト），本籍，身体障害者手帳，身体障害，精神障害，犯罪歴

[規程第2条第15号]

(記録媒体等の点検及び報告)

第4条　保護管理者は，規程第5条第5項に規定する個人データ（仮名加工情報を含む。）の記録媒体，処理経路，保管方法等に係る定期の点検については，少なくとも毎年度1回実施するものとし，遅滞なく，その点検結果（随時の点検を含む。）を別記様式第1号により総括保護管理者に報告するものとする。

[規程第5条第5項] [別記様式第1号]

(監査)

第5条　規程第7条第2項の規定に基づく個人情報の管理の状況に係る監査については，少なくとも毎年度1回実施するものとする。

[規程第7条第2項]

(教育研修)

第6条　規程第9条に規定する教育研修については，少なくとも毎年度1回実施するよう努めるものとする。

[規程第9条]

(規程第14条第2項第7号リの別に定める者)

第7条　規程第14条第2項第7号リの別に定める者は，次の各号のいずれかに該当する者とする。

[規程第14条第2項第7号]

(1)　外国政府，外国の政府機関，外国の地方公共団体又は国際機関

(2)　外国において学術研究機関等に相当する者

(3)　外国において規程第14条第2項第7号ホからチまでに掲げる者に相当する者

[規程第14条第2項第7号]

(要配慮個人情報を本人の同意なく取得することができる場合)

第8条　規程第14条第2項第8号の別に定める場合は，次に掲げる場合とする。

[規程第14条第2項第8号]

(1)　本人を目視し，又は撮影することにより，その外形上明らかな要配慮個人情報を取得する場合

(2)　規程第19条第2項各号（規程第24条第6項の規定により読み替えて適用する場合及び規程第25条第2項において読み替えて準用する場合を含む。）に掲げる場合において，個人データである要配慮個人情報の提供を受けるとき。

[規程第19条第2項各号]

(機構が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な体制の基準)

第9条　規程第20条第1項の別に定める基準は，次の各号のいずれかに該当することとする。

[規程第20条第1項]

(1)　機構と個人データの提供を受ける者との間で，当該提供を受ける者における当該個人データの取扱いについて，適切かつ合理的な方法により，個人情報の保護に関する法律（平成15年法律第57号。以下「個人情報保護法」という。）第4章第2節の規定の趣旨に沿った措置の実施が確保されていること。

(2)　個人データの提供を受ける者が，個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。

(外国にある第三者への提供に係る同意取得時の情報提供)

第10条　規程第20条第2項又は規程第23条第1項第2号の規定による情報の提供は，次に掲げる事項について行うものとする。

[規程第20条第2項] [規程第23条第1項第2号]

(1)　当該外国の名称

(2)　適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報

(3)　当該第三者が講ずる個人情報の保護のための措置に関する情報

2　前項の規定にかかわらず，規程第20条第1項の規定により本人の同意を得ようとする時点において，前項第1号に定める事項が特定できない場合には，同号及び同項第2号に定める事項に代えて，次に掲げる事項について情報提供しなければならない。

[規程第20条第1項]

(1)　前項第1号に定める事項が特定できない旨及びその理由

(2)　前項第1号に定める事項に代わる本人に参考となるべき情報がある場合には，当該情報

3　第1項の規定にかかわらず，規程第20条第1項の規定により本人の同意を得ようとする時点において，第1項第3号に定める事項について情報提供できない場合には，同号に定める事項に代えて，その旨及びその理由について情報提供しなければならない。

[規程第20条第1項]

(外国にある第三者による相当措置の継続的な実施を確保するために必要な措置等)

第11条　規程第20条第3項（規程第23条第2項において読み替えて準用する場合を含む。）の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は，次に掲げる措置とする。

[規程第20条第3項]

(1)　当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を，適切かつ合理的な方法により，定期的に確認すること。

(2)　当該第三者による相当措置の実施に支障が生じたときは，必要かつ適切な措置を講ずるとともに，当該相当措置の継続的な実施の確保が困難となったときは，個人データ（規程第23条第2項において読み替えて準用する場合にあっては，個人関連情報）の当該第三者への提供を停止すること。

[規程第23条第2項]

2　保護管理者は，規程第20条第3項の規定による求めを受けたときは，本人に対し，遅滞なく，次に掲げる事項について情報提供しなければならない。ただし，情報提供することにより機構の業務の適正な実施に著しい支障を及ぼすおそれがある場合は，その全部又は一部を提供しないことができる。

[規程第20条第3項]

(1)　当該第三者による規程第20条第1項に規定する体制の整備の方法

[規程第20条第1項]

(2)　当該第三者が実施する相当措置の概要

(3)　第1項第1号の規定による確認の頻度及び方法

(4)　当該外国の名称

(5)　当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要

(6)　当該第三者による相当措置の実施に関する支障の有無及びその概要

(7)　前号の支障に関して前項第2号の規定により機構が講ずる措置の概要

3　保護管理者は，規程第20条第3項の規定による求めに係る情報の全部又は一部について提供しない旨の決定をしたときは，本人に対し，遅滞なく，その旨を通知しなければならない。

[規程第20条第3項]

4　保護管理者は，前項の規定により，本人から求められた情報の全部又は一部について提供しない旨を通知する場合には，本人に対し，その理由を説明するよう努めなければならない。

(第三者提供に係る記録事項等)

第12条　規程第21条第1項の別に定める事項（規程第19条第1項又は規程第20条第1項の規定により個人データを第三者に提供した場合に記録する事項）は，次に掲げる事項とする。

[規程第21条第1項] [規程第19条第1項] [規程第20条第1項]

(1)　規程第19条第1項又は規程第20条第1項の本人の同意を得ている旨

[規程第19条第1項] [規程第20条第1項]

(2)　当該第三者の氏名又は名称及び住所並びに法人にあっては，その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっては，その代表者又は管理人。第16条第1項第3号において同じ。）の氏名（不特定かつ多数の者に対して提供したときは，その旨）

(3)　当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項

(4)　当該個人データの項目

2　前項各号に定める事項のうち，既に作成した規程第21条第1項の記録（当該記録を保存している場合におけるものに限る。）に記録されている事項と内容が同一であるものについては，規程第21条第1項の当該事項の記録を省略することができる。

[規程第21条第1項] [規程第21条第1項]

3　本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において，当該提供に関して作成された契約書その他の書面に第1項各号に定める事項が記載されているときは，当該書面をもって規程第21条第1項の当該事項に関する記録に代えることができる。

[規程第21条第1項]

4　規程第21条第2項の別に定める期間は，次の各号に掲げる場合の区分に応じて，それぞれ当該各号に定める期間とする。

[規程第21条第2項]

(1)　前項に規定する方法により記録を作成した場合　最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間

(2)　前号以外の場合　3年

5　第1項各号に規定する事項は，別記様式第2号により記録するものとする。

[別記様式第2号]

(第三者提供を受ける際の確認)

第13条　規程第22条第1項の規定による同項第1号に掲げる事項の確認を行う方法は，個人データを提供する第三者から申告を受ける方法その他の適切な方法とする。

[規程第22条第1項]

2　規程第22条第1項の規定による同項第2号に掲げる事項の確認を行う方法は，個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法とする。

[規程第22条第1項]

3　前2項の規定にかかわらず，第三者から他の個人データの提供を受けるに際して既に前2項に規定する方法による確認（当該確認について記録を保存している場合に限る。）を行っている事項の確認を行う方法は，当該事項の内容と当該提供に係る規程第22条第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。

[規程第22条第1項各号]

(第三者提供を受ける際の記録事項等)

第14条　規程第22条第2項の別に定める事項は，次の各号に掲げる場合の区分に応じ，それぞれ当該各号に定める事項とする。

[規程第22条第2項]

(1)　個人情報取扱事業者から個人情報保護法第27条第2項の規定による個人データの提供を受けた場合　次のイからホまでに掲げる事項

イ　個人データの提供を受けた年月日

ロ　規程第22条第1項各号に掲げる事項

[規程第22条第1項各号]

ハ　当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項

ニ　当該個人データの項目

ホ　個人情報保護法第27条第4項の規定により公表されている旨

(2)　個人情報取扱事業者から個人情報保護法第27条第1項又は同法第28条第1項の規定による個人データの提供を受けた場合　次のイ及びロに掲げる事項

イ　個人情報保護法第27条第1項又は同法第28条第1項の本人の同意を得ている旨

ロ　前号ロからニまでに掲げる事項

(3)　個人関連情報取扱事業者（個人関連情報データベース等を事業の用に供している者をいう。ただし，規程第2条第20号に掲げる者を除く。以下同じ。）から個人情報保護法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得した場合　次のイからニまでに掲げる事項

イ　個人情報保護法第31条第1項第1号の本人の同意が得られている旨及び外国にある個人情報取扱事業者にあっては，同項第2号の規定による情報の提供が行われている旨

ロ　個人情報保護法第30条第1項第1号に掲げる事項

ハ　第1号ハに掲げる事項

ニ　当該個人関連情報の項目

(4)　第三者（個人情報取扱事業者に該当する者を除く。）から個人データの提供を受けた場合　第1号ロからニまでに掲げる事項

2　前項各号に定める事項のうち，既に作成した規程第22条第2項の記録（当該記録を保存している場合におけるものに限る。）に記録された事項と内容が同一であるものについては，規程第22条第2項の当該事項の記録を省略することができる。

[規程第22条第2項] [規程第22条第2項]

3　本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において，当該提供に関して作成された契約書その他の書面に第1項各号に定める事項が記載されているときは，当該書面をもって規程第22条第2項の当該事項に関する記録に代えることができる。

[規程第22条第2項]

4　規程第22条第3項の別に定める期間は，次の各号に掲げる場合の区分に応じて，それぞれ当該各号に定める期間とする。

[規程第22条第3項]

(1)　前項に規定する方法により記録を作成した場合　最後に当該記録に係る個人データの提供を受けた日から起算して1年を経過する日までの間

(2)　前号以外の場合　3年

5　第1項に規定する事項は，別記様式第3号により記録するものとする。

[別記様式第3号]

(個人関連情報の第三者提供を行う際の確認)

第15条　規程第23条第1項の規定による同項第1号に掲げる事項の確認を行う方法は，個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法とする。

[規程第23条第1項]

2　規程第23条第1項の規定による同項第2号に掲げる事項の確認を行う方法は，同号の規定による情報の提供が行われていることを示す書面の提示を受ける方法その他の適切な方法とする。

[規程第23条第1項]

3　前2項の規定にかかわらず，第三者に個人関連情報の提供を行うに際して既に前2項に規定する方法による確認（当該確認について記録を保存している場合に限る。）を行っている事項の確認を行う方法は，当該事項の内容と当該提供に係る規程第23条第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。

[規程第23条第1項各号]

(個人関連情報の第三者提供を行う際の記録事項等)

第16条　規程第23条第3項において準用する規程第22条第2項の別に定める事項は，次に掲げる事項とする。

[規程第23条第3項] [規程第22条第2項]

(1)　規程第23条第1項第1号の本人の同意が得られていることを確認した旨及び外国にある第三者への提供にあっては，同項第2号の規定による情報の提供が行われていることを確認した旨

[規程第23条第1項第1号]

(2)　個人関連情報を提供した年月日

(3)　当該第三者の氏名又は名称及び住所並びに法人にあっては，その代表者の氏名

(4)　当該個人関連情報の項目

2　前項各号に定める事項のうち，既に作成した規程第23条第3項において準用する規程第22条第2項の記録（当該記録を保存している場合におけるものに限る。）に記録された事項と内容が同一であるものについては，規程第23条第3項において準用する規程第22条第2項の当該事項の記録を省略することができる。

[規程第23条第3項] [規程第22条第2項] [規程第23条第3項] [規程第22条第2項]

3　規程第23条第1項の規定により，本人に対する物品又は役務の提供に関連して当該本人に係る個人関連情報を第三者に提供した場合において，当該提供に関して作成された契約書その他の書面に第1項各号に定める事項が記載されているときは，当該書面をもって規程第23条第3項において準用する規程第22条第2項の当該事項に関する記録に代えることができる。

[規程第23条第1項] [規程第23条第3項] [規程第22条第2項]

4　規程第23条第3項において準用する規程第22条第3項の別に定める期間は，次の各号に掲げる場合の区分に応じ，それぞれ当該各号に定める期間とする。

[規程第23条第3項] [規程第22条第3項]

(1)　前項に規定する方法により記録を作成した場合　最後に当該記録に係る個人関連情報の提供を行った日から起算して1年を経過する日までの間

(2)　前号以外の場合 3年

5　第1項に規定する事項は，別記様式第4号により記録するものとする。

[別記様式第4号]

(個人情報ファイル)

第17条　保護管理者は，特定の個人を識別できる個人情報の数が1,000人以上である個人情報ファイルを保有するに至ったときは，直ちに，総括保護管理者に報告しなければならない。

2　保護管理者は，前項に規定する個人情報ファイルについて，個人情報ファイル簿の記載事項に変更があったときは，直ちに，総括保護管理者に報告しなければならない。

3　保護管理者は，第1項に規定する個人情報ファイルを保有しなくなったとき，又はその個人情報ファイルに含まれる個人情報によって識別される特定の個人の数が1,000人未満となったときは，遅滞なく，総括保護管理者に報告しなければならない。

(台帳等への記録)