平成27年11月18日
制 定
目次
第1章 総則(第1条-第4条)
第2章 安全管理措置
第1節 組織的安全管理措置(第5条-第12条)
第2節 人的安全管理措置(第13条-第15条)
第3節 物理的安全管理措置(第16条-第19条)
第4節 技術的安全管理措置(第20条-第22条)
第3章 特定個人情報の取得・利用・保管・提供・削除及び廃棄
第1節 特定個人情報の取得(第23条-第26条)
第2節 特定個人情報の利用(第27条-第30条)
第3節 特定個人情報の保管(第31条・第32条)
第4節 特定個人情報の提供(第33条)
第5節 特定個人情報の削除・廃棄(第34条)
第4章 特定個人情報の委託の取扱い(第35条)
第5章 雑則(第36条-第38条)
第1章 総則
(目的)
第1条 この規則は,国立大学法人琉球大学(以下「本法人」という。)が,行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」 という。),独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号。 以下「個人情報保護法」という。)その他関係法令に基づき,本法人における特定個人情報の安全 管理措置について定めることにより,特定個人情報の適正な取扱いを確保することを目的とする。
2 個人番号及び特定個人情報については,番号法,個人情報保護法その他関係法令及びこの規則 に定めるもののほか,国立大学法人琉球大学の保有する個人情報及び非識別加工情報等の適切な 管理のための措置に関する規則(以下「個人情報保護規則」という。)その他関係規則等を適用する。
(定義)
第2条 この規則における用語の定義は,次のとおりとする。なお,この規則における用語は,他に特段の定めのない限り番号法その他関係法令の定めるところによる。
(1) 「個人番号」とは,番号法第7条第1項又は第2項の規定により,住民票コードを変換して得られる番号であって,当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
(2) 「特定個人情報」とは,個人番号(個人番号に対応し,当該個人番号に代わって用いられる番号,記号その他の符号であって,住民票コード以外のものを含む。)をその内容に含む個人情報をいう。
(3) 「個人情報ファイル」とは,保有個人情報を含む情報の集合物であって,一定の事務の目的を達成するために特定の保有個人情報について電子計算機を用いて検索することができるように体系的に構成したもののほか,一定の事務の目的を達成するために氏名,生年月日,その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したものをいう。
(4) 「特定個人情報ファイル」とは,個人番号をその内容に含む個人情報ファイルをいう。
(5) 「個人番号利用事務」とは,行政機関,地方公共団体,独立行政法人等その他の行政事務を処理する者が番号法第9条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し,及び管理するために必要な限度で個人番号を利用して処理する事務をいう。
(6) 「個人番号関係事務」とは,番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(7) 「個人番号利用事務実施者」とは,個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう。
(8) 「各部局等」とはグローバル教育支援機構,研究推進機構,地域連携推進機構,亜熱帯島嶼科学超域研究推進機構,ダイバーシティ推進本部,広報戦略本部,国際戦略本部,大学評価IRマネジメントセンター及びハラスメント相談支援センター,教育研究等組織並びに事務組織の各組織をいう。
(個人番号関係事務の範囲)
第3条 本法人における個人番号関係事務の範囲は,次に掲げるとおりとする。
(1) 役員及び職員(以下「役職員」という。)に係る個人番号関係事務
① 給与所得及び退職所得の源泉徴収票作成事務
② 文部科学省共済組合関係事務
③ 健康保険及び厚生年金保険届出並びに申請事務
④ 雇用保険届出及び申請事務
⑤ 財産形成貯蓄制度の取引に関する法定書類作成・提供事務
(2) 役職員の配偶者に係る個人番号関係事務
① 国民年金の第3号被保険者届出事務
(3) 第1号に規定するもの以外の個人に係る個人番号関係事務
① 報酬及び料金等の支払調書作成事務
② 給与等の源泉徴収票作成事務
(4) 不動産等に係る個人番号関係事務
① 不動産の使用料等の支払調書作成事務
② 不動産等の譲受けの対価の支払調書作成事務
(特定個人情報の範囲)
第4条 前条において本法人が個人番号関係事務として使用する個人番号及び個人番号と関連づけて管理する特定個人情報は以下のとおりとする。
(1) 役職員又はそれ以外の個人から,番号法第16条に基づく本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード,通知カード,身元確認書類等)の写し
(2) 本法人が行政機関等に提出するために作成した届出書等及びこれらの控え
(3) 本法人が前号に規定する届出書等を作成するうえで役職員又はそれ以外の個人から受領する個人番号が記載された申告書等
(4) その他個人番号と関連づけて保存される情報
第2章 安全管理措置
第1節 組織的安全管理措置
(組織体制)
第5条 本法人に,特定個人情報の管理に関する責任を担う者として総括管理責任者を置き,個人情報保護規則第3条第1項に規定する全学総括保護管理者をもって充てる。
2 本法人に,特定個人情報等の取扱いを管理する者として,取り扱う個人番号関係事務ごとに事務管理責任者を置く。
3 本法人に,特定個人情報等を取り扱う者として事務取扱担当者を置く。
4 特定個人情報を取り扱う各部局等に個人番号が付された書類等を受領する担当者(以下「受領担当者」という。)を置くことができる。
5 前3項に規定する者及びその所掌する個人番号関係事務の範囲は,別表のとおりとする。
6 本法人に,特定個人情報の管理,運用及び取扱状況を監査する責任を担う者として監査責任者を置き,監査室長をもって充てる。
(総括管理責任者の責務)
第6条 総括管理責任者は,この規則を遵守するとともに,事務管理責任者,事務取扱担当者及び受領担当者にこれを遵守させるための教育,安全対策の実施並びに周知徹底等の措置を実施する 責任を負う。
2 総括管理責任者は,次の業務を所管する。
(1) 特定個人情報の安全管理に関する教育・研修の企画及び実施
(2) 事務管理責任者の指名,監督及び管理
(3) 特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報を取り扱う事務を実施する区域(以下「取扱区域」という。)の設定及び管理
(4) その他本法人全体における特定個人情報の安全管理
(事務管理責任者の責務)
第7条 事務管理責任者は,この規則を遵守するとともに,事務取扱担当者及び受領担当者がこれを遵守しているかを常時把握し,管理する責任を負う。
2 事務管理責任者は,次の業務を所管する。
(1) 特定個人情報の利用申請の承認及び管理
(2) 事務取扱担当者及び受領担当者の監督及び管理
(3) 特定個人情報の運用状況の把握及び管理
(4) 特定個人情報ファイルの取扱い状況の把握及び管理
(5) 委託先における特定個人情報の取扱い状況等の監督
(特定個人情報の運用状況の記録)
第8条 事務取扱担当者は,この規則に基づく運用を行うとともに,その状況を確認するため,以下の項目につき,システムログ及び利用実績を記録し,事務管理責任者がこれを管理,保管する。
(1) 特定個人情報の取得及び特定個人情報ファイルへの入力
(2) 特定個人情報ファイルの利用・出力状況の記録
(3) 書類及び特定個人情報記録媒体等の持ち運びの記録
(4) 特定個人情報ファイルの削除・廃棄記録
(取扱い状況の確認)
第9条 事務取扱担当者は,特定個人情報ファイルの取扱い状況を確認するため,以下の事項を特定個人情報管理台帳に記録し,事務管理責任者がこれを管理,保管する。
(1) 特定個人情報ファイルの種類,名称
(2) 特定個人情報ファイルを利用する事務取扱担当者
(3) 特定個人情報ファイルの利用目的
(4) 特定個人情報ファイルに記録される項目及び個人の範囲
(5) 特定個人情報ファイルに記録される特定個人情報等の収集方法
(6) 特定個人情報ファイルの削除・廃棄状況
(情報漏えい事案等への対応)
第10条 特定個人情報の漏えい,滅失,毀損による事故その他の番号法違反の事案又は番号法違反のおそれのある事案(以下「漏えい事案等」という。)を認識した場合に,その事案等を認識した職員は,直ちに当該特定個人情報を管理する事務管理責任者に報告する。
2 事務管理責任者は,前項に規定する報告を受けた場合は,被害の拡大防止等必要な措置を速やかに講じ,あわせて総括管理責任者にその旨を報告する。
3 総括管理責任者は,前項の規定に基づく報告を受けた場合において漏えい事案等があると判断した場合は,当該事案の内容,経緯,被害状況等を学長に速やかに報告する。
4 総括管理責任者は,漏えい事案等が発生したと判断した場合は,その事実関係を調査し,情報漏えい等のおそれが把握できた場合には,その原因を究明し,その影響の範囲を特定する。
5 総括管理責任者は,前項で究明した原因を踏まえ,再発防止策を検討し,速やかに実施する。
6 総括管理責任者は,漏えい事案等が発生したと判断した場合は,影響を受ける可能性のある本人に対し,その事実関係等について速やかに通知し,又は容易に知り得る状態に置く。
7 総括管理責任者は,事案の内容等に応じて,事実関係及び再発防止策等について,速やかに公表する。
(文部科学省への報告)
第11条 総括管理責任者は,漏えい事案等を把握した場合には,事実関係及び再発防止策等について,速やかに,文部科学省に報告する。
2 総括管理責任者は,特定個人情報に関する次の重大事案又はそのおそれのある事案が発覚した時点で,直ちにその旨を文部科学省に報告する。
(1) 個人番号を取り扱う情報システムで使用するネットワークから外部に情報漏えい等があった場合(不正アクセス又は不正プログラムによるものを含む。)
(2) 事案における特定個人情報の本人の数が101人以上である場合
(3) 不特定多数の人が閲覧できる状態になった場合
(4) 職員等が不正の目的で持ち出したり利用したりした場合
(5) その他本法人において重大事案と判断した場合
(安全管理措置の見直し)
第12条 監査責任者は,本法人の特定個人情報の適正な取扱い,番号法,個人情報保護法その他関係法令及びこの規則の遵守状況について定期に及び必要に応じ随時に監査し,総括管理責任者 に報告する。
2 総括管理責任者は,前項の報告に基づき,安全管理措置の評価,見直し及び改善に取り組む。
第2節 人的安全管理措置
(事務取扱に関する監督)
第13条 総括管理責任者及び事務管理責任者は,特定個人情報がこの規則に基づき適正に取り扱われるよう,事務取扱担当者及び受領担当者に対して必要かつ適切な監督を行う。
(事務取扱担当者及び受領担当者の責務)
第14条 事務取扱担当者は,特定個人情報の「取得」,「利用」,「保管」,「提供」,「廃棄」又は委託処理等,特定個人情報を取り扱う業務に従事するに当たっては,特定個人情報を保護するため,番号法,個人情報保護法その他関係法令,この規則及び個人情報保護規則を遵守するとともに,総括管理責任者及び事務管理責任者の指示に従わなければならない。
2 事務取扱担当者及び受領担当者は,特定個人情報の漏えい等,番号法,個人情報保護法その他関係法令,この規則又は個人情報保護規則に違反している事実,若しくはそのおそれを把握した 場合には,速やかに事務管理責任者を通じて総括管理責任者に報告する。
3 各部局等において個人番号が記載された書類等の受領をする受領担当者は,自分の手元に個人番号(個人番号が記された書面の写し,メモ等を含む。)を残してはならない。
(教育・研修)
第15条 総括管理責任者は,事務管理責任者,事務取扱担当者及び受領担当者にこの規則を遵守させるために必要な教育を実施する。
2 総括管理責任者及び事務管理責任者は,事務取扱担当者のうち,情報システムの管理に関する事務に従事するものに対し,特定個人情報等の適切な管理のため,情報システムの管理,運用及 びセキュリティ対策に関して必要な教育研修を行う。
3 事務取扱担当者及び受領担当者は,前2項の規定に基づく教育を受けなければならない。
4 総括管理責任者は,事務管理責任者に対し,その担当部署における特定個人情報等の適正な管理のために必要な教育研修を行う。
5 総括管理責任者は,特定個人情報ファイルを取り扱う事務に従事する者に対して,特定個人情報の適正な取扱いを確保するために必要なサイバーセキュリティ(サイバーセキュリティ基本法 (平成26年法律第104号)第2条に規定するサイバーセキュリティをいう。)に関する教育研修を行う。
第3節 物理的安全管理措置
(管理区域及び取扱区域)
第16条 総括管理責任者は,特定個人情報の漏えい等を防止するため,管理区域及び取扱区域を設定し,次の各号に従い物理的な安全管理措置を講じる。
(1) 管理区域
管理区域であることを明示するとともに,入退室管理及び管理区域へ持ち込む機器及び電子媒体等の制限を行う。
(2) 取扱区域
事務取扱担当者以外の者の往来が少ない場所を割り当て,取扱区域であることを明示するとともに,壁,間仕切り等を設置し,事務取扱担当者以外の者が出入りすることを制限するものとする。ただし,総括管理責任者が特定個人情報の保護に当たって問題ないと認めた場合はこの限りではない。
(機器及び電子媒体等の盗難等の防止)
第17条 本法人は,管理区域及び取扱区域における特定個人情報を取り扱う機器,電子媒体又は書類等の盗難又は紛失等を防止するために,次の各号に掲げる措置を講じる。
(1) 特定個人情報を取り扱う機器,電子媒体又は書類等は,施錠できるキャビネット・書庫等に保管する。
(2) 特定個人情報ファイルを取り扱う情報システム機器は,セキュリティワイヤー等により固定する。
2 事務取扱担当者が短時間であっても管理区域及び取扱区域を離れるときは,前項各号の定める措置を遵守し,特定個人情報の盗難等を防止しなければならない。
(電子媒体等を持ち運ぶ場合の漏えい等の防止)
第18条 本法人は,特定個人情報が記録された電子媒体又は書類等の持ち運び(特定個人情報を,管理区域又は取扱区域の外へ移動させることをいい,学内での移動も含む。)は次に掲げる場合を除き禁止する。
(1) 個人番号関係事務に係る外部委託先に,委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
(2) 行政機関等への届出書等の提出等,本法人が実施する個人番号関係事務に関して個人番号利用事務実施者に対しデータ又は書類を提出する場合
(3) 各部局等で取りまとめた個人番号関係事務に必要な特定個人情報を特定個人情報関係事務実施部署に移動する場合
2 前項により特定個人情報が記録された電子媒体又は書類等の持ち運びを行う場合には,容易に個人番号が判明しない措置の実施,施錠できる搬送容器の使用,追跡可能な移送手段の利用等の 安全策を講じるものとする。ただし,行政機関等に法定調書等をデータで提出するに当たっては, 行政機関等が指定する提出方法に従うものとする。
(個人番号の削除及び電子媒体等の廃棄)
第19条 事務取扱担当者は,特定個人情報等が記録された電子媒体等及び書類等の関係法令又は国立大学法人琉球大学法人文書管理規程(以下「法人文書管理規程」という。)で定める保存期間が満了した場合は,速やかに復元不可能な手段で削除又は廃棄する。
2 事務管理責任者は,事務取扱担当者が個人番号若しくは特定個人情報ファイルを削除した場合,又は電子媒体等を廃棄した場合には,削除又は廃棄した内容について記録を保存する。
3 前2項に規定する削除又は廃棄の作業を外部に委託する場合は,委託先が削除又は廃棄したことについて証明書等により確認する。
第4節 技術的安全管理措置
(アクセス制御)
第20条 事務管理責任者は,情報システムを使用して個人番号関係事務を行う場合は,当該事務に係る事務取扱担当者及び取り扱う特定個人情報等の範囲を限定するために,以下のとおり適正 なアクセス制御を行う。
(1) 個人番号と紐付けてアクセスできる情報の範囲を限定する。
(2) 特定個人情報ファイルを取り扱う情報システムを限定する。
(3) ユーザーIDに付与するアクセス権により,特定個人情報ファイルを取り扱う情報システムを使用できる事務取扱担当者を限定する。
(アクセス者の識別と認証)
第21条 事務管理責任者は,特定個人情報等を取り扱う情報システムに対して,ユーザーID,パスワード及び磁気・ICカード等の識別方法により,事務取扱担当者が正当なアクセス権を有 する者であることを識別した結果に基づいて認証する措置を講じる。
2 事務取扱担当者が異動等によって変更となった場合には,即時にパスワード及び磁気・ICカードを変更する等,アクセス権の変更設定を行わなければならない。
3 アクセス権を有しない者は,いかなる理由があっても,特定個人情報を取り扱う情報システムにアクセスしてはならない。
(情報漏えい等の防止)
第22条 本法人は,特定個人情報をインターネット等により外部に送信する場合,通信経路における情報漏えい等及び情報システムに保存されている特定個人情報の情報漏えい等を防止するための措置を講ずる。
第3章 特定個人情報の取得・利用・保管・提供・削除及び廃棄
第1節 特定個人情報の取得
(特定個人情報の適正な取得)
第23条 本法人は,特定個人情報の取得を適法かつ公正な手段によって行う。
2 本法人は,第3条に定める事務の範囲を超えて特定個人情報を取得しない。
(個人番号の提供を求める時期)
第24条 本法人は,第3条に定める事務を処理するために必要があるときに個人番号の提供を求める。
2 前項にかかわらず,本人との法律関係等に基づき,個人番号関係事務の発生が予想される場合には,当該事務の発生が予想できた時点で個人番号の提供を求めることができる。
(本人確認)
第25条 本法人が個人番号を取得するに当たっては,番号法第16条の規定に基づき,個人番号の確認及び当該人の身元確認を行う。また,代理人については,同条の規定に基づき,当該代理 人の身元確認,代理権の確認及び本人の個人番号の確認を行う。
(特定個人情報の提供の求めの制限)
第26条 本法人は,番号法第19条各号のいずれかに該当し特定個人情報の提供を受けることができる場合を除き,特定個人情報の提供を求めてはならない。
第2節 特定個人情報の利用
(特定個人情報の利用目的)
第27条 本法人が,役職員又はその他の個人から取得する特定個人情報の利用目的は,第3条に掲げた個人番号を取り扱う事務の範囲内とする。
2 本法人は,前項に掲げる事務を処理するために必要がある場合に限り,個人番号の提供を求めることができる。
(特定個人情報の取得時の利用目的の通知)
第28条 本法人は,特定個人情報を取得する場合は,あらかじめその利用目的を本人に明示しなければならない。
2 利用目的の変更を要する場合,当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して,本人への通知,公表又は明示を行うことにより,変更後の利用目 的の範囲内で特定個人情報を利用することができる。
(個人番号の利用制限)
第29条 本法人は,第27条に掲げる利用目的の範囲内でのみ個人番号を利用する。
2 本法人は,人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意があり又は本人の同意を得ることが困難であるときは,個人番号関係事務を処理する目的で保有して いる個人番号について,人の生命,身体又は財産を保護するために利用することができる。
(特定個人情報ファイルの作成の制限)
第30条 本法人は,第3条に定める事務を実施するために必要な範囲内でのみ特定個人情報ファイルを作成する。
第3節 特定個人情報の保管
(特定個人情報の正確性の確保)
第31条 事務取扱担当者は,特定個人情報を,第27条に掲げる利用目的の範囲において,正確かつ最新の状態で管理するよう努めるものとする。
(特定個人情報の保管制限)
第32条 本法人は,第3条に定める事務の範囲を超えて,特定個人情報を保管してはならない。
2 本法人は,法人文書管理規程で定められた個人番号を記載する書類等の保存期間を経過するまでの間は,当該書類及び書類を作成するシステム内においても保管することができる。
第4節 特定個人情報の提供
(特定個人情報の提供制限)
第33条 本法人は,番号法第19条各号に掲げる場合を除き,本人の同意の有無に関わらず,特定個人情報を第三者に提供しない。
第5節 特定個人情報の削除・廃棄
(特定個人情報の削除・廃棄)
第34条 本法人は,個人番号を記載する書類等について,第3条に規定する事務を処理する必要がなくなった場合で,法人文書管理規程において定められている保存期間を経過した場合には,個人番号をできるだけ速やかに削除又は廃棄するものとする。
第4章 特定個人情報の委託の取扱い
(委託先における安全管理措置)
第35条 本法人は,個人番号関係事務の全部又は一部を委託する場合には,本法人自らが果たすべき安全管理措置と同等の措置が講じられるよう,適切な委託先を選定し,安全管理措置を遵守 させるために必要な契約の締結を行い,特定個人情報の取扱状況の把握を行う等の必要かつ適切 な監督を行う。
2 前項に規定する「委託先の適切な選定」としては,以下の事項について特定個人情報の保護に関して本法人が定める水準を満たしているかについて,あらかじめ確認する。
(1) 設備
(2) 技術水準
(3) 従業者(事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいう。)に対する監督・教育の状況
(4) 経営環境
(5) 特定個人情報の安全管理の状況(「個人番号を取り扱う事務の範囲の明確化」,「特定個人情報の範囲の明確化」,「事務取扱担当者の明確化」,「個人番号の削除,機器及び電子媒体等の廃棄」を含む。)
3 特定個人情報の取扱いに係る業務を外部に委託する場合は,契約書に,次に掲げる事項を明記するとともに,委託先における責任者及び業務従事者の管理及び実施体制,特定個人情報の管理 の状況についての検査に関する事項等の必要な事項について,書面で確認する。
(1) 秘密保持義務に関する規定
(2) 事業所内からの特定個人情報の持出しの禁止
(3) 特定個人情報の目的外利用の禁止
(4) 再委託における条件
(5) 漏えい事案等が発生した場合の委託先の責任に関する規定
(6) 委託契約終了後の特定個人情報の返却又は廃棄に関する規定
(7) 特定個人情報を取り扱う従業者の明確化に関する規定
(8) 従業者に対する監督・教育に関する規定
(9) 契約内容の遵守状況について報告を求める規定
(10)本法人が委託先に対して実地の調査を行うことができる規定
4 本法人は,委託先の管理については,当該担当部署を責任部署とする。
5 本法人は,委託先において情報漏えい事故等が発生した場合に,適切な対応がなされ,速やかに本法人に報告される体制になっていることを確認する。
6 委託先は,本法人の許諾を得た場合に限り,委託を受けた個人番号関係事務の全部又は一部を再委託することができる。
7 本法人は,再委託先の適否の判断のみならず,委託先が再委託先に対しても必要かつ適切な監督を行っているかどうかについても監督する。
8 本法人は,委託先が再委託をする場合,当該再委託契約の内容として,第3項と同等の規定等を盛り込ませる。
第5章 雑則
(罰則)
第36条 番号法,個人情報保護法その他関係法令,この規則,個人情報保護規則その他関係規則等に規定する個人番号及び特定個人情報の規定に違反した場合の罰則については,国立大学法人 琉球大学職員懲戒等規程等によるものとする。
(雑則)
第37条 番号法,個人情報保護法その他関係法令,この規則,個人情報保護規則その他関係規則に定めるもののほか,本法人に定める特定個人情報の保護について必要な事項は,学長が別に定 める。
(改廃)
第38条 この規則の改廃は,役員会の議を経て学長が行う。
附 則(平成27年11月18日)
この規則は,平成27年11月18日から施行する。
附 則(平成28年11月14日)
この規則は,平成28年11月14日から施行し,平成28年10月1日から適用する。
附 則(平成29年5月15日)
この規則は,平成29年5月15日から施行し,平成29年4月1日から適用する。
附 則(平成30年3月30日)
この規則は,平成30年4月1日から施行する。
附 則(平成30年8月22日)
この規則は,平成30年10月1日から施行する。
