Contract

○藤女子大学個人番号及び特定個人情報取扱規程

学長裁定 2015年11月17日改正 2017年 4月 1日


第1章 総則


(目的)

第1条 この規程は、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成 25 年法律第 27 号、以下「番号法」という。)、「個人情報の保護に関する法律」(平成 15 年法律第

57 号)及び「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に基づき、藤女子大学(以下「本学」という。)における個人番号及び特定個人情報の取扱いについて定めることを目的とする。


(用語の定義)

第2条 この規程で掲げる用語の定義は、次のとおりとする。

(1) 「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

(2) 「個人番号」とは、番号法第 2 条第 5 項が定める住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。

(3) 「特定個人情報」とは、個人番号をその内容に含む個人情報をいう。

(4) 「個人情報ファイル」とは、個人情報を含む情報の集合物であって、特定の個人情報を容易に検索することができるように、コンピュータ又は帳簿等によって体系的に構成したものをいう。

(5) 「特定個人情報ファイル」とは、個人番号をその内容に含む個人情報ファイルをいう。

(6) 「個人番号関係事務」とは、本学が、番号法第 9 条第 3 項の規定により、個人番号利用事務(行政事務を処理する者が番号法第9条第1項又は第2項により個人情報を効率的に検索及び管理するために必要な限度で個人番号を利用して処理する事務)に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。

(7) 「教職員」とは、本学と雇用関係にある職員(専任教職員、非常勤講師、嘱託職員、契約職員、臨時職員、学生アルバイト等)をいう。


(責務)

第3条 本学は、この規程及び番号法その他関連する法令等を遵守するとともに、個人番号及び特定個人情報(以下「特定個人情報等」という。)を保護する責務を負う。


第2章 管理体制


(個人番号関係事務の範囲)

第4条 本学における個人番号関係事務の範囲は、次のとおりとする。



個人番号関係事務

担当部署

教職員(扶養親族等含む)に係るもの

雇用保険関係届出事務

総務課

給与所得・退職所得に係る源泉徴収票作成事務


財務課

私学共済の短期給付、厚生年金、国民年金第 3 号被保険

者関係届出事務

教職員以外の個人に係るもの

報酬・料金・基金利息等の支払調書作成事務


財務課

不動産の使用料等の支払調書作成事務

不動産等の譲受けの対価の支払調書作成事務


(特定個人情報等の範囲)

第5条 前条の事務において使用される個人番号及び個人番号と関連付けて管理される特定個人情報は、次のとおりとする。

(1) 源泉徴収票作成事務に関しては、教職員並びに扶養親族等の個人番号、氏名及び住所等

(2) 雇用保険関係届出事務に関しては、教職員の個人番号、氏名、生年月日及び性別等

(3) 私学共済の短期給付、厚生年金等関係届出事務に関しては、教職員並びに国民年金第3号被保険者たる配偶者及び被扶養者の個人番号、氏名、生年月日、性別及び住所等

(4) 報酬・料金及び基金利息等の支払調書作成事務に関しては、支払先の者の個人番号、氏名、住所等

(5) 不動産使用料等の支払調書作成事務に関しては、支払先の者の個人番号、氏名、住所等

(6) 不動産譲受け対価の支払調書作成事務に関しては、支払先の者の個人番号、氏名、住所等

2 前項各号に該当するか否かが定かでない場合は、次条第 1 項に定める事務取扱責任者が判断する。


(組織)

第6条 本学において特定個人情報等の管理に関する責任を担う者(以下「事務取扱責任者」という。)は、事務局長とする。

2 本学において特定個人情報等を管理する責任部署は、総務課及び財務課とする。

3 本学において個人番号を取り扱う者は、第 4 条に掲げる個人番号関係事務を担う総務課及び財務課の職員で事務取扱責任者が指名する者(以下「事務取扱担当者」という。)とする。

4 本学において個人番号を取り扱う者は、事務取扱担当者に加え、事務取扱責任者が指名する者で各部署において個人番号が記載された書類等を受領し本人確認をする者(以下「受領担当者」という。)とする。


(事務取扱責任者の責務)

第7条 事務取扱責任者は、次の業務を所管する。

(1) この規程の周知

(2) 特定個人情報等の利用申請の承認及び記録等の管理

(3) 特定個人情報等の管理区分及び権限についての設定及び変更の管理

(4) 特定個人情報等の取扱状況の把握

(5) その他特定個人情報等の安全管理に関すること

2 事務取扱責任者は、特定個人情報等が適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う。

3 委託先に対する監督等については、第 9 章の規定に従う。


(事務取扱担当者及び受領担当者の責務)

第8条 事務取扱担当者及び受領担当者は、特定個人情報等を取扱う業務に従事する際、番号法その他の関連法令、この規程及びその他の学内規程に従い、特定個人情報等の保護に十分な注意を払ってその業務を行う。


(研修)

第9条 本学は、この規程に定められた事項を遵守するとともに、事務取扱担当者及び受領担当者にこの規程を遵守させるための研修を行う。

2 研修の内容等は、事務取扱責任者が定める。

(情報漏えいへの対応)

第10条 事務取扱担当者は、特定個人情報等の漏えい、滅失等の事案が発生した場合又はその可能性が高いと判断したときは、直ちに事務取扱責任者に報告しなければならない。

2 事務取扱責任者は、学長に報告するとともに直ちに調査を開始し、当該漏えい事案等の対象となった情報主体に対して、事実関係の通知、謝意の表明、原因究明等を速やかに行う。

3 事務取扱責任者は、再発防止策について検討する。


(取扱状況の確認と安全管理措置の見直し)

第11条 事務取扱責任者は、定期的又は臨時に特定個人情報等の管理状況及び取扱状況を確認しなければならない。

2 事務取扱責任者は、前項の確認の結果に基づき、安全管理措置の見直し及び改善に取り組むものとする。


第3章 特定個人情報等の取得


(特定個人情報等の取得)

第12条 本学は、特定個人情報等を、適法かつ適正な手段により取得しなければならない。


(利用目的の特定、変更)

第13条 教職員又は教職員以外の個人から取得する特定個人情報等の利用目的は、第 4 条に掲げる個人番号関係事務に関する書類に記載し、所定の行政機関等へ同書類を提出することである。

2 特定個人情報等の利用目的は、本人に通知又は公表する。ただし、目的が明らかな場合はこれを省くことができる。

3 特定個人情報等の利用目的の変更は、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内とし、変更された利用目的について、本人に通知又は公表しなければならない。


(個人番号の提供の要求と制限)

第14条 第 4 条に掲げる個人番号関係事務を処理するために必要がある場合に限り、本人又は他の個人番号関係事務実施者に対して個人番号の提供を求め、応じないときは催促する。

2 個人番号の提供を求める時期は、行政機関に提出する書類に個人番号を記載する必要性が生じたときとする。ただし、本人との雇用契約等により個人番号が必要となることが予想される場合には、事前に提供を受けることができる。

3 番号法第 19 条各号のいずれかに該当し特定個人情報の提供を受けることができる場合を除き、他人の個人番号の提供を求めてはならない。


(特定個人情報等の収集制限)

第15条 本学は、第 4 条に掲げる個人番号関係事務の範囲を超えて、特定個人情報等を収集してはならない。


(本人確認)

第16条 事務取扱担当者及び受領担当者は、番号法第 16 条に定める各方法により、本人確認を行い、代理人については、当該代理人の身元確認、代理権の確認及び本人の個人番号の確認を行う。

2 受領担当者は、本人確認等の必要な事務を行った後はできるだけ速やかにその書類を事務取扱担当者に受け渡すこととし、自分の手元に個人番号を残してはならないものとする。

3 採用時又は過去に本人確認をした者から継続して個人番号の提供を受ける場合で、対面等で見れば

人違いでないと分かる者に対しては、身元確認の手続きを省略することができる。

4 書面の送付により個人番号の提供を受けるときは、併せて身元確認に必要な書面又はその写しの提出を求めることとする。

5 本人確認のために提出された書類(個人番号カード又は通知カードの写し、身元確認書類等の写し等)は、第 33 条に定める特定個人情報取扱状況管理簿に記録後、適正に管理する。


(取得段階における安全管理措置)

第17条 特定個人情報等の取得段階における安全管理措置は、第 10 章の規定に従う。


第4章 特定個人情報等の利用


(個人番号の利用制限)

第18条 個人番号は、第 13 条に掲げる利用目的の範囲でのみ利用する。

2 本学は、人の生命、身体又は財産の保護のために必要がある場合を除き、本人の同意があったとしても、利用目的を超えて個人番号を利用してはならない。


(特定個人情報ファイル作成の制限)

第19条 事務取扱担当者は、第 4 条に掲げる個人番号関係事務を実施するために必要な範囲に限り、特定個人情報ファイルを作成する。


(利用段階における安全管理措置)

第20条 特定個人情報等の利用段階における安全管理措置は、第 10 章の規定に従う。


第5章 特定個人情報等の保管


(適正な管理)

第21条 事務取扱担当者は、特定個人情報等を、第 13 条に掲げる利用目的の範囲において、正確かつ最新の状態で管理するよう努めなければならない。

2 本学は、個人情報保護法第 24 条第 1 項に基づき、特定個人情報等に係る保有個人データに関する事項を本人の知り得る状態に置くものとする。


(特定個人情報等の保管制限)

第22条 本学は、第 4 条に掲げる個人番号関係事務の範囲を超えて、特定個人情報等を保管してはならない。

2 個人番号関係事務を行うに当たり、本学が行政機関等に提出する法定調書の控え、翌年度以降も継続的に利用する必要が認められる個人番号が記載された申告書等の書類は、関連する所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間、保存することができる。

3 特定個人情報ファイルは、所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、情報システム内において保管することができる。

4 特定個人情報等を含む書類又は特定個人情報ファイルを法定保存期間経過後も引き続き保管するときは、個人番号に係る部分をマスキング又は消去しなければならない。


(保管段階における安全管理措置)

第23条 特定個人情報等の保管段階における安全管理措置は、第 10 章の規定に従う。

第6章 特定個人情報等の提供


(特定個人情報等の提供制限)

第24条 本学は、番号法第 19 条各号に掲げる場合を除き、本人の同意の有無に関わらず、特定個人情報等を第三者に提供してはならない。


(提供段階における安全管理措置)

第25条 特定個人情報等の提供段階における安全管理措置は、第 10 章の規定に従う。


第7章 特定個人情報等の廃棄・削除


(特定個人情報等の廃棄又は削除)

第26条 事務取扱担当者は、第 4 条に掲げる個人番号関係事務を処理する必要がなくなった場合で、所管法令で定められている保存期間を経過したときは、個人番号をできるだけ速やかに廃棄又は削除しなければならない。

2 前項の規定にかかわらず、事務取扱責任者の判断により、廃棄又は削除を毎年度末にまとめて行うことができる。

3 事務取扱担当者は、個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、第 33 条に定める特定個人情報取扱状況管理簿に記録しなければならない。

4 削除又は廃棄の作業を委託する場合は、事務取扱責任者は、委託先が確実に削除又は廃棄したことについて、証明書の提出を求めて確認しなければならない。


(廃棄・削除段階における安全管理措置)

第27条 特定個人情報等の廃棄・削除段階における安全管理措置は、第 10 章の規定に従う。


第8章 特定個人情報等の開示、訂正、利用停止等


(開示、訂正、利用停止等)

第28条 本学で保有する特定個人情報等は、適法かつ合理的な範囲に限り本人に開示することとし、事実でないという理由によって本人より訂正等の申出があったときは、速やかに対応する。

2 本学で保有する特定個人情報等について、この規程及び法令等に違反して取得され、又は利用されているという理由によって本人から利用停止等を求められた場合は、遅滞なく必要な調査を行い、必要な措置を講じる。


第9章 特定個人情報等の委託


(委託先の監督)

第29条 第 4 条に掲げる個人番号関係事務の全部又は一部を委託する場合は、事務取扱責任者は、本学自らが果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう、必要かつ適切な監督を行わなければならない。

2 前項の「必要かつ適切な監督」には次に掲げる事項が含まれる。

(1) 委託先の適切な選定

(2) 委託先に安全管理措置を遵守させるために必要な契約の締結

(3) 委託先における特定個人情報等の取扱状況の把握

3 前項第 1 号の選定については、事務取扱責任者は、委託先において、番号法に基づき安全管理措置が講じられるか否かについて、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等を、あらかじめ確認しなければならない。

4 第 2 項第 2 号の委託契約の内容として、次の事項を盛り込むものとする。

(1) 秘密保持義務に関する規定

(2) 委託先の事業所内からの特定個人情報等の持出しの禁止

(3) 特定個人情報等の目的外利用の禁止

(4) 再委託する場合は許諾を求めるべきこと及び再委託する場合における条件等

(5) 漏えい事案等が発生した場合の委託先の責任に関する規定 (6) 委託契約終了後の特定個人情報等の返却又は廃棄に関する規定 (7) 委託先の従業者に対する監督・教育に関する規定

(8) 契約内容の遵守状況について報告を求める規定に関する規定 (9) 特定個人情報等を取り扱う従業者の明確化に関する規定 (10) 委託者が委託先に対して実地の調査を行うことができる規定


(委託先の管理)

第30条 委託先の管理については、総務課を責任部署とする。

2 事務取扱責任者は、委託先において特定個人情報等の安全管理が適切に行われていることについて、定期的及び必要に応じてモニタリングをする。

3 事務取扱責任者は、委託先において情報漏えい事故等が発生した場合に、適切な対応がなされ、速やかに本学に報告される体制になっていることを確認しなければならない。


(再委託)

第31条 委託先は、本学の許諾を得た場合に限り、委託を受けた個人番号関係事務の全部又は一部を再委託できるものとする。

2 事務取扱責任者は、再委託先についても、前 2 条の規定に従い必要かつ適切な監督を行う。


第10章 特定個人情報等の安全管理措置


(特定個人情報ファイルの管理)

第32条 事務取扱担当者は、特定個人情報ファイルを適正に管理するため、特定個人情報ファイル管理台帳(様式 1)に次の事項を記録する。なお、当該管理台帳には特定個人情報等は記載しない。 (1) 特定個人情報ファイルの種類、名称

(2) 対象となる者 (3) 特定個人情報項目 (4) 利用目的

(5) 取得方法・媒体

(6) アクセス権を有する者

(7) 保管場所

(8) 保存期間

(9) 削除・廃棄状況

(10) 責任者


(この規程に基づく取扱状況の記録)

第33条 事務取扱担当者は、特定個人情報等の取扱状況を確認するため、特定個人情報取扱状況管理簿(様式 2)に次の事項を記録する。

(1) 特定個人情報等の入手日・利用日、出力状況の記録

(2) 官公署提出書類等の作成、提出状況の記録

(3) 書類・媒体等の持出しの記録

(4) 特定個人情報ファイルの削除・廃棄記録

(5) 削除・廃棄を委託した場合、これを証明する記録等

(6) 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録


(特定個人情報等を取り扱う区域の管理)

第34条 事務取扱責任者は、特定個人情報等を取り扱う管理区域及び取扱区域を明確にし、それぞれの区域に対し、次の措置を講じる。

(1) 管理区域(特定個人情報ファイルを取り扱う情報システムを管理する区域)入退室管理及び管理区域へ持ち込む機器及び電子媒体等の制限を行う。

(2) 取扱区域(特定個人情報等を取り扱う事務を実施する区域)

可能な限り壁又は間仕切り等の設置をし、事務取扱担当者以外の者の往来が少ない場所へ配置する。


(アクセス制御とアクセス者の識別)

第35条 本学の情報システムにおいて特定個人情報ファイルへのアクセス制御及びアクセス者の識別と認証は、次の方法を取る。

(1) 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。

(2) 特定個人情報ファイルを取り扱う機器を、アクセス制御により限定する。

(3) 機器に標準装備されているユーザー制御機能(ユーザーID、パスワード)により、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。


(外部からの不正アクセス等の防止)

第36条 情報システムを外部ネットワークと接続する場合には、外部からの情報システムへの不正アクセス等の防止のため、次の方法を取る。

(1) 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。

(2) 情報システム及び機器にウイルス対策ソフトウェアを導入し、自動更新機能により、常に最新の状態としておく。

(3) 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態としておく。

(4) ログ等の分析を定期的に行い、不正アクセス等を検知する。


(機器及び電子媒体等の盗難等の防止)

第37条 特定個人情報等を取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するため、施錠できるキャビネット・書庫等に保管する。

2 前項の保管庫に入らない機器については、セキュリティワイヤー等により固定する。


(漏えい等の防止)

第38条 特定個人情報等が記録された電子媒体又は書類等の持出し(管理区域又は取扱区域の外へ移動させることをいい、学内での移動等も含まれる。)は、次に掲げる場合を除き禁止する。

(1) 個人番号関係事務に係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合

(2) 行政機関等への法定調書の提出等、個人番号関係事務に関して個人番号利用事務実施者に対し

データ又は書類を提出する場合

2 前項により持出しを行う場合には、次の安全策を講じるものとする。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従うものとする。

(1) 封緘、目隠しシールの貼付

(2) 持出しデータの暗号化、パスワードによる保護

(3) 施錠できる搬送容器の使用

(4) 追跡可能な移送手段の利用

3 特定個人情報等は、E メールやインターネット等により外部に送信してはならない。やむを得ず送信する必要が生じた場合には、データの暗号化又はパスワードによる保護をしなければならない。


(個人番号の削除、機器及び電子媒体等の廃棄)

第39条 事務取扱担当者は、個人番号を確実に削除又は廃棄するために、次の手段を用いる。

(1) 特定個人情報等が記録された書類等を廃棄する場合は、シュレッダー等による記載内容が復元不能までの裁断、外部の焼却場での焼却・溶解等の復元不可能な手段を用いる。

(2) 特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用データ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を用いる。

(3) 特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を用いる。

(4) 特定個人情報ファイルを取り扱う機器においては、当該関連する法定調書の法定保存期間経過後 1 年以内に個人番号を削除するよう情報システムを構築する。


附 則

1 番号法その他の法令に規定のある事項で、この規程に定めのない事項は、当該法令の定めるところによる。

2 この規程は、2015年11月17日から施行する。


附 則

この規程は、2017年4月1日から施行する。

Document Metadata

Filed: August 3rd, 2017