○国立大学法人上越教育大学特定個人情報取扱規程
| (平成28年1月13日規程第1号) |
|
目次
第1章 総則(第1条-第4条)
第2章 安全管理措置
第1節 組織的安全管理措置(第5条-第16条)
第2節 人的安全管理措置(第17条-第19条)
第3節 物理的安全管理措置(第20条-第23条)
第4節 技術的安全管理措置(第24条-第27条)
第3章 特定個人情報等の取得(第28条-第35条)
第4章 特定個人情報等の利用(第36条・第37条)
第5章 特定個人情報等の保管(第38条・第39条)
第6章 特定個人情報等の提供(第40条)
第7章 特定個人情報等の開示、訂正及び利用停止等(第41条)
第8章 特定個人情報等の廃棄・削除(第42条)
第9章 特定個人情報等の委託の取扱い(第43条)
第10章 その他(第44条)
附則
第1章 総則
(趣旨)
第1条 この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)及び特定個人情報の適正な取扱いに関するガイドライン(行政機関等編)(平成26年特定個人情報保護委員会告示第6号。以下「ガイドライン」という。)に基づき、国立大学法人上越教育大学(以下「本法人」という。)における特定個人情報等の取扱いに関し必要な事項を定める。
2 個人番号及び特定個人情報については、番号法、個人情報保護法、ガイドライン及びこの規程に定めるもののほか、国立大学法人上越教育大学個人情報保護規程(平成17年規程第5号。以下「個人情報保護規程」という。)及び国立大学法人上越教育大学個人情報保護細則(平成17年細則第4号。以下「個人情報保護細則」という。)を適用する。
[国立大学法人上越教育大学個人情報保護規程(平成17年規程第5号。以下「個人情報保護規程」という。)] [国立大学法人上越教育大学個人情報保護細則(平成17年細則第4号。以下「個人情報保護細則」という。)]
(定義)
第2条 この規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1) 個人情報 個人情報保護規程第2条第1号に規定するものをいう。
(2) 保有個人情報 個人情報保護規程第2条第4号に規定するものをいう。
(3) 個人番号 番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
(4) 特定個人情報 個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第7条第1項及び第2項、第8条並びに第48条並びに附則第3条第1項から第3項まで及び第5項を除く。)をその内容に含む個人情報をいう。
(5) 特定個人情報等 個人番号及び特定個人情報を併せたものをいう。
(6) 個人情報ファイル 個人情報保護規程第2条第5号に規定するものをいう。
(7) 特定個人情報ファイル 個人番号をその内容に含む個人情報ファイルをいう。
(8) 個人番号関係事務 番号法第9条第4項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(個人番号を取り扱う事務の範囲)
第3条 本法人において個人番号を取り扱う事務の範囲は、次の各号に掲げるとおりとする。
(1) 国立大学法人上越教育大学基本規則(平成22年基本規則第1号)第8条及び第15条に規定する役員及び職員(以下「役職員」という。)並びに役職員の被扶養者に係る個人番号関係事務
ア 給与所得及び退職所得の源泉徴収事務
イ 財形貯蓄届出等事務
ウ 共済組合届出等事務
エ 健康保険及び厚生年金保険届出等事務
オ 国民年金第3号被保険者届出等事務
カ 雇用保険届出等事務
キ 労働者災害補償保険法(昭和22年法律第50号)に基づく請求に関する事務
(2) 前号以外の個人に係る個人番号関係事務
ア 給与所得の源泉徴収事務
イ 報酬及び料金等の支払調書作成事務
(特定個人情報等の範囲)
第4条 前条において本法人が個人番号を取り扱う事務において使用する特定個人情報等は、次の各号に掲げるとおりとする。
(1) 役職員又はそれ以外の個人から番号法第16条に基づく本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、通知カード、身元確認書類等をいう。以下同じ。)の写し
(2) 本法人が行政機関等に提出するために作成した届出書等及びこれらの控え
(3) 本法人が届出書等を作成する上で役職員又はそれ以外の個人から受領する個人番号が記載された申告書等
(4) その他個人番号と関連づけて保存される情報
第2章 安全管理措置
第1節 組織的安全管理措置
(組織体制)
第5条 本法人に、特定個人情報等の管理に関する事務を総括する者として総括保護管理者を置き、個人情報保護規程第3条第1項に規定する総括保護管理者をもって充てる。
2 本法人に、特定個人情報等を取り扱う組織(以下「担当組織」という。)における特定個人情報等の管理を担う者として保護管理者を、担当組織における特定個人情報等に係る事務に従事する者として事務取扱担当者を、特定個人情報等の授受及び一時保管の事務(以下「受領等事務」という。)に従事する者として受領等担当者を置く。
3 特定個人情報等を取り扱う事務の範囲、担当組織、保護管理者、事務取扱担当者及び受領等担当者は、次の表に掲げるとおりとする。
| 取り扱う事務の範囲 | 担当組織 | 保護管理者 | 事務取扱担当者 | 受領等担当者 |
| 給与所得及び退職所得の源泉徴収事務 | 人事課 | 人事課長 | 人事・労務チーム職員 | - |
| 財形貯蓄届出等事務 | 人事課 | 人事課長 | 人事・労務チーム職員 | - |
| 共済組合届出等事務 | 人事課 | 人事課長 | 人事・労務チーム職員 | - |
| 健康保険及び厚生年金保険届出等事務 | 人事課 | 人事課長 | 人事・労務チーム職員 | - |
| 国民年金第3号被保険者届出等事務 | 人事課 | 人事課長 | 人事・労務チーム職員 | - |
| 雇用保険届出等事務 | 人事課 | 人事課長 | 人事・労務チーム職員 | - |
| 労働者災害補償保険法に基づく請求に関する事務 | 人事課 | 人事課長 | 人事・労務チーム職員 | - |
| 報酬及び料金等の支払調書作成事務 | 人事課 | 人事課長 | 人事・労務チーム職員 | - |
| 財務課 | 財務課長 | 経理・契約チーム職員 | - | |
| 受領等事務 | 総務課、人事課、財務課及び附属学校課 | 総務課長、人事課長、財務課長及び附属学校課長 | - | 担当組織において保護管理者が指名した者 |
4 保護管理者は、前項に規定する事務取扱担当者のほか、当該課の職員を事務取扱担当者として指名することができる。
5 前2項に定める者以外の者は、いかなる理由があろうとも特定個人情報等を取り扱うことはできない。
6 本法人に、特定個人情報等の管理状況を監査する責任を担う者として監査責任者を置き、個人情報保護規程第4条第1項に規定する監査責任者をもって充てる。
(総括保護管理者の責務)
第6条 総括保護管理者は、この規程を遵守するとともに、保護管理者、事務取扱担当者及び受領等担当者(以下「保護管理者等」という。)にこれを遵守させるための教育、安全対策の実施及び周知徹底等の措置を実施する責任を負う。
2 総括保護管理者は、保護管理者等について、番号法、個人情報保護法、ガイドライン、この規程、個人情報保護規程及び個人情報保護細則(以下「法令及び本規程等」という。)に反する行為があるなど、特定個人情報等を取り扱うに適していないと判断した場合には、当該者が特定個人情報等の取扱いに携わることを禁ずることができる。
3 総括保護管理者は、次の各号に掲げる業務を所管する。
(1) 特定個人情報等の安全管理に関する教育・研修の企画及び実施
(2) 特定個人情報等の利用申請の承認及び管理
(3) 特定個人情報等の運用状況の把握及び管理
(4) 特定個人情報ファイルの取扱状況の把握及び管理
(5) 保護管理者の監督及び管理
(6) 事務取扱担当者及び受領等担当者の監督及び管理
(7) 特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)の設定及び管理
(8) 委託先における特定個人情報等の取扱状況等の監督
(9) その他本法人全体における特定個人情報等の安全管理
(保護管理者の責務)
第7条 保護管理者は、この規程を遵守するとともに、事務取扱担当者又は受領等担当者がこれを遵守しているかを常時把握し、監督及び管理する責任を負う。
(事務取扱担当者の責務)
第8条 事務取扱担当者は、特定個人情報等の取得、利用、保管、提供、開示、訂正、利用停止、廃棄又は委託処理等、特定個人情報等を取り扱う業務に従事するに当たっては、特定個人情報等を保護するため、法令及び本規程等を遵守するとともに、総括保護管理者及び保護管理者の指示に従わなければならない。
2 事務取扱担当者は、特定個人情報等の漏えい、滅失又は毀損(以下「漏えい等」という。)、法令及び本規程等に違反している事実若しくはその兆候を把握した場合には、速やかに保護管理者を通じて総括保護管理者に報告するものとする。
3 事務取扱担当者は、自分の手元に個人番号(個人番号が記された書面の写し、メモ等を含む。)を残してはならないものとする。
(受領等担当者の責務)
第9条 受領等担当者は、受領等事務に従事するに当たっては、特定個人情報等を保護するため、法令及び本規程等を遵守するとともに、総括保護管理者及び保護管理者の指示に従わなければならない。
2 受領等担当者は、特定個人情報等の漏えい等、法令及び本規程等に違反している事実、若しくはその兆候を把握した場合には、速やかに保護管理者を通じて総括保護管理者に報告するものとする。
3 受領等担当者は、個人番号が記載された書類等を受領した場合には、速やかに事務取扱担当者に届けるものとする。
(特定個人情報等の運用状況の記録)
第10条 事務取扱担当者は、この規程に基づく運用状況を確認するため、次の各号に掲げる項目について、システムログ又は利用実績を記録し、保護管理者がこれを管理及び保管するものとする。
(1) 特定個人情報等の取得及び特定個人情報ファイルへの入力状況
(2) 特定個人情報ファイルの利用・出力状況の記録
(3) 書類及び特定個人情報記録媒体等の持出しの記録
(4) 特定個人情報ファイルの削除・廃棄記録
(取扱状況の確認)
第11条 事務取扱担当者は、特定個人情報ファイルの取扱状況を確認するため、特定個人情報管理台帳に次の各号に掲げる事項を記録し、保護管理者がこれを管理及び保管するものとする。
(1) 特定個人情報ファイルの種類、名称
(2) 取扱部署、事務取扱担当者の氏名
(3) 管理区域、取扱区域
(4) 利用目的
(5) 削除・廃棄状況
(情報漏えい事案等への対応)
第12条 特定個人情報等の漏えい等の事案又はその事案の発生のおそれを認識した場合並びに事務取扱担当者が法令及び本規程等に違反している事実又はそのおそれを認識した場合等、安全確保の上で問題となる事案等を認識した者は、直ちに当該特定個人情報等を管理する保護管理者に報告しなければならない。
2 前項の規定により報告を受けた保護管理者は、被害の拡大防止又は復旧等のために必要な措置を速やかに講ずるものとする。ただし、外部からの不正アクセスや不正プログラムの感染が疑われる当該端末等のLANケーブルを抜くなど、被害拡大防止のため直ちに行い得る措置については、直ちに行うものとする。
3 保護管理者は、事案の発生した経緯、被害状況等を調査し、直ちに総括保護管理者に報告するものとする。
4 総括保護管理者は、前項の規定に基づく報告を受けた場合には、発生した事案の内容等に応じて、当該事案の経緯、被害状況等を学長に速やかに報告するものとする。
5 総括保護管理者は、事案の内容等に応じて、事案の内容、経緯、被害状況等について、文部科学省に対し、速やかに情報提供を行うものとする。
6 総括保護管理者及び保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるものとする。
7 総括保護管理者は、発生した事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る本人への対応等の措置を講ずるとともに、当該事案に係る事実関係及び再発防止策等について、速やかに個人情報の保護に関する法律(平成15年法律第57号)第130条に規定する個人情報保護委員会に報告するものとする。ただし、次の各号に掲げる重大事案又はそのおそれのある事案が発覚した場合は、直ちにその旨を個人情報保護委員会に報告するものとする。
(1) 個人番号を取り扱う情報システムで使用するネットワークから外部に情報漏えい等があった場合(不正アクセス又は不正プログラムによるものを含む。)
(2) 事案における特定個人情報の本人の数が101人以上である場合
(3) 不特定多数の者が閲覧できる状態になった場合
(4) 職員等が不正の目的で持ち出したり利用したりした場合
(5) その他総括保護管理者が重大事案と判断する場合
(監査)
第13条 監査責任者は、特定個人情報等の管理の状況について、定期に及び必要に応じ随時に監査を行い、その結果を総括保護管理者に報告するものとする。
(点検)
第14条 保護管理者は、自ら管理責任を有する特定個人情報等の記録媒体、処理経路、保管方法等について、定期に及び必要に応じ随時に点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告するものとする。
(安全管理措置の見直し)
第15条 総括保護管理者は、第13条の監査又は前条の点検の結果等を踏まえ、実効性等の観点から特定個人情報等の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずるものとする。
[第13条]
(苦情処理)
第16条 総括保護管理者は、本法人における特定個人情報等の取扱いに関し苦情があった場合には、その内容に応じて、適切に対応するものとする。
第2節 人的安全管理措置
(事務取扱に関する監督及び管理)
第17条 総括保護管理者は、特定個人情報等がこの規程に基づき適正に取り扱われるよう保護管理者等に対して必要かつ適切な監督を行うものとする。
(教育研修)
第18条 総括保護管理者は、事務取扱担当者及び受領等担当者に対し、特定個人情報等の取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。
2 総括保護管理者は、特定個人情報等を取り扱う情報システムの管理に関する業務に従事する者に対し、特定個人情報等の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行うものとする。
3 総括保護管理者は、保護管理者に対し、当該組織における特定個人情報等の適切な管理のための教育研修を実施するものとする。
4 保護管理者は、当該組織における特定個人情報等の適切な管理のため、事務取扱担当者又は受領等担当者に対して、総括保護管理者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずるものとする。
(法令等違反等への厳正な対処)
第19条 本法人は、役職員が番号法及びこの規程等に違反して不正行為を行った場合には、学内規則等に基づき厳正に対処するものとする。
第3節 物理的安全管理措置
(管理区域及び取扱区域)
第20条 総括保護管理者は、本法人における管理区域及び取扱区域を設定し、それぞれの区域に対し、次の各号に掲げる措置を講ずるものとする。
(1) 管理区域 管理区域であることを明示するとともに、入退室管理及び管理区域へ持ち込む機器及び電子媒体等の制限を行う。
(2) 取扱区域 事務取扱担当者以外の者の往来が少ない場所を割り当て、取扱区域であることを明示するとともに、壁、間仕切り等を設置し、事務取扱担当者以外の者が出入りすることを禁ずる。ただし、保護管理者が特定個人情報等の保護に当たって問題ないと認めた場合はこの限りではない。
(機器及び電子媒体等の盗難等の防止)
第21条 本法人は、管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、施錠できるキャビネット・書庫等に保管するなどの措置を講ずるものとする。
2 事務取扱担当者又は受領等担当者が、短時間であっても管理区域及び取扱区域を離れるときは、前項に規定する措置を遵守し、特定個人情報等の盗難等を防止しなければならない。
(電子媒体等を持ち出す場合の漏えい等の防止)
第22条 本法人は、特定個人情報等が記録された電子媒体又は書類等の持出し(特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、学内での移動も含む。)は、次の各号に掲げる場合を除き禁止する。
(1) 個人番号関係事務に係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
(2) 行政機関等への届出書等の提出等、本法人が実施する個人番号関係事務に関して個人番号利用事務実施者に対しデータ又は書類を提出する場合
(3) 担当組織で取りまとめた個人番号関係事務に必要な特定個人情報等を事務取扱担当者間で移動する場合
2 前項により特定個人情報等が記録された電子媒体又は書類等の持出しを行う場合には、次の各号に掲げる安全策を講ずるものとする。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従うものとする。
(1) 特定個人情報等が記録された電子媒体を安全に持ち出す方法
ア 持出しデータの暗号化
イ 持出しデータのパスワードによる保護
ウ 施錠できる搬送容器の使用
エ 追跡可能な移送手段の利用
(2) 特定個人情報等が記載された書類等を安全に持ち出す方法
ア 封かん、目隠しシールの貼付(各部署の事務取扱担当者間において特定個人情報等が記載された書類等を移送する場合を含む。)
(廃棄・削除)
第23条 特定個人情報等の廃棄・削除段階における記録媒体等の管理は、次の各号に掲げるとおりとする。
(1) 事務取扱担当者は、特定個人情報等が記録された書類等を廃棄する場合、シュレッダーによる裁断又は焼却場での焼却・溶解等の復元不可能な手段を用いなければならない。
(2) 事務取扱担当者は、特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用データ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を用いなければならない。
(3) 事務取扱担当者は、特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を用いなければならない。
(4) 特定個人情報等を取り扱う情報システムにおいては、当該関連する法定調書の法定保存期間経過後の最初に到来する年度末に個人番号を削除するよう情報システムを構築するものとする。
(5) 個人番号が記載された書類等については、当該関連する法定調書の法定保存期間経過後の最初に到来する年度末に廃棄するものとする。
2 保護管理者は、事務取扱担当者が個人番号若しくは特定個人情報ファイルを削除した場合又は電子媒体等を廃棄した場合には、削除又は廃棄した次の各号に掲げる事項についての記録を保存するものとする。
(1) 特定個人情報ファイルの種類・名称
(2) 取扱部署、保護管理者の氏名
(3) 削除・廃棄状況
第4節 技術的安全管理措置
(アクセス制御)
第24条 本法人は、特定個人情報等を取り扱う情報システムについて、次の各号に掲げるアクセス制御を行うものとする。
(1) 特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。
(2) ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を限定する。
(3) アクセス権を有する者に付与する権限を最小化する。
(アクセス者の識別と認証)
第25条 特定個人情報等を取り扱う情報システムは、ユーザーID、パスワード、磁気・ICカード等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証するものとする。
2 事務取扱担当者が異動等によって変更となった場合には、即時にパスワードを変更、磁気・ICカードを変更するなどし、アクセス権の変更設定を行わなければならない。
3 アクセス権を有しない者は、いかなる理由があっても、特定個人情報等を取り扱う情報システムにアクセスしてはならない。
(外部からの不正アクセス等の防止)
第26条 本法人は、次の各号に掲げる方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。
(1) 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する方法
(2) 情報システム及び機器にセキュリティ対策ソフトウェア等を導入する方法
(3) 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する方法
(4) 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする方法
(5) ログ等の分析を定期的に行い、不正アクセス等を検知する方法
(情報漏えい等の防止)
第27条 本法人は、特定個人情報等をインターネット等により外部に送信する場合の通信経路における情報漏えい等及び情報システムに保存されている特定個人情報等の情報漏えい等を次の各号に掲げる方法により防止するものとする。
(1) 通信経路における情報漏えい等の防止策 通信経路の暗号化
(2) 情報システムに保存されている特定個人情報等の情報漏えい等の防止策 データの暗号化又はパスワードによる保護
第3章 特定個人情報等の取得
(特定個人情報等の適正な取得)
第28条 本法人は、特定個人情報等の取得を適法かつ公正な手段によって行うものとする。
(特定個人情報等の利用目的)
第29条 本法人が、役職員又はその他の個人から取得する特定個人情報等の利用目的は、第3条に規定する個人番号を取り扱う事務の範囲内とする。
[第3条]
(特定個人情報等の取得時の利用目的の通知)
第30条 本法人は、特定個人情報等を取得する場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を情報主体に通知し、又は公表しなければならない。
2 利用目的の変更を要する場合は、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知、公表又は明示を行うことにより、変更後の利用目的の範囲内で特定個人情報等を利用することができるものとする。
(個人番号の提供の要求)
第31条 本法人は、第3条に規定する事務を処理するために必要がある場合に限り、個人番号の提供を求めることができるものとする。
[第3条]
(個人番号の提供を求める時期)
第32条 本法人は、第3条に規定する事務を処理するために必要があるときに個人番号の提供を求めることとする。
[第3条]
2 前項の規定にかかわらず、本人との法律関係等に基づき、個人番号関係事務の発生が予想される場合には、当該事務の発生が予想できた時点で個人番号の提供を求めることが可能であるものとする。
(特定個人情報等の提供の求めの制限)
第33条 本法人は、番号法第19条各号のいずれかに該当し特定個人情報等の提供を受けることができる場合を除き、特定個人情報等の提供を求めてはならない。
(特定個人情報等の取得制限)
第34条 本法人は、第3条に規定する事務の範囲を超えて、特定個人情報等を取得しないものとする。
[第3条]
(本人確認)
第35条 本法人が個人番号を取得するに当たっては、番号法第16条に規定する措置により、個人番号の確認及び当該人の身元確認を行うものとする。代理人については、同条に規定する措置により、当該代理人の身元確認、代理権の確認及び本人の個人番号の確認を行うものとする。
第4章 特定個人情報等の利用
(個人番号の利用制限)
第36条 本法人は、第29条に規定する利用目的の範囲内でのみ個人番号を利用するものとする。
[第29条]
2 本法人は、人の生命、身体又は財産の保護のために必要がある場合を除き、本人の同意があったとしても、利用目的を超えて個人番号を利用してはならないものとする。
(特定個人情報ファイルの作成の制限)
第37条 本法人は、第3条に規定する事務を実施するために必要な範囲内でのみ特定個人情報ファイルを作成するものとする。
[第3条]
第5章 特定個人情報等の保管
(特定個人情報等の正確性の確保)
第38条 事務取扱担当者は、特定個人情報等を、第29条に規定する利用目的の範囲において、正確かつ最新の状態で管理するよう努めるものとする。
[第29条]
(特定個人情報等の保管制限)
第39条 本法人は、第3条に規定する事務の範囲を超えて、特定個人情報等を保管してはならない。
[第3条]
2 本法人は、所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、当該書類及び書類を作成するシステム内においても保管することができるものとする。
3 本法人は、番号法上の本人確認の措置を実施する際に提示を受けた本人確認書類の写し、本法人が行政機関等に提出する届出書等の書類の控え及び当該書類を作成する上で本法人が受領する個人番号が記載された申告書等を特定個人情報等として保管するものとする。これらの書類については、関連する所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、保存することができるものとする。
第6章 特定個人情報等の提供
(特定個人情報等の提供制限)
第40条 本法人は、番号法第19条各号のいずれかに該当する場合を除き、本人の同意の有無にかかわらず、特定個人情報等を第三者に提供しないものとする。
第7章 特定個人情報等の開示、訂正及び利用停止等
(開示、訂正及び利用停止等)
第41条 本法人は、個人情報保護法の規定に基づき、特定個人情報の開示、訂正及び利用停止の求めがあった場合には、その適切かつ迅速な処理に努めなければならない。
第8章 特定個人情報等の廃棄・削除
(特定個人情報等の廃棄・削除)
第42条 本法人は、第3条に規定する事務を処理する必要がある範囲内に限り特定個人情報等を収集又は保管し続けるものとする。ただし、書類等について所管法令によって一定期間保存が義務付けられているものについては、これらの書類等に記載された個人番号については、その期間保管するものとし、それらの事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除するものとする。
[第3条]
第9章 特定個人情報等の委託の取扱い
(委託先における安全管理措置)
第43条 本法人は、個人番号関係事務の全部又は一部を委託する場合には、本法人自らが果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう必要かつ適切な監督を行うものとする。
2 前項の必要かつ適切な監督には、次の各号に掲げる事項が含まれるものとする。
(1) 委託先の適切な選定
(2) 委託先に安全管理措置を遵守させるために必要な契約の締結
(3) 委託先における特定個人情報等の取扱状況の把握
3 前項第1号の委託先の適切な選定は、特定個人情報等の適切な管理を行う能力を有しない者を選定することがないよう次の各号に掲げる事項について特定個人情報の保護に関して本法人が定める水準を満たしているかについて、あらかじめ確認するものとする。
(1) 設備
(2) 技術水準
(3) 従業者(事業者の組織内にあって直接又は間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、従業員のほか、取締役、監査役、理事及び派遣社員等を含む。以下同じ。)に対する監督・教育の状況
(4) 経営環境状況
(5) 特定個人情報の安全管理の状況(個人番号を取り扱う事務の範囲の明確化、特定個人情報等の範囲の明確化、事務取扱担当者の明確化並びに個人番号の削除、機器及び電子媒体等の廃棄を含む。)
4 第2項第2号の委託先に安全管理措置を遵守させるために必要な契約の締結については、委託契約の内容として、次の各号に掲げる事項を規定するものとする。
(1) 秘密保持義務に関する事項
(2) 事業所内からの特定個人情報等の持出しの禁止に関する事項
(3) 特定個人情報等の目的外利用の禁止に関する事項
(4) 再委託における条件に関する事項
(5) 漏えい事案等が発生した場合の委託先の責任に関する事項
(6) 委託契約終了後の特定個人情報等の返却又は廃棄に関する事項
(7) 従業者に対する監督・教育に関する事項
(8) 契約内容の遵守状況についての報告に関する事項
(9) 特定個人情報等を取り扱う従業者の明確化に関する事項
(10) 委託者が委託先に対して実地の調査を行うことができる事項
5 本法人における委託先の管理については、財務課を責任部署とする。
6 本法人は、委託先において特定個人情報等の安全管理が適切に行われていることについて、1年に1回又は臨時に必要に応じてモニタリングをするものとする。
7 本法人は、委託先において情報漏えい事故等が発生した場合に、適切な対応がなされ、速やかに本法人に報告される体制になっていることを確認するものとする。
8 委託先は、本法人の許諾を得た場合に限り、委託を受けた個人番号関係事務の全部又は一部を再委託することができるものとする。再委託先が更に再委託する場合も同様とする。
9 本法人は、再委託先の適否の判断のみならず、委託先が再委託先に対しても必要かつ適切な監督を行っているかどうかについても監督するものとする。
10 本法人は、委託先が再委託をする場合、当該再委託契約の内容として、第4項と同等の規定等を盛り込ませるものとする。
第10章 その他
(雑則)
第44条 この規程に定めるもののほか、本法人における特定個人情報等の取扱いに関し必要な事項は、別に定める。
附 則
この規程は、平成28年1月13日から施行し、平成28年1月1日から適用する。
附 則(平成29年規程第18号(平成29年5月29日))
|
|
この規程は、平成29年5月30日から施行する。
附 則(平成31年規程第42号(平成31年3月22日))
|
|
この規程は、平成31年4月1日から施行する。
附 則(令和6年規程第2号(令和6年1月23日))
|
|
この規程は、令和6年1月23日から施行する。
附 則(令和6年規程第39号(令和6年3月22日))
|
|
この規程は、令和6年4月1日から施行する。