○奈良国立大学機構特定個人情報等取扱規程
| (令和4年4月1日機構規程第38号) |
|
目次
第1章 総則(第1条-第4条)
第2章 安全管理措置
第1節 組織的安全管理措置(第5条-第10条)
第2節 人的安全管理措置(第11条-第17条)
第3節 物理的安全管理措置(第18条-第21条)
第4節 技術的安全管理措置(第22条-第24条)
第3章 特定個人情報の取得(第25条-第31条)
第4章 特定個人情報の利用(第32条-第34条)
第5章 特定個人情報の保管(第35条・第36条)
第6章 特定個人情報の提供(第37条)
第7章 特定個人情報の削除・廃棄(第38条)
第8章 特定個人情報の開示、訂正、利用停止等(第39条)
第9章 特定個人情報の委託の取扱い(第40条・第41条)
第10章 その他(第42条・第43条)
附則
第1章 総則
(目的)
第1条 この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)に基づき、奈良国立大学機構(以下「機構」という。)が保有する個人番号及び特定個人情報の適正な取扱いを確保するために必要な事項を定めることを目的とする。
2 機構の保有する特定個人情報の取扱いについては、番号法、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)、特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)(以下「特定個人情報ガイドライン」という。)、奈良国立大学機構個人情報管理規程(令和4年度機構規程第36号。以下「個人情報管理規程」という。)、奈良国立大学機構保有個人情報開示等取扱規程(令和4年度機構規程第37号。以下「個人情報開示取扱規程」という。)、奈良国立大学機構保有個人情報開示等実施要項(令和4年度機構要項等。以下「個人情報開示実施要項」という。)、奈良国立大学機構の保有する個人情報の開示決定等に係る審査基準(令和4年度機構基準第2号。以下「個人情報開示審査基準」という。)その他の法令等に別段の定めがあるもののほか、この規程の定めるところによる。
[奈良国立大学機構個人情報管理規程(令和4年度機構規程第36号。以下「個人情報管理規程」という。)] [奈良国立大学機構保有個人情報開示等取扱規程(令和4年度機構規程第37号。以下「個人情報開示取扱規程」という。)] [奈良国立大学機構保有個人情報開示等実施要項(令和4年度機構要項等。以下「個人情報開示実施要項」という。)] [奈良国立大学機構の保有する個人情報の開示決定等に係る審査基準(令和4年度機構基準第2号。以下「個人情報開示審査基準」という。)]
(定義)
第2条 この規程において、次の各号に掲げる用語の定義は、それぞれ当該各号に定めるところによる。
(1) 個人情報 生存する個人に関する情報であって、次に掲げるいずれかに該当するものをいう。
イ 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次号ロにおいて同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
ロ 個人識別符号が含まれるもの
(2) 個人識別符号 次のいずれかに該当する文字、番号、記号その他の符号のうち、個人情報の保護に関する法律施行令(平成15年政令第507号。)で定めるものをいう。
イ 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
ロ 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
(3) 保有個人情報 機構の役職員(派遣労働者を含む。以下「職員等」という。)が職務上作成し、又は取得した個人情報であって、職員等が組織的に利用するものとして、機構が保有しているものをいう。ただし、独立行政法人等の保有する情報の公開に関する法律(平成13年法律第140号)第2条第2項に規定する法人文書に記録されているものに限る。
(4) 個人番号 番号法第7条第1項又は第2項の規定により指定される番号をいう。
(5) 特定個人情報 個人番号をその内容に含む個人情報をいう。なお、生存する個人の個人番号についても、特定個人情報に該当する。
(6) 特定個人情報等 個人番号及び特定個人情報をいう。
(7) 本人 個人番号によって識別される特定の個人をいう。
(8) 個人情報ファイル 保有個人情報を含む情報の集合物であって、次に掲げるものをいう。
イ 一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
ロ イに掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの
(9) 特定個人情報ファイル 個人番号をその内容に含む個人情報ファイルをいう。
(10) 個人番号関係事務 番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(11) 個人番号利用事務 行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第9条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。
(12) 情報システム ハードウェア及びソフトウェアから成るシステムであって、情報処理及び通信の用に供するもので、機構が調達又は開発するもの(管理を外部委託しているシステムを含む。)のうち、次条に定める個人番号を取り扱う事務を行うために必要な個人番号を管理するシステムのことをいう。
(個人番号関係事務の範囲)
第3条 機構における個人番号関係事務の範囲は、次に掲げるとおりとする。
(1) 給与所得・退職所得に係る源泉徴収票作成事務
(2) 個人住民税関連事務
(3) 雇用保険届出事務
(4) 共済組合関連事務
(5) 健康保険・厚生年金保険届出事務
(6) 国民年金第3号被保険者届出事務
(7) 勤労者財産形成貯蓄届出事務
(8) 報酬・料金等の支払調書作成事務
(9) 高等学校等修学支援金受給資格確認事務
(特定個人情報等の範囲)
第4条 前条における機構が個人番号を取り扱う事務において使用される特定個人情報等の範囲は、個人番号及び個人番号と関連付けて管理される氏名、生年月日、性別及び住所とする。
第2章 安全管理措置
第1節 組織的安全管理措置
(総括責任者)
第5条 機構に、特定個人情報等に関する事務を総括する者(以下「総括責任者」という。)を置き、理事(総務・財務担当)をもって充てる。
(大学保護責任者)
第6条 機構が設置する国立大学(以下「大学」という。)に、大学における特定個人情報等に関する事務について、総括責任者を補佐する者(以下「大学保護責任者」という。)を置き、事務部長をもって充てる。
(保護責任者)
第7条 特定個人情報等を取り扱う事務組織に、特定個人情報等を管理する者(以下「保護責任者」という。)を置き、各課長及び室長をもって充てる。
(監査責任者)
第8条 機構に、特定個人情報等の取扱い状況について監査する者(以下「監査責任者」という。)を置き、理事長が指名する監事をもって充てる。
(事務取扱担当者)
第9条 機構において、特定個人情報等を取り扱う者(以下「事務取扱担当者」という。)は、第3条第一号から第七号に定める事務については人事課給与・共済担当者、第3条第八号に定める事務については法人財務課謝金担当者、第3条第九号に定める事務については奈良女子大学総務課附属中等教育学校担当者、並びに事務組織において個人番号が記載された書類等を受領する担当者とする。
(事務取扱担当者の責務)
第10条 事務取扱担当者は、特定個人情報等を取り扱う事務に従事する際、番号法、個人情報保護法、特定個人情報ガイドライン、個人情報管理規程、この規程その他関連法令等並びに総括責任者、大学保護責任者及び保護責任者の指示した事項に従い、特定個人情報等の保護に十分な注意を払ってその事務を行うものとする。
2 事務取扱担当者は、この規程に違反している事実又は兆候を把握した場合、速やかに総括責任者、大学保護責任者及び保護責任者に報告するものとする。
3 事務組織において個人番号が記載された書類等を受領する事務取扱担当者は、個人番号の確認等の必要な事務を行った後は直ちに特定個人情報が記載された書類を、法人人事課担当者、法人財務課アルバイト・謝金担当者のうち該当する担当者へ受け渡すものとする。
第2節 人的安全管理措置
(事務取扱担当者の監督)
第11条 総括責任者、大学保護責任者及び保護責任者は、特定個人情報等がこの規程に基づき適正に取扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。
(事務取扱担当者等の教育)
第12条 総括責任者及び大学保護責任者は、保護責任者及び事務取扱担当者に対し、特定個人情報等の取扱いについて理解を深め、特定個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。
2 総括責任者及び大学保護責任者は、事務取扱担当者及び特定個人情報等を取り扱う情報システムの管理に関する事務に従事する職員等に対し、特定個人情報等の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行う。
3 保護責任者は、各課の事務取扱担当者に対し、特定個人情報等の適切な管理のために、総括責任者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。
4 前3項の措置を講ずる場合には、特定個人情報等の取扱いに従事する派遣労働者についても、事務取扱担当者と同様の措置を講ずる。
(運用状況の記録)
第13条 事務取扱担当者は、この規程に基づく運用状況を確認するため、次に掲げる項目を記録し、その記録を一定の期間保存するものとする。ただし、第五号については委託先から受領した証明書等により、第六号については別途情報システムのログにより確認する。
(1) 特定個人情報等の取得及び特定個人情報ファイルへの入力状況
(2) 特定個人情報ファイルの利用・出力状況
(3) 書類・媒体等の持出し状況
(4) 特定個人情報ファイルの削除・廃棄状況
(5) 削除・廃棄を委託した場合、これを証明する記録
(6) 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)
2 総括責任者は、前項により保存された記録をもとに、定期に又は随時に特定個人情報等の運用状況を分析するために必要な措置を講ずるとともに、記録の改ざん、窃取又は不正な削除の防止のために必要な措置を講ずる。
(取扱状況の確認手段)
第14条 事務取扱担当者は、特定個人情報ファイルの取扱状況を確認するための手段として、次に掲げる事項を記録する。この場合において、その記録に特定個人情報等を記載してはならない。
(1) 特定個人情報ファイルの名称
(2) 特定個人情報ファイルが利用に供される事務をつかさどる組織の名称
(3) 特定個人情報ファイルの利用目的
(4) 特定個人情報ファイルに記録される項目
(5) 特定個人情報ファイルに記録される特定個人情報等の収集方法
(6) 特定個人情報ファイルの削除及び廃棄
(情報漏えい等への対応)
第15条 職員等は、特定個人情報等の漏えい、滅失又は毀損等(以下「情報漏えい等」という。)事案の発生又は兆候を把握した場合は、速やかに当該特定個人情報等を管理する保護責任者に報告するものとする。
2 保護責任者は、被害の拡大防止又は復旧等のために必要な措置を速やかに講じなければならない。ただし、外部からの不正アクセスや不正プログラムの感染が疑われる当該端末等のLANケーブルを抜く等、被害拡大防止のため直ちに行い得る措置については、直ちに行う(職員等に行わせることを含む。)ものとする。
3 保護責任者は、事案の発生した経緯、被害状況、影響の範囲等を調査し、大学保護責任者に報告する。ただし、特に重大と認める事案が発生した場合には、直ちに大学保護責任者に当該事案の内容等について報告する。
4 大学保護責任者は、前項の規定に基づく報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を総括責任者に速やかに報告する。
5 総括責任者は、前項の規定に基づく報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を理事長に速やかに報告するとともに、文部科学省に必要な報告を行う。
6 総括責任者は、情報漏えい等事案の事実を当該事案に係る本人に連絡する。
7 総括責任者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずる。
8 総括責任者は、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る本人への対応等の措置を講ずる。
9 総括責任者は、不正アクセス、ウイルス感染の事案に加え、標的型攻撃等の被害を受けた場合の対応について、関係者において定期的に確認・訓練等を実施する。
(苦情への対応)
第16条 総括責任者は、特定個人情報等の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
(監査)
第17条 監査責任者は、特定個人情報等の取扱い状況について、定期的に又は必要に応じて監査を行い、その結果を総括責任者に報告する。
2 総括責任者は、前項の監査の結果を踏まえ、必要があると認めるときは、安全管理措置等の改善措置を講ずる。
第3節 物理的安全管理措置
(特定個人情報等を取り扱う区域の管理)
第18条 総括責任者は、特定個人情報等の情報漏えい等を防止するために、次の各号に掲げる区域を明確にし、当該各号に定める措置を講ずるものとする。
(1) 取扱区域 事務取扱担当者が特定個人情報等を取り扱う事務を実施する区域を取扱区域と定め、可能な限り壁又は間仕切り等の設置及び座席配置を工夫すること。
(2) 管理区域 特定個人情報ファイルを取り扱う情報システムを管理する区域を管理区域と定め、入退室管理及び管理区域へ持ち込む機器及び電子媒体の制限等の措置を行うこと。
(情報システム室等の管理)
第19条 前条第二号の管理区域のうち、基幹的なサーバー等の機器を設置する室等(以下「情報システム室等」という。)については、次の各号に掲げる措置を講ずるものとする。
(1) 情報システム室等に入室する権限を有する者を定めるとともに、用件の確認、入退室の記録、部外者についての識別化、部外者が入室する場合の職員等の立会い又は監視設備による監視、外部電磁的記録媒体等の持込み、利用及び持ち出しの制限又は検査等をすること。
(2) 総括責任者が必要と認める場合における、情報システム室等の出入口の特定化による入退室管理の容易化、所在表示の制限等の措置を行うこと。
(3) 総括責任者が必要と認める場合における、情報システム室等及び保管施設の入室に係る認証機能の設定並びにパスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。)、パスワード等の読取防止等を行うための措置を行うこと。
(4) 外部からの不正な侵入に備え、施錠装置の設置等を行うこと。
(機器及び電子媒体等の盗難等の防止)
第20条 取扱区域及び管理区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次に掲げる措置を講ずる。
(1) 特定個人情報等を取り扱う機器、電子媒体並びに書籍等を、施錠できるキャビネット又は書庫等へ保管すること。
(2) 前項の書庫等に入らない機器について、セキュリティワイヤー等により固定すること。
(電子媒体等の取扱いにおける情報漏えい等の防止)
第21条 特定個人情報等が記録された電子媒体又は書類等の持出し(特定個人情報等を取扱区域及び管理区域の外へ移動させることをいい、機構内での移動等も含む。)は、次に掲げる場合を除き禁止する。
(1) 個人番号関係事務に係る外部委託先に、委託事務を実施するうえで必要と認められる範囲内でデータを提供する場合
(2) 行政機関等への法定調書の提出等、機構が実施する個人番号関係事務に関して個人番号利用事務実施者に対しデータ又は書類を提出する場合
(3) 第38条第1項の規定により廃棄する場合
[第38条第1項]
2 前項の規定により特定個人情報等が記録された電子媒体又は書類等を持出す必要が生じた場合には、次に掲げる方法により、安全な方策を講ずる。ただし、行政機関等に法定調書等をデータで提出するにあたっては、行政機関等が指定する提出方法に従うものとする。
(1) 特定個人情報等が記録された電子媒体を安全に持ち出す方法
イ 持出しデータの暗号化
ロ 持出しデータのパスワードによる保護
ハ 施錠できる搬送容器の使用
ニ 追跡可能な移送手段の利用
(2) 特定個人情報等が記載された書類等を安全に持ち出す方法
イ 施錠できる搬送容器の使用
ロ 封緘又は目隠しシールの貼付
第4節 技術的安全管理措置
(アクセス制御とアクセス者の識別)
第22条 総括責任者は、事務取扱担当者が情報システムを使用して個人番号関係事務を行う場合、次に掲げる方法により特定個人情報ファイルへのアクセス制御を行うものとする。
(1) 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定すること。
(2) 特定個人情報ファイルを取り扱う情報システム等を、アクセス制御により限定すること。
(3) ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定すること。
(4) 特定個人情報ファイルへのアクセス権を付与すべき者を最小化すること。
(5) アクセス権を有する者に付与する権限を最小化すること。
(6) 特定個人情報ファイルを取り扱う情報システムに導入したアクセス制御機能の脆弱性等を検証すること。
2 特定個人情報等を取り扱う情報システムは、ユーザーID、パスワード等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証するものとする。
(不正アクセスによる被害の防止等)
第23条 総括責任者は、次に掲げる方法により情報システムを外部等からの不正アクセス又は不正ソフトウェアから保護する。
(1) 特定個人情報等を取り扱う情報システムと外部ネットワーク(又はその他の情報システム)との接続箇所にファイアウォール等を設置し、不正アクセスを遮断すること。
(2) 情報システム及び機器にセキュリティ対策ソフトウェア等を導入すること。
(3) 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認すること。
(4) 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とすること。
(5) 定期に及び必要に応じ随時にログ等の分析を行い、不正アクセス等を検知すること。
(6) 不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み(ネットワークの遮断等)を導入し、適切に運用すること。
(7) 情報システムの不正な構成変更(許可されていない電子媒体、機器の接続等、ソフトウェアのインストール等)を防止するために必要な措置を講ずる。
(情報漏えい等の防止)
第24条 総括責任者は、情報システム内に保存されている特定個人情報等の情報漏えい等を防止するため、次に掲げる措置を講ずるものとする。
(1) 特定個人情報等へアクセスする場合は、通信を暗号化により保護すること。
(2) 特定個人情報等を情報システム内に保存する場合は、データを暗号化又はパスワードにより保護すること。
(3) 特定個人情報ファイルを機器、電子媒体等に保存する必要がある場合は、暗号化又はパスワードにより保護すること。
(4) 前二号の暗号化又はパスワードによる保護する場合において、不正に入手した者が容易に復元できないように、暗号鍵及びパスワードの運用管理並びにパスワードに用いる文字の種類及び桁数等の適切な設定を行うこと。
第3章 特定個人情報の取得
(特定個人情報の適正な取得)
第25条 機構は、特定個人情報の取得を適法かつ公正な手段によって行うものとする。
(特定個人情報の利用目的の特定)
第26条 機構が職員等又はその他の個人から取得する特定個人情報の利用目的は、第3条に定める個人番号関係事務の範囲とする。
[第3条]
(特定個人情報取得時の利用目的の明示)
第27条 機構は、特定個人情報を取得する際は、利用目的を本人に通知、明示又は公表する。
2 前項の利用目的を変更する場合、当初の利用目的と関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人に通知、明示又は公表を行うことにより、変更後の利用目的の範囲内で特定個人情報を利用することができる。
(個人番号の提供の要求等)
第28条 機構は、第3条に規定する個人番号関係事務を処理するために必要がある場合に限り、個人番号の提供を求めることができるものとする。
[第3条]
(個人番号の提供の求めの制限)
第29条 機構は、第3条各号のいずれかに該当し特定個人情報の提供を受けることができる場合を除き、個人番号の提供を求めてはならない。
[第3条各号]
(特定個人情報の収集の制限)
第30条 機構は、第3条に定める個人番号関係事務の範囲を超えて、特定個人情報を収集してはならない。
[第3条]
(本人確認)
第31条 機構は、前条の規定により当該本人から個人番号の提供を受けるときは、番号法第16条に定める方法により、当該本人の個人番号の確認及び当該人の身元確認を行うものとする。
第4章 特定個人情報の利用
(個人番号の利用制限)
第32条 機構は、第3条に規定する個人番号関係事務の範囲内でのみ個人番号を利用するものとする。
[第3条]
2 機構は、人の生命、身体又は財産の保護のために必要がある場合を除き、当該本人の同意があったとしても、個人番号関係事務を実施するために必要な範囲を超えて個人番号を利用してはならない。
(複製等の制限)
第33条 事務取扱担当者は、利用目的の範囲内であっても、次の各号に掲げる行為については、保護責任者の指示により行わなければならない。
(1) 特定個人情報の複製
(2) 特定個人情報の送信
(3) 特定個人情報が記載されている媒体の外部への送付又は持ち運び
(4) その他特定個人情報の適切な管理に支障を及ぼすおそれのある行為
(特定個人情報保護ファイルの作成の制限)
第34条 機構は、第3条に規定する個人番号関係事務を実施するために必要な範囲を超えて特定個人情報ファイルを作成してはならない。
[第3条]
第5章 特定個人情報の保管
(特定個人情報の正確性の確保)
第35条 事務取扱担当者は、特定個人情報を、第3条に規定する個人番号関係事務を実施するために必要な範囲において、正確かつ最新の状態で管理するよう努めなければならない。
[第3条]
(特定個人情報の保管制限)
第36条 機構は、第3条に規定する個人番号関係事務の範囲を超えて、特定個人情報を保管してはならない。
[第3条]
2 特定個人情報等を含む書類又は特定個人情報ファイルを奈良国立大学機構法人文書管理規程(令和4年度機構規程第32号。以下、「法人文書管理規程」という。)で定められた書類等の保存期間経過後も引き続き保管するときは、個人番号に係る部分をマスキングし、又は消去しなければならない。
第6章 特定個人情報の提供
(特定個人情報の提供制限)
第37条 機構は、番号法第19条各号に掲げる場合を除き、当該本人の同意の有無に関わらず、特定個人情報を第三者に提供してはならない。
第7章 特定個人情報の削除・廃棄
(特定個人情報の削除又は廃棄)
第38条 機構は、第3条に規定する個人番号関係事務を処理する必要がなくなった場合で、法人文書管理規程で定められている保存期間を経過したときは、個人番号をできるだけ速やかに削除し、又は廃棄しなければならない。
[第3条]
2 事務取扱担当者は、前項の規定により削除又は廃棄を行う場合は、次の各号に掲げる場合に応じ、当該各号に定める方法により個人番号を復元できない手段で削除し、又は廃棄する。
(1) 特定個人情報等が記載された書類等を廃棄する場合 シュレッダー等による裁断、焼却・溶解等
(2) 特定個人情報等が記録された機器及び電子媒体等を廃棄する場合 専用のデータ削除ソフトウェアの利用又は物理的な破壊等
(3) 特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合 容易に復元できない方法
3 特定個人情報等を取り扱う情報システムにおいては、法人文書管理規程に定める法定調書の保存期間経過後の年度末に個人番号を削除する。
4 事務取扱担当者は、削除又は廃棄の作業を委託する場合は、委託先が確実に削除又は廃棄したことについて、証明書の提出を求めて確認しなければならない。
第8章 特定個人情報の開示、訂正、利用停止等
(開示、訂正、利用停止等)
第39条 機構で保有する特定個人情報等は、適法かつ合理的な範囲に限り当該本人に開示することとし、事実ではないという理由によって当該本人より訂正等の申出があったときは、速やかに対応する。
2 機構で保有する特定個人情報等について、この規程及び法令等に違反して取得され、又は利用されているという理由によって当該本人から利用停止等を求められた場合は、遅滞なく必要な調査を行い、必要な措置を講ずる。
3 特定個人情報の開示、訂正、利用停止等の取扱いは、番号法30条第2項、番号法第31条第3項、個人情報開示取扱規程、個人情報開示実施要項及び個人情報開示審査基準によるものとする。
第9章 特定個人情報の委託の取扱い
(委託の取扱い)
第40条 総括責任者は、第3条に定める個人番号関係事務の全部又は一部を委託する場合は、機構が果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう、必要かつ適切な監督を行わなければならない。
[第3条]
2 前項の「必要かつ適切な監督」には次に掲げる事項が含まれる。
(1) 委託先の適切な選定
(2) 委託先に安全管理措置を遵守させるために必要な契約の締結
(3) 委託先における特定個人情報等の取扱状況の把握
3 前項第一号の選定にあたっては、総括責任者は、委託先において、番号法に基づき安全管理措置が講じられるか否かについて、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等を、あらかじめ確認するものとする。
4 第2項第二号の委託契約の内容として、次に掲げる事項を盛り込むものとする。
(1) 秘密保持義務に関する規定
(2) 事業所内からの特定個人情報等の持出しの禁止
(3) 特定個人情報等の目的外利用の禁止
(4) 再委託する場合は許諾を求めるべきこと及び再委託する場合における条件等
(5) 複製等の制限に関する規定
(6) 漏えい事案等が発生した場合の委託先の責任に関する規定
(7) 委託契約終了後の特定個人情報等の返却又は廃棄に関する規定
(8) 委託先の従業者に対する監督・教育に関する規定
(9) 契約内容の遵守状況について報告を求めることに関する規定
(10) 特定個人情報等を取り扱う従業者の明確化に関する規定
(11) 委託者が委託先に対して実地の調査を行うことに関する規定
5 総括責任者は、委託先において情報漏えい事案等が発生した場合に、適切な対応がなされ、速やかに機構に報告される体制になっていることを確認するものとする。
(再委託)
第41条 委託先は、機構の許諾を得た場合に限り、委託を受けた個人番号関係事務の全部又は一部を再委託できるものとする。
2 総括責任者は、再委託先についても、前条の規定に従い必要かつ適切な監督を行うものとする。
第10章 その他
(変更後の個人番号の届出)
第42条 職員等は、自ら又は扶養親族の個人番号が変更された場合は、変更後の個人番号を遅滞なく機構に届け出なければならない。
(雑則)
第43条 この規程に定めるもののほか、特定個人情報の取扱いに関し必要な事項は、理事長が別に定める。
附 則
この規程は、令和4年4月1日から施行する。
附 則(令和4年10月28日機構規程第114号)
|
|
この規程は、令和4年10月28日から施行し、令和4年4月1日から適用する。
附 則(令和6年10月1日機構規程第67号)
|
|
この規程は、令和6年10月1日から施行する。