○国立大学法人琉球大学保有個人情報等管理規則
(令和4年3月31日制定)
目次

第1章 総則(第1条・第2条)
第2章 個人情報の取扱い(第3条-第16条)
第3章 特定個人情報等の取扱い(第17条-第30条)
第4章 仮名加工情報の取扱い(第31条・第32条)
第5章 保有個人情報等の取扱いの委託(第33条・第34条)
第6章 特定個人情報等の取扱いの委託(第35条)
第7章 個人情報ファイル簿の作成及び公表(第36条)
第8章 保有個人情報等及び特定保有個人情報等の開示等(第37条)
第9章 行政機関等匿名加工情報の提供等(第38条-第52条)
第10章 保有個人情報等の管理体制(第53条-第59条)
第11章 特定個人情報等の管理体制(第60条-第71条)
第12章 保有個人情報等の安全管理措置(第72条-第79条)
第13章 情報システムにおける安全の確保等(第80条-第94条)
第14章 情報システム室等の安全管理(第95条・第96条)
第15章 サイバーセキュリティの確保(第97条)
第16章 安全管理上の問題への対応(第98条-第100条)
第17章 特定個人情報等の安全管理措置(第101条-第107条)
第18章 監査及び点検の実施(第108条-第110条)
第19章 病院における管理体制(第111条)
第20章 文部科学省との連携(第112条)
第21章 その他(第113条-第115条)
附則

第1章 総則
(趣旨)
第1条 この規則は、国立大学法人琉球大学(以下「本法人」という。)の保有する個人情報、仮名加工情報及び匿名加工情報(以下「保有個人情報等」という。)並びに個人番号及び特定個人情報(以下「特定個人情報等」という。)の適切な管理のための必要な事項を定めることにより、本法人の業務の適正かつ円滑な運営を図るとともに、個人の権利利益を保護することを目的とする。
2 本法人における保有個人情報等及び特定個人情報等の取扱いに関しては、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)その他関係法令に定めるもののほか、この規則の定めるところによる。
(定義)
第2条 この規則において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
(1) 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2) 個人識別符号が含まれるもの
2 この規則において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「施行令」という。)で定めるものをいう。
(1) 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
(2) 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
3 この規則において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして施行令で定める記述等が含まれる個人情報をいう。
4 この規則において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
5 この規則において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
(1) 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(2) 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
6 この規則において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
(1) 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(2) 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
7 この規則において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
8 この規則において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次の各号に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
(1) 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
(2) 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
9 この規則において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次の各号に掲げる者を除く。
(1) 国の機関
(2) 地方公共団体
(3) 独立行政法人等
(4) 地方独立行政法人
10 この規則において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
11 この規則において「保有個人データ」とは、本法人が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして施行令で定めるもの以外のものをいう。
12 この規則において「仮名加工情報データベース等」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして施行令で定めるものをいう。
13 この規則において「個人関連情報データベース等」とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして施行令で定めるものをいう。
14 この規則において「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。
15 この規則において「保有個人情報」とは、本法人の教職員が職務上作成し、又は取得した個人情報であって、本法人の教職員が組織的に利用するものとして、本法人が保有する法人文書に記録されているものをいう。
16 この規則において「個人情報ファイル」とは、保有個人情報を含む情報の集合物であって、次の各号に掲げるものをいう。
(1) 一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
(2) 前号に掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの
17 この規則において「行政機関等匿名加工情報」とは、次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。以下この項において同じ。)の全部又は一部(これらの一部に独立行政法人等の保有する情報の公開に関する法律(平成13年法律第140号。以下「公開法」という。)第5条に規定する不開示情報(同条第1号に掲げる情報を除き、同条第2号ただし書に規定する情報を含む。以下この項において同じ。))を加工して得られる匿名加工情報をいう。
(1) 第36条第2項各号のいずれかに該当するもの又は同条第3項の規定により同条第1項に規定する個人情報ファイル簿に掲載しないこととされるものでないこと。
(2) 本法人に対し、当該個人情報ファイルを構成する保有個人情報が記録されている法人文書の公開法第3条の規定による開示の請求があった場合、次のいずれかを行うものであること。
ア 当該法人文書に記録されている保有個人情報の全部又は一部を開示する旨の決定をすること。
イ 公開法第14条第1項又は第2項の規定により意見書の提出の機会を与えること。
(3) 本法人の事務及び事業の適正かつ円滑な運営に支障のない範囲内で、第45条第1項の基準に従い、当該個人情報ファイルを構成する保有個人情報を加工して匿名加工情報を作成することができるものであること。
18 この規則において「行政機関等匿名加工情報ファイル」とは、行政機関等匿名加工情報を含む情報の集合物であって、次に掲げるものをいう。
(1) 特定の行政機関等匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの
(2) 前号に掲げるもののほか、特定の行政機関等匿名加工情報を容易に検索することができるように体系的に構成したものとして施行令で定めるもの
19 この規則において「個人番号」とは、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
20 この規則において「特定個人情報」とは、個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第7条第1項及び第2項、第8条並びに第48条並びに附則第3条第1項から第3項まで及び第5項を除く。)をその内容に含む個人情報をいう。
21 この規則において「特定個人情報ファイル」とは、個人番号をその内容に含む個人情報ファイルをいう。
22 この規則において「個人番号利用事務」とは、行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第9条第1項から第3項までの規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。
23 この規則において「個人番号関係事務」とは、番号法第9条第4項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
24 この規則において「個人番号利用事務実施者」とは、個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう。
25 この規則において「教職員」とは、役員、教員及び職員(派遣労働者を含む。)をいう。
26 この規則において「部局等」とは、運営推進組織、教育研究等組織及び事務組織の各組織をいう。
27 第1項に規定する個人情報及び第15項に規定する保有個人情報は、第19項に規定する個人番号及び第20項に規定する特定個人情報を含むものとする。
第2章 個人情報の取扱い
(利用目的の特定)
第3条 本法人は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定する。
2 本法人は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行わない。
(利用目的による制限)
第4条 本法人は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱わない。
2 本法人は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わない。
3 本法人は、前2項の規定にかかわらず、次の各号のいずれかに該当する場合には、あらかじめ本人の同意を得ないで前2条の規定により特定された利用目的の範囲を超えて個人情報を取り扱うことができる。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 当該個人情報を学術研究の用に供する目的(以下「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6) 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(不適正な利用の禁止)
第5条 本法人は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用しない。
(適正な取得)
第6条 本法人は、偽りその他不正の手段により個人情報を取得しない。
2 本法人は、次の各号に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得しない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 当該要配隠個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6) 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究日的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究日的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
(7) 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、法第57条第1項各号に掲げる者その他個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下、「個人情報保護委員会規則)という。)で定める者により公開されている場合
(8) その他前各号に掲げる場合に準ずるものとして施行令で定める場合
(取得に際しての利用目的の通知等)
第7条 本法人は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用日的を、本人に通知し、又は公表する。
2 本法人は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示する。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 本法人は、利用日的を変更した場合は、変更された利用目的について、本人に通知し、又は公表する。
4 前3項の規定は、次の各号に掲げる場合については、適用しない。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することにより本法人の権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4) 取得の状況からみて利用目的が明らかであると認められる場合
(データ内容の正確性の確保等)
第8条 本法人は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努める。
(従業者の監督)
第9条 本法人は、教職員に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該教職員に対する必要かつ滴切な監督を行う。
(委託先の監督)
第10条 本法人は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行う。
(漏えい等の報告等)
第11条 本法人は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告する。ただし、本法人が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
2 前項に規定する場合(同項ただし書の規定による通知をした場合を除く。)には、本法人は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知する。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
(第三者提供の制限)
第12条 本法人は、次の各号に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供しない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6) 当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。本法人と当該第三者が共同して学術研究を行う場合に限る。)。
(7) 当該第三者が学術研究機関等である場合であって、当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
2 本法人は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次の各号に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第6条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
(1) 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下、この条及び第15条第1項第1号において同じ。)の氏名
(2) 第三者への提供を利用目的とすること。
(3) 第三者に提供される個人データの項目
(4) 第三者に提供される個人データの取得の方法
(5) 第三者への提供の方法
(6) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
(7) 本人の求めを受け付ける方法
(8) 前各号に掲げるもののほか、個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
3 本法人は、前項第1号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第3号から第5号まで、第7号又は第8号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出る。
4 次の各号に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
(1) 本法人が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2) 合併その他の事由による事業の承継に伴って個人データが提供される場合
(3) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
5 本法人は、前項第3号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置く。
(外国にある第三者への提供の制限)
第13条 本法人は、外国(本邦の域外にある国又は地域をいう。以下この条及び第16条第1項第2号において同じ。個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者(個人データの取扱いについてこの章の規定により本法人が講ずべきこととされている措置に相当する措置(第3項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得る。この場合においては、同条の規定は、適用しない。
2 本法人は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供する。
3 本法人は、個人データを外国にある第三者(第1項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措僅を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供する。
(第三者提供に係る記録の作成等)
第14条 本法人は、個人データを第三者(第2条第9項各号に掲げる者を除く。以下この条及び次条(第16条第3項において読み替えて準用する場合を含む。)において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成する。ただし、当該個人データの提供が第12条第1項各号又は第5項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第12条第1項各号のいずれか)に該当する場合は、この限りでない。
2 本法人は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存する。
(第三者提供を受ける際の確認等)
第15条 本法人は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行う。ただし、当該個人データの提供が第12条第1項各号又は第4項各号のいずれかに該当する場合は、この限りでない。
(1) 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
(2) 当該第三者による当該個人データの取得の経緯
2 本法人は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成する。
3 本法人は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存する。
(個人関連情報の第三者提供の制限等)
第16条 本法人は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章から第4章までにおいて同じ。)を個人データとして取得することが想定されるときは、第12条第1項各号に掲げる場合を除くほか、次の各号に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供しない。
(1) 当該第三者が本法人から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
(2) 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
2 第13条第3項の規定は、前項の規定により本法人が個人関連情報を提供する場合について準用する。この場合において、同条第3項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
3 前条第2項から第4項までの規定は、第1項の規定により本法人が確認する場合について準用する。この場合において、同条第3項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。
第3章 特定個人情報等の取扱い
(個人番号関係事務の範囲)
第17条 本法人における個人番号関係事務の範囲は、次の各号に掲げるとおりとする。
(1) 教職員に係る個人番号関係事務
1) 給与所得及び退職所得の源泉徴収票作成事務
2) 文部科学省共済組合関係事務
3) 健康保険及び厚生年金保険届出並びに申請事務
4) 雇用保険届出及び申請事務
5) 財産形成貯蓄制度の取引に関する法定書類作成・提供事務
(2) 教職員の配偶者に係る個人番号関係事務
1) 国民年金の第3号被保険者届出事務
(3) 第1号に規定するもの以外の個人に係る個人番号関係事務
1) 報酬及び料金等の支払調書作成事務
2) 給与等の源泉徴収票作成事務
(4) 不動産等に係る個人番号関係事務
1) 不動産の使用料等の支払調書作成事務
2) 不動産等の譲受けの対価の支払調書作成事務
(特定個人情報の範囲)
第18条 前条において本法人が個人番号関係事務として使用する個人番号及び個人番号と関連づけて管理する特定個人情報は以下の各号に掲げるとおりとする。
(1) 教職員又はそれ以外の個人から、番号法第16条に基づく本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、通知カード、身元確認書類等)の写し
(2) 本法人が行政機関等に提出するために作成した届出書等及びこれらの控え
(3) 本法人が前号に規定する届出書等を作成するうえで教職員又はそれ以外の個人から受領する個人番号が記載された申告書等
(4) 前各号に掲げるもののほか、個人番号と関連づけて保存される情報
(特定個人情報の適正な取得)
第19条 本法人は、特定個人情報の取得を適法かつ公正な手段によって行う。
2 本法人は、第17条に定める事務の範囲を超えて特定個人情報を取得しない。
(個人番号の提供を求める時期)
第20条 本法人は、第17条に定める事務を処理するために必要があるときに個人番号の提供を求める。
2 前項の規定にかかわらず、本人との法律関係等に基づき、個人番号関係事務の発生が予想される場合には、当該事務の発生が予想できた時点で個人番号の提供を求めることができる。
(本人確認)
第21条 本法人が個人番号を取得するに当たっては、番号法第16条の規定に基づき、個人番号の確認及び当該人の身元確認を行う。また、代理人については、同条の規定に基づき、当該代理人の身元確認、代理権の確認及び本人の個人番号の確認を行う。
(特定個人情報の提供の求めの制限)
第22条 本法人は、番号法第19条各号のいずれかに該当し特定個人情報の提供を受けることができる場合を除き、特定個人情報の提供を求めてはならない。
(特定個人情報の利用目的)
第23条 本法人が、教職員又はその他の個人から取得する特定個人情報の利用目的は、第17条に掲げた個人番号を取り扱う事務の範囲内とする。
2 本法人は、前項に掲げる事務を処理するために必要がある場合に限り、個人番号の提供を求めることができる。
(特定個人情報の取得時の利用目的の通知)
第24条 本法人は、特定個人情報を取得する場合は、あらかじめその利用目的を本人に明示しなければならない。
2 利用目的の変更を要する場合、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知、公表又は明示を行うことにより、変更後の利用目的の範囲内で特定個人情報を利用することができる。
(個人番号の利用制限)
第25条 本法人は、第23条に掲げる利用目的の範囲内でのみ個人番号を利用する。
2 本法人は、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり又は本人の同意を得ることが困難であるときは、個人番号関係事務を処理する目的で保有している個人番号について、人の生命、身体又は財産を保護するために利用することができる。
(特定個人情報ファイルの作成の制限)
第26条 本法人は、第17条に定める事務を実施するために必要な範囲内でのみ特定個人情報ファイルを作成する。
(特定個人情報の正確性の確保)
第27条 事務取扱担当者は、特定個人情報を、第23条に掲げる利用目的の範囲において、正確かつ最新の状態で管理するよう努めるものとする。
(特定個人情報の保管制限)
第28条 本法人は、第17条に定める事務の範囲を超えて、特定個人情報を保管してはならない。
2 本法人は、個人番号を記載する書類等について、保存期間を経過するまでの間は、当該書類及び書類を作成するシステム内においても保管することができる。
(特定個人情報の提供制限)
第29条 本法人は、番号法第19条各号に掲げる場合を除き、本人の同意の有無に関わらず、特定個人情報を第三者に提供しない。
(特定個人情報の削除・廃棄)
第30条 本法人は、個人番号を記載する書類等について、第17条に規定する事務を処理する必要がなくなった場合で、保存期間を経過した場合には、個人番号をできるだけ速やかに削除又は廃棄するものとする。
第4章 仮名加工情報の取扱い
(仮名加工情報の作成等)
第31条 本法人は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下この規則において同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工する。
2 本法人は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第3項において読み替えて準用する第7項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講ずる。
3 本法人は、第4条の規定にかかわらず、法令に基づく場合を除くほか、第3条第1項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱わない。
4 仮名加工情報についての第7条の規定の適用については、同条第1項及び第3項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第4項第1号から第3号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。
5 本法人は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努める。この場合においては、第8条の規定は、適用しない。
6 本法人は、第12条第1項及び第2項並びに第13条第1項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供しない。この場合において、第12条第5項中「前各項」とあるのは「第31条第6項」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第6項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第14条第1項ただし書中「第12条第1項各号又は第5項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第12条第1項各号のいずれか)」とあり、及び第15条第1項ただし書中「第12条第1項各号又は第5項各号のいずれか」とあるのは「法令に基づく場合又は第12条第5項各号のいずれか」とする。
7 本法人は、仮名加工情報を取り扱うに当たり、当該仮名加工情報を他の情報と照合せず、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別しない。
8 本法人は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用しない。
9 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第3条第2項及び第11条の規定は、適用しない。
(仮名加工情報の第三者提供の制限等)
第32条 本法人は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第3項において同じ。)を第三者に提供しない。
2 第12条第4項及び第5項の規定は、仮名加工情報の提供を受ける者について準用する。この場合において、同条第4項中「前各項」とあるのは「第32条第1項」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第5項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。
3 第9条、第10条、第113条並びに前条第7項及び第8項の規定は、本法人による仮名加工情報の取扱いについて準用する。この場合において、前条第7項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。
第5章 保有個人情報等の取扱いの委託
(業務の委託等)
第33条 保有個人情報等の取扱いに係る業務を外部に委託する場合には、個人情報の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置を講ずる。また、契約書に、次の各号に掲げる事項を明記するとともに、委託先における責任者及び業務従事者の管理体制及び実施体制、個人情報の管理の状況についての検査に関する事項等の必要な事項について、書面で確認する。
(1) 個人情報に関する秘密保持、利用目的以外の目的のための利用の禁止等の義務
(2) 再委託(再委託先が委託先の子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定する子会社をいう。)である場合も含む。本条第1項及び第4項において同じ。)の制限又は事前承認等再委託に係る条件に関する事項
(3) 個人情報の複製等の制限に関する事項
(4) 個人情報の安全管理措置に関する事項
(5) 個人情報の漏えい等の事案の発生時における対応に関する事項
(6) 委託終了時における個人情報の消去及び媒体の返却に関する事項
(7) 法令及び契約に違反した場合における契約解除、損害賠償責任その他必要な事項
(8) 契約内容の遵守状況についての定期的報告に関する事項及び委託先における委託された個人情報の取扱状況を把握するための監査等に関する事項(再委託先の監査等に関する事項を含む。)
2 保有個人情報等の取扱いに係る業務を外部に委託する場合には、取扱いを委託する個人情報の範囲は、委託する業務内容に照らして必要最小限とする。
3 保有個人情報等の取扱いに係る業務を外部に委託する場合には、委託する業務に係る保有個人情報等の秘匿性等その内容やその量等に応じて、委託先における管理体制及び実施体制や個人情報の管理の状況について、少なくとも年1回以上、原則として実地検査により確認する。
4 委託先において、保有個人情報等の取扱いに係る業務が再委託される場合には、委託先に第1項の措置を講じさせるとともに、再委託される業務に係る保有個人情報等の秘匿性等その内容に応じて、委託先を通じて又は本法人自らが第3項の措置を実施する。保有個人情報等の取扱いに係る業務について再委託先が再々委託を行う場合以降も同様とする。
5 保有個人情報等の取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記する。
(その他)
第34条 保有個人情報等を提供又は業務委託する場合には、漏えい等による被害発生のリスクを低減する観点から、提供先の利用目的、委託する業務の内容、保有個人情報等の秘匿性等その内容などを考慮し、必要に応じ、特定の個人を識別することができる記載の全部又は一部を削除し、又は別の記号等に置き換える等の措置を講ずる。
第6章 特定個人情報等の取扱いの委託
(委託先における安全管理措置)
第35条 本法人は、個人番号関係事務の全部又は一部を委託する場合には、本法人自らが果たすべき安全管理措置と同等の措置が講じられるよう、適切な委託先を選定し、安全管理措置を遵守させるために必要な契約の締結を行い、特定個人情報の取扱状況の把握を行う等の必要かつ適切な監督を行う。
2 前項に規定する「委託先の適切な選定」としては、以下の事項について特定個人情報の保護に関して本法人が定める水準を満たしているかについて、あらかじめ確認する。
(1) 設備
(2) 技術水準
(3) 従業者(事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいう。)に対する監督・教育の状況
(4) 経営環境
(5) 特定個人情報の安全管理の状況(「個人番号を取り扱う事務の範囲の明確化」、「特定個人情報の範囲の明確化」、「事務取扱担当者の明確化」、「個人番号の削除、機器及び電子媒体等の廃棄」を含む。)
3 特定個人情報の取扱いに係る業務を外部に委託する場合は、契約書に、次に掲げる事項を明記するとともに、委託先における責任者及び業務従事者の管理及び実施体制、特定個人情報の管理の状況についての検査に関する事項等の必要な事項について、書面で確認する。
(1) 秘密保持義務に関する規定
(2) 事業所内からの特定個人情報の持出しの禁止
(3) 特定個人情報の目的外利用の禁止
(4) 再委託における条件
(5) 漏えい事案等が発生した場合の委託先の責任に関する規定
(6) 委託契約終了後の特定個人情報の返却又は廃棄に関する規定
(7) 特定個人情報を取り扱う従業者の明確化に関する規定
(8) 従業者に対する監督・教育に関する規定
(9) 契約内容の遵守状況について報告を求める規定
(10) 本法人が委託先に対して実地の調査を行うことができる規定
4 本法人は、委託先の管理については、当該担当部署を責任部署とする。
5 本法人は、委託先において情報漏えい事故等が発生した場合に、適切な対応がなされ、速やかに本法人に報告される体制になっていることを確認する。
6 委託先は、本法人の許諾を得た場合に限り、委託を受けた個人番号関係事務の全部又は一部を再委託することができる。
7 本法人は、再委託先の適否の判断のみならず、委託先が再委託先に対しても必要かつ適切な監督を行っているかどうかについても監督する。
8 本法人は、委託先が再委託をする場合、当該再委託契約の内容として、第3項と同等の規定等を盛り込ませる。
第7章 個人情報ファイル簿の作成及び公表
(個人情報ファイル簿の作成及び公表)
第36条 学長は、施行令第20条各項で定めるところにより、本法人が保有している個人情報ファイルについて、法第74条第1項第1号から第7号まで、第9号及び第10号に掲げる事項その他施行令で定める事項を記載した帳簿(以下「個人情報ファイル簿」という。別紙様式第1号)を作成し、公表するものとする。
2 前項の規定は、次の各号に掲げる個人情報ファイルについては、適用しない。
(1) 国の安全、外交上の秘密その他の国の重大な利益に関する事項を記録する個人情報ファイル
(2) 犯罪の捜査、租税に関する法律の規定に基づく犯則事件の調査又は公訴の提起若しくは維持のために作成し、又は取得する個人情報ファイル
(3) 本法人の教職員又は教職員であった者に係る個人情報ファイルであって、専らその人事、給与若しくは福利厚生に関する事項又はこれらに準ずる事項を記録するもの(当該機関が行う職員の採用試験に関する個人情報ファイルを含む。)
(4) 専ら試験的な電子計算機処理の用に供するための個人情報ファイル
(5) 前項の規定による公表に係る個人情報ファイルに記録されている記録情報の全部又は一部を記録した個人情報ファイルであって、その利用目的、記録項日及び記録範囲が当該公表に係るこれらの事項の範囲内のもの
(6) 1年以内に消去することとなる記録情報のみを記録する個人情報ファイル
(7) 資料その他の物品若しくは金銭の送付又は業務上必要な連絡のために利用する記録情報を記録した個人情報ファイルであって、送付又は連絡の相手方の氏名、住所その他の送付又は連絡に必要な事項のみを記録するもの
(8) 教職員が学術研究の用に供するためその発意に基づき作成し、又は取得する個人情報ファイルであって、記録情報を専ら当該学術研究の目的のために利用するもの
(9) 本人の数が1,000人に満たない個人情報ファイル
(10) 第3号から前号までに掲げる個人情報ファイルに準ずるものとして施行令で定める個人情報ファイル
3 第1項の規定にかかわらず、学長は、記録項目の一部若しくは法第74条第1項第5号若しくは第7号に掲げる事項を個人情報ファイル簿に記載し、又は個人情報ファイルを個人情報ファイル簿に掲載することにより、利用目的に係る事務又は事業の性質上、当該事務又は事業の適正な遂行に著しい支障を及ぼすおそれがあると認めるときは、その記録項目の一部若しくは事項を記載せず、又はその個人情報ファイルを個人情報ファイル簿に掲載しないことができるものとする。
第8章 保有個人情報等及び特定保有個人情報等の開示等
(開示、訂正及び利用停止)
第37条 何人も、法第76条、第90条及び第98条の規定に基づき、本法人の保有する自己を本人とする保有個人情報等及び特定個人情報等について、開示、訂正及び利用停止(以下「開示等」という。)の請求をする権利を有する。
2 本法人における開示等の実施に関し必要な事項は、別に定める。
第9章 行政機関等匿名加工情報の提供等
(行政機関等匿名加工情報の作成及び提供等)
第38条 学長は、この章の規定に従い、行政機関等匿名加工情報(行政機関等匿名加工情報ファイルを構成するものに限る。以下この章において同じ。)を作成することができる。
2 学長は、次の各号のいずれかに該当する場合を除き、行政機関等匿名加工情報を提供しない。
(1) 法令に基づく場合(この章の規定に従う場合を含む。)
(2) 保有個人情報を利用日的のために第三者に提供することができる場合において、当該保有個人情報を加工して作成した行政機関等匿名加工情報を当該第三者に提供する場合
3 第4条の規定にかかわらず、学長は、法令に基づく場合を除き、利用目的以外の目的のために削除情報(保有個人情報に該当するものに限る。)を自ら利用し、又は提供しない。
4 前項の「削除情報」とは、行政機関等匿名加工情報の作成に用いた保有個人情報から削除した記述等及び個人識別符号をいう。
(提案の募集に関する事項の個人情報ファイル簿への記載)
第39条 学長は、本法人が保有している個人情報ファイルが第2条第17項各号のいずれにも該当すると認めるときは、当該個人情報ファイルについては、個人情報ファイル簿に次の各号に掲げる事項を記載する。この場合における当該個人情報ファイルについての第36条第1項の規定の適用については、同項中「第10号」とあるのは、「第10号並びに第39条各号」とする。
(1) 第41条第1項の提案の募集をする個人情報ファイルである旨
(2) 第41条第1項の提案を受ける組織の名称及び所在地
(提案の募集)
第40条 学長は、個人情報保護委員会規則で定めるところにより、定期的に、本法人が保有している個人情報ファイル(個人情報ファイル簿に前条第1号に掲げる事項の記載があるものに限る。以下この章において同じ。)について、次条第1項の提案を募集するものとする。
(行政機関等匿名加工情報をその用に供して行う事業に関する提案)
第41条 前条の規定による募集に応じて個人情報ファイルを構成する保有個人情報を加工して作成する行政機関等匿名加工情報をその事業の用に供しようとする者は、学長に対し、当該事業に関する提案をすることができる。
2 前項の提案は、個人情報保護委員会規則で定めるところにより、行政機関等匿名加工情報をその用に供して行う事業に関する提案書(別紙様式第2号)(以下「提案書」という。)を学長に提出してしなければならない。
(1) 提案をする者の氏名又は名称及び住所又は居所並びに法人その他の団体にあっては、その代表者の氏名
(2) 提案に係る個人情報ファイルの名称
(3) 提案に係る行政機関等匿名加工情報の本人の数
(4) 前号に掲げるもののほか、提案に係る行政機関等匿名加工情報の作成に用いる第45条第1項の規定による加工の方法を特定するに足りる事項
(5) 提案に係る行政機関等匿名加工情報の利用の目的及び方法その他当該行政機関等匿名加工情報がその用に供される事業の内容
(6) 提案に係る行政機関等匿名加工情報を前号の事業の用に供しようとする期間
(7) 提案に係る行政機関等匿名加工情報の漏えいの防止その他当該行政機関等匿名加工情報の適切な管理のために講ずる措置
(8) 前各号に掲げるもののほか、個人情報保護委員会規則で定める事項
3 代理人によって第1項の提案をする場合にあっては、前項の提案書に委任状(別紙様式第3号)を添えて行わなければならない。
4 第2項の提案書には、次の各号に掲げる書面その他個人情報保護委員会規則で定める書類を添付しなければならない。
(1) 誓約書(別紙様式第4号)
(2) 提案に係る行政機関匿名加工情報が利用に供される事業が新たな産業の創出又は活力ある経済社会若しくは豊かな国民生活の実現に資するものであることを明らかにする書面
(欠格事由)
第42条 次の各号のいずれかに該当する者は、前条第1項の提案をすることができない。
(1) 未成年者
(2) 心身の故障により前条第1項の提案に係る行政機関等匿名加工情報をその用に供して行う事業を適正に行うことができない者として個人情報保護委員会規則で定めるもの
(3) 破産手続開始の決定を受けて復権を得ない者
(4) 禁錮以上の刑に処せられ、又は法の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から起算して2年を経過しない者
(5) 第49条の規定により行政機関等匿名加工情報の利用に関する契約を解除され、その解除の日から起算して2年を経過しない者
(6) 法人その他の団体であって、その役員のうちに前各号のいずれかに該当する者があるもの
(提案の審査等)
第43条 学長は、第41条第1項の提案があったときは、当該提案が次に掲げる基準に適合するかどうかを審査する。
(1) 第41条第1項の提案をした者が前条各号のいずれにも該当しないこと。
(2) 第41条第2項第3号の提案に係る行政機関等匿名加工情報の本人の数が、行政機関等匿名加工情報の効果的な活用の観点からみて個人情報保護委員会規則で定める数以上であり、かつ、提案に係る個人情報ファイルを構成する保有個人情報の本人の数以下であること。
(3) 第41条第2項第3号及び第4号に掲げる事項により特定される加工の方法が第45条第1項の基準に適合するものであること。
(4) 第41条第2項第5号の事業が新たな産業の創出又は活力ある経済社会若しくは豊かな国民生活の実現に資するものであること。
(5) 第41条第2項第6号の期間が行政機関等匿名加工情報の効果的な活用の観点からみて個人情報保護委員会規則で定める期間を超えないものであること。
(6) 第41条第2項第5号の提案に係る行政機関等匿名加工情報の利用の目的及び方法並びに同項第7号の措置が当該行政機関等匿名加工情報の本人の権利利益を保護するために適切なものであること。
(7) 前各号に掲げるもののほか、個人情報保護委員会規則で定める基準に適合するものであること。
2 学長は、前項の規定により審査した結果、第41条第1項の提案が前項各号に掲げる基準のいずれにも適合すると認めるときは、個人情報保護委員会規則で定めるところにより、当該提案をした者に対し、次の各号に掲げる書類を添えて、審査結果通知書(適合)(別紙様式第5-1号)により通知するものとする。
(1) 行政機関等匿名加工情報の利用に関する契約の締結の申込書(別紙様式第6号)
(2) 前号の契約の締結に関する書類
3 学長は、第1項の規定により審査した結果、第41条第1項の提案が第1項各号に掲げる基準のいずれかに適合しないと認めるときは、個人情報保護委員会規則で定めるところにより、当該提案をした者に対し、審査結果通知書(不適合)(別紙様式第5-2号)により通知するものとする。
(行政機関等匿名加工情報の利用に関する契約の締結)
第44条 前条第2項の規定による通知を受けた者は、個人情報保護委員会規則で定めるところにより、学長との間で、行政機関等匿名加工情報の利用に関する契約を締結することができる。
(行政機関等匿名加工情報の作成等)
第45条 学長は、行政機関等匿名加工情報を作成するときは、特定の個人を識別することができないように及びその作成に用いる保有個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該保有個人情報を加工する。
2 前項の規定は、本法人から行政機関等匿名加工情報の作成の委託(2以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。
(行政機関等匿名加工情報に関する事項の個人情報ファイル簿への記載)
第46条 学長は、行政機関等匿名加工情報を作成したときは、当該行政機関等匿名加工情報の作成に用いた保有個人情報を含む個人情報ファイルについては、個人情報ファイル簿に次に掲げる事項を記載する。この場合における当該個人情報ファイルについての第39条の規定により読み替えて適用する第36条第1項の規定の適用については、同項中「並びに第39条各号」とあるのは、「第39条各号並びに第46条各号」とする。
(1) 行政機関等匿名加工情報の概要として個人情報保護委員会規則で定める事項
(2) 次条第1項の提案を受ける組織の名称及び所在地
(3) 次条第1項の提案をすることができる期間
(作成された行政機関等匿名加工情報をその用に供して行う事業に関する提案等)
第47条 前条の規定により個人情報ファイル簿に同条第1号に掲げる事項が記載された行政機関等匿名加工情報をその事業の用に供しようとする者は、行政機関の長等に対し、当該事業に関する提案をすることができる。当該行政機関等匿名加工情報について第44条の規定により行政機関等匿名加工情報の利用に関する契約を締結した者が、当該行政機関等匿名加工情報をその用に供する事業を変更しようとするときも、同様とする。
2 第41条第2項から第4項及び第42条から第44条までの規定は、前項の提案について準用する。この場合において、第41条第2項中「次に」とあるのは「第1号及び第4号から第8号までに」と、同項第4号中「前号に掲げるもののほか、提案」とあるのは「提案」と、「の作成に用いる第45条第1項の規定による加工の方法を特定する」とあるのは「を特定する」と、同項第8号中「前各号」とあるのは「第1号及び第4号から前号まで」と、第43条第1項中「次に」とあるのは「第1号及び第4号から第7号までに」と、同項第7号中「前各号」とあるのは「第1号及び前3号」と、同条第2項中「前項各号」とあるのは「前項第1号及び第4号から第7号まで」と、同条第3項中「第1項各号」とあるのは「第1項第1号及び第4号から第7号まで」と読み替えるものとする。
(手数料)
第48条 第44条の規定により行政機関等匿名加工情報の利用に関する契約を学長と締結する者は、施行令で定めるところにより、実費を勘案して施行令で定める額の手数料を納めなければならない。
2 前条第2項において準用する第44条の規定により行政機関等匿名加工情報の利用に関する契約を学長と締結する者は、施行令で定めるところにより、前項の施行令で定める額を参酌して施行令で定める額の手数料を納めなければならない。
3 第44条の規定(前条第2項において準用する場合を含む。次条において同じ。)により行政機関等匿名加工情報の利用に関する契約を本法人と締結する者は、本法人の定めるところにより、利用料を納めなければならない。
4 前項の利用料の額は、実費を勘案して合理的であると認められる範囲内において、本法人が定める。
5 本法人は、前2項の規定による定めを一般の閲覧に供する。
(行政機関等匿名加工情報の利用に関する契約の解除)
第49条 学長は、第44条の規定により行政機関等匿名加工情報の利用に関する契約を締結した者が次の各号のいずれかに該当するときは、当該契約を解除することができる。
(1) 偽りその他不正の手段により当該契約を締結したとき。
(2) 第42条各号(第47条第2項において準用する場合を含む。)のいずれかに該当することとなったとき。
(3) 当該契約において定められた事項について重大な違反があったとき。
(識別行為の禁止等)
第50条 学長は、行政機関等匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該行政機関等匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該行政機関等匿名加工情報を他の情報と照合しない。
2 学長は、行政機関等匿名加工情報、第38条第4項に規定する削除情報及び第45条第1項の規定により行った加工の方法に関する情報(以下この条及び次条において「行政機関等匿名加工情報等」という。)の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、行政機関等匿名加工情報等の適切な管理のために必要な措僅を講ずる。
3 前2項の規定は、行政機関等から行政機関等匿名加工情報等の取扱いの委託(2以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。
(従事者の義務)
第51条 行政機関等匿名加工情報等の取扱いに従事する本法人の教職員若しくは教職員であった者、前条第3項の委託を受けた業務に従事している者若しくは従事していた者又は本法人において行政機関等匿名加工情報等の取扱いに従事している派遣労働者若しくは従事していた派遣労働者は、その業務に関して知り得た行政機関等匿名加工情報等の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。
(匿名加工情報の取扱いに係る義務)
第52条 本法人は、匿名加工情報(行政機関等匿名加工情報を除く。以下この条において同じ。)を第三者に提供するときは、法令に基づく場合を除き、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項日及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示する。
2 本法人は、匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは法第43条第1項の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合しない。
3 本法人は、匿名加工情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、匿名加工情報の滴切な管理のために必要な措置を講ずる。
4 前2項の規定は、行政機関等から匿名加工情報の取扱いの委託(2以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。
第10章 保有個人情報等の管理体制
(全学総括保護管理者)
第53条 本法人に、全学総括保護管理者を置き、個人情報保護を担当する理事をもって充てる。
2 全学総括保護管理者は、本法人における保有個人情報等の管理に関する事務を総括する任に当たる。
(部局等総括保護管理者)
第54条 部局等に、部局等総括保護管理者を置き、部局等の長をもって充てる。
2 部局等総括保護管理者は、当該部局等における保有個人情報等の管理に関する事務を総括する任に当たる。
(保護管理者及び保護担当者)
第55条 部局等に、次のとおり保護管理者及び保護担当者を置く。
部局等保護管理者保護担当者
学部、研究科、病院及び教育学部附属学校事務長総務係長及び学務係長
教育学部附属学校の生徒等に係る保有個人情報等については、校長附属学校係長及び校長が定める者
医学部、医学研究科及び病院に係る保有個人情報等については、上原キャンパス事務部の課長(ただし、病院における医療関係の保有個人情報等については、病院長が定める者)係長及び専門職員(ただし、病院における医療関係の保有個人情報等については、病院長が定める者)
法務研究科に係る保有個人情報等については、人文社会学部事務長法科大学院係長
附属図書館事務部の課長係長
大学附属研究施設、学内共同教育研究施設及び教職センター施設内で管理する保有個人情報等については、当該施設の長 
施設に関する事務を所掌する課で管理する保有個人情報等については、当該課の課長係長及び専門職員
運営推進組織組織内で管理する保有個人情報等については、当該組織の長 
組織に関する事務を所掌する課で管理する保有個人情報等については、当該課の課長係長及び専門職員
大学本部の各部(室)課長係長及び専門職員
上原地区キャンパス移転推進室長係長
学長企画室、基金室及び監査室室長係長
2 前項の規定にかかわらず、各教員が管理する学生・生徒等に係る保有個人情報等については、当該教員を保護担当者とする。
3 保護管理者は、当該部局等における保有個人情報等の適切な管理を確保する任に当たる。保有個人情報等を情報システムで取り扱う場合、保護管理者は、当該情報システムの管理者と連携して、その任に当たる。
4 保護担当者は、保護管理者を補佐し、保有個人情報等の管理に関する事務を担当する。
(監査責任者)
第56条 本法人に、監査責任者を一人置き、監査室長をもって充てる。
2 監査責任者は、保有個人情報等の管理の状況について監査する任に当たる。
(情報公開・個人情報保護委員会)
第57条 本法人に、国立大学法人琉球大学組織規則第26条第1項の規定に基づき、保有個人情報等の管理に係る重要事項の決定、連絡・調整等を行うため、情報公開・個人情報保護委員会(以下「委員会」という。)を置く。
2 委員会の組織及び運営については、別に定める。
(教育研修の実施)
第58条 全学総括保護管理者は、教職員に対し、保有個人情報等の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。
2 全学総括保護管理者は、保有個人情報等を取り扱う情報システムの管理に関する事務に従事する職員に対し、保有個人情報等の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行う。
3 全学総括保護管理者は、部局等総括保護管理者、保護管理者及び保護担当者に対し、部局等の現場における保有個人情報等の適切な管理のための教育研修を定期的に実施する。
4 保護管理者は、当該課等の職員に対し、保有個人情報等の適切な管理のために、全学総括保護管理者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。
(教職員の責務等)
第59条 教職員は、法の趣旨に則り、関連する法令、学内規則等の定め並びに全学総括保護管理者、部局等総括保護管理者、保護管理者及び保護担当者の指示に従い、保有個人情報等を取り扱わなければならない。
2 教職員は、法第8章の規定により、保有個人情報等の不正な取扱いに関して、罰則が科されることに留意しなければならない。
第11章 特定個人情報等の管理体制
(組織体制)
第60条 本法人に、特定個人情報等の管理に関する責任を担う者として総括管理責任者を置き、第53条第1項に規定する全学総括保護管理者をもって充てる。
2 本法人に、特定個人情報等の取扱いを管理する者として、取り扱う個人番号関係事務ごとに事務管理責任者を置く。
3 本法人に、特定個人情報等を取り扱う者として事務取扱担当者を置く。
4 特定個人情報を取り扱う各部局等に個人番号が付された書類等を受領する担当者(以下「受領担当者」という。)を置くことができる。
5 前3項に規定する者及びその所掌する個人番号関係事務の範囲は、別表第1号のとおりとする。
6 本法人に、特定個人情報等の管理、運用及び取扱状況を監査する責任を担う者として監査責任者を置き、監査室長をもって充てる。
(総括管理責任者の責務)
第61条 総括管理責任者は、この規則を遵守するとともに、事務管理責任者、事務取扱担当者及び受領担当者にこれを遵守させるための教育、安全対策の実施並びに周知徹底等の措置を実施する責任を負う。
2 総括管理責任者は、次の各号に掲げる業務を所管する。
(1) 特定個人情報の安全管理に関する教育・研修の企画及び実施
(2) 事務管理責任者の指名、監督及び管理
(3) 特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報を取り扱う事務を実施する区域(以下「取扱区域」という。)の設定及び管理
(4) 前各号に掲げるもののほか、本法人全体における特定個人情報の安全管理
(事務管理責任者の責務)
第62条 事務管理責任者は、この規則を遵守するとともに、事務取扱担当者及び受領担当者がこれを遵守しているかを常時把握し、管理する責任を負う。
2 事務管理責任者は、次の各号に掲げる業務を所管する。
(1) 特定個人情報の利用申請の承認及び管理
(2) 事務取扱担当者及び受領担当者の監督及び管理
(3) 特定個人情報の運用状況の把握及び管理
(4) 特定個人情報ファイルの取扱い状況の把握及び管理
(5) 委託先における特定個人情報の取扱い状況等の監督
(特定個人情報の運用状況の記録)
第63条 事務取扱担当者は、この規則に基づく運用を行うとともに、その状況を確認するため、以下の項目につき、システムログ及び利用実績を記録し、事務管理責任者がこれを管理、保管する。
(1) 特定個人情報の取得及び特定個人情報ファイルへの入力
(2) 特定個人情報ファイルの利用・出力状況の記録
(3) 書類及び特定個人情報記録媒体等の持ち運びの記録
(4) 特定個人情報ファイルの削除・廃棄記録
(取扱い状況の確認)
第64条 事務取扱担当者は、特定個人情報ファイルの取扱い状況を確認するため、以下の事項を特定個人情報管理台帳に記録し、事務管理責任者がこれを管理、保管する。
(1) 特定個人情報ファイルの種類、名称
(2) 特定個人情報ファイルを利用する事務取扱担当者
(3) 特定個人情報ファイルの利用目的
(4) 特定個人情報ファイルに記録される項目及び個人の範囲
(5) 特定個人情報ファイルに記録される特定個人情報等の収集方法
(6) 特定個人情報ファイルの削除・廃棄状況
(情報漏えい事案等への対応)
第65条 特定個人情報の漏えい、滅失、毀損による事故その他の番号法違反の事案又は番号法違反のおそれのある事案(以下「漏えい事案等」という。)を認識した場合に、その事案等を認識した職員は、直ちに当該特定個人情報を管理する事務管理責任者に報告する。
2 事務管理責任者は、前項に規定する報告を受けた場合は、被害の拡大防止等必要な措置を速やかに講じ、あわせて総括管理責任者にその旨を報告する。
3 総括管理責任者は、前項の規定に基づく報告を受けた場合において漏えい事案等があると判断した場合は、当該事案の内容、経緯、被害状況等を学長に速やかに報告する。
4 総括管理責任者は、漏えい事案等が発生したと判断した場合は、その事実関係を調査し、情報漏えい等のおそれが把握できた場合には、その原因を究明し、その影響の範囲を特定する。
5 総括管理責任者は、前項で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。
6 総括管理責任者は、漏えい事案等が発生したと判断した場合は、影響を受ける可能性のある本人に対し、その事実関係等について速やかに通知し、又は容易に知り得る状態に置く。
7 総括管理責任者は、事案の内容等に応じて、事実関係及び再発防止策等について、速やかに公表する。
(文部科学省への報告)
第66条 総括管理責任者は、漏えい事案等を把握した場合には、事実関係及び再発防止策等について、速やかに、文部科学省に報告する。
2 総括管理責任者は、特定個人情報等に関する次の重大事案又はそのおそれのある事案が発覚した時点で、直ちにその旨を文部科学省に報告する。
(1) 個人番号を取り扱う情報システムで使用するネットワークから外部に情報漏えい等があった場合(不正アクセス又は不正プログラムによるものを含む。)
(2) 事案における特定個人情報の本人の数が101人以上である場合
(3) 不特定多数の人が閲覧できる状態になった場合
(4) 職員等が不正の目的で持ち出したり利用したりした場合
(5) 前各号に掲げるもののほか、本法人において重大事案と判断した場合
(安全管理措置の見直し)
第67条 監査責任者は、本法人の特定個人情報等の適正な取扱いに関し、この規則、番号法、個人情報保護法その他関係法令の遵守状況について定期に及び必要に応じ随時に監査し、総括管理責任者に報告する。
2 総括管理責任者は、前項の報告に基づき、安全管理措置の評価、見直し及び改善に取り組む。
(事務取扱に関する監督)
第68条 総括管理責任者及び事務管理責任者は、特定個人情報等がこの規程に基づき適正に取り扱われるよう、事務取扱担当者及び受領担当者に対して必要かつ適切な監督を行う。
(事務取扱担当者及び受領担当者の責務)
第69条 事務取扱担当者は、特定個人情報の「取得」、「利用」、「保管」、「提供」、「廃棄」又は委託処理等、特定個人情報を取り扱う業務に従事するに当たっては、特定個人情報を保護するため、この規則、番号法、個人情報保護法その他関係法令を遵守するとともに、総括管理責任者及び事務管理責任者の指示に従わなければならない。
2 事務取扱担当者及び受領担当者は、特定個人情報の漏えい等、この規則、番号法、個人情報保護法その他関係法令に違反している事実又はそのおそれを把握した場合には、速やかに事務管理責任者を通じて総括管理責任者に報告する。
3 各部局等において個人番号が記載された書類等の受領をする受領担当者は、自分の手元に個人番号(個人番号が記された書面の写し、メモ等を含む。)を残してはならない。
(教育・研修)
第70条 総括管理責任者は、事務管理責任者、事務取扱担当者及び受領担当者にこの規則を遵守させるために必要な教育を実施する。
2 総括管理責任者及び事務管理責任者は、事務取扱担当者のうち、情報システムの管理に関する事務に従事するものに対し、特定個人情報等の適切な管理のため、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行う。
3 事務取扱担当者及び受領担当者は、前2項の規定に基づく教育を受けなければならない。
4 総括管理責任者は、事務管理責任者に対し、その担当部署における特定個人情報等の適正な管理のために必要な教育研修を行う。
5 総括管理責任者は、特定個人情報ファイルを取り扱う事務に従事する者に対して、特定個人情報の適正な取扱いを確保するために必要なサイバーセキュリティ(サイバーセキュリティ基本法(平成26年法律第104号)第2条に規定するサイバーセキュリティをいう。)に関する教育研修を行う。
(罰則)
第71条 この規則、番号法、個人情報保護法その他関係法令に規定する特定個人情報等の規定に違反した場合の本法人における罰則については、国立大学法人琉球大学職員懲戒等規程等によるものとする。
第12章 保有個人情報等の安全管理措置
(アクセス制限)
第72条 保護管理者は、保有個人情報等の秘匿性等その内容に応じて、当該保有個人情報等にアクセスする権限を有する教職員の範囲と権限の内容を、当該教職員が業務を行う上で必要最小限の範囲に限る。
2 アクセス権限を有しない教職員は、保有個人情報等にアクセスしてはならない。
3 教職員は、アクセス権限を有する場合であっても、業務上の目的以外の目的で保有個人情報等にアクセスしてはならず、アクセスは必要最小限としなければならない。
(複製等の制限)
第73条 教職員が業務上の目的で保有個人情報等を取り扱う場合であっても、保護管理者は、次の各号に掲げる行為については、当該保有個人情報の秘匿性等その内容に応じて、当該行為を行うことができる場合を必要最小限に限定し、教職員は、保護管理者の指示に従い行う。
(1) 保有個人情報等の複製
(2) 保有個人情報等の送信
(3) 保有個人情報等が記録されている媒体の外部への送付又は持ち出し
(4) 前各号に掲げるもののほか、保有個人情報等の適切な管理に支障を及ぼすおそれのある行為
(誤りの訂正等)
第74条 教職員は、保有個人情報等の内容に誤り等を発見した場合は、保護管理者の指示に従い、訂正等を行う。
(媒体の管理等)
第75条 教職員は、保護管理者の指示に従い、保有個人情報等が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫への保管、施錠等を行う。また、保有個人情報等が記録されている媒体を外部へ送付し又は持ち出す場合には、原則として、パスワード等(パスワード、ICカード、生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講ずる。
(誤送付等の防止)
第76条 教職員は、保有個人情報等を含む電磁的記録又は媒体の誤送信・誤送付、誤交付、又はウェブサイト等への誤掲載を防止するため、個別の事務・事業において取り扱う個人情報の秘匿性等その内容に応じ、複数の職員による確認やチェックリストの活用等の必要な措置を講ずる。
(廃棄等)
第77条 教職員は、保有個人情報等又は保有個人情報等が記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合には、保護管理者の指示に従い、当該保有個人情報等の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行う。
2 前項の場合において、特に、保有個人情報等の消去や保有個人情報等が記録されている媒体の廃棄を委託する場合(2以上の段階にわたる委託を含む。)には、必要に応じて教職員が消去及び廃棄に立ち会い、又は写真等を付した消去及び廃棄を証明する書類を受け取るなど、委託先において消去及び廃棄等が確実に行われていることを確認する。
(保有個人情報等の取扱状況の記録)
第78条 保護管理者は、保有個人情報等の秘匿性等その内容に応じて、台帳等を整備して、当該保有個人情報等の利用及び保管等の取扱いの状況について記録する。
(外的環境の把握)
第79条 保有個人情報等が、外国において取り扱われる場合、当該外国の個人情報の保護に関する制度等を把握した上で、保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。
第13章 情報システムにおける安全の確保等
(アクセス制御)
第80条 保護管理者は、保有個人情報等(情報システムで取り扱うものに限る。以下本章(第92条を除く。)において同じ。)の秘匿性等その内容に応じて、(認証機能)を設定する等のアクセス制御のために必要な措置を講ずる。
2 保護管理者は、前項の措置を講ずる場合は、パスワード等の管理に関する定めを整備(その定期又は随時の見直しを含む。)するとともに、パスワード等の読取防止等を行うために必要な措置を講ずる。
(アクセス記録)
第81条 保護管理者は、保有個人情報等の秘匿性等その内容に応じて、当該保有個人情報等へのアクセス状況を記録し、その記録(以下「アクセス記録」という。)を1月間保存し、及びアクセス記録を定期的に分析するために必要な措置を講ずる。
2 保護管理者は、アクセス記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講ずる。
(アクセス状況の監視)
第82条 保護管理者は、保有個人情報等の秘匿性等その内容及びその量に応じて、当該保有個人情報等への不適切なアクセスの監視のため、保有個人情報等を含む又は含むおそれがある一定量以上の情報が情報システムからダウンロードされた場合に警告表示がなされる機能の設定、当該設定の定期的確認等の必要な措置を講ずる。
(管理者権限の設定)
第83条 保護管理者は、保有個人情報等の秘匿性等その内容に応じて、情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため、当該特権を最小限とする等の必要な措置を講ずる。
(外部からの不正アクセスの防止)
第84条 保護管理者は、保有個人情報等を取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアーウォールの設定による経路制御等の必要な措置を講ずる。
(不正プログラムによる漏えい等の防止)
第85条 保護管理者は、不正プログラムによる保有個人情報等の漏えい、滅失又は毀損(以下「漏えい等」という。)の防止のため、ソフトウェアに関する公開された脆弱性の解消、把握された不正プログラムの感染防止等に必要な措置(導入したソフトウェアを常に最新の状態に保つことを含む。)を講ずる。
(情報システムにおける保有個人情報等の処理)
第86条 教職員は、保有個人情報等について、一時的に加工等の処理を行うため複製等を行う場合には、その対象を必要最小限に限り、処理終了後は不要となった情報を速やかに消去する。
2 保護管理者は、前項に規定する複製等を行った場合には、保有個人情報等の秘匿性等その内容に応じて随時、消去等の実施状況を重点的に確認する。
(暗号化)
第87条 保護管理者は、保有個人情報等の秘匿性等その内容に応じて、暗号化のために必要な措置を講ずる。
2 教職員は、前項の規定を踏まえ、その処理する保有個人情報等について、当該保有個人情報等の秘匿性等その内容に応じて、適切に暗号化を行う。
(記録機能を有する機器・媒体の接続制限)
第88条 保護管理者は、保有個人情報等の秘匿性等その内容に応じて、当該保有個人情報等の漏えい等の防止のため、スマートフォン、USBメモリ等の記録機能を有する機器・媒体の情報システム端末等への接続の制限(当該機器の更新への対応を含む。)等の必要な措置を講ずる。
(端末の限定)
第89条 保護管理者は、保有個人情報等の秘匿性等その内容に応じて、その処理を行う端末を限定するために必要な措置を講ずる。
(端末の盗難防止等)
第90条 保護管理者は、端末の盗難又は紛失の防止のため、端末の固定、執務室の施錠等の必要な措置を講ずる。
2 職員は、保護管理者が必要であると認めるときを除き、端末を外部へ持ち出し、又は外部から持ち込んではならない。
(第三者の閲覧防止)
第91条 教職員は、端末の使用に当たっては、保有個人情報等が第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講ずる。
(入力情報の照合等)
第92条 教職員は、情報システムで取り扱う保有個人情報等の重要度に応じて、入力原票と入力内容との照合、処理前後の当該保有個人情報等の内容の確認、既存の保有個人情報等との照合等を行う。
(バックアップ)
第93条 保護管理者は、保有個人情報等の重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講ずる。
(情報システム設計書等の管理)
第94条 保護管理者は、保有個人情報等に係る情報システムの設計書、構成図等の文書について外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講ずる。
第14章 情報システム室等の安全管理
(入退管理)
第95条 保護管理者は、保有個人情報等を取り扱う基幹的なサーバ等の機器を設置する室その他の区域(以下「情報システム室等」という。)に立ち入る権限を有する者を定めるとともに、用件の確認、入退の記録、部外者についての識別化、部外者が立ち入る場合の職員の立会い又は監視設備による監視、外部電磁的記録媒体等の持込み、利用及び持ち出しの制限又は検査等の措置を講ずる。また、保有個人情報等を記録する媒体を保管するための施設を設けている場合においても、必要があると認めるときは、同様の措置を講ずる。
2 保護管理者は、必要があると認めるときは、情報システム室等の出入口の特定化による入退の管理の容易化、所在表示の制限等の措置を講ずる。
3 保護管理者は、情報システム室等の入退の管理について、必要があると認めるときは、立入りに係る認証機能を設定し、及びパスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。)、パスワード等の読取防止等を行うために必要な措置を講ずる。
(情報システム室等の管理)
第96条 保護管理者は、外部からの不正な侵入に備え、情報システム室等に施錠装置、警報装置及び監視設備の設置等の措置を講ずる。
2 保護管理者は、災害等に備え、情報システム室等に、耐震、防火、防煙、防水等の必要な措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の措置を講ずる。
第15章 サイバーセキュリティの確保
(サイバーセキュリティに関する対策の基準等)
第97条 個人情報を取り扱い、又は情報システムを構築し、若しくは利用するに当たっては、サイバーセキュリティ基本法第26条第1項第2号に掲げられたサイバーセキュリティに関する対策の基準等を参考として、取り扱う保有個人情報等の性質等に照らして適正なサイバーセキュリティの水準を確保する。
第16章 安全管理上の問題への対応
(事案の報告及び再発防止措置)
第98条 保有個人情報等の漏えい等安全確保の上で問題となる事案又は問題となる事案の発生のおそれを認識した場合に、その事案等を認識した教職員は、直ちに当該保有個人情報等を管理する保護管理者に報告する。
2 保護管理者は、被害の拡大防止又は復旧等のために必要な措置を速やかに講ずる。ただし、外部からの不正アクセスや不正プログラムの感染が疑われる当該端末等のLANケーブルを抜くなど、被害拡大防止のため直ちに行い得る措置については、直ちに行う(教職員に行わせることを含む。)ものとする。
3 保護管理者は、事案の発生した経緯、被害状況等を調査し、部局等総括保護管理者に報告し、部局等総括保護管理者は全学総括保護管理者に報告する。ただし、特に重大と認める事案が発生した場合には、直ちに当該事案の内容等について部局等総括保護管理者に報告し、部局等総括保護管理者は全学総括保護管理者に報告する。
4 全学総括保護管理者は、前項の規定に基づく報告を受けた場合には、事案の内容等に応じて当該事案の内容、経緯、被害状況等を学長に速やかに報告する。
5 全学総括保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずる。
(法に基づく報告及び通知)
第99条 全学総括保護管理者は、漏えい等が生じた場合であって法第68条第1項の規定による個人情報保護委員会への報告及び同条第2項の規定による本人への通知を要する場合には、前条の報告及び措置と並行して、速やかに所定の手続を行うとともに、個人情報保護委員会による事案の把握等に協力する。
(公表等)
第100条 全学総括保護管理者は、法第68条第1項の規定による個人情報保護委員会への報告及び同条第2項の規定による本人への通知を要しない場合であっても、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る保有個人情報等の本人への連絡等の措置を講ずる。また、国民の不安を招きかねない事案(公表を行う漏えい等が発生したとき、個人情報保護に係る学内規則に対する違反があったとき、委託先において個人情報の適切な管理に関する契約条項等に対する違反があったとき等)については、当該事案の内容、経緯、被害状況等について、速やかに個人情報保護委員会に情報提供を行う。
第17章 特定個人情報等の安全管理措置
(管理区域及び取扱区域)
第101条 総括管理責任者は、特定個人情報等の漏えい等を防止するため、管理区域及び取扱区域を設定し、次の各号に従い物理的な安全管理措置を講じる。
(1) 管理区域
  管理区域であることを明示するとともに、入退室管理及び管理区域へ持ち込む機器及び電子媒体等の制限を行う。
(2) 取扱区域
  事務取扱担当者以外の者の往来が少ない場所を割り当て、取扱区域であることを明示するとともに、壁、間仕切り等を設置し、事務取扱担当者以外の者が出入りすることを制限するものとする。ただし、総括管理責任者が特定個人情報の保護に当たって問題ないと認めた場合はこの限りではない。
(機器及び電子媒体等の盗難等の防止)
第102条 本法人は、管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体又は書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。
(1) 特定個人情報を取り扱う機器、電子媒体又は書類等は、施錠できるキャビネット・書庫等に保管する。
(2) 特定個人情報ファイルを取り扱う情報システム機器は、セキュリティワイヤー等により固定する。
2 事務取扱担当者が短時間であっても管理区域及び取扱区域を離れるときは、前項各号の定める措置を遵守し、特定個人情報の盗難等を防止しなければならない。
(電子媒体等を持ち運ぶ場合の漏えい等の防止)
第103条 本法人は、特定個人情報が記録された電子媒体又は書類等の持ち運び(特定個人情報を、管理区域又は取扱区域の外へ移動させることをいい、学内での移動も含む。)は次に掲げる場合を除き禁止する。
(1) 個人番号関係事務に係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
(2) 行政機関等への届出書等の提出等、本法人が実施する個人番号関係事務に関して個人番号利用事務実施者に対しデータ又は書類を提出する場合
(3) 各部局等で取りまとめた個人番号関係事務に必要な特定個人情報を特定個人情報関係事務実施部署に移動する場合
2 前項により特定個人情報が記録された電子媒体又は書類等の持ち運びを行う場合には、容易に個人番号が判明しない措置の実施、施錠できる搬送容器の使用、追跡可能な移送手段の利用等の安全策を講じるものとする。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従うものとする。
(個人番号の削除及び電子媒体等の廃棄)
第104条 事務取扱担当者は、特定個人情報等が記録された電子媒体等及び書類等の保存期間が満了した場合は、速やかに復元不可能な手段で削除又は廃棄する。
2 事務管理責任者は、事務取扱担当者が個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した内容について記録を保存する。
3 前2項に規定する削除又は廃棄の作業を外部に委託する場合は、委託先が削除又は廃棄したことについて証明書等により確認する。
(アクセス制御)
第105条 事務管理責任者は、情報システムを使用して個人番号関係事務を行う場合は、当該事務に係る事務取扱担当者及び取り扱う特定個人情報等の範囲を限定するために、以下のとおり適正なアクセス制御を行う。
(1) 個人番号と紐付けてアクセスできる情報の範囲を限定する。
(2) 特定個人情報ファイルを取り扱う情報システムを限定する。
(3) ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる事務取扱担当者を限定する。
(アクセス者の識別と認証)
第106条 事務管理責任者は、特定個人情報等を取り扱う情報システムに対して、ユーザーID、パスワード及び磁気・ICカード等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づいて認証する措置を講じる。
2 事務取扱担当者が異動等によって変更となった場合には、即時にパスワード及び磁気・ICカードを変更する等、アクセス権の変更設定を行わなければならない。
3 アクセス権を有しない者は、いかなる理由があっても、特定個人情報等を取り扱う情報システムにアクセスしてはならない。
(情報漏えい等の防止)
第107条 本法人は、特定個人情報をインターネット等により外部に送信する場合、通信経路における情報漏えい等及び情報システムに保存されている特定個人情報等の情報漏えい等を防止するための措置を講ずる。
第18章 監査及び点検の実施
(監査)
第108条 監査責任者は、保有個人情報等の適切な管理を検証するため、第3条から前条までに規定する措置の状況を含む本法人における保有個人情報等の管理の状況について、定期に、及び必要に応じ随時に監査(外部監査を含む。以下同じ。)を行い、その結果を全学総括保護管理者に報告する。
(点検)
第109条 保護管理者は、当該部局等における保有個人情報等の記録媒体、処理経路、保管方法等について、定期に、及び必要に応じ随時に点検を行い、その結果を部局等総括保護管理者に報告する。
2 部局等総括保護管理者は、前項の点検結果について、全学総括保護管理者に報告する。
(評価及び見直し)
第110条 全学総括保護管理者、部局等総括保護管理者及び保護管理者は、監査又は点検の結果等を踏まえ、実効性等の観点から保有個人情報等の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずる。
第19章 病院における管理体制
第111条 この規則に定めるもののほか、病院における医療関係の保有個人情報等の適切な管理のための措置に関しては、病院長が別に定める。
第20章 文部科学省との連携
(文部科学省との連携)
第112条 本法人は、「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定)4を踏まえ、文部科学省と緊密に連携して、その保有する個人情報の適切な管理を行う。
第21章 その他
(苦情の処理)
第113条 本法人は、個人情報の取扱いに関する苦情の滴切かつ迅速な処理に努める。
2 本法人は、前項の目的を達成するために必要な体制の整備に努める。
(雑則)
第114条 この規則に定めるもののほか、保有個人情報等及び特定個人情報等の適切な管理に関し必要な事項は、学長が別に定める。
(改廃)
第115条 この規則の改廃は、教育研究評議会の審議及び役員会の議を経て学長が行う。
附 則
1 この規則は、令和4年4月1日から施行する。
2 国立大学法人琉球大学の保有する個人情報及び非識別加工情報等の適切な管理のための措置に関する規則(平成17年3月15日制定)は、廃止する。
3 国立大学法人琉球大学特定個人情報管理規則(平成27年11月18日制定)は、廃止する。
4 国立大学法人琉球大学における非識別加工情報の提供に関する規程(平成30年2月28日制定)は、廃止する。
別表第1号(第60条第5項関係)
取り扱う事務の範囲特定個人情報関係事務実施部署事務管理責任者事務取扱担当者受領担当者
文部科学省共済組合関係事務総務部
 職員課
職員課長共済係各部局等
 総務及び会計担当係
健康保険及び厚生年金保険届出並びに申請事務共済係
雇用保険届出及び申請事務給与支給係
財産形成貯蓄制度の取引に関する法定書類作成・提供事務共済係
国民年金の第3号被保険者届出事務共済係
給与所得及び退職所得の源泉徴収事務給与支給係
給与所得の源泉徴収事務
(職員課の取り扱う事務を除く。)
財務部
 経理課
経理課長旅費・謝金係
報酬及び料金等の支払調書作成事務旅費・謝金係
不動産の使用料等の支払調書作成事務財務部
 財務企画課
 経理課
財務企画課長
経理課長
資産管理係
契約第三係
不動産等の譲受けの対価の支払調書作成事務財務部
 財務企画課
財務企画課長資産管理係
別紙様式第1号(第36条第1項関係)
個人情報ファイル簿

別紙様式第2号(第41条第2項関係)
行政機関等匿名加工情報をその用に供して行う事業に関する提案書

別紙様式第3号(第41条第3項関係)
委任状

別紙様式第4号(第41条第4項第1号関係)
誓約書

別紙様式第5-1号(第43条第2項関係)
審査結果通知書(適合)

別紙様式第5-2号(第43条第3項関係)
審査結果通知書(不適合)

別紙様式第6号(第43条第2項第1号関係)
行政機関等匿名加工情報の利用に関する契約の締結の申込書