公立大学法人山口県立大学特定個人情報の取扱規程

○公立大学法人山口県立大学特定個人情報の取扱規程

(平成27年12月16日第27-1号)

改正

令和2年4月1日

第1章　総則(第1条－第4条)

第2章　安全管理措置　組織的・人的安全管理措置(第5条－第12条)

第2章の2　物理的安全管理措置(第13条－第16条)

第2章の3　技術的安全管理措置(第17条－第20条)

第3章　特定個人情報の収集(第21条－第26条)

第4章　特定個人情報の利用(第27条・第28条)

第5章　特定個人情報の保管(第29条・第30条)

第6章　特定個人情報の提供(第31条)

第7章　特定個人情報の開示、訂正及び利用停止等(第32条)

第8章　個人番号関係事務の委託の取扱い(第33条)

第9章　その他(第34条)

附則

第1章　総則

(趣旨)

第1条　この規程は、公立大学法人山口県立大学（以下「法人」という。）が、「行政手続における特定の個人を識別するための番号の利用等に関する法律」（平成25年法律第27号。以下「番号法」という。）、「個人情報の保護に関する法律」（平成15年法律第57号。以下「個人情報保護法」という）、「山口県個人情報保護条例」（平成13年山口県条例第43号。以下「個人情報保護条例」という。）、「公立大学法人山口県立大学が取り扱う個人情報の保護等に関する規則」（平成18年規程第3－5号）及び「特定個人情報の適正な取扱に関するガイドライン（行政機関等・地方公共団体等編）(平成２６年１２月１８日付け特定個人情報保護委員会公布。以下「ガイドライン」という。)」に基づき、法人における特定個人情報の適正な取扱いを確保するために定めるものとする。

(定義)

第2条　この規程における用語の定義は、番号法その他関係法令等に定めるところによる。

(個人番号を取り扱う事務の範囲)

第3条　法人において個人番号を取り扱う事務の範囲は以下のとおりとする。

(1)　役員及び教職員（臨時及び非常勤の事務補助員、嘱託員等を含む。以下同じ。）に係る個人番号関係事務

①　給与所得・退職所得の源泉徴収事務

②　公立学校共済組合及び地方職員共済組合への各種届出・申請事務

③　健康保険及び厚生年金保険届出・申請事務

(2)　役員及び教職員の配偶者に係る個人番号関係事務

①　国民年金の第3号被保険者の届出事務

(3)　第1号に規定する以外の個人に係る個人番号関係事務

①　給与所得の源泉徴収事務

④　公立学校共済組合及び地方職員共済組合への届出・申請事務

⑤　健康保険の届出・申請事務

④　報酬、料金、契約及び賞金の支払調書作成事務

⑤　不動産の使用料等の支払調書作成事務

⑥　不動産等の譲受けの対価の支払調書作成事務

(特定個人情報の範囲)

第4条　前条において、法人が個人番号を取り扱う事務において使用される個人番号及び個人番号と関連づけて管理される特定個人情報は以下のとおりとする。

(1)　役員、教職員又はそれ以外の個人から、番号法第16条に基づく本人確認の措置を実施する際に提示を受けた本人確認書類（個人番号カード、通知カード、身元確認書類等）の写し

[第16条]

(2)　法人が行政機関等に提出するために作成した届出書等及びこれらの控え

(3)　法人が届出等を作成する上で役員、教職員又はそれ以外の個人から受領する個人番号が記載された申告書等

(4)　その他個人番号と関連づけて保存される情報

第2章　安全管理措置　組織的・人的安全管理措置

(組織体制)

第5条　法人に、特定個人情報の管理に関する責任を担う者（以下「事務取扱責任者」という。）を置き、事務局長をもって充てる。

2　法人内において、特定個人情報を取り扱う各部署における特定個人情報の管理を担う者（以下「事務取扱管理者」という。）を置き、総務部長をもって充てる。

3　総務部内において、特定個人情報を取り扱う事務に従事する者（以下「事務取扱担当者」という。）を置き、事務取扱責任者が指名する。なお、事務取扱担当者以外は特定個人情報に係る事務（移送のみの事務を除く。）に携わることはできないものとする。

(事務取扱責任者の責務)

第6条　事務取扱責任者については、この規程を遵守するとともに、事務取扱管理者及び事務取扱担当者にこれを遵守させるための教育、安全対策の実施並びに周知徹底等の措置を実施しなければならない。

2　事務取扱責任者は、事務取扱管理者及び事務取扱担当者について、第1条に掲げる関係法令、ガイドライン及びこの規程に反する行為があるなど、特定個人情報を取り扱うに適していないと判断した場合には、当該者が特定個人情報の取扱いに携わることを禁じることができる。

この場合、前条第２項及び第３項の規定にかかわらず、代わりの者を指名することができる。

[第1条]

3　事務取扱責任者は次の業務を所管する。

(1)　特定個人情報の安全管理に関する教育・研修の企画及び実施

(2)　特定個人情報の取扱状況の把握及び管理

(3)　事務取扱管理者の監督

(4)　事務取扱担当者の指名

(5)　その他、法人全体における特定個人情報の安全管理

(事務取扱管理者の責務)

第7条　事務取扱管理者は、第1条に掲げる関係法令、ガイドライン及びこの規程を遵守するとともに、事務取扱担当者がこれを遵守して業務が行われるよう必要かつ適切な監督を行わなければならない。

[第1条]

2　事務取扱管理者は次の業務を所管する。

(1)　事務取扱担当者の監督

(2)　第13条に定める特定個人情報に関する管理区域及び取扱区域の設定及び管理

[第13条]

(3)　委託先における特定個人情報の取扱状況等の監督

(事務取扱担当者の責務)

第8条　事務取扱担当者は、第1条に掲げる関係法令、ガイドライン及びこの規程を遵守し、業務を行わなければならない。

[第1条]

2　事務取扱担当者は特定個人情報の漏えい等、第1条に掲げる関係法令、ガイドライン及びこの規程に違反している事実若しくは、その兆候を把握した場合には、すみやかに事務取扱管理者を通じて事務取扱責任者に報告するものとする。

[第1条]

(取扱状況の記録)

第9条　事務取扱担当者は、特定個人情報の取扱状況を確認するため、次の各号に掲げる事項について実績の記録等を行うものとするものとする。

(1)　行政機関等に提出した個人番号記載書類等についての特定個人情報ファイル管理簿への記録

(2)　個人番号の取得、廃棄等についての個人番号管理台帳への記録

(3)　特定個人情報ファイルの利用についての特定個人情報ファイル利用申請簿への記録

(4)　特定個人情報ファイルを情報システムで取り扱う場合は、情報システムへのログイン実績及びアクセスログ等の利用状況の記録

2　前項に規定する記録については、個人番号は含まないものとする。

(情報漏えい事案等への対応)

第10条　教職員は、保有する特定個人情報等の漏えい、滅失又は毀損等（以下「漏えい事案等」という。）の事案の発生又は兆候を把握した場合及び事務取扱担当者が取扱規程等に違反している事実又は兆候を把握した場合等、安全確保上で問題となる事案の発生を把握した場合は、すみやかに当該特定個人情報等を管理する事務取扱管理者に報告をしなければならない。

報告を受けた事務取扱管理者は、その第一報を事務取扱責任者に報告をしなければならない。

2　事務取扱責任者は、漏えい事案等が発生したと判断した場合又は、そのおそれがあると判断した場合は、理事長に報告するともに、すみやかに調査を行い、漏えい事案等の防止又は損害を最小限に抑えなければならない。

3　事務取扱責任者は、漏えい事案等が発生した場合は、原因究明及び影響の範囲を把握し、再発防止に向け対策を講じるものとする。

4　事務取扱責任者は、漏えい事案等が発生したと判断した場合には、その事実をすみやかに本人に通知するものとする。

5　番号法違反又は番号法違反のおそれのある事案を把握した場合には、事実関係及び再発防止策等について、すみやかに特定個人情報保護委員会に報告を行うとともに、法人ホームページ等で公表するものとする。

また、次に掲げる重大事案又は重大事案となるおそれがある場合は、直ちにその旨を特定個人情報保護委員会に報告を行うとともに、法人ホームページ等で公表するものとする。

(1)　情報提供ネットワークシステム又は個人番号を取り扱う情報システムで使用するネットワークから外部に情報漏えい等があった場合（不正アクセス又は不正プログラミングによるものを含む）

(2)　特定個人情報が不特定多数の人が閲覧できる状態になった場合

(3)　教職員等が不正の目的で持ち出した又はそのおそれがある事案が発覚した場合

(4)　その他重大事案と判断される場合

(苦情への対応)

第11条　法人における第1条に掲げる関係法令、ガイドライン又は本規程に基づく特定個人情報の取扱いに関して、本人から苦情があった場合は、速やかにその旨を事務取扱責任者に報告し、適切に対応をするものとする。法人における苦情の窓口は総務部に設置する。

[第1条]

(安全管理措置の点検及び改善)

第12条　事務取扱責任者は、定期に又は臨時に特定個人情報の取扱状況の記録について確認を行うものとする。点検の結果、安全管理上の問題が認められた場合は、すみやかに改善措置を講じるものとする。

第2章の2　物理的安全管理措置

(管理区域及び取扱区域)

第13条　事務取扱管理者は、特定個人情報に関する書類及びファイルを保管する区域（以下「管理区域」という。）及び特定個人情報を取り扱う事務を行う区域（以下「取扱区域」という。）を設定する。

2　特定個人情報を取り扱う事務を行う際には、取扱区域に事務取扱担当者以外の者が立ち入ることを禁じる。

ただし、事務取扱管理者が特定個人情報の保護に当たって問題が無いと認めた場合はこの限りではない。

(盗難等の防止)

第14条　法人は、管理区域及び取扱区域において、特定個人情報を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。

(1)　特定個人情報を取り扱う機器、電子媒体又は書類等は、管理区域内の施錠できるキャビネット等に保管することとし、事務取扱管理者が使用状況を把握し、管理するものとする。

(2)　特定個人情報ファイルを取り扱う情報システム機器はセキュリティワイヤー等により固定する。

(3)　事務取扱担当者が、短時間であっても管理区域及び取扱区域を離れる際は、前各号で定める措置を遵守し、特定個人情報の盗難等を防止しなければならない。

(特定個人情報関係書類及び電子媒体等を持ち出す場合の漏えい等の防止)

第15条　法人は、特定個人情報が記録された電子媒体又は書類等の持出し（特定個人情報を管理区域又は取扱区域の外へ移動させることをいい、法人内での移動も含む。）は次に掲げる場合を除き禁止する。

(1)　行政機関等への届出書類等の提示等、法人が実施する個人番号関係事務に関して個人番号利用事務実施者にデータ又は書類を提出する場合

(2)　個人番号関係事務に係る外部委託先に、委託事務を実施するうえで必要と認められる範囲内でデータ又は書類を提供する場合

2　前項により特定個人情報が記録された電子媒体又は書類等の持出しを行う場合には、以下の安全策を講じるものとする。

ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従うものとする。

(1)　特定個人情報が記録された電子媒体を持ち出す場合

①　持出しデータの暗号化

②　持出しデータのパスワードによる保護

③　追跡可能な移送手段の利用

(2)　特定個人情報が記載された書類等を持ち出す場合

第16条　特定個人情報の廃棄及び削除段階における記録媒体等の管理は次のとおりとする。

(1)　特定個人情報が記録された書類等を廃棄する場合は、個人番号を識別できないように裁断、焼却又は溶解等の手段を用いなければならない。

(2)　特定個人情報が記録された機器及び電子媒体等を廃棄する場合は、専用データ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を用いなければならない。

(3)　特定個人情報ファイル中の個人番号又は一部の特定個人情報を削除する場合は、容易に復元できない手段を用いなければならない。

(4)　特定個人情報を取り扱うシステムを利用する場合は、当該関連する法定調書の法定保存期間経過後の最初に到来する年度末までに個人番号を削除するよう情報システムを構築するものとする。

(5)　個人番号が記載された書類等については、当該関連する法定調書の法定保存期間経過後の最初に到来する年度末までに廃棄をするものとする。

2　個人番号若しくは特定個人情報ファイルを廃棄した場合には、個人番号管理台帳若しくは特定個人情報ファイル管理簿に記録するものとする。

第2章の3　技術的安全管理措置

(アクセス制御)

第17条　情報システムを使用して特定個人情報を取り扱う場合は、以下のとおりアクセス制御を行うものとする。

(1)　個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。

(2)　特定個人情報ファイルを取り扱う情報システムをアクセス制御により限定する。

(3)　ユーザーＩＤに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を限定する。

(アクセス者の識別と認証)

第18条　情報システムを使用して特定個人情報を取り扱う場合は、ユーザーＩＤ、パスワード、磁気・ＩＣカード等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証するものとする。

2　事務取扱担当者が異動等によって変更となった場合には、すみやかにパスワードの変更、磁気・ＩＣカードを変更する等、アクセス権の変更設定を行わなければならない。

3　アクセス権を有しない者は、当該システムにアクセスしてはならない。

(外部からの不正アクセス等の防止)

第19条　情報システムを使用して特定個人情報を取り扱う場合は、法人は適切な対策を講じ、当該システムを外部からの不正アクセス又は不正ソフトウェアから保護しなければならない。

(情報漏えい等の防止)

第20条　法人は、特定個人情報をインターネット等により外部に送信する場合は、通信経路における情報漏えい等及び情報システムに保存されている特定個人情報の情報漏えい等を防止する対策を講じるものとする。

(1)　通信経路における情報漏えいの防止策として、通信経路の暗号化を行う。

(2)　情報システムに保存されている特定個人情報の情報漏えい防止策として、データの暗号化又はパスワードによる保護を行う。

第3章　特定個人情報の収集

(特定個人情報の適正な収集及び収集の制限)

第21条　法人は、特定個人情報を収集するときは適法かつ公正な手段によって行い、第３条に定める範囲を超えて特定個人情報を収集しないものとする。

[第３条]

(特定個人情報の利用目的)

第22条　法人が、役員、教職員又はその他の個人から収集する特定個人情報の利用目的は、第３条に掲げた個人番号を取り扱う事務の範囲内とする。

[第３条]

(特定個人情報の収集時の利用目的の通知)

第23条　法人は、特定個人情報を収集する場合は、あらかじめその利用目的を記載した書類の提示等を行う場合を除き、すみやかにその利用目的を本人に通知し、又は公表しなければならない。

2　利用目的の変更を要する場合、当初の利用目的と相当の関連性を有すると合理的に認められる場合、公表又は明示を行うことにより、変更後の利用目的の範囲内で特定個人情報を利用することができる。

(個人番号の提供の要求及び要求の時期)

第24条　法人は、第３条に定める事務を処理するために必要がある場合に限り、本人又は他の個人番号関係事務実施者若しくは個人番号利用事務実施者に対して個人番号の提供を求めることができるものとする。

[第３条]

2　前項にかかわらず、本人との法律関係等に基づき、個人番号関係事務の発生が予想される場合には、契約を締結した時点等、当該事務の発生が予想できた時点で個人番号の提供を求めることができるものとする。

(特定個人情報の提供の求めの制限)

第25条　法人の内部における特定個人情報の移動については提供に当たらず、第27条に規定する個人番号の利用制限に従うものとする。

[第27条]

2　法人は、番号法第19条各号のいずれかに該当し、特定個人情報の提供を受けることができる場合を除き、特定個人情報の提供を求めてはならないものとする。

(本人確認)

第26条　法人が個人番号を取得するに当たっては、番号法第16条に定める方法により、個人番号の確認及び当該人の身元確認を行うものとする。また、代理人については、同条に定める方法により、当該代理人の身元確認、代理権の確認及び本人の個人番号の確認を行うものとする。

[第16条]

第4章　特定個人情報の利用

(個人番号の利用制限)

第27条　法人は、第２２条に定める利用目的の範囲内でのみ個人番号を利用するものとする。

[第２２条]

2　法人は、人の生命、身体又は財産の保護のために必要がある場合を除き、本人の同意があったとしても、利用目的を超えて個人番号を利用してはならないものとする。

(特定個人情報ファイルの作成制限)

第28条　法人は第3条に定める事務を実施するために必要な範囲内でのみ特定個人情報ファイルを作成する。

[第3条]

第5章　特定個人情報の保管

(特定個人情報の正確性の確保)

第29条　事務取扱担当者は、特定個人情報を第２２条に定める利用目的の範囲内において、正確及び最新の状態で管理するよう努めるものとする。

[第２２条]

(特定個人情報の保管の制限、廃棄及び削除)

第30条　法人は第3条に定める事務の範囲を超えて、特定個人情報を保管してはならない。

[第3条]

2　法人は、関係法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、届出書等の書類の再作成等の個人番号関係事務を行うために、当該書類及び当該書類を作成するシステム内のデータを保管するものとする。

3　法人は、番号法上の本人確認の措置を実施する際に提示を受けた本人確認書類（個人番号カード、通知カード、身元確認書類等）の写しや法人が行政機関等に提出する届出書等の書類の控えや当該書類を作成するうえで法人が受領する個人番号が記載された申告書等を特定個人情報として保管するものとする。また、当該書類については、届出書等の再作成を行う等個人番号関係事務に利用するために、関係法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は保存するものとする。

4　第2項及び第3項に記載する特定個人情報等に係る書類及びデータの保存期間経過後は、第16条に定める方法により、保存期間経過後の最初に到来する年度末までに廃棄するものとする。

[第16条]

第6章　特定個人情報の提供

(特定個人情報の提供制限)

第31条　法人は、番号法第19条各号に掲げる場合を除き、本人の同意の有無に関わらず特定個人情報を第三者に提供しないものとする。

第7章　特定個人情報の開示、訂正及び利用停止等

第32条　法人は、特定情報等の開示、訂正、及び利用停止等の手続き及び方法については、個人情報保護条例等を遵守するものとする。

第8章　個人番号関係事務の委託の取扱い

(委託先における安全管理措置)

第33条　法人は、個人番号関係事務の全部又は一部を委託する場合には、法人が自ら果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう、次に定める必要かつ適切な監督を行うものとする。

(1)　委託先の適切な選定

(2)　委託先に安全管理措置を遵守させるために必要な契約の締結

(3)　委託先における特定個人情報の取扱状況の把握

2　前項第１号の「委託先の適切な選定」として、委託先において、番号法に基づき法人が果たすべき安全管理措置と同等の措置が講じられるか、あらかじめ次の事項について確認するものとする。

3　第1項第2号の「委託先に安全管理措置を遵守させるために必要な契約の締結」については、委託契約の内容として、以下の規定等を盛り込むものとする。

(1)　番号法、個人情報保護法、ガイドライン及びその他関係法令の遵守

(2)　秘密保持義務に関する規定

(3)　事業所内から特定個人情報の持出しの禁止

(4)　特定個人情報の目的外利用の禁止

(5)　特定個人情報の取扱に関する従業者を明確にする規定

(6)　事務取扱者に関する監督及び教育に関する規定

(7)　特定個人情報の取扱状況の定期的な報告等、契約内容の遵守状況の報告に関する規定

(8)　再委託に関する条件

(9)　漏えい事案等が発生した場合の委託先の責任に関する規定

(10)　委託契約終了後の特定個人情報の返却又は廃棄に関する規定

(11)　委託者が委託先に対し、必要に応じて実地の調査を行う規定

4　法人は委託先において特定個人情報の安全管理状況について、報告を求めることとし、必要に応じて実地の調査を行うものとする。

5　法人は委託先において情報漏えい事故等が発生した場合に、適切な対応がなされ、すみやかに法人に報告される体制になっていることを確認するものとする。

6　法人が委託する個人番号関係委託事務については、委託先が再委託することを禁止する。ただし、委託先はあらかじめ法人の許諾を得た場合に限り、委託を受けた当該業務の全部又は一部を再委託できるものとする。再々委託を行う場合も同様とする。

7　法人は再委託先の適否の判断のみならず、委託先が再委託先に対して必要かつ適切な監督を実施しているかどうかについても監督する。

8　法人は、委託先が再委託先をする場合、当該再委託契約の内容として、第３項と同等の規定等を盛り込ませるものとする。

第9章　その他

(雑則)

第34条　第1条に掲げる関係法令、ガイドライン及び本規程に定めるもののほか、法人における特定個人情報の取扱業務を行うに当たって必要な事項は、事務局長が決める。

[第1条]

附　則

この規程は、平成27年12月16日から施行する。

附　則(令和2年4月1日)

この規程は、令和2年4月1日から施行する。