○国立大学法人北海道大学個人情報管理規程
平成17年4月1日
海大達第65号
第1章 総則
(目的)
第1条 この規程は,独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号。以下「法」という。)第7条の規定に基づき,国立大学法人北海道大学(以下「本学」という。)における保有個人情報の適切な管理のために必要な事項を定め,もって個人情報の適正な取扱いの確保に資することを目的とする。
(1) 個人情報 生存する個人に関する情報であって,当該情報に含まれる氏名,生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と照合することができ,それにより特定の個人を識別することができることとなるものを含む。)をいう。
(2) 保有個人情報 法第2条第3項の規定に基づき,本学の役員又は職員が職務上作成し,又は取得した個人情報であって,本学の役員又は職員が組織的に利用するものとして,本学が保有するものをいう。ただし,国立大学法人北海道大学法人文書管理規程(平成23年海大達第84号)第2条第1号に規定する法人文書(以下単に「法人文書」という。)に記録されているものに限る。
(3) 本人 個人情報によって識別される特定の個人をいう。
(4) 情報システム 本学において,ハードウェア,ソフトウェア,ネットワーク,記録媒体で構成されるものであって,これら全体で業務処理を行うものをいう。
(5) 端末 本学において保有個人情報の処理を行う情報システムを構成する電子計算機をいう。
第2章 管理体制等
(総括個人情報保護管理者)
第3条 本学に,総括個人情報保護管理者(以下「総括保護管理者」という。)1名を置く。
2 総括保護管理者は,総長が指名する理事をもって充てる。
3 総括保護管理者は,保有個人情報の管理に関する事務を総括するものとする。
区分 | 保護管理者 | 保護担当者 |
事務組織の所掌に属するもの | 国立大学法人北海道大学事務組織規程(平成16年海大達第220号。以下「事務組織規程」という。)第10条に規定する監査室長並びに事務組織規程第14条から第16条までに規定する課長,室長及び事務長 | 保護管理者が指名する事務組織規程第17条から第19条まで及び第24条に規定する課長補佐,室長補佐,事務長補佐又は係長 |
教育及び研究に係るもの(事務組織の所掌に係るものを除く。) | 産学連携本部,人材育成本部,創成研究機構,国際本部,高等教育推進機構,各学部,各研究科,各学院,各研究院,公共政策学教育部,公共政策学連携研究部,各附置研究所,各全国共同利用施設及び各学内共同教育研究施設等の長 | 保護管理者が指名する者 |
病院の業務に係るもの(事務組織の所掌に係るものを除く。) | 病院長 | 保護管理者が指名する者 |
子どもの園保育園の業務に係るもの(事務組織の所掌に係るものを除く。) | 園長 | 保護管理者が指名する者 |
2 保護管理者は,保有個人情報の管理に関する事務の徹底に努めるものとする。
3 保護担当者は,保護管理者を補佐するものとする。
(個人情報保護監査責任者)
第5条 本学に,個人情報保護監査責任者(以下「監査責任者」という。)1名を置く。
2 監査責任者は,総長が指名する監事をもって充てる。
3 監査責任者は,保有個人情報の管理の状況について監査を実施するものとする。
(保有個人情報の適正な取扱いの確保のための委員会)
第6条 総括保護管理者は,保有個人情報の管理に係る重要事項の決定,連絡,調整等を行うため必要があると認めるときは,関係職員を構成員とする委員会を設け,定期に又は随時開催するものとする。
(教育研修)
第7条 総括保護管理者は,保有個人情報の取扱いに従事する役員及び職員に対し,保有個人情報の取扱いについて理解を深め,個人情報の保護に関する意識の啓発その他を図るための必要な教育研修を行うものとする。
2 総括保護管理者は,保有個人情報を取り扱う情報システムの管理に関する事務に従事する職員に対し,保有個人情報の適切な管理のために,情報システムの管理,運用及びセキュリティ対策に関して必要な教育研修を行うものとする。
3 保護管理者は,その所属する組織の職員に対し,保有個人情報の適切な管理のために,総括保護管理者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずるものとする。
第3章 保有個人情報の取扱い
(役員及び職員の責務)
第8条 役員及び職員は,法の趣旨に則り,関連する法令及び規程等の定め並びに総括保護管理者,保護管理者及び保護担当者の指示に従い,保有個人情報を取り扱わなければならない。
2 役員及び職員は,その業務に関して知り得た個人情報の内容をみだりに他人に知らせ,又は不当な目的に利用してはならない。その職を退いた後においても同様とする。
(個人情報の保有の制限等)
第9条 保護管理者は,個人情報を保有するに当たっては,法令の定める業務を遂行するため必要な場合に限り,かつ,その利用の目的をできる限り特定しなければならない。
2 役員及び職員は,前項の規定により特定された利用の目的(以下「利用目的」という。)の達成に必要な範囲を超えて,個人情報を保有してはならない。
3 保護管理者は,利用目的を変更する場合は,変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的の明示)
第10条 役員及び職員は,保護管理者の指示に従い,本人から直接書面(電子的方式,磁気的方式その他人の知覚によっては認識することができない方式で作成される記録を含む。)に記録された当該本人の個人情報を取得するときは,次に掲げる場合を除き,あらかじめ,本人に対し,その利用目的を明示しなければならない。
(1) 人の生命,身体又は財産の保護のために緊急に必要があるとき。
(2) 利用目的を本人に明示することにより,本人又は第三者の生命,身体,財産その他の権利利益を害するおそれがあるとき。
(3) 利用目的を本人に明示することにより,国の機関,独立行政法人等(法第2条第1項に規定する独立行政法人等をいう。以下同じ。),地方公共団体又は地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。以下同じ。)が行う事務又は事業の遂行に支障をきたすおそれがあるとき。
(4) 取得の状況からみて利用目的が明らかであると認められるとき。
(適正な取得)
第11条 役員及び職員は,偽りその他不正の手段により個人情報を取得してはならない。
(利用の制限)
第12条 役員及び職員は,法令に基づく場合を除き,利用目的以外の目的のために保有個人情報を自ら利用してはならない。
2 前項の規定にかかわらず,次のいずれかに該当すると認められるときは,役員及び職員は,保護管理者の指示に従い,利用目的以外の目的のために保有個人情報を利用することができる。ただし,保有個人情報を利用目的以外の目的のために利用することによって,本人又は第三者の権利利益を不当に害するおそれがあると認められるとき又は他の法令の規定により保有個人情報の利用が制限されているときは,この限りではない。
(1) 本人の同意があるとき。
(2) 業務の遂行に必要な限度で保有個人情報を内部で利用する場合であって,当該保有個人情報を利用することについて相当な理由があるとき。
(アクセスの制限)
第13条 保護管理者は,保有個人情報の秘匿性等その内容に応じて,当該保有個人情報にアクセスする権限を有する者をその利用目的を達成するために必要最小限の職員に限るものとする。
2 アクセス権限を有しない役員及び職員は,保有個人情報にアクセスしてはならない。
3 役員及び職員は,アクセス権限を有する場合であっても,業務上の目的以外の目的で保有個人情報にアクセスしてはならない。
(複製等の制限)
第14条 役員及び職員は,業務上の目的で保有個人情報を取り扱う場合であっても,次に掲げる行為については,保護管理者の指示に従い,必要な範囲において行うものとする。
(1) 保有個人情報の複製
(2) 保有個人情報の送信
(3) 保有個人情報が記録されている媒体の外部への送付又は持出し
(4) その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為
(正確性の確保)
第15条 役員及び職員は,利用目的の達成に必要な範囲内で,保有個人情報が過去又は現在の事実と合致するよう努めるものとする。
2 役員及び職員は,保有個人情報の内容に誤り等を発見した場合には,保護管理者の指示に従い,必要な訂正,追加又は削除を行うものとする。
(媒体の管理等)
第16条 役員及び職員は,保護管理者の指示に従い,保有個人情報が記録されている媒体を定められた場所に保管するとともに,必要があると認めるときは,耐火金庫への保管,施錠等を行うものとする。
(廃棄等)
第17条 役員及び職員は,保有個人情報又は保有個人情報が記録されている媒体(端末及びサーバーに内蔵されているものを含む。)が不要となった場合には,保護管理者の指示に従い,当該保有個人情報の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行うものとする。
(保有個人情報の取扱状況の記録)
第18条 保護管理者は,保有個人情報の秘匿性等その内容に応じて,台帳等を整備して,当該保有個人情報の利用及び保管等の取扱いの状況を記録するものとする。
第4章 情報システムにおける安全の確保等
2 保護管理者は,前項に規定する措置を講ずる場合には,パスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。),パスワード等の読取防止等を行うために必要な措置を講ずるものとする。
(アクセス記録)
第20条 保護管理者は,保有個人情報の秘匿性等その内容に応じて,当該保有個人情報へのアクセス状況を記録し,その記録(以下「アクセス記録」という。)を一定の期間保存し,及びアクセス記録を定期に又は随時に分析するために必要な措置を講ずるものとする。
2 保護管理者は,アクセス記録の改ざん,窃取又は不正な消去を防止するために必要な措置を講ずるものとする。
(外部からの不正アクセスの防止)
第21条 保護管理者は,保有個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため,ファイアウォールの設定による経路制御等の必要な措置を講ずるものとする。
(コンピュータウイルスによる保有個人情報の漏えい等の防止)
第22条 保護管理者は,コンピュータウイルスによる保有個人情報の漏えい,滅失又はき損の防止のため,コンピュータウイルスの感染防止等に必要な措置を講ずるものとする。
(暗号化)
第23条 保護管理者は,保有個人情報の秘匿性等その内容に応じて,その暗号化のために必要な措置を講ずるものとする。
(入力情報の照合等)
第24条 役員及び職員は,情報システムで取り扱う保有個人情報の重要度に応じて,入力原票と入力内容との照合,処理前後の当該保有個人情報の内容の確認,既存の保有個人情報との照合等を行うものとする。
(バックアップ)
第25条 保護管理者は,保有個人情報の重要度に応じて,バックアップを行い,分散保管するために必要な措置を講ずるものとする。
(情報システム設計書等の管理)
第26条 保護管理者は,保有個人情報に係る情報システムの設計書,構成図等の文書について外部に知られることがないよう,その保管,複製,廃棄等について必要な措置を講ずるものとする。
(端末の限定)
第27条 保護管理者は,保有個人情報の秘匿性等その内容に応じて,その処理を行う端末を限定するために必要な措置を講ずるものとする。
(端末の盗難防止等)
第28条 保護管理者は,端末の盗難又は紛失の防止のため,端末の固定,執務室の施錠等の必要な措置を講ずるものとする。
2 役員及び職員は,保護管理者が必要があると認めるときを除き,端末を外部へ持ち出し,又は外部から持ち込んではならない。
(第三者の閲覧防止)
第29条 役員及び職員は,端末の使用に当たっては,保有個人情報が第三者に閲覧されることがないよう,使用状況に応じて情報システムからログオフを行うこと等に努めなければならない。
第5章 情報システム室等の安全管理
(入退室の管理)
第30条 保護管理者は,保有個人情報を取り扱う基幹的なサーバ等の機器を設置する室等(以下「情報システム室等」という。)に入室する権限を有する者を定めるとともに,用件の確認,入退室の記録,部外者についての識別化,部外者が入室する場合の役員及び職員の立合い等の措置を講ずるものとする。
2 保護管理者は,保有個人情報を記録する媒体を保管するための施設を設けている場合において,必要があると認めるときは,前項と同様の措置を講ずるものとする。
3 保護管理者は,必要があると認めるときは,情報システム室等の出入口の特定化による入退室の管理の容易化,所在表示の制限等の措置を講ずるものとする。
4 保護管理者は,情報システム室等及び保管施設の入退室の管理について,必要があると認めるときは,入室に係る認証機能を設定し,及びパスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。),パスワード等の読取防止等を行うために必要な措置を講ずるものとする。
(情報システム室等の管理)
第31条 保護管理者は,外部からの不正な侵入に備え,必要に応じて,情報システム室等に施錠装置,警報装置,監視設備の設置等の措置を講ずるものとする。
2 保護管理者は,災害等に備え,必要に応じて,情報システム室等に,耐震,防火,防煙,防水等の必要な措置を講ずるとともに,サーバ等の機器の予備電源の確保,配線の損傷防止等の措置を講ずるものとする。
第6章 保有個人情報の提供及び業務の委託等
(保有個人情報の提供)
第32条 役員及び職員は,法令に基づく場合を除き,利用目的以外の目的のために保有個人情報を提供してはならない。
(1) 本人の同意があるとき,又は本人に提供するとき。
(2) 国の機関,他の独立行政法人等,地方公共団体又は地方独立行政法人において,保有個人情報を受ける者が,法令の定める事務又は業務の遂行に必要な限度の提供に係る個人情報を利用し,かつ,当該個人情報を利用することについて相当な理由があるとき。
(3) 前2号に掲げるときのほか,専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき,本人以外の者に提供することが明らかに本人の利益になるとき,その他保有個人情報を提供することについて特別の理由のあるとき。
(業務の委託)
第33条 保有個人情報の取扱いに係る業務を外部に委託する場合には,個人情報の適切な管理を行う能力を有する者であることを慎重に確認した上で選定しなければならない。
2 前項の規定より業務を外部に委託する場合において契約を締結するときは,契約書に次に掲げる事項を明記するとともに,委託先における責任者等の管理体制,個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認するものとする。
(1) 個人情報に関する秘密保持等の義務
(2) 再委託の制限又は条件に関する事項
(3) 個人情報の複製等の制限に関する事項
(4) 個人情報の漏えい等の事案の発生時における対応に関する事項
(5) 委託終了時における個人情報の消去及び媒体の返却に関する事項
(6) 違反した場合における契約解除の措置その他必要な事項
3 外部に保有個人情報が記録されている媒体又は情報システム等の廃棄を委託する場合は,前項に定めるもののほか,当該記録媒体等に記録された情報が復元又は判読できない方法を用いることを定めて契約しなければならない。
4 保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には,労働者派遣契約書の秘密保持義務等個人情報の取扱いに関する事項を明記するものとする。
第7章 安全確保上の問題への対応
(事案の報告及び再発防止措置)
第34条 保有個人情報の漏えい等安全確保の上で問題となる事案が発生した場合に,その事実を知った職員は,速やかに当該保有個人情報を管理する保護管理者に報告するものとする。
2 保護管理者は,発生した事案による被害の拡大防止又は復旧等のために必要な措置を講ずるものとする。
3 保護管理者は,事案の発生した経緯,被害状況等を調査し,総括保護管理者に報告しなければならない。ただし,特に重大と認める事案が発生した場合には,直ちに総括保護管理者に当該事案の内容等について報告するものとする。
4 総括保護管理者は,前項の規定に基づく報告を受けた場合には,事案の内容等に応じて,当該事案の内容,経緯,被害状況等を総長に速やかに報告するものとする。
5 保護管理者は,事案の発生した原因を分析し,再発防止のために必要な措置を講ずるものとする。
(公表等)
第35条 保護管理者は,総括保護管理者の指示に従い,発生した事案の内容,影響等に応じて,事実関係及び再発防止策の公表,当該事案に係る本人への対応等の措置を講ずるものとする。
第8章 監査及び点検の実施
(監査)
第36条 監査責任者は,保有個人情報の管理の状況について,定期に又は随時に監査を行い,その結果を総括保護管理者に報告するものとする。
(点検)
第37条 保護管理者は,自ら管理責任を有する保有個人情報の記録媒体,処理経路,保管方法等について,定期に又は随時に点検を行い,必要があると認めるときは,その結果を総括保護管理者に報告するものとする。
2 総括保護管理者及び保護管理者は,前項の評価の結果を踏まえ,必要があると認めるときは,その見直しの措置を講ずるものとする。
第9章 雑則
(苦情処理)
第39条 総括保護管理者は,本学における個人情報の取扱いに関し苦情があった場合には,その内容に応じて,適切かつ迅速な処理に努めるものとする。
(雑則)
第40条 この規程に定めるもののほか,個人情報の管理に関し必要な事項は,総括保護管理者が定める。
附 則
この規程は,平成17年4月1日から施行する。
附 則(平成18年4月1日海大達第129号)
この規程は,平成18年4月1日から施行する。
附 則(平成19年4月1日海大達第92号)
この規程は,平成19年4月1日から施行する。
附 則(平成19年10月1日海大達第245号)
この規程は,平成19年10月1日から施行する。
附 則(平成21年4月1日海大達第82号)
この規程は,平成21年4月1日から施行する。
附 則(平成22年7月1日海大達第216号)
この規程は,平成22年7月1日から施行する。
附 則(平成22年10月1日海大達第263号)
この規程は,平成22年10月1日から施行する。
附 則(平成23年4月1日海大達第86号)
この規程は,平成23年4月1日から施行する。