2　本法人は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行わないものとする。

2　本法人は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わないものとする。

3　前2項の規定は、個人情報保護法第18条第3項各号に掲げる場合については、適用しない。

2　本法人は、個人情報保護法第20条第2項各号に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得しないものとする。

2　本法人は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

3　本法人は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表するものとする。

4　前3項の規定は、個人情報保護法第21条第4項各号に掲げる場合については、適用しない。

2　前項の個人データの安全管理のために必要かつ適切な措置に関し必要な事項は、別に定める。

2　前項に規定する部局等個人情報管理簿は、各部局等で1つの帳簿とし、国立大学法人宮崎大学保有個人情報管理規程(以下「管理規程」という。)第5条で定める者が記録の事務及びその管理を行うものとする。

2　前項本文の規定による報告をする場合において、本法人は、同項各号に定める事態を知った日から30日以内(当該事態が同項第3号に定めるものである場合にあっては、60日以内)に報告するものとする。

3　本法人は、第1項本文の規定による報告又は同項ただし書の規定による通知をする場合には、同項各号に定める事態を知った後、速やかに、次に掲げる事項を報告又は通知するものとする。

4　第1項に規定する場合(同項ただし書の規定による通知をした場合を除く。)には、本法人は、本人に対し、当該事態が生じた旨を通知するものとする。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

5　本法人は、前項本文の規定による通知をする場合には、第1項各号に定める事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、第3項第1号、第2号、第4号、第5号及び第9号に定める事項を通知するものとする。

2　本法人は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、個人情報保護法第27条第2項各号に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第6条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。

3　本法人は、個人情報保護法第27条第2項第1号に掲げる事項に変更があったとき又は前項の規定による個人データの提供をやめたときは遅滞なく、個人情報保護法第27条第2項第3号から第5号まで、第7号又は第8号に掲げる事項を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出るものとする。

4　第2項又は前項の規定による通知又は容易に知り得る状態に置く措置は、次に掲げるところにより、行うものとする。

5　本法人は、個人情報保護法第27条第4項の規定による公表がされた後、速やかに、インターネットの利用その他の適切な方法により、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項を公表するものとする。

6　個人情報保護法第27条第5項各号に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。

7　本法人は、個人情報保護法第27条第5項第3号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置くものとする。

2　本法人は、前項の規定により本人の同意を得ようとする場合には、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供するものとする。

3　前項の規定により情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。

4　第2項の規定による情報の提供は、次に掲げる事項について行うものとする。

5　前項の規定にかかわらず、本法人は、第1項の規定により本人の同意を得ようとする時点において、前項第1号に掲げる事項が特定できない場合には、同号及び同項第2号に掲げる事項に代えて、次に掲げる事項について情報提供するものとする。

6　第4項の規定にかかわらず、本法人は、第1項の規定により本人の同意を得ようとする時点において、第4項第3号に掲げる事項について情報提供できない場合には、同号に掲げる事項に代えて、その旨及びその理由について情報提供するものとする。

7　本法人は、個人データを外国にある第三者(第1項に規定する体制を整備している者に限る。)に提供した場合には、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供するものとする。

8　前項(第18条第5項において読み替えて準用する場合を含む。)の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。

9　第7項の規定により情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。

10　本法人は、第7項の規定による求めを受けたときは、本人に対し、遅滞なく、次に掲げる事項について情報提供するものとする。ただし、情報提供することにより本法人の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができる。

11　本法人は、第7項の規定による求めに係る情報の全部又は一部について提供しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。

12　本法人は、前項の規定により、本人から求められた情報の全部又は一部について提供しない旨を通知する場合には、本人に対し、その理由を説明するよう努めるものとする。

2　前項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。

3　第1項の記録は、個人データを第三者に提供した都度、速やかに作成するものとする。ただし、当該第三者に対し個人データを継続的に若しくは反復して提供(第14条第2項の規定による提供を除く。以下この項において同じ。)したとき、又は当該第三者に対し個人データを継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。

4　前項の規定にかかわらず、第14条第1項又は前条第1項の規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に第1項各号に定める事項が記載されているときは、当該書面をもって同項の当該事項に関する記録に代えることができる。

5　第1項各号に定める事項のうち、既に第2項から前項までに規定する方法により作成した第1項の記録(当該記録を保存している場合におけるものに限る。)に記録されている事項と内容が同一であるものについては、同項の当該事項の記録を省略することができる。

6　本法人は、第1項の記録を、当該記録を作成した日から次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間保存しなければならない。

2　前項の規定による個人情報保護法第30条第1項第1号に掲げる事項の確認を行う方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法とする。

3　第1項の規定による個人情報保護法第30条第1項第2号に掲げる事項の確認を行う方法は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法とする。

4　前2項の規定にかかわらず、第三者から他の個人データの提供を受けるに際して既に前2項に規定する方法による確認(当該確認について第7項から第9項までに規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る個人情報保護法第30条第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。

5　第1項の第三者は、本法人が同項の規定による確認を行う場合において、本法人に対して、当該確認に係る事項を偽ってはならない。

6　本法人は、第1項の規定による確認を行ったときは、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項に関する記録を作成するものとする。

7　前項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。

8　第6項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。ただし、当該第三者から継続的に若しくは反復して個人データの提供(第14条第2項の規定による提供を除く。以下この項及び次項において同じ。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。

9　前項の規定にかかわらず、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に第6項各号に定める事項が記載されているときは、当該書面をもって同項の当該事項に関する記録に代えることができる。

10　第6項各号に定める事項のうち、既に第7項から前項まで規定する方法により作成した第6項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、同項の当該事項の記録を省略することができる。

11　本法人は、第6項の記録を、当該記録を作成した日から次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間保存しなければならない。

2　前項の規定による個人情報保護法第31条第1項第1号に掲げる事項の確認を行う方法は、個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法とする。

3　第1項の規定による個人情報保護法第31条第1項第2号に掲げる事項の確認を行う方法は、同号の規定による情報の提供が行われていることを示す書面の提示を受ける方法その他の適切な方法とする。

4　前2項の規定にかかわらず、第三者に個人関連情報の提供を行うに際して既に前2項に規定する方法による確認(当該確認について第7項から第9項までに規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る個人情報保護法第31条第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。

5　第15条第7項の規定は、第1項の規定により本法人が個人関連情報を提供する場合について準用する。この場合において、同条第7項中「講ずるとともに、本人の求めに応じて、当該必要な措置に関する情報を当該本人に提供する」とあるのは、「講ずる」と読み替えるものとする。

6　前条第5項、第6項及び第11項の規定は、第1項の規定により本法人が確認する場合について準用する。

7　前項において準用する前条第6項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。

8　第6項において準用する前条第6項の記録は、個人関連情報を第三者に提供した都度、速やかに作成しなければならない。ただし、当該第三者に対し個人関連情報を継続的に若しくは反復して提供したとき、又は当該第三者に対し個人関連情報を継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。

9　前項の規定にかかわらず、第1項の規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人関連情報を第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に次項各号に掲げる事項が記載されているときは、当該書面をもって第6項において準用する前条第6項の当該事項に関する記録に代えることができる。

10　第6項において準用する前条第6項の事項は、次に掲げる事項とする。

11　前項各号に定める事項のうち、既に第6項において準用する前条第5項並びに第7項及び第8項に規定する方法により作成した第6項において準用する前条第6項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、第6項において準用する前条第6項の当該事項の記録を省略することができる。

12　第6項において準用する前条第11項の期間は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める期間とする。

2　本法人は、前項の目的を達成するために必要な体制の整備に努めるものとする。

2　本法人は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第3項において読み替えて準用する第7項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして、次の各号に掲げる削除情報等の安全管理のための措置を講ずるものとする。

3　本法人は、第4条の規定にかかわらず、法令に基づく場合を除くほか、第3条第1項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱わないものとする。

4　仮名加工情報についての第7条の規定の適用については、同条第1項及び第3項中「、本人に通知し、又は公表する」とあるのは「公表する」と、同条第4項中「個人情報保護法第21条第4項各号」とあるのは、「個人情報保護法第41条第4項の規定により読み替えて適用する同法第21条第4項各号」とする。

5　本法人は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めるものとする。この場合においては、第8条の規定は、適用しない。

6　本法人は、第14条第1項及び第2項並びに第15条第1項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第14条第6項中「個人情報保護法第27条第5項各号」とあるのは「個人情報保護法第27条第5項第1号及び第2号並びに第39条第6項の規定により読み替えて適用する第27条第5項第3号」と、「前各項」とあるのは「第20条第6項」と、同条第7項中「、本人に通知し、又は本人が容易に知り得る状態に置く」とあるのは「公表する」と、第16条第1項ただし書中「個人情報保護法第27条第1項各号又は第5項各号のいずれか(前条第1項の規定による個人データの提供にあっては、個人情報保護法第27条第1項各号のいずれか)」とあり、及び第17条第1項ただし書中「個人情報保護法第27条第1項各号又は第5項各号のいずれか」とあるのは「法令に基づく場合又は個人情報保護法第27条第5項各号のいずれか」とする。

7　本法人は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合しないものとする。

8　本法人は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(次に掲げる方法をいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用しないものとする。

9　仮名加工情報及び仮名加工情報である個人データについては、第3条第2項及び第13条の規定は、適用しない。

2　第14条第6項及び第7項の規定は、仮名加工情報の提供を受ける者について準用する。この場合において、同条第6項中「個人情報保護法第27条第5項各号」とあるのは「個人情報保護法第42条第2項の規定により読み替えて準用する第27条第5項第1号及び第3号並びに第2号」と、「前各項」とあるのは「第21条第1項」と、同条第7項中「、本人に通知し、又は本人が容易に知り得る状態に置く」とあるのは「公表する」と読み替えるものとする。

3　第9条、第11条、第12条、第19条並びに前条第7項及び第8項の規定は、本法人による仮名加工情報の取扱いについて準用する。この場合において、第9条中「漏えい、滅失又は毀損(以下「漏えい等」という。)」とあるのは「漏えい」と、前条第7項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。

2　第1項の規定は、個人情報保護法第75条第2項各号に掲げる個人情報ファイルについては、適用しない。

3　第1項の規定にかかわらず、本法人は、記録項目の一部若しくは個人情報保護法第74条第1項第5号若しくは第7号に掲げる事項を個人情報ファイル簿に記載し、又は個人情報ファイルを個人情報ファイル簿に掲載することにより、利用目的に係る事務又は事業の性質上、当該事務又は事業の適正な遂行に著しい支障を及ぼすおそれがあると認めるときは、その記録項目の一部若しくは事項を記載せず、又はその個人情報ファイルを個人情報ファイル簿に掲載しないことができる。

2　前項の規定にかかわらず、本法人は、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるときは、利用目的以外の目的のために特定個人情報を自ら利用することができる。ただし、特定個人情報を利用目的以外の目的のために自ら利用することによって、本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは、この限りでない。

3　前項の規定は、特定個人情報の利用又は提供を制限する他の学内規則の規定の適用を妨げるものではない。

4　本法人は、個人の権利利益を保護するため特に必要があると認めるときは、特定個人情報の利用目的以外の目的のための本法人の内部における利用を特定の役員又は職員に限るものとする。

2　未成年者若しくは成年被後見人の法定代理人又は本人の委任による代理人(以下第28条まで「代理人」と総称する。)は、本人に代わって前項の規定による開示の請求(以下「開示請求」という。)をすることができる。

2　代理人は、本人に代わって前項の規定による訂正の請求(以下「訂正請求」という。)をすることができる。

3　訂正請求は、保有個人情報の開示を受けた日から90日以内にしなければならない。

2　代理人は、本人に代わって前項の規定による利用停止の請求(以下「利用停止請求」という。)をすることができる。

3　利用停止請求は、保有個人情報の開示を受けた日から90日以内にしなければならない。

2　学長は、個人情報保護法第107条第2項各号のいずれかに該当する場合を除き、行政機関等匿名加工情報を提供しないものとする。

3　学長は、法令に基づく場合を除き、利用目的以外の目的のために削除情報(保有個人情報に該当するものに限る。)を自ら利用し、又は提供しないものとする。

4　前項の「削除情報」とは、行政機関等匿名加工情報の作成に用いた保有個人情報から削除した記述等及び個人識別符号をいう。

2　提案の募集に関し必要な事項は、あらかじめ公示するものとする。

2　前項の提案は、個人情報保護法第110条第2項各号に掲げる事項を記載した行政機関等匿名加工情報をその用に供して行う事業に関する提案書(以下「提案書(様式第1号)」という。)を学長に提出してするものとする。

3　代理人によって第1項の提案をする場合にあっては、提案書(様式第1号)に代理人の権限を証する委任状(様式第2号)を添えて行うものとする。

4　第2項の書面には、次に掲げる書類を添付しなければならない。

5　前項の規定は、代理人によって第1項の提案をする場合に準用する。この場合において、前項第3号から第5号までの規定中「提案をする者」とあるのは「代理人」と読み替えるものとする。

6　学長は、第2項の規定により提出された提案書(様式第1号)又は第4項の規定により添付された書類に不備があり、又はこれらに記載すべき事項の記載が不十分であると認めるときは、第1項の提案をした者又は代理人に対して、説明を求め、又は当該提案書若しくは書類の訂正を求めることができる。

2　学長は、前項の規定により審査した結果、第32条第1項の提案が個人情報保護法第112条第1項各号に掲げる基準のいずれにも適合すると認めるときは、当該提案をした者に対し、同条第2項各号に掲げる事項を記載した審査結果通知書(様式第4号)を交付するものとする。

3　前項の審査結果通知書(様式第4号)には、次に掲げる書類を添付しなければならない。

4　学長は、第1項の規定により審査した結果、第32条第1項の提案が個人情報保護法第112条第1項各号に掲げる基準のいずれかに適合しないと認めるときは、審査結果通知書(様式第6号)により、当該提案をした者に対し、理由を付して、その旨を通知するものとする。

2　審査委員会の委員は、学長が指名するものとする。

3　審査委員会は、個人情報保護法第112条第1項各号について審査し、その結果を学長に報告するものとする。

4　審査委員会の設置期間は、当該審査委員会の目的が達成されるまでとする。

2　前項の規定は、本法人から行政機関等匿名加工情報の作成の委託(2以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。

2　第32条第2項及び第4項並びに第33条から第36条までの規定は、前項の提案について準用する。この場合において、第32条第2項中「個人情報保護法第110条第2項各号に」とあるのは「個人情報保護法第110条第2項第1号及び第5号から第7号まで並びに個人情報保護法第116条第2項の規定により読み替えて準用する個人情報保護法第110条第2項第4号及び第8号に」と、第34条第1項中「個人情報保護法第112条第1項各号に」とあるのは「個人情報保護法第112条第1項第1号及び第4号から第6号まで並びに個人情報保護法第116条第2項の規定により読み替えて準用する個人情報保護法第112条第1項第7号に」と、同条第2項中「個人情報保護法第112条第1項各号」とあるのは「個人情報保護法第112条第1項第1号及び第4号から第7号まで」と、同条第4項中「個人情報保護法第112条第1項各号」とあるのは「個人情報保護法第112条第1項第1号及び第4号から第7号まで」と読み替えるものとする。この場合において、第32条第2項、第3項及び第6項中「提案書(様式第1号)」とあるのは「作成された行政機関等匿名加工情報をその用に供して行う事業に関する提案書(様式第7号)」と、第34条第2項及び第3項中「審査結果通知書(様式第4号)」とあるのは「審査結果通知書(様式第8号)」と、同条第4項中「審査結果通知書(様式第6号)」とあるのは「審査結果通知書(様式第9号)」と読み替えるものとする。

2　前項の利用料の額は、実費を勘案し、かつ、個人情報保護法第117条第1項及び第2項の手数料の額を参酌して、本法人が別に定める。

3　本法人は、前2項の規定による定めを一般の閲覧に供しなければならない。

2　学長は、行政機関等匿名加工情報、第29条第4項に規定する削除情報及び第37条第1項の規定により行った加工の方法に関する情報(以下この条及び次条において「行政機関等匿名加工情報等」という。)の漏えいを防止するために必要なものとして、次の各号に掲げる行政機関等匿名加工情報等の適切な管理のために必要な措置を講ずるものとする。

3　前2項の規定は、本法人から行政機関等匿名加工情報等の取扱いの委託(2以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。

2　前項の規定による公表は、インターネットの利用その他の適切な方法により行うものとする。

3　第1項の規定による明示は、電子メールを送信する方法又は書面を交付する方法その他の適切な方法により行うものとする。

4　本法人は、匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号を取得し、又は当該匿名加工情報を他の情報と照合しないものとする。

5　本法人は、匿名加工情報の漏えいを防止するために必要なものとして、次の各号に掲げる匿名加工情報の適切な管理のために必要な措置を講ずるものとする。

6　前2項の規定は、本法人から匿名加工情報の取扱いの委託(2以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。

この規則は、令和4年10月1日から施行する。

この規則は、令和6年4月1日から施行する。

この規程は、令和7年4月1日から施行する。