○国立大学法人宮崎大学個人情報保護規則
令和4年9月22日
全改
国立大学法人宮崎大学個人情報保護規則(平成17年3月30日制定)の全部を改正する。
目次
第1章 総則(第1条・第2条)
第2章 個人情報の取扱い(第3条―第21条)
第3章 個人情報ファイル(第22条・第23条)
第4章 特定個人情報の取扱い(第24条・第25条)
第5章 開示、訂正及び利用停止(第26条―第28条)
第6章 行政機関等匿名加工情報の提供等(第29条―第44条)
第7章 雑則(第45条―第48条)
附則
第1章 総則
(趣旨)
第1条 国立大学法人宮崎大学(以下「本法人」という。)における個人情報の取扱いに関する基本的事項については、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)、個人情報の保護に関する法律施行令(平成15年政令第507号)、個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)又はその他の法令等に定めるもののほか、この規則の定めるところによる。
(定義)
第2条 この規則において、次に掲げる用語の意義は、当該各号に定めるところによる。
(1) 部局等 学部、工学教育研究部、学び・学生支援機構、研究・産学地域連携推進機構、国際連携機構、先端研究推進本部の下に置く各センター、IRセンター、総合技術センター、医学部附属病院、安全衛生保健センター、情報基盤センター、附属図書館並びに事務局各課及び監査室をいう。
(2) 個人情報 個人情報保護法第2条第1項に規定するものをいう。
(3) 個人識別符号 個人情報保護法第2条第2項に規定するものをいう。
(4) 要配慮個人情報 個人情報保護法第2条第3項に規定するものをいう。
(5) 本人 個人情報保護法第2条第4項に規定する者をいう。
(6) 仮名加工情報 個人情報保護法第2条第5項に規定するものをいう。
(7) 匿名加工情報 個人情報保護法第2条第6項に規定するものをいう。
(8) 個人関連情報 個人情報保護法第2条第7項に規定するものをいう。
(9) 行政機関 個人情報保護法第2条第8項に規定する機関をいう。
(10) 行政機関等 個人情報保護法第2条第11項に規定する機関をいう。
(11) 個人情報取扱事業者 個人情報保護法第16条第2項に規定する者をいう。
(12) 個人データ 個人情報保護法第16条第3項に規定する個人情報をいう。
(13) 保有個人情報 個人情報保護法第60条第1項に規定するものをいう。
(14) 個人情報ファイル 個人情報保護法第60条第2項に規定するものをいう。
(15) 行政機関等匿名加工情報 個人情報保護法第60条第3項に規定するものをいう。
(16) 特定個人情報 番号法第2条第8項に規定するものをいう。
第2章 個人情報の取扱い
(利用目的の特定)
第3条 本法人は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定するものとする。
2 本法人は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行わないものとする。
(利用目的による制限)
第4条 本法人は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱わないものとする。
2 本法人は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わないものとする。
3 前2項の規定は、個人情報保護法第18条第3項各号に掲げる場合については、適用しない。
(不適正な利用の禁止)
第5条 本法人は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用しないものとする。
(適正な取得)
第6条 本法人は、偽りその他不正の手段により個人情報を取得しないものとする。
2 本法人は、個人情報保護法第20条第2項各号に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得しないものとする。
(取得に際しての利用目的の通知等)
第7条 本法人は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表するものとする。
2 本法人は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 本法人は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表するものとする。
4 前3項の規定は、個人情報保護法第21条第4項各号に掲げる場合については、適用しない。
(データ内容の正確性の確保等)
第8条 本法人は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めるものとする。
(安全管理措置)
第9条 本法人は、その取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずるものとする。
2 前項の個人データの安全管理のために必要かつ適切な措置に関し必要な事項は、別に定める。
(部局等個人情報管理簿の整備)
第10条 各部局等は、第22条に規定する事前通知に係る個人情報ファイルの他、個人の権利利益を保護するために必要と認める個人情報について、保有、安全性確保の措置及び利用・提供等の主要事項を記録した部局等個人情報管理簿を作成するものとする。
2 前項に規定する部局等個人情報管理簿は、各部局等で1つの帳簿とし、国立大学法人宮崎大学保有個人情報管理規程(以下「管理規程」という。)第5条で定める者が記録の事務及びその管理を行うものとする。
(従業者の監督)
第11条 本法人は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行うものとする。
(委託先の監督)
第12条 本法人は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行うものとする。
(漏えい等の報告等)
第13条 本法人は、その取り扱う個人データの漏えい等その他の個人データの安全の確保に係る事態であって次の各号のいずれかに該当するものが生じたときは、当該事態が生じた旨を個人情報保護委員会に報告するものとする。ただし、本法人が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
(1) 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この項及び第3項において同じ。)の漏えい等が発生し、又は発生したおそれがある事態
(2) 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(3) 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(4) 個人データに係る本人の数が1,000人を超える漏えい等が発生し、又は発生したおそれがある事態
(1) 概要
(2) 漏えい等が発生し、又は発生したおそれがある個人データの項目
(3) 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
(4) 原因
(5) 二次被害又はそのおそれの有無及びその内容
(6) 本人への対応の実施状況
(7) 公表の実施状況
(8) 再発防止のための措置
(9) その他参考となる事項
(第三者提供の制限)
第14条 本法人は、個人情報保護法第27条第1項各号に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供しないものとする。
2 本法人は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、個人情報保護法第27条第2項各号に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第6条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
3 本法人は、個人情報保護法第27条第2項第1号に掲げる事項に変更があったとき又は前項の規定による個人データの提供をやめたときは遅滞なく、個人情報保護法第27条第2項第3号から第5号まで、第7号又は第8号に掲げる事項を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出るものとする。
(1) 第三者に提供される個人データによって識別される本人が当該提供の停止を求めるのに必要な期間をおくこと。
(2) 第三者に提供される個人データによって識別される本人が個人情報保護法第27条第2項各号に掲げる事項を確実に認識できる適切かつ合理的な方法によること。
(1) 第2項の規定による届出を行った場合 個人情報保護法第27条第2項各号に掲げる事項
(2) 第3項の規定による変更の届出を行った場合 変更後の個人情報保護法第27条第2項各号に掲げる事項
(3) 第3項の規定による個人データの提供をやめた旨の届出を行った場合 その旨
6 個人情報保護法第27条第5項各号に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
7 本法人は、個人情報保護法第27条第5項第3号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置くものとする。
(外国にある第三者への提供の制限)
第15条 本法人は、外国(本邦の域外にある国又は地域をいう。以下この条において同じ。)(個人情報保護委員会が定める外国を除く。以下この条において同じ。)にある第三者(個人データの取扱いについて第3条から第18条までの規定(第10条を除く。)により本法人が講ずべきこととされている措置に相当する措置(第7項、第8項及び第10項において「相当措置」という。)を継続的に講ずるために必要なものとして次の各号のいずれかに適合する体制を整備している者を除く。以下この項及び次項において同じ。)に個人データを提供する場合には、個人情報保護法第27条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得るものとする。この場合においては、前条の規定は、適用しない。
(2) 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
2 本法人は、前項の規定により本人の同意を得ようとする場合には、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供するものとする。
3 前項の規定により情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。
4 第2項の規定による情報の提供は、次に掲げる事項について行うものとする。
(1) 当該外国の名称
(2) 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
(3) 当該第三者が講ずる個人情報の保護のための措置に関する情報
(1) 前項第1号に掲げる事項が特定できない旨及びその理由
(2) 前項第1号に掲げる事項に代わる本人に参考となるべき情報がある場合には、当該情報
7 本法人は、個人データを外国にある第三者(第1項に規定する体制を整備している者に限る。)に提供した場合には、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供するものとする。
(1) 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
(2) 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ(第18条第5項において読み替えて準用する場合にあっては、個人関連情報)の当該第三者への提供を停止すること。
9 第7項の規定により情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。
10 本法人は、第7項の規定による求めを受けたときは、本人に対し、遅滞なく、次に掲げる事項について情報提供するものとする。ただし、情報提供することにより本法人の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができる。
(1) 当該第三者による第1項に規定する体制の整備の方法
(2) 当該第三者が実施する相当措置の概要
(3) 第8項第1号の規定による確認の頻度及び方法
(4) 当該外国の名称
(5) 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要
(6) 当該第三者による相当措置の実施に関する支障の有無及びその概要
11 本法人は、第7項の規定による求めに係る情報の全部又は一部について提供しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
12 本法人は、前項の規定により、本人から求められた情報の全部又は一部について提供しない旨を通知する場合には、本人に対し、その理由を説明するよう努めるものとする。
ア 当該個人データを提供した年月日
イ 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。第18条第10項第3号において同じ。)の氏名(不特定かつ多数の者に対して提供したときは、その旨)
ウ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
エ 当該個人データの項目
(1) 第4項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間
(2) 第3項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間
(3) 前2号以外の場合 3年
(第三者提供を受ける際の確認等)
第17条 本法人は、第三者から個人データの提供を受けるに際しては、個人情報保護法第30条第1項各号に掲げる事項の確認を行うものとする。ただし、当該個人データの提供が個人情報保護法第27条第1項各号又は第5項各号のいずれかに該当する場合は、この限りでない。
2 前項の規定による個人情報保護法第30条第1項第1号に掲げる事項の確認を行う方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法とする。
3 第1項の規定による個人情報保護法第30条第1項第2号に掲げる事項の確認を行う方法は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法とする。
ア 個人データの提供を受けた年月日
イ 個人情報保護法第30条第1項各号に掲げる事項
ウ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
エ 当該個人データの項目
オ 個人情報保護法第27条第4項の規定により公表されている旨
ア 個人情報保護法第31条第1項第1号の本人の同意が得られている旨
イ 個人情報保護法第30条第1項第1号に掲げる事項
ウ 第1号ウに掲げる事項
エ 当該個人関連情報の項目
(1) 第9項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して1年を経過する日までの間
(2) 第8項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して3年を経過する日までの間
(3) 前2号以外の場合 3年
(個人関連情報の第三者提供の制限等)
第18条 本法人は、第三者が個人関連情報(個人関連情報データベース等(個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他当該情報の集合物に含まれる個人関連情報を一定の規則に従って整理することにより特定の個人関連情報を容易に検索することできるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するものをいう。)を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、個人情報保護法第27条第1項各号に掲げる場合を除くほか、個人情報保護法第31条第1項各号に掲げる事項について、あらかじめ確認することをしないで、当該個人関連情報を当該第三者に提供しないものとする。
2 前項の規定による個人情報保護法第31条第1項第1号に掲げる事項の確認を行う方法は、個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法とする。
3 第1項の規定による個人情報保護法第31条第1項第2号に掲げる事項の確認を行う方法は、同号の規定による情報の提供が行われていることを示す書面の提示を受ける方法その他の適切な方法とする。
(1) 個人情報保護法第31条第1項第1号の本人の同意が得られていることを確認した旨及び外国にある第三者への提供にあっては、同項第2号の規定による情報の提供が行われていることを確認した旨
(3) 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
(4) 当該個人関連情報の項目
(1) 第9項に規定する方法により記録を作成した場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して1年を経過する日までの間
(2) 第8項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して3年を経過する日までの間
(3) 前2号以外の場合 3年
(苦情の処理)
第19条 本法人は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めるものとする。
2 本法人は、前項の目的を達成するために必要な体制の整備に努めるものとする。
(仮名加工情報の作成等)
第20条 本法人は、仮名加工情報(仮名加工情報データベース等(仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他当該情報の集合物に含まれる仮名加工情報を一定の規則に従って整理することにより特定の仮名加工情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するものをいう。)を構成するものに限る。以下同じ。)を作成するときは、次の基準に従い、個人情報を加工するものとする。
(1) 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(2) 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(3) 個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等を削除すること(当該記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(1) 削除情報等(前項の規定により行われた加工の方法に関する情報にあっては、その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるものに限る。以下この項において同じ。)を取り扱う者の権限及び責任を明確に定めること。
(2) 削除情報等の取扱いに関する規程類を整備し、当該規程類に従って削除情報等を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。
(3) 削除情報等を取り扱う正当な権限を有しない者による削除情報等の取扱いを防止するために必要かつ適切な措置を講ずること。
5 本法人は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めるものとする。この場合においては、第8条の規定は、適用しない。
6 本法人は、第14条第1項及び第2項並びに第15条第1項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第14条第6項中「個人情報保護法第27条第5項各号」とあるのは「個人情報保護法第27条第5項第1号及び第2号並びに第39条第6項の規定により読み替えて適用する第27条第5項第3号」と、「前各項」とあるのは「第20条第6項」と、同条第7項中「、本人に通知し、又は本人が容易に知り得る状態に置く」とあるのは「公表する」と、第16条第1項ただし書中「個人情報保護法第27条第1項各号又は第5項各号のいずれか(前条第1項の規定による個人データの提供にあっては、個人情報保護法第27条第1項各号のいずれか)」とあり、及び第17条第1項ただし書中「個人情報保護法第27条第1項各号又は第5項各号のいずれか」とあるのは「法令に基づく場合又は個人情報保護法第27条第5項各号のいずれか」とする。
7 本法人は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合しないものとする。
8 本法人は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(次に掲げる方法をいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用しないものとする。
(1) 電話番号を送受信のために用いて電磁的記録を相手方の使用に係る携帯して使用する通信端末機器に送信する方法(他人に委託して行う場合を含む。)
(2) 電子メールを送信する方法(他人に委託して行う場合を含む。)
(3) 前号に定めるもののほか、その受信をする者を特定して情報を伝達するために用いられる電気通信(電気通信事業法(昭和59年法律第86号)第2条第1号に規定する電気通信をいう。)を送信する方法(他人に委託して行う場合を含む。)
第3章 個人情報ファイル
(個人情報ファイル簿の作成及び公表)
第23条 本法人は、本法人が保有している個人情報ファイルについて、それぞれ個人情報保護法第74条第1項第1号から第7号まで、第9号及び第10号に掲げる事項その他次に掲げる事項を記載した帳簿(以下「個人情報ファイル簿」という。)を作成し、公表するものとする。
(1) 個人情報保護法第60条第2項第1号に係る個人情報ファイル又は同項第2号に係る個人情報ファイルの別
(2) 個人情報保護法第60条第2項第1号に係る個人情報ファイルについて、同項第2号に係る個人情報ファイルで、その利用目的及び記録範囲がこの項の規定による公表に係る同号に係る個人情報ファイルの利用目的及び記録範囲の範囲内であるものがあるときは、その旨
2 第1項の規定は、個人情報保護法第75条第2項各号に掲げる個人情報ファイルについては、適用しない。
3 第1項の規定にかかわらず、本法人は、記録項目の一部若しくは個人情報保護法第74条第1項第5号若しくは第7号に掲げる事項を個人情報ファイル簿に記載し、又は個人情報ファイルを個人情報ファイル簿に掲載することにより、利用目的に係る事務又は事業の性質上、当該事務又は事業の適正な遂行に著しい支障を及ぼすおそれがあると認めるときは、その記録項目の一部若しくは事項を記載せず、又はその個人情報ファイルを個人情報ファイル簿に掲載しないことができる。
第4章 特定個人情報の取扱い
(特定個人情報の利用の制限)
第24条 本法人は、番号法第9条第4項の規定に基づく場合を除き、利用目的以外の目的のために特定個人情報を自ら利用してはならない。
2 前項の規定にかかわらず、本法人は、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるときは、利用目的以外の目的のために特定個人情報を自ら利用することができる。ただし、特定個人情報を利用目的以外の目的のために自ら利用することによって、本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは、この限りでない。
3 前項の規定は、特定個人情報の利用又は提供を制限する他の学内規則の規定の適用を妨げるものではない。
4 本法人は、個人の権利利益を保護するため特に必要があると認めるときは、特定個人情報の利用目的以外の目的のための本法人の内部における利用を特定の役員又は職員に限るものとする。
(特定個人情報の提供の制限)
第25条 本法人は、番号法第19条各号のいずれかに該当する場合を除き、特定個人情報を提供してはならない。
第5章 開示、訂正及び利用停止
(開示請求)
第26条 何人も、別に定めるところにより、本法人に対し、本法人の保有する自己を本人とする保有個人情報の開示を請求することができる。
(訂正請求)
第27条 何人も、自己を本人とする保有個人情報(次に掲げるものに限る。)の内容が事実でないと思料するときは、別に定めるところにより、本法人に対し、当該保有個人情報の訂正(追加又は削除を含む。以下同じ。)を請求することができる。ただし、当該保有個人情報の訂正に関して個人情報保護法を除く法律又はこれに基づく命令の規定により特別の手続が定められているときは、この限りでない。
(1) 開示決定に基づき開示を受けた保有個人情報
(2) 開示決定に係る保有個人情報であって、個人情報保護法第88条第1項の他の法令の規定により開示を受けたもの
2 代理人は、本人に代わって前項の規定による訂正の請求(以下「訂正請求」という。)をすることができる。
3 訂正請求は、保有個人情報の開示を受けた日から90日以内にしなければならない。
(利用停止請求)
第28条 何人も、自己を本人とする保有個人情報(前条第1項各号に該当するものに限る。)が個人情報保護法第98条第1項各号のいずれかに該当すると思料するときは、別に定めるところにより、本法人に対し、当該各号に定める措置を請求することができる。ただし、当該保有個人情報の利用の停止、消去又は提供の停止(以下「利用停止」という。)に関して個人情報保護法を除く法律又はこれに基づく命令の規定により特別の手続が定められているときは、この限りでない。
2 代理人は、本人に代わって前項の規定による利用停止の請求(以下「利用停止請求」という。)をすることができる。
3 利用停止請求は、保有個人情報の開示を受けた日から90日以内にしなければならない。
第6章 行政機関等匿名加工情報の提供等
(行政機関等匿名加工情報の作成及び提供等)
第29条 学長は、個人情報保護法第5章第5節の規定に従い、行政機関等匿名加工情報(行政機関等匿名加工情報ファイル(個人情報保護法第60条第4項に規定するものをいう。)を構成するものに限る。以下この章において同じ。)を作成することができる。
2 学長は、個人情報保護法第107条第2項各号のいずれかに該当する場合を除き、行政機関等匿名加工情報を提供しないものとする。
3 学長は、法令に基づく場合を除き、利用目的以外の目的のために削除情報(保有個人情報に該当するものに限る。)を自ら利用し、又は提供しないものとする。
4 前項の「削除情報」とは、行政機関等匿名加工情報の作成に用いた保有個人情報から削除した記述等及び個人識別符号をいう。
(提案の募集)
第31条 学長は、毎年度1回以上、当該募集の開始の日から30日以上の期間を定めて、インターネットの利用その他の適切な方法により、定期的に、本法人が保有している個人情報ファイル(個人情報ファイル簿に個人情報保護法第108条第1号に掲げる事項の記載があるものに限る。以下この章において同じ。)について、次条第1項の提案を募集するものとする。
2 提案の募集に関し必要な事項は、あらかじめ公示するものとする。
(行政機関等匿名加工情報をその用に供して行う事業に関する提案)
第32条 前条の規定による募集に応じて個人情報ファイルを構成する保有個人情報を加工して作成する行政機関等匿名加工情報をその事業の用に供しようとする者は、学長に対し、当該事業に関する提案をすることができる。
2 前項の提案は、個人情報保護法第110条第2項各号に掲げる事項を記載した行政機関等匿名加工情報をその用に供して行う事業に関する提案書(以下「提案書(様式第1号)」という。)を学長に提出してするものとする。
4 第2項の書面には、次に掲げる書類を添付しなければならない。
(2) 個人情報保護法第110条第2項第5号の事業が新たな産業の創出又は活力ある経済社会若しくは豊かな国民生活の実現に資するものであることを明らかにする書面
(3) 提案をする者が個人である場合にあっては、その氏名及び住所又は居所と同一の氏名及び住所又は居所が記載されている運転免許証、健康保険の被保険者証、番号法第2条第7項に規定する個人番号カード、出入国管理及び難民認定法(昭和26年政令第319号)第19条の3に規定する在留カード、日本国との平和条約に基づき日本の国籍を離脱した者等の出入国管理に関する特例法(平成3年法律第71号)第7条第1項に規定する特別永住者証明書その他法律又はこれに基づく命令の規定により交付された書類の写しであって、当該提案をする者が本人であることを確認するに足りるもの
(4) 提案をする者が法人その他の団体である場合にあっては、その名称及び本店又は主たる事務所の所在地並びに代表者の氏名と同一の名称及び本店又は主たる事務所の所在地並びに氏名が記載されている登記事項証明書又は印鑑登録証明書で提案の日前6月以内に作成されたものその他法律又はこれに基づく命令の規定により交付された書類であって、その者が本人であることを確認するに足りるもの
(5) 提案をする者がやむを得ない事由により前2号に掲げる書類を添付できない場合にあっては、当該提案をする者が本人であることを確認するため学長が適当と認める書類
(6) 前各号に掲げる書類のほか、学長が必要と認める書類
(欠格事由)
第33条 個人情報保護法第111条各号のいずれかに該当する者は、前条第1項の提案をすることができない。
(提案の審査等)
第34条 学長は、第32条第1項の提案があったときは、当該提案が個人情報保護法第112条第1項各号に掲げる基準に適合するかどうかを審査するものとする。
(2) 前号の契約の締結に関する書類
2 審査委員会の委員は、学長が指名するものとする。
3 審査委員会は、個人情報保護法第112条第1項各号について審査し、その結果を学長に報告するものとする。
4 審査委員会の設置期間は、当該審査委員会の目的が達成されるまでとする。
(行政機関等匿名加工情報の作成等)
第37条 学長は、行政機関等匿名加工情報を作成するときは、特定の個人を識別することができないように及びその作成に用いる保有個人情報を復元することができないようにするために必要なものとして次に掲げる基準に従い、当該保有個人情報を加工するものとする。
(1) 保有個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(2) 保有個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(3) 保有個人情報と当該保有個人情報に措置を講じて得られる情報とを連結する符号(現に本法人において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該保有個人情報と当該保有個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
(4) 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(5) 前各号に掲げる措置のほか、保有個人情報に含まれる記述等と当該保有個人情報を含む個人情報ファイルを構成する他の保有個人情報に含まれる記述等との差異その他の当該個人情報ファイルの性質を勘案し、その結果を踏まえて適切な措置を講ずること。
2 前項の規定は、本法人から行政機関等匿名加工情報の作成の委託(2以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。
2 第32条第2項及び第4項並びに第33条から第36条までの規定は、前項の提案について準用する。この場合において、第32条第2項中「個人情報保護法第110条第2項各号に」とあるのは「個人情報保護法第110条第2項第1号及び第5号から第7号まで並びに個人情報保護法第116条第2項の規定により読み替えて準用する個人情報保護法第110条第2項第4号及び第8号に」と、第34条第1項中「個人情報保護法第112条第1項各号に」とあるのは「個人情報保護法第112条第1項第1号及び第4号から第6号まで並びに個人情報保護法第116条第2項の規定により読み替えて準用する個人情報保護法第112条第1項第7号に」と、同条第2項中「個人情報保護法第112条第1項各号」とあるのは「個人情報保護法第112条第1項第1号及び第4号から第7号まで」と、同条第4項中「個人情報保護法第112条第1項各号」とあるのは「個人情報保護法第112条第1項第1号及び第4号から第7号まで」と読み替えるものとする。この場合において、第32条第2項、第3項及び第6項中「提案書(様式第1号)」とあるのは「作成された行政機関等匿名加工情報をその用に供して行う事業に関する提案書(様式第7号)」と、第34条第2項及び第3項中「審査結果通知書(様式第4号)」とあるのは「審査結果通知書(様式第8号)」と、同条第4項中「審査結果通知書(様式第6号)」とあるのは「審査結果通知書(様式第9号)」と読み替えるものとする。
2 前項の利用料の額は、実費を勘案し、かつ、個人情報保護法第117条第1項及び第2項の手数料の額を参酌して、本法人が別に定める。
3 本法人は、前2項の規定による定めを一般の閲覧に供しなければならない。
(行政機関等匿名加工情報の利用に関する契約の解除)
第41条 学長は、第36条の規定により行政機関等匿名加工情報の利用に関する契約を締結した者が個人情報保護法第118条各号のいずれかに該当するときは、当該契約を解除することができる。
(識別行為の禁止等)
第42条 学長は、行政機関等匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該行政機関等匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該行政機関等匿名加工情報を他の情報と照合しないものとする。
(1) 行政機関等匿名加工情報等を取り扱う者の権限及び責任を明確に定めること。
(2) 行政機関等匿名加工情報等の取扱いに関する規程類を整備し、当該規程類に従って行政機関等匿名加工情報等を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。
(3) 行政機関等匿名加工情報等を取り扱う正当な権限を有しない者による行政機関等匿名加工情報等の取扱いを防止するために必要かつ適切な措置を講ずること。
3 前2項の規定は、本法人から行政機関等匿名加工情報等の取扱いの委託(2以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。
(従事者の義務)
第43条 行政機関等匿名加工情報等の取扱いに従事する本法人の役員若しくは職員又はこれらの職にあった者、前条第3項の委託を受けた業務に従事している者若しくは従事していた者又は本法人において行政機関等匿名加工情報等の取扱いに従事している派遣労働者若しくは従事していた派遣労働者は、その業務に関して知り得た行政機関等匿名加工情報等の内容をみだりに他人に知らせ、又は不当な目的に利用しないものとする。
(匿名加工情報の取扱いに係る義務)
第44条 本法人は、匿名加工情報(行政機関等匿名加工情報を除く。以下この条において同じ。)を第三者に提供するときは、法令に基づく場合を除き、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示するものとする。
2 前項の規定による公表は、インターネットの利用その他の適切な方法により行うものとする。
3 第1項の規定による明示は、電子メールを送信する方法又は書面を交付する方法その他の適切な方法により行うものとする。
4 本法人は、匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号を取得し、又は当該匿名加工情報を他の情報と照合しないものとする。
5 本法人は、匿名加工情報の漏えいを防止するために必要なものとして、次の各号に掲げる匿名加工情報の適切な管理のために必要な措置を講ずるものとする。
(1) 匿名加工情報(行政機関等匿名加工情報を除く。以下この項において同じ。)を取り扱う者の権限及び責任を明確に定めること。
(2) 匿名加工情報の取扱いに関する規程類を整備し、当該規程類に従って匿名加工情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。
(3) 匿名加工情報を取り扱う正当な権限を有しない者による匿名加工情報の取扱いを防止するために必要かつ適切な措置を講ずること。
6 前2項の規定は、本法人から匿名加工情報の取扱いの委託(2以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。
第7章 雑則
(保有個人情報の保有に関する特例)
第45条 保有個人情報(独立行政法人等の保有する情報の公開に関する法律(平成13年法律第140号)第5条に規定する不開示情報を専ら記録する法人文書に記録されているものに限る。)のうち、まだ分類その他の整理が行われていないもので、同一の利用目的に係るものが著しく大量にあるためその中から特定の保有個人情報を検索することが著しく困難であるものは、第5章の規定の適用については、本法人に保有されていないものとみなす。
(個人情報の取扱いに関する苦情処理)
第47条 本法人は、本法人における個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めるものとする。
(雑則)
第48条 この規則に定めるもののほか、個人情報保護の実施に関し必要な事項は、別に定める。
附則
この規則は、令和4年10月1日から施行する。
附則
この規則は、令和6年4月1日から施行する。
附則
この規程は、令和7年4月1日から施行する。