国立大学法人豊橋技術科学大学個人情報管理規程

２　本法人における個人情報の取扱いに関しては，個人情報の保護に関する法律（平成15年法律第57号。以下「個人情報保護法」という。）及び行政手続における特定の個人を識別するための番号の利用等に関する法律（平成25年法律第27号。以下「番号法」という。）その他関係法令及びガイドライン等の定めるもののほか，この規程の定めるところによる。

２　次の各号に掲げる用語の定義は，当該各号の定めるところによる。

２　総括保護管理者は，個人情報の取扱い及び情報システムの管理に関する事務に従事する職員（派遣労働者を含む。以下「職員」という。）に，本規程の趣旨及び内容の周知徹底を図るとともに，これを遵守させるために必要な業務を行うものとする。

３　総括保護管理者は，第２条第２項第１条に規定する本法人における情報システム室等をあらかじめ指定するものとする。

４　総括保護管理者は，学長が指名する理事又は副学長をもって充てる。

２　保護管理者は，別表１のとおりとする。ただし，別表１に定めるもの以外にあっては，総括保護管理者が指名するものとする。

２　保護担当者は，前条の保護管理者の下に１人又は複数を置き，当該保護管理者が指名する者をもって充てる。

２　監査責任者は，個人情報の管理の状況について監査する。

２　事務取扱担当者は，保護管理者が指定する範囲について特定個人情報等を取り扱うものとする。

２　委員に欠員が生じた場合の補欠委員の任期は，前任者の残任期間とする。

２　委員長は，委員会を招集し，その議長となる。

３　委員長に事故があるとき，又は委員長が欠けたときは，あらかじめ委員長の指名した委員がその職務を代行する。

２　委員会の議事は，出席した構成員の過半数をもって決し，可否同数のときは，議長の決するところによる。

３　委員長は，必要に応じて構成員以外の者の出席を求め，意見を聴くことができる。

２　職員は，利用目的を変更する場合には，変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

３　職員は，あらかじめ本人の同意を得ないで，前２項の規定により特定された利用の目的の達成に必要な範囲を超えて，個人情報を取り扱ってはならない。

４　職員は，合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は，あらかじめ本人の同意を得ないで，承継前における当該個人情報の利用目的の達成に必要な範囲を超えて，当該個人情報を取り扱ってはならない。

５　前２項の規定は，次に掲げる場合については，適用しない。

２　職員は，前項の規定にかかわらず，本人との間で契約を締結することに伴って契約書その他の書面（電磁的記録を含む。）に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は，あらかじめ，本人に対し，その利用目的を明示しなければならない。ただし，人の生命，身体又は財産の保護のために緊急に必要がある場合は，この限りでない。

３　職員は，利用目的を変更した場合は，変更された利用目的について，本人に通知し，又は公表しなければならない。

４　前３項の規定は，次に掲げる場合については，適用しない。

２　職員は，次に掲げる場合を除くほか，あらかじめ本人の同意を得ないで，要配慮個人情報を取得してはならない。

２　保護管理者は，前項の規定によりアクセス権限を付与した職員の職名・氏名を総括保護管理者に届け出るものとする。

３　アクセス権限を有しない職員は，個人データにアクセスしてはならない。

４　職員は，アクセス権限を有する場合であっても，業務上の目的以外の目的で個人データにアクセスしてはならない。

２　保護管理者は，特定個人情報ファイルの取扱状況を確認する手段を整備して，当該特定個人情報等の利用及び保管等の取扱いの状況について記録しなければならない。

２　次に掲げる場合において，当該個人データの提供を受ける者は，前項の規定の適用については，第三者に該当しないものとする。

３　職員は，前項第３号に規定する個人データの管理について責任を有する者の氏名，名称若しくは住所又は学長の氏名に変更があったときは遅滞なく，同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ，その旨について，本人に通知し，又は本人が容易に知り得る状態に置かなければならない。

２　職員は，前項の規定により本人の同意を得ようとする場合には，施行規則第17条で定めるところにより，あらかじめ，当該外国における個人情報の保護に関する制度，当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

３　職員は，個人データを外国にある第三者（第１項に規定する体制を整備している者に限る。）に提供した場合には，施行規則第18条で定めるところにより，当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに，本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

２　職員は，前項の記録を，当該記録を作成した日から施行規則第21条で定める期間保存しなければならない。　

２　職員は，前項の規定による確認を行ったときは，施行規則第23条で定めるところにより，当該個人データの提供を受けた年月日，当該確認に係る事項その他の施行規則第24条で定める事項に関する記録を作成しなければならない。

３　保護管理者は，前項の記録を，当該記録を作成した日から施行規則第25条で定める期間保存しなければならない。

２　職員は，個人関連情報を外国にある第三者に提供した場合には，施行規則第18条で定めるところにより，当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じなければならない。

３　職員は，第1項の規定による確認を行ったときは，施行規則第27条で定めるところにより，当該個人関連情報の提供した年月日，当該確認に係る事項その他の施行規則第28条で定める事項に関する記録を作成しなければならない。

４　保護管理者は，前項の記録を，当該記録を作成した日から施行規則第29条で定める期間保存しなければならない。

２　保護管理者は，仮名加工情報を作成したとき，又は仮名加工情報及び当該仮名加工情報に係る削除情報等（仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第３項において読み替えて準用する第7項において同じ。）を取得したときは，削除情報等の漏えいを防止するために必要なものとして施行規則第32条で定める基準に従い，削除情報等の安全管理のための措置を講じなければならない。

３　職員は，第18条の規定にかかわらず，法令に基づく場合を除くほか，第18条第１項の規定により特定された利用目的の達成に必要な範囲を超えて，仮名加工情報（個人情報であるものに限る。以下この条において同じ。）を取り扱ってはならない。

４　仮名加工情報についての第20条の規定の適用については，同条第１項及び第３項中「，本人に通知し，又は公表し」とあるのは「公表し」と，同条第４項第１号から第３号までの規定中「本人に通知し，又は公表する」とあるのは「公表する」とする。

５　職員は，仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは，当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては，第22条の規定は，適用しない。

６　職員は，第31条第１項及び第32条第１項の規定にかかわらず，法令に基づく場合を除くほか，仮名加工情報である個人データを第三者に提供してはならない。この場合において，第31条第２項中「前各項」とあるのは「第36条第６項」と，同項第３号中「，本人に通知し，又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と，同条第３項中「，本人に通知し，又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と，第33条第１項ただし書中「第31条第1項各号又は第２項各号のいずれか（前条第１項の規定による個人データの提供にあっては，第31条第１項各号のいずれか）」とあり，及び第34条第1項ただし書中「第31条第1項各号又は第２項各号のいずれか」とあるのは「法令に基づく場合又は第31条第２項各号のいずれか」とする。

７　職員は，仮名加工情報を取り扱うに当たっては，当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために，当該仮名加工情報を他の情報と照合してはならない。

８　職員は，仮名加工情報を取り扱うに当たっては，電話をかけ，郵便若しくは民間事業者による信書の送達に関する法律（平成14年法律第99号）第２条第６項に規定する一般信書便事業者若しくは同条第９項に規定する特定信書便事業者による同条第２項に規定する信書便により送付し，電報を送達し，ファクシミリ装置若しくは電磁的方法（電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって施行規則第33条で定めるものをいう。）を用いて送信し，又は住居を訪問するために，当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。

９　仮名加工情報，仮名加工情報である個人データについては，第18条第２項及び第67条第５項規定は，適用しない。

２　第31条第２項及び第３項の規定は，仮名加工情報の提供を受ける者について準用する。この場合において，同条第２項中「前各項」とあるのは「第37条第1項」と，同項第３号中「，本人に通知し，又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と，同条第３項中「，本人に通知し，又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。

３　第23条，第24条，前条第７項及び第８項，並びに第47条の規定は，本法人による仮名加工情報の取扱いについて準用する。この場合において，第23条中「漏えい，滅失又は毀損」とあるのは「漏えい」と，前条第７項中「ために，」とあるのは「ために，削除情報等を取得し，又は」と読み替えるものとする。

２　職員は，法令に基づく場合を除き，利用目的以外の目的のために行政機関等匿名加工情報及び削除情報（保有個人情報に該当するものに限る。）を自ら利用し，又は提供してはならない。

３　保護管理者は，個人情報保護法第107条及び第113条（第116条第２項の規定により第113条の規定を準用する場合を含む。）により，行政機関等匿名加工情報の利用に関する契約を締結した者（以下「契約相手方」という。）から個人情報保護法第110条第２項第７号の規定に基づき当該契約相手方が講じた行政機関等匿名加工情報情報の適切な管理に支障を及ぼすおそれがある旨の報告を受けたときは，直ちに総括保護管理者に報告するとともに，当該契約相手方がその是正のために講じた措置を確認しなければならない。

４　行政機関等匿名加工情報の作成及び提供等に関し，必要な事項は，別に定める。

２　個人データの取扱いに係る業務を派遣労働者によって行わせる場合には，労働者派遣契約書に秘密保持義務等個人情報等の取扱いに関する事項を明記しなければならない。

２　保護管理者は，前項の措置を講ずる場合には，パスワード等の管理に関する定めを整備（その定期又は随時の見直しを含む。）するとともに，パスワード等の読取防止等を行うために必要な措置を講じなければならない。

２　職員は，保護管理者が必要と認める場合を除き，端末を外部へ持ち出し，又は外部から持ち込んではならない。

２　保護管理者は，必要があると認めるときは，情報システム室等の出入口の特定化による入退の管理の容易化，所在表示の制限等の措置を講じなければならない。

３　保護管理者は，情報システム室等及び保管施設の入退の管理について，必要があると認めるときは，立入りに係る認証機能を設定するとともに，パスワード，ＩＣカード等の取扱いに関する定めの整備及びその定期又は随時の見直しの実施，読取防止等の措置を講じなければならない。

２　保護管理者は，災害等に備え，情報システム室等に，耐震，防火，防煙，防水等の必要な措置を講ずるとともに，サーバ等機器の予備電源の確保，配線の損傷防止等の措置を講じなければならない。

２　保護管理者は，被害の拡大防止又は復旧等のために必要な措置を速やかに講じなければならない。ただし，外部からの不正アクセスや不正プログラムの感染が疑われる当該端末等のＬＡＮケーブルを抜くなど，被害拡大防止のため直ちに行い得る措置については，直ちに行わなければならない（職員に行わせることを含む。）。

３　保護管理者は，発生した事案の経緯，被害状況等を調査し，総括保護管理者に報告しなければならない。ただし，特に重大と認める事案が発生した場合には，直ちに総括保護管理者に当該事案の内容等について報告しなければならない。

４　総括保護管理者は，前項の規定に基づく報告を受けた場合には，発生した事案の内容等に応じて，当該事案の内容，経緯，被害状況等を学長に速やかに報告しなければならない。

５　総括保護管理者は，その取り扱う個人データの漏えい，滅失，毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして施行規則で定めるものが生じたときは，施行規則で定めるところにより，当該事態が生じた旨を個人情報保護委員会に対し，速やかに報告しなければならない。ただし，本法人が，他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって，当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは，この限りでない。

６　前項に規定する場合には，総括保護管理者は，本人に対し，施行規則で定めるところにより，当該事態が生じた旨を通知しなければならない。ただし，本人への通知が困難な場合であって，本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは，この限りでない。

７　保護管理者は，発生した事案の原因を分析し，再発防止のために必要な措置を講じなければならない。