○学校法人麻布獣医学園の保有する個人情報の取扱いに関する規程
平成18年3月23日
規程
第1章 総則
(趣旨)
第1条 この規程は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)、同法施行令(以下「政令」という。)、同法施行規則(以下「省令」という。)及び同法についてのガイドライン(通則編、第三者提供時の確認・記録義務編、匿名加工情報編(以下「ガイドライン」という。)の規定に基づき、個人情報取扱事業者である学校法人麻布獣医学園(以下「学園」という。)における個人情報の取扱いに関し必要な事項を定める。
(定義)
第2条 この規程における用語の定義は、法第2条各号、政令、省令及びガイドラインによるほか、次の各号に定めるところによる。
(1) 「部局」とは、各学部、各研究科、附置生物科学総合研究所、附属学術情報センター、附属動物管理センター、附属動物病院、大学教育推進機構(教育推進センター、教育方法開発センター、データサイエンスセンター、教学IRセンター)、研究推進・支援本部、地域連携センター、健康管理センター、DEI推進センター、附属高等学校及び事務局をいう。
(2) 「部局長」とは、各学部長、各研究科長、附置生物科学総合研究所長、附属学術情報センター長、附属動物管理センター長、附属動物病院長、大学教育推進機構長(教育推進センター長、教育方法開発センター長、データサイエンスセンター長、教学IRセンター長)、研究推進・支援本部長、地域連携センター長、健康管理センター長、DEI推進センター長、附属高等学校長及び事務局長をいう。
(3) 「生徒等」とは、大学又は高校において、教育を受けている者、教育を受けようとする者、過去において教育を受けた者及び受けようとした者をいう。
(4) 「役員」とは、私立学校法第37条に規定する理事及び監事をいい、「職員」とは、学園就業規則第3条並びに学園人事規則第1条及び第2条に規定する者をいう。
第2章 管理体制
(総括個人情報保護管理者)
第3条 学園に、総括個人情報保護管理者を置き、学長をもって充てる。
2 総括個人情報保護管理者は、学園における個人データの管理に関する事務を総括する任に当たる。
3 総括個人情報保護管理者は、個人データの管理に係る重要事項の決定等を行うため、必要があると認めるときは、理事長に裁定を仰ぐものとする。
(個人情報保護管理者)
第4条 個人データを取り扱う部局に個人情報保護管理者を置き、部局長をもって充てる。
2 個人情報保護管理者は、所管する当該部局における個人データを適切に管理するものとする。
(個人情報保護担当者)
第5条 個人データを取り扱う部局に、個人情報保護担当者を置き、部局長が指名する者をもって充てる。
2 個人情報保護担当者は、指名する部局長の判断により、必要に応じて、複数の者を置くことができる。
3 個人情報保護担当者は、個人情報保護管理者を補佐し、当該部局における個人データの管理に関する事務を担当する。
(教育研究上の基本組織における特例)
第6条 前条の規定にかかわらず、大学及び高等学校に勤務する教育職員が管理する個人データについては、教育研究上の基本組織である当該学部又は研究科並びに附属高等学校の各長を個人情報保護管理者とし、大学及び高等学校に勤務する教育職員を個人情報保護担当者とする。
(個人情報保護監査責任者)
第7条 学園に、個人情報保護監査責任者を置き、監査室長をもって充てる。
2 個人情報保護監査責任者は、個人データの管理の状況について監査する任に当たる。
第3章 教育研修
(教育研修)
第8条 総括個人情報保護管理者は、個人データの取扱いに従事する職員に対し、個人データの取扱いについて理解を深め、個人情報の取扱いに関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。
2 総括個人情報保護管理者は、個人データを取り扱う情報システムの管理に関する事務に従事する職員に対し、個人データの適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行うものとする。
3 個人情報保護管理者は、職員に対し、個人データの適切な管理のために、総括個人情報保護管理者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずるものとする。
第4章 職員等の責務
(職員等の責務)
第9条 役員若しくは職員又はこれらの職にあった者は、法の趣旨に則り、関連する法令及び規則等の定め並びに総括個人情報保護管理者、個人情報保護管理者及び個人情報保護担当者の指示に従い、適切に個人データを取り扱わなければならない。
第5章 保有個人データの取扱い
(利用目的の特定)
第10条 学園は、個人情報を保有するに当たっては、業務を遂行するため必要な場合に限り、かつ、その利用の目的を単に抽象的、一般的に特定するのではなく、本人が取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に具体的、個別的に特定しなければならない。
(利用目的の明示)
第11条 学園は、本人から直接書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。)に記録された当該本人の個人情報を取得するときは、次に掲げる場合を除き、あらかじめ、本人に対し、その利用目的を明示しなければならない。
(1) 人の生命、身体又は財産の保護のために緊急に必要があるとき。
(2) 利用目的を本人に通知し、又は公表することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(3) 利用目的を本人に通知し、又は公表することにより、学園の権利又は正当な利益を害するおそれがある場合
(4) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 取得の状況からみて、利用目的が明らかであると認められる場合
(適正な取得)
第12条 学園は、偽りその他不正の手段により、個人情報を取得してはならない。
(正確性の確保)
第13条 学園は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。
(利用目的の制限)
第14条 学園は、あらかじめ本人の同意を得ないで、第10条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 学園は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前2項の規定は、次に掲げる場合については、適用しない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(第三者提供の制限)
第15条 学園は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 学園は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
(1) 第三者への提供を利用目的とすること。
(2) 第三者に提供される個人データの項目
(3) 第三者への提供の手段又は方法
(4) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
4 次に掲げる場合において、当該個人データの提供を受ける者は、前3項の規定の適用については、第三者に該当しないものとする。
(1) 学園が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
(2) 合併その他の事由による事業の承継に伴って個人データが提供される場合
(3) 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
5 学園は、前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(アクセス制限)
第16条 個人情報保護管理者は、個人データの秘匿性等その内容に応じて、当該個人データにアクセスする権限を有する者をその利用目的を達成するために必要最小限の職員に限るものとする。
2 アクセス権限を有しない職員は、個人データにアクセスしてはならない。
3 職員は、アクセス権限を有する場合であっても、業務上の目的以外の目的で個人データにアクセスしてはならない。
(複製等の制限)
第17条 職員は、業務上の目的で個人データを取り扱う場合であっても、次に掲げる行為については、個人情報保護管理者の指示に従い行うものとする。
(1) 個人データの複製
(2) 個人データの送信
(3) 個人データが記録されている媒体の外部への送付又は持出し
(4) その他個人データの適切な管理に支障を及ぼすおそれのある行為
(誤りの訂正等)
第18条 職員は、個人データの内容に誤り等を発見した場合には、個人情報保護管理者の指示に従い、訂正等を行うものとする。
(媒体の管理等)
第19条 職員は、個人情報保護管理者の指示に従い、個人データが記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫等への保管、施錠等を行うものとする。
(廃棄等)
第20条 職員は、個人データ又は個人データが記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合には、個人情報保護管理者の指示に従い、当該個人データの復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行うものとする。
(個人データの取扱状況の記録)
第21条 個人情報保護管理者は、個人データの秘匿性等その内容に応じて、台帳等を整備して、当該個人データの利用及び保管等の取扱いの状況について記録するものとする。
第6章 情報システムにおける安全の確保等
(アクセス制御)
第22条 個人情報保護管理者は、個人データ(情報システムで取り扱うものに限る。以下この章(第28条を除く。)において同じ。)の秘匿性等その内容に応じて、パスワード等(パスワード、ICカード、生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講ずるものとする。
2 個人情報保護管理者は、前項の措置を講ずる場合には、パスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。)、パスワード等の読取防止等を行うために必要な措置を講ずるものとする。
(アクセス記録)
第23条 個人情報保護管理者は、個人データの秘匿性等その内容に応じて、当該個人データへのアクセス状況を記録し、その記録(以下「アクセス記録」という。)を一定の期間保存し、及びアクセス記録を定期に又は随時に分析するために必要な措置を講ずるものとする。
2 個人情報保護管理者は、アクセス記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講ずるものとする。
(外部からの不正アクセスの防止)
第24条 個人情報保護管理者は、個人データを取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定による経路制御等の必要な措置を講ずるものとする。
(コンピュータウイルスによる漏えい等の防止)
第25条 個人情報保護管理者は、コンピュータウイルスによる個人データの漏えい、滅失又はき損の防止のため、コンピュータウイルスの感染防止等に必要な措置を講ずるものとする。
(暗号化)
第26条 個人情報保護管理者は、個人データの秘匿性等その内容に応じて、その暗号化のために必要な措置を講ずるものとする。
(入力情報の照合等)
第27条 職員は、情報システムで取り扱う個人データの重要度に応じて、入力原票と入力内容との照合、処理前後の当該個人データの内容の確認、既存の個人データとの照合等を行うものとする。
(バックアップ)
第28条 個人情報保護管理者は、個人データの重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講ずるものとする。
(情報システム設計書等の管理)
第29条 個人情報保護管理者は、個人データに係る情報システムの設計書、構成図等の文書について外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講ずるものとする。
(端末の限定)
第30条 個人情報保護管理者は、個人データの秘匿性等その内容に応じて、その処理を行う端末を限定するために必要な措置を講ずるものとする。
(端末の盗難防止等)
第31条 個人情報保護管理者は、端末の盗難又は紛失の防止のため、端末の固定、執務室の施錠等の必要な措置を講ずるものとする。
2 職員は、個人情報保護管理者が必要があると認めるときを除き、端末を外部へ持ち出し、又は外部から持ち込んではならない。
(第三者の閲覧防止)
第32条 職員は、端末の使用に当たっては、個人データが第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講ずるものとする。
第7章 情報システム室等の安全管理
(入退室の管理)
第33条 個人情報保護管理者は、原則として、個人データを取り扱う基幹的なサーバ等の機器を設置する室等(以下「情報システム室」という。)に入室する権限を有する者を定めるとともに、用件の確認、入退室の記録、部外者についての識別化、部外者が入室する場合の職員の立会い等の措置を講ずるものとする。また、個人データを記録する媒体を保管するための施設を設けている場合においても、必要があると認めるときは、同様の措置を講ずるものとする。
2 個人情報保護管理者は、必要があると認めるときは、原則として、情報システム室等の出入口の特定化による入退室の管理の容易化、所在表示の制限等の措置を講ずるものとする。
3 個人情報保護管理者は、情報システム室等及び保管施設の入退室の管理について、必要があると認めるときは、原則として、入室にかかわる認証機能を設定し、及びパスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。)、パスワード等の読取防止等を行うために必要な措置を講ずるものとする。
(情報システム室等の管理)
第34条 個人情報保護管理者は、外部からの不正な侵入に備え、情報システム室等に施錠装置、警報装置、監視設備の設置等の措置を講ずるものとする。
2 個人情報保護管理者は、災害等に備え、情報システム等に、耐震、防火、防煙、防水等の必要な措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の措置を講ずるものとする。
第8章 業務の委託等
(業務の委託等)
第35条 個人データの取扱いに係る業務を外部に委託する場合には、個人情報の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置を講ずるものとする。また、契約書に次に掲げる事項を明記するとともに、委託先における責任者等の管理体制、個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認するものとする。
(1) 個人情報に関する秘密保持の義務
(2) 再委託の制限又は条件に関する事項
(3) 個人情報の複製等の制限に関する事項
(4) 個人情報の漏えい等の事案の発生時における対応及びその責任体制に関する事項
(5) 委託終了時における個人情報の消去及び媒体の返却に関する事項
(6) 違反した場合における契約解除の措置その他必要な事項
2 個人データの取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記するものとする。
第9章 安全確保上の問題への対応
(事案の報告及び再発防止措置)
第36条 個人データ漏えい等安全確保の上で問題となる事案が発生した場合に、その事実を知った職員は、速やかに当該個人データを管理する個人情報保護管理者に報告するものとする。
2 個人情報保護管理者は、被害の拡大防止又は復旧等のために必要な措置を講ずるものとする。
3 個人情報保護管理者は、事案の発生した経緯、被害状況等を調査し、総括個人情報保護管理者に報告する。ただし、特に重大と認める事案が発生した場合には、直ちに総括個人情報保護管理者に当該事案の内容等について報告するものとする。
4 総括個人情報保護管理者は、前項の規定に基づく報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を理事長に速やかに報告するものとする。
5 個人情報保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるものとする。
(公表等)
第37条 理事長は、前条の場合において、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る本人への対応等の措置を講ずるものとする。
第10章 監査及び点検の実施
(監査)
第38条 個人情報保護監査責任者は、個人データの管理の状況について、定期に又は随時に監査を行い、その結果を理事長に報告するものとする。
(点検)
第39条 個人情報保護管理者は、自ら管理責任を有する個人データの記録媒体、処理経路、保管方法等について、定期に又は随時に点検を行い、必要があると認めるときは、その結果を総括個人情報保護管理者に報告するものとする。
(評価及び見直し)
第40条 理事長は、個人データの適切な管理のための措置については、監査又は点検の結果等を踏まえ、実効性等の観点から評価し、必要があると認めるときは、その見直し等の措置を講ずるものとする。
第11章 保有個人データ
(保有個人情報データ簿の作成及び公表)
第41条 学園は、学園が保有している保有個人データについて、それぞれ次に掲げる事項を記載した帳簿(以下「保有個人データ簿」という。)を作成し、公表しなければならない。
(1) 学園の名称とその代表者
(2) すべての保有個人データの利用目的
(3) 保有個人データに記録される個人情報の収集方法、保有個人データの開示・訂正・利用停止の各手続方法
(4) 保有個人データに記録される個人情報の収集方法について、本人からそのことについて求められた場合又は本人が保有個人データの開示を求めた場合における各手数料
(5) 学園が行う保有個人データの取扱いに関する苦情の申出先
第12章 開示、訂正及び利用停止
(開示、訂正及び利用停止)
第42条 学園は、法、政令、省令及びガイドラインに基づき、保有個人データの開示、訂正及び利用停止の請求があった場合には、その処理を適切に行うものとする。
2 前項の処理を行うための方法等については、別に定める。
第13章 苦情処理
(苦情処理)
第43条 学園は、学園における個人情報の取扱いに関する苦情の処理を適切に行うものとする。
2 前項の処理を行うための方法等については、別に定める。
第14章 雑則
(適用除外)
第44条 法第76条第1項第3号に定める目的で保有している個人データの管理にあっては、教育職員が個人で適切に管理する場合には、その個人データの管理に限って、この規程を、適用しない。
ただし、第4条第1項に掲げる個人情報保護管理者が管理することは、これを妨げない。
2 前項の規定に定めるもののほか、特定の個人情報を保護する目的で既に規程化されたもの、又は別に規程を設けて個人情報を取扱うことが適当であると総括個人情報保護管理者が認める場合に限って、この規程を、適用しない。
(他の法律との関係)
第45条 行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「マイナンバー法」という。)に定める「個人番号」及び「特定個人情報」にかかわる個人情報の取扱いは、この規程によらず、マイナンバー法及び同法にかかわる関係法令の定めに従って取り扱うものとする。
(雑則)
第46条 この規則に定めるもののほか、学園における個人情報の保護について必要な事項は、理事長が別に定める。
(規程の改廃)
第47条 この規程の改廃は、教育研究会議及び学長の意見を聴いて理事会が行う。
附則
この規程は、平成18年3月23日に制定し、平成18年4月1日から施行する。
附則
この規程は、平成20年3月18日に改正し、平成20年4月1日から施行する。
附則
この規程は、平成25年5月28日に改正し、平成26年4月1日から施行する。
附則
この規程は、平成27年3月17日に改正し、平成27年4月1日から施行する。
附則
この規程は、平成28年9月27日に改正し、同日から施行する。
附則
この規程は、平成29年5月30日に改正し、同日から施行する。
附則
この規程は、令和3年7月27日に改正し、令和3年10月1日から施行する。
附則
この規程は、令和4年11月29日に改正し、令和4年12月1日から施行する。