○学校法人藤田学院特定個人情報取扱規程
第1章 総則
(目的)
第1条 この規程は、「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(以下、「番号法」という。)及び特定個人情報保護委員会が定める「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に基づき、学校法人藤田学院(以下、「学院」という。)における特定個人情報の適正な取扱いを確保するために遵守する事項を定めることを目的とする。
(用語の定義)
第2条 この規程で掲げる用語の定義は、次のとおりとする。
(1) 「特定個人情報」とは、「個人番号」をその内容に含む個人情報をいう。
(2) 「個人番号」とは、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
(3) 「特定個人情報ファイル」とは、「個人番号」及び個人情報を含む情報の集合物で、コンピュータまたは帳簿等によって容易に検索できるよう体系的に構成したものであって、行政機関及び独立行政法人等以外の者が保有するものをいう。
(4) 「職員等」とは、学院の業務に従事する者をいい、学院と雇用関係にある職員(常勤の教育職員・事務職員・現業職員、非常勤の教職員、臨時職員等)のほか、学院と雇用関係のない者(理事、監事、評議員等)を含む。
(法令等の遵守)
第3条 学院は、番号法及び特定個人情報保護委員会が定めた「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を遵守して、特定個人情報を取り扱う。
(取扱い事務の範囲)
第4条 学院が取り扱う特定個人情報関係事務の範囲は、次のとおりとする。
(1) 私立学校教職員共済法及び厚生年金保険法に関する届出事務
(2) 国民年金第3号被保険者関係届出事務
(3) 労働者災害補償保険法及び雇用保険法に関する届出事務
(4) 給与所得・退職所得の源泉徴収票、給与支払報告書作成事務
(5) 報酬・料金、不動産の使用料等の支払調書等、税務当局に提出する法定調書作成事務
(6) 前各号に付随する行政機関等への届出事務
第2章 管理体制等
(組織体制)
第5条 特定個人情報の取扱いについての組織体制は、以下のとおりとし、鳥取看護大学(以下「看護大」という)、鳥取短期大学(以下「短大」という)、認定こども園鳥取短期大学附属こども園(以下「こども園」という)に、それぞれ事務取扱責任者及び事務取扱担当者を置く。
総責任者:学院事務局長
事務取扱責任者(看護大):看護大事務室長
事務取扱責任者(学院及び短大):経理部長
事務取扱責任者(こども園):園長
事務取扱担当者(看護大):看護大事務室総務係
事務取扱担当者(学院及び短大):経理部次長
事務取扱担当者(こども園):事務主任
システム責任者:企画部長
(総責任者)
第6条 総責任者は特定個人情報の管理を統括し、次の各号に定める事項のほか学院における特定個人情報に関する全ての権限と責務を有する。
(1) 特定個人情報の適正な取扱いに関する基本方針の策定
(2) 特定個人情報の取扱いを管理する上で必要とされる事項の決定・承認
(3) 特定個人情報の適正な取扱及び安全対策を維持・推進するための施策の策定及び実施
(4) 事故発生時の対応策の策定及び実施
(5) 委託先に対する監督等
(事務取扱責任者)
第7条 事務取扱責任者は、学校ごとの特定個人情報に関する権限と責任を有し、次の業務を所管する。
(1) この規程の周知
(2) 特定個人情報の利用申請の承認及び記録等の管理
(3) 特定個人情報の管理区分及び権限についての設定及び変更の管理
(4) 特定個人情報の取扱状況の把握
(5) その他特定個人情報の安全管理に関すること。
(事務取扱担当者)
第8条 事務取扱担当者は、学校ごとに第4条に定める特定個人情報に関する事務を取り扱う。
2 事務取扱責任者は、事務の範囲を定めた上で事務取扱担当者を選任し、報告に基づいて理事長が任命する。
3 事務取扱担当者は、情報システム及び情報機器・情報媒体を適切に管理し、利用権限のない者には使用させない等、特定個人情報の保護に十分な注意を払って業務を行う。
4 事務取扱担当者は、特定個人情報に関する事務の運用状況を明確にし、取扱状況を確認するため、第22条に定める事項について記録を作成する。
(システム責任者)
第9条 システム責任者は、第5条の関係者にかかるアクセス権限の付与、アクセスできる情報の範囲の設定等を行う。
2 システム責任者は、不正アクセス対策など第7章第4部の技術的安全管理措置に関する権限と責任を有する。
第3章 特定個人情報の取得
(利用目的の明示と取得の制限)
第10条 事務取扱責任者・担当者は、第4条に定める特定個人情報に関する事務を処理するため必要な場合に限り、個人番号の提供を求めることができる。
2 事務取扱責任者・担当者は、個人番号の提供を求める職員等に対して、別に定める文書により利用目的を特定して明示しなければならない。
(本人確認)
第11条 事務取扱担当者は、前条に基づいて職員等から個人番号の提供を受けるときは、別に定める手順書により本人確認を行うものとする。
2 本人確認では、「正しい番号であることの確認(番号確認)」と「手続きを行っている者が正しい持ち主であることの確認(身元確認)」を行わなければならない。
3 職員等は、個人番号の提供が番号法の定めにより必要なものである限り、本人確認に協力しなければならない。
(通知カードまたは個人番号カードの取扱い)
第12条 全ての職員等は、自らの通知カードまたは個人番号カードを本人が責任を持って保管しなければならない。
2 事務取扱責任者・担当者は、前項に従い職員等の通知カード(原本)または個人番号カード(原本)を保管してはならない。
第4章 特定個人情報の利用、提供
(特定個人情報の利用)
第13条 特定個人情報は第4条に定める事項に限定して利用することができる。
2 ただし、人の生命、身体または財産の保護のために必要がある場合で、本人の同意があり、または本人の同意を得ることが困難であるときは、前項に定める利用目的の範囲に関わらず学院が所有する特定個人情報を利用することができる。
(利用目的の特定、変更)
第14条 特定個人情報は第4条で限定的に定めた事務の範囲の中から、具体的な利用目的を特定した上で利用することを原則とする。
2 学院は、当初の特定した利用目的を超えて特定個人情報を利用する場合は、あらためて利用目的を特定し、特定個人情報を再取得しなければならない。ただし、当初の利用目的と相当の関連性を有すると合理的に認められる範囲で利用目的を変更することができる。
3 学院は、利用目的を変更した場合は、職員等に通知または公表しなければならない。
(特定個人情報ファイル作成制限)
第15条 事務取扱担当者は、第4条に定める事項に必要な範囲に限り、特定個人情報ファイルを作成することができる。
(特定個人情報の提供制限)
第16条 事務取扱責任者・担当者は、本人の同意の有無に関わらず、特定個人情報を第三者に提供してはならない。
2 ただし、人事異動により本人が同一学院内の他部署に配置換えとなった場合、異動先は第三者にはあたらない。
第5章 特定個人情報の保管、廃棄
(適正な管理)
第17条 事務取扱責任者・担当者は、特定個人情報を正確かつ最新の状態で管理するよう努めなければならない。
(保管制限)
第18条 事務取扱責任者・担当者は、第4条に定めた事項の範囲を超えて、特定個人情報を保管してはならない。
2 学院が行政機関等に提出する法定調書の控え、翌年度以降も継続的に利用する必要が認められる個人番号が記載された申告書等の書類は、関連する所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間、保管することができる。
3 特定個人情報ファイルは、所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、情報システム内において保管することができる。
4 特定個人情報を含む書類または特定個人情報ファイルを法定保存期間経過後も引き続き保管するときは、個人番号に係る部分を復元できない程度にマスキングまたは削除しなければならない。
(特定個人情報の削除・廃棄)
第19条 事務取扱責任者・担当者は、第4条に定めた個人番号関係事務を処理する必要がなくなった場合で、所管法令で定められている保存期間を経過したときは、個人番号をできるだけ速やかに削除または廃棄しなければならない。
2 前項の規定に関わらず、事務取扱責任者の判断により、総責任者の承認を得て、削除または廃棄を毎年度末にまとめて行うことができる。
3 事務取扱責任者・担当者は、個人番号若しくは特定個人情報ファイルを削除、または電子媒体等を廃棄した場合には、第22条に定める管理簿に記録しなければならない。
4 削除または廃棄の作業を外部に委託する場合は、総責任者は、委託先が確実に削除または廃棄したことについて、証明書の提出を求めて確認しなければならない。
第6章 特定個人情報の外部委託
(委託先の監督)
第20条 第4条に定める個人番号関係事務の全部又は一部を外部に委託する場合、総責任者は、委託先において、委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう、必要かつ適切な監督を行わなければならない。
2 前項の「必要かつ適切な監督」を行うため、次の措置を講じる。
(1) 委託先の適切な選定(経営環境、設備、技術水準等の事前確認)
(2) 委託先に安全管理措置を遵守させるために必要な契約の締結
(3) 委託先における特定個人情報の取扱状況の把握
3 前項第2号の委託契約の内容として、次の事項を盛り込むものとする。
(1) 秘密保持義務に関する規定
(2) 特定個人情報の持出しの禁止
(3) 特定個人情報の目的外利用の禁止
(4) 再委託における条件
(5) 漏えい事故等が発生した場合の委託先の責任に関する規定
(6) 委託契約終了後の特定個人情報等の返却または廃棄に関する規定
(7) 委託先の従業者に対する監督・教育に関する規定
(8) 契約内容の遵守状況について報告を求める規定
(9) 特定個人情報を取り扱う従業者の明確化に関する規定
(10) 委託者が委託先に対して実地の調査を行うことができる規定
4 委託先の管理については、法人本部事務局を責任部署とする。
5 総責任者は、委託先において特定個人情報等安全管理が適切に行われていることについて、定期的及び必要に応じてモニタリングをする。
第7章 安全管理措置
第1部 組織的安全管理措置
(特定個人情報ファイルの管理)
第21条 事務取扱担当者は、特定個人情報ファイルを適正に管理するため、特定個人情報ファイル管理台帳に次の事項を記録する。なお、当該管理台帳には特定個人情報は記載しない。
(1) 特定個人情報ファイルの名称
(2) ファイルの媒体
(3) 利用目的
(4) 保管場所及び保管期間
(5) 削除・廃棄状況
(6) 事務取扱責任者・担当者
(取扱状況の記録)
第22条 事務取扱担当者は、特定個人情報の取扱状況を確認するため、特定個人情報取扱管理簿に次の事項を記録する。
(1) 特定個人情報の取扱年月日、入手及び利用等の記録
(2) 官公署提出書類等の作成、提出状況の記録
(3) 書類・媒体等の持出の記録
(4) 特定個人情報ファイルの削除・廃棄記録
(5) 削除・廃棄を委託した場合、これを証明する記録等
(6) 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムへのログイン実績等、利用状況の記録
(情報漏えい発生事案等への体制整備)
第23条 情報の漏えいの発生又は兆候を事務取扱責任者が把握した場合、またはその可能性が高いと判断した場合は、速やかに所属長を経て理事長に報告し、総責任者は二次被害の防止及び類似事案の発生防止等の観点から、速やかに以下のとおり対策を講じるものとする。
(1) 事実関係の調査及び原因の究明
(2) 影響を受ける可能性のある本人への連絡
(3) 委員会及び主務大臣等への報告
(4) 再発防止策の検討及び決定
(5) 事実関係及び再発防止策等の公表
(取扱状況の把握及び安全管理措置の見直し)
第24条 総責任者は、特定個人情報の取扱状況を把握し、安全管理措置の評価、見直し及び改善のために特定個人情報等の取扱状況について、必要に応じて点検を行うものとする。
2 総責任者は、理事長と協議の上、外部機関による監査を実施することができる。
3 総責任者は、確認の結果に基づき、安全管理措置の見直し及び改善に取り組むものとする。
第2部 人的安全管理措置
(事務取扱担当者の教育・監督)
第25条 総責任者は、特定個人情報が本規程に基づき適性に行われるよう、事務取扱担当者に対し、必要かつ適切な教育及び監督を行うものとする。
(守秘義務の徹底)
第26条 総責任者、事務取扱責任者・担当者、システム責任者は、特定個人情報を秘密として保持し、本規程第16条に基づく場合及び第三者に外部委託する場合を除き、第三者に特定個人情報を提供、開示、漏えい等をしてはならない。
2 前項を確認徹底するため、総責任者、事務取扱責任者・担当者、システム責任者は、学院が定めた誓約書を提出するものとする。
第3部 理的安全管理措置
(取扱区域等の管理)
第27条 総責任者は、特定個人情報の漏えい等を防止するため、特定個人情報ファイルを管理する管理区域及び特定個人情報等の取扱事務を実施する取扱区域を定める。
2 管理区域について、区域の明確化と立ち入り制限及び書庫の施錠等の安全管理措置を講じる。
3 取扱区域について、壁または間仕切り等の設置及び座席配置の工夫等の安全管理措置を講じる。
(機器等の盗難防止)
第28条 事務取扱責任者は、管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、以下の措置を講じる。
(1) 特定個人情報を含む書類及び電子媒体等は、施錠できる書庫等に保管する。
(2) 特定個人情報ファイルは、パスワードを付与する等の保護措置を講じた上でこれを保存し、当該パスワードを適切に管理する。
(電子媒体等の持ち出し)
第29条 特定個人情報が記録された電子媒体または書類の持出しは、次に掲げる場合を除き禁止する。
(1) 個人番号関係事務に係る外部委託先に、事務上必要な範囲内でデータを提供する場合
(2) 法定調書提出等の個人番号関係事務に関して、行政機関等に対しデータ又は書類を提出する場合
2 前項により持出しを行う場合には、次の安全策を講じるものとする。ただし、行政機関等に法定調書等をデータで提出する場合は、行政機関等が指定する提出方法に従うものとする。
(1) 封緘、目隠しシールの貼付
(2) 持出しデータの暗号化、パスワードによる保護
(3) 施錠できる搬送容器の使用
(4) 発送時、簡易書留等の追跡可能な移動手段の利用
3 特定個人情報は、Eメールやインターネット等により外部に送信してはならない。止むを得ず送信する必要が生じた場合は、データの暗号化又はパスワードによる保護を復元できない手段を採用する。
4 特定個人情報を持ち出す場合は、第22条に定める記録簿に記録し、保存するものとする。
(特定個人情報の削除・廃棄)
第30条 事務取扱責任者・担当者は、特定個人情報を廃棄又は削除する場合、次の方法によるものとし、削除又は廃棄した記録を第22条に定める記録簿に記載し、保存するものとする。
(1) 特定個人情報が記録された書類等を廃棄する場合は、シュレッダー等による裁断、焼却等の復元不可能な手段を採用する。
(2) 特定個人情報が記録された情報機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用、または物理的な破壊等により、復元不可能な手段を採用する。
(3) 特定個人情報ファイル中の個人番号または一部の特定個人情報を削除する場合、容易に復元できない手段を採用する。
2 総責任者は、保存期間経過後に速やかに特定個人情報を廃棄または削除するため、次の措置を講じる。
(1) 特定個人情報を取り扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした情報システムを構築する。
(2) 特定個人情報が記載された書類等については、保存期間経過後における個人番号の削除を前提とした手続を定めるものとする。
3 総責任者は、第1項の廃棄又は削除を第三者に委託する場合には、委託先が確実に削除または廃棄したことについて、証明書等により確認する。
第4部 技術的安全管理措置
(システムのアクセス制御)
第31条 特定個人情報へアクセスすることができる事務取扱担当者及び情報の範囲は、アクセス制御により必要最小限にとどめる。
2 特定個人情報等のアクセス権限の付与、特定個人情報ファイルを取り扱うPCの特定、サーバー等へのアクセス権の設定等を行う。
(アクセス者の識別と認証)
第32条 特定個人情報ファイルを取り扱うPC、サーバー等への不正なアクセスを防止するため、ユーザーID、パスワード等による事務取扱担当者の識別と認証を行う。
(不正アクセス等の防止)
第33条 特定個人情報ファイルを取り扱う情報システムは、外部からの不正アクセスや不正ソフトウェアから保護する仕組みを講じる。
第8章 その他
(禁止事項)
第33条 すべての職員等は、特定個人情報について以下のことをしてはならない。
(1) 不正な手段により特定個人情報を収集すること。
(2) 当初の収集目的以外で特定個人情報を利用すること。
(3) 業務上の必要なく管理区域及び取扱区域に立ち入ること。
(4) 業務上の必要及び権限がなく特定個人情報ファイルにアクセス又は閲覧し、保管された特定個人情報を記録すること。
(罰則等)
第35条 本規程に違反した場合は、就業規則の懲戒処分の規程に従うほか、学院に損害を与えた場合には損害賠償を請求することができる。
(改廃)
第36条 この規程の改廃は、理事会の決議による。
附則
この規程は、平成28年1月1日から施行する。