第27回役員会(別紙1) 京都大学における個人情報の保護に関する規程

第27回役員会(別紙1) 京都大学における個人情報の保護に関する規程

役員会  第27回 平成17年3月14日(月曜日)開催

■別紙1

京都大学における個人情報の保護に関する規程

 第一章 総則

  1.  (趣旨)
    第一条 この規程は、独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号。以下「法」という。)に基づき、国立大学法人京都大学(以下「本学」という。)における個人情報の取扱いその他個人情報の保護に関し必要な事項を定める。
  2.  (定義)
    第二条 この規程において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
    2 この規程において「保有個人情報」とは、本学の役員又は職員(以下「職員等」という。)が職務上作成し、又は取得した個人情報であって、本学の職員等が組織的に利用するものとして、本学が保有しているものをいう。ただし、独立行政法人等の保有する情報の公開に関する法律(平成十三年法律第百四十号)第二条第二項に規定する法人文書に記録されているものに限る。
    3 この規程において「個人情報ファイル」とは、保有個人情報を含む情報の集合物であって、次に掲げるものをいう。
     一 一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
     二 前号に掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの
    4 この規程において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。

 第二章 個人情報保護の管理体制

  1.  (総括保護管理者)
    第三条 本学に、保有個人情報の適正な管理を行うため、総括保護管理者を置き、法務担当の理事をもって充てる。
    2 総括保護管理者は、本学における保有個人情報の管理に関する事務を総括する。
  2.  (保護管理者)
    第四条 保有個人情報を取り扱う研究科、地球環境学堂、附置研究所、附属図書館、医学部附属病院若しくはセンター等(国立大学法人京都大学の組織に関する規程(平成十六年達示第一号)第三章第七節から第十一節までに定める施設等をいう。)又は事務本部の課、宇治地区事務部若しくは三研究科共通事務部又は医療技術短期大学部(以下「部局」という。)に保護管理者を置き、当該部局の長をもって充てる。
    2 保護管理者は、当該部局における保有個人情報の管理に関する事務を行う。
  3.  (保護担当者)
    第五条 各部局に保護担当者を置き、当該部局の職員のうちから保護管理者が指名する。
    2 保護担当者は、保護管理者を補佐する。
  4.  (監査責任者)
    第六条 本学に監査責任者を置き、総長が指名する監事をもって充てる。
    2 監査責任者は、本学における保有個人情報の管理状況を監査する。

 第三章 個人情報の取扱い

  1.  (個人情報の保有の制限等)
    第七条 職員等は、職務上個人情報を作成し、又は取得するにあたっては、本学の業務(国立大学法人法(平成十五年法律第百十二号)第二十二条の規定により本学が実施する業務をいう。以下同じ。)を遂行するため必要な場合に限り、かつ、その利用の目的をできる限り特定しなければならない。
    2 職員等は、前項の規定により特定された利用の目的(以下「利用目的」という。)の達成に必要な範囲を超えて、個人情報を保有してはならない。
    3 職員等は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
  2.  (利用目的の明示)
    第八条 職員等は、本人から直接書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録(第三十条において「電磁的記録」という。)を含む。)に記録された当該本人の個人情報を取得するときは、次に掲げる場合を除き、あらかじめ、本人に対し、その利用目的を明示しなければならない。
     一 人の生命、身体又は財産の保護のために緊急に必要があるとき。
     二 利用目的を本人に明示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき。
     三 利用目的を本人に明示することにより、国の機関、独立行政法人等(独立行政法人通則法(平成十一年法律第百三号)第二条第一項に規定する独立行政法人及び法別表に掲げる法人をいう。以下同じ。)、地方公共団体又は地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。第十三条第二項第三号において同じ。)が行う事務又は事業の適正な遂行に支障を及ぼすおそれがあるとき。
     四 取得の状況からみて利用目的が明らかであると認められるとき。
  3.  (適正な取得)
    第九条 職員等は、偽りその他不正の手段により個人情報を取得してはならない。
  4.  (正確性の確保)
    第十条 保有個人情報を取り扱う職員等は、利用目的の達成に必要な範囲内で、当該保有個人情報が過去又は現在の事実と合致するよう努めなければならない。
    2 前項の職員等は、取り扱う保有個人情報の内容に誤り等を発見した場合は、保護管理者の指示に従い、訂正等を行うものとする。
  5.  (安全確保の措置等)
    第十一条 保護管理者は、当該部局における保有個人情報の漏えい、滅失又はき損の防止その他保有個人情報の適切な管理のために必要な措置を講じるとともに、必要に応じ、保有個人情報の利用者の制限、保有個人情報の取扱いに関する必要な指示その他の合理的な安全対策を講じるものとする。
    2 保有個人情報は、前項の利用者の制限を受けていない職員等が利用する場合に限り、取り扱うことができる。ただし、次の各号に掲げる行為については、保護管理者の指示に従い取り扱うものとする。
     一 保有個人情報の複製
     二 保有個人情報の送信
     三 保有個人情報が記録されている媒体の外部への送付又は持ち出し
     四 その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為
    3 職員等は、保護管理者の指示に従い、保有個人情報が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫への保管、施錠等を行うものとする。
    4 職員等は、保有個人情報又は保有個人情報が記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合には、保護管理者の指示に従い、当該保有個人情報の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行うものとする。
    5 保有個人情報が京都大学の情報セキュリティ対策に関する規程(平成十五年達示第四十三号)第三条第三号又は第四号に該当する場合、当該保有個人情報の漏えい、滅失又はき損の防止その他の管理は、前各項に定めるもののほか、同規程の定めるところによる。
  6.  (従事者の義務)
    第十二条 保有個人情報の取扱いに従事する職員等又はこれらの職にあった者は、その業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。
  7.  (利用及び提供の制限)
    第十三条 職員等は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。
    2 前項の規定にかかわらず、職員等は、次の各号のいずれかに該当し、かつ、当該保有個人情報を利用目的以外の目的のために自ら利用し、又は提供することによって、本人又は第三者の権利利益を不当に侵害するおそれがないと認められるときは、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。
     一 本人の同意があるとき、又は本人に提供するとき。
     二 本学の業務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当な理由のあるとき。
     三 行政機関(行政機関の保有する個人情報の保護に関する法律(平成十五年法律第五十八号)第二条第一項に規定する行政機関をいう。以下同じ。)、他の独立行政法人等、地方公共団体又は地方独立行政法人に保有個人情報を提供する場合において、保有個人情報の提供を受ける者が、法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当な理由のあるとき。
     四 前三号に掲げる場合のほか、専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき、本人以外の者に提供することが明らかに本人の利益になるとき、その他保有個人情報を提供することについて特別の理由のあるとき。
    3 前項の規定は、保有個人情報の利用又は提供を制限する法令の規定の適用を妨げるものではない。
    4 総括保護管理者は、個人の権利利益を保護するため特に必要があると認めるときは、保有個人情報の利用目的以外の目的のための本学の内部における利用を特定の職員等に限るものとする。
  8.  (保有個人情報の提供を受ける者に対する措置要求)
    第十四条 前条第二項第三号又は第四号の規定による保有個人情報の提供は、当該行政機関等からの申請に基づき、保護管理者が行う。この場合において、保護管理者は、必要があると認めるときは、保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求めるものとする。
    2 前項後段に定めるもののほか、行政機関及び独立行政法人等以外の者に保有個人情報を提供する場合には、保護管理者は、提供先における利用目的、利用する業務の根拠法令、利用する記録範囲及び記録項目、利用形態等について書面を取り交わすとともに、安全確保の措置を要求し、必要があると認めるときは、提供前又は随時に実地の調査等を行い、措置状況の確認及びその結果の記録をし、又は改善要求等の措置を講ずるものとする。
  9.  (保有個人情報取扱い業務受託業者に対する措置要求)
    第十五条 保有個人情報の取扱いに係る業務を外部に委託する場合は、保護管理者は、委託先において保有個人情報の漏えい、滅失又はき損の防止その他の保有個人情報の適切な管理のために必要な措置が講じられていることを確認し、かつ、書面により、委託先における責任者等の管理体制、個人情報の管理の状況についての検査に関する事項その他個人情報の管理に関し必要な事項を確認し、個人情報の適切な管理を行う能力を有する者が選定され、及び当該委託に係る契約書に次に掲げる事項が明記されるよう必要な措置を講じるものとする。
     一 個人情報に関する秘密保持等の義務
     二 再委託の制限又は条件に関する事項
     三 個人情報の複製等の制限に関する事項
     四 個人情報の漏えい等の事案の発生時における対応に関する事項
     五 委託終了時における個人情報の消去及び媒体の返却に関する事項
     六 違反した場合における契約解除の措置その他必要な事項
    2 保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合は、保護管理者は、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項が明記されるよう必要な措置を講じるものとする。
  10.  (事案の報告及び再発防止措置)
    第十六条 保有個人情報の漏えい、滅失又はき損その他の保有個人情報の安全確保の上で問題となる事案が発生した場合に、その事実を知った職員等は、速やかに当該保有個人情報を管理する保護管理者に報告しなければならない。
    2 前項の報告を受けた保護管理者は、被害の拡大防止又は復旧等のために必要な措置を講じるとともに、事案の発生した経緯、被害状況等を調査し、総括保護管理者に報告する。ただし、特に重大と認める事案が発生した場合には、直ちに総括保護管理者に当該事案の内容等について報告するものとする。
    3 総括保護管理者は、前項ただし書の報告を受けた場合は、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を総長に速やかに報告する。
    4 保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講じるとともに、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る本人への対応等の措置を講じなければならない。
  11.  (監査)
    第十七条 監査責任者は、保有個人情報の管理の状況について、定期に又は随時に監査(外部監査を含む。)を行い、その結果を総括保護管理者に報告する。
  12.  (点検)
    2 保護管理者は、当該部局における保有個人情報の記録媒体、処理経路、保管方法等について、定期に又は随時に点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告する。
  13.  (評価及び見直し)
    3 前二項の報告を受けた総括保護管理者は、監査又は点検の結果等を踏まえ、保有個人情報の適切な管理のための措置について、実効性等の観点から評価し、必要があると認めるときは、その見直し等の措置を講ずる。

 第四章 個人情報ファイル簿

  1.  (個人情報ファイル簿の作成及び公表)
    第十八条 保護管理者は、当該部局において個人情報ファイル(法第十一条第二項各号に掲げるもの及び同条第三項の規定により個人情報ファイル簿に掲載しないものを除く。以下この条において同じ。)を保有するに至ったときは、直ちに、別記様式一(PDF)に必要事項を記載し、総括保護管理者に届け出なければならない。
    2 総括保護管理者は、前項の届出を受けたときは、速やかに法第十一条第一項各号の事項を記載した帳簿(以下「個人情報ファイル簿」という。)を作成し、本学の閲覧所(第二十条に定める開示窓口をいう。)に備えて置くとともに、インターネットの利用その他の情報通信の技術を利用する方法により公表する。
    3 個人情報ファイル簿は、本学が保有している個人情報ファイルを通じて一の帳簿とする。
  2.  (個人情報ファイル簿の変更等)
    第十九条 保護管理者は、前条第一項の規定により届け出た内容に変更があったとき、保有個人情報ファイルの保有をやめたとき又はその個人情報ファイルが法第十一条第二項第七号に該当するに至ったときは、直ちに、別記様式二(PDF)に必要事項を記載し、総括保護管理者に届け出なければならない。
    2 総括保護管理者は、前項の届出を受けたときは、速やかに個人情報ファイル簿を修正し、又は当該個人情報ファイルについての記載を削除する。

 第五章 開示、訂正及び利用停止

 第一節 開示

  1.  (開示請求)
    第二十条 法第十二条の規定に基づき、保有個人情報の開示を請求しようとする者(以下「開示請求者」という。)は、所定の開示請求書を開示窓口に提出して行わなければならない。
    2 前項の開示請求書の提出に際しては、法第十三条第二項に定める書類を提示し、又は提出しなければならない。
    3 第一項に定める開示窓口は、総務部広報課に置く。
  2.  (開示請求書の補正)
    第二十一条 前条により提出された開示請求書に形式上の不備があると認めるときは、開示窓口において、開示請求者に対し、相当の期間を定めて、その補正を求めることができる。この場合において、開示請求者に対し、必要に応じて補正の参考となる情報を提供するものとする。
  3.  (開示請求書の写しの交付)
    第二十二条 開示窓口において開示請求書を受理したときは、開示請求者に開示請求書の写しを交付するものとする。
  4.  (開示請求書の写しの送付)
    第二十三条 開示窓口において開示請求書を受理したときは、当該個人情報を管理する保護管理者に開示請求書の写しを送付するものとする。
  5.  (保有個人情報の提出)
    第二十四条 保護管理者は、前条により開示請求書の写しの送付を受けたときは、当該保有個人情報を総括保護管理者に提出しなければならない。
  6.  (開示等の決定)
    第二十五条 総括保護管理者は、第二十一条の規定による補正に要した日数を除き、開示請求があった日から三十日以内に、法第十四条から第十七条までに定める保有個人情報の開示、不開示又は拒否の決定(以下「開示決定等」という。)を行うものとする。
    2 総括保護管理者は、開示決定等を行うに際しては、必要に応じて、京都大学情報公開・個人情報保護委員会(以下「委員会」という。)に意見を求めるものとする。
  7.  (開示等の決定通知)
    第二十六条 総括保護管理者は、開示決定等を行ったときは、開示請求者に対し、所定の様式により通知しなければならない。
  8.  (期限の延長)
    第二十七条 総括保護管理者は、法第十九条第二項又は法第二十条の規定により第二十五条に定める期限を延長するときは、所定の様式により、開示請求者に通知しなければならない。
  9.  (事案の移送)
    第二十八条 総括保護管理者は、法第二十一条第一項又は第二十二条第一項の規定により事案を他の独立行政法人等又は行政機関の長に移送するときは、所定の様式により、開示請求者に通知しなければならない。
  10.  (第三者の意見聴取等)
    第二十九条 法第二十三条第一項又は第二項の規定により、開示決定等をするに当たって第三者に意見書を提出する機会を与えるときは、総括保護管理者は、事前に所定の様式により、当該第三者に通知するものとする。
    2 法第二十三条第三項の開示決定をするときは、総括保護管理者は、開示決定の日と開示を実施する日との間に二週間以上の期間を設けるとともに、開示決定後直ちに、所定の様式により、当該第三者に通知しなければならない。
  11.  (開示の実施)
    第三十条 保有個人情報の開示は、法第二十四条第三項による申出に基づき、当該保有個人情報が、文書又は図画に記録されているものにあっては閲覧又は写しの交付により開示窓口において(写しの交付について送付の方法によることを申し出た場合にあっては郵送により)行い、電磁的記録に記録されているものにあっては当該保有個人情報ごとに総括保護管理者が定めるところにより行う。
  12.  (手数料)
    第三十一条 開示請求者は、第二十条の規定による請求を行う際に、併せて手数料を開示窓口において現金で納付しなければならない。
    2 手数料の額は、開示請求に係る保有個人情報が記録されている法人文書一件につき、三百円とする。
    3 保有個人情報の開示を受ける者で保有個人情報の写しの送付を希望するときは、前条の規定による申出を行う際に、併せて郵送料を郵便切手で納付しなければならない。

 

 第二節 訂正

  1.  (訂正請求)
    第三十二条 法第二十七条の規定に基づき、保有個人情報の訂正(追加又は削除を含む。以下同じ。)を請求しようとする者(以下「訂正請求者」という。)は、所定の訂正請求書を開示窓口に提出して行わなければならない。
    2 前項の訂正請求書の提出に際しては、訂正請求者は、法第二十八条第二項に定める書類を提示し、又は提出しなければならない。
  2.  (訂正請求書の補正等に係る準用)
    第三十三条 第二十一条から第二十三条までの規定は、訂正請求書の補正、訂正請求者への訂正請求書の写しの交付及び保護管理者への訂正請求書の写しの送付について準用する。この場合において、これらの規定中「開示請求書」とあるのは「訂正請求書」と、「開示請求者」とあるのは「訂正請求者」と読み替えるものとする。
  3.  (保有個人情報の訂正)
    第三十四条 前条において準用する第二十三条の規定により訂正請求書の写しの送付を受けた保護管理者は、当該訂正請求に係る保有個人情報を調査し、当該訂正請求に理由があると認めるときは当該保有個人情報を訂正して総括保護管理者に提出し、理由がないと認めるときはその理由を総括保護管理者に報告しなければならない。
  4.  (訂正等の決定)
    第三十五条 総括保護管理者は、前条の提出又は報告に基づき、第三十三条において準用する第二十一条の規定による補正に要した日数を除き、訂正請求があった日から三十日以内に、保有個人情報の訂正又は訂正をしない旨の決定を行うものとする。
    2 総括保護管理者は、前項の決定を行うに際しては、必要に応じて、委員会に意見を求めるものとする。
  5.  (訂正等の決定通知)
    第三十六条 総括保護管理者は、前条第一項の決定を行ったときは、訂正請求者に対し、所定の様式により通知しなければならない。
  6.  (期限の延長)
    第三十七条 総括保護管理者は、法第三十一条第二項又は第三十二条の規定により第三十五条に定める期限を延長するときは、所定の様式により、訂正請求者に通知しなければならない。
  7.  (事案の移送)
    第三十八条 総括保護管理者は、法第三十三条第一項及び第三十四条第一項の規定により事案を他の独立行政法人等又は行政機関の長に移送するときは、所定の様式により、訂正請求者に通知しなければならない。

 

 第三節 利用停止

  1.  (利用停止請求)
    第三十九条 法第三十六条の規定に基づき、保有個人情報の利用の停止、消去又は提供の停止(以下「利用停止」という。)を請求しようとする者(以下「利用停止請求者」という。)は、所定の利用停止請求書を開示窓口に提出して行わなければならない。
    2 前項の利用停止請求書の提出に際しては、法第三十七条第二項に定める書類を提示し、又は提出しなければならない。
  2.  (利用停止請求書の補正等に係る準用)
    第四十条 第二十一条から第二十三条までの規定は、利用停止請求書の補正、利用停止請求者への利用停止請求書の写しの交付及び保護管理者への利用停止請求書の写しの送付について準用する。この場合において、これらの規定中「開示請求書」とあるのは「利用停止請求書」と、「開示請求者」とあるのは「利用停止請求者」と読み替えるものとする。
  3.  (保有個人情報の利用停止)
    第四十一条 前条において準用する第二十三条の規定により利用停止請求書の写しの送付を受けた保護管理者は、当該利用停止請求に係る保有個人情報を調査し、当該利用停止請求に係る理由の存否、その理由及び当該利用停止請求に理由があると認めるときは、当該利用停止が事務又は事業の適正な遂行に及ぼす影響について総括保護管理者に報告しなければならない。
  4.  (利用停止等の決定)
    第四十二条 総括保護管理者は、前条の報告に基づき、第四十条において準用する第二十一条の規定による補正に要した日数を除き、利用停止請求があった日から三十日以内に、保有個人情報の利用停止又は利用停止をしない旨の決定を行うものとする。
    2 総括保護管理者は、前項の決定を行うに際しては、必要に応じて、委員会に意見を求めるものとする。
  5.  (利用停止等の決定通知)
    第四十三条 総括保護管理者は、前条第一項の決定を行ったときは、利用停止請求者に対し、所定の様式により通知しなければならない。
  6.  (期限の延長)
    第四十四条 総括保護管理者は、法第四十条第二項又は法第四十一条の規定により第四十二条に定める期限を延長するときは、所定の様式により、利用停止請求者に通知しなければならない。

 第四節 異議申立て

  1.  (異議申立てに対する措置)
    第四十五条 総括保護管理者は、法第四十二条第一項の規定による異議申立てが行われたときは、委員会に意見を求めるものとする。
    2 総括保護管理者は、法第四十二条第二項の規定により情報公開・個人情報保護審査会に諮問したときは、所定の様式により、異議申立人その他法第四十三条各号に掲げる者(次項において「異議申立人等」という。)に対し、諮問をした旨を通知しなければならない。
    3 総括保護管理者は、異議申立てに対する決定をしたときは、所定の様式により、異議申立人等に通知するものとする。
  2.  (第三者からの異議申立てを棄却する場合等における手続)
    第四十六条 第二十九条第二項の規定は、次の各号のいずれかに該当する決定をする場合について準用する。
     一 開示決定に対する第三者からの異議申立てを却下し、又は棄却する決定
     二 異議申立てに係る開示決定等を変更し、当該開示決定等に係る保有個人情報を開示する旨の決定(第三者である参加人が当該第三者に関する情報の開示に反対の意思を表示している場合に限る。)

 第六章 雑則

  1.  (移送された事案の取扱い)
    第四十七条 他の独立行政法人等又は行政機関から移送された事案に係る開示、訂正又は利用停止に係る手続は、第二十三条から前条までの規定に準じて取り扱うものとする。
  2.  (その他)
    第四十八条 この規程に定めるもののほか、本学における個人情報の保護に関し必要な事項は、委員会の議を経て総括保護管理者が定める。

   附則
 この規程は、平成十七年四月一日から施行する。