2　この規程において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「政令」という。)第1条に定めるものをいう。

3　この規程において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令第2条に定める記述等が含まれる個人情報をいう。

4　この規程において「行政機関」とは、法第2条第8項に掲げる機関をいう。

5　この規程において「独立行政法人等」とは、独立行政法人通則法(平成11年法律第103号)第2条第1項に規定する独立行政法人及び法別表第1に掲げる法人をいう。

6　この規程において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。

7　この規程において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。

8　この規程において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

9　この規程において「保有個人情報」とは、本学の役員又は職員(派遣労働者を含む。以下「職員等」という。)が職務上作成し、又は取得した個人情報であって、本学の職員等が組織的に利用するものとして、本学が保有しているものをいう。ただし、独立行政法人等の保有する情報の公開に関する法律(平成13年法律第140号。以下「独立行政法人等情報公開法」という。)第2条第2項に規定する法人文書に記録されているものに限る。

10　この規程において「個人情報ファイル」とは、保有個人情報を含む情報の集合物であって、次に掲げるものをいう。

11　この規程において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。

12　この規程において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。

13　この規程において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(規程第25条第1項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第7項各号に掲げる者を除く。

14　この規程において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

15　この規程において「国立大学法人京都大学匿名加工情報」とは、次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報の全部又は一部(これらの一部に独立行政法人等情報公開法第5条に規定する不開示情報(同条第1号に掲げる情報を除き、同条第2号ただし書に規定する情報を含む。)が含まれているときは、当該不開示情報に該当する部分を除く。)を加工して得られる匿名加工情報をいう。

16　この規程において「国立大学法人京都大学匿名加工情報ファイル」とは、国立大学法人京都大学匿名加工情報を含む情報の集合物であって、次に掲げるものをいう。

17　この規程において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。

18　この規程において「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。

2　総括保護管理者は、本学における個人情報の管理に関する事務を総括する。

2　保護管理者は、当該部局における個人情報の管理に関する事務を行う。

3　保護管理者は、前項の事務を行うにあたって、当該部局における個人情報を情報システム(京都大学の情報セキュリティ対策に関する規程(平成15年達示第43号。以下「セキュリティ対策規程」という。)第2条第2号に定めるものをいう。以下同じ。)において取り扱う場合は、当該部局の部局情報セキュリティ技術責任者(セキュリティ対策規程第5条の2第1項に定めるものをいう。)と連携して行うものとする。

2　保護担当者は、保護管理者を補佐する。

2　監査責任者は、本学における個人情報の管理状況を監査する。

2　委員会に関し必要な事項は、総括保護管理者が定める。

2　最高情報セキュリティ責任者(セキュリティ対策規程第4条第1項に定めるものをいう。)は、個人情報を取り扱う情報システムの管理に関する事務に従事する職員等に対し、個人情報の適切な管理のために必要な情報システムの管理、運用及びセキュリティ対策に関する教育研修を行うものとする。

3　保護管理者は、当該部局の職員等に対し、個人情報の適切な管理のために、前2項に定める教育研修への参加の機会を付与する等の必要な措置を講ずるものとする。

2　職員等は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

2　職員等は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

3　前2項の規定は、次に掲げる場合については、適用しない。

2　職員等は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

2　職員等は、前項の規定にかかわらず、本学と本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

3　職員等は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

4　前3項の規定は、次に掲げる場合については、適用しない。

2　個人データを取り扱う職員等は、個人情報を情報システムに入力する際には、その重要度に応じて、既存の個人データの確認、入力原票と入力内容との照合、入力前の個人情報と入力後の個人データの照合等を行うものとする。

3　前2項の職員等は、取り扱う個人データの内容に誤り等を発見した場合は、保護管理者の指示に従い、訂正等を行うものとする。

2　個人データは、前項の利用者の制限を受けていない職員等が利用する場合に限り、取り扱うことができる。ただし、次の各号に掲げる行為については、保護管理者が個人データの秘匿性等その内容に応じて必要と認める場合に限り取り扱うことができるものとし、この場合、職員等は、保護管理者の指示に従い取り扱うものとする。

3　職員等は、保護管理者の指示に従い、個人データが記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫等への保管、施錠等を行うものとする。

4　職員等は、個人データ又は個人データが記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合には、保護管理者の指示に従い、当該個人データの復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行うものとする。

5　保護管理者は、個人データの秘匿性等その内容に応じて、当該個人データにアクセスする権限(以下「アクセス権限」という。)を有する職員等及びその者の有する権限の範囲を、その利用目的を達成するために必要最小限に限るものとする。

6　アクセス権限を有しない職員等は、個人データにアクセスしてはならない。

7　職員等は、アクセス権限を有する場合であっても、利用目的以外の目的のために個人データにアクセスしてはならない。

8　保護管理者は、個人データの秘匿性等その内容に応じて、台帳等を整備し、当該個人データの利用、保管等の取扱いの状況について記録するものとする。

9　個人データがセキュリティ対策規程第3条第1項第4号、第5号又は第6号に該当する場合、当該個人データの漏えい、滅失又は毀損の防止その他の管理は、前各項に定めるもののほか、同規程の定めるところによる。

2　保護管理者は、個人データの取扱いに係る業務を外部に委託する場合は、委託する業務に係る個人データの秘匿性等その内容、量等に応じて、委託先における管理体制及び実施体制並びに個人情報の管理の状況について、少なくとも年1回以上、原則として実地検査により確認するものとする。

3　保護管理者は、委託先において、個人データの取扱いに係る業務が再委託される場合は、委託先に第1項の措置を講じさせるとともに、再委託される業務に係る個人データの秘匿性等その内容に応じて、委託先を通じて又は自らが前項の措置を実施するものとする。個人データの取扱いに係る業務について再委託先が再々委託を行う場合以降も同様とする。

4　個人データの取扱いに係る業務を派遣労働者によって行わせる場合は、保護管理者は、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項が明記されるよう必要な措置を講じるものとする。

5　個人データを提供し、又は個人データの取扱いに係る業務を外部に委託する場合は、保護管理者は、漏えい等による被害発生のリスクを低減する観点から、提供先の利用目的、委託する業務の内容、個人データの秘匿性等その内容等を考慮し、必要に応じて、氏名を番号に置き換える等の匿名化措置を講じるものとする。

2　前項の報告を受けた保護管理者は、直ちに被害の拡大防止又は復旧等のために必要な措置を講じる。また、総括保護管理者に対し事案の状況を速報し、その後速やかに事案の発生した経緯、被害状況等を調査し、報告する。

3　総括保護管理者は、前項の報告を受けた場合は、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を総長に速やかに報告する。

4　総括保護管理者は、第2項により受けた速報が、個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則に定めるものに該当する場合は、同規則に定めるところにより、当該事案の内容、経緯、被害状況等について、個人情報保護委員会及び関係省庁に報告しなければならない。

5　保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講じるとともに、個人情報保護委員会規則で定めるところにより、総括保護管理者と相談のうえ、当該事態が生じた旨の本人への通知、事実関係及び再発防止策の公表等の措置を講じなければならない。

6　前4項の規定にかかわらず、医学部附属病院(以下「病院」という。)において管理する患者に関する個人データに係る漏えい等の事案に関する取扱いについては、総括保護管理者が別に定めるものとする。

2　保護管理者は、当該部局における個人データの記録媒体、処理経路、保管方法等について、定期に及び必要に応じて随時に点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告する。

3　総括保護管理者及び保護管理者は、監査又は点検の結果等を踏まえ、個人データの適切な管理のための措置について、実効性等の観点から評価し、必要があると認めるときは、その見直し等の措置を講ずる。

2　職員等は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

3　保護管理者は、所属の職員等が法第27条第2項の規定により個人データを第三者に提供しようとするときは、同項各号に定める事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、当該職員等に必要な手続きを行わせ、かつ、総括保護管理者を通じて個人情報保護委員会に届け出なければならない。

4　前項の届出を受けた総括保護管理者は、個人情報保護委員会に届出を行った旨を、保護管理者を通じて前項により個人データを第三者に提供しようとしている職員等に通知するものとする。

5　総括保護管理者及び保護管理者は、第3項の規定により届け出た事項に変更が生じるとき又は同項による提供を停止するときは、個人情報保護委員会規則に定めるところにより、あらかじめ、前2項と同様に必要な手続を行うとともに、個人情報保護委員会に届け出なければならない。

6　次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。

7　職員等は、前項第3号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

2　職員等は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

3　保護管理者は、職員等が個人データを外国にある第三者(第1項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

2　保護管理者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

2　保護管理者は、前項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。

3　保護管理者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

2　第20条第3項の規定は、前項の規定により職員等が個人関連情報を提供する場合について準用する。この場合において、同条第3項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。

3　前条第2項及び第3項の規定は、第1項の規定により保護管理者が確認する場合について準用する。この場合において、同条第2項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。

2　総括保護管理者は、前項の目的を達成するために、個人情報の取扱いに関する苦情窓口をコンプライアンス部法務室に置く。

3　前項に定めるもののほか、病院に、病院において管理する患者の個人情報の取扱いに関する苦情窓口を置く。

2　保護管理者は、所属の職員等が、仮名加工情報を作成したとき又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第3項において読み替えて準用する第7項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。

3　職員等は、第8条の規定にかかわらず、法令に基づく場合を除くほか、第7条第1項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。

4　仮名加工情報についての第11条の規定の適用については、同条第1項及び第3項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第4項第1号から第3号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。

5　職員等は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等(保有個人情報に該当しないものに限る。)を遅滞なく消去するよう努めなければならない。この場合においては、第12条の規定は、適用しない。

6　職員等は、第19条第1項から第3項並びに第20条第1項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第19条第6項中「前各項」とあるのは「第25条第6項」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第7項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第21条第1項ただし書中「第19条第2項各号又は第6項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第19条第2項各号のいずれか)」とあり、及び第22条第1項ただし書中「第19条第2項各号又は第6項各号のいずれか」とあるのは「法令に基づく場合又は第19条第6項各号のいずれか」とする。

7　職員等は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。

8　職員等は、仮名加工情報を取り扱うに当たっては、電話、郵便若しくは信書便、電報その他の法第41条第8項で掲げる方法を用いるため、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。

9　仮名加工情報及び仮名加工情報である個人データについては、第7条第2項及び第17条の規定は、適用しない。

2　第19条第6項及び第7項の規定は、仮名加工情報の提供を受ける者について準用する。この場合において、同条第6項中「前各項」とあるのは「第26条第1項」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第7項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。

3　第13条、第15条、第24条並びに前条第7項及び第8項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。この場合において、第13条中「漏えい、滅失又は毀損」とあるのは「漏えい」と、前条第七項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。

2　総括保護管理者は、必要に応じて前項の措置の内容を公表する。

2　総括保護管理者は、前項の届出を受けたときは、速やかに法第74条第1項第1号から第7号まで、第9号及び第10号に掲げる事項その他政令で定める事項並びに法第110条各号に掲げる事項を記載した帳簿(以下「個人情報ファイル簿」という。)を作成し、本学の閲覧所(第30条に定める開示窓口をいう。)に備えて置くとともに、インターネットの利用その他の情報通信の技術を利用する方法により公表する。

3　個人情報ファイル簿は、本学が保有している個人情報ファイルを通じて一の帳簿とする。

2　総括保護管理者は、前項の届出を受けたときは、速やかに個人情報ファイル簿を修正し、又は当該個人情報ファイルについての記載を削除する。

2　前項の開示請求書の提出に際しては、法第77条第2項に定める書類を提示し、又は提出しなければならない。

3　第1項に定める開示窓口は、コンプライアンス部法務室に置く。

4　前項に定めるもののほか、病院において管理する患者に関する保有個人情報に係る請求の処理を行うため、診療情報等開示窓口を病院に置く。

2　法第86条第3項の開示決定をするときは、総括保護管理者は、開示決定の日と開示を実施する日との間に2週間以上の期間を設けるとともに、開示決定後直ちに、所定の様式により、当該第三者に通知しなければならない。

2　手数料の額は、開示請求に係る保有個人情報が記録されている法人文書1件につき、300円とする。

3　前2項の規定にかかわらず、診療情報等開示窓口における開示請求に係る手数料の納付方法については病院の保護管理者の、手数料の額については京都大学医学部附属病院諸料金規程(昭和40年達示第2号)の定めるところによる。

4　保有個人情報の開示を受ける者で保有個人情報の写しの送付を希望するときは、前条の規定による申出を行う際に、併せて郵送料を郵便切手で納付しなければならない。

2　前項の訂正請求書の提出に際しては、訂正請求者は、法第91条第2項に定める書類を提示し、又は提出しなければならない。

2　前項の利用停止請求書の提出に際しては、法第99条第2項に定める書類を提示し、又は提出しなければならない。

2　総括保護管理者は、審査請求を却下したとき又は審査請求に対する裁決をしたときは、所定の様式により、審査請求人等に通知するものとする。

2　職員等は、次の各号のいずれかに該当する場合を除き、国立大学法人京都大学匿名加工情報を提供してはならない。

3　職員等は、法令に基づく場合を除き、利用目的以外の目的のために削除情報(保有個人情報に該当するものに限る。)を自ら利用し、又は提供してはならない。

4　前項の「削除情報」とは、国立大学法人京都大学匿名加工情報の作成に用いた保有個人情報から削除した記述等及び個人識別符号をいう。

2　総括保護管理者は、前項の規定により審査した結果、前条の提案が法第114条第1項各号に掲げる基準に適合すると認めるときは、当該提案をした者に対し、次に掲げる事項を書面により通知するものとする。

3　総括保護管理者は、第1項の規定により審査した結果、前条の提案が法第114条第1項各号に掲げる基準のいずれかに適合しないと認めるときは、当該提案をした者に対し、理由を付して、その旨を書面により通知するものとする。

2　保護管理者は、国立大学法人京都大学匿名加工情報を作成するときは、特定の個人を識別することができないように及びその作成に用いる保有個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該保有個人情報を加工しなければならない。

3　前項の規定は、国立大学法人京都大学匿名加工情報の作成の委託(2以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。

2　総括保護管理者は、前項の届出を受けたときは、速やかに当該国立大学法人京都大学匿名加工情報の作成に用いた保有個人情報を含む個人情報ファイルについて、個人情報ファイル簿に次に掲げる事項を記載しなければならない。

2　前条の規定により本学と国立大学法人京都大学匿名加工情報の利用に関する契約を締結する者は、総長の定めるところにより、次に掲げる区分に応じ、それぞれ当該各号に定める額の手数料を納めなければならない。

2　保護管理者は、当該部局における国立大学法人京都大学匿名加工情報、国立大学法人京都大学匿名加工情報の作成に用いた保有個人情報から削除した記述等及び個人識別符号並びに第64条第2項の規定により行った加工の方法に関する情報(以下この条及び次条において「国立大学法人京都大学匿名加工情報等」という。)の漏えいを防止するために必要な措置を講じるものとする。

3　前2項の規定は、本学から国立大学法人京都大学匿名加工情報等の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。

2　職員等は、匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは法第43条第1項の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。

3　総括保護管理者は、匿名加工情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、匿名加工情報の適切な管理のために必要な措置を講じなければならない。

4　前2項の規定は、本学から匿名加工情報の取扱いの委託(2以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。

この規程は、平成17年4月1日から施行する。

この規程は、平成17年11月29日から施行し、平成17年11月1日から適用する。

1　この規程は、平成28年4月1日から施行する。

2　この規程の施行前に本学が行った決定又はこの規程の施行前に開示請求等があったものに係る本学の不作為に係る異議申立てについては、改正後の規定にかかわらず、なお従前の例による。

1　この規程は、令和4年4月1日から施行する。

2　この規程の施行前に行われた本人からの同意取得、開示等請求、非識別加工情報の提供に係る申請その他の取扱いについては、なお従前の例による。

この規程は、令和6年4月1日から施行する。