○徳島大学における特定個人情報等取扱規則

平成27年12月1日

規則第24号制定

第1章 総則

(目的)

第1条 この規則は,行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)に基づき,徳島大学(国立大学法人徳島大学及びその設置する大学をいう。以下「本学」という。)における個人番号及び特定個人情報(以下「特定個人情報等」という。)の取扱いが安全かつ適正に行われるよう,徳島大学保有個人情報の保護に関する規則(平成16年度規則第135号。以下「保護規則」という。)の特例を定めることを目的とする。

2 特定個人情報等の取扱いについて,この規則に定めのない事項については,番号法その他関係法令及び保護規則の定めるところによる。

(定義)

第2条 この規則において「個人情報」又は「保有個人情報」とは,それぞれ保護規則第2条に規定する個人情報又は保有個人情報をいう。

2 この規則において「総括保護管理者」,「保護管理者」又は「監査責任者」とは,それぞれ保護規則第3条に規定する総括保護管理者,保護管理者又は監査責任者をいう。

3 この規則において「個人番号」,「本人」,「特定個人情報」,「個人番号関係事務」又は「特定個人情報ファイル」とは,それぞれ番号法第2条に規定する個人番号,本人,特定個人情報,個人番号関係事務又は特定個人情報ファイルをいう。

4 この規則において「役職員」とは,本学の役員及び職員をいう。

(個人番号を取り扱う事務の範囲)

第3条 本学において個人番号を取り扱う事務の範囲は,次の各号に掲げるとおりとする。

(1) 健康保険,雇用保険,労災保険及び年金届出事務

(2) 給与所得及び退職所得の源泉徴収票作成事務

(3) 財産形成住宅貯蓄及び財産形成年金貯蓄の非課税に関する申込書作成事務

(4) 国家公務員共済組合届出・申請事務

(5) 報酬及び料金等の支払調書作成事務

(6) 不動産の使用料等の支払調書作成事務

(7) 不動産等の譲受けの対価の支払調書作成事務

(特定個人情報等の範囲)

第4条 前条の事務において取り扱う特定個人情報等の範囲は,次の各号に掲げるとおりとする。

(1) 本学の個人番号関係事務において提供を受けた本人確認書類

(2) 本学が行政機関,健康保険組合又は金融機関等に提出する書類及びその控え

(3) 前号の事務処理に当たって作成した特定個人情報ファイル

(事務取扱担当者)

第5条 第3条に規定する事務に従事する事務取扱担当者は,次表のとおりとする。

総務部人事課

社会保険事務担当係及び源泉徴収票作成事務担当係,財形事務担当係及び共済組合事務担当係の職員

財務部資産管理課,事務部会計課及び病院経理調達課

諸謝金事務担当係,役務事務担当係及び支払調書作成担当係の職員

施設マネジメント部施設企画課

部局事務担当課・室

給与又は諸謝金の事務担当職員として課長又は室長(課に置く室の室長を除く。)が指名する職員

第2章 安全管理措置

第1節 組織的安全管理措置及び人的安全管理措置

(組織的管理体制)

第6条 特定個人情報等の取扱いにあたっては,保護規則第3条から第6条までの規定に基づく管理体制により管理し,保護管理者は事務取扱担当者に対して必要かつ適切な監督を行い,監査責任者は特定個人情報等の管理について監査を行うものとする。

2 特定個人情報等に関する教育研修は,保護規則第11条の2に定める教育研修と併せて実施するものとする。

(情報漏えい等事案への対応)

第7条 役職員は,特定個人情報等の漏えい等の事案の発生又は兆候を把握したときは,保護規則第16条第1項の規定に基づき保護管理者に報告しなければならない。

(運用状況の確認)

第8条 保護規則第14条の2の規定に基づく保有個人情報の取扱状況の記録において,特定個人情報にあっては,次の各号に掲げる事項を記録した台帳を備えるものとする。

(1) 特定個人情報ファイルの種類及び名称

(2) 取扱部署及び事務取扱担当者

(3) 利用目的

(4) 特定個人情報ファイルの利用・出力状況の記録

(5) 書類・媒体等の持出しの記録

(6) 削除・廃棄記録

(7) 事務取扱担当者の情報システムの利用状況(ログイン実績,アクセスログ等)の記録

第2節 物理的安全管理措置

(管理区域及び取扱区域)

第9条 保護規則第17条の2の規定に基づく情報システム室等の安全管理において,特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)は,総括保護管理者が指定するものとし,同条の規定に基づき必要な措置を講ずるものとする。

2 特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)は,第5条に規定する事務取扱担当者の作業場所とし,情報漏えい防止のための措置を講ずる。

(機器及び電子媒体等の盗難等の防止)

第10条 管理区域及び取扱区域における特定個人情報を取り扱う機器並びに特定個人情報等が記録された電子媒体及び書類等の盗難又は紛失等を防止するために,次の各号に掲げる措置を講ずるものとする。

(1) 特定個人情報ファイルを取り扱う情報システム端末は,セキュリティワイヤー等により固定する。

(2) 特定個人情報等が記録された電子媒体又は書類等は,施錠できるキャビネット等に保管する。

2 特定個人情報等が記録された書類等を管理区域又は取扱い区域の外に持ち出す場合は,次の各号に掲げる措置を講ずるものとする。

(1) 封緘又は目隠しシールの貼付等により保護する。

(2) 搬送容器は施錠できるものとする。

(3) 学内使送便の利用にあっては使送簿により接受を管理する。

(個人番号の削除,機器及び電子媒体等の廃棄)

第11条 個人番号関係事務を行う必要がなくなった特定個人情報ファイル及び保存期間を経過した特定個人情報を含む法人文書は,次の各号に掲げる方法で削除又は廃棄する。

(1) 特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合は,容易に復元できない手段を採用すること。

(2) 特定個人情報等が記載された書類等を廃棄する場合は,焼却又は溶解等の復元不可能な手段を採用すること。

(3) 特定個人情報等が記録された機器及び電子媒体等を廃棄する場合は,専用のデータ削除ソフトウェアの利用又は物理的な破壊等により,復元不可能な手段を採用すること。

2 前項により個人番号若しくは特定個人情報ファイルを削除した場合,又は電子媒体等を廃棄した場合には,削除又は廃棄した記録を保存するものとし,これらの作業を委託する場合には,委託先が確実に削除又は廃棄したことについて,証明書等により確認するものとする。

第3節 技術的安全管理措置

(アクセス制御)

第12条 情報システムを使用して個人番号関係事務を行うときは,ユーザーIDに付与するアクセス権及びパスワードによる認証機能等の設定により,事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定しなければならない。

(不正アクセスの防止)

第13条 特定個人情報ファイルを取り扱う情報システムを,外部からの不正アクセス又は不正ソフトウェアから保護するため,次の各号に掲げる措置を講ずる。

(1) 情報システムと外部ネットワークとの接続箇所に,ファイアウォール等を設置し,不正アクセスを遮断すること。

(2) 情報システム及び機器にセュキュリティ対策ソフトウェア等を導入すること。

(3) セキュリティ対策ソフト等により入出力データにおける不正ソフトウェアの有無を確認すること。

(4) 機器やソフトウェア等に標準装備されている自動更新機能等の活用により,ソフトウェア等を最新状態とすること。

(5) ログ等の分析を定期的に行い,不正アクセス等を検知すること。

(通信経路における情報漏えい等の防止)

第14条 特定個人情報等をインターネット等により外部に送信する場合,通信経路における情報漏えい等を防止するため,次の各号に掲げる措置を講ずる。

(1) 通信経路を暗号化すること。

(2) データの暗号化又はパスワードにより保護すること。

第3章 特定個人情報等の取得

(利用目的の明示)

第15条 本学は,特定個人情報を取得するときは,あらかじめ,本人に対し,その利用目的を明示しなければならない。

(個人番号の提供)

第16条 事務取扱担当者は,第3条各号に掲げる事務を処理するため必要があるときは,個人番号の提供を求めることができる。

2 国民年金法(昭和34年法律第141号)に基づく配偶者の第3号被保険者の届出を,役職員が本学に提出するときは,当該役職員が配偶者の代理人として個人番号を提供するものとする。

3 本学は,番号法第19条各号のいずれかに該当し特定個人情報の提供を受けることができる場合を除き,特定個人情報の提供を求めてはならない。

(本人確認の措置)

第17条 事務取扱担当者は,前条第1項の規定により個人番号の提供を受けるときは,番号法第16条に定めるところにより,個人番号及び本人を確認するための措置をとらなければならない。

第4章 特定個人情報の利用及び保存

(個人番号の利用制限)

第18条 個人番号は,番号法第9条第4項の規定に基づく場合を除き,利用目的以外の目的のために利用してはならない。

2 前項の規定にかかわらず,人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意があり,又は本人の同意を得ることが困難であるときは,利用目的以外の目的のために個人番号を利用することができる。ただし,保有個人情報を利用目的以外の目的のために利用することによって,本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは,この限りでない。

(特定個人情報ファイルの作成の制限)

第19条 事務取扱担当者は,第3条各号に掲げる事務を処理するために必要な範囲を超えて特定個人情報ファイルを作成してはならない。

(収集・保管の制限)

第20条 本学は,番号法第19条各号のいずれかに該当する場合を除き,特定個人情報を収集し,又は保管してはならない。

第5章 特定個人情報の提供

(特定個人情報の提供の制限)

第21条 本学は,番号法第19条各号のいずれかに該当する場合を除き,保有する特定個人情報を第三者に提供してはならない。

第6章 特定個人情報の削除・廃棄

(削除又は廃棄)

第22条 特定個人情報は,個人情報関係事務を行う必要がある場合に限り保管し続けることができ,当該事務を処理する必要がなくなった場合で,所管法令において定められている保存期間を経過したときは,個人番号を速やかに削除又は廃棄しなければならない。

第7章 委託の取扱い

(委託先の監督)

第23条 個人番号関係事務の全部又は一部を外部に委託する場合には,保護規則第18条の規定に基づく措置を講じ,当該委託に係る個人番号関係事務において取り扱う特定個人情報の安全管理が図られるよう,当該委託を受けた者に対する必要かつ適切な監督を行わなければならない。

2 個人番号関係事務の全部又は一部の再委託は,本学が許諾した場合に限るものとする。

3 個人番号関係事務の全部又は一部の再委託を受けた者は,個人番号関係事務の全部又は一部の委託を受けた者とみなして,第1項の規定を適用する。

附 則

この規則は,平成27年12月1日から施行する。

附 則(平成28年3月15日規則第69号改正)

この規則は,平成28年4月1日から施行する。

徳島大学における特定個人情報等取扱規則

平成27年12月1日 規則第24号

(平成28年4月1日施行)

体系情報
大  学/第1編 学内共通規則/第3章 務/第2節 理/第2款 情報公開
沿革情報
平成27年12月1日 規則第24号
平成28年3月15日 規則第69号