Aichi Toho University

HOME > 個人情報保護方針 > 個人情報保護規程

個人情報保護規程

平成17年10月24日制定

第1章 総則

(目的)

第1条 この規程は、愛知東邦大学及び東邦学園短期大学(以下両者を併せて「本学」という。)の保有する個人情報の適切な利用方法及び安全管理のために必要な事項を定めることにより、個人情報に関する個人の権利利益を保護するとともに、本学の業務及び学生に対する教学支援の適正かつ円滑な運営を図ることを目的とする。

2 本学における個人情報の取り扱いに関しては、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という)その他関係法令の定めるもののほか、この規程及びこの規程に基づき個人情報管理委員会が定める個人情報保護細則によるものとする。

(定義)

第2条 この規程において、次の各号に掲げる用語の意義は、次の各号に定めるところによる。

  1. 学生等 次の各号に該当する者をいう。
    1. 本学において教育を受けている者
    2. 本学において教育を受けようとする者
    3. 過去に本学において教育を受けた者及び受けようとした者
  2. 教職員 本学に勤務する専任の教員及び非常勤講師ならびに職員(役員を含む)のほか、本学の業務に直接にかかわりのある者をいう。
  3. 保証人 学生等の親権者、その他学生等の教育に関し責任を有する者をいう。
  4. 本人 本学が保有する個人情報によって特定される当該の個人をいう。
  5. 第三者 本学及び本学において特定の個人情報を取り扱う権限を認められた教職員ならびに本人以外の者をいう。

2 この規程において、「個人情報」とは、本学が保有する生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)をいう。

3 この規程において、「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。

  1. 特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの
  2. 前号に掲げるもののほか、目次や索引を付すなど特定の個人情報を容易に検索できるように体系的に構成したもの

4 この規程において、「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

5 この規程において「保有個人データ」とは、本学が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことができる権限を有する個人データであって、6か月以上継続して利用するものをいう。ただし、次の各号に該当するものを除く。

  1. 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれのあるもの
  2. 当該個人データの存否が明らかになることにより、違法又は不正な行為を助長し、又は誘発するおそれのあるもの
  3. 当該個人データの存否が明らかになることにより、本学の事務処理に著しい支障を来すおそれのあるもの

(適用範囲)

第3条 この規程は、愛知東邦大学及び東邦学園短期大学の保有する個人情報について適用する。

第2章 個人情報の安全管理に関する体制

(個人情報管理委員会)

第4条 学長の下に関係教職員を構成員とする個人情報管理委員会を置く。

2 個人情報管理委員会は委員長1名及び委員若干名により構成する。委員長は学長が指名し、委員は指名された委員長が必要に応じて選任する。

3 個人情報管理委員会は、本規程に定める事務のほか、必要な規定等の作成等本学における個人情報の適正な利用及び安全管理に関して必要な事務を行う。

4 個人情報管理委員会は、毎年1回、学長に対し本学の個人情報保護体制に関する報告を行わなければならない。ただし、必要がある場合には、随時報告することができる。

5 個人情報管理委員会は、同委員会の策定する計画に従い、教職員及び学生に個人情報の重要性を認識させるとともに、教職員が具体的な個人情報の保護措置に習熟することができるよう、必要な教育及び研修の実施を指揮するものとする。

(部署管理責任者)

第5条 本学の各部署(大学の学部、短期大学の学科、図書館、研究所、各センターを含む。以下同じ)に、個人情報の取り扱いに関する部署管理責任者1名を置き、各部署の長をもって充てる。

2 部署管理責任者は、個人情報管理委員会の指揮の下、責任を有する各部署において職員に対する教育研修を実施し、適切な管理体制を構築するとともに、この規程に従った個人情報の適切な利用・管理がなされるよう監督しなければならない。

3 部署管理責任者は、必要に応じて、各部署において個人情報管理担当者を置き、前項の事務を補佐させることができる。ただし、個人情報管理担当者を置く場合にはその旨を個人情報管理委員会に報告しなければならない。

4 部署管理責任者は、管理責任を有する部署にある個人情報の記録媒体、利用方法、保管方法等、その他個人情報の管理上必要な事項について、定期に又は随時に点検を行い、必要があると認める時は、その結果を個人情報管理委員会に報告し、指示を求めなければならない。

(システム管理責任者)

第6条 個人情報管理委員会の下に、システム管理責任者を置く。

2 学長は、情報システムにおける個人情報の保護及び管理に関して必要な知識と経験を持つ者のうちから、1名以上のシステム管理責任者を選任しなければならない。

3 システム管理責任者は、個人情報管理委員会の指揮・監督の下、本規程第7章に定める情報システムにおける個人情報の保護につき、必要な措置を講じなければならない。

4 システム管理責任者は、必要に応じて、システム管理担当者を置き、前項の事務を補佐させることができる。ただし、システム管理担当者を置く場合にはその旨を個人情報管理委員会に報告しなければならない。

(教職員・学生等の責務)

第7条 教職員は、法及び関連する諸法令の趣旨に則り、本規程及び個人情報保護細則に従って、個人情報を適正に取り扱わなければならない。また、個人情報の取り扱いに関し、委員会又は部署管理責任者からの指示がなされた場合にはそれに従わなければならない。

2 教職員は、その職務に関して知り得た個人情報の存否及び内容をみだりに第三者に知らせ、又は不当な目的に利用してはならない。教職員が、その職を退いた後も同様とする。

3 教職員、学生等は個人情報保護の重要性を認識し、本規程の趣旨に従い本学に所属する個人の権利利益を侵害しないように努めなければならない。

第3章 個人情報の適正な利用

(利用目的の特定)

第8条 個人情報の取扱いに当たっては、できる限り利用の目的(以下「利用目的」という)を特定しなければならない。

2 利用目的のない個人情報は、これを保有してはならず、できる限り速やかに消去しなければならない。

(不正取得の禁止)

第9条 偽りその他不正の手段により個人情報を取得してはならない。

2 間接的に本人の個人情報を取得する場合には、当該個人情報が不正な手段によって取得されたものでないこと及びその提供に関して本人の同意があることを確認しなければならない。

3 個人情報が不正な手段により取得されたことが明らかになった場合には、個人情報管理委員会は直ちにその利用を停止し、当該個人情報を破棄する措置を講じなければならない。

(個人情報の取得)

第10条 教職員が業務上個人情報を取得するときは、所属する部署管理責任者の許可を得た上で、利用目的を明確に特定し、その目的達成に必要な最小限度の範囲で収集しなければならない。

2 本学の教職員が具体的な教育活動を行うために必要な範囲で個人情報を収集する場合には前項の部署管理責任者の許可を要しない。

3 教職員が業務上個人情報を取得するときは、できる限り本人から直接収集するよう努めなければならない。

(書面による直接取得)

第11条 本人から直接書面(電子的方式、磁気的方式そのほか人の知覚によっては認識できない方式で作られる記録を含む。以下同じ)に記載された当該本人の個人情報を取得する場合には、書面の交付又はそれに代わる方法によりあらかじめその利用目的等を本人に明示し、個人情報の取扱いにつき同意を得なければならない。

2 前項の個人情報の取得について、本人が未成年である場合は、同意その他の意思確認については、本人のほか本人の保証人等法定代理人の同意を得なければならない。ただし、その個人情報が、本人から対面で直接取得されたものであり、かつ、その利用目的が本学教職員の具体的な教育活動に限定されている場合はこの限りでない。

3 第1項に定める利用目的等を明示するための書面の交付又はそれに代わる方法は、個人情報保護細則が別に定めるところによる。

(書面による直接取得以外の方法による個人情報の取得)

第12条 教職員が、書面以外の方法によって本人から個人情報を取得する場合には、あらかじめその利用目的及び取扱方法が通知又は公表されている場合を除き、当該教職員は、口頭又は書面で、その利用目的及び当該個人情報が本規程に従って取り扱われることを明示し、個人情報の取り扱いにつき本人の同意を得なければならない。

2 間接的に本人の個人情報を取得した場合(個人情報の取り扱いの委託を受けた場合を含む)には、あらかじめその利用目的が通知又は公表されている場合を除いて、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

3 第10条第2項(個人情報の取得)及び第11条第2項の規定(書面による直接取得)は、書面以外の方法による個人情報の取得にこれを準用する。

(除外規定)

第13条 前2条の規定は、以下の各号の場合については適用しない。

  1. 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  2. 利用目的を本人に通知し、又は公表することにより本学の権利又は正当な利益を害するおそれがある場合
  3. 公的機関から法令に基づく適法な依頼があった場合であって、利用目的を本人に通知し、又は公表することが実際的に困難な場合
  4. 取得の状況からみて利用目的が明らかであると認められる場合
  5. すでに同意を得て利用している個人データの一部である個人情報について改めて本人から提供を受ける場合で、かつ、その利用目的に変更のないとき

(利用目的の変更)

第14条 利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

2 利用目的を変更した場合には、変更された利用目的について、本人に通知し、又は公表しなければならない。ただし、利用目的を変更しようとする個人情報が第11条の定める方法によって取得されたものである場合には、書面の交付又はそれに代わる方法によって、あらかじめ変更後の利用目的を明示し、利用目的の変更につき本人の同意を得なければならない。

3 第11条第2項の規定は、前項の通知若しくは公表、又は同意について準用する。

第4章 個人情報データベース等の利用と管理の方法

(個人情報データベース等の作成)

第15条 個人情報データベース等は、それを構成する個人データにつき本人に通知又は公表された利用目的を達成するために必要な限りにおいて作成されなければならない。

2 個人情報データベース等は、具体的な業務の必要がある場合に、担当教職員が部署管理責任者の許可を得て作成又は複製することができる。

3 本学の教職員が具体的な教育活動等を行うために必要な範囲で個人情報データベース等を作成する場合には前項の部署管理責任者の許可を要しない。

(正確性の確保)

第16条 本学が保有する個人データは、その利用目的の達成に必要な範囲において、できる限り正確かつ最新の内容を保つよう管理されなければならない。

(個人情報データベース等の利用)

第17条 個人情報データベース等の利用は、利用権限を有する教職員及びその権限を明確にしたうえで、その利用目的を達成するために業務の遂行に必要な範囲で当該教職員が部署管理責任者の監督の下で行わなければならない。

2 部署管理責任者は、前項に定める監督を行うにつき必要な措置を講じなければならない。

3 部署管理責任者は、業務上の必要があり、かつ、個人データの安全管理に支障がないと認める場合には、担当部署が作成した個人情報データベース等の全部又は一部を利用目的の範囲内において部署外で利用することを許可することができる。ただし、部署外での利用の必要がなくなった場合には速やかに回収しなければならない。

(個人データの管理)

第18条 個人データを取り扱う教職員は、部署管理責任者の指示に従い、個人データを定められた場所に保管し、その個人データの漏洩、紛失、滅失又は毀損の防止その他の個人データの安全管理に必要な措置を講じなければならない。また、部署管理責任者の許可なく個人データを保有、移動又は複製してはならない。

2 部署管理責任者は、担当部署が保有する個人情報データベース等の保管及び管理に責任を負う。部署管理責任者は、担当部署がいかなる個人情報データベース等を保有しているかにつき随時調査し、部署内における個人データの漏洩、滅失又は毀損、不正アクセス、紛失、改ざんその他の危険を防止するため、その作成、利用、保管ならびに回収等につき安全管理のために必要な措置を担当教職員に指示しなければならない。

3 本学の教職員が第15条第3項の規定に基づき個人情報データベース等を作成した場合には、当該教職員はその作成した個人情報データベース等について自らの責任をもって保管・管理を行い、前項に定める安全管理の措置を講じなければならない。

(台帳等)

第19条 個人情報管理委員会は、本学が保有し、継続的に利用する個人情報データベース等につき台帳等を作成し、その取扱いの状況(利用目的、アクセス権、操作権限、保管場所等)について記録しなければならない。ただし、第2条5項各号に定める保有個人データが含まれる個人情報データベース等についてはこの限りではない。

2 個人情報管理委員会は、前項に定める台帳等を管理し、記載すべき事項に変更があったときは、直ちに、当該台帳等を修正するものとする。

3 部署管理責任者及び教職員は、新たに継続的に利用する個人情報データベース等を作成した場合には、速やかにその旨を個人情報管理委員会に報告し、台帳等への記入を求めなければならない。

4 個人情報管理委員会は、各部署及び教職員が有する個人情報及び個人情報データベース等について、各部署管理責任者及び教職員に対し、その保有の有無及び安全管理の状況について報告を求め又は必要な調査を行うことができる。

(個人データ及び個人情報データベース等の廃棄)

第20条 利用又は保管の必要のなくなった個人データ又は個人情報データベース等は速やかに廃棄されなければならない。

2 個人データ又は個人情報データベース等の廃棄に当たっては、教職員は個人データの漏洩が生じないよう確実な廃棄方法を採らなければならない。また、台帳に記載された個人情報データベース等を廃棄したときは、個人情報管理委員会にその旨を報告しなければならない。

3 部署管理責任者は、部署内の個人データ又は個人情報データベース等の廃棄に関し、個人データの復元又は判読が不可能となる方法により確実に廃棄されるよう必要な措置を講じなければならない。

4 教職員は、業務上利用した個人データが含まれる可能性がある媒体については、たとえそれが個人的に所有するものである場合でも、個人データの漏洩が生じないよう確実な廃棄方法をとらなければならない。

第5章 目的外利用

(目的外利用の禁止)

第21条 収集した個人情報は、あらかじめ本人の同意を得ないで、本人に通知又は公表された利用目的以外の目的に利用してはならない。

(適用除外)

第22条 前条の規定は、次に掲げる各号に該当する場合は適用しない。

  1. 公的機関から法令に基づき適法な提供依頼があったとき
  2. 人の生命、身体又は財産を保護するため、緊急の必要性がありかつ本人の同意を得ないことがやむを得ないと認められるとき
  3. 本学の業務の遂行上、必要かつ相当の理由があり、かつ、本人の同意によることが業務の著しい遅滞を生じさせるおそれがある場合で、本人の権利利益を不当に侵害するおそれのないとき
  4. 本学に所属する教員が学術研究に利用する場合で、本人の権利利益又はプライバシーを不当に侵害するおそれがないとき
  5. その他個人情報管理委員会が、必要かつ相当の理由があると認めたとき

2 教職員が、前項1号、2号、3号に基づき個人情報を、あらかじめ本人の同意を得ることなく目的外に利用した場合には、遅滞なく、その旨を部署管理責任者に報告しなければならない。

3 教職員が、本条第1項4号、5号に基づき個人情報を、あらかじめ本人の同意を得ることなく目的外に利用しようとする場合は、部署管理責任者の許可を得なければならない。この場合において、部署管理責任者は当該許可をした旨を、遅滞なく個人情報管理委員会に報告しなければならない。

第6章 個人情報の処理の委託及び第三者提供

(個人情報の委託処理)

第23条 利用目的の達成に必要な範囲において個人情報の取扱いに関する業務の全部又は一部を、学外の事業者に委託することができる。

(個人情報の委託処理の手続)

第24条 前条の委託を行う場合、各部署管理責任者は、あらかじめ個人情報管理委員会に申請し、その許可を得なければならない。

2 委託先を選定するに当たっては、部署管理責任者は委託予定の事業者が個人情報の安全管理について十分な措置を講じていることを確認しなければならない。ただし、委託先がプライバシーマークその他個人情報保護に関する公的機関の認証を取得しているときには、その旨の確認をすることで足りる。

3 第1項に定める申請を行う場合、部署管理責任者は、委託の目的、委託する個人情報の範囲及び期間、委託先事業者及び委託先の安全措置の確認をした旨を明らかにした書面を添付しなければならない。

4 第1項に定める個人情報管理委員会の許可がなされた場合、部署管理責任者は委託先との間で、委託契約書案を作成し、個人情報管理委員会の承認を得なければならない。当該契約書案においては委託先が委託を受けた個人情報の安全管理のために講ずべき措置が明確にされていなければならない。

5 委託先の選定基準及び委託契約に盛り込むべき事項については、個人情報保護細則に別に定めるところによる。

(委託先の監督)

第25条 個人情報の取扱いに関する業務の全部又は一部を委託した場合には、部署管理責任者は、委託先における個人情報の安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならない。

2 委託先における個人情報の安全管理が不十分であるとの疑いを生じた場合、部署管理責任者は、直ちに委託先にその改善を求めるとともに、その事実について個人情報管理委員会に報告しなければならない。

3 前項の報告を受けた個人情報管理委員会は、部署管理責任者に契約解除を含め必要な措置をとるべきことを指示しなければならない。

(派遣職員・契約職員)

第26条 個人情報の取り扱いに関する業務を派遣職員又は契約職員その他に行わせる場合には、派遣契約書、雇用契約書又は業務委託契約書に秘密保持義務等個人情報の取り扱いに関する事項があることを確認しなければならない。

(第三者提供の制限)

第27条 教職員は、あらかじめ本人の同意を得ないで業務上取得した個人情報を第三者に提供してはならない。ただし、次の各号のいずれかに該当するときはこの限りではない。

  1. 公共機関から法令に基づく適法な提供依頼があったとき
  2. 人の生命、身体又は財産を保護するためにやむを得ないと認められ、本人の同意を得ることが困難であるとき
  3. 教職員及び保証人による教育のために特段の必要があると個人情報管理委員会が認めたとき
  4. 公益上に特に必要で、本人の同意を得ることが困難であるとき
  5. その他緊急の状況において、本人の同意を得ることが困難であり、かつ、本人の権利利益を侵害するおそれがないと認められるとき

2 前項各号に該当することを理由に個人情報を提供する場合であっても、個人情報を提供した教職員は、遅滞なく、部署管理責任者にその旨を届け出なければならない。ただし、当該個人情報の内容上、部署管理責任者に届け出ることに支障がある場合には、個人情報管理委員会に届け出るものとする。

3 本条に基づき第三者に個人情報を提供する場合には、本人の同意の有無にかかわらず、提供先での個人情報の安全管理が図られるよう配慮しなければならない。提供先での安全管理については第25条(委託先の監督)を準用する。

(オプト・アウト)

第28条 第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合で、次に掲げる事項について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているとき(オプト・アウト)は、本人の同意がない場合であっても、当該個人データを第三者に提供することができる。

  1. 第三者への提供を利用目的とすること
  2. 第三者に提供される個人データの項目
  3. 第三者の氏名、連絡先
  4. 第三者への提供の手段又は方法
  5. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
  6. 第三者への提供の停止の申し出の窓口

2 前項の措置は、個人情報管理委員会が当該措置をとることが相当と認めた個人データに限って行うことができるものとする。

(共同利用)

第29条 部署管理責任者は、個人情報管理委員会に届け出ることによって、個人データを学校法人東邦学園に所属する機関と共同で利用することができる。ただし、共同利用を行う場合には、以下に掲げる事項をあらかじめ、本人に通知し、又は本人が容易に知りうる状態に置かなければならない。

  1. 学校法人東邦学園に所属する機関と共同で利用する旨
  2. 共同して利用される個人データの内容
  3. 共同して利用する者の範囲
  4. 利用する者の利用目的
  5. 当該個人データの管理について責任を有する者の氏名又は名称
  6. 苦情申出の窓口

2 部署管理責任者は、個人情報管理委員会に届け出ることによって、前項2号ないし5号が規定する内容を変更することができる。ただし、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知りうる状態に置かなければならない。

(保証人からの照会)

第30条 学生の個人情報について、保証人から照会があった場合において、あらかじめ本人の同意が得られないときは、当該個人情報を開示することはできない。ただし、当該学生が未成年であり、かつ、当該個人情報の開示が親権の行使に必要と判断される場合はこの限りではない。

2 前項の判断は、個人情報管理委員会が行うものとする。この場合において、当該学生に対する虐待及び当該学生が同居する家庭における配偶者からの暴力のおそれの有無を勘案しなければならない。

(同窓会・奨学団体)

第31条 部署管理責任者は、あらかじめ本人の同意を得て、学生の個人データを、同窓会又は奨学団体に提供することができる。第24条(個人情報の委託処理の手続)、第25条(委託先の監督)は、同窓会又は奨学団体への個人データの提供の手続及び監督について準用する。

第7章 情報システムにおける安全の確保

(アクセス制御)

第32条 システム管理責任者は、保有個人データ(情報システムで取り扱うものに限る。以下次条から第40条までにおいて同じ。)の秘匿性等その内容に応じて、パスワード、ICカード、生体情報等(以下「パスワード等」という。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講じなければならない。

2 システム管理責任者は、前項の措置を講ずる場合には、パスワード等の管理に関する定めについて整備(その定期又は随時の見直しを含む。)し、及びパスワード等の読み取り防止などを行うために必要な措置を講じなければならない。

(アクセス記録)

第33条 システム管理責任者は、保有個人データの秘匿性等その内容に応じて、当該保有個人データへのアクセス状況を記録(以下「アクセス記録」という。)し、その記録を一定の期間保存するとともに、アクセス記録を定期に又は随時に分析するために必要な措置を講じなければならない。

2 システム管理責任者は、アクセス記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講じなければならない。

(不正アクセス等の防止)

第34条 システム管理責任者は、保有個人データを取り扱う情報システムへの外部又は内部からの不正アクセスを防止するために必要な措置を講じなければならない。

2 システム管理責任者は、コンピュータウィルスによる保有個人データの漏洩、滅失又は毀損の防止のため、コンピュータウィルスの感染防止等に必要な措置を講じなければならない。

3 システム管理責任者は、保有個人データの秘匿性等その内容に応じて、その暗号化のために必要な措置を講じなければならない。

(入力情報の照合等)

第35条 教職員は、保有個人データの重要度に応じて、入力原票と入力内容との照合、処理前後の保有個人データの内容の確認、既存の保有個人データとの照合等を行わなければならない。

(バックアップ)

第36条 部署管理責任者は、保有個人データの重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講じなければならない。

(情報システム設計書等の管理)

第37条 システム管理責任者は、保有個人データに係る情報システムの設計書、構成図等の文書が外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講じなければならない。

(コンピュータの管理)

第38条 システム管理責任者は、保有個人データの秘匿性等その内容に応じて、その処理を行うコンピュータを限定するために必要な措置を講じなければならない。

2 部署管理責任者は、コンピュータの盗難又は紛失の防止のため、コンピュータの固定、執務室の施錠等の必要な措置を講じなければならない。

3 教職員は、部署管理責任者が必要があると認めるときを除き、コンピュータ又は保有個人データを記録した機器媒体を外部へ持ち出し、又は外部から持ち込んではならない。また部署管理者が必要があると認めるときを除き、保有個人データをネットワークなどを通じて外部へ持ち出してはならない。許可を受けて持ち出す場合には、本人以外は保有個人データにアクセスできないよう必要な措置を講じなければならない。

4 教職員は、コンピュータの使用にあたっては、保有個人データが第三者に閲覧されることがないよう、使用状況に応じて情報システムからログアウトを行うことを徹底する等の必要な措置を講じなければならない。

(サーバー室等の入退室の管理)

第39条 システム管理責任者は、保有個人データを取り扱う基幹的なサーバーコンピュータ又はネットワーク機器等を設置する室(以下、「サーバー室等」という。)に入室する権限を有する者を定めるとともに、用件の確認、入退室の記録、部外者についての識別化、部外者が入室する場合の職員の立会い等の措置を講じなければならない。保有個人データを記録する媒体を保管するための施設(以下「保管施設」という。)を設けている場合においても、必要があると認めるときは、同様の措置を講じなければならない。

2 システム管理責任者は、必要があると認めるときは、サーバー室等の出入り口の特定化による入退室の管理の容易化、所在表示の制限等の措置を講じなければならない。

(サーバー室等の管理)

第40条 個人情報管理委員会は、外部からの不正な侵入に備え、サーバー室等に施錠装置、警報装置及び監視設備の設置等の措置を必要に応じて講じなければならない。

2 個人情報管理委員会は、災害等に備え、サーバー室等に耐震、防火、防煙、防水等の措置を必要に応じて講じるとともに、サーバーコンピュータ及びネットワーク機器等に予備電源の確保、配線の損傷防止等の措置を必要に応じて講じなければならない。

第8章 保有個人データの開示、訂正、利用停止の請求等

(自己に関する個人情報の開示)

第41条 保有個人データについて、本人は個人情報管理委員会に開示請求することができる。

2 前項に基づき本人から開示請求を受けたときは、遅滞なく、当該本人が識別される個人情報を開示しなければならない。

3 前項の請求を受けたときであっても、開示することにより次の各号のいずれかに該当する場合は、個人情報管理委員会は、その情報の全部又は一部を開示しないことができる。

  1. 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  2. 本学の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  3. 他の法令に違反することとなる場合

4 前項に基づき個人情報の全部又は一部について開示しない旨の決定をしたときは、個人情報管理委員会は、本人に対し、遅滞なく、その旨及びその理由を通知しなければならない。

(自己に関する個人情報の訂正又は削除)

第42条 保有個人データについて、当該本人が識別される個人情報の内容が事実でないときは、本人は、個人情報管理委員会に対し、当該本人が識別される個人情報の訂正、追加または削除(以下、「訂正等」という。)を請求すること(以下、「訂正等請求」という。)ができる。

2 前項に基づき本人から訂正等請求を受けたときは、個人情報管理委員会は、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行わなければならない。

3 前項の調査の結果、当該個人情報の内容が事実でないことが判明したときは、個人情報管理委員会は、直ちに、その内容の訂正等を行うものとする。

4 前項に基づき個人情報の全部又は一部の訂正等を行なったとき、又は、訂正等を行わない旨の決定をしたときは、個人情報管理委員会は、本人に対し、遅滞なく、その旨およびその理由を通知しなければならない。

(自己に関する個人情報の利用停止等)

第43条 保有個人データについて、次に掲げる事由があるときは、本人は、個人情報管理委員会に対し、当該個人情報の利用の停止または消去(以下、「利用停止等」という。)を請求すること(以下、「利用停止等請求」という。)ができる。

  1. 当該本人が識別される個人情報が、第8条、第21条、第27条の規定に違反して取り扱われているとき
  2. 当該本人が識別される個人情報が、第9条の規定に違反して取得されたものであるとき

2 前項に基づき本人から利用停止等請求を受けたときは、個人情報管理委員会は、遅滞なく、前項各号に掲げる事由として具体的に主張された事実の有無について、必要な調査を行わなければならない。

3 前項の調査の結果、第1項各号に掲げる事由が認められたときは、個人情報管理委員会は、当該違反を是正するために必要な限度で、遅滞なく、当該個人情報の利用停止等を行うものとする。

4 第1項各号に掲げる事由が認められた場合であっても、当該個人情報の利用停止等に多額の費用を要する場合その他利用停止等を行なうことに困難な事情がある場合は、個人情報管理委員会は、前項に定める当該個人情報の利用停止等を行なわないことができる。ただし、この場合には、個人情報管理委員会は、本人の権利利益を保護するために必要なこれに代わる措置をとることを要する。

5 第3項または第4項に基づき、個人情報の全部または一部について利用停止等を行なったとき、または、利用停止等を行なわない旨の決定をしたときは、個人情報管理委員会は、本人に対し、遅滞なく、その旨およびその理由を通知しなければならない。

(請求の方法等)

第44条 本人が、第41条、第42条または第43条に定める請求をするときは、個人情報管理委員会に対し、本人であることを明らかにして、次に掲げる事項を記載した文書を提出する事により行なう。

  1. 所属および氏名
  2. 個人情報の名称および記録項目
  3. 請求の理由
  4. その他個人情報管理委員会が必要と認めた事項

2 学生が、第41条、第42条または第43条の請求を行なう窓口は、教学部とする。教職員が、第41条、第42条または第43条の請求を行なう窓口は、総務部とする。

(手数料等)

第45条 本人が、第41条、第42条または第43条の各第1項が定める各請求を行う方法、手数料の有無および金額、その他各請求に関する手続の詳細は、別にこれを定める。

2 本人は、個人情報管理委員会が定めた手続ないし方法に従って、各請求を行わなければならない。

第9章 苦情処理及び問題への対応

(不服の申立て)

第46条 個人情報の取り扱いに関して不服のある者は、個人情報管理委員会に不服申し立てをすることができる。申し立ての窓口は、第44条2項を準用する。

2 前項に規定する不服申立ては、申し出本人であることを明らかにした上で、当該申立てに必要な事項を明記した文書を、個人情報管理委員会あてに提出するものとする。

3 個人情報管理委員会は、不服申立ての内容を調査し、確認するために調査小委員会を設置することができる。

4 個人情報管理委員会及び前項に規定する調査小委員会は、必要に応じて、不服申立人、関係部署の教職員その他関係者の出席を求め、その意見又は説明を聞くことができる。

5 個人情報管理委員会は、不服申立てに係わる審議の内容及び決定を不服申立人に文書をもって通知するとともに、遅滞なく、学長に報告しなければならない。

(問題への対応)

第47条 本規程の実施にもかかわらず、万一個人情報が第三者に大量流出したことが明らかになった場合には、その旨を速やかに本人に通知するとともに、被害拡大を防止するために必要な緊急の措置をとるものとする。また、調査委員会を組織して個人情報流出の原因を調査させ、必要な再発防止措置を講じなければならない。

第10章 雑則

(学術研究の除外)

第48条 本学の教員が行う学術研究において第2条第2項に定める以外の個人情報を取り扱う場合には、この規程を適用しない。この場合において、当該教員は、個人情報の保護に関する法令及び本規程の趣旨に従って、自らの責任において個人情報を適正に取り扱う義務を負う。

(守秘義務)

第49条 個人情報管理委員会の委員長及び委員は、同委員会の事務を行うについて取得した個人情報及び個人のプライバシーに関する情報を正当な理由なく他人に漏らしてはならない。

(経過措置)

第50条 本規程の施行前に収集された個人情報については、本人にその利用目的等本規程に定められた事項及び本人からの異議申出を受け付ける旨の通知又は公表することとし、相当期間の経過をもってその利用につき本人の同意があったものとみなす。

2 本規程の施行前に収集された個人データで第三者に提供されているものについては、すみやかに第28条1項(オプト・アウトに関する公表事項)に掲げられた事項を通知又は公表した上で、以後同項に従った取り扱いがされているものとみなす。

(規定の改廃)

第51条 本規程の改廃は、個人情報管理委員会の提案に基づき、教授会の議を経て学長がこれを行う。

附則

1 この規程は、平成17年10月24日から施行する。

2 この規程は、改正(第1条、第2条、第7条、第18条、第22条、第27条、第41条、第42条、第43条)により、平成18年11月8日から施行する。

3 この規程は、改正(第30条)により、平成19年6月13日から施行する。