○国立大学法人東北大学個人情報保護規程
平成17年3月22日
規第11号
国立大学法人東北大学個人情報保護規程
目次
第1章 総則(第1条・第2条)
第2章 保護管理体制(第3条―第9条)
第3章 個人情報保護委員会(第10条―第17条)
第4章 個人データ等の取扱い(第18条―第37条)
第5章 個人情報ファイル簿(第38条)
第6章 安全確保上の問題への対応(第39条・第40条)
第7章 点検(第41条・第42条)
第8章 文部科学省との連携(第43条)
第9章 雑則(第44条―第46条)
附則
第1章 総則
(趣旨)
第1条 この規程は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第23条の規定に基づき、国立大学法人東北大学(以下「本学」という。)の保有する個人情報の適切な管理について必要な事項を定めるものとする。
2 本学の情報システムにおける個人情報の適切な管理については、国立大学法人東北大学における情報システムの運用及び管理に関する規程(平成21年規第42号)の定めるもののほか、この規程の定めるところによる。
(定義)
第2条 この規程において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
2 この規程において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「施行令」という。)第1条各号に掲げる文字、番号、記号その他の符号をいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
3 この規程において、「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして施行令第2条各号に定める記述等が含まれる個人情報をいう。
4 この規程において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
一 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
一 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
7 この規程において、「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
8 この規程において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして施行令第4条第1項各号に定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するもの
9 この規程において、「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
10 この規程において「保有個人情報」とは、本学の役員又は職員(以下この条において「役職員」という。)が職務上作成し、又は取得した個人情報であって、役職員が組織的に用いるものとして、本学が保有しているものをいう。ただし、国立大学法人東北大学法人文書管理規程(平成23年規第68号。以下「文書管理規程」という。)第2条第1号に定める法人文書に記録されているものに限るものとする。
11 この規程において「個人情報ファイル」とは、保有個人情報を含む情報の集合物であって、次に掲げるものをいう。
一 一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの
12 この規程において「部局」とは、総長・プロボスト室、各研究科、各附置研究所、附属図書館、同各分館、病院、国立大学法人東北大学組織運営規程(平成16年規第1号。以下「組織運営規程」という。)第20条第1項に規定する各機構、同条第3項に規定する研究組織、組織運営規程第21条に規定する各学内共同教育研究施設等、組織運営規程第22条から第26条までに規定するセンター等、本部事務機構の課、室及び川内キャンパス事務センター並びに監査室をいう。
13 この規程において「行政機関等匿名加工情報」とは、次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報の全部又は一部(これらの一部に独立行政法人等の保有する情報の公開に関する法律(平成13年法律第140号。以下「独立行政法人等情報公開法」という。)第5条に規定する不開示情報(同条第1号に掲げる情報を除き、同条第2号ただし書に規定する情報を含む。)が含まれているときは、これらの不開示情報に該当する部分を除く。)を加工して得られる匿名加工情報をいう。
一 第38条第1項の規定に基づき、法第74条第1項第1号から第7号まで、第9号及び第10号並びに施行令第20条第6項各号に掲げる事項を記載した帳簿(以下「個人情報ファイル簿」という。)に掲載するものであること。
二 本学に対し、当該個人情報ファイルを構成する保有個人情報が記録されている法人文書の独立行政法人等情報公開法第3条による開示の請求があったとしたならば、本学が次のいずれかを行うこととなるものであること。
イ 当該法人文書に記録されている保有個人情報の全部又は一部を開示する旨の決定をすること。
ロ 別に定めるところにより意見書の提出の機会を与えること。
三 本学の事務及び事業の適正かつ円滑な運営に支障のない範囲内で、法第116条第1項の基準に従い、当該個人情報ファイルを構成する保有個人情報を加工して匿名加工情報を作成することができるものであること。
14 この規程において「行政機関等匿名加工情報ファイル」とは、行政機関等匿名加工情報を含む情報の集合物であって、次に掲げるものをいう。
一 特定の行政機関等匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、これに含まれる行政機関等匿名加工情報を一定の規則に従って整理することにより特定の行政機関等匿名加工情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの
第2章 保護管理体制
(役職員等の責務)
第3条 役員、職員その他本学の業務に従事している者(以下「役職員等」という。)は、法令及びこの規程(この規程において別に定めることとされているものを含む。)の規定並びに個人情報総括保護管理者、個人情報保護管理者及び個人情報保護担当者の指示に従い、個人データ及び保有個人情報(以下「個人データ等」という。)を取り扱わなければならない。
(個人情報最高管理責任者)
第4条 本学に、個人データ等の適正な取扱いの確保について最終責任を負う者として個人情報最高管理責任者(以下「最高管理責任者」という。)を置き、総長をもって充てる。
2 最高管理責任者は、個人情報総括保護管理者及び個人情報保護管理者が責任をもって個人データ等の適切な管理が行えるよう必要な措置を講じなければならない。
(個人情報総括保護管理者)
第5条 本学に、本学における個人データ等の管理に関する事務を総括させるため、個人情報総括保護管理者(以下「総括保護管理者」という。)を置く。
2 総括保護管理者は、総長が指名する理事又は副学長をもって充てる。
(個人情報保護管理者)
第6条 部局に、当該部局における個人データ等の適切な管理を確保させるため、個人情報保護管理者(以下「保護管理者」という。)を置く。
2 保護管理者は、当該部局の長をもって充てる。
3 個人データ等を情報システムで取り扱う場合、保護管理者は、当該情報システムの管理者と連携して個人データ等の適切な管理を確保させるものとする。
(個人情報保護担当者)
第7条 部局に、当該部局の保護管理者を補佐し、当該部局における個人データ等の管理に関する事務を処理させるため、個人情報保護担当者(以下「保護担当者」という。)を置く。ただし、部局の事情によって固有の保護担当者を置くことが困難な場合は、複数の部局が合同でこれを置くことができる。
3 第1項の規定により置く保護担当者の数は、保護管理者が必要と認めた数とする。
(監査責任者)
第8条 本学に、本学における個人データ等の管理の状況について監査させるため、監査責任者を置く。
(教育研修)
第9条 総括保護管理者は、個人データ等の取扱いに従事する役職員等に対し、個人データ等の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行うものとする。
2 前項に定めるもののほか、総括保護管理者は、個人データ等を取り扱う情報システムの管理に関する事務に従事する職員その他本学の業務に従事している者に対し、個人データ等の適切な管理に資するため、情報システムの管理、運用及び安全対策に関して必要な教育研修を行うものとする。
3 前二項に定めるもののほか、総括保護管理者は、保護管理者及び保護担当者に対し、各部局における個人データ等の適切な管理のための教育研修を行うものとする。
4 保護管理者は、当該部局の役職員等に対し、個人データ等の適切な管理のため、前三項の規定により総括保護管理者が実施する教育研修への参加の機会を付与する等必要な措置を講ずるものとする。
第3章 個人情報保護委員会
(個人情報保護委員会)
第10条 本学に、本学における個人データ等の管理に係る重要事項を審議するため、個人情報保護委員会(以下「委員会」という。)を置く。
(組織)
第11条 委員会は、次に掲げる委員をもって組織する。
一 総括保護管理者
二 データシナジー創生機構長
三 総務企画部長、教育・学生支援部長及び情報部長
四 その他委員長が必要と認めた者 若干人
(委員長及び副委員長)
第12条 委員会に、委員長及び副委員長を置き、委員長は総括保護管理者をもって、副委員長は委員長が指名する委員をもって充てる。
2 委員長は、委員会の会務を総理する。
3 副委員長は、委員長を補佐し、委員長に事故があるときは、その職務を代行する。
(委嘱)
第13条 第11条第4号に掲げる委員は、総長が委嘱する。
(任期)
第14条 第11条第4号に掲げる委員の任期は、2年とする。ただし、補欠の委員の任期は、前任者の残任期間とする。
2 前項の委員は、再任されることができる。
(委員以外の者の出席)
第15条 委員会は、必要があると認めるときは、委員以外の者を出席させて説明又は意見を聴くことができる。
(専門委員会)
第16条 個人データ等の管理に関する特定の事項を検討させるため必要があるときは、委員会に専門委員会を置くことができる。
2 専門委員会について必要な事項は、別に定める。
(庶務)
第17条 委員会の庶務は、総務企画部において処理する。
第4章 個人データ等の取扱い
(利用目的の特定)
第18条 保護管理者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 保護管理者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(取扱いの制限)
第19条 保護管理者は、個人データ等の秘匿性等その内容に応じて、個人データ等を取り扱う権限を有する役職員等及びその権限の内容を、当該個人データ等を取り扱う上で必要最小限の範囲に限るものとする。
2 前項の規定により個人データ等を取り扱う権限を有する役職員等以外の者は、個人データ等を取り扱ってはならない。
3 役職員等は、個人データ等を取り扱う権限を有する場合であっても、その業務上の目的以外の目的で保有個人情報を取り扱ってはならない。
4 本学は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わないものとする。
5 前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 本学が、当該個人情報を学術研究の用に供する目的(以下「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者(以下「学術研究機関等」という。)に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(不適正な利用の禁止)
第20条 役職員等は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
(適正な取得)
第21条 役職員等は、個人情報を取得する場合、偽りその他不正の手段により個人情報を取得してはならない。
2 役職員等は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 本学が、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(本学と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
七 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、法第57条第1項各号に掲げる者その他次の各号に定める者により公開されている場合
イ 外国政府、外国の政府機関、外国の地方公共団体又は国際機関
ロ 外国において法第16条第8項に規定する学術研究機関に相当する者
ハ 外国において法第57条第1項各号に掲げる者に相当する者
八 その他前各号に掲げる場合に準ずるものとして施行令第9条各号で定める場合
(利用目的の通知又は公表)
第22条 保護管理者は、個人情報を取得した場合は、あらかじめその利用目的が総括保護管理者又は保護管理者により公表されている場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 保護管理者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 総括保護管理者又は保護管理者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合について適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより本学の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合
(複製等の制限)
第23条 役職員等は、業務上の目的で個人データ等を取り扱う場合であっても、次に掲げる行為については、保護管理者の指示に従い行うものとする。この場合において、保護管理者は、当該個人データ等の秘匿性等その内容に応じて、当該行為を行うことができる場合を限定するものとする。
一 個人データ等の複製
二 個人データ等の送信
三 個人データ等が記録されている媒体の外部への送付又は持出し
四 その他個人データ等の適切な管理に支障を及ぼすおそれのある行為
(誤りの訂正等)
第24条 役職員等は、個人データ等の内容に誤り等を発見した場合には、保護管理者の指示に従い、訂正等を行わなければならない。
(媒体の管理等)
第25条 役職員等は、保護管理者の指示に従い、個人データ等が記録されている媒体を所定の場所に保管しなければならない。
(廃棄等)
第26条 役職員等は、個人データ等について文書管理規程第27条第1項に定めるところにより廃棄する場合又は個人データ等が記録されている媒体について不要となり、廃棄する場合には、保護管理者の指示に従い、当該個人データ等の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行わなければならない。
(学術研究目的の個人データの取扱い)
第27条 前四条の規定にかかわらず、学術研究目的で取得した個人データの取扱いは、当該学術研究の実施に最終的な責任を持つ者の指示に従い行うこととし、廃棄等については、国立大学法人東北大学における公正な研究活動の推進に関する規程(平成25年規第100号)第4条に規定する部局の長の責務として各部局の長が定める当該個人データの保存期間満了後の措置に基づき行うものとする。
(個人データ等の取扱状況の記録)
第28条 保護管理者は、個人データ等の秘匿性等その内容に応じて、台帳等を作成し、当該個人データ等の利用及び保管等の取扱いの状況について記録しなければならない。
(業務の委託)
第29条 保護管理者は、個人データ等の取扱いに係る業務を外部に委託する場合には、個人情報の適切な管理を行う能力を有しない者が選定されることがないよう、必要な措置を講ずるものとする。
2 国立大学法人東北大学会計規程(平成16年規第77号)第4条第2項に規定する財務総括責任者(以下「財務総括責任者」という。)は、委託契約を締結する場合には、次に掲げる事項を明記するとともに、委託先における責任者及び業務従事者の管理及び実施体制、個人情報の管理状況についての検査に関する事項等について書面で確認するものとする。
一 個人情報に関する秘密保持、目的外利用の禁止等の義務
二 再委託(再委託先が委託先の子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定する子会社をいう。)である場合を含む。以下同じ。)の制限又は事前承認等再委託に係る条件に関する事項
三 個人情報の複製等の制限に関する事項
四 個人情報の漏えい等の事案の発生時における対応に関する事項
五 委託終了時における個人情報の消去及び媒体の返却に関する事項
六 違反した場合における契約解除、損害賠償責任その他必要な事項
3 保護管理者は、個人データ等の取扱いに係る業務を外部に委託する場合には、委託する業務に係る個人データ等の秘匿性等その内容又はその量等に応じて、委託先における管理及び実施体制並びに個人情報の管理状況について、必要に応じて定期的に監査を行う等により確認するものとする。
5 保護管理者は、個人データ等の取扱いに係る業務を外部に委託する場合には、漏えい等による被害発生のリスクを低減する観点から、提供先の利用目的、委託する業務の内容、個人データ等の秘匿性等その内容等に応じて、当該個人データ等を加工し、仮名加工情報として提供する等の措置を講ずるものとする。
(労働者の派遣)
第30条 保護管理者は、当該個人データ等の取扱いに係る業務を派遣労働者によって行わせる場合には、個人情報を適切に取り扱う能力を有しないものを選定されることがないよう、必要な措置を講ずるものとする。
2 財務総括責任者は、労働者派遣契約を締結する場合には、秘密保持義務等個人情報の取扱いに関する事項を明記するものとする。
(第三者提供の制限)
第31条 役職員等は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データ等を第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人データ等の提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 当該個人データ等を学術研究目的で提供する必要があるとき(当該個人データ等を提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(役職員等と当該第三者が共同して学術研究を行う場合に限る。)。
七 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データ等を学術研究目的で取り扱う必要があるとき(当該個人データ等を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
2 次に掲げる場合において、当該個人データ等の提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。
一 本学が利用目的の達成に必要な範囲内において個人データ等の取扱いの全部又は一部を委託することに伴って当該個人データ等が提供される場合
二 合併その他の事由による事業の承継に伴って個人データ等が提供される場合
三 特定の者との間で共同して利用される個人データ等が当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データ等の項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データ等の管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
(外国にある第三者への提供の制限)
第32条 保護管理者は、外国(本邦の域外にある国又は地域をいう。以下この条において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している国として個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「個人情報保護委員会規則」という。)第15条第1項の規定により個人情報保護委員会が定めるものをいう。以下この条において同じ。)にある第三者(個人データ等の取扱いについて法第4章第2節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第3項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則第16条に定める基準に適合する体制を整備している者を除く。以下この項及び次項において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
2 保護管理者は、前項の規定により本人の同意を得ようとする場合には、電磁的記録の提供、書面の交付その他適切な方法により、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
3 保護管理者は、個人データ等を外国にある第三者(第1項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則第18条第1項に定める当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
2 保護管理者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則第21条に定める期間保存しなければならない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 当該第三者による当該個人データの取得の経緯
2 保護管理者は、前項の規定による確認を行ったときは、文書又は電磁的記録を用いて作成する方法により、当該個人データの提供を受けた年月日、当該確認に係る事項その他の別に定める事項に関する記録を作成しなければならない。
3 保護管理者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則第25条で定める期間保存しなければならない。
(個人関連情報の第三者提供の制限等)
第35条 保護管理者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、第31条第1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則第26条の規定に基づき確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が保護管理者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
二 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則第26条第2項に規定する方法により、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
2 保護管理者は、個人関連情報を外国にある第三者(法第28条第1項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則第18条第1項に規定する当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じなければならない。
(仮名加工情報の作成等)
第36条 役職員等は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則第31条に定める基準に従い、個人情報を加工しなければならない。
4 保護管理者は、仮名加工情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を公表しなければならない。
5 保護管理者は、仮名加工情報の利用目的を変更した場合は、変更された利用目的について公表しなければならない。
6 役職員等は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ等及び削除情報等を遅滞なく消去するよう努めなければならない。
7 役職員等は、第31条第1項及び第32条第1項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データ等を第三者に提供してはならない。この場合において、第31条第2項中「前項」とあるのは「第36条第7項」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第3項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第33条第1項ただし書中「第31条第1項各号又は第2項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第31条第1項各号のいずれか)」とあり、及び第34条第1項ただし書中「第31条第1項各号又は第2項各号のいずれか」とあるのは「法令に基づく場合又は第31条第2項各号のいずれか」とする。
8 役職員等は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
9 役職員等は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則第33条各号に定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
(行政機関等匿名加工情報の作成及び提供等)
第37条 本学は、法第5章第5節の規定に従い、行政機関等匿名加工情報(行政機関等匿名加工情報ファイルを構成するものに限る。)を作成することができる。
2 役職員等は、次の各号のいずれかに掲げる場合を除き、行政機関等匿名加工情報を提供してはならない。
一 法令に基づく場合(法第5章第5節の規定に従う場合を含む。)
二 保有個人情報を利用目的のために第三者に提供することができる場合において、当該保有個人情報を加工して作成した行政機関匿名加工情報を当該第三者に提供するとき。
3 第19条の規定にかかわらず、役職員等は法令に基づく場合を除き、利用目的以外の目的のために削除情報(保有個人情報に該当するものに限る。)を自ら利用し又は提供してはならない。
4 前項の「削除情報」とは、行政機関等匿名加工情報の作成に用いた保有個人情報から削除した記述等及び個人識別符号をいう。
5 前三項に定めるもののほか、行政機関等匿名加工情報の作成及び提供等については、国立大学法人東北大学における行政機関等匿名加工情報の提供等に関する取扱規程(平成30年規第22号。以下「取扱規程」という。)の定めるところによる。
第5章 個人情報ファイル簿
(個人情報ファイル簿)
第38条 保護管理者は、個人情報ファイル(法第74条第2項各号に掲げるもの及び同条第3項に規定するものを除く。以下この条において同じ。)を保有するに至ったときは、直ちに、個人情報ファイル簿を作成し、総括保護管理者に提出しなければならない。この場合において、当該個人情報ファイルが法第60条第3項各号のいずれにも該当するときは、法第110条各号に掲げる事項をも記載しなければならない。
2 総括保護管理者は、前項の規定により保護管理者から提出のあった個人情報ファイル簿を一の帳簿として整理し、その後遅滞なくこれを別に定める場所に備えて置き、一般の閲覧に供するとともに、ネットワーク上のデータベースとして整備する等の方法により公表するものとする。
3 前二項の規定は、次に掲げる個人情報ファイルに関しては適用しない。
一 法第74条第2項第1号から第10号までに掲げる個人情報ファイル
二 前項の規定による公表に係る個人情報ファイルに記録されている記録情報の全部又は一部を記録した個人情報ファイルであって、その利用目的、記録項目及び記録範囲が当該公表に係るこれらの事項の範囲内のもの
三 前号に掲げる個人情報ファイルに準ずるものとして施行令第20条第7項に定める個人情報ファイル
4 保護管理者は、個人情報ファイル簿に記載すべき事項に変更があったときは、直ちに、当該個人情報ファイル簿を修正し、総括保護管理者に提出しなければならない。
5 保護管理者は、個人情報ファイル簿に掲載した個人情報ファイルの保有をしなくなったとき、又はその個人情報ファイルに含まれる個人情報により識別される本人の数が1,000人に満たない場合は、遅滞なく、当該個人情報ファイルについての記載を削除し、総括保護管理者に提出しなければならない。
6 総括保護管理者は、行政機関等匿名加工情報を作成したときは、当該行政機関等匿名加工情報の作成に用いた保有個人情報を含む個人情報ファイル(個人情報ファイル簿に法第110条第1号に掲げる事項の記載があるものに限る。)については、個人情報ファイル簿に法第117条各号に掲げる事項を記載しなければならない。
第6章 安全確保上の問題への対応
(事案の報告及び再発防止措置)
第39条 個人データ等の漏えい等安全確保の上で問題となる事案又は問題となる事案の発生のおそれ(以下「事案等」という。)を認識した場合に、その事案等を認識した役職員等は、直ちに当該個人データ等を管理する保護管理者に報告しなければならない。
2 保護管理者は、前項の規定に基づく報告を受けた場合には、被害の拡大防止又は復旧等のために必要な措置を速やかに講ずるものとする。ただし、当該事案等が、不正アクセス、不正プログラムの感染又はこれに類する重大なセキュリティ侵害の事案であると疑われる場合は、当該端末等のネットワークからの遮断その他被害拡大防止のため直ちに行い得る措置を直ちに講ずるものとする。
3 保護管理者は、事案等の発生した経緯、被害状況等を調査し、速やかに総括保護管理者に報告しなければならない。ただし、特に重大と認める事案等が発生した場合には、直ちに総括保護管理者に当該事案等の内容等について報告しなければならない。
4 総括保護管理者は、前項の規定に基づく報告を受けた場合には、事案等の内容等に応じて、当該事案の内容、経緯、被害状況等を速やかに総長に報告するものとする。
5 総括保護管理者は、その取り扱う個人データ等の漏えい、滅失、毀損その他の個人データ等の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則第7条に定めるものが生じたときは、個人情報保護委員会規則第8条第1項に定めるところにより、当該事態が生じた旨を個人情報保護委員会(法第130条第1項に規定する個人情報保護委員会をいう。第8項及び次条第2項において同じ。)に報告しなければならない。ただし、本学が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則第8条第1項に定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
7 保護管理者は、第3項の規定により総括保護管理者に報告した後は、事案等の発生した原因を分析し、再発防止のために必要な措置を講じなければならない。この場合において、その事案等が、行政機関等匿名加工情報、行政機関等匿名加工情報の作成に用いた保有個人情報から削除した記述等及び個人識別符号並びに取扱規程第9条第1項の規定により行った加工の方法に関する情報(以下次条までにおいて「行政機関等匿名加工情報等」という。)に係るものである場合には、直ちに総括保護管理者に当該措置の内容等について報告しなければならない。
(公表等)
第40条 総長は、前条の事案等が発生したときは、事案等の内容、影響等に応じて、事実関係及び再発防止策を公表するものとする。
2 前項に規定する公表を行う場合には、当該事案等の内容、経緯、被害状況等について、個人情報保護委員会事務局に対し、速やかに情報提供を行うものとする。
第7章 点検
(点検)
第41条 保護管理者は、各部局における個人データ等の記録媒体、処理経路、保管方法等について、定期に、及び必要がある場合は随時に点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告するものとする。
(評価及び見直し)
第42条 総括保護管理者又は保護管理者は、前条の規定による点検の結果を踏まえ、個人データ等の適切な管理のための措置について実効性等の観点から評価し、必要があると認めるときは、その見直し等の措置を講ずるものとする。
第8章 文部科学省との連携
(文部科学省との連携)
第43条 本学は、個人データ等の適切な管理を行うに当たっては、文部科学省と緊密に連携して行うものとする。
第9章 雑則
(開示請求等をしようとする者に対する情報の提供等)
第44条 総括保護管理者は、開示請求、訂正請求又は利用停止請求(以下「開示請求等」という。)をしようとする者がそれぞれ容易かつ的確に開示請求等をすることができるよう、本学が保有する保有個人情報の特定に資する情報の提供その他開示請求等をしようとする者の利便を考慮した適切な措置を講ずるものとする。
(苦情処理)
第45条 総括保護管理者は、本学における個人情報(削除情報を除き、行政機関等匿名加工情報にあっては、行政機関等匿名加工情報ファイルを構成するものに限る。)の取扱いに関し、苦情又は意見があったときは、適切かつ迅速に処理するものとする。
(雑則)
第46条 この規程に定めるもののほか、本学の保有する個人情報の適切な管理に関し必要な事項は、別に定める。
附則
1 この規程は、平成17年4月1日から施行する。
附則(平成17年4月1日規第58号改正)
この規程は、平成17年4月1日から施行する。
附則(平成17年12月27日規第186号改正)抄
1 この規程は、平成18年1月1日から施行する。
附則(平成18年4月26日規第93号改正)
この規程は、平成18年4月26日から施行し、改正後の第2条第5項の規定は、平成18年4月1日から適用する。
附則(平成18年7月26日規第121号改正)
1 この規程は、平成18年7月26日から施行する。
2 この規程の施行後最初に委嘱される委員会の委員の任期は、改正後の第13条第1項本文の規定にかかわらず、平成20年3月31日までとする。
附則(平成18年12月22日規第174号改正)
この規程は、平成18年12月22日から施行し、改正後の第25条第2項及び第26条第2項の規定は、平成18年11月6日から適用する。
附則(平成19年4月1日規第100号改正)
この規程は、平成19年4月1日から施行する。
附則(平成19年4月10日規第106号改正)
この規程は、平成19年4月10日から施行し、改正後の第2条第5項の規定は、平成19年4月1日から適用する。
附則(平成20年1月9日規第2号改正)
この規程は、平成20年1月9日から施行し、改正後の第2条第5項の規定は、平成19年10月1日から適用する。
附則(平成20年4月22日規第96号改正)
この規程は、平成20年4月22日から施行し、改正後の第2条第5項、第10条第2号から第4号まで及び第16条の規定は、平成20年4月1日から適用する。
附則(平成20年9月29日規第141号改正)
この規程は、平成20年10月1日から施行する。
附則(平成21年3月27日規第47号改正)
この規程は、平成21年4月1日から施行する。
附則(平成21年4月14日規第62号改正)
この規程は、平成21年4月14日から施行し、改正後の第2条第5項の規定は、平成21年4月1日から適用する。
附則(平成21年4月28日規第78号改正)
この規程は、平成21年4月28日から施行し、改正後の第10条第4号及び第16条の規定は、平成21年4月1日から適用する。
附則(平成21年12月8日規第110号改正)
この規程は、平成21年12月8日から施行し、改正後の第2条第5項の規定は、平成21年12月1日から適用する。
附則(平成22年4月13日規第45号改正)
この規程は、平成22年4月13日から施行し、改正後の第2条第5項の規定は、平成22年4月1日から適用する。
附則(平成23年3月31日規第45号改正)
この規程は、平成23年3月31日から施行する。
附則(平成23年4月28日規第58号改正)
この規程は、平成23年4月28日から施行し、改正後の第10条第4号の規定は、平成23年4月1日から適用する。
附則(平成24年5月8日規第51号改正)
この規程は、平成24年5月8日から施行し、改正後の第2条第5項の規定は、平成24年2月1日から適用する。
附則(平成24年9月25日規第97号改正)
この規程は、平成24年10月1日から施行する。
附則(平成24年10月23日規第103号改正)
この規程は、平成24年10月23日から施行し、改正後の第2条第5項の規定は、平成24年10月1日から適用する。
附則(平成25年4月23日規第63号改正)
この規程は、平成25年4月23日から施行し、改正後の第2条第5項、第10条第4号及び第16条の規定は、平成25年4月1日から適用する。
附則(平成26年4月22日規第78号改正)
この規程は、平成26年4月22日から施行し、改正後の第2条第5項、第10条第4号及び第16条の規定は、平成26年4月1日から適用する。
附則(平成26年7月8日規第117号改正)
この規程は、平成26年7月8日から施行し、改正後の第2条第5項の規定は、平成26年7月1日から適用する。
附則(平成26年12月22日規第146号改正)
この規程は、平成26年12月22日から施行し、改正後の第2条第5項の規定は、平成26年10月1日から適用する。
附則(平成27年3月23日規第12号改正)
この規程は、平成27年4月1日から施行する。
附則(平成27年4月28日規第70号改正)
この規程は、平成27年4月28日から施行し、平成27年4月1日から適用する。
附則(平成27年5月26日規第79号改正)
この規程は、平成27年5月26日から施行し、平成27年4月28日から適用する。
附則(平成28年3月1日規第18号改正)
この規程は、平成28年3月1日から施行する。
附則(平成28年4月26日規第60号改正)
この規程は、平成28年4月26日から施行し、[中略]平成28年4月1日から適用する。
附則(平成29年4月25日規第81号改正)
この規程は、平成29年4月25日から施行し、改正後の第2条第5項の規定は、平成29年4月1日から適用する。
附則(平成29年5月16日規第104号改正)
この規程は、平成29年5月30日から施行する。
附則(平成30年2月27日規第21号改正)
1 この規程は、平成30年2月27日から施行する。
2 国立大学法人東北大学個人番号及び特定個人情報取扱規程(平成27年規第97号)の一部を次のように改正する。
〔次のよう〕略
附則(平成30年6月28日規第142号改正)
この規程は、平成30年6月28日から施行し、改正後の第2条第6項の規定(「第29条」を「第27条」に改める部分及び「規定するセンター等」の次に「、材料科学高等研究所、学際科学フロンティア研究所」を加える部分に限る。)は、平成30年1月30日から、改正後の同項の規定(「総長室」を「総長・プロボスト室」に改める部分及び「、教育情報学教育部、教育情報学研究部」を削る部分に限る。)は、平成30年4月1日から適用する。
附則(平成31年4月23日規第70号改正)
この規程は、平成31年4月23日から施行し、改正後の第2条第6項の規定は、平成31年4月1日から適用する。
附則(令和元年10月1日規第19号改正)
この規程は、令和元年10月1日から施行する。
附則(令和元年11月26日規第73号改正)
この規程は、令和元年11月26日から施行し、改正後の第2条第6項及び第11条第2号の規定(「総長室」を「総長・プロボスト室」に改める部分を除く。)は、令和元年10月1日から適用する。
附則(令和3年9月28日規第86号改正)
この規程は、令和3年10月1日から施行する。
附則(令和3年12月28日規第106号改正)
この規程は、令和4年1月1日から施行する。
附則(令和4年3月29日規第35号改正)
この規程は、令和4年4月1日から施行する。
附則(令和5年5月16日規第82号改正)
この規程は、令和5年5月16日から施行し、改正後の第2条第13項第3号、第38条第1項及び第6項並びに第39条第5項及び第8項の規定は、令和5年4月1日から適用する。