愛知淑徳大学 個人情報の保護に関する規程
目的
- 第1条本規程は、「学校法人愛知淑徳学園個人情報の保護に関する基本方針」第1に基づき、愛知淑徳大学(以下「本学」という。)が個人情報を取得、利用、保管、その他の取扱いを行うについて必要な事項を定め、個人情報の適切な保護に資することを目的とする。
定義
- 第2条本規程において用語の定義は、次のとおりとする。
- (1)「個人情報」とは、生存する個人に関する情報であって、次のいずれかに該当するものをいう
- イ当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの
- ロ当該情報事体からは特定の個人を識別することができなくても、他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの
- ハ個人識別符号(身体の一部の特徴を電子計算機に変換した符号、又はカードその他の書類等に対象者ごとに異なるものとなるように記載等された公的な符号のうち、個人情報保護法施行令(以下、「政令」という。)で定めるものをいう。)が含まれるもの
- (2)「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経緯、犯罪による被害の事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう
- (3)「個人情報データベース等」とは、個人情報を含む集合体であって、次に掲げるものをいう(利用方法からみて個人の権利を害するおそれが少ないものとして政令で定めるものを除く。)
- イ特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
- ロイに掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
- (4)「個人データ」とは、個人情報データベース等を構成する個人情報をいう
- (5)「学生」とは、本学の正規の学生又は研究生、留学生、科目等履修生、聴講生、公開講座等の受講生等、本学に学習、研究のために登録した者及び個人情報を提供した志願者、受験生をいう
- (6)「教職員」とは、本学の専任、常勤、非常勤の教職員及び派遣職員並びに本学が委託した業者等、本学に履歴や個人情報を提供している者又は保管書類を日常閲覧できる勤務状態にある者をいう
- (7)「本人」とは、個人情報によって識別される特定の個人をいう
本学の責務
- 第3条本学は、個人情報の取得、保管又は利用にあたっては次の各号に掲げる措置を講ずるものとする。
- (1)教職員に対する法及び本規程の遵守の徹底
- (2)学生に対する個人情報保護にかかる教育及び指導
- (3)その他個人情報の適正な取扱いを確保するために必要な措置
教職員の責務
- 第4条教職員は、本規程を遵守し、個人情報を適正に取扱うとともに、個人情報の正確性及び安全性の確保に努めなければならない。
- 2教職員は、その業務に関して知り得た個人情報を故意又は過失により、漏えいし、紛失し若しくはき損し、又は不正な目的で利用してはならない。その地位を退いた後においても同様とする。
適用除外
- 第5条本規程は、本学が学術研究の用に供する目的で個人情報を取り扱う場合には、適応しない。ただし、その場合においても、できる限り本規程に準じて個人情報を取り扱うようにするなど、個人情報の適正な取り扱いを確保するために必要な措置を講ずるよう努めなければならない。
適正取得
- 第6条本学は、適法かつ相当な手段により個人情報を取得しなければならない。
利用目的の特定、通知又は公表
- 第7条本学は、個人情報を取得するに当たっては、その利用目的をできる限り特定しなければならない。
- 2前項により特定した利用目的は、できるだけ公表することを原則とするが、やむを得ない場合は、取得後速やかに本人に通知、又は公表しなければならない。
- 3前項の規定にかかわらず、本人との間で契約を締結するに伴って契約書その他の書面(電磁的記録を含む。)に記載された当該本人の個人情報を取得する場合は、あらかじめ本人に対しその利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
- 4前2項の規定は、次に掲げる場合については、適用しない。
- (1)利用目的を本人に通知し、又は公表することにより、本人若しくは第三者の生命、身体、財産その他の権利利益を害するおそれがある場合、又は本学の権利若しくは正当な利益を害するおそれがある場合
- (2)国や地方公共団体等が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
- (3)取得の状況からみて利用目的が明らかであると認められる場合
利用目的の制限、変更
- 第8条取得した個人情報は、特定した利用目的の範囲内で利用しなければならない。
- 2利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲内で行い、変更された利用目的について、本人に通知し、又は公表しなければならない。
- 3前2項の規定による利用目的の範囲を超えて、他の目的で利用する場合は、次に掲げる場合を除き、あらかじめ本人の同意を得なければならない。
- (1)法令に基づく場合
- (2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- (3)公衆衛生の向上又は学生の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- (4)国や地方公共団体等が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
要配慮個人情報の取得
- 第9条要配慮個人情報は、合理的な理由がない限り取得しないように努めるものとする。
- 2要配慮個人情報を取得するときは、次に掲げる場合を除き、あらかじめ本人の同意を得なければならない。
- (1)前条第3項各号に該当する場合
- (2)当該要配慮個人情報が、本人、国の機関、地方公共団体等により公開されている場合
- (3)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
- (4)第19条第2項各号に該当する場合において、要配慮個人情報の提供を受けるとき
大学個人情報保護委員会
- 第10条個人情報保護に関する重要事項を審議するため大学個人情報保護委員会(以下、「委員会」という。)を置く。
- 2委員会は、次の事項について審議する。
- (1)個人情報の保護に関する基本的施策に関する事項
- (2)個人情報の取扱い、開示、訂正、不服申立て等に関する事項
- (3)その他個人情報に関する重要事項
- 3委員会は、次の委員で構成する。
- (1)学長
- (2)副学長
- (3)各学部長、各研究科長、教務部長、学生部長
- (4)事務局長
- (5)その他学長が指名する者
- 4委員長は、学長をもって充てる。
- 5委員会に部会を置くことができる。部会の構成員は、その都度学長が指名する。
個人情報保護管理者
- 第11条本学は、個人情報を保有する所轄部局ごとに個人情報保護管理者(以下、「管理者」という。)を置く。
- 2管理者は、所轄部局の長をもって充てる。
- 3管理者は、所轄部局における個人情報を総括的に管理するとともに、所管部局で個人情報を取り扱う者(以下、「取扱担当者」という。)に対し、当該個人情報の安全管理が図られるよう、必要かつ適切な監督を行わなければならない。
- 4管理者は、定期的又は臨時に個人情報の管理状況及び取得状況を確認しなければならない。
情報システムにおける管理
- 第12条本学総合情報メディア・セキュリティ委員長(以下「委員長」という。)は、個人情報を扱うときは、当該個人情報にかかる管理者と協議しなければならない。
- 2委員長は、個人情報への不当なアクセス等の危険に対して、技術面において必要な安全対策を講じなければならない。
適正管理
- 第13条管理者は、個人情報の安全保護及び正確性の維持のため、次の各号に掲げる事項について、適正な措置を講じなければならない。
- (1)紛失、き損、破壊その他の事故防止
- (2)改ざん及び漏えいの防止
- (3)個人情報の正確性及び最新性の維持
- (4)不要となった個人情報の廃棄又は消去
物理的・技術的安全管理措置
- 第14条入退室者による不正行為等の防止のための物理的安全管理措置及び情報システムからの漏えい等の防止のための技術的安全措置については、別に定めるものとする。
学外への持ち出し
- 第15条教職員は、原則として個人情報を学外に持ち出してはならない。
- 2教育職員が授業運営にかかわる資料、試験答案、論文、レポート、その他の授業運営で必要な資料で、教育職員が正当な教育活動の遂行に必要な場合は、学外持ち出し制限の適用除外とすることができる。
- 3前項による学外持ち出しの資料は必要最低限のものとし、その取り扱いについては法及び本規定の趣旨を理解し漏洩等には十分に注意しなければならない。
第三者提供の制限
- 第16条本学は、本規程に特に定める場合を除き、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
委託
- 第17条本学が利用目的の達成に必要な範囲内で、個人データの取扱いの全部又は一部を外部業者に委託する場合には、本学は、本人の同意を得ることなく個人データを提供することができる。
- 2前項の場合、本学は、委託された当該個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならない。
- 3前項の監督のため、本学は、委託先の選定に当たって、委託先の業務・管理体制、規程整備等の状況の確認(必要に応じ個人情報の取扱場所での現地確認等)をし、個人情報の安全管理措置が十分になされることを確認するものとする。
- 4第2項の監督のため、委託先と締結する委託契約に、次の事項を盛り込むものとする。
- (1)委託先における個人データを取り扱う者の明確化に関する事項
- (2)委託先において講ずべき安全管理措置の内容
- (3)個人データの加工(委託契約の範囲内のものを除く。)、改ざん、複写又は複製(安全管理上必要なバックアップを目的とするもの等委託契約範囲内のものを除く。)の禁止
- (4)委託先の秘密の保持に関する事項
- (5)委託された個人データの再委託の可否及び条件等に関する事項
- (6)委託契約終了の個人データの返却又は委託先における破棄若しくは削除に関する事項
- (7)委託契約内容が遵守されなかった場合の損害賠償その他の措置に関する事項
- (8)委託先において個人データの漏えい事故等が発生した場合の報告義務及び責任に関する事項
- (9)委託契約期間等に関する事項
- 5委託先からの再委託は原則禁止とする。
共同利用
- 第18条本学は、個人データを特定の者との間で共同して利用する場合には、当該特定の者に個人データを提供することができる。
- 2前項の場合において、大学は、次に掲げる事項を、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
- (1)個人データを共同利用する旨
- (2)共同利用する個人データの項目
- (3)共同利用する者の範囲
- (4)共同利用する者の利用目的
- (5)共同利用する個人データの管理について責任を有する者の氏名又は名称
第三者への提供
- 第19条本学は、第8条第3項各号に該当する場合を除き、あらかじめ本人の同意を得ないで、個人データを第三者へ提供してはならない。
- 2次に掲げる場合は、第三者提供に該当しない。
- (1)第17条に規定する委託に伴って個人データを提供する場合
- (2)前条に規定する共同利用に伴って個人データを当該特定の者に提供する場合
- (3)合併その他の事由による事業の承継に伴って個人データを提供する場合
- 3本学は、当該提供先において、個人データの提供する目的以外での利用、他の者への再提供、複写複製、改ざん、漏えい、盗用等がなされないように、個人データの安全管理のために講ずべき措置について、提供先と契約書を締結するなど、適切な措置を講じなければならない。
外国の第三者への提供
- 第20条外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、第8条第3項各号に定める場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。
第三者への提供に係る記録の作成等
- 第21条個人データを第三者へ提供したとき(第8条第3項各号に該当する場合又は第19条第2項各号に該当する場合を除く。)には、管理者は、次に掲げる事項に関する記録を作成しなければならない。ただし、すでに記録されている事項と内容が同一のものについては、当該事項の記録を省略することができる。
- (1)本人の同意を得ていること
- (2)当該第三者の氏名又は名称その他の当該第三者を特定するに足る情報(不特定かつ多数の者に提供したときはその旨)
- (3)当該個人データによって識別される本人の氏名
- (4)当該個人データの項目
- 2前項の記録は、個人データを第三者に提供した都度、速やかに作成しなければならない。ただし、個人データを第三者に継続的に若しくは反復して提供したとき、又はその確実な見込みがあるときは、一括して作成することができる。
- 3前2項の記録は、次の各号に応じて保存しなければならない。
- (1)前項に基づき一括して記録を作成した場合、最後に個人データの提供を行った日から起算して3年を経過する日まで
- (2)前号以外の場合 当該記録を作成した日から3年間
第三者からの提供
- 第22条第三者から個人データの提供を受けるに際しては、管理者は、契約書などにより次の事項を確認し、その取得方法が適法なものであることを確認しなければならない。ただし、当該個人データの提供が第8条第3項各号又は第19条第2項各号に該当する場合は、この限りでない。
- (1)当該第三者の氏名又は名称及び住所並びに法人にあってはその代表者
- (2)当該第三者による当該個人データの取得の経緯
- 2前項により個人データの提供を受けた場合、管理者は、次の事項に関する記録を作成しなければならない。ただし、すでに記録されている事項と内容が同一のものについては、当該事項の記録を省略することができる。
- (1)本人の同意を得ていること
- (2)前項各号に掲げる確認事項
- (3)当該個人データによって識別される本人の氏名
- (4)当該個人データの項目
- 3前項の記録は、第三者から個人データの提供を受けて都度、速やかに作成しなければならない。ただし、第三者から継続的に若しくは反復して個人データの提供を受けたとき、又はその確実な見込みがあるときは、一括して作成することができる。
- 4第1項の記録は、次の各号に応じて保存しなければならない。
- (1)前項に基づき一括して記録を作成した場合最後に個人データの提供を受けた日から起算して3年を経過する日まで
- (2)前号以外の場合当該記録を作成した日から3年間
保有個人データ等に関する公表等
- 第23条本学は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
- (1)保有個人データの利用目的(第7条第4項に該当する場合を除く。)
- (2)次項の規定による求め又は次条第1項、第25条第1項若しくは第26条第1項の規定による請求に応じる手続(その手数料の額を含む。)
- (3)保有個人データの取扱いに関する苦情の申出先
- 2本学は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
- (1)前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
- (2)第7条第4項に該当する場合
- 3本学は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
自己に関する個人情報の開示
- 第24条本人は、自己に関する個人データの開示を請求することができる。請求は、代理人によってもすることができる。
- 2前項の請求は学生証、職員証等の身分証明書、代理権を有することを証明する書面等により本人又は代理人であることを明らかにし、当該請求に必要な事項(所属、氏名、個人データの名称及び記録項目、請求の理由)を明記した文書を管理者あてに提出するものとする。
- 3前項の規定は証明書自動発行機により証明書を取得する場合は適用しないものとする。
- 4管理者は、第1項の請求を受けたときは、本人に対し、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
- (1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- (2)本学の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- (3)法令に違反することとなる場合
- 5管理者は、開示を求められた保有個人データの全部又は一部の開示につき、必要に応じて、委員会に付議し、意見を聴くことができる。
- 6管理者は、個人データの全部又は一部を開示しない旨の決定をしたとき、又は該当する保有個人情報が存在しないときは、本人に対し、遅滞なく、その旨を通知しなければならない。
個人データの訂正等
- 第25条本人は、本学に対し、自己に関する個人データの内容が事実でないときは、管理者に対し、その内容の訂正、追加又は削除(以下、「訂正等」という。)を請求することができる。請求は代理人によってもすることができる。
- 2前項の請求は、第24条第2項に定める手続に準じて行わなければならない。
- 3管理者は、第1項の請求を受けたときは、すみやかに調査のうえ必要な措置を講じ、結果を本人に通知しなければならない。ただし、訂正又は削除に応じないときは、その理由を文書により本人に通知しなければならない。
個人データの利用停止等
- 第26条本人は、本学に対し、自己に関する個人データが次のいずれかに該当する場合は、その利用の停止、消去又は第三者提供の停止(以下、「利用停止等」という。)を請求することができる。請求は代理人によってもすることができる。
- (1)第8条の規定に違反して目的外利用されているとき
- (2)不正の手段により取得されたものであるとき
- (3)第9条の規定に違反して要配慮個人情報が取得されているとき
- (4)第19条又は第20条の規定に違反して第三者に提供されているとき
- 2請求の手続きについては、前条第2項の規定を準用する。
- 3管理者は、第1項の請求を受け、その請求に理由があると判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、利用停止等に多額の費用を要するなど利用停止等を行うことが困難な場合は、本人の権利利益を保護するため、これに代わるべき措置をとることができる。
- 4管理者は、第1項の規定に基づき求められた保有個人データの全部又は一部について利用停止等を行ったとき、又は利用停止等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
不服の申立て
- 第27条自己に関する個人データの開示及び訂正又は削除の請求に基づいてなされた措置に不服がある者は、委員会に対し、不服の申立てを行うことができる。ただし、不服申立て事項が内容同一の場合、再度の申立てはできない。
- 2委員会は、前項の規定による不服申立てを受けたときは、すみやかに審議、決定し、その結果を文書により本人に通知しなければならない。
- 3委員会は、必要があると認めたときには、本人又は管理者に対し意見の聴取を行うことができる。
- 4第24条第2項の規定は、本条による不服申立ての場合に準用する。
苦情処理
- 第28条本学は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
- 2苦情処理等の窓口を設置し、本人から苦情の申出を受けた場合は、直ちにその旨を、当該個人情報を所管する管理者に報告する。
- 3前項の報告を受けた管理者は、必要に応じて委員会に付議し意見を聴くなど、当該苦情に対し、適切に対応しなければならない。
- 4第2項の報告を受けた管理者は、その旨を学長に報告しなければならない。
愛知淑徳大学クリニック
- 第29条愛知淑徳大学クリニックに関する個人情報の扱いについては本規程及び個人情報保護委員会・厚生労働省が定める「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」の趣旨を踏まえ別に定める。
所轄部局
- 第30条本学の個人情報に関する事務の所管は、大学事務局総務事務室とする。
手数料
- 第31条本学は、第23条第2項の規定による通知及び第24条の第4項の規定による開示を求められたときは、手数料を徴収することができる。
- 2前項の手数料は、委員会が決定する。
罰則
- 第32条故意又は重大な過失により本規程に違反した場合には本学就業規則による懲戒の対象とする。
違反者に対する処置
- 第33条本規程に違反した者に対しては、個人情報の利用制限又は禁止の措置をとることができる。
損害賠償
- 第34条本学は本規程に違反し、個人情報を漏洩し、又は不当な目的に利用したことにより本学に損害を与えた場合には、その者に対し、その損害に相当する額を請求することができる。
補則
- 第35条本規程に定めるもののほか、本規程の実施に関し必要な事項は、委員会が定める。
特定個人情報
- 第36条特定個人情報の取り扱いについては、別途「特定個人情報等取扱規程」に定める。
改廃
- 第37条本規程の改廃は、大学協議会の議を経て学長が行う。
附則
本規程は、平成19年4月1日から施行する。
本規程は、平成20年4月1日から施行する。
本規程は、平成25年4月1日から施行する。
本規程は、平成27年11月1日から施行する。
本規程は、平成31年4月1日から施行する。
本規程は、令和元年10月1日から施行する。
本規程は、令和2年4月1日から施行する。
