12.3.8 個人情報の保護

本学の個人情報の管理に関するルールは、以下に示すとおり、個人情報が適切に保護されることを確保するためのものです。

12.3.8.1 この方針の適用範囲:この方針は、12.8.2に定義される、法人文書に含まれる個人情報に適用されます。

12.3.8.2 原則:本学は、業務を遂行するため必要な場合に限り、個人情報を使用又は保有します。本学が業務に使用するために、個人情報にアクセスしようとするときは、その目的をできる限り明示しなければなりません。

12.3.8.3 個人情報の取扱い

12.3.8.3.1 個人情報へのアクセス:個人情報にアクセスできる職員は、業務上利用が必要となる職員で、かつ、部署の長が指定した職員に限ります。また、アクセスできる職員の数は最小限としなければなりません。アクセスを許可された者であっても、個人情報の利用は業務上の目的のみに限ります。アクセス権限のない者の利用は固く禁じられています。

12.3.8.3.2 写しの作成及び配付。個人情報に関する以下の行為は、事前に部署の長による承認が必要です。

  • 写しの作成
  • 配付(電子媒体及び物理的媒体)
  • 個人情報が含まれる媒体を持ち出すこと
  • その他個人情報の適切な管理を妨害する恐れのある行為

12.3.8.3.3 個人情報についての誤りは直ちに、部署の長の指示の下、訂正されなければなりません。

12.3.8.3.4 保管:個人情報を含む全ての媒体は、部署の長により指定された場所で保管されなければなりません。また、必要な場合は、施錠され、耐火性のある金庫に保管されなければなりません。(電子記録の場合は、12.3.6.3を参照)

12.3.8.3.5 廃棄:個人情報又は個人情報を含む媒体(サーバーや端末に組み込まれたものを含む。)が必要でなくなった場合には、当該情報又は媒体に対して責任を負う部署の長によって指定された者が、当該部署の長の監督の下、後に修復や解読が不可能となるような方法により、当該個人情報を削除し又は当該媒体を破損しなければなりません。

12.3.8.3.6 記録:個人情報の利用及び保有の状況については、各部署において、部署の長により体系的な方法により記録されなければなりません。

12.3.8.4 外部委託

12.3.8.4.1 個人情報を取り扱う業務について、個人情報の適切な 取扱いに関する能力を有しない第三者に委託してはいけませ ん。個人情報を取り扱う業務を外部委託する場合、担当する部 署は、個人情報の取扱いに十分な能力を有さない業者選択を避 けるため、管理体制を確認するなど、必要な対策を講ずる必要 があります。 外部委託に関する契約は、COOが定めるガイドラインに基づき締結されなければなりません。担当する部署は、ガイ ドラインに沿った契約を行う必要があり、必要に応じて法令セ クションと相談します。なかでも、特定個人情報等の取扱いの 全部または一部の外部委託に関する契約については、本学の個 人番号及び特定個人情報取扱規程に基づき締結されなければな りません。 

12.3.8.4.2 派遣会社との労働者派遣契約には、秘密保持義務等個人情報の取扱いに関する事項を明記しなければなりません。

12.3.8.5 ITシステム及びサーバールームの安全管理

本学において、ほとんどの個人情報は、電磁的記録により作成・保有されます。このため、最高情報責任者(CIO)は、COOと協力し、 電磁的記録における適切な個人情報の保護を確保する責任を負います。

CIOは、国が定めるガイドラインを順守し、必要な措置を講じなければなりません。

必要な措置の例は以下のとおりです。

  • パスワード管理に関する内部のガイドラインを策定します。
  • 個人情報へのアクセスを記録し、それらの記録を保管します。
  • 許可されていない外部からの個人情報へのアクセスを防ぎます。
  • コンピューターウイルスに感染したITシステムによる許可されていない個人情報の開示及び破損を防ぎます。
  • サーバー室へのアクセスを管理します。

ITに関する安全対策事項の詳細については、第17章「情報技術とセキュリティー」を参照して下さい。

12.3.8.6 許可されていない情報開示

12.3.8.6.1 許可されていない個人情報の開示や、その他個人情報の安全に関する問題を発見した者は、直ちに所属する部署の長(問題がITに関連するものであるときはCIO)に報告しなければなりません。

12.3.8.6.2 各部署の長は、許可されていない情報開示の被害拡大を防止するため、必要な措置を講じ、その事案についての報告書をCOOへ提出するものとします。

12.3.8.6.3 COOは、理事長・学長に報告するとともに、事案を引き起こした原因を分析し、CIO及びその他関係職員と協力して、再発防止のために必要な措置を講じる責任を負います。

12.3.8.6.4 許可されていない情報開示があった場合には、事案が与える影響及びその特質を考慮し、生じた事実と再発を防止するための対策、さらに当該事案に個人情報が含まれていた個人への対応について公表します。

12.3.8.7 開示、 訂正及び利用停止の請求
個人情報保護法は、個人へ本学が保有する個人情報へアクセスする権利を与えており、本学がどのような種類の個人情報を保持しているのか、その個人情報が正確かどうか、さらにその個人情報が最新のものでなおかつ本学の機能に関係しているかどうか、ということを確認できるようになっています。
全ての開示請求、訂正請求及び利用停止請求は、同法の関係規定に基づき受理され、処理されます。

12.3.8.7.1 COOは、統括弁護士と緊密に協力して、個人情報に関する請求について取り扱う責任を負います。なお、請求は、情報開示請求と同様の手順で取り扱われます。

保有個人情報の開示決定等に係る審査基準

個人情報保護に係る保有個人情報の開示の実施の方法及び手数料に関するルール・手続き

12.3.8.8 特定個人情報の取扱い
本学における特定個人情報の取扱いについては、個人番号及び特定個人情報取扱規程に定めます。

12.3.8.9 非識別加工情報の取扱い
本学は、個人情報保護法により、非識別加工情報を作成し、提供することができることが規定されています。本学における「非識別加工情報」の取り扱いについては、別途、COOが「学校法人沖縄科学技術大学院大学学園匿名加工情報取扱規程[Link;]」に定めます。