第1章 総則
(目的)
第1条 この規則は、奈良県立大学生活協同組合(以下、「組合」という。)が取扱う個人情報について、個人情報の保護に関する法律(以下、「個人情報保護法」という。)等の法令を遵守し、個人の権利利益を適切に保護し、個人情報を利用し、安全に管理することを目的とする。
(用語の定義)
第2条 この規則において、各用語の定義は次のとおりとする。
(1) 個人情報
生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
(適用範囲等)
第3条 この規則は、組合のすべての役職員に適用する。
2 組合が個人情報を取扱う業務を外部に委託する場合も、この規則の趣旨を遵守させるよう監督するものとする。
(個人情報保護方針の制定と公表)
第4条 組合は個人情報保護方針を定め、役職員に周知徹底するとともに、組合のウェブサイトに公表する。
第2章 安全管理体制
(個人情報の安全管理体制の構築)
第5条 個人情報保護管理責任者は専務理事とし、個人情報保護及び安全管理の統括、実施状況の理事会への報告、個人情報保護管理者の指名を行うものとする。
2 個人情報保護管理者は、専務理事を補佐し、役職員に対する個人情報保護関連の教育等の実施、個人情報の適正な取扱いの確保、安全管理の点検、指導を行うものとする。
(安全管理措置の見直し)
第6条 個人情報保護管理者は、個人データの取扱状況について点検を実施し、その結果は専務理事に報告するものとする。
2 個人情報保護管理者は、個人データの取扱状況の点検結果にもとづき必要に応じて適切な是正措置を講じ、個人情報を保護し、安全に管理するために、その個人情報保護の方針・規則等を見直すものとする。
(役職員の義務)
第7条 役職員は、組合の業務に従事するにあたって法令及びこの規則をはじめとする組合の諸規則等を遵守し、専務理事又は個人情報保護管理者の指示に従って個人情報の保護及び安全管理に充分な注意を払うものとする。
2 役職員は、個人情報に関する事故(滅失、盗難、毀損又は漏えい等)、規則違反又はその可能性等に気づいた場合は、速やかに上司、専務理事又は個人情報保護管理者へ報告しなければならない。
3 前項の報告を受けた者は、この規則の趣旨を踏まえ、適切に対処するものとする。
(苦情・事故対応)
第8条 個人情報保護管理者は、個人情報の取扱に関する苦情を適切かつ迅速に対応するよう努めるものとする。
2 個人情報保護管理者は、個人情報の取扱に関する重大な苦情事案については、遅滞なく専務理事に報告するものとする。
3 個人情報保護管理者は、個人情報に関する事故が発生した場合、適切かつ迅速に対応するものとする。この場合において、事故の規模、影響の大きさ、事案により必要に応じて以下を実施する。
(1) 影響を受ける可能性のある本人への連絡等
(2) 学校・行政庁等への報告及び被害の拡大防止
(3) 事実関係の調査及び原因の究明
(4) 再発防止策の検討及び実施
(5) 事実関係及び再発防止策等の公表
第3章 個人情報の取得
(個人情報の取得)
第9条 組合は、あらかじめ利用目的を定め、その目的を達成するために必要な限度で、個人情報を取得する。
(適正な取得)
第10条 組合は、個人情報を適正な手段で取得するものとし、偽りその他不正な手段によって取得しない。
2 組合は、要配慮個人情報を取得するときは、個人情報保護法第17条第2項各号に掲げる場合を除き、あらかじめ本人の同意を得るものとする。
3 前項の場合において、書面または口頭等により、組合が本人から適正に直接取得する場合は、本人の同意があったものとする。
(取得にあたっての利用目的の通知等)
第11条 個人情報を取得するときは、あらかじめ利用目的をできる限り特定して公表するよう努めるものとし、取得前に公表しなかった場合は、取得後速やかにその利用目的を本人に通知し、又は公表する。ただし、個人情報保護法第18条第4項の場合を除く。
(本人から文書等により取得する場合)
第12条 前条の定めにかかわらず、申込書・契約書その他の書面(インターネット・電磁記録を含む。)等によって本人の個人情報を取得するときは、あらかじめその利用目的を本人に対し明示する。ただし個人情報保護法第18条第4項の場合を除く。
第4章 個人情報の利用と第三者提供の制限
(利用範囲)
第13条 組合は、あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を利用しない。ただし、個人情報保護法第16条第3項の場合を除く。
(利用目的の変更)
第14条 利用目的を変更する場合は、変更前の利用目的と関連性を有すると合理的に認められる範囲で行うものとする。
2 前項の変更をしたときは、変更後の利用目的を本人に通知し、又は速やかに公表する。ただし、個人情報保護法第18条第4項の場合を除く。
3 利用目的を第1項の範囲を超えて変更しようとするときは、あらかじめ本人の同意を得なければならない。
(第三者提供の制限)
第15条 組合は、あらかじめ本人の同意を得ないで、個人データを第三者に提供しない。ただし、個人情報保護法第23条の場合を除く。
第5章 個人データの安全管理
(役職員の監督等)
第16条 組合は、利用目的の達成に必要な範囲で、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めるものとする。
2 組合は、個人情報に関する事故を防止し、その他個人情報を安全に管理するために、必要かつ適切な措置を講じるものとする。
3 組合は、役職員が個人データを取扱うにあたって、個人データを適切に管理するため、必要かつ適切な監督を行う。
4 前項の監督は、個人情報保護管理者が行うものとする。
(委託先の選定)
第17条 組合は、個人データの取扱いの全部又は一部を組合以外の者に委託するときは、組合が定める書類の提出を求め選定するものとする。ただし、組合が提出を要しないと特に認めた書類についてはこの限りでない。
2 委託先は個人情報保護管理責任者が決定する。
(委託先の監督)
第18条 組合は、原則として委託契約(付随する覚書等を含む。)において、個人データの安全管理について受託者が講ずべき措置を明らかにし、受託者に対する必要かつ適切な監督を行うものとする。
(物理的安全管理措置)
第19条 個人情報データベース等を取り扱う区域はのぞき込みを防止する措置の実施等により、権限を有しない者による個人データの閲覧等を防止する。
2 個人データを取り扱う機器、電子媒体又は書類等は、施錠できるキャビネット等への保管により、盗難または紛失等を防止する。
3 個人データが記録された電子媒体または書類等を取扱区域の外に持ち出す場合は、データの暗号化またはパスワードによる保護、書類等の封緘を実施し、漏えいを防止する。
4 個人データの削除または廃棄にあたっては、電子データを削除し、または、個人データが記録された機器、電子媒体、書類等を廃棄したことを、個人情報保護管理者が適切に処理されたことを確認するものとする。
(技術的安全管理措置)
第20条 個人データを取り扱うことのできる機器及びこれを取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する。
2 機器のユーザーアカウント制御機能により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する。
3 個人データを取り扱う機器等のオペレーティングシステム及びセキュリティ対策ソフトウェア等を自動更新機能等の活用により、最新状態とする。
4 メール等により個人データの含まれるファイルを送信する場合には、当該ファイルへのパスワードを設定し、データと別のメールでパスワードを通知するものとする。
第6章 保有個人データの開示、訂正・追加・削除・利用停止
(保有個人データの利用目的の通知)
第21条 組合は、本人から、本人が識別される個人データの利用目的について問い合わせがあったときは、これを通知する。ただし、個人情報保護法第27条第2項ただし書きに定める場合を除く。
2 組合は利用目的を通知しない旨の決定をしたときは、その旨を本人に対し、遅滞なく通知する。
(保有個人データの開示、訂正等、利用停止等)
第22条 組合は、保有個人データについて、本人から開示を求められたときは、これに応じる。ただし、開示することによって次の各号に該当する場合には、その全部又は一部を開示しないこととする。
(1) 人の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 組合の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3) 法令に違反することとなる場合
2 保有個人データの内容が事実でないという理由で、本人から訂正、追加又は削除(以下、「訂正等」という。)を求められた場合は、利用目的の達成に必要な範囲において、遅滞なく調査を行い、その結果に基づき、これに応じる。
3 保有個人データに関し、本人から自己の情報に関して個人情報保護法に違反して取扱われているという理由により利用停止又は消去(以下「利用停止等」という。)を求められた場合で、その求めに理由があることが判明したときには、違反を是正するために必要な限度で、遅滞なく、これに応じる。ただし、多額の費用を要する等、その実施について困難である場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
4 前三項の求めに対して、開示しない旨の決定をしたときはその旨を、訂正等を行ったとき又は訂正等を行わない旨の決定をしたときはその旨(訂正等を行ったときは、その内容を含む。)を、利用停止等を行ったとき又は利用停止等を行わない旨の決定をしたときはその旨を、本人に対し、遅滞なく通知する。
5 前項の場合において、開示・訂正等・利用停止等を行なわないことを決定したときは、その理由を説明するよう努めるものとする。
(保有個人データの開示等の請求の受付)
第23条 開示、訂正等及び利用停止等(以下「開示等」という。)は、本人から組合の担当窓口へ次の書類等が郵便または電子メールで提出されたときに、対応する。
(1) 本人であることを確認するための証明書類
(2) 請求事項及び請求理由を記載した書面
(3) 利用目的の通知(第18条)、開示の請求(第19条第1項)に係る事務処理手数料 1,000円
2 組合は、開示等の請求の受付けにあたって、請求者である本人に対して、対象となる保有個人データを特定するために必要な事項の提示を求めることができる。
3 組合は、本人に代えて代理人から開示等の請求があったときは、正当な代理人であることを確認のうえ、その請求を受付ける。
第7章 罰則その他
(罰則)
第24条 役職員がこの規則に違反した場合には、就業規則等の制裁に関する定めを適用する。
(規則の改廃)
第25条 この規則の改廃は、理事会の議決による。
(施行期日)
この規則は2011年12月13日より施行する。
この規則は2013年12月1日一部改正する。
この規則は2017年6月21日一部改正する。