○国立大学法人大阪大学における特定個人情報取扱規程
第1章 総則(第1条―第5条)
第2章 安全管理措置
第1節 組織的安全管理措置(第6条―第16条)
第2節 人的安全管理措置(第17条・第18条)
第3節 物理的安全管理措置(第19条―第22条)
第4節 技術的安全管理措置(第23条―第26条)
第5節 その他(第27条・第28条)
第3章 特定個人情報の取得(第29条―第37条)
第4章 特定個人情報の利用(第38条・第39条)
第5章 特定個人情報の保管(第40条・第41条)
第6章 特定個人情報の提供(第42条―第44条)
第7章 特定個人情報の開示、訂正等及び利用停止等(第45条)
第8章 特定個人情報の廃棄又は削除(第46条)
第9章 特定個人情報の委託等の取扱い(第47条)
第10章 その他(第48条)
附則
第1章 総則
(趣旨)
第1条 この規程は、国立大学法人大阪大学の保有する個人情報の管理に関する規程(以下「個人情報管理規程」という。)第43条に基づき、国立大学法人大阪大学(以下「本法人」という。)における特定個人情報の適正な取扱いを確保するため必要な事項を定めるものとする。
(法令等との関係)
第2条 この規程に定めのない事項については、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)、特定個人情報の適正な取扱いに関するガイドライン(以下「ガイドライン」という。)及び個人情報管理規程その他の関係法令等の定めるところによる。
(1) 「個人番号」とは、番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
(2) 「個人番号カード」とは、次に掲げる事項が記載され、本人の写真が表示され、かつ、これらの事項その他総務省令で定める事項(以下「カード記録事項」という。)が電磁的方法により記録されたカードであって、番号法又は番号法に基づく命令で定めるところによりカード記録事項を閲覧し、又は改変する権限を有する者以外の者による閲覧又は改変を防止するために必要なものとして総務省令で定める措置が講じられたものをいう。
ア 氏名
イ 住所(国外転出者(住民基本台帳法第17条第3号に規定する国外転出者をいう。以下同じ。)にあっては、国外転出者である旨及びその国外転出届(同号に規定する国外転出届をいう。)に記載された転出の予定年月日)
ウ 生年月日
エ 性別
オ 個人番号
カ その他行政手続における特定の個人を識別するための番号の利用等に関する法律施行令(平成26年政令第155号。以下「政令」という。)第1条で定める事項
(3) 「特定個人情報」とは、個人番号をその内容に含む個人情報をいう。
(4) 「特定個人情報ファイル」とは、個人番号をその内容に含む個人情報ファイルをいう。
(5) 「個人番号利用事務」とは、行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第9条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。
(6) 「個人番号関係事務」とは、番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(7) 「個人番号利用事務実施者」とは、個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう。
(8) 「個人番号関係事務実施者」とは、個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。
(9) 「情報提供ネットワークシステム」とは、行政機関の長等(行政機関の長、地方公共団体の機関、独立行政法人等、地方独立行政法人及び地方公共団体情報システム機構並びに番号法第19条第7号に規定する情報照会者及び情報提供者をいう。)の使用に係る電子計算機を相互に電気通信回線で接続した電子情報処理組織であって、暗号その他その内容を容易に復元することができない通信の方法を用いて行われる同法第19条第7号の規定による特定個人情報の提供を管理するために、同法第21条第1項の規定に基づき総務大臣が設置し、及び管理するものをいう。
(10) 「役職員等」とは、本法人より給与又は報酬を受ける者をいい、雇用関係にある者のみならず、本法人との間の雇用関係にない者を含む。
(11) 「事務取扱担当者」とは、本法人内において、個人番号及び特定個人情報(以下「特定個人情報等」という。)を取り扱う事務に従事する者をいう。
(12) 「管理区域」とは、特定個人情報ファイルを取り扱う情報システム(サーバ等)を管理する区域をいう。
(13) 「取扱区域」とは、特定個人情報を取り扱う事務を実施する区域をいう。
2 前項に規定するもののほか、この規程において使用する用語は、番号法その他の関係法令等において使用する用語の例による。
(個人番号取扱事務)
第4条 本法人が個人番号を取り扱う事務の範囲は次の各号に掲げるとおりとする。
(1) 給与所得・退職所得の源泉徴収票の作成に関する事務
(2) 報酬、料金、契約金及び賞金の支払調書等所得税法(昭和40年法律第33号)において提出が義務付けられている各種支払調書の作成に関する事務
(3) 健康保険関係の届出に関する事務
(4) 公的年金等(所得税法第35条第3項に規定する年金等をいう。)の届出及び請求に関する事務
(5) 雇用保険関係の届出に関する事務
(6) 財産形成貯蓄の非課税に関する申告書等の提出に関する事務
(7) 財産形成貯蓄制度の取引に関する申請及び届出事務並びに法定書類の作成及び提供事務
(8) 文部科学省共済組合に関する事務
(1) 役職員等又は役職員等以外の個人から、番号法第16条に基づく本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、身元確認書類等)及びこれらの写し
(2) 本法人が行政機関等に提出するために作成した書類及び電子媒体(以下「調書等」という。)並びにこれらの控え
(3) 本法人が調書等を作成する上で役職員等又は役職員等以外の個人から受領する個人番号が記載された申告書等
(4) その他個人番号と関連づけて情報システム内に保存される情報
第2章 安全管理措置
第1節 組織的安全管理措置
(組織)
第6条 本法人に総括責任者を置き、事務担当理事をもって充てる。
2 総括責任者は、特定個人情報の管理に関する事務を総括する。
3 特定個人情報を取り扱う部局(個人情報管理規程第2条第5号に規定する部局をいう。以下同じ。)に保護責任者を置き、当該組織の長をもって充てる。
4 保護責任者は、当該組織における特定個人情報の管理に関する事務に責任を負う。
5 特定個人情報を取り扱う部局の事務取扱担当者は、次の各号に掲げる者とする。
(1) 総務部人事課課長補佐(運用担当)
(2) 財務部資金管理課課長補佐(経理担当)
(3) 総務部人事課給与係に所属する職員
(4) 総務部人事課共済係に所属する職員
(5) 総務部人事課人事システム係に所属する職員
(6) 財務部資金管理課経理係に所属する職員
(7) 前各号のほか、部局において個人番号が記載された書類等を処理する職員
6 本法人に、監査責任者を置き、総務部長をもって充てる。
7 監査責任者は、特定個人情報の管理の状況について監査を行うものとする。
(総括責任者の責務)
第7条 総括責任者は、次の各号に定める業務に従事するとともに、保護責任者及び事務取扱担当者にこれを理解させ、遵守させるための教育訓練、安全対策の実施及び周知徹底等の措置を実施する責任を負う。
(1) 特定個人情報の安全管理に関する教育研修の企画及び実施
(2) 特定個人情報の利用申請の承認及び記録等の管理
(3) 特定個人情報の取扱区分及び権限についての設定及び変更の管理
(4) 特定個人情報の取扱状況の把握
(5) 管理区域及び取扱区域の設定
(6) 委託先における特定個人情報の取扱状況等の監督
(7) その他本法人全体における特定個人情報の安全管理に関すること。
(保護責任者の責務)
第8条 保護責任者は、次の各号に定める業務に従事するとともに、当該部局に所属する事務取扱担当者にこれを理解させ、遵守させるための教育訓練、当該部局における安全対策の実施及び周知徹底等の措置を実施する責任を負う。
(1) 部局における特定個人情報の安全管理に関する教育
(2) 特定個人情報に係る記録等の管理
(3) 特定個人情報の取扱状況の把握
(4) 管理区域及び取扱区域の設定
(5) その他部局における特定個人情報の安全管理に関すること。
(事務取扱担当者の責務)
第9条 事務取扱担当者は、特定個人情報の取得、保管、利用、提供、開示、訂正、利用停止、廃棄、削除又は委託処理等、特定個人情報を取扱う業務に従事する際、番号法、個人情報保護法その他の関係法令、ガイドライン、本規程並びに総括責任者及び保護責任者の指示した事項に従い、特定個人情報の保護に十分な注意を払ってその業務に従事しなければならない。
2 部局において個人番号が記載された書類等の受領をする事務取扱担当者は、必要な場合を除き、個人番号の確認等の必要な事務を行った後はできるだけ速やかにその書類を本部事務機構総務部人事課又は財務部資金管理課に受け渡すこととし、自らの手元に個人番号を残してはならないものとする。
(役職員等の責務)
第10条 役職員等は、特定個人情報の漏えい等、番号法、個人情報保護法その他の関係法令、ガイドライン又は本規程に違反している事実又は兆候を把握した場合、速やかに保護責任者又は総括責任者に報告するものとする。
(調書等作成に係る事務フロー)
第11条 調書等を作成する場合の事務フローは、別に定める。
(運用状況の記録)
第12条 事務取扱担当者は、本規程に基づく運用状況を確認するため、次の各号に定める項目について利用状況等を記録し、その記録を一定期間保存し、分析するための体制を整備するものとする。
(1) 特定個人情報ファイルの利用・出力状況の記録
(2) 書類・媒体等の持ち出しの記録
(3) 特定個人情報ファイルの削除・廃棄記録
(4) 削除・廃棄を委託した場合、これを証明する記録等
(5) 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
(取扱状況の確認手段)
第13条 事務取扱担当者は、特定個人情報ファイルの取扱状況を確認するための手段として、特定個人情報管理台帳を作成し、次の各号に定める事項を記録するものとする。なお、特定個人情報管理台帳には、特定個人情報は記載しないものとする。
(1) 特定個人情報ファイルの種類及び名称
(2) 特定個人情報ファイルが利用に供される事務組織の名称及び責任者
(3) 特定個人情報ファイルの利用目的
(4) 特定個人情報ファイルに記録される項目及び本人として特定個人情報ファイルに記録される個人の範囲
(5) 特定個人情報ファイルに記録される特定個人情報等の収集方法
(6) 特定個人情報ファイルの削除・廃棄状況
(情報漏えい事案への対応)
第14条 総括責任者は、特定個人情報の漏えい、滅失又は毀損による事故(以下「漏えい事案等」という。)が発生したことを把握した場合又はその可能性が高いと判断した場合は、適切に対処するものとする。
2 総括責任者は、総長が指名する理事(以下「理事」という。)と連携して漏えい事案等に対処するものとする。
3 総括責任者は、漏えい事案等が発生したと判断した場合は、速やかに漏えい事案等が発生した経緯、被害状況等の調査を行い、その結果等を総長に報告するとともに、被害の拡大防止又は復旧等のために必要な措置を講ずるものとする。
4 総長は、前項の報告を受けた場合は、速やかに個人情報保護委員会及び文部科学大臣に必要な報告を行い、当該漏えい事案等の対象となった情報主体に対して、漏えい事案等の発生に係る事実関係の通知、原因関係の説明等を行い、必要に応じて公表するものとする。
5 総括責任者は、漏えい事案等の発生した原因を分析し、再発防止のために必要な措置を講ずるとともに、事案に応じて、再発防止策等を公表するものとする。
(取扱い及び法令等の遵守状況の検証又は監査)
第15条 理事は、定期又は臨時に、本法人の特定個人情報の適正な取扱い並びに法令及び本規程の遵守状況について検証し、その結果及び必要に応じてその改善策等を総括責任者に報告又は提案するものとする。
2 監査責任者は、定期又は臨時に、本法人の特定個人情報の適正な取扱い並びに法令及び本規程の遵守状況について監査し、その結果及び必要に応じてその改善策等を総括責任者に報告又は提案するものとする。
(取扱状況の確認及び安全管理措置の見直し)
第16条 総括責任者は、定期的に特定個人情報の運用状況の記録及び特定個人情報ファイルの取扱状況の確認を実施しなければならない。
第2節 人的安全管理措置
(教育及び研修)
第18条 総括責任者及び保護責任者は、事務取扱担当者に、特定個人情報の適正な取扱いについて理解を深め、特定個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。
2 総括責任者及び保護責任者は、特定個人情報を取り扱う情報システムの管理に関する事務に従事する職員に対し、特定個人情報の適切な管理のため、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行う。
3 総括責任者及び保護責任者は、事務取扱担当者に、特定個人情報の適切な管理のため、教育研修への参加の機会を付与するとともに、研修未受講者に対して再受講の機会を付与する等の必要な措置を講ずるものとし、事務取扱担当者は、総括責任者が主催する当該教育研修を受講しなければならないものとする。
第3節 物理的安全管理措置
(1) 管理区域
入退室管理及び管理区域へ持ち込む機器及び電子媒体等の制限を行う。
(2) 取扱区域
事務取扱担当者以外の者が特定個人情報を容易に閲覧等できないよう留意する。
(機器及び電子媒体等の盗難等の防止)
第20条 本法人は管理区域及び取扱区域における特定個人情報を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講ずる。
(1) 特定個人情報を取り扱う機器、電子媒体又は書籍等を、施錠できるキャビネット、書庫又は必要に応じて耐火金庫等に保管する。
(2) 特定個人情報ファイルを取り扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。
(電子媒体等の取扱いにおける漏えい等の防止)
第21条 本法人は特定個人情報が記録された電子媒体又は書類等の持ち出し(特定個人情報を管理区域又は取扱区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいい、本法人内での移動等も含む。)は、次に掲げる場合を除き禁止する。
(1) 個人番号関係事務に係る外部委託先に委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
(2) 行政機関等への調書等の提出等、本法人が実施する個人番号関係事務に関して個人番号利用事務実施者に対しデータ又は書類を提出する場合
(3) 部局から総務部人事課又は財務部資金管理課へデータ又は書類を提出する場合
(1) 特定個人情報が記録された電子媒体を安全に持ち出す方法
ア 持ち出しデータの暗号化
イ 持ち出しデータのパスワードによる保護
ウ 施錠できる搬送容器の使用
エ 追跡可能な移送手段の利用
(2) 特定個人情報が記載された書類等を安全に持ち出す方法
封緘、目隠しシールの貼付
(個人番号の削除、機器及び電子媒体等の廃棄)
第22条 特定個人情報等が記録された電子媒体及び書類等の廃棄又は削除については、次の各号に掲げる措置を講ずる。
(1) 特定個人情報が記録された書類等を廃棄する場合、焼却、溶解、シュレッダー、マスキング等の復元不可能な手段を採用するものとする。
(2) 特定個人情報が記録された機器及び電子媒体等を廃棄する場合、専用データ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用するものとする。
(3) 特定個人情報ファイル中の個人番号又は一部の特定個人情報を削除する場合、容易に復元できない手段を採用するものとする。
(4) 特定個人情報を取り扱う情報システムにおいては、当該関連する調書等の法定保存期間経過後1年以内に個人番号を削除するよう情報システムを構築するものとする。
(5) 個人番号が記載された書類等については、当該関連する調書等の法定保存期間経過後1年以内に廃棄をするものとする。
2 事務取扱担当者は、個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、第13条の特定個人情報管理台帳にその旨記録し、保存するものとする。
第4節 技術的安全管理措置
(アクセス制御)
第23条 本法人は、情報システムを使用して個人番号利用事務又は個人番号関係事務を行う場合、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するため、特定個人情報へのアクセス制御は次の各号に掲げる方法により適切に行うものとする。
(1) 特定個人情報ファイルを取り扱うことのできる情報システム端末等を限定する。
(2) 各情報システムにおいて、アクセスすることのできる特定個人情報ファイルを限定する。
(3) ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者(第6条第5項第7号に掲げる者を除く。)に限定する。
(4) 特定個人情報ファイルへのアクセス権を付与すべき者を最小化する。
(5) アクセス権を有する者に付与する権限を最小化する。
(6) 情報システムの管理者権限を有するユーザーであっても、情報システムの管理上特定個人情報ファイルの内容を知らなくても良い場合は、特定個人情報ファイルへ直接アクセスできないようにアクセス制限をする。
(7) 特定個人情報ファイルを取り扱う情報システムに導入したアクセス制御機能の脆弱性等を検証する。
(アクセス者の識別と認証)
第24条 特定個人情報を取り扱う情報システムは、ユーザーID、パスワード、磁気・ICカード、生体情報等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証するものとする。
(外部からの不正アクセス等の防止)
第25条 本法人は、次の各号に掲げる方法により、情報システムを外部等からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用するものとする。
(1) 特定個人情報等を取り扱う情報システムと外部ネットワーク(又はその他の情報システム)との接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。
(2) 情報システム及び機器に、セキュリティ対策ソフトウェア、ウイルス対策ソフトウェア等を導入し、不正ソフトウェアの有無を確認する。
(3) 機器、ソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
(4) 定期に及び必要に応じ随時にログ等の分析を行い、不正アクセス等を検知する。
(5) 不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み(ネットワークの遮断等)を導入し、適切に運用する。
(6) 情報システムの不正な構成変更(許可されていない電子媒体及び機器の接続、ソフトウェアのインストール等)を防止するために必要な措置を講ずる。
(情報漏えい等の防止)
第26条 本法人は、特定個人情報をインターネット等により外部に送信する場合、次の各号に掲げる方法により、通信経路における情報漏えい、情報システム内に保存されている特定個人情報の情報漏えい等を防止するものとする。
(1) 通信経路における情報漏えい等の防止策
通信経路の暗号化
(2) 情報システムに保存されている特定個人情報の情報漏えい等の防止策
データの暗号化又はパスワードによる保護
第5節 その他
(委託先における安全管理措置)
第28条 本法人は、委託先での特定個人情報の取得、利用、保管、提供、削除及び廃棄段階における安全管理措置について、前条による安全管理措置と同等の措置が講じられるよう委託先に必要かつ適切な監督を行わなければならない。
第3章 特定個人情報の取得
(特定個人情報の適正な取得)
第29条 本法人は、特定個人情報の取得を適法かつ公正な手段によって行うものとする。
(特定個人情報の利用目的)
第30条 本法人が、役職員等又は第三者から取得する特定個人情報の利用目的は、個人番号利用事務又は個人番号関係事務の範囲内とし、かつ、可能な限り特定するものとする。
(特定個人情報の取得時の利用目的の公表、明示又は通知)
第31条 本法人は、特定個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を情報主体に通知し、又は公表しなければならない。
2 前項の利用目的の公表については、本規程において明示するほか、情報主体への書面による通知等適切な方法によるものとする。
3 利用目的の変更は、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲内で、かつ、情報主体への通知、公表又は明示を行う場合に限り、行うことができるものとする。
(1) 人の生命、身体又は財産の保護のために緊急に必要があるとき。
(2) 利用目的を本人に明示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき。
(3) 利用目的を本人に明示することにより、国の機関、独立行政法人等、地方公共団体又は地方独立行政法人が行う事務又は事業の適正な遂行に支障を及ぼすおそれがあるとき。
(4) 取得の状況からみて利用目的が明らかであると認められるとき。
(個人番号の提供の要求)
第32条 個人番号の提供の要求は、個人番号利用事務又は個人番号関係事務を処理するために必要がある場合に限り、本人又は他の個人番号利用事務実施者若しくは個人番号関係事務実施者に対し行うことができるものとする。
(個人番号の提供を求める時期)
第33条 個人番号利用事務実施者又は個人番号関係事務実施者は、個人番号利用事務又は個人番号関係事務を処理するために必要があるときに個人番号の提供を求めることとする。
2 前項の場合において、本人との法律関係等に基づき、個人番号関係事務の発生が予想される場合には、雇用契約等を締結した時点等の当該事務の発生が予想できた時点で個人番号の提供を求めることができるものとする。
(特定個人情報の提供の求めの制限)
第34条 本法人は、番号法第19条各号のいずれかに該当し特定個人情報の提供を受けることができる場合を除き、特定個人情報の提供を求めてはならない。
(情報提供ネットワークシステムによる特定個人情報の取得に伴う記録等)
第35条 番号法第19条第7号の規定により特定個人情報の提供があったとき、又は、その提供事実が番号法第31条第1項の規定により、「未成年者又は成年被後見人の法定代理人」に本人の委任による代理人を加えた「代理人」と読み替えて適用する個人情報保護法第78条(同法第123条第2項の規定によりみなして適用する場合を含む。)に規定する不開示情報に該当すると認めるときは、番号法第23条第1項各号に定める事項又は不開示情報に該当する旨を情報提供ネットワークシステムに接続されたその者の使用する電子計算機に記録し、当該記録を7年間保存しなければならない。
2 前項により記録された特定個人情報については、利用目的以外の目的のために利用することはできない。
3 第1項の業務に従事する者は、その漏えいの防止その他の適切な管理のため、当該事務に使用する電子計算機の安全性及び信頼性を確保する等必要な措置を講じなければならない。
4 第1項の業務に従事する者又は従事していた者は、その業務に関して知り得た当該事務に関する秘密を漏らし、又は盗用してはならない。
(特定個人情報の収集制限)
第36条 本法人は、個人番号利用事務又は個人番号関係事務の範囲を超えて、特定個人情報を収集しないものとする。
(本人等の確認)
第37条 本法人は番号法第16条に定める方法により、役職員等又は役職員等以外の個人の個人番号の確認及び当該者の身元確認を行うものとする。
2 前項の場合において、代理人の場合にあっては、番号法第16条に定める方法により、当該代理人の身元確認、代理権の確認及び本人の個人番号の確認を行うものとする。
第4章 特定個人情報の利用
(特定個人情報の利用制限)
第38条 本法人は、第30条に定める利用目的の範囲内でのみ特定個人情報を利用するものとする。
2 本法人は、人の生命、身体又は財産の保護のために必要がある場合を除き、本人の同意があったとしても、利用目的を超えて特定個人情報を利用してはならないものとする。
(特定個人情報ファイルの作成の制限)
第39条 本法人は、番号法第19条第12号から第16号までのいずれかに該当する場合を除き、個人番号利用事務又は個人番号関係事務を処理するために必要な範囲を超えて特定個人情報ファイルを作成しないものとする。
第5章 特定個人情報の保管
(特定個人情報の保管制限)
第40条 本法人は、個人番号利用事務又は個人番号関係事務を処理する必要がある範囲内に限り特定個人情報を保管することができるものとする。
2 個人番号が記載された文書等のうち、法令等によって一定期間保存が義務付けられているものについては、これらの文書等に記載された個人番号については、その期間保管するものとする。
3 第37条の本人等の確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、身元確認書類等)の写し、調書等の控え又は当該調書等を作成するにあたり受領する個人番号が記載された申告書等を特定個人情報として保管するものとする。
4 前項の特定個人情報の保管は、個人番号関係事務の一環として認められることから、当該保存期間については、確認の必要性及び特定個人情報の保有に係る安全性を勘案し、決定するものとする。
(特定個人情報の正確性の確保)
第41条 事務取扱担当者は、特定個人情報を、第30条に掲げる利用目的の範囲内で、過去又は現在の事実と合致するよう、正確かつ最新の状態で管理するよう努めるものとする。
第6章 特定個人情報の提供
(情報提供ネットワークシステムによる特定個人情報の提供)
第42条 番号法第19条第7号の規定により特定個人情報の提供を求められた場合において、同法第21条第2項の規定による総務大臣からの通知を受けたときは、政令第28条で定めるところにより、情報照会者に対して求められた特定個人情報を提供しなければならない。
(特定個人情報の提供制限)
第44条 本法人は、番号法第19条各号に掲げる場合を除き、本人の同意の有無に関わらず、特定個人情報を第三者に提供しないものとする。
第7章 特定個人情報の開示、訂正等及び利用停止等
(特定個人情報の開示、訂正等及び利用停止等)
第45条 特定個人情報の開示、訂正等(訂正、追加又は削除をいう。)、利用停止等(利用の停止、消去又は第三者への提供の停止をいう。)の取扱いについては、番号法第30条第1項、第31条第1項、個人情報保護法その他の関係法令、国立大学法人大阪大学の保有する個人情報の開示、訂正及び利用停止に係る手続に関する規程及び国立大学法人大阪大学の保有する個人情報の開示、訂正及び利用停止に係る審査基準によるものとする。
第8章 特定個人情報の廃棄又は削除
(特定個人情報の廃棄・削除)
第46条 個人番号利用事務又は個人番号関係事務を処理する必要がなくなった場合で、法令等において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除しなければならない。
第9章 特定個人情報の委託等の取扱い
(委託又は再委託の取扱い)
第47条 個人番号利用事務又は個人番号関係事務の全部又は一部を委託する場合、当該特定個人情報の安全管理措置が適切に講じられるよう委託先に対し、必要かつ適切な監督を行わなければならない。
(1) 委託先の適切な選定
(2) 委託先に安全管理措置を遵守させるために必要な契約の締結
(3) 委託先における特定個人情報の取扱状況の把握
3 前項第1号の「委託先の適切な選定」にあたっては、特定個人情報の保護に関して本法人が別に定める水準を満たしているか、あらかじめ確認するものとする。
(1) 秘密保持義務に関する規定
(2) 事業所内からの特定個人情報の持ち出しの禁止
(3) 特定個人情報の目的外利用の禁止
(4) 再委託における条件
(5) 漏えい事案等が発生した場合の委託先の責任に関する規定
(6) 委託契約終了後の特定個人情報の返却又は廃棄に関する規定
(7) 特定個人情報を取り扱う従業者の明確化に関する規定
(8) 従業者に対する監督・教育に関する規定
(9) 契約内容の遵守状況について報告を求める規定
(10) 委託者が委託先に対して実地の監査、調査等を行うことができる規定
6 本法人は、委託先において特定個人情報の安全管理が適切に行われていることについて、定期的に調査するものとする。
7 本法人は、委託先において情報漏えい事故等が発生した場合に、適切な対応がなされ、速やかに本法人に報告される体制になっていることを確認するものとする。
8 委託先は、本法人の許諾を得た場合に限り、委託を受けた個人番号利用事務又は個人番号関係事務の全部又は一部を再委託することができるものとする。再委託先が更に再委託する場合も同様とする。
9 本法人は、再委託先の適否の判断のみならず、委託先が再委託先に対しても必要かつ適切な監督を行っているかどうかについても監督する。
10 本法人は、委託先が再委託をする場合、当該再委託契約の内容として、第4項と同等の規定等を委託先に定めさせるものとする。
第10章 その他
(雑則)
第48条 この規程に定めるもののほか、特定個人情報の取扱いに関し必要な事項は、別に定める。
附則
この規程は、平成27年10月20日から施行する。
附則
この改正は、平成28年1月1日から施行する。
附則(抄)
(施行期日)
1 この改正は、平成28年1月20日から施行する。
附則
この改正は、平成28年4月1日から施行する。
附則
この改正は、平成29年4月1日から施行する。
附則
この改正は、平成29年5月30日から施行する。
附則
この改正は、平成30年4月4日から施行する。
附則
この改正は、令和元年8月26日から施行する。
附則
この改正は、令和2年4月1日から施行する。
附則
この改正は、令和2年5月27日から施行する。
附則
この改正は、令和4年4月1日から施行する。
附則
この改正は、令和5年2月1日から施行する。