○公立大学法人岡山県立大学の保有する個人情報の適切な管理に関する規程
平成28年7月7日
(目的)
第1条 この規程は、岡山県個人情報保護条例(平成14年岡山県条例第3号。以下「条例」という。)第3条及び第11条第2項に基づき、公立大学法人岡山県立大学(以下「法人」という。)が保有する個人情報の適切な管理について、必要な措置を定める。
(定義)
第2条 この規程における用語の定義は、次の各号に定めるところによる。
(1) 個人情報 条例第2条第1号に規定する個人情報をいう。
(2) 保有個人情報 法人の教職員等が職務上作成し、又は取得した個人情報をいう。
(3) 個人情報ファイル 保有個人情報を含む情報の集合物であって、次に掲げるものをいう。
ア 一定の事務の目的を達成するために情報システムで作成された特定の保有個人情報を検索することができるように体系的に構成したもの
イ 上記アに規定するもののほか、氏名、生年月日その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの
(4) パソコン等 電子計算機全般のことを指し、オペレーティングシステム及び接続される周辺機器を含むサーバ装置及び端末機器
(5) 外部記録媒体 USBフラッシュメモリ、SDカード、DVD及びブルーレイディスク、外付けハードディスク、タブレット、その他携帯性のある電子記録が可能な機器又はメディア
(6) 部局長等 各学部長、各研究科長、共通教育部長、附属図書館長、各センター長及び事務局長をいう。
(7) 教職員等 法人の組織内にあって、直接又は間接に法人の指揮監督を受けて法人の業務に従事している者をいい、雇用関係がある者(教職員、非常勤講師、特定事務職員、再雇用特定事務職員、任期付職員、事務補助職員、非常勤職員、アルバイト等)のみならず、法人との間に雇用関係がない者(理事、監事、派遣契約社員、委託先業務従事者等)を含む。
(管理体制)
第3条 法人に総括保護管理者を置くこととし、理事長をもって充てる。
2 総括保護管理者は、法人における保有個人情報の適切な管理に関する措置を総括する。
3 各部局等に保護管理者を置くこととし、部局長等をもって充てる。
4 保護管理者は、教職員等が保有個人情報を適切に管理するよう指導監督するなど各部局等における保有個人情報の適切な管理を確保する。また、保有個人情報を情報システムで取り扱う場合、当該情報システムの管理者と連携して適切に措置を講ずる。
(審議機関)
第4条 保有個人情報の管理に係る事項については、総務委員会において審議する。
(教育研修)
第5条 総括保護管理者は、教職員等に対し、保有個人情報の取扱いについて理解を深め、個人情報の適切な管理に関する意識の高揚を図るための啓発その他必要な教育研修を行う。
2 保護管理者は、保有個人情報の適切な管理のため、教職員等に対して、総括保護管理者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。
(責務と処分)
第6条 教職員等は、この規程のほか、関連する法令、規程等の定め並びに総括保護管理者及び保護管理者の指示に従い、保有個人情報を適切に取り扱わなければならない。
2 教職員等(法人と雇用関係がない者を除く。)が、この規程に違反して正当な理由なく保有個人情報を外部に漏えい又は盗用した場合は、公立大学法人岡山県立大学職員就業規則(平成19年4月1日制定)、公立大学法人岡山県立大学特定事務職員就業規則(平成29年4月1日制定)、公立大学法人岡山県立大学再雇用特定事務職員就業規則(令和2年9月24日制定)及び公立大学法人岡山県立大学有期雇用職員就業規則(平成29年4月1日制定)の定めるところにより処分等を行う。
(利用目的の明示)
第7条 教職員等が個人情報を取得する場合には、利用目的を記載した通知、書類の提示等の方法により、あらかじめ、その利用目的を明示しなければならない。
(個人情報の取得・収集の制限)
第8条 教職員等は、業務上、教育研究活動等を行うために個人情報を取得又は収集するときは、その目的を達成するために必要な範囲内で、適法かつ公正な手段により行わなければならない。
(誤りの訂正等)
第9条 教職員等は、保有個人情報の内容に誤り等を発見した場合には、保護管理者の指示に従い、訂正等を行うとともに、その内容及び訂正後の日時を記録し、保存する。
(暗号化等)
第10条 教職員等は、保有個人情報の秘匿性等その内容に応じて、データの暗号化又はパスワード設定等の適切な措置を行う。
(パソコン等の限定)
第11条 保護管理者は、教職員等に対し、保有個人情報の秘匿性等その内容に応じて、その処理を行うパソコン等を限定するために必要な措置を講ずる。
(パソコン等の盗難防止等)
第12条 教職員等は、パソコン等の盗難又は紛失の防止のため、執務室の施錠等の必要な措置を講ずる。
2 教職員等は、保護管理者が必要あると認めるときを除き、個人情報が記録されたパソコン等を外部へ持ち出し、又は外部から持ち込んではならない。
(アクセス制限)
第13条 保有個人情報にアクセスする権限を有しない教職員等は、アクセスしてはならない。
2 教職員等は、情報システムにアクセスする権限を有する場合であっても、業務上の目的以外の目的で保有個人情報にアクセスしてはならない。
(第三者の閲覧防止)
第14条 教職員等は、パソコン等の使用に当たっては、保有個人情報が第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講ずる。
(保有個人情報の処理)
第15条 教職員等は、保有個人情報について、一時的に加工等の処理を行うため複製等を行う場合には、その対象を必要最小限に限り、処理終了後は不要となった情報を速やかに消去する。
(不正プログラムによる漏えい等の防止)
第16条 教職員等は、情報システムの管理者による指示に基づき、不正プログラムによる保有個人情報の漏えい、滅失又は毀損の防止のため、ソフトウェアに関する公開された脆弱性の解消、把握された不正プログラムの感染防止等を行う。
(外部記録媒体の管理等)
第17条 教職員等は、保有個人情報が記録されている外部記録媒体を施錠できる場所に保管するとともに、必要があると認めるときは、耐火金庫への保管を行う。
(外部記録媒体の接続制限)
第18条 教職員等は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報の漏えい、滅失又はき損の防止のため、外部記録媒体の情報システム端末等への接続の制限(当該機器の更新への対応を含む。)等の必要な措置を講ずる。
(外部記録媒体等の持出し)
第19条 教職員等は個人情報が記録された外部記録媒体又は書類等の持出し(電子メールによる送信、ファクシミリによる送信及びVPNによる学外でのダウンロードを含む。)は次に掲げる場合を除き禁止する。
(1) 学外で行う教育研究活動において現地で情報処理を行うための持出し
(2) 本人から同意を得たもので教育研究活動等に必要不可欠な持出し
(3) その他、保護管理者が適当であると判断した場合の持出し
(1) 保有個人情報が記録された外部記録媒体を安全に持ち出す方法
ア 持出しデータの暗号化
イ 持出しデータのパスワードによる保護
ウ 施錠できる搬送容器の使用
エ 追跡可能な移送手段の利用(特定記録郵便、簡易書留郵便等で送付する等)
(2) 保有個人情報が記録された書類等を安全に持ち出す方法
ア 封緘
イ 目隠しシール等の利用
(廃棄等)
第20条 教職員等は、保有個人情報又は保有個人情報が記録されている外部記録媒体が不要となった場合には、保護管理者の指示に従い、当該保有個人情報の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行う。
(事案の報告及び再発防止措置)
第21条 保有個人情報の漏えい等安全確保の上で問題となる事案又は問題となる事案の発生のおそれを認識した場合に、その事案等を認識した教職員等は、直ちに保護管理者に報告しなければならない。
2 保護管理者は、前項により報告を受けたときは、速やかに、総括保護管理者に報告するとともに当該教職員等とともに被害の拡大防止又は復旧等のために必要な措置を講ずる。
3 保護管理者は、前項の措置を講じた後、事案の発生した経緯、被害状況等を調査し、総括保護管理者に報告する。
4 総括保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずる。
(公表等)
第22条 法人は、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る保有個人情報の本人への対応等の措置を講ずる。
(業務の委託等)
第23条 保護管理者は、保有個人情報の取扱いに係る業務を外部に委託する場合には、岡山県の定める岡山県個人情報保護条例に係る個人情報取扱事務委託基準によるものとする。
(見直し)
第24条 総括保護管理者及び保護管理者は、保有個人情報の適切な管理のため必要があると認めるときは、その見直し等の措置を行う。
(雑則)
第25条 この規程に定めのない事項又は個人情報の適切な管理に関し必要な事項は、理事長が、その都度別に定める。
附則
この規程は、平成28年7月7日から適用する。
附則(平成29年3月28日)
この規程は、平成29年4月1日から施行する。
附則(平成31年3月28日)
この規程は、平成31年4月1日から施行する。
附則(令和2年3月27日)
この規程は、令和2年4月1日から施行する。
附則(令和3年3月26日)
この規程は、令和3年4月1日から施行する。