特定個人情報保護規程

(目的)

第1条

この規程は、「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」(以下「マイナンバー法」という。)、「個人情報保護に関する法律」及び「特定個人情報の適正な取り扱いに関するガイドライン」(以下「特定個人情報ガイドライン」という。)に基づき、学校法人千葉学園(以下「学園」という。)における個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取り扱いの確保に関し必要な事項を定めることを目的とする。

(定義)

第2条

本規程における用語の定義は、次の通りとする。
(1) 「個人情報」とは、生存する個人に関する情報であり、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)をいう。
(2) 「個人番号」とは、マイナンバー法第2条第5項に定める住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
(3) 「特定個人情報」とは、個人番号をその内容に含む個人情報をいう。
(4) 「特定個人情報ファイル」とは、個人情報をその内容に含む個人情報ファイルをいう。
(5) 「教職員等」とは、学園と雇用関係にある職員(専任教職員、嘱託職員、非常勤教員、契約職員、パート職員、学生アルバイト等)のみならず、学園と雇用関係に無い者(理事、監事、派遣職員等)を含む。
(6) 「事務取扱担当者」とは、個人番号を取り扱う事務に従事する者をいう。
(7) 「学外事務担当者」とは、個人番号利用事務の全部又は一部を学外に業務委託した委託先の責任者の指揮監督の下に当該業務を行う事務担当者をいう。

(個人番号利用事務)

第3条

本学における個人番号利用事務の範囲は次の通りとする。
(1) 所得税法に基づき学園が行う源泉徴収に関する事務
(2) 地方税法に基づき学園が行う個人住民税に関する事務
(3) 雇用保険法に基づき学園が行う雇用保険関係事務
(4) 私立学校教職員共済法に基づき学園が行う共済関連事務
(5) 厚生年金保険法に基づき学園が行う厚生年金保険関連事務
(6) 労働者災害対策補償保険法に基づく請求に関する事務
(7) 報酬、料金、契約及び賃金等の支払調書関連事務
(8) 不動産の使用料等の支払調書関連事務
(9) 不動産等の譲り受けの対価の支払調書作成事務
(10) 上記(1)から(9)に関連する事務

(特定個人情報等の範囲)

第4条

前条の事務において使用される個人番号及び個人番号と関連付けて管理される特定個人情報は、次の通りとする。
(1) 教職員又は教職員以外の個人から、マイナンバー法第16条に基づく本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、通知カード、身元確認書類等)及びこれらの写し
(2) 学園が税務署等の行政機関に提出するために作成した法定調書及びこれらの控え
(3) 学園が法定調書を作成するうえで教職員又は教職員以外の個人から受領する個人番号が記載された申告書等
(4) その他個人番号と関連づけて保存される情報
2 前項各号に該当するか否かが定かでない場合は、事務取扱責任者が判断する。

(組織)

第5条

学園における特定個人情報を取り扱う事務取扱担当者は、人事課、会計課及び付属高校事務室職員とする。
2 学園における特定個人情報等の管理に関する責任を担う者(以下「事務取扱責任者」という。)は、法人事務局長とする。

(事務取扱責任者の責務)

第6条

事務取扱責任者は、次の業務を実施する責任を担う。
(1) 特定個人情報取扱基本方針の策定及び教職員への周知
(2) 特定個人情報等の利用申請の承認及び記録等の管理
(3) 特定個人情報等の管理区域及び取扱区域の設定
(4) 特定個人情報等の取扱区分及び権限についての設定及び変更の管理
(5) 特定個人情報等の取扱状況の把握
(6) 特定個人情報等の安全管理に関する教育・研修の実施
(7) その他特定個人情報等の安全管理に関すること
2 事務取扱責任者は、特定個人情報等が適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行う

(事務取扱担当者の責務)

第7条

事務取扱担当者は、特定個人情報等を取り扱う業務に従事する際、マイナンバー法及び個人情報保護法並びにその他の関係法令、特定個人情報ガイドライン、本規程及びその他の学内規程に従い、特定個人情報等の保護に十分な注意を払ってその業務を行うものとする。

(事務取扱担当者の教育)

第8条

学園は、本規程に定められた事項を遵守するとともに、事務取扱担当者に本規程を遵守させるための研修を行う。

(運用状況の記録)

第9条

事務取扱担当者は、本規程に基づく運用状況を確認するため、次の事項について記録する。
(1) 特定個人情報等の入手日
(2) 源泉徴収票・支払調書等の法定調書の作成日、提出日
(3) 書類・媒体等の持ち出しの記録
(4) 特定個人情報ファイルの削除・廃棄記録
(5) 削除・廃棄を委託した場合、これを証明する記録等
(6) 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン履歴、アクセスログ等)の記録

(情報漏えい事案等への対応)

第10条

事務取扱担当者は、特定個人情報の漏えい、滅失等の事案が発生した場合又はその可能性が高いと判断したときは、直ちに事務取扱責任者に報告しなければならない。
2 事務取扱責任者は、理事長に報告するとともに直ちに調査を開始し、当該漏えい事案等の対象となった情報主体に対して、事実関係の通知、謝意の表明、原因究明等を速やかに行う。
3 事務取扱責任者は、再発防止について検討する。

(特定個人情報を取り扱う区域の管理)

第11条

学園は、特定個人情報を取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、それぞれの区域に対し次の各号に掲げる措置を講じる。
(1) 管理区域
管理区域はサーバー室とし、入退室管理システムにより入室者の履歴管理を行うとともに、管理区域へ持ち込む機器及び電子媒体の制限を行う。
(2) 取扱区域
取扱区域は人事課及び会計課事務室とし、取扱区域には室課員以外の入場を抑制するとともに、可能な限り壁又は間仕切り等の設置をし、事務取扱担当者以外の往来が少ない場所へ配置する。

(機器及び電子媒体等の盗難等の防止)

第12条

管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失を防止するために、次の各号に掲げる措置を講じる。
(1) 特定個人情報等を取り扱う電子媒体又は書類等は、施錠できるキャビネット等に保管する。
(2) 特定個人情報ファイルを取り扱う機器は、セキュリティワイヤー等により固定する。

(電子媒体等を持ち出す場合の漏えい等の防止)

第13条

特定個人情報等が記録された電子媒体又は書類等を管理区域又は取扱区域の外に持ち出す場合、持ち出しデータの暗号化、パスワードの設定、封筒に封入して鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な対策を講じる。

(アクセス制御・アクセス者の識別と認証)

第14条

特定個人情報を取り扱う情報システムは、ユーザーID・パスワードによるユーザーアカウント制御により、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証する。
2 個人情報に紐付けてアクセスできる情報の範囲をアクセス制御により限定する。

(外部からの不正アクセスの防止)

第15条

外部から情報システムへの不正アクセス等の防止のため、次の措置を講じる。
(1) 情報システムと外部ネットワークの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する
(2) 情報システム及び機器にセキュリティ対策ソフトウェア等を導入する
(3) 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する
(4) 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする
(5) ログ等の分析を定期的に行い、不正アクセス等を検知する

(情報漏えい等の防止)

第16条

特定個人情報等をインターネット等により外部に送信する場合、次の対策を講じる
(1) 通信経路における情報漏えい等の防止として通信経路の暗号化を行う。
(2) 情報システムに保存されている特定個人情報等の情報漏えい等の防止策として、データの暗号化又はパスワードによる保護を行う。

(適正な取得)

第17条

学園は、特定個人情報等の取得を適法かつ公正な手段によって行うものとする。

(利用目的の特定)

第18条

教職員又は教職員以外の個人から取得する特定個人情報等の利用目的は、第3条に掲げた個人番号を取り扱う事務の範囲内とする。

(取得に際しての利用目的の通知等)

第19条

学園は、特定個人情報を取得する場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知、又は公表するものとする。
2 前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方法等で作られる記録を含む)に記載された当該本人の特定個人情報等を取得する場合は、あらかじめ本人に対しその利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合はこの限りでは無い。

(個人番号の提供の要求と制限)

第20条

第3条に掲げる個人番号関係事務を処理するために必要がある場合に限り、本人又は他の個人番号関係事務実施者に対して個人番号の提供を求めることができる。
2 個人番号の提供を求める時期は、行政機関に提出する書類に個人番号を記載する必要性が生じたときとする。ただし、本人との雇用契約等により個人番号が必要となることが予想される場合には、事前に提供を受けることができる。
3 学園は、第3条に掲げる個人番号関係事務の範囲を超えて、特定個人情報を収集しないものとする。

(本人確認)

第21条

事務取扱担当者は、マイナンバー法第16条で規定する各方法により本人確認を行い、代理人については、当該代理人の身元確認、代理権の確認及び本人の個人番号の確認を行う。

(個人番号の利用制限)

第22条

個人番号は、第3条に規定する事務を処理するために必要な範囲でのみ利用する。なお、本人の同意があったとしても、利用目的を超えて個人番号を使用しないものとする。

(特定個人情報ファイルの作成の制限)

第23条

事務取扱担当者は、第3条に規定する個人番号関係事務を実施するために必要な範囲に限り、特定個人情報ファイルを作成する。

(特定個人情報の保管)

第24条

学園は、第3条に規定する事務が終了するまでの間、特定個人情報等を保管する。ただし、所管法令等により保存期間が定められているものについては、当該期間を経過するまでの間、特定個人情報等を保管する。
2 特定個人情報を含む書類又は特定個人情報ファイルを法定保存期間経過後も引き続き保管するときは、個人番号に係る部分をマスキング又は消去したうえで保管する。

(特定個人情報の提供の制限)

第25条

学園は、マイナンバー法第19条に規定する場合を除き、本人の同意の有無に関わらず、特定個人情報を第三者に提供しないものとする。

(特定個人情報の開示、訂正、利用の停止)

第26条

学園が保有する特定個人情報等は、適法かつ合理的な範囲に限り本人に開示することとし、本人より特定個人情報等の訂正の申し出があった場合は、速やかに対応する。
2 学園が保有する特定個人情報等について、本規程及び法令等に違反して取得され又は利用されているという理由により本人から利用停止等を求められた場合は、遅滞なく必要な調査を行い、必要な措置を講じる。

(特定個人情報等の廃棄、削除)

第27条

第24条に規定する保管期間を経過した書類等については、個人番号を可能な限り速やかに廃棄又は削除する。
2 前項の規定に関わらず、事務取扱責任者の判断により、廃棄又は削除を毎年度末にまとめて行うことができる。
3 事務取扱担当者は、個人番号もしくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存するものとする。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する。

(委託先の監督)

第28条

第3条に規定する個人番号関係事務の全部又は一部を委託する場合には、委託先においてマイナンバー法に基づき学園自らが果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう必要かつ適切な監督を行うものとする。
2 前項において委託先に対して次に掲げる事項を実施する。
(1) 委託先の選定において、委託先がマイナンバー法に基づき適切な安全管理措置が講じられていることを確認する。
(2) 委託先との間で次の事項等を記載した契約を締結する。
ア 特定個人情報に関する秘密保持義務
イ 特定個人情報等の適正な保管管理義務
ウ 事業所内からの特定個人情報等の持ち出し禁止
エ 特定個人情報等の目的外利用の禁止
オ 漏えい事案が発生した場合の委託先の責任
カ 委託契約終了後の特定個人情報等の返却又は廃棄
キ 特定個人情報取扱者に対する監督・教育
ク 委託契約内容の遵守状況についての報告

(再委託)

第29条

委託先は、学園の許諾を得た場合に限り、委託を受けた個人番号利用事務の全部又は一部を再委託できるものとする。
2 再委託先の監督については前条第2項の規定を準用する。

(事務手続き)

第30条

この規程の事務は人事課が行う。

(規程の改廃)

第31条

この規程の改廃は、個人情報保護委員会の議を経て、理事会が行う。

付 則
この規程は、平成27年11月1日から施行する。