第1章 総 則
(目 的)
第1条 この規程は、「
個人情報の保護に関する法律」(平成15年法律第57号)に則り、学校法人稲置学園(以下「法人」という。)及び法人が設置する各学校(以下「設置学校」という。)が保有する個人情報の取扱いに関する基本的事項と遵守すべき義務等を定めることにより、法人及び設置学校の責務を明確にするとともに、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
2 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取り扱いが図られなければならない。
(定 義)
第2条 この規程で掲げる用語の定義は、次のとおりとする。
(1)「個人情報」とは、生存する設置学校の学生・生徒・園児(以下「学生・生徒等」という。)、学生・生徒等の保護者又は保証人、法人の役員及び職員(法人と雇用関係にある現在及び過去に法人と関わったすべての者をいい、非常勤講師、非専任職員等を含む。以下同じ。)等に関する情報であって、次のいずれかに該当するものをいう。
ア 当該情報に含まれる氏名、性別、生年月日、住所、電話番号等により特定の個人を識別することができるもの(文書、顔画像、図画若しくは電磁的記録等を含む。)
イ 当該情報自体からは特定の個人を識別することができなくても、他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの
ウ 個人識別符号(身体の一部の特徴を電子計算機用に変換した符号、又はカードその他の書類等に対象者ごとに異なるものとなるように記載等された公的な符号のうち、個人情報保護法施行令(以下「政令」という。)で定めるものをいう。)が含まれるもの
(2)「本人」とは、個人情報によって識別される特定の個人をいう。
(3)「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪による被害の事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
(4)「個人情報データベース等」とは、個人情報を含む情報の集合物であって、個人情報を電子計算機を用いて検索することができるように体系的に構成したもの、又は個人情報を帳簿等に一定の規則で整理することにより容易に検索することができるように体系的に構成したもの(利用方法からみて個人の権利利益を害するおそれが少ないものを除く。)をいう。
(5)「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
(6)「保有個人データ」とは、法人及び設置学校が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データをいう。
(7)「仮名加工情報」とは、当該個人情報に含まれる記述等の一部を削除したり個人識別符号の全部を削除することにより他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
(8)「匿名加工情報」とは、特定の個人を識別することができないように個人情報に含まれる記述の一部を削除したり個人識別符号の全部を削除したりして得られる個人に関する情報であって、当該個人情報を復元できないようにしたものをいう。
(9)「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらの属する者をいう。
(役職員等の責務)
第3条 理事、監事、評議員及び職員(以下「役職員等」という。)は、この規程及びその他法人の諸規程等を遵守し、個人情報を保護する責務を負う。
2 役職員等は、職務等により知り得た個人情報を、故意又は過失により、漏えいし、滅失し若しくはき損し、又は不当な目的に利用してはならない。その地位を退いた後においても同様とする。
3 役職員等が前項の定めに違反した場合は、法人の
就業規則等に基づき懲戒処分をすることができる。退任及び退職後に違反の事実が発覚した場合には、損害賠償請求を行うことがある。
4 法人は、学生・生徒等に対して、個人情報の適正な取扱いにつき、適切に指導及び啓蒙活動を行うことに努めるものとする。
(学術研究における適用除外)
第4条 この規則は、金沢星稜大学及び同女子短期大学部(以下「大学等」という。)が学術研究の用に供する目的で個人情報及び個人データを取り扱う場合であって、次の各号に掲げる場合には適用しない(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(1)あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる場合として次に掲げるもの(第7条第1項、第2項の例外)
ア 大学等が個人情報を学術研究目的で取り扱う必要があるとき。
イ 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき。
(2)あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる場合として次に掲げるもの(第8条第2項の例外)
ア 大学等が要配慮個人情報を学術研究目的で取り扱う必要があるとき。
イ 大学等と共同して学術研究を行う学術研究機関等から要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき。
(3)あらかじめ本人の同意を得ることなく、個人データを第三者に提供することができる場合として次に掲げるもの(第19条第1項の例外)
ア 個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき。
イ 大学等と共同して学術研究を行う学術研究機関等へ個人データを学術研究目的で提供する必要があるとき。
ウ 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術目的で取り扱う必要があるとき。
2 大学等は、学術研究目的で行う個人情報の取扱いについて、この規則を遵守するとともに、その適正を確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
第2章 個人情報の取得、利用
(適正な取得及び利用)
第5条 法人は、適法かつ相当な手段により個人情報を取得しなければならない。
2 法人は、違法若しくは不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
(利用目的の特定、通知又は公表)
第6条 法人は、個人情報を取得するに当たっては、その利用目的をできる限り特定しなければならない。
2 前項により特定した利用目的は、あらかじめ公表することを原則とするが、やむを得ない場合は、取得後速やかに本人に通知又は公表しなければならない。
3 前項の規定にかかわらず、本人及びその他関係者との間で契約を締結することに伴って契約書その他の書面(文書、顔画像、図画若しくは電磁的記録等を含む。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ(人の生命、身体又は財産の保護のために緊急に必要がある場合は事後速やかに)、本人に対しその利用目的を明示しなければならない。
4 前2項の規定は、次に掲げる場合については、適用しない。
(1)利用目的を本人に通知し、又は公表することにより、本人若しくは第三者の生命、身体、財産その他の権利利益を害するおそれがある場合、又は法人の権利若しくは正当な利益を害するおそれがある場合
(2)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(3)取得の状況からみて利用目的が明らかであると認められる場合
(利用目的の制限、変更)
第7条 取得した個人情報は、特定した利用目的の範囲内で利用しなければならない。
2 利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲内で行い、変更された利用目的について、本人に通知し、又は公表しなければならない。
3 前2項の規定による利用目的の範囲を超えて、他の目的で利用する場合は、次に掲げる場合を除き、あらかじめ本人の同意を得なければならない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上又は学生・生徒等の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国や地方公共団体等が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(5)大学等が個人情報を学術研究目的で取り扱う必要があるとき。
(6)学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき。
(要配慮個人情報の取得)
第8条 要配慮個人情報は、合理的な理由がない限り取得しないように努めるものとする。
2 要配慮個人情報を取得するときは、次に掲げる場合を除き、あらかじめ本人の同意を得なければならない。
(1)前条第3項各号に該当する場合
(2)当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等により公開されている場合
(3)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
(4)第19条第4項各号に該当する場合において、要配慮個人情報の提供を受けるとき
第3章 個人データの安全管理
(適正な管理)
第9条 法人は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
2 法人は、取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(個人情報保護管理責任者等)
第10条 法人は、常務理事を個人情報保護統括管理責任者(以下「統括管理者」という。)とし、統括管理者の下に個人情報保護管理責任者(以下「管理責任者」という。)を置く。また管理責任者の下に各部署で個人データの取り扱いに関する責任を担う者(以下「取扱責任者」という。)を置き、取扱責任者の下に個人データを取り扱う者(以下「取扱担当者」という。)を置く。
2 統括管理者は、法人の保有個人データ等の管理に関する事務を総括するものとする。
3 管理責任者は、各部署における個人データを総括的に管理するとともに、取扱責任者に対し、個人情報の安全管理が図られるよう、必要かつ適切な監督を行わなければならない。
4 取扱責任者は、次の業務を所掌する。
(1)個人データの取扱状況の把握及び記録等の管理
(2)個人データの取扱区分及び権限についての設定並びに変更の管理
(3)委託先における個人データの取扱状況等の監督
(4)その他個人データの安全管理に関すること
5 取扱担当者は、個人データの取扱い又は委託処理等、個人データを取扱う業務に従事する際、本規程及びその他の諸規程並びに取扱責任者の指示した事項に従い、個人データの保護に十分な注意を払ってその業務を行うものとする。
6 管理責任者及び取扱責任者は、別表に定めるとおりとする。
(内部監査)
第11条 監査室は、個人データを取り扱う部署における個人情報の取得・利用・保管・管理等の状況について、定期又は随時に監査を行い、その結果を管理責任者に報告する。管理責任者は、その報告に基づき、安全管理措置等の見直し及び改善に取り組むものとする。
(個人情報保護委員会)
第12条 この規程の目的を達成するため、法人及び設置学校等にそれぞれ「個人情報保護委員会」(以下「委員会」という。)を置く。
2 各委員会の構成、審議事項、その他委員会に関する事項に関する規定については「
委員会規程」に定める。
3 各委員会が開催され、審議を行った場合には、その審議の内容・結果を議事録に記載し、理事長に報告しなければならない。
(個人データの管理)
第13条 管理責任者は、所管する部署の保有する個人データを適正に管理するため、次の事項を記録した
情報管理台帳を作成し、所管の事務室に備え置く。
(1)個人情報データベース等の名称
(2)個人データの項目
(3)利用目的
(4)取扱部署
(5)個人データの保管期間
(6)その他必要な事項
2 管理責任者は、個人データの安全管理及び正確性の維持のため、次の各号に掲げる事項について、所管する部署において適正な措置を講じなければならない。
(1)紛失、毀損、破壊損他の事故の防止
(2)改ざん及び漏えいの防止
(3)利用目的の達成に必要な範囲内において、個人データの正確性及び最新性の確保に努めること。
(情報漏えいへの対応)
第14条 取扱担当者は、個人データの漏えい等が発生した場合又はそのおそれがある場合は、直ちに管理責任者に報告しなければならない。
2 前項の報告を受けた管理責任者は、理事長及び統括管理者に報告するとともに、速やかに次の措置を講じなければならない。
(1)被害の拡大防止措置
(2)事実関係の調査及び原因の究明
(3)影響範囲の特定
(4)影響を受ける可能性のある本人への連絡
(5)再発防止策の検討及び実施
(6)事実関係及び再発防止策等の公表
(7)上記各措置の具体的内容・結果に関する理事長への報告
3 法人は、個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きいものとして次に掲げる事態が生じたときは、当該事態を知った後、速やかに国の個人情報保護委員会(内閣府外局)及び文部科学省に報告しなければならない。
(1)要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下同じ。)の漏えい、滅失若しくは毀損
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(3)不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(4)個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
4 前項の場合における報告事項は、次に掲げるものとする。
(1)概要
(2)漏えい等が発生し、又は発生したおそれがある個人データの項目
(3)漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
(4)原因
(5)二次被害又はそのおそれの有無及びその内容
(6)本人への対応の実施状況
(7)公表の実施状況
(8)再発防止のための措置
(9)その他参考となる事項
5 法人は、第3項に定める事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、本人に対し、前項第1号、第2号、第4号、第5号及び第9号に定める事項を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利 利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
(教育・研修)
第15条 法人は、個人データを取り扱う職員に対し、個人データの安全管理に関する教育・研修を、企画・実施する。
(物理的・技術的安全管理措置)
第16条 入退室者による不正行為等の防止のための物理的安全管理措置及び情報システムからの漏えい等の防止のための技術的安全管理措置については、法人及び各設置学校においてそれぞれ必要な措置を講ずる。
第4章 個人データの委託、共同利用、第三者提供
(委託)
第17条 法人が利用目的の達成に必要な範囲内で、個人データの取扱いの全部又は一部を外部業者等に委託する場合(再委託業者を含む。)には、個人データを提供することができる。
2 前項の場合、法人は、委託された当該個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならない。
3 前項の監督のため、法人は、委託先の選定に当たって、委託先の業務・管理体制、規程整備等の状況の確認(必要に応じ個人データの取扱場所での現地確認等)をし、個人データの安全管理措置が十分になされることを確認するものとする。
4 第2項の監督のため、委託先と締結する委託契約に、次の事項を記載するものとする。
(1)委託先における個人データを取り扱う者の明確化に関する事項
(2)委託先において講ずべき安全管理措置の内容
(3)個人データの加工(委託契約の範囲内のものを除く。)、改ざん、複写又は複製(安全管理上必要なバックアップを目的とするもの等委託契約範囲内のものを除く。)の禁止
(4)委託先の秘密の保持に関する事項
(5)委託された個人データの再委託の可否及び条件等に関する事項
(6)委託契約終了の個人データの返却又は委託先における破棄若しくは削除に関する事項
(7)委託契約内容が遵守されなかった場合の損害賠償その他の措置に関する事項
(8)委託先において個人データの漏えい事故等が発生した場合の報告義務及び責任に関する事項
(9)委託契約期間等に関する事項
5 管理者は、委託契約の内容の実施状況を把握するため、必要に応じて委託先に対し定期的または臨時的に監査等を行うこととする。
(共同利用)
第18条 法人は、個人データを特定の者との間で共同して利用する場合には、当該特定の者に個人データを提供することができる。
2 前項の場合において、法人は、次に掲げる事項を、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(1)個人データを共同利用する旨
(2)共同利用する個人データの項目
(3)共同利用する者の範囲
(4)共同利用する者の利用目的
(5)共同利用する個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
(第三者への提供)
第19条 法人は、第7条第3項各号に該当する場合を除き、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
2 前項の規定にかかわらず、次に掲げる事項について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、国の個人情報保護委員会(内閣府外局)へ届け出たとき(以下「オプトアウト」という。)は、当該個人データを第三者に提供することができる。なお、個人情報保護委員会への届出は、電子情報処理組織を使用するか、又は所定の届出書及びその記載事項を記録した光ディスクを提出することにより行う。
(1)法人の名称、住所、理事長の氏名
(1)第三者への提供を利用目的とすること
(2)第三者に提供される個人データの項目
(3)第三者に提供される個人データの取得の方法
(4)第三者への提供の方法
(5)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
(6)前号の本人の求めを受け付ける方法
(7)第三者に提供される個人データの更新
(8)当該届出に係る個人データの第三者への提供を開始する予定日
3 前項の規定は、次に掲げる事項については、適用しない。
(1)要配慮個人情報
(2)偽りその他不正の手段により取得された個人データ
(3) 他の個人情報取扱事業者からオプトアウト規定により提供された個人データ(その全部又は一部を複製・加工したものを含む。)
4 次に掲げる場合は、第三者提供に該当しない。
(1)第17条の定めによる委託に伴って個人データを提供する場合
(2)前条の定めによる共同利用に伴って個人データを当該特定の者に提供する場合
(3)合併その他の事由による事業の承継に伴って個人データを提供する場合
5 法人は、当該提供先において、個人データの提供する目的以外での利用、他の者への再提供、複写複製、改ざん、漏えい、盗用等がなされないように、個人データの安全管理のために講ずべき措置について、提供先と契約書を締結するなど、適切な措置を講じなければならない。
(外国の第三者への提供)
第20条 法人は、次のいずれかに該当する場合に限り、個人データを外国の第三者へ提供することができる。
(1)外国にある第三者へ提供することについて、本人の同意を得ていること。
(2)法人と外国にある第三者との間で当該第三者における個人データの取扱いについて、適切かつ合理的な方法により、個人情報保護法の趣旨に沿った措置の実施が確保されていること。
(3)外国にある第三者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
(4)第7条第3項各号に該当すること。
(第三者への提供に係る記録の作成等)
第21条 個人データを第三者(国の機関、地方公共団体、独立行政法人等、地方独立行政法人を除く。)へ提供したとき(第7条第3項各号に該当する場合又は第19条第4項各号に該当する場合を除く。)には、管理責任者は、次の事項に関する記録を作成しなければならない。ただし、法人が本人に対する物品又はサービスの提供に関連して当該本人の個人データを第三者へ提供する場合において当該提供に関して作成された契約書等に次の事項が記載されているときは、当該契約書等で代替可能とし、また、既に記録されている事項と内容が同一のものについては、当該事項の記録を省略することができる。
(1)本人の同意を得ている旨(第19条第2項の規定により個人データを提供した場合は提供した年月日)
(2)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名(不特定かつ多数の者に対して提供したときは、その旨)
(3)当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
(4)当該個人データの項目
2 前項の記録は、個人データを第三者に提供した都度、速やかに作成しなければならない。ただし、個人データを第三者に継続的に若しくは反復して提供したとき、又はその確実な見込みがあるときは、一括して作成することができる。
3 法人は、前2項により作成した記録を、次の各号に応じて保存しなければならない。
(1)第1項ただし書きに基づき契約書等で記録に代えた場合 最後に個人データの提供を行った日から起算して1年を経過する日まで
(2)前項ただし書きに基づき一括して記録を作成した場合 最後に個人データの提供を行った日から起算して3年を経過する日まで
(3)前2号以外の場合 当該記録を作成した日から3年間
4 本人は、第1項の記録について、開示を請求することができる。請求の手続については、第25条の規定を準用する。
(第三者からの提供)
第22条 第三者(国の機関、地方公共団体、独立行政法人等、地方独立行政法人を除く。)から個人データの提供を受けるに際しては、管理責任者は、次の事項を確認し、その取得方法が適法なものであることを確認しなければならない。ただし、当該個人データの提供が第7条第3項各号又は第19条第4項各号に該当する場合は、この限りでない。
(1)当該第三者の氏名又は名称及び住所並びに法人にあってはその代表者
(2)当該第三者による当該個人データの取得の経緯
2 前項により個人データの提供を受けた場合、管理責任者は、次の事項に関する記録を作成しなければならない。ただし、法人が本人に対する物品又はサービスの提供に関連して第三者から個人データの提供を受けた場合において当該提供に関して作成された契約書等に次の事項が記載されているときは、当該契約書等で代替可能とし、また、既に記録されている事項と内容が同一のものについては、当該事項の記録を省略することができる。
(1)本人の同意を得ている旨(第19条第2項の規定により個人データの提供を受けた場合は個人データの提供を受けた年月日)
(2)前項各号に掲げる確認事項
(3)当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
(4)当該個人データの項目
(5)第19条第2項の規定により個人データの提供を受けた場合は、個人情報保護委員会(内閣府外局)による公表がされている旨
3 前項の記録は、第三者から個人データの提供を受けた都度、すみやかに作成しなければならない。ただし、第三者から継続的に若しくは反復して個人データの提供を受けたとき、又はその確実な見込みがあるときは、一括して作成することができる。
4 法人は、前2項により作成した記録を、次の各号に応じて保存しなければならない。
(1)第2項ただし書きに基づき契約書等で記録に代えた場合 最後に個人データの提供を受けた日から起算して1年を経過する日まで
(2)前項ただし書きに基づき一括して記録を作成した場合 最後に個人データの提供を受けた日から起算して3年を経過する日まで
(3)前2号以外の場合 当該記録を作成した日から3年間
第5章 保有個人データの開示、訂正、利用停止等
(保有個人データの本人への周知)
第23条 法人は、保有個人データに関し、次に掲げる事項を、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
(1)法人の名称
(2)全ての保有個人データの利用目的(第6条第4項第1号、第2号に該当する場合を除く。)
(3)保有個人データの利用目的の通知請求(第24条)、開示請求(第25条)、訂正等の請求(第26条)、又は利用停止等の請求(第27条)に応じる手続(請求等に係る手数料を含む。)
(4)保有個人データの取扱いに関する苦情や問い合わせの申出先
(利用目的の通知請求)
第24条 本人は、自己に関する保有個人データの利用目的の通知を請求することができる。請求は、代理人によってもすることができる。
2 前項の請求は、学生証、職員証、身分証明書、代理権を有することを証明する書面等により本人又は代理人であることを明らかにし、法人の定める所定の
請求書を、法人の定める手数料とともに管理責任者に提出して行わなければならない。
3 管理責任者は、第1項の請求を受けたときは、本人に対し、遅滞なく利用目的を通知しなければならない。ただし、次のいずれかに該当する場合は、この限りでない。
(1)前条第2号の規定により保有個人データの利用目的が明らかな場合
(2)第6条第4項第1号、第2号に該当する場合
4 管理責任者は、求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なくその旨を通知しなければならない。
(保有個人データの開示請求)
第25条 本人は、法人に対し、自己に関する保有個人データの開示を請求することができる。請求は、代理人によってもすることができる。
2 前項の請求は、前条第2項に定める手続きに準じて行わなければならない。
3 本人は、当該保有個人データの電磁的記録の提供による方法、書面の交付による方法その他法人の定める方法による開示を請求することができる。
4 管理責任者は、第1項の請求を受けたときは、本人に対し、遅滞なく、前項の規定により本人が請求した方法により、当該保有個人データを開示しなければならない。ただし、開示することにより次のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)法人の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
5 管理責任者は、開示を求められた保有個人データの全部又は一部の開示につき、必要に応じて、各委員会に意見を聴くことができる。
6 管理責任者は、保有個人データの全部若しくは一部を開示しない旨の決定をしたとき、又は当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(保有個人データの訂正等)
第26条 本人は、法人に対し、自己に関する保有個人データの内容が事実でないときは、その内容の訂正、追加又は削除(以下「訂正等」という。)を請求することができる。請求は、代理人によってもすることができる。
2 前項の請求は、第24条第2項に定める手続に準じて行わなければならない。ただし、手数料は必要としない。
3 管理責任者は、第1項の請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
4 管理責任者は、第1項の請求に係る保有個人データの全部若しくは一部の訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(保有個人データの利用停止等)
第27条 本人は、法人に対し、自己に関する個人データが次のいずれかに該当する場合は、その利用の停止、消去又は第三者提供の停止(以下「利用停止等」という。)を請求することができる。請求は、代理人によってもすることができる。
(1)第5条の規定に違反して不正の手段により取得されたものであるとき又は不適正な方法により利用されているとき
(2)第7条の規定に違反して目的外利用されているとき。
(3)第8条の規定に違反して要配慮個人情報が取得されているとき
(4)第19条又は第20条の規定に違反して第三者に提供されているとき
(5)法人が利用する必要がなくなった場合
(6)漏えい、滅失、毀損等の事態が発生した場合
(7)本人の権利又は正当な利益が害されるおそれがある場合
2 請求の手続については、前条第2項の規定を準用する。
3 管理責任者は、第1項の請求を受け、その請求に理由があると判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、利用停止等に多額の費用を要するなど利用停止等を行うことが困難な場合は、本人の権利利益を保護するため、これに代わるべき措置をとることができる。
4 管理責任者は、第1項の規定に基づき求められた保有個人データの全部又は一部について利用停止等を行ったとき、又は利用停止等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(苦情処理)
第28条 法人は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 法人は、苦情処理等の窓口を経営企画部危機管理室リスク管理統括課に設置し、本人から苦情の申出を受けた場合は、直ちにその旨を、当該個人情報を所管する管理責任者に報告する。
3 前項の報告を受けた管理責任者は、必要に応じて統括管理者に意見を聴くなど、当該苦情に対し、適切に対応しなければならない。
4 第2項の報告を受けた管理責任者は、その旨を理事長に報告しなければならない。
第6章 不服の申立て
(不服の申立て)
第29条 本人に関する保有個人データに関し、第24条ないし第27条に規定する開示等の請求に対してなされた措置に不服がある場合は、本人であることを明らかにして、当該措置を行った管理責任者を通じて各委員会に対し、不服の申立てをすることができる。
2 各委員会は、前項の規定による不服の申立てがあったときは、速やかに審議、決定し、その結果を文書により本人に通知しなければならない。
3 各委員会は、必要があると認めるときは、申立人又は管理責任者に対し、意見の聴取を行うことができる。
4 不服申立ては、次の各号に掲げる事項を記載した文書を当該管理責任者に対し提出することにより行う。
(1)不服の申立てを行う者の所属および氏名
(2)不服申立て事項
(3)不服申立て理由
(4)その他総括責任者が必要と認めた事項
第7章 仮名加工情報及び匿名加工情報の作成等並びに義務
(仮名加工情報の作成等)
第30条 法人は、仮名加工情報(仮名加工情報 データベース等を構成するものに限る。以下同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして国の個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
2 法人は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして国の個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。
3 法人は、法令に基づく場合を除くほか、特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下同じ。)を取り扱ってはならない。
4 仮名加工情報については、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を公表しなければならない。
5 法人は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。
6 法人は、法令に基づく場合を除くほか、 仮名加工情報(個人情報でないものを含む。)を第三者に提供してはならない。
7 法人は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
8 法人は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便等により送付し、若しくは電磁的方法を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
(匿名加工情報の作成等)
第31条 法人は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないよう、当該個人情報を加工するものとする。この場合において、当該匿名加工情報に含まれる個人に関する情報の項目を公表するものとする。
(匿名加工情報の第三者提供)
第32条 法人は、作成した匿名加工情報を第三者に提供するときは、法人の定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示するものとする。
(識別行為の禁止)
第33条 法人は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは匿名加工情報の作成において行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
(安全管理措置等)
第34条 法人は、匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を講じ、かつ、当該措置の内容を公表するものとする。
第8章 雑 則
(関係法令の適用)
第35条 この規程に定めのない事項及びこの規程の解釈適用は、「
個人情報の保護に関する法律」(平成15年法律第57号)、その他の関係法令に従う。
(事務処理)
第36条 この規程に関する事務は、経営企画部危機管理室リスク管理統括課が担当する。
(改 廃)
第37条 この規程の改廃は、理事会が行う。
付 則
この規程は、平成17年11月21日に制定し、平成17年11月21日から施行する。
付 則
この規程は、平成19年3月20日に組織変更にかかる別表を改正し、平成19年4月1日から施行する。
付 則
この規程は、平成20年4月25日に組織変更に伴い改正し、平成20年4月1日から施行する。
付 則
この規程は、平成22年1月29日に組織変更等に伴い改正し、平成21年4月1日から施行する。
付 則
この規程は、平成22年3月26日に組織変更に伴い改正し、平成22年4月1日から施行する。
付 則
この規程は、平成22年9月24日に組織変更に伴い別表を改正し、平成22年7月1日から施行する。
付 則
この規程は、平成23年4月1日に組織の名称変更に伴い一部改正し、平成23年4月1日から施行する。
付 則
この規程は、平成24年9月28日に課の名称変更に伴い一部改正し、平成24年4月1日から施行する。
付 則
この規程は、平成27年12月18日にマイナンバー法の施行に伴い一部改正し、平成28年1月1日から施行する。
付 則
この規程は、平成28年4月22日に事務組織変更に伴い一部改正し、平成28年4月1日に遡り施行する。
付 則
この規程は、平成29年3月24日に事務組織変更に伴い一部改正し、平成29年4月1日から施行する。
付 則
この規程は、平成31年4月26日に事務組織変更に伴い一部改正し、平成31年4月1日に遡り施行する。
付 則
この規程は、令和3年4月30日に事務組織変更に伴い一部改正し、令和3年4月1日に遡り施行する。
付 則
この規程は、令和3年12月24日に改正
個人情報の保護に関する法律及び事務組織変更に伴い、目的、定義、要配慮個人情報の取得、個人データの管理、第三者への提供等について改正し、令和4年4月1日から施行する。
別表(第10条第6項関係)
| 区分 | 個人情報保護管理責任者 | 個人データ取扱責任者 |
| 法人 | 監査室 | 監査課 | 室長 | 課長 |
| 経営管理部 | 総務課 | 部長 | 課長 |
| 星稜こども園 | 管理責任者 | 教頭 |
| 財務課 | 部長 | 課長 |
| 経営企画部 | 経営企画課 | 部長 | 課長 |
| 人事課 | 部長 | 課長 |
| 危機管理室 | リスク管理統括課 | 室長 | 課長 |
| 広報課 | 室長 | 課長 |
| 情報システム部 | システム統括課 | 部長 | 課長 |
| ICT企画支援課 | 部長 | 課長 |
| 大学・短期大学部 | 大学院 | 研究科長 | 兼務 |
| 経済学部 | 学部長 | 学科長 |
| 人間科学部 | 学部長 | 学科長 |
| 人文学部 | 学部長 | 学科長 |
| 教養教育部 | 学部長 | 学科長 |
| 短期大学部 | 学科長 | 兼務 |
| 事務局 | 庶務課 | 事務局長 | 課長 |
| 教務課 | 課長 |
| 学生支援課 | 課長 |
| 国際交流課 | 課長 |
| 入学課 | 課長 |
| 進路支援課 | 課長 |
| エクステンション課 | 課長 |
| 図書課 | 課長 |
| 金沢星稜大学総合研究所 | 課長 |
| 金沢星稜大学地域連携センター | 課長 |
| 高校・中学 | 高等学校 | 校長 | 教頭 |
| 中学校 | 校長 | 教頭 |
| 事務室 | 事務長 | 課長 |
| 幼稚園 | 大学附属星稜幼稚園 | 園長 | 教頭 |
| 大学附属星稜泉野幼稚園 | 園長 | 教頭 |
(別紙)