2005年4月13日
規程第637号

第1章 総則

(目的)
第1条 この規程は、学校法人立命館プライバシーポリシーにもとづき、本法人および本法人が設置する学校が取り扱う個人情報に関し必要な事項を定めることにより、本法人および本法人が設置する学校の事務および事業の適正かつ円滑な運営を図り、ならびに個人情報の適正かつ効果的な活用が本法人および本法人が設置する学校の教育、研究等の質の向上に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

(定義)
第2条 この規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1) 個人情報
イ 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等(文書、図画もしくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。以下同じ。)に記載され、もしくは記録され、または音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
ロ 個人識別符号が含まれるものをいう。
(2) 個人識別符号
次の各号のいずれかに該当する文字、番号、記号その他の符号のうち個人情報の保護に関する法律施行令(以下「政令」という。)第1条で定めるものをいう。
イ 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるものをいう。
ロ 個人に提供される役務の利用もしくは個人に販売される商品の購入に関し割り当てられ、または個人に発行されるカードその他の書類に記載され、もしくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者もしくは購入者または発行を受ける者ごとに異なるものとなるように割り当てられ、または記載され、もしくは記録されることにより、特定の利用者もしくは購入者または発行を受ける者を識別することができるもの
(3) 要配慮個人情報
個人情報のうち、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令第2条で定める記述等が含まれる個人情報をいう。
(4) 仮名加工情報
次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
イ 第1号イに該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
ロ 第1号ロに該当する個人情報 当該個人情報に含まれる個人情報識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
(5) 匿名加工情報
次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該情報を復元することできないようにしたものをいう。
イ 第1号イに該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
ロ 第1号ロに該当する個人情報 当該個人情報に含まれる個人情報識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
(6) 個人情報データベース等
個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利を害するおそれが少ないものとして政令第4条第1項で定めるものを除く。)をいう。
イ 特定の個人情報を電子計算機を用いて検索することができるよう体系的に構成したもの。
ロ 前イに掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして、政令第4条第2項で定めるもの。
(7) 個人データ
個人情報データベース等を構成する個人情報をいう。
(8) 保有個人データ
本法人が開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。
(9) 本人
個人情報によって識別される特定の個人をいう。
(10) 学生等
本法人が設置する学校の学生、生徒および児童であって、現在在籍する者または過去に在籍した者をいう。
(11) 教職員等
本法人の役員および本法人と雇用関係にある者またはあった者をいい、教職員の指示を受けて業務に従事する学生、派遣労働者等を含む。
(12) 業務
本法人の教育研究活動および学校法人立命館館則施行細則第4条、第5条および第6条に定める業務内容をいう。
(13) 部課
学校法人立命館館則および学校法人立命館館則施行細則に定める部、課等の組織をいう。
(14) 学術研究機関等
大学その他の学術研究を目的とする機関もしくは団体またはそれらに属する者をいう。

第2章 本法人の責務

(責務)
第3条 本法人は、個人情報の重要性を認識するとともに、個人情報が個人の人格尊重の理念の下に慎重に取り扱われるべきものであることに鑑み、その適正な取扱いについて必要な措置を講じなければならない。
2 教職員等が、個人情報を取得し利用する場合または第三者に提供する場合は、この規程に従わなければならない。
3 教職員等は、業務上知り得た個人情報を、業務以外の目的で他人に漏らしてはならない。
4 教職員等は、個人情報データベース等を不正に利用してはならない。

第3章 個人情報法保護に関する体制

第1節 個人情報保護委員会の設置等
(個人情報保護委員会の設置)
第4条 この規程の目的を達成するために、常任理事会の下に学校法人立命館個人情報保護委員会(以下「委員会」という。)を置く。
2 委員会は、常任理事会に対し、第5条第1項に定める事項に関し、委員会での決定事項について、速やかに報告をしなければならない。
3 委員会の運営に関する事項は、委員会において定める。
4 委員会の事務は、総務部総務課が行う。

(委員会の権限)
第5条 委員会の任務は、次のとおりとする。
(1) 個人情報の保護に関する重要事項の審議および決定
(2) この規程の施行に必要な細則等の制定および改廃
(3) 本法人および本法人が設置する学校が取り扱う個人情報の取扱い状況の掌握
(4) その他委員会が必要と判断した事項
2 本法人が設置する学校が個人情報の保護に関する委員会(以下「各学校の委員会」という。)を設置した場合は、当該学校の学生等および教職員等に関する個人情報の取扱いについては、学校法人立命館個人情報保護委員会が有する権限を各学校の委員会に委譲することができる。

(委員会の構成)
第6条 委員会は、次の各号に定める委員をもって構成する。
(1) 委員長 個人情報統括管理責任者
(2) 委員
個人情報学校管理責任者
立命館大学教学部長
立命館アジア太平洋大学教学部長
立命館大学研究部長
立命館アジア太平洋大学研究部長
立命館大学学生部長
立命館アジア太平洋大学学生部長
一貫教育部長
法務コンプライアンス室長
人事部長
立命館大学教学部事務部長
立命館大学研究部事務部長
一貫教育部事務部長
情報システム部長
教育・研究DX推進室長
その他委員長が委嘱する者 若干名
2 委員会は、必要があると認める場合は、委員以外の者を会議に出席させて意見を求めることができる。

第2節 個人情報保護の管理体制
(個人情報管理責任者の設置)
第7条 この規程の目的を達成するために、次に掲げる個人情報管理責任者を置く。
(1) 個人情報統括管理責任者
(2) 個人情報学校管理責任者
(3) 個人情報取扱責任者

(個人情報統括管理責任者)
第8条 個人情報統括管理責任者は、常務理事(総務担当)をもって充てる。
2 個人情報統括管理責任者は、本法人の個人情報保護に関する権限と責任を有し、法人における個人情報の保護に関する一切の業務を統括する。
3 個人情報統括管理責任者は、自己を補佐し、不在の場合はその職務を代行する個人情報統括管理責任者補佐を選任することができる。

(個人情報学校管理責任者)
第9条 個人情報学校管理責任者は、本法人および立命館大学にあっては総務部長、立命館アジア太平洋大学にあってはAPU事務局長、各附属校にあっては各校長をもって充てる。
2 個人情報学校管理責任者は、次の各号に掲げる業務を管理する。
(1) 個人情報の漏えい、滅失、毀損の防止その他の個人情報の安全管理のために必要な措置
(2) 個人データを取り扱う教職員等の教育および研修
(3) 保有個人データの開示、訂正等の請求に対する適正な処理
3 個人情報学校管理責任者は、自己を補佐し、不在の場合はその職務を代行する個人情報学校管理責任者補佐を選任することができる。

(個人情報取扱責任者)
第10条 個人情報取扱責任者は、各課長または事務長をもって充てる。
2 個人情報取扱責任者は、所管する業務の個人情報に関する規程および手順の制定および改廃を行い、所属の教職員等に対して周知するとともに、個人情報の適正な取扱いについての指導と確認を行う。
3 個人情報取扱責任者は、所管または関与する業務の個人情報の漏えい、滅失もしくは毀損の発生またはその兆候、もしくは法令もしくは本規程その他の規程に違反する行為の発生またはその兆候を把握した場合は、本節の定めに従い、適切に対処する。

(大学および附属校の授業運営等における個人情報の管理)
第11条 前条の規定にかかわらず、大学および附属校において、授業運営に関わる資料、レポート、答案、論文およびその他教育活動の遂行に必要な場合、各授業担当者を当該教員が保有する個人情報の管理者とする。この場合、当該教員は、定められた個人情報の管理方法等にもとづき、個人情報を適切に取り扱わなければならない。

第3節 学術研究目的の用に供する個人情報保護の体制
(学術研究目的における個人情報の管理)
第12条 前条の規定にかかわらず、大学および附属校において、学術研究目的で個人情報が必要な場合、各教員を当該教員が保有する個人情報の管理者とする。この場合、当該教員は、定められた個人情報の管理方法等にもとづき、個人情報を適切に取り扱わなければならない。

第4章 個人情報の取扱い

第1節 個人情報保護に関する取扱い
(利用目的の特定)
第13条 本法人は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 本法人は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(利用目的による制限)
第14条 本法人は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 本法人は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前2項の規定は、次に掲げる場合については、適用しない。
(1) 法令にもとづく場合
(2) 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 本法人が、個人情報を学術研究の用に供する目的(以下「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6) 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
4 本法人が設置する学校の入学試験または教職員採用審査の目的で取得した個人情報については、同目的のほか調査、統計等に利用する目的の範囲内において取り扱う。

(不適正な利用の禁止)
第15条 本法人は、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない。

(適正な取得)
第16条 本法人は、偽りその他不正の手段により個人情報を取得してはならない。
2 本法人は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
(1) 法令にもとづく場合
(2) 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6) 学術研究機関等から要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(本法人と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
(7) 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、個人情報の保護に関する法律(以下「法」という。)第57条各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
(8) その他前各号に掲げる場合に準ずるものとして政令第7条で定める場合

(取得に際しての利用目的の通知等)
第17条 本法人は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知し、または公表しなければならない。
2 本法人は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体または財産の保護のために緊急に必要がある場合は、この限りでない。
3 本法人は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、または公表しなければならない。
4 前3項の規定は、次に掲げる場合については、適用しない。
(1) 利用目的を本人に通知し、または公表することにより本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、または公表することにより本法人の権利または正当な利益を害するおそれがある場合
(3) 国の機関または地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、または公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(4) 取得の状況からみて利用目的が明らかであると認められる場合

(委託先の監督)
第18条 個人情報取扱責任者は、個人データの処理を行う業務の一部または全部を委託する場合は、委託した個人データの安全管理が図られるよう、受託者に対する必要かつ適切な監督を行わなければならない。
2 個人情報取扱責任者は、受託者と委託契約を締結するに際して、次の各号に掲げる事項を当該契約書に記載しなければならない。ただし、契約書に記載できないやむを得ない事情がある場合はこの限りでない。
(1) 個人データの機密保持に関する事項
(2) 個人データの目的外利用および第三者への提供の禁止に関する事項
(3) 再委託の禁止または再委託した際の個人情報の機密保持等に関する事項
(4) 必要不可欠な限度を超えた個人データの加工、利用、複写および複製の禁止に関する事項
(5) 委託契約終了後の個人データの返却または廃棄に関する事項
(6) 事故発生時における報告義務に関する事項
(7) 損害賠償義務に関する事項
3 個人情報取扱責任者は、締結した契約の概要を、適宜の際に個人情報学校管理責任者に報告するものとする。

(漏えい等の発生した場合の措置)
第19条 教職員等は、個人情報の漏えい、紛失、毀損および改ざん(以下「漏えい等」という。)が発生し、またはその発生が疑われるときは、その事実について速やかに個人情報学校管理責任者に報告しなければならない。
2 個人情報学校管理責任者は、漏えい等が発生し、またはその発生が疑われるとの報告があった場合は、その事実について速やかに調査し、個人情報統括管理責任者に報告しなければならない。
3 前項の報告を受けた個人情報統括管理責任者は、速やかに必要な措置をとるとともに、その内容について委員会に報告しなければならない。

(漏えい等の報告等)
第20条 個人情報統括管理責任者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、本法人が、他の個人情報取扱事業者から当該個人データの取扱いの全部または一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。
2 前項に規定する場合には、個人情報統括管理責任者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

(第三者提供の制限)
第21条 本法人は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(1) 法令にもとづく場合
(2) 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 個人データの提供が学術研究の成果の公表または教授のためやむを得ないとき(個人情報の権利利益を不当に害するおそれがある場合を除く。)。
(6) 個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(本法人と当該第三者が共同して学術研究を行う場合に限る。)。
(7) 提供先の第三者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
2 次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。
(1) 本法人が利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託することに伴って当該個人データが提供される場合
(2) 合併その他の事由による事業の承継に伴って個人データが提供される場合
(3) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨ならびに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的ならびに当該個人データの管理について責任を有する者の氏名または名称および住所ならびに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置いているとき。
3 本法人は、前項第3号に規定する個人データの管理について責任を有する者の氏名、名称もしくは住所または法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的または当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、または本人が容易に知り得る状態に置かなければならない。
4 本法人は、個人データを第三者に提供する場合は、次の事項に留意して当該第三者との契約を締結しなければならない。ただし、契約を締結できない、または契約書に次の事項を記載できないやむを得ない事情がある場合はこの限りでない。
(1) 提供先において、提供された個人データをあらかじめ定めた利用目的以外に流用せず、また、当該個人データを開示または漏洩し、あるいは盗用してはならないこと。
(2) 当該個人データの再提供を行うにあたっては、あらかじめ書面によって個人情報学校管理責任者の了承を得ること。
(3) 提供先における保管期間等を明確化すること。
(4) 利用目的達成後の個人データの返却または提供先における破棄もしくは削除が適切かつ確実になされること。
(5) 提供先における個人データの複写および複製(安全管理上必要なバックアップを目的とするものを除く。)を禁止すること。
5 個人情報取扱責任者は、特定の者と個人データを共同利用する場合には、事前に個人情報統括管理責任者の承認を得なければならない。

(外国にある第三者への提供の制限)
第22条 本法人は、外国(本邦の域外にある国または地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについて法第17条から法第40条までの規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第3項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項および次項ならびに同号において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
2 本法人は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
3 本法人は、個人データを外国にある第三者(第1項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

(第三者提供に係る記録の作成等)
第23条 個人情報取扱責任者は、個人データを第三者(次の各号に掲げる者を除く。以下この条および次条において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名または名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第21条第1項各号または第2項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第21条第1項各号のいずれか)に該当する場合は、この限りでない。
(1) 国の機関
(2) 地方公共団体
(3) 独立行政法人等
(4) 地方独立行政法人
2 個人情報取扱責任者は、前項の記録を、当該記録を作成した日から、個人情報保護委員会規則が定める期間保存しなければならない。

(第三者提供を受ける際の確認等)
第24条 個人情報取扱責任者は、第三者から個人データの提供を受けるときは、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第21条第1項各号または第2項各号のいずれかに該当する場合は、この限りでない。
(1) 当該第三者の氏名または名称および住所ならびに法人にあっては、その代表者の氏名
(2) 当該第三者による当該個人データの取得の経緯
2 個人情報取扱責任者は、前項の規定による確認を行ったときは、当該個人データの提供を受けた年月日、当該確認に係る事項その他個人情報保護委員会規則で定める事項に関する記録を作成し、保管しなければならない。
3 個人情報取扱責任者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

第2節 個人情報の安全管理措置
第1款 総則
(個人データの適正管理)
第25条 個人情報学校管理責任者は、個人データの安全管理および正確性を堅持するために、次の各号に掲げる事項について適切な措置を講じなければならない。
(1) 個人データの改ざん、漏えい、紛失または毀損を防止すること。
(2) 利用目的の達成に必要な範囲において、個人データを正確かつ最新の内容に保つこと。
(3) 個人データの取扱状況を確認するための手段を整備すること。
(4) 保有する必要がなくなった情報について、速やかに廃棄または消去すること。

(個人情報の持出および複写制限)
第26条 教職員等は、個人情報を学外に持ち出してはならない。ただし、次の各号に該当する場合は、この限りでない。
(1) 個人情報取扱責任者が許可した場合
(2) 個人情報を使用する業務を個人情報の保護に関して必要な事項を約定して外部に委託する場合
2 前項第1号の場合において、個人情報を取り扱う者は、外部への漏えいを防止するための必要かつ十分な措置を講じなければならない。
3 教職員等は、個人情報取扱責任者の許可なく個人情報を複写してはならない。

(個人データの安全管理)
第27条 本法人は、その取り扱う個人データの漏えい、滅失または毀損の防止その他の個人データの安全管理のために、本節第2款から第5款までに定める措置を講ずる。

(規程にもとづく運用状況の確認)
第28条 本法人は、個人データの取扱いに係るこの規程にもとづく運用状況を確認するため、システムログまたは取扱記録を作成する。

(取扱状況を確認する手段の整備)
第29条 本法人は、個人データの取扱状況を確認するための手段を整備する。

(教職員の義務)
第30条 本法人の教職員または教職員であった者は、業務上知り得た個人情報の内容をみだりに他人に開示、漏えいし、または、法令もしくは本規程その他学内規程に違反する目的、方法による利用をしてはならない。
2 個人情報の漏えい、滅失もしくは毀損の発生またはその兆候を把握した教職員は、できるだけ速やかに、その旨を個人情報統括管理責任者に報告する。
3 法令もしくは本規程その他学内規程に違反している事実またはその兆候を把握した教職員は、できるだけ速やかに、その旨を個人情報統括管理責任者に報告する。

(情報漏えい等事案に対応する体制の整備)
第31条 本法人は、個人データの漏えい、滅失もしくは毀損の発生またはその兆候を把握した場合、適切かつ迅速に対応するための体制を整備する。

(取扱状況の把握および安全管理措置の見直し)
第32条 個人情報取扱責任者は、個人データの取扱状況について、1年に1回以上の頻度で点検および確認を行って把握し、安全管理措置の評価、見直しおよび改善に取り組む。

第2款 組織的安全管理措置および人的安全管理措置
(組織の構築)
第33条 本法人は、個人データの安全な管理のため、第3章に定める組織体制を構築する。

(教職員の監督・教育)
第34条 本法人は、教職員に個人データを取り扱わせるにあたっては、当該個人データの安全管理が図られるよう、当該教職員に対する必要かつ適切な監督を行うものとし、個人データの適正な取扱いを周知徹底するとともに適切な教育を行う。

第3款 物理的安全管理措置
(機器および電子媒体等の盗難等の防止)
第35条 本法人は、個人データを取り扱う機器、個人データが記録された電子媒体および個人データが記載された書類等の盗難または紛失等を防止するために、物理的な安全管理措置を講ずる。

(電子媒体等を持ち運ぶ場合の漏えい等の防止)
第36条 個人データが記録された電子媒体または個人データが記載された書類等を持ち運ぶ場合、容易に個人データが判明しないよう、安全な方策を講ずる。

第4款 技術的安全管理措置
(アクセス制御)
第37条 本法人は、情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、事務取扱担当者および取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行う。

(アクセス者の識別と認証)
第38条 本法人は、個人データを取り扱う情報システムにおいて、個人データを取り扱う事務の担当者が正当なアクセス権を有する者であることを、知識情報、所持情報等を用いて認証するための措置を講じる。

(不正アクセス等の防止)
第39条 本法人は、個人データを取り扱う情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護するための措置を講じ、適切に運用する。

(情報漏えい等の防止)
第40条 本法人は、情報システムの使用に伴う個人データの漏えい、滅失または毀損を防止するための措置を講じ、適切に運用する。

第5款 外的環境の把握
(外的環境の把握)
第41条 本法人は、外国において個人データを取り扱う場合は、当該外国の個人情報の保護に関する制度等を把握したうえで、個人データの安全管理のために必要かつ適切な措置を講じ、適切に運用する。

第5章 仮名加工情報および匿名加工情報の作成

第1節 仮名加工情報の作成
(仮名加工情報の作成等)
第42条 個人情報取扱責任者は、仮名加工情報を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工し、または加工させなければならない。
2 個人情報取扱責任者は、仮名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等および個人識別符号ならびに前項の規定により行った加工の方法に関する情報(以下「削除情報等」という。)の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じ、または講じさせなければならない。
3 個人情報取扱責任者は、仮名加工情報を作成したときは、法令にもとづく場合を除くほか、特定された利用目的の達成に必要な範囲を超えて、仮名加工情報を取り扱い、または取り扱わせてはならない。
4 個人情報取扱責任者は、仮名加工情報を作成したときは、法令にもとづく場合を除くほか、仮名加工情報を第三者に提供し、または提供させてはならない。
5 個人情報取扱責任者は、仮名加工情報を作成して自ら当該仮名加工情報を取り扱うにあたっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合し、または照合させてはならない。
6 個人情報取扱責任者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便もしくは一般信書便事業者もしくは特定信書便事業者による信書便 により送付し、電報を送達し、ファクシミリ装置もしくは電磁的方法を用いて送信し、または住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用し、または利用させてはならない。
7 個人情報取扱責任者は、仮名加工情報を利用する必要がなくなったときは、当該仮名加工情報および削除情報等を遅滞なく消去するよう努め、または努めさせなければならない。
8 個人情報取扱責任者は、仮名加工情報を作成したときは、当該仮名加工情報の安全管理のために必要かつ適切な措置、当該仮名加工情報の作成その他の取扱いに関する苦情の処理その他の当該仮名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努め、または努めさせなければならない。

第2節 匿名加工情報の作成
(匿名加工情報の作成等)
第43条 個人情報取扱責任者は、匿名加工情報を作成するときは、特定の個人を識別することおよびその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工し、または加工させなければならない。
2 個人情報取扱責任者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等および個人識別符号ならびに前項の規定により行った加工の方法に関する情報の漏洩を防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じ、または講じさせなければならない。
3 個人情報取扱責任者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表し、または公表させなければならない。
4 個人情報取扱責任者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目およびその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が 匿名加工情報である旨を明示し、または明示させなければならない。
5 個人情報取扱責任者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うにあたっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合し、または照合させてはならない。
6 個人情報取扱責任者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努め、または努めさせなければならない。

第6章 公表、開示、訂正、利用停止等

(保有個人データに関する事項の公表等)
第44条 個人情報学校管理責任者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
(1) 本法人の名称および住所ならびに代表者の氏名
(2) 全ての保有個人データの利用目的(第17条第4項第1号から第3号までに該当する場合を除く。)
(3) 次に掲げる請求等に応じる手続(手数料の額を定めたときは、その手数料の額を含む。)
① 本条第3項の規定による利用目的の通知の求め
② 第45条第1項の規定による開示の請求
③ 第46条第1項の規定による訂正等の請求
④ 第47条第1項および第5項の規定による利用停止等の請求
⑤ 第47条第3項および第5項の規定による第三者提供の停止の請求
(4) 保有個人データの取扱いに関する苦情相談の受付部署
(5) 前4号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
2 公表は、掲示、印刷物の配布または本法人のウェブサイトへの掲載をもって行う。
3 個人情報学校管理責任者は、学生等または教職員等から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
(1) 第1項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
(2) 第17条第4項第1号から第3号までに該当する場合
4 個人情報学校管理責任者は、前項の規定にもとづき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

(開示)
第45条 学生等および教職員等は、個人情報学校管理責任者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。
2 個人情報学校管理責任者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部または一部を開示しないことができる。
(1) 本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 本法人の業務の適正な執行に著しい支障を及ぼすおそれがある場合
(3) 他の法令に違反することとなる場合
3 個人情報学校管理責任者は、第1項の規定による開示請求に係る保有個人データの全部または一部について、開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、または同項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。
4 他の法令の規定により、本人に対し第2項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部または一部を開示することとされている場合には、当該全部または一部の保有個人データについては、第1項および第2項の規定は、適用しない。
5 第1項から第3項までの規定は、当該本人が識別される個人データに係る第23条第1項および第24条第2項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。)について準用する。

(訂正等)
第46条 学生等および教職員等は、当該保有個人データの個人情報学校管理責任者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加または削除(以下この条において「訂正等」という。)を請求することができる。
2 個人情報学校管理責任者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果にもとづき、当該保有個人データの内容の訂正等を行わなければならない。
3 個人情報学校管理責任者は、第1項の規定による請求に係る保有個人データの内容の全部もしくは一部について訂正等を行ったとき、または訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。

(利用停止等)
第47条 学生および教職員等は、個人情報学校管理責任者に対し、当該本人が識別される保有個人データが第14条もしくは第15条の規定に違反して取り扱われているとき、または第16条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止または消去(以下この条において「利用停止等」という。)を請求することができる。
2 個人情報学校管理責任者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な範囲で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3 学生等および教職員等は   

、個人情報学校管理責任者に対し、当該本人が識別される保有個人データが第21条第1項または第22条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
4 個人情報学校管理責任者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
5 学生等および教職員等は、個人情報学校管理責任者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第20条第1項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利または正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等または第三者への提供の停止を請求することができる。
6 個人情報学校管理責任者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等または第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等または第三者への提供の停止に多額の費用を要する場合その他の利用停止等または第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
7 個人情報学校管理責任者は、第1項もしくは第5項の規定による請求に係る保有個人データの全部もしくは一部について利用停止等を行ったとき、もしくは利用停止等を行わない旨の決定をしたとき、または第3項もしくは第5項の規定による請求に係る保有個人データの全部もしくは一部について第三者への提供を停止したとき、もしくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

(理由の説明)
第48条 個人情報学校管理責任者は、第44条第4項、第45条第3項(同条第5項において準用する場合を含む。)、第46条第3項または前条第7項の規定により、本人から求められ、または請求された措置の全部または一部について、その措置をとらない旨を通知する場合またはその措置と異なる措置をとる旨を通知する場合には、本人に対し、その理由を説明するよう努めなければならない。

(手数料)
第49条 学生等および教職員等は、第44条第3項の規定による利用目的の通知を求めるとき、または第45条第1項の規定による開示の請求を行うときは、情報1件につき300円の事務手数料および開示等の実施に関わる実費相当額の手数料を収めなければならない。

第7章 不服の申立て等

(不服の申立ての手続)
第50条 学生等および教職員等は、この規程にもとづく開示、訂正等または利用停止等の請求に対してなされた措置に不服がある場合は、不服申立審査会(以下「審査会」という。)に対して書面によって不服を申し立てることができる。
2 審査会は、前項の規定により不服申立てを受けた場合は、速やかに調査および審議をしなければならない。
3 審査会は、不服申立てによる調査および審議に際して必要があると判断した場合は、不服申立人または当該個人情報学校管理責任者などの関係者から意見聴取をすることができる。
4 審査会は、不服申立てに理由があると判断した場合は、当該個人情報学校管理責任者に対して、開示、訂正等または利用停止等の勧告を行うことができる。
5 審査会は、審議の結果を書面により不服申立人に通知しなければならない。

(審査会)
第51条 前条の審査会は、次の各号により常務理事(総務担当)が指名する委員により構成する。
(1) 常務理事(総務担当)
(2) 外部有識者 若干名
(3) 雇用期間の定めのない教職員 若干名
2 審査会の委員長および副委員長は、委員の互選で決定する。

(苦情の処理)
第52条 個人情報学校管理責任者は、本法人における個人情報の取扱いについて苦情の申立てを受けた場合は、速やかに個人情報統括管理責任者に報告しなければならない。
2 個人情報統括管理責任者は、前項の規定による報告を受けた場合は、適正かつ迅速な処理に努めなければならない。

第8章 罰則

(罰則)
第53条 教職員等がこの規程に定めた責務に違反した場合は、懲戒することができる。学生等については当該学生が所属する学校の規定による。

第9章 改廃

(改廃)
第54条 この規程の改廃は、委員会の審議を経て常任理事会が行う。

附 則(2024年3月14日安全管理措置および個人情報の利活用に関する条項の追加等に伴う全部改正)
この規程は、2024年3月14日から施行する。

ページトップへ