(目的)
第1条 この規程は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)に則り、学校法人茨城キリスト教学園(以下「本学園」という。)が保有する個人情報の取扱いに関し必要な事項を定めることにより、個人情報の適正な取得、利用、管理および保存を図り、もって本学園における個人の権利利益の保護に資することを目的とする。
2 「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号)における個人番号および特定個人情報の取扱いについては、別に定める。
(適用範囲)
第2条 この規程は、学内外を問わず、教職員等(第3条第1号で定義する教職員等をいう。)が業務として個人情報を取り扱う場合に適用される。
(定義)
第3条 この規程において、次の各号に掲げる用語の定義は、当該各号に定めるところによる。
(1)教職員等
本学園に従事する全ての役員、評議員、教員および職員(学生アルバイトを含む。)をいう。
(2)個人情報
生存する個人(役員、評議員、教員、職員、学生、生徒、園児、保護者、卒業生等、現在および過去に本学園が関わった者すべてを含む。)に関する情報であって、次のいずれかに該当するものをいう。
ア 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画もしくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識する事ができない方式をいう。次号イにおいて同じ。)で作られる記録をいう。)に記載され、もしくは記録され、または音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの。)
イ 個人識別符号が含まれるもの
(3)個人識別符号
次のいずれかに該当する文字、番号、記号その他の符号のうち、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「政令」という。)で定めるものをいう。
ア 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
イ 個人に提供される役務の利用もしくは個人に販売される商品の購入に関し割り当てられ、または個人に発行されるカードその他の書類に記載され、もしくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者もしくは購入者または発行を受ける者ごとに異なるものとなるように割り当てられ、または記載され、もしくは記録されることにより、特定の利用者もしくは購入者または発行を受ける者を識別することができるもの
(4)要配慮個人情報
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪による被害の事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
(5)個人情報データベース等
個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
ア 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
イ 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
(6)個人データ
個人情報データベース等を構成する個人情報をいう。
(7)保有個人データ
本学園が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データをいう。ただし、次のいずれかに該当するものを除く。
ア 当該個人データの存否が明らかになることにより、本人または第三者の生命、身体または財産に危害が及ぶおそれがあるもの
イ 当該個人データの存否が明らかになることにより、違法または不当な行為を助長し、または誘発するおそれがあるもの
ウ 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれまたは他国もしくは国際機関との交渉上不利益を被るおそれがあるもの
エ 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
(8)「仮名加工情報」とは、当該個人情報に含まれる記述等の一部を削除したり個人識別符号の全部を削除することにより他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
(9)「匿名加工情報」とは、特定の個人を識別することができないように個人情報に含まれる記述の一部を削除したり個人識別符号の全部を削除したりして得られる個人に関する情報であって、当該個人情報を復元できないようにしたものをいう。
(10)「学術研究機関等」とは、大学その他の学術研究を目的とする機関もしくは団体またはそれらの属する者をいう。
(11)本人
個人情報によって識別される特定の個人をいう。
(教職員等の責務)
第4条 教職員等は、この規程その他本学園の諸規定を遵守し、個人情報を保護する責務を負う。
2 教職員等は、職務等により知り得た個人情報を、故意または過失により漏えいし、滅失しもしくは毀損し、または不当な目的に利用してはならない。その職を退いた後においても同様とする。
(学術研究における適用除外)
第5条 本学園は、学術研究目的で行う個人情報の取扱いについて、この規程を遵守するとともに、その適正を確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
2 本規程は、本学園が学術研究の目的で個人情報および個人データを取り扱う場合で、さらに個人の権利利益を不当に侵害するおそれがある場合を除き、次の各号の内容には適用しない。
(1)あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる場合として次に掲げるもの(第8条第1項、2項の例外)
ア 本学園が個人情報を学術研究目的で取り扱う必要があるとき。
イ 学術研究機関等に個人データを提供し、さらに、当該学術研究機関等が学術研究目的で取り扱う必要があるとき。
(2)あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる場合として次に掲げるもの(第9条の例外)
ア 本学園が要配慮個人情報を学術研究目的で取り扱う必要があるとき。
イ 本学園と共同して学術研究を行う学術研究機関等から要配慮個人情報を取得する場合で、さらに学術研究目的で取得する必要があるとき。
(3)あらかじめ本人の同意を得ることなく、個人データを第三者に提供することができる場合として次に掲げるもの(第20条第1項の例外)
ア 個人データの提供が学術研究の成果の公表または教授のためやむを得ないとき。
イ 本学園と共同して学術研究を行う学術研究機関等へ個人データを提供する必要があるとき。
ウ 当該第三者が学術研究機関等である場合、個人データを学術目的で取り扱う必要があるとき。
(適正取得・適正利用)
第6条 本学園は、適法かつ相当な手段により個人情報を取得しなければならない。
2 本学園は、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない。
(利用目的の特定、通知または公表)
第7条 本学園において、個人情報の取扱いは、本学園の業務を遂行するため必要な場合に限るものとし、その利用の目的(以下「利用目的」という。)は、本人が理解できるようにできるだけ具体的に特定しなければならない。
2 本学園は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知または公表しなければならない。
3 前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体または財産の保護のために緊急に必要がある場合は、取得後速やかにその利用目的を本人に通知し、または公表する。
4 前2項の規定は、次に掲げる場合については、適用しない。
(1)利用目的を本人に通知し、または公表することにより、本人もしくは第三者の生命、身体、財産その他の権利利益を害するおそれがある場合、または本学園の権利もしくは正当な利益を害するおそれがある場合
(2)国の機関または地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、または公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(3)取得の状況からみて利用目的が明らかであると認められる場合
(利用目的の制限および変更)
第8条 取得した個人情報は、特定した利用目的の範囲内で利用しなければならない。
2 利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲内で行い、変更された利用目的については、前条第4項各号に該当する場合を除き、本人に通知し、または公表しなければならない。
3 前2項の規定による利用目的の範囲を超えて、他の目的で利用する場合は、次に掲げる場合を除き、あらかじめ本人の同意を得なければならない。
(1)法令に基づく場合
(2)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(要配慮個人情報の取得)
第9条 要配慮個人情報を取得するときには、次に掲げる場合を除き、あらかじめ本人の同意を得なければならない。
(1)前条第3項各号に該当する場合
(2)当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等により公開されている場合
(3)本人を目視し、または撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
(4)第20条第4項各号に該当する場合において、要配慮個人情報の提供を受けるとき。
(適正管理)
第10条 本学園は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
2 本学園は、取り扱う個人データの漏えい、滅失または毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(個人情報保護管理者)
第11条 本学園に、個人情報の保護・管理に関する責任を担う個人情報保護管理者(以下「管理者」という。)を置き、本学園の大学に関しては学長、中学校および高等学校に関しては校長、認定こども園に関しては園長、法人事務局に関しては事務局長をもって充てる。
2 管理者は、所管する部局における個人データを総括的に管理するとともに、各部局で個人情報を取り扱う者(以下「取扱担当者」という。)に対し、当該個人情報の安全管理が図られるよう、必要かつ適切な監督を行わなければならない。
(内部監査)
第12条 監査室は、個人データを取り扱う部署における個人情報の取得・利用・保管・管理等の状況について、定期または随時に監査を行い、その結果を管理者に報告する。管理者は、その報告に基づき、安全管理措置等の見直しおよび改善に取り組むものとする。
(個人情報保護委員会)
第13条 個人情報の保護を適正に行うため、本学園に個人情報保護委員会(以下「委員会」という。)を置く。
2 委員会は、次に掲げる者をもって構成する。
(1)管理者
(2)監査室長
(3)情報センター長
3 委員会の委員長は、事務局長をもって充て、委員長が招集および議事の進行を行う。委員長は、必要に応じ関係者を出席させ、意見を聴くことができる。
4 委員会は、次に掲げる事項について審議する。
(1)個人情報の保護・取扱・安全管理等に関する全学園的な施策に関する事項
(2)新たなリスクに対応するための個人情報の安全管理措置の評価、見直しおよび改善に向けた取組み
(3)保有個人データの開示、訂正、追加、削除、利用の停止もしくは消去の要求、利用目的の通知の請求または苦情の申出があった場合に、管理者から付議された事項
(4)その他個人情報保護のために必要な事項
5 委員会に関する事務は、法人事務局総務部総務課が行う。
(個人データの管理)
第14条 管理者は、所管する部局の保有する個人データを適正に管理するため、次の事項を記録した個人データ管理台帳を作成し、所管の事務室に備え置く。
(1)個人データベース等の名称
(2)個人データから識別される本人の属性等
(3)個人データの項目
(4)利用目的
(5)取扱部局および責任者
(6)個人データの保管期間
(7)その他必要な事項
2 各部局の取扱担当者は、個人データの取扱状況を確認するため、個人データの取扱記録簿を作成し、次の事項を記録しなければならない。
(1)個人情報データベース等の利用・出力状況
(2)個人データが記載または記録された書類・媒体等の持出し状況
(3)個人データ等の削除・破棄の状況(委託した場合の消去・廃棄を証明する記録を含む。)
(4)個人情報データベース等を情報システムで取り扱う場合、取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)
3 管理者は、定期的または臨時に個人データの管理状況および取扱状況を確認しなければならない。
(情報漏えいへの対応)
第15条 取扱担当者は、個人データの漏えい等が発生した場合またはそのおそれがある場合は、直ちに管理者に報告しなければならない。
2 前項の報告を受けた管理者は、理事長に報告するとともに、速やかに次の措置を講じなければならない。
(1)事実関係の調査および原因の究明
(2)影響範囲の特定
(3)影響を受ける可能性のある本人への連絡
(4)再発防止策の検討および実施
(5)事実関係および再発防止策等の公表
3 本学園は、個人データの漏えい等が発生し、個人の権利利害を害するおそれが大きいものとして次に掲げる事態が生じたときは、当該事態を知った後、速やかに個人情報保護委員会(内閣府外局)および文部科学省に報告しなければならない。
(1)要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下同じ。)の漏えい、滅失もしくは毀損
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態
(3)不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態
(4)個人データに係る本人の数が千人を超える漏えい等が発生し、または発生したおそれがある事態
4 前項の場合における報告事項は、次に掲げるものとする。
(1)概要
(2)漏えい等が発生し、または発生したおそれがある個人データの項目
(3)漏えい等が発生し、または発生したおそれがある個人データに係る本人の数
(4)原因
(5)二次被害またはそのおそれの有無およびその内容
(6)本人への対応の実施状況
(7)公表の実施状況
(8)再発防止のための措置
(9)その他参考となる事項
5 第3項の場合において、本学園は、当該事態を知った日から30日以内(当該事態が第3項第3号に定めるものである場合にあっては60日以内)に、当該事態に関する前項各号に定める事項を個人情報保護委員会(内閣府外局)に報告しなければならない。
6 本学園は、第3項に定める事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、本人に対し、第4項第1号、第2号、第4号、第5号および第9号に定める事項を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
(物理的・技術的安全管理措置)
第16条 入退室者による不正行為等の防止のための物理的安全管理措置および情報システムからの漏えい等の防止のための技術的安全管理措置については、別に定める。
(教育研修)
第17条 本学園は、個人情報の取扱いに従事する教職員等に対し、個人情報の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行わなければならない。
2 本学園は、教職員等に対し、当該部局等の現場における個人情報の適切な管理のための教育研修を実施しなければならない。
3 本学園は、個人情報を取り扱う情報システムの管理に関する業務に従事する教職員等に対し、個人情報の適切な管理のために、情報システムの管理、運用およびセキュリティ対策に関して必要な教育研修を行わなければならない。
4 管理者は、当該部局等の教職員等に対し、個人情報の適切な管理のために、前3項に規定する教育研修への参加の機会を付与する等の必要な措置を講じなければならない。
(委託)
第18条 本学園が利用目的の達成に必要な範囲内で、個人データの取扱いの全部または一部を外部業者等に委託する場合には、個人データを提供することができる。
2 前項の場合、本学園は、委託された当該個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならない。
3 前項の監督のため、本学園は、委託先の選定に当たって、委託先の業務・管理体制、規程整備等の状況の確認をし、個人データの安全管理措置が十分になされていることを確認する。
4 第2項の監督のため、委託先と締結する委託契約に、次の事項を盛り込むものとする。
(1)委託先における個人データを取り扱う者の明確化に関する事項
(2)委託先において講ずべき安全管理措置の内容
(3)個人データの加工(委託契約の範囲内のものを除く。)、改ざん、複写または複製(安全管理上必要なバックアップを目的とするもの等委託契約範囲内のものを除く。)の禁止
(4)委託先の秘密の保持に関する事項
(5)委託された個人データの再委託の可否および条件等に関する事項
(6)委託契約終了の個人データの返却または委託先における破棄もしくは削除に関する事項
(7)委託契約内容が遵守されなかった場合の損害賠償その他の措置に関する事項
(8)委託先において個人データの漏えい事故等が発生した場合の報告義務および責任に関する事項
(9)委託契約期間等に関する事項
(共同利用)
第19条 本学園は、個人データを特定の者との間で共同して利用する場合には、当該特定の者に個人データを提供することができる。
2 前項の場合において、本学園は、次に掲げる事項を、あらかじめ本人に通知し、または本人が容易に知り得る状態に置かなければならない。
(1)個人データを共同利用する旨
(2)共同利用する個人データの項目
(3)共同利用する者の範囲
(4)共同利用する者の利用目的
(5)共同利用する個人データの管理について責任を有する者の氏名または名称および住所ならびに法人にあっては、その代表者の氏名
(第三者提供)
第20条 本学園は、第8条第3項各号に該当する場合を除き、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
2 前項の規定にかかわらず、次に掲げる事項について、あらかじめ本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会(内閣府外局)へ届け出たとき(以下「オプトアウト」という。)は、当該個人データを第三者に提供することができる。なお、個人情報保護委員会への届出は、電子情報処理組織を使用するか、または所定の届出書およびその記載事項を記録した光ディスクを提出することにより行う。
(1)本学園の名称、住所、理事長の氏名
(2)第三者への提供を利用目的とすること
(3)第三者に提供される個人データの項目
(4)第三者に提供される個人データの取得の方法
(5)第三者への提供の方法
(6)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
(7)前号の本人の求めを受け付ける方法
(8)第三者に提供される個人データの更新の方法
(9)当該届出に係る個人データの第三者への提供を開始する予定日
3 前項の規定は、次に掲げる事項については、適用しない。
(1)要配慮個人情報
(2)偽りその他不正の手段により取得された個人データ
(3)他の個人情報取扱事業者からオプトアウト規定により提供された個人データ(その全部または一部を複製・加工したものを含む。)
4 次に掲げる場合は、第三者提供に該当しない。
(1)第18条の定めによる委託に伴って個人データを提供する場合
(2)前条の定めによる共同利用に伴って個人データを当該特定の者に提供する場合
(3)合併その他の事由による事業の承継に伴って個人データを提供する場合
5 個人関連情報(生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないものをいう。)の第三者提供については、法の定めに従い、提供前に提供先に対して必要事項を確認しなければならない。
(外国の第三者への提供)
第21条 本学園は、次のいずれかに該当する場合に限り、個人データを外国の第三者へ提供することができる。
(1)外国にある第三者へ提供することについて、本人の同意を得ていること。
(2)本学園と外国にある第三者との間で当該第三者における個人データの取扱いについて、適切かつ合理的な方法により、法の趣旨に沿った措置の実施が確保されていること。
(3)外国にある第三者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
(4)第8条第3項各号に該当すること。
(第三者への提供に係る記録の作成等)
第22条 個人データを第三者(国の機関、地方公共団体、独立行政法人等、地方独立行政法人を除く。)へ提供したとき(第8条第3項各号に該当する場合または第20条第4項各号に該当する場合を除く。ただし、外国の第三者への提供の場合は第8条第3項各号に該当する場合のみ除く。)には、管理者は、次の事項に関する記録を作成しなければならない。ただし、本学園が本人に対する物品または役務の提供に関連して当該本人の個人データを第三者へ提供する場合において当該提供に関して作成された契約書等に次の事項が掲載されているときは、当該契約書等で代替可能とし、また、既に記録されている事項と内容が同一のものについては、当該事項の記録を省略することができる。
(1)本人の同意を得ている旨(第20条第2項の規定により個人データを提供した場合は提供した年月日)
(2)当該第三者の氏名または名称および住所ならびに法人にあっては、その代表者の氏名(不特定かつ多数の者に提供したときは、その旨)
(3)当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
(4)当該個人データの項目
2 前項の記録は、個人データを第三者に提供した都度、速やかに作成しなければならない。ただし、個人データを第三者に継続的にもしくは反復して提供したとき、またはその確実な見込みがあるときは、一括して作成することができる。
3 本学園は、前2項により作成した記録を、次の各号に応じて保存しなければならない。
(1)第1項ただし書きに基づき契約書等で記録に代えた場合 最後に個人データの提供を行った日から起算して1年を経過する日まで
(2)前項ただし書きに基づき一括して記録を作成した場合 最後に個人データの提供を行った日から起算して3年を経過する日まで
(3)前2号以外の場合 当該記録を作成した日から3年間
4 本人は、第1項の記録について、開示を請求することができる。請求の手続については、第26条の規定を準用する。
(第三者からの提供を受ける際の確認等)
第23条 第三者(国の機関、地方公共団体、独立行政法人等、地方独立行政法人を除く。)から個人データの提供を受けるに際しては、管理者は、次に掲げる事項を確認し、その取得方法が適法なものであることを確認しなければならない。ただし、当該個人データの提供が第8条第3項各号または第20条第2項各号に該当する場合は、この限りではない。
(1)当該第三者の氏名または名称および住所ならびに法人にあっては、その代表者の氏名
(2)当該第三者による当該個人データの取得の経緯
2 前項により個人データの提供を受けた場合、管理者は、次の事項に関する記録を作成しなければならない。ただし、本学園が本人に対する物品または役務の提供に関連して第三者から個人データの提供を受けた場合において当該提供に関して作成された契約書等に次の事項が掲載されているときは、当該契約書等で代替可能とし、また、既に記録されている事項と内容が同一のものについては、当該事項の記録を省略することができる。
(1)本人の同意を得ている旨(第20条第2項の規定により個人データの提供を受けた場合は個人データの提供を受けた年月日)
(2)前項各号に掲げる確認事項
(3)当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
(4)当該個人データの項目
(5)第20条第2項の規定により個人データの提供を受けた場合は、個人情報保護委員会(内閣府外局)による公表がされている旨
3 前項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。ただし、第三者から継続的にもしくは反復して個人データの提供を受けたとき、またはその確実な見込みがあるときは、一括して作成することができる。
4 本学園は、前2項により作成した記録を、次の各号に応じて保存しなければならない。
(1)第2項ただし書きに基づき契約書等で記録に代えた場合 最後に個人データの提供を受けた日から起算して1年を経過する日まで
(2)前項ただし書きに基づき一括して記録を作成した場合 最後に個人データの提供を受けた日から起算して3年を経過する日まで
(3)前2号以外の場合 当該記録を作成した日から3年間
(保有個人データの本人への周知)
第24条 本学園は、保有個人データに関し、次に掲げる事項をホームページ等に掲載し、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くものとする。
(1)本学園の名称
(2)全ての保有個人データの利用目的(第7条第4項第1号、第2号に該当する場合を除く。)
(3)保有個人データの利用目的の通知請求(次条)、開示請求(第26条)、訂正等の請求(第27条)、または利用停止等の請求(第28条)に応じる手続
(4)保有個人データの取扱いに関する苦情や問い合わせの申出先
(利用目的の通知請求)
第25条 本学園は、本人またはその代理人から当該本人に関する保有個人データの利用目的の通知の請求があったときは、これを受けるものとする。
2 前項の請求に関し本人または代理人は、学生証、教職員証、身分証明書、代理権を有することを証明する書面等により本人または代理人であることを明らかにし、本学園の定める所定の請求書を管理者に提出して請求を行わなければならない。
3 管理者は、第1項の請求を受けたときは、本人に対し、遅滞なく利用目的を通知しなければならない。ただし、次のいずれかに該当する場合は、この限りではない。
(1)前条第2号の規定により保有個人データの利用目的が明らかな場合
(2)第7条第4項第1号、第2号に該当する場合
4 管理者は、求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なくその旨を通知しなければならない。
(保有個人データの開示請求)
第26条 本学園は、本人またはその代理人から当該本人に関する保有個人データの開示の請求があったときは、これを受けるものとする。
2 前項の請求は、前条第2項に定める手続に準じて行わなければならない。
3 本人は、当該保有個人データの電磁的記録の提供による方法、書面の交付による方法その他本学園の定める方法による開示を請求することができる。
4 管理者は、第1項の請求を受けたときは、本人に対し、遅滞なく、前項の規定により本人が請求した方法により、当該保有個人データを開示しなければならない。ただし、開示することにより次のいずれかに該当する場合は、その全部または一部を開示しないことができる。
(1)本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)本学園の業務の適正な実施に著しく支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
5 管理者は、開示を求められた保有個人データの全部または一部の開示につき、必要に応じて、委員会に付議し、意見を聴くことができる。
6 管理者は、保有個人データの全部または一部を開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。この場合、管理者は本人に対して、当該通知においてその理由を説明する。
(保有個人データの訂正等)
第27条 本学園は、本人またはその代理人から当該本人に関する保有個人データの内容が事実でないとしてその内容の訂正、追加または削除(以下「訂正等」という。)の請求があったときは、これを受けるものとする。
2 前項の請求は、第25条第2項に定める手続に準じて行わなければならない。
3 管理者は、第1項の請求を受けた場合には、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
4 管理者は、第1項の請求に係る保有個人データの内容の全部または一部について訂正等を行ったとき、または訂正等を行わない旨を決定したときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。訂正等を行わない旨を決定した場合は、当該通知においてその理由を説明する。
(保有個人データの利用停止等)
第28条 本学園は、本人またはその代理人から、当該本人に関する個人データが次のいずれかに該当するとして、その利用の停止、消去または第三者提供の停止(以下「利用停止等」という。)の請求があったときは、これを受けるものとする。
(1)第8条の規定に違反して目的外利用されているとき。
(2)第6条の規定に違反して不正の手段により取得されたものであるときまたは不適正な方法により利用されているとき。
(3)第9条の規定に違反して要配慮個人情報が取得されているとき。
(4)第20条または第21条の規定に違反して第三者に提供されているとき。
(5)本学園が利用する必要がなくなった場合
(6)漏えい、滅失、毀損等の事態が発生した場合
(7)本人の権利または正当な利益が害されるおそれがある場合
2 請求の手続については、前条第2項の規定を準用する。
3 管理者は、第1項の請求を受け、その請求に理由があると判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、利用停止等に多額の費用を要するなど利用停止等を行うことが困難な場合は、本人の権利利益を保護するため、これに代わるべき措置をとることができる。
4 管理者は、第1項の請求に係る保有個人データの内容の全部または一部について利用停止等を行ったとき、または利用停止等を行わない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。利用停止等を行わない旨を決定した場合は、当該通知においてその理由を説明する。
(苦情処理)
第29条 本学園は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 本学園は、苦情処理等の窓口を法人事務局総務部総務課に設置し、本人から苦情の申出を受けた場合は、直ちにその旨を、当該個人情報を所管する管理者に報告する。
3 前項の報告を受けた管理者は、必要に応じて委員会に付議し意見を聴く等、当該苦情に対し、適切に対応しなければならない。
(仮名加工情報の作成等)
第30条 本学園は、仮名加工情報(仮名加工情報 データベース等を構成するものに限る。以下同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
2 本学園は、仮名加工情報を作成したとき、または仮名加工情報および当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等および個人識別符号ならびに前項の規定により行われた加工の方法に関する情報をいう。以下同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、安全管理のための措置を講じなければならない。
3 本学園は、法令に基づく場合を除くほか、特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下同じ。)を取り扱ってはならない。
4 仮名加工情報については、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を公表しなければならない。
5 本学園は、仮名加工情報である個人データおよび削除情報等を利用する必要がなくなったときは、遅滞なく消去するよう努めなければならない。
6 本学園は、法令に基づく場合を除くほか、 仮名加工情報(個人情報でないものを含む。)を第三者に提供してはならない。
7 本学園は、仮名加工情報を取り扱うに当たっては、作成に用いられた個人情報に係る本人を識別するために、他の情報と照合してはならない。
8 本学園は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便等により送付し、もしくは電磁的方法を用いて送信し、または住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
9 仮名加工情報、仮名加工情報である個人データおよび仮名加工情報である保有個人データについては、第8条、第15条第3項、第4項、第5項および第24条から第28条までの規定は、適用しない。
(匿名加工情報の作成等)
第31条 本学園は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別することおよびその作成に用いる個人情報を復元することができないよう加工する。この場合、当該匿名加工情報に含まれる個人に関する情報の項目を公表する。
(匿名加工情報の第三者提供)
第32条 本学園は、作成した匿名加工情報を第三者に提供するときは、あらかじめ、提供する匿名加工情報に含まれる個人に関する情報の項目およびその提供方法について公表するとともに、当該第三者に対して、提供する情報が匿名加工情報である旨を明示する。
(識別行為の禁止)
第33条 本学園は、匿名加工情報を取り扱うに当たっては、作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等もしくは個人識別符号もしくは匿名加工情報の作成において行われた加工の方法に関する情報を取得してはならない。当該匿名加工情報を他の情報と照合してはならない。
(安全管理措置等)
第34条 本学園は、匿名加工情報の安全管理のために必要かつ適切な措置、取扱いに関する苦情の処理、その他適正な取扱いを確保するために必要な措置を講じ、かつ、当該措置の内容を公表する。
(関係法令の適用)
第35条 この規程に定めのない事項およびこの規程の解釈適用は、法その他の関係法令に従う。
(改廃)
第36条 この規程の改廃は、常任理事会の議を経てこれを行う。
附 則
1 この規程は、2005年4月1日から施行する。
2 この規程は、2015年4月1日から施行する。
3 この規程は、2017年4月1日から施行する。
4 この規程は、2020年4月1日から施行する。
5 この規程は、2022年4月1日から施行する。