○国立大学法人山口大学における匿名加工情報の管理に関する規則
(平成29年12月20日規則第96号)
改正
平成30年3月30日規則第42号
令和4年3月31日規則第41号
令和5年2月13日規則第4号
第1章 総則
(趣旨)
第1条
この規則は,個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。),個人情報の保護に関する法律施行令(平成15年政令第507号。以下「政令」という。),個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号),個人情報の保護に関する法律についてのガイドライン(行政機関等編)(令和4年1月個人情報保護委員会),個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)(令和4年2月個人情報保護委員会事務局)及び国立大学法人山口大学における個人情報の管理に関する規則(令和4年規則第40号。以下「個人情報管理規則」という。)その他法令等に定めるもののほか,国立大学法人山口大学(以下「本法人」という。)における匿名加工情報の管理に関し必要な事項を定める。
(定義)
第2条
この規則における次の用語の意義は,それぞれ当該各号に定めるもののほか,個人情報管理規則において使用する用語の例による。
(1)
「匿名加工情報」 個人情報管理規則第2条第10号に規定するものをいう。
(2)
「行政機関等匿名加工情報」 個人情報管理規則第2条第11号に規定するものをいう。
(3)
「行政機関等匿名加工情報ファイル」 行政機関等匿名加工情報を含む情報の集合物であって,次に掲げるものをいう。
ア
特定の行政機関等匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの
イ
アに掲げるもののほか,特定の行政機関等匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
(4)
「削除情報」 行政機関等匿名加工情報(行政機関等匿名加工情報ファイルを構成するものに限る。以下同じ。)の作成に用いた保有個人情報から削除した記述等及び個人識別符号をいう。
(5)
「行政機関等匿名加工情報等」 行政機関等匿名加工情報,削除情報及び第16条第1項の規定により行った加工の方法に関する情報
第2章 管理体制
(総括保護管理者)
第3条
本法人に,総括保護管理者を置き,総務企画を担当する副学長をもって充てる。
2
総括保護管理者は,行政機関等匿名加工情報等並びに匿名加工情報(行政機関等匿名加工情報を除く。この条,第4条の2,第5条の2,第6条から第8条,第10条,第23条及び第24条において同じ。)の作成及び提供並びに管理に関する業務を総括する。
(行政機関等匿名加工情報等保護管理者)
第4条
行政機関等匿名加工情報等の作成及び提供は,総務企画部総務課において取り扱うものとし,総務企画部総務課に行政機関等匿名加工情報等保護管理者を置き,総務企画部総務課長をもって充てる。
2
前項のほか,行政機関等匿名加工情報等を管理するために,必要に応じて行政機関等匿名加工情報等保護管理者を置く。
3
行政機関等匿名加工情報等保護管理者は,行政機関等匿名加工情報等の作成及び提供並びに管理に関する業務を適切に行う。
4
行政機関等匿名加工情報等を情報システムで取り扱う場合,行政機関等匿名加工情報等保護管理者は,当該情報システムの管理者と連携し,適切な管理のための措置を講ずる。
(匿名加工情報保護管理者)
第4条の2
匿名加工情報を取り扱う部局等に,匿名加工情報保護管理者を置き,個人情報管理規則第4条の規定により部局等ごとに置く当該部局等の保護管理者をもって充てる。
2
匿名加工情報保護管理者は,民間事業者等から提供を受けた匿名加工情報の管理及び提供に関する業務を適切に行う。
3
匿名加工情報を情報システムで取り扱う場合,匿名加工情報保護管理者は当該情報システムの管理者と連携し,適切な管理のための措置を講ずる。
(行政機関等匿名加工情報等保護担当者)
第5条
総務企画部総務課に,行政機関等匿名加工情報等保護管理者が指名する行政機関等匿名加工情報等保護担当者1人又は複数人を置く。
2
行政機関等匿名加工情報等保護担当者は,行政機関等匿名加工情報等保護管理者を補佐し,行政機関等匿名加工情報等の作成及び提供並びに管理に関する事務を担当する。
(匿名加工情報保護担当者)
第5条の2
匿名加工情報を取り扱う部局等に,匿名加工情報保護管理者が指名する匿名加工情報等保護担当者1人又は複数人を置く。
2
匿名加工情報保護担当者は,匿名加工情報保護管理者を補佐し,匿名加工情報の管理及び提供に関する事務を担当する。
(監査責任者)
第6条
本法人に,監査責任者を置き,内部監査室長をもって充てる。
2
監査責任者は,行政機関等匿名加工情報等並びに匿名加工情報の作成及び提供並びに管理の状況について監査する。
(専門部会)
第7条
総括保護管理者は,行政機関等匿名加工情報等並びに匿名加工情報の適切な提供及び管理に係る重要事項の決定を行うため,必要に応じて専門部会を置き,その意見を求めることができる。
第3章 教育研修
(教育研修)
第8条
教育研修については,個人情報管理規則第3章の規定を準用する。
この場合において,「個人データ」とあるのは「行政機関等匿名加工情報等及び匿名加工情報」と,「個人情報の保護に関する意識」とあるのは「行政機関等匿名加工情報等及び匿名加工情報の適切な管理」と読み替えるものとする。
第4章 従事者の責務等
(従事者の責務)
第9条
行政機関等匿名加工情報等の取扱いに従事する本法人の職員若しくは本法人の職員であった者,第21条第3項の委託を受けた業務に従事している者若しくは従事していた者は,法の趣旨に則り,関係法令及びこの規則の定めに従い,行政機関等匿名加工情報等を取り扱うとともに,その業務に関して知り得た行政機関等匿名加工情報等の内容をみだりに他人に知らせ,又は不当な目的に利用してはならない。
(匿名加工情報の取扱いに係る義務)
第10条
匿名加工情報の取扱いに従事する者は,匿名加工情報を第三者に提供するときは,法令に基づく場合を除き,個人情報保護委員会規則で定めるところにより,あらかじめ,第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに,当該第三者に対して,当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
2
匿名加工情報の取扱いに従事する者は,匿名加工情報を取り扱うに当たっては,法令に基づく場合を除き,当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために,当該個人情報から削除された記述等若しくは個人識別符号若しくは法第43条第1項の規定により行われた加工の方法に関する情報を取得し,又は当該匿名加工情報を他の情報と照合してはならない。
3
本法人は,匿名加工情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い,匿名加工情報の適切な管理のために必要な措置を講ずるものとする。
4
前2項の規定は,行政機関等から匿名加工情報の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。
第5章 行政機関等匿名加工情報の提供等
(行政機関等匿名加工情報の作成及び提供等)
第11条
本法人は,この章の規定に従い,行政機関等匿名加工情報を作成し,及び提供するものとする。
2
行政機関等匿名加工情報等の取扱いに従事する者は,次の各号のいずれかに該当する場合を除き,行政機関等匿名加工情報を提供してはならない。
(1)
法令に基づく場合(法第5章第5節の規定に従う場合を含む。)
(2)
保有個人情報を利用目的のために第三者に提供することができる場合において,当該保有個人情報を加工して作成した行政機関等匿名加工情報を当該第三者に提供するとき。
3
法第69条の規定にかかわらず,行政機関等匿名加工情報等の取扱いに従事する者は,法令に基づく場合を除き,利用目的以外の目的のために削除情報(保有個人情報に該当するものに限る。)を自ら利用し,又は提供してはならない。
(提案の募集に関する事項の個人情報ファイル簿への記載)
第12条
本法人は,本法人が保有している個人情報ファイルが第2条第2号に規定するいずれにも該当すると認めるときは,当該個人情報ファイルについては,個人情報ファイル簿に次に掲げる事項を記載しなければならない。
(1)
法第112条第1項の提案の募集をする個人情報ファイルである旨
(2)
法第112条第1項の提案を受ける組織の名称及び所在地
(提案の募集)
第13条
本法人は,個人情報保護委員会規則に定めるところにより,定期的に,本法人が保有している個人情報ファイル(個人情報ファイル簿に前条第1号に掲げる事項の記載があるものに限る。以下この章において同じ。)について,行政機関等匿名加工情報をその事業の用に供する事業者になろうとする者に対し,提案を募集するものとする。
(提案の審査等)
第14条
本法人は,法第112条第1項の提案があったときは,当該提案が次に掲げる基準に適合するかどうかを審査するものとする。
(1)
法第112条第1項の提案をした者が法第113条各号のいずれにも該当しないこと。
(2)
法第112条第2項第3号の提案に係る行政機関等匿名加工情報の本人の数が,行政機関等匿名加工情報の効果的な活用の観点からみて個人情報保護委員会規則で定める数以上であり,かつ,提案に係る個人情報ファイルを構成する保有個人情報の本人の数以下であること。
(3)
法第112条第2項第3号及び第4号に掲げる事項により特定される加工の方法が第16条第1項の基準に適合するものであること。
(4)
法第112条第2項第5号の事業が新たな産業の創出又は活力ある経済社会若しくは豊かな国民生活の実現に資するものであること。
(5)
法第112条第2項第6号の期間が行政機関等匿名加工情報の効果的な活用の観点からみて個人情報保護委員会規則で定める期間を超えないものであること。
(6)
法第112条第2項第5号の提案に係る行政機関等匿名加工情報の利用の目的及び方法並びに同項第7号の措置が当該行政機関等匿名加工情報の本人の権利利益を保護するために適切なものであること。
(7)
前各号に掲げるもののほか,個人情報保護委員会規則で定める基準に適合するものであること。
2
本法人は,前項の規定により審査した結果,法第112条第1項の提案が前項各号に掲げる基準のいずれにも適合すると認めるときは,個人情報保護委員会規則で定めるところにより,当該提案をした者に対し,次に掲げる事項を通知するものとする。
(1)
次条の規定により本法人との間で行政機関等匿名加工情報の利用に関する契約を締結することができる旨
(2)
前号に掲げるもののほか,個人情報保護委員会規則で定める事項
3
本法人は,第1項の規定により審査した結果,法第112条第1項の提案が第1項各号に掲げる基準のいずれかに適合しないと認めるときは,個人情報保護委員会規則で定めるところにより,当該提案をした者に対し,理由を付して,その旨を通知するものとする。
(行政機関等匿名加工情報の利用に関する契約の締結)
第15条
本法人は,前条第2項の規定により通知し,当該提案をした者から契約の締結の申し込みがあったときは,個人情報保護委員会規則で定めるところにより,当該提案をした者との間で,行政機関等匿名加工情報の利用に関する契約を締結するものとする。
(行政機関等匿名加工情報の作成等)
第16条
行政機関等匿名加工情報等を取り扱う者は,行政機関等匿名加工情報を作成するときは,特定の個人を識別することができないように及びその作成に用いる保有個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い,当該保有個人情報を加工しなければならない。
2
前項の規定は,本法人から行政機関等匿名加工情報の作成の委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。
(行政機関等匿名加工情報に関する事項の個人情報ファイル簿への記載)
第17条
本法人は,行政機関等匿名加工情報を作成したときは,当該行政機関等匿名加工情報の作成に用いた保有個人情報を含む個人情報ファイルについては,個人情報ファイル簿に次に掲げる事項を記載しなければならない。
(1)
行政機関等匿名加工情報の概要として個人情報保護委員会規則で定める事項
(2)
法第118条第1項の提案を受ける組織の名称及び所在地
(3)
法第118条第1項の提案をすることができる期間
(作成された行政機関等匿名加工情報をその用に供して行う事業に関する提案等)
第18条
法第118条第1項の提案については,同条第2項の規定に基づき,第14条及び第15条の規定を準用する。
(利用料)
第19条
本法人は,第15条(前条において準用する場合を含む。次条において同じ。)の規定により行政機関等匿名加工情報の利用に関する契約を締結する場合に,利用料を徴収するものとする。
2
前項の利用料の額は,実費を勘案して合理的であると認められる範囲内において,本法人が別に定める。
3
本法人は,前2項の規定による定めを一般の閲覧に供しなければならない。
(行政機関等匿名加工情報の利用に関する契約の解除)
第20条
本法人は,第15条の規定により行政機関等匿名加工情報の利用に関する契約を締結した者(以下「契約相手方」という。)が次の各号のいずれかに該当するときは,原則,当該契約を解除するものとする。
(1)
偽りその他不正の手段により当該契約を締結したとき。
(2)
法第113条各号(第18条において準用する場合を含む。)のいずれかに該当することとなったとき。
(3)
当該契約において定められた事項について重大な違反があったとき。
(識別行為の禁止等)
第21条
行政機関等匿名加工情報等の取扱いに従事する者は,法令に基づく場合を除き,当該行政機関等匿名加工情報の作成に用いられた個人情報に係る本人を識別するために,当該行政機関等匿名加工情報を他の情報と照合してはならない。
2
本法人は,行政機関等匿名加工情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い,行政機関等匿名加工情報等の適切な管理のために必要な措置を講ずるものとする。
3
前2項の規定は,本法人から行政機関等匿名加工情報等の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。
4
契約相手方は,法第112条第2項第7号の規定に基づき講じた行政機関等匿名加工情報の適切な管理措置に支障を及ぼすおそれが生じた場合は本法人へ直ちに報告するとともに,是正措置を講じなければならない。
5
行政機関等匿名加工情報等保護管理者は,前項の規定により報告を受けたときには,契約相手方が講じた行政機関等匿名加工情報の管理状況及び是正措置について確認するものとする。
第6章 行政機関等匿名加工情報等の業務の委託
(業務の委託等)
第22条
行政機関等匿名加工情報等保護管理者は,行政機関等匿名加工情報の作成等に係る業務を外部に委託する場合には,行政機関等匿名加工情報等の適切な管理を行う能力を有しない者を選定することがないよう,必要な措置を講じ,契約書に,次に掲げる事項を明記するとともに,委託先における責任者及び業務従事者の管理及び実施体制,行政機関等匿名加工情報等の管理の状況について書面で確認するものとする。
(1)
行政機関等匿名加工情報等に関する秘密保持,目的外利用の禁止等の義務
(2)
再委託の制限又は事前承認等再委託に係る条件に関する事項
(3)
行政機関等匿名加工情報等の複製等の制限に関する事項
(4)
行政機関等匿名加工情報等の漏えい等の事案の発生時における対応に関する事項
(5)
委託終了時における行政機関等匿名加工情報等の消去及び媒体の返却に関する事項
(6)
違反した場合における契約解除等その他必要な事項
2
行政機関等匿名加工情報等保護管理者は,行政機関等匿名加工情報の作成等に係る業務を外部に委託する場合には,委託する行政機関等匿名加工情報等の秘匿性等その内容に応じて,委託先における行政機関等匿名加工情報等の管理の状況について,年1回以上の定期的検査等により確認を行うものとする。
3
行政機関等匿名加工情報等保護管理者は,委託先において,行政機関等匿名加工情報の作成等に係る業務が再委託される場合には,委託先に第1項の措置を講じさせるとともに,再委託される業務に係る行政機関等匿名加工情報等の秘匿性等その内容に応じて,委託先を通じて又は委託元自らに前項の措置を実施させるものとする。
4
本法人は,行政機関等匿名加工情報の作成等に係る業務を派遣労働者によって行わせる場合には,労働者派遣契約書に秘密保持義務等の行政機関等匿名加工情報等の取扱いに関する事項を明記するものとする。
第7章 安全確保上の問題への対応
(事案の報告及び再発防止措置)
第23条
行政機関等匿名加工情報等及び匿名加工情報の漏えい等安全確保上の問題となる事案又は問題となる事案の発生のおそれを認識した場合に,その事案等を認識した職員は,直ちに当該行政機関等匿名加工情報等及び匿名加工情報を管理する行政機関等匿名加工情報等保護管理者又は匿名加工情報保護管理者(以下「保護管理者」という。)に報告するものとする。
2
保護管理者は,被害の拡大防止又は復旧等のために必要な措置を速やかに講ずるものとする。
ただし,外部からの不正アクセスや不正プログラムの感染が疑われる端末等のLANケーブルを抜くなど,被害拡大防止のため直ちに行い得る措置については,直ちに行う(職員に行わせることを含む。)ものとする。
3
保護管理者は,事案の発生した経緯,被害状況等を調査し,総括保護管理者に報告する。
ただし,特に重大と認める事案が発生した場合には,直ちに総括保護管理者に当該事案の内容等について報告するものとする。
4
総括保護管理者は,前項による報告を受けたときには,事案の内容等に応じて,当該事案の内容,経緯,被害状況等を学長に報告するものとする。
5
総括保護管理者は,事案の内容等に応じて,事案の内容,経緯,被害状況について,文部科学省に対し,速やかに情報提供を行うものとする。
6
保護管理者は,事案の発生した原因を分析し,再発防止のために必要な措置を講ずるものとする。
7
総括保護管理者は,事案の内容,影響等に応じて,事実関係及び再発防止策の公表,当該事案に係る行政機関等匿名加工情報等の本人への対応等の措置を講ずるものとする。
第8章 行政機関等匿名加工情報等の取扱い
(行政機関等匿名加工情報等の取扱い)
第24条
行政機関等匿名加工情報等及び匿名加工情報の取扱い,情報システムにおける安全の確保等,情報システム室等の安全管理,安全確保上の問題への対応並びに監査及び点検の実施については,個人情報管理規則第16条から第22条,第6章(第32条を除く。),第7章,第9章及び第16章の規定を準用する。
この場合において,「個人データ」とあるのは「行政機関等匿名加工情報等及び匿名加工情報」と,第57条第1項中「第3条から第52条」とあるのは「第3条から第24条」と読み替えるものとする。
第9章 雑則
(雑則)
第25条
この規則に定めるもののほか,匿名加工情報の管理に関し必要な事項は,別に定める。
附 則
1
この規則は,平成30年1月1日から施行し,平成29年5月30日から適用する。
2
第19条第2項に規定する利用料の額は,当分の間,政令第29条に規定する額と同額とし,本法人に対する法第110条の規定による提案の状況により見直すものとする。
附 則(令和4年3月31日規則第41号)
この規則は,令和4年4月1日から施行する。
附 則(令和5年2月13日規則第4号)
この規則は,令和5年4月1日から施行する。