第1条　本規則は、東京大学(以下「本学」という。)において個人情報その他の個人に関する情報の利用が拡大していることに鑑み、本学の事務及び事業の適正かつ円滑な運営を図りつつ、個人の権利利益を保護することを目的とする。

第2条　本規則における用語の定義は、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)及び行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)その他関連法令の定めるところによる。

第3条　本学に、総括保護管理者を一人置くこととし、総長の指定する役員をもって充てる。

2　総括保護管理者は、本学における個人情報、仮名加工情報、匿名加工情報、個人関連情報その他の個人情報保護法により定義され、同法の対象となる情報及び番号法により定義され、同法の対象となる情報(以下、「個人情報等」という。)の適切な取扱いに関する事務を総括する。

3　総括保護管理者は、本学における個人情報等の適切な取扱いの確保について、次に掲げる任に当たるものとする。

4　総括保護管理者は、個人情報等の管理に関して必要と認めた場合、各部局等に対する調査を行うことができる。

5　総括保護管理者は、総括保護管理委員会を組織し、委員長として同委員会を代表する。この場合、総括保護管理委員会が、前2項の任に当たるものとする。

6　総括保護管理者は、総括保護管理委員会の運営に関し必要な事項を定める。

第4条　部局等(教育研究部局、附属図書館、文書館、学内共同教育研究施設、国際高等研究所に置かれる東京カレッジ及び研究機構、学際融合研究施設、全国共同利用施設、連携研究機構、教育学部附属中等教育学校、医学部附属病院、医科学研究所附属病院並びに本部をいう。以下同じ。)に、部局等総括保護管理者を一人置くこととし、当該部局等の長又はこれに代わる者(本部にあっては、部長及び監査課長)をもって充てる。

2　部局等総括保護管理者は、当該部局等における個人情報等の適切な管理の確保について責任を負い、次に掲げる任に当たるものとする。

3　部局等総括保護管理者は、必要と認めた場合、当該部局等における個人情報等の管理に関する必要な調査を行うことができる。

4　複数の部局等が関与して個人情報等が取扱われる場合、各部局等の部局等総括保護管理者は、互いに連携してその任にあたるものとし、第2項に基づく責任を連帯して負う。

第5条　部局等総括保護管理者が指定する保護管理者を一人又は複数人置く。

2　保護管理者は、部局等総括保護管理者を補佐し、当該部局等における個人情報等の適切な管理について、次に掲げる任に当たるものとする。

3　個人情報等を情報システムで取り扱う場合、保護管理者は、当該情報システムの管理者と連携して、その任に当たるものとする。

4　複数の部局等が関与して個人情報等が取扱われる場合、各部局等の保護管理者は、所属する部局等の部局等総括保護管理者の補佐として、互いに連携してその任に当たるものとする。

第6条　部局等に、当該部局等の保護管理者が指定する保護担当者を一人又は複数人置く。

2　保護担当者は、保護管理者を補佐し、当該部局等における個人情報等の適切な管理について、次に掲げる任に当たるものとする。

第7条　部局等に、当該部局等の保護管理者が指定する特定個人情報等を取り扱う職員(以下「事務取扱担当者」という。)を一人又は複数人置く。

2　保護管理者は、各事務取扱担当者が取り扱う特定個人情報等の範囲を指定する。

第8条　保護管理者は、次に掲げる特定個人情報等に係る体制を整備する。

第9条　東京大学情報公開委員会は、別に定める規則に従い、本学における個人情報の開示等の任に当たるものとする。

第10条　本学に、監査責任者を一人置くこととし、内部監査を担当する理事又は副学長をもって充てる。

2　監査責任者は、個人情報等の管理の状況について監査する任に当たる。

3　監査責任者は、必要と認めた場合、各部局等に対する個人情報等の管理に関する必要な監査を行うことができる。

第11条　総括保護管理委員会は、学術研究目的で個人情報等（特定個人情報等を除く。以下この項において同じ。）を取り扱う場合には、当該学術研究目的による個人情報等の取扱いを企図する部局等と連携して当該学術研究目的での個人情報等の取扱いに関する規則を定めるとともに、当該規則に定める事項の実施を確保するために必要な措置を講ずるものとする。

2　総括保護管理委員会は、前項に規定する規則及び講ずる措置の内容を公表するよう努めるものとする。

第12条　総括保護管理者は、個人情報等を取り扱う教職員等に対し、個人情報等の取扱いについて理解を深め、個人情報等の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。

第13条　総括保護管理者は、個人情報等を取り扱う情報システムの管理に関する事務に従事する教職員等に対し、個人情報等の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行う。

第14条　総括保護管理者は、部局等総括保護管理者、保護管理者、保護担当者及び事務取扱担当者に対し、部局等の現場における個人情報等の適切な管理のための教育研修を実施する。

第15条　部局等総括保護管理者及び保護管理者は、部局等の教職員等に対し、個人情報等の適切な管理のために、総括保護管理者の実施する教育研修への参加の機会を付与する等の必要な措置を講ずる。

第16条　教職員等は、個人情報保護法及び番号法の趣旨に則り、関連する法令及び規程等の定め並びに総括保護管理者、部局等総括保護管理者、保護管理者、保護担当者及び事務取扱担当者の指示に従い、個人情報等を取り扱わなければならない。

第17条　教職員等は、その業務に関して知り得た個人情報等の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。

第18条　教職員等は、個人情報を取り扱うに当たっては、当該個人情報を取り扱う事務を遂行するため必要な場合に限り、かつ、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。

2　教職員等は、利用目的を変更する場合は、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

第19条　教職員等は、次に掲げる場合を除き、前条の規定により特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。

2　教職員等は、前条の規定により特定された利用目的の範囲を超えて個人情報を取り扱う場合には、前項各号に掲げる場合を除き、あらかじめ本人から同意を得なければならない。

第20条　教職員等は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

2　教職員等は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面（電磁的記録を含む。）に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記録された当該本人の個人情報を取得するときは、あらかじめ、本人に対し、その利用目的を明示しなければならない。

3　教職員等は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

4　前3項の規定は、次に掲げる場合については、適用しない。

第21条　教職員等は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

第22条　教職員等は、偽りその他不正の手段により個人情報を取得してはならない。

2　教職員等は、次に掲げる場合を除き、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

第23条　教職員等は、利用目的の達成に必要な範囲内で、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

2　教職員等は、個人データの内容に誤り等を発見した場合には、保護管理者の指示に従い、訂正等を行わなければならない。

3　教職員等は、個人データ又は個人データが記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合には、保護管理者の指示に従い、当該個人情報の復元又は判読が不可能な方法により当該個人データの削除又は当該媒体の廃棄を行わなければならない。

第24条　部局等総括保護管理者は、取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

2　部局等総括保護管理者は、個人データの安全管理のために必要かつ適切な措置を定めるものとし、これを教職員等に遵守させなければならない。

第25条　部局等総括保護管理者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならない。

2　保護管理者は、個人データの取扱いに係る業務を外部に委託する場合には、選定の際に個人データの管理能力の確認を行うなどの必要な措置を講ずるとともに、契約書に次に掲げる事項を明記し、委託先における責任者及び業務従事者の管理、実施体制並びに個人情報の管理の状況等の必要な事項について、書面によって確認するものとする。

3　保護管理者は、個人データの取扱いに係る業務を外部に委託する場合には、委託する業務に係る個人情報の秘匿性等その内容及びその量等に応じて、委託先における管理体制及び実施体制並びに個人情報の管理の状況について、少なくとも年１回以上、原則として実地検査により確認するものとする。

4　保護管理者は、委託先において、個人データの取扱いに係る業務が再委託される場合（再委託先が再々委託を行う場合を含む。）には、委託先に本条の措置を講じさせるとともに、再委託される業務に係る個人データの秘匿性等の内容及びその量等に応じて、委託先を通じて、又は自ら本条の措置を実施するものとする。

5　保護管理者は、個人データの取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等個人データの取扱いに関する事項を明記するものとする。

第26条　保護管理者は、個人データの秘匿性等その内容(匿名化の程度等による個人識別の容易性、要配慮個人情報の有無並びに漏えい等が発生した場合に生じ得る被害の性質及びその程度等を含む。以下同じ。)に応じて、個人データにアクセスする権限を有する教職員等の範囲と権限の内容を、当該教職員等が業務を行う上で必要最小限の範囲に限る。

2　アクセス権限を有しない教職員等は、個人データにアクセスしてはならない。

3　教職員等は、アクセス権限を有する場合であっても、業務上の目的以外の目的で個人データにアクセスしてはならない。

第27条　教職員等が業務上の目的で個人データを取り扱う場合であっても、保護管理者は、次に掲げる行為については、当該個人データの秘匿性等その内容に応じて、当該行為を行うことができる場合を限定し、教職員等は、保護管理者の指示に従い行う。

第28条　教職員等は、保護管理者の指示に従い、個人データが記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫への保管、施錠等を行う。

第29条　教職員等は、次に掲げる場合を除き、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

2　次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。

第30条　前条の規定にかかわらず、本学が外国（本邦の域外にある国又は地域をいう。）にある第三者に個人データを提供する場合は、教職員等は、次に掲げる場合を除き、あらかじめ当該外国の第三者への提供を認める旨の本人同意を得なければならない。

2　前項の規定により本人の同意を得ようとする場合には、教職員等は、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

3　個人データを外国にある第三者（ただし、第1項第3号に規定する体制を整備している者に限る。）に提供した場合には、教職員等は、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

第31条　本学が個人データを第三者に提供したときは、教職員等は、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第29条第1項各号又は第2項各号のいずれか（前条第1項の規定による個人情報の提供にあっては、第29条第1項各号のいずれか）に該当する場合は、この限りでない。

2　教職員等は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

第32条　本学が第三者から個人データの提供を受けるに際しては、教職員等は、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第29条第1項各号又は第2項各号のいずれかに該当する場合は、この限りでない。

2　教職員等は、前項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。

3　教職員等は、前項の記録について、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

第33条　教職員等は、第三者が個人関連情報（個人関連情報データベース等を構成するものに限る。）を個人データとして取得することが想定されるときは、第29条第1項各号に掲げる場合を除き、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することを経ずに、当該個人関連情報を当該第三者に提供してはならない。

2　個人関連情報を外国にある第三者（ただし、第30条第1項第3号に規定する体制を整備している者に限る。）に提供した場合には、教職員等は、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じなければならない。

3　第1項の規定により教職員等が確認を行った場合、教職員等は個人情報保護委員会規則で定めるところにより、当該個人関連情報を提供した年月日、当該確認に係る事項その他の必要事項に関する記録を作成しなければならない。

第34条　教職員等は、第三者から提供を受ける個人関連情報を個人データとして取得することが想定されるときは、第29条第1項各号に掲げる場合を除き、当該個人データに関して識別される本人から、当該第三者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の同意を取得する。

2　教職員等は、個人関連情報の提供を受けて個人データとして取得したときは、当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名を確認するとともに、個人情報保護委員会規則で定めるところにより、以下の各号に掲げる事項につき記録を行わなければならない。

第35条　教職員等は、仮名加工情報（仮名加工情報データベース等を構成するものに限る。次条において同じ。）を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。

2　教職員等は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等（仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。）を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。

3　教職員等は、法令に基づく場合を除くほか、第18条第1項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報（個人情報であるものに限る。以下この条において同じ。）を取り扱ってはならない。

4　仮名加工情報についての第20条の規定の適用については、同条第1項及び第3項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第2項第1号から第3号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。

5　教職員等は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第23条の規定は、適用しない。

6　教職員等は、第29条第1項及び第30条の規定にかかわらず、法令に基づく場合を除き、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第29条第2項中「前項」とあるのは「第35条第6項」と、同項第2号中「、本人に通知し、又は本人が容易に知り得る状態に置いているとき」とあるのは「公表しているとき」と、「本人に通知し、又は本人が容易に知りうる状態に置かなければ」とあるのは「公表しなければ」とし、第31条第1項ただし書中「第29条第1項各号又は第2項各号のいずれか（前条第1項の規定による個人情報の提供にあっては、第29条第1項各号のいずれか）」とあり、及び第31条第1項ただし書中「第29条第1項各号又は第2項各号のいずれか」とあるのは「法令に基づく場合又は第29条第2項各号のいずれか」とする。

7　教職員等は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。

8　教職員等は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律（平成14年法律第99号）第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法（電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。）を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。

9　仮名加工情報及び仮名加工情報である個人データについては、第18条第2項、第78条及び第80条の規定は、適用しない。

第36条　教職員等は、法令に基づく場合を除くほか、仮名加工情報（個人情報であるものを除く。以下この条において同じ。）を第三者に提供してはならない。

2　第29条第2項の規定は、仮名加工情報の提供を受ける者について準用する。この場合において、同項第2号中「、本人に通知し、又は本人が容易に知り得る状態に置いているとき」とあるのは「公表しているとき」と、「本人に通知し、又は本人が容易に知りうる状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。

3　第24条から第28条まで並びに前条第7項及び第8項の規定は、仮名加工情報の取扱いについて準用する。この場合において、第24条中「漏えい等」とあるのは「漏えい」と、前条第7項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。

4　仮名加工情報については、第10章は適用しない。

第37条　教職員等は、匿名加工情報（行政機関等匿名加工情報を除く。以下この条において同じ。）を第三者に提供するときは、法令に基づく場合を除き、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。

2　教職員等は、匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。

3　教職員等は、匿名加工情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、匿名加工情報の適切な管理のために必要な措置を講じなければならない。

4　本学が外部に匿名加工情報の取扱いを委託（二以上の段階にわたる委託を含む。）する場合、教職員等は、委託先をして、前2項の規定を遵守させなければならない。

第38条　総括保護管理者は、個人情報保護法第５章第５節の規定に従い、行政機関等匿名加工情報（行政機関等匿名加工情報ファイルを構成するものに限る。）を作成することができる。

2　総括保護管理者は、行政機関等匿名加工情報の取扱いに関する規則を定める。

第39条　部局等総括保護管理者は、各部局等の個人情報の取扱いに関し、個人情報ファイル簿の作成に必要な事項として別途定める内容を総括保護管理責任者対して報告するものとする。

2　総括保護管理者は、第1項の規定に基づく報告をもとに個人情報ファイル簿を作成し、公表するものとする。

第40条　保護管理者は、個人情報等(情報システムで取り扱うものに限る。以下本章(第55条を除く。)において同じ。)の秘匿性等その内容に応じて、パスワード等(パスワード、ＩＣカード、生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講ずる。

第41条　保護管理者は、前条の措置を講ずる場合には、パスワード等の管理に関する定めを整備(その定期又は随時の見直しを含む。)するとともに、パスワード等の読取防止等を行うために必要な措置を講ずる。

第42条　保護管理者は、個人情報等の秘匿性等その内容に応じて、当該個人情報等へのアクセス状況を記録し、その記録(以下「アクセス記録」という。)を一定の期間保存し、及びアクセス記録を定期に及び必要に応じ随時に分析するために必要な措置を講ずる。

第43条　保護管理者は、アクセス記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講ずる。

第44条　保護管理者は、個人情報等の秘匿性等その内容及びその量に応じて、当該個人情報等への不適切なアクセスの監視のため、個人情報等を含むか又は含むおそれがある一定量以上の情報が情報システムからダウンロードされた場合に警告表示がなされる機能の設定、当該設定の定期的確認等の必要な措置を講ずる。

第45条　保護管理者は、個人情報等の秘匿性等その内容に応じて、情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため、当該特権を最小限とする等の必要な措置を講ずる。

第46条　保護管理者は、個人情報等を取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定による経路制御等の必要な措置を講ずる。

第47条　保護管理者は、不正プログラムによる個人情報等の漏えい等の防止のため、ソフトウェアに関する公開された脆弱性の解消、把握された不正プログラムの感染防止等に必要な措置(導入したソフトウェアを常に最新の状態に保つことを含む。)を講ずる。

第48条　教職員等は、個人情報等について、一時的に加工等の処理を行うため複製等を行う場合には、その対象を必要最小限に限り、処理終了後は不要となった情報を速やかに消去する。保護管理者は、当該個人情報等の秘匿性等その内容に応じて、随時、消去等の実施状況を重点的に確認する。

第49条　保護管理者は、個人情報等の秘匿性等その内容に応じて、その暗号化のために必要な措置を講ずる。教職員等は、これを踏まえ、その処理する個人情報等について、当該個人情報等の秘匿性等その内容に応じて、適切に暗号化を行う。

第50条　保護管理者は、個人情報等の秘匿性等その内容に応じて、当該個人情報等の漏えい等の防止のため、スマートフォン、ＵＳＢメモリ等の記録機能を有する機器・媒体の情報システム端末等への接続の制限(当該機器の更新への対応を含む。)等の必要な措置を講ずる。

第51条　保護管理者は、個人情報等の秘匿性等その内容に応じて、その処理を行う端末を限定するために必要な措置を講ずる。

第52条　保護管理者は、端末の盗難又は紛失の防止のため、端末の固定、執務室の施錠等の必要な措置を講ずる。

第53条　教職員等は、保護管理者が必要があると認めるときを除き、端末を外部へ持ち出し、又は外部から持ち込んではならない。

第54条　教職員等は、端末の使用に当たっては、個人情報等が第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講ずる。

第55条　教職員等は、情報システムで取り扱う個人情報等の重要度に応じて、入力原票と入力内容との照合、処理前後の当該個人情報等の内容の確認、既存の個人情報等との照合等を行う。

第56条　保護管理者は、個人情報等の重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講ずる。

第57条　保護管理者は、個人情報等に係る情報システムの設計書、構成図等の文書について外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講ずる。

第58条　保護管理者は、個人情報等を取り扱う基幹的なサーバ等の機器を設置する室その他の区域(以下「情報システム室等」という。)に立ち入る権限を有する者を定めるとともに、用件の確認、入退の記録、部外者についての識別化、部外者が立ち入る場合の教職員等の立会い又は監視設備による監視、外部電磁的記録媒体等の持込み、利用及び持ち出しの制限又は検査等の措置を講ずる。また、個人情報等を記録する媒体を保管するための施設を設けている場合において、必要があると認めるときは、同様の措置を講ずる。

第59条　保護管理者は、必要があると認めるときは、情報システム室等の出入口の特定化による入退の管理の容易化、所在表示の制限等の措置を講ずる。

第60条　保護管理者は、情報システム室等及び保管施設の入退の管理について、必要があると認めるときは、立入りに係る認証機能を設定し、及びパスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。)、パスワード等の読取防止等を行うために必要な措置を講ずる。

第61条　保護管理者は、外部からの不正な侵入に備え、情報システム室等に施錠装置、警報装置、監視設備の設置等の措置を講ずる。

第62条　保護管理者は、災害等に備え、情報システム室等に、耐震、防火、防煙、防水等の必要な措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の措置を講ずる。

第63条　保護管理者は、個人番号を利用するにあたって、番号法があらかじめ限定的に定めた事務に限定する措置を講ずる。

第64条　教職員等は、個人番号関係事務を処理するために必要な場合その他番号法で定める場合を除き、個人番号の提供を求めてはならない。

第65条　教職員等は、個人番号関係事務を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイルを作成してはならない。

第66条　教職員等は、番号法第19条各号のいずれかに該当する場合を除き、他人の個人番号を含む個人情報を収集、保管又は提供してはならない。

第67条　保護管理者は、特定個人情報等を取り扱う事務を実施する区域を明確にし、物理的な安全管理措置を講ずる。

第68条　保護管理者は、特定個人情報ファイルの取扱状況を確認する手段を整備して、当該特定個人情報等の利用及び保管等の取扱状況について記録する。

第69条　保護管理者は、番号法で限定的に明記された場合を除き、特定個人情報等を提供してはならない。

第70条　保護管理者は、個人番号関係事務の全部又は一部を委託する場合には、委託先において、番号法に基づき本学が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認する。

第71条　保護管理者は、個人番号関係事務の全部又は一部の委託をする際には、委託先において、本学が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行う。

第72条　保護管理者は、個人番号関係事務の全部又は一部の委託先が再委託をする際には、委託をする個人番号関係事務において取り扱う特定個人情報の適切な安全管理が図られることを確認した上で再委託の諾否を判断する。再委託先が再々委託を行う場合以降も同様とする。

第73条　本学が保有し、又は保有しようとする特定個人情報等に関しては、第19条第1項第3号から第6号まで、第22条第2項及び第29条から第32条までの規定は適用しないものとし、本規則の他の規定の適用については、次の表上欄に掲げる規定中同表の中欄に掲げる字句は、同表の下欄に掲げる字句とする。

2　個人番号に関しては、当該個人番号に係る本人が死亡後も本規則を適用し、事務取扱担当者は、必要な措置を講じなければならない。

第74条　教職員等は、個人情報等の漏えい等の事案の発生又は兆候を把握した場合及び事務取扱担当者が関連する法令及び規程等の定めに違反している事実又は兆候を把握した場合等、安全確保の上で問題となる事案を認識した場合には、直ちに当該個人情報等を管理する保護管理者に報告又は相談しなければならない。

第75条　保護管理者は、被害の拡大防止又は復旧等のために必要な措置を速やかに講ずるとともに部局等総括保護管理者に報告する。ただし、外部からの不正アクセスや不正プログラムの感染が疑われる当該端末等のＬＡＮケーブルを抜くなど、被害拡大防止のため直ちに行い得る措置については、直ちに行う(教職員等に行わせることを含む。)ものとする。

第76条　部局等総括保護管理者は、事案の発生した経緯、被害状況等を調査し、総括保護管理者に報告する。ただし、特に重大と認める事案が発生した場合には、直ちに総括保護管理者に当該事案の内容等について報告する。

第77条　総括保護管理者は、前条の規定に基づく報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を総長に速やかに報告する。

第78条　総括保護管理者は、事案の内容等に応じて、事案の内容、経緯、被害状況等について、関係省庁に対し、速やかに情報提供を行う。

第79条　保護管理者は、部局等総括保護管理者の監督のもと、事案の発生した原因を分析し、再発防止のために必要な措置を講ずる。

第80条　総括保護管理者は、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る個人情報等の本人への対応等の措置を講ずる。公表を行う事案については、当該事案の内容、経緯、被害状況等について、速やかに関係省庁に情報提供を行う。

2　総括保護管理者は、公表を行う事案については、当該事案の内容、経緯、被害状況等について、速やかに関係省庁に情報提供を行うものとする。

第81条　監査責任者は、個人情報等の適切な管理を検証するため、第10章に規定する措置の状況を含む本学における個人情報等の管理の状況について、定期に及び必要に応じ随時に監査(外部監査を含む。以下同じ。)を行い、その結果を総括保護管理者に報告する。

第82条　保護管理者は、各部局等における個人情報等の記録媒体、処理経路、保管方法等について、定期に及び必要に応じ随時に点検を行い、必要があると認めるときは、その結果を部局等総括保護管理者に報告する。

2　前項の報告を受けた部局等総括保護管理者は、当該報告のうち重要なものについて、総括保護管理者に報告しなければならない。

第83条　総括保護管理者、部局等総括保護管理者等は、監査又は点検の結果等を踏まえ、実効性等の観点から個人情報等の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずる。

第84条　本学は、「個人情報の保護に関する基本方針」(平成16年4月2日閣議決定)を踏まえ、関係省庁と緊密に連携して、その保有する個人情報の適切な管理を行う。