京都大学における個人情報の保護に関する規程

▲京都大学における個人情報の保護に関する規程

平成17年3月14日

達示第1号制定

第1章　総則

(趣旨)

第1条　この規程は、独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号。以下「法」という。)に基づき、国立大学法人京都大学(以下「本学」という。)における個人情報の取扱い及び国立大学法人京都大学非識別加工情報(国立大学法人京都大学非識別加工情報ファイルを構成するものに限る。)の提供に関する事項その他個人情報の保護に関し必要な事項を定める。

(平29達30・一部改正)

(定義)

第2条　この規程において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

(1)　当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

(2)　個人識別符号が含まれるもの

2　この規程において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、独立行政法人等の保有する個人情報の保護に関する法律施行令(平成15年政令第549号。以下「令」という。)第1条に定めるものをいう。

(1)　特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの

(2)　個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

3　この規程において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして令第2条に定める記述等が含まれる個人情報をいう。

4　この規程において「保有個人情報」とは、本学の役員又は職員(派遣労働者を含む。以下「職員等」という。)が職務上作成し、又は取得した個人情報であって、本学の職員等が組織的に利用するものとして、本学が保有しているものをいう。ただし、独立行政法人等の保有する情報の公開に関する法律(平成13年法律第140号。以下「独立行政法人等情報公開法」という。)第2条第2項に規定する法人文書に記録されているものに限る。

5　この規程において「個人情報ファイル」とは、保有個人情報を含む情報の集合物であって、次に掲げるものをいう。

(1)　一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

(2)　前号に掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの

6　この規程において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。

7　この規程において「非識別加工情報」とは、次の各号に掲げる個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができない(個人に関する情報について、当該個人に関する情報に含まれる記述等により、又は当該個人に関する情報が他の情報と照合することができる個人に関する情報である場合にあっては他の情報(当該個人に関する情報の全部又は一部を含む個人情報その他の独立行政法人等の保有する個人情報の保護に関する法律第4章の2の規定による独立行政法人等非識別加工情報の提供に関する規則(以下「委員会規則」という。)第2条に定める情報を除く。)と照合することにより、特定の個人を識別することができないことをいう。第46条の7第2項において同じ。)ように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

(1)　第1項第1号に該当する個人情報　当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

(2)　第1項第2号に該当する個人情報　当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

8　この規程において「国立大学法人京都大学非識別加工情報」とは、次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この項において同じ。)の全部又は一部(これらの一部に独立行政法人等情報公開法第5条に規定する不開示情報(同条第1号に掲げる情報を除く。以下この項において同じ。)が含まれているときは、当該不開示情報に該当する部分を除く。)を加工して得られる非識別加工情報をいう。

(1)　法第11条第2項各号のいずれかに該当するもの又は同条第3項の規定により同条第1項に規定する個人情報ファイル簿に掲載しないこととされるものでないこと。

(2)　本学に対し、当該個人情報ファイルを構成する保有個人情報が記録されている法人文書の独立行政法人等情報公開法第3条の規定による開示の請求があったとしたならば、次のいずれかを行うこととなるものであること。

イ　当該法人文書に記録されている保有個人情報の全部又は一部を開示する旨の決定をすること。

ロ　独立行政法人等情報公開法第14条第1項又は第2項の規定により意見書の提出の機会を与えること。

(3)　本学の事務及び事業の適正かつ円滑な運営に支障のない範囲内で、第46条の7第2項の基準に従い、当該個人情報ファイルを構成する保有個人情報を加工して非識別加工情報を作成することができるものであること。

9　この規程において「国立大学法人京都大学非識別加工情報ファイル」とは、国立大学法人京都大学非識別加工情報を含む情報の集合物であって、次に掲げるものをいう。

(1)　特定の国立大学法人京都大学非識別加工情報を電子計算機を用いて検索することができるように体系的に構成したもの

(2)　前号に掲げるもののほか、これに含まれる国立大学法人京都大学非識別加工情報を一定の規則に従って整理することにより特定の国立大学法人京都大学非識別加工情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの

10　この規程において「国立大学法人京都大学非識別加工情報取扱事業者」とは、国立大学法人京都大学非識別加工情報ファイルを事業の用に供している者をいう。ただし、次に掲げる者を除く。

(1)　国の機関

(2)　独立行政法人等

(3)　地方公共団体

(4)　地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。以下同じ。)

(平27達11・平29達30・一部改正)

(職員等の責務)

第2条の2　職員等は、関係法令、規程等を遵守するとともに、総括保護管理者、保護管理者及び保護担当者の指示に従い、保有個人情報を取り扱わなければならない。

(平27達11・追加)

第2章　個人情報保護の管理体制

(総括保護管理者)

第3条　本学に、保有個人情報の適正な管理を行うため、総括保護管理者を置き、総務担当の理事をもって充てる。

2　総括保護管理者は、本学における保有個人情報の管理に関する事務を総括する。

(平24達53・平30達50・一部改正)

(保護管理者)

第4条　保有個人情報を取り扱う部局(各研究科等(研究科、附置研究所、附属図書館、医学部附属病院又はセンター等(国立大学法人京都大学の組織に関する規程(平成16年達示第1号。以下この項において「組織規程」という。)第3章第7節から第12節までに定める施設等をいう。)をいい、組織規程第56条第1項の部局事務部等を含む。)、事務本部の課若しくは室又は共通事務部の課若しくはセンターをいう。以下同じ。)に保護管理者を置き、当該部局の長(全学教員部にあっては、総長が指名する理事)をもって充てる。

2　保護管理者は、当該部局における保有個人情報の管理に関する事務を行う。

3　保護管理者は、前項の事務を行うにあたって、当該部局における保有個人情報を情報システム(京都大学の情報セキュリティ対策に関する規程(平成15年達示第43号。以下「セキュリティ対策規程」という。)第2条第2号に定めるものをいう。以下同じ。)において取り扱う場合は、当該部局の部局情報セキュリティ技術責任者(セキュリティ対策規程第5条の2第1項に定めるものをいう。)と連携して行うものとする。

(平17達76・平18達39・平19達33・平22達36・平23達38・平24達31・平25達33・平27達68・平28達36・一部改正)

(保護担当者)

第5条　各部局に保護担当者を置き、当該部局の職員(学系、学域及び全学教員部にあっては、当該組織の事務を処理する事務組織の職員を含む。)のうちから保護管理者が指名する。

2　保護担当者は、保護管理者を補佐する。

(平28達36・一部改正)

(監査責任者)

第6条　本学に監査責任者を置き、総長が指名する監事をもって充てる。

2　監査責任者は、本学における保有個人情報の管理状況を監査する。

(委員会)

第6条の2　総括保護管理者は、必要と認めるときは、保有個人情報の管理に係る重要事項の決定、連絡・調整等を行うため、委員会を置くことができる。

2　委員会に関し必要な事項は、総括保護管理者が定める。

(平27達11・追加)

第2章の2　教育研修

(平27達11・追加)

第6条の3　総括保護管理者は、次の各号に掲げる者に対し、当該各号に掲げる教育研修を行うものとする。

(1)　保護管理者及び保護担当者　部局における保有個人情報の適切な管理のための教育研修

(2)　保有個人情報の取扱いに従事する職員等　保有個人情報の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修

2　最高情報セキュリティ責任者(セキュリティ対策規程第4条第1項に定めるものをいう。)は、保有個人情報を取り扱う情報システムの管理に関する事務に従事する職員等に対し、保有個人情報の適切な管理のために必要な情報システムの管理、運用及びセキュリティ対策に関する教育研修を行うものとする。

3　保護管理者は、当該部局の職員等に対し、保有個人情報の適切な管理のために、前2項に定める教育研修への参加の機会を付与する等の必要な措置を講ずるものとする。

(平27達11・追加、平27達68・平30達50・一部改正)

第3章　個人情報の取扱い

(個人情報の保有の制限等)

第7条　職員等は、職務上個人情報を作成し、又は取得するにあたっては、本学の業務(国立大学法人法(平成15年法律第112号)第22条の規定により本学が実施する業務をいう。以下同じ。)を遂行するため必要な場合に限り、かつ、その利用の目的をできる限り特定しなければならない。

2　職員等は、前項の規定により特定された利用の目的(以下「利用目的」という。)の達成に必要な範囲を超えて、個人情報を保有してはならない。

3　職員等は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(利用目的の明示)

第8条　職員等は、本人から直接書面(電磁的記録を含む。)に記録された当該本人の個人情報を取得するときは、次に掲げる場合を除き、あらかじめ、本人に対し、その利用目的を明示しなければならない。

(1)　人の生命、身体又は財産の保護のために緊急に必要があるとき。

(2)　利用目的を本人に明示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき。

(3)　利用目的を本人に明示することにより、国の機関、独立行政法人等(独立行政法人通則法(平成11年法律第103号)第2条第1項に規定する独立行政法人及び法別表に掲げる法人をいう。以下同じ。)、地方公共団体又は地方独立行政法人が行う事務又は事業の適正な遂行に支障を及ぼすおそれがあるとき。

(4)　取得の状況からみて利用目的が明らかであると認められるとき。

(平29達30・一部改正)

(適正な取得)

第9条　職員等は、偽りその他不正の手段により個人情報を取得してはならない。

(正確性の確保)

第10条　保有個人情報を取り扱う職員等は、利用目的の達成に必要な範囲内で、当該保有個人情報(国立大学法人京都大学非識別加工情報(国立大学法人京都大学非識別加工情報ファイルを構成するものに限る。)及び削除情報(第46条の2第3項に規定する削除情報をいう。)に該当するものを除く。次条第1項、第13条及び第20条第1項において同じ。)が過去又は現在の事実と合致するよう努めなければならない。

2　保有個人情報を取り扱う職員等は、保有個人情報を情報システムに入力する際には、その重要度に応じて、既存の保有個人情報の確認、入力原票と入力内容との照合、入力前後の保有個人情報の照合等を行うものとする。

3　前2項の職員等は、取り扱う保有個人情報の内容に誤り等を発見した場合は、保護管理者の指示に従い、訂正等を行うものとする。

(平27達11・平29達30・一部改正)

(安全確保の措置等)

第11条　保護管理者は、当該部局における保有個人情報の漏えい、滅失又は毀損の防止その他保有個人情報の適切な管理のために必要な措置を講じるとともに、必要に応じ、保有個人情報の利用者の制限、保有個人情報の取扱いに関する必要な指示その他の合理的な安全対策を講じるものとする。

2　保有個人情報は、前項の利用者の制限を受けていない職員等が利用する場合に限り、取り扱うことができる。ただし、次の各号に掲げる行為については、保護管理者が保有個人情報の秘匿性等その内容に応じて必要と認める場合に限り取り扱うことができるものとし、この場合、職員等は、保護管理者の指示に従い取り扱うものとする。

(1)　保有個人情報の複製

(2)　保有個人情報の送信

(3)　保有個人情報が記録されている媒体の外部への送付又は持ち出し

(4)　その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為

3　職員等は、保護管理者の指示に従い、保有個人情報が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫等への保管、施錠等を行うものとする。

4　職員等は、保有個人情報又は保有個人情報が記録されている媒体(端末及びサーバに内蔵されているものを含む。)が不要となった場合には、保護管理者の指示に従い、当該保有個人情報の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行うものとする。

5　保護管理者は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報にアクセスする権限(以下「アクセス権限」という。)を有する職員等及びその者の有する権限の範囲を、その利用目的を達成するために必要最小限に限るものとする。

6　アクセス権限を有しない職員等は、保有個人情報にアクセスしてはならない。

7　職員等は、アクセス権限を有する場合であっても、利用目的以外の目的のために保有個人情報にアクセスしてはならない。

8　保護管理者は、保有個人情報の秘匿性等その内容に応じて、台帳等を整備し、当該保有個人情報の利用、保管等の取扱いの状況について記録するものとする。

9　保有個人情報がセキュリティ対策規程第3条第1項第4号、第5号又は第6号に該当する場合、当該保有個人情報の漏えい、滅失又は毀損の防止その他の管理は、前各項に定めるもののほか、同規程の定めるところによる。

(平21達70・平27達11・平27達68・一部改正)

(従事者の義務)

第12条　保有個人情報の取扱いに従事する職員等又はこれらの職にあった者は、その業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。

(利用及び提供の制限)

第13条　職員等は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。

2　前項の規定にかかわらず、職員等は、次の各号のいずれかに該当し、かつ、当該保有個人情報を利用目的以外の目的のために自ら利用し、又は提供することによって、本人又は第三者の権利利益を不当に侵害するおそれがないと認められるときは、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。

(1)　本人の同意があるとき又は本人に提供するとき。

(2)　本学の業務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当な理由のあるとき。

(3)　行政機関(行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)第2条第1項に規定する行政機関をいう。以下同じ。)、他の独立行政法人等、地方公共団体又は地方独立行政法人に保有個人情報を提供する場合において、保有個人情報の提供を受ける者が、法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当な理由のあるとき。

(4)　前3号に掲げる場合のほか、専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき、本人以外の者に提供することが明らかに本人の利益になるとき、その他保有個人情報を提供することについて特別の理由のあるとき。

3　前項の規定は、保有個人情報の利用又は提供を制限する法令の規定の適用を妨げるものではない。

4　総括保護管理者は、個人の権利利益を保護するため特に必要があると認めるときは、保有個人情報の利用目的以外の目的のための本学の内部における利用を特定の職員等に限るものとする。

(平30達50・一部改正)

(保有個人情報の提供を受ける者に対する措置要求)

第14条　前条第2項第3号又は第4号の規定による保有個人情報の提供は、当該行政機関等からの申請に基づき、保護管理者が行う。この場合において、保護管理者は、必要があると認めるときは、保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求めるものとする。

2　前項後段に定めるもののほか、行政機関及び独立行政法人等以外の者に保有個人情報を提供する場合には、保護管理者は、提供先における利用目的、利用する業務の根拠法令、利用する記録範囲及び記録項目、利用形態等について書面を取り交わすとともに、安全確保の措置を要求し、必要があると認めるときは、提供前又は随時に実地の調査等を行い、措置状況の確認及びその結果の記録をし、又は改善要求等の措置を講ずるものとする。

(保有個人情報取扱い業務受託業者に対する措置要求)

第15条　保護管理者は、保有個人情報の取扱いに係る業務を外部に委託する場合は、委託先において保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の適切な管理のために必要な措置が講じられていることを確認し、かつ、書面により、委託先における責任者及び業務従事者の管理並びに実施に係る体制、個人情報の管理の状況についての検査に関する事項その他個人情報の管理に関し必要な事項を確認し、個人情報の適切な管理を行う能力を有する者が選定され、及び当該委託に係る契約書に次に掲げる事項が明記されるよう必要な措置を講じるものとする。

(1)　個人情報に関する秘密保持、目的外利用の禁止等の義務

(2)　再委託(再委託先が委託先の子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定する子会社をいう。)である場合も含む。本号及び第3項において同じ。)の制限又は事前承認等再委託に係る条件に関する事項

(3)　個人情報の複製等の制限に関する事項

(4)　個人情報の漏えい等の事案の発生時における対応に関する事項

(5)　委託終了時における個人情報の消去及び媒体の返却に関する事項

(6)　違反した場合における契約解除、損害賠償責任その他必要な事項

2　保護管理者は、保有個人情報の取扱いに係る業務を外部に委託する場合は、委託する業務に係る保有個人情報の秘匿性等その内容、量等に応じて、委託先における管理体制及び実施体制並びに個人情報の管理の状況について、少なくとも年1回以上、原則として実地検査により確認するものとする。

3　保護管理者は、委託先において、保有個人情報の取扱いに係る業務が再委託される場合は、委託先に第1項の措置を講じさせるとともに、再委託される業務に係る保有個人情報の秘匿性等その内容に応じて、委託先を通じて又は自らが前項の措置を実施するものとする。保有個人情報の取扱いに係る業務について再委託先が再々委託を行う場合以降も同様とする。

4　保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合は、保護管理者は、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項が明記されるよう必要な措置を講じるものとする。

5　保有個人情報を提供し、又は保有個人情報の取扱いに係る業務を外部に委託する場合は、保護管理者は、漏えい等による被害発生のリスクを低減する観点から、提供先の利用目的、委託する業務の内容、保有個人情報の秘匿性等その内容等を考慮し、必要に応じて、氏名を番号に置き換える等の匿名化措置を講じるものとする。

(平27達11・平30達76・一部改正)

(事案の報告及び再発防止措置)

第16条　保有個人情報の漏えい、滅失若しくは毀損その他の保有個人情報の安全確保の上で問題となる事案が発生し、又は発生するおそれがある場合に、その事実を知った職員等は、直ちに当該保有個人情報を管理する保護管理者に報告しなければならない。

2　前項の報告を受けた保護管理者は、直ちに被害の拡大防止又は復旧等のために必要な措置を講じるとともに、速やかに事案の発生した経緯、被害状況等を調査し、総括保護管理者に報告する。ただし、特に重大と認める事案が発生した場合には、直ちに総括保護管理者に当該事案の内容等について報告するものとする。

3　総括保護管理者は、前項の報告を受けた場合は、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を総長に速やかに報告する。

4　総括保護管理者は、第2項の報告を受けた場合は、事案の内容等に応じて、当該事案の内容、経緯、被害状況等について、関係省庁に対し、速やかに情報提供を行うものとする。

5　保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講じるとともに、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る本人への対応等の措置を講じなければならない。

(平27達68・平28達97・一部改正)

(監査)

第17条　監査責任者は、保有個人情報の管理の状況について、定期に及び必要に応じて随時に監査(外部監査を含む。以下第3項において同じ。)を行い、その結果を総括保護管理者に報告する。

(点検)

2　保護管理者は、当該部局における保有個人情報の記録媒体、処理経路、保管方法等について、定期に及び必要に応じて随時に点検を行い、必要があると認めるときは、その結果を総括保護管理者に報告する。

(評価及び見直し)

3　総括保護管理者及び保護管理者は、監査又は点検の結果等を踏まえ、保有個人情報の適切な管理のための措置について、実効性等の観点から評価し、必要があると認めるときは、その見直し等の措置を講ずる。

(平27達11・平27達68・一部改正)

第4章　個人情報ファイル簿

(個人情報ファイル簿の作成及び公表)

第18条　保護管理者は、当該部局において個人情報ファイル(法第11条第2項各号に掲げるもの及び同条第3項の規定により個人情報ファイル簿に掲載しないものを除く。以下この条において同じ。)を保有するに至ったときは、直ちに、別記様式1に必要事項を記載し、総括保護管理者に届け出なければならない。

2　総括保護管理者は、前項の届出を受けたときは、速やかに法第11条第1項各号及び法第44条の3各号の事項を記載した帳簿(以下「個人情報ファイル簿」という。)を作成し、本学の閲覧所(第20条に定める開示窓口をいう。)に備えて置くとともに、インターネットの利用その他の情報通信の技術を利用する方法により公表する。

3　個人情報ファイル簿は、本学が保有している個人情報ファイルを通じて一の帳簿とする。

(平29達30・一部改正)

(個人情報ファイル簿の変更等)

第19条　保護管理者は、前条第1項の規定により届け出た内容に変更があったとき、保有個人情報ファイルの保有をやめたとき又はその個人情報ファイルが法第11条第2項第7号に該当するに至ったときは、直ちに、別記様式2に必要事項を記載し、総括保護管理者に届け出なければならない。

2　総括保護管理者は、前項の届出を受けたときは、速やかに個人情報ファイル簿を修正し、又は当該個人情報ファイルについての記載を削除する。

第5章　開示、訂正及び利用停止

第1節　開示

(開示請求)

第20条　法第12条の規定に基づき、保有個人情報の開示を請求しようとする者(以下「開示請求者」という。)は、所定の開示請求書を開示窓口に提出して行わなければならない。

2　前項の開示請求書の提出に際しては、法第13条第2項に定める書類を提示し、又は提出しなければならない。

3　第1項に定める開示窓口は、総務部法務室に置く。

4　前項に定めるもののほか、医学部附属病院(以下「病院」という。)に、病院において管理する患者に関する保有個人情報に係る請求の処理を行うため、診療情報等開示窓口を置く。

(平17達59加)

(平18達39・平20達48・平24達31・平25達33・平29達4・令2達54・一部改正)

(開示請求書の補正)

第21条　前条第1項により提出された開示請求書に形式上の不備があると認めるときは、開示窓口(診療情報等開示窓口を含む。第23条を除き、以下同じ。)において、開示請求者に対し、相当の期間を定めて、その補正を求めることができる。この場合において、開示請求者に対し、必要に応じて補正の参考となる情報を提供するものとする。

(平17達59改)

(平30達50・令2達54・一部改正)

(開示請求書の写しの交付)

第22条　開示窓口において開示請求書を受理したときは、開示請求者に開示請求書の写しを交付するものとする。

(開示請求書の写しの送付)

第23条　開示窓口において開示請求書を受理したときは、当該個人情報を管理する保護管理者に開示請求書の写しを送付するものとする。

(保有個人情報の提出)

第24条　保護管理者は、前条により開示請求書の写しの送付を受けたときは、当該保有個人情報を総括保護管理者に提出しなければならない。

(開示等の決定)

第25条　総括保護管理者は、第21条の規定による補正に要した日数を除き、開示請求があった日から30日以内に、法第14条から第17条までに定める保有個人情報の開示、不開示又は拒否の決定(以下「開示決定等」という。)を行うものとする。

(平21達66・一部改正)

(開示等の決定通知)

第26条　総括保護管理者は、開示決定等を行ったときは、開示請求者に対し、所定の様式により通知しなければならない。

(期限の延長)

第27条　総括保護管理者は、法第19条第2項又は法第20条の規定により第25条に定める期限を延長するときは、所定の様式により、開示請求者に通知しなければならない。

(事案の移送)

第28条　総括保護管理者は、法第21条第1項又は第22条第1項の規定により事案を他の独立行政法人等又は行政機関の長に移送するときは、所定の様式により、開示請求者に通知しなければならない。

(第三者の意見聴取等)

第29条　法第23条第1項又は第2項の規定により、開示決定等をするに当たって第三者に意見書を提出する機会を与えるときは、総括保護管理者は、事前に所定の様式により、当該第三者に通知するものとする。

2　法第23条第3項の開示決定をするときは、総括保護管理者は、開示決定の日と開示を実施する日との間に2週間以上の期間を設けるとともに、開示決定後直ちに、所定の様式により、当該第三者に通知しなければならない。

(開示の実施)

第30条　保有個人情報の開示は、法第24条第3項による申出に基づき、当該保有個人情報が、文書又は図画に記録されているものにあっては閲覧又は写しの交付により開示窓口において(写しの交付について送付の方法によることを申し出た場合にあっては郵送により)行い、電磁的記録に記録されているものにあっては当該保有個人情報ごとに総括保護管理者が定めるところにより行う。

(手数料)

第31条　開示請求者は、第20条の規定による請求を行うに当たっては、総長が別に定める方法により手数料を納付しなければならない。

2　手数料の額は、開示請求に係る保有個人情報が記録されている法人文書1件につき、300円とする。

3　前2項の規定にかかわらず、診療情報等開示窓口における開示請求に係る手数料の納付方法については病院の保護管理者の、手数料の額については京都大学医学部附属病院諸料金規程(昭和40年達示第2号)の定めるところによる。

4　保有個人情報の開示を受ける者で保有個人情報の写しの送付を希望するときは、前条の規定による申出を行う際に、併せて郵送料を郵便切手で納付しなければならない。

(平17達59加)

(平30達50・令2達54・一部改正)

(権限及び事務の専決)

第31条の2　総括保護管理者は、診療情報等開示窓口における開示請求に係る第25条から第30条までに規定する権限及び事務について病院の保護管理者に専決させる。

(平17達59本条加)

(平21達66・令2達54・一部改正)

第2節　訂正

(訂正請求)

第32条　法第27条の規定に基づき、保有個人情報の訂正(追加又は削除を含む。以下同じ。)を請求しようとする者(以下「訂正請求者」という。)は、所定の訂正請求書を開示窓口に提出して行わなければならない。

2　前項の訂正請求書の提出に際しては、訂正請求者は、法第28条第2項に定める書類を提示し、又は提出しなければならない。

(訂正請求書の補正等に係る準用)

第33条　第21条から第23条まで及び第31条の2の規定は、訂正請求書の補正、訂正請求者への訂正請求書の写しの交付、保護管理者への訂正請求書の写しの送付及び訂正請求に係る権限及び事務の専決について準用する。この場合において、第21条から第23条までの規定中「開示請求書」とあるのは「訂正請求書」と、「開示請求者」とあるのは「訂正請求者」と、第31条の2中「開示請求」とあるのは「訂正請求」と、「第25条から第30条まで」とあるのは「第35条から第38条まで」と読み替えるものとする。

(平17達59改)

(平21達66・一部改正)

(保有個人情報の訂正)

第34条　前条において準用する第23条の規定により訂正請求書の写しの送付を受けた保護管理者は、当該訂正請求に係る保有個人情報を調査し、当該訂正請求に理由があると認めるときは当該保有個人情報を訂正して総括保護管理者に提出し、理由がないと認めるときはその理由を総括保護管理者に報告しなければならない。

(訂正等の決定)

第35条　総括保護管理者は、前条の提出又は報告に基づき、第33条において準用する第21条の規定による補正に要した日数を除き、訂正請求があった日から30日以内に、保有個人情報の訂正又は訂正をしない旨の決定を行うものとする。

(平21達66・一部改正)

(訂正等の決定通知)

第36条　総括保護管理者は、前条の決定を行ったときは、訂正請求者に対し、所定の様式により通知しなければならない。

(平21達66・一部改正)

(期限の延長)

第37条　総括保護管理者は、法第31条第2項又は第32条の規定により第35条に定める期限を延長するときは、所定の様式により、訂正請求者に通知しなければならない。

(事案の移送)

第38条　総括保護管理者は、法第33条第1項及び第34条第1項の規定により事案を他の独立行政法人等又は行政機関の長に移送するときは、所定の様式により、訂正請求者に通知しなければならない。

第3節　利用停止

(利用停止請求)

第39条　法第36条の規定に基づき、保有個人情報の利用の停止、消去又は提供の停止(以下「利用停止」という。)を請求しようとする者(以下「利用停止請求者」という。)は、所定の利用停止請求書を開示窓口に提出して行わなければならない。

2　前項の利用停止請求書の提出に際しては、法第37条第2項に定める書類を提示し、又は提出しなければならない。

(利用停止請求書の補正等に係る準用)

第40条　第21条から第23条まで及び第31条の2の規定は、利用停止請求書の補正、利用停止請求者への利用停止請求書の写しの交付、保護管理者への利用停止請求書の写しの送付及び利用停止請求に係る権限及び事務の専決について準用する。この場合において、第21条から第23条までの規定中「開示請求書」とあるのは「利用停止請求書」と、「開示請求者」とあるのは「利用停止請求者」と、第31条の2中「開示請求」とあるのは「利用停止請求」と、「第25条から第30条まで」とあるのは「第42条から第44条まで」と読み替えるものとする。

(平17達59改)

(平21達66・一部改正)

(保有個人情報の利用停止)

第41条　前条において準用する第23条の規定により利用停止請求書の写しの送付を受けた保護管理者は、当該利用停止請求に係る保有個人情報を調査し、当該利用停止請求に係る理由の存否、その理由及び当該利用停止請求に理由があると認めるときは、当該利用停止が事務又は事業の適正な遂行に及ぼす影響について総括保護管理者に報告しなければならない。

(利用停止等の決定)

第42条　総括保護管理者は、前条の報告に基づき、第40条において準用する第21条の規定による補正に要した日数を除き、利用停止請求があった日から30日以内に、保有個人情報の利用停止又は利用停止をしない旨の決定を行うものとする。

(平21達66・一部改正)

(利用停止等の決定通知)

第43条　総括保護管理者は、前条の決定を行ったときは、利用停止請求者に対し、所定の様式により通知しなければならない。

(平21達66・一部改正)

(期限の延長)

第44条　総括保護管理者は、法第40条第2項又は法第41条の規定により第42条に定める期限を延長するときは、所定の様式により、利用停止請求者に通知しなければならない。

(診療情報等開示窓口における開示請求等に係る処理)

第44条の2　この章に定めるもののほか、診療情報等開示窓口における開示請求等に係る処理に関し必要な事項は、病院の保護管理者が定める。

(平17達59本条加)

(令2達54・一部改正)

第4節　審査請求

(平28達36・改称)

(審査請求に対する措置)

第45条　総括保護管理者は、法第42条第1項の規定による審査請求が行われ、法第43条第1項の規定により情報公開・個人情報保護審査会に諮問したときは、所定の様式により、審査請求人その他法第43条第2項各号に掲げる者(次項において「審査請求人等」という。)に対し、諮問をした旨を通知しなければならない。

2　総括保護管理者は、審査請求に対する裁決をしたときは、所定の様式により、審査請求人等に通知するものとする。

(平21達66・平28達36・一部改正)

(第三者からの審査請求を棄却する場合等における手続)

第46条　第29条第2項の規定は、次の各号のいずれかに該当する裁決をする場合について準用する。

(1)　開示決定に対する第三者からの審査請求を却下し、又は棄却する裁決

(2)　審査請求に係る開示決定等(開示請求に係る保有個人情報の全部を開示する旨の決定を除く。)を変更し、当該審査請求に係る保有個人情報を開示する旨の裁決(第三者である参加人が当該第三者に関する情報の開示に反対の意思を表示している場合に限る。)

(平28達36・一部改正)

第5章の2　国立大学法人京都大学非識別加工情報の提供

(平29達30・追加)

(国立大学法人京都大学非識別加工情報の作成及び提供等)

第46条の2　本学は、国立大学法人京都大学非識別加工情報(国立大学法人京都大学非識別加工情報ファイルを構成するものに限る。以下この章において同じ。)を作成し、及び提供することができる。

2　職員等は、法令に基づく場合を除き、利用目的以外の目的のために国立大学法人京都大学非識別加工情報及び削除情報(保有個人情報に該当するものに限る。)を自ら利用し、又は提供してはならない。

3　前項の「削除情報」とは、国立大学法人京都大学非識別加工情報の作成に用いた保有個人情報(他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを除く。)を除く。以下この章において同じ。)から削除した記述等及び個人識別符号をいう。

(平29達30・追加)

(提案の募集)

第46条の3　総括保護管理者は、毎年度1回以上、募集の開始の日から30日以上の期間を定めて、インターネットの利用その他の適切な方法により、本学が保有している個人情報ファイル(個人情報ファイル簿に法第44条の3第1号に掲げる事項の記載があるものに限る。以下この章において同じ。)について、次条の提案を募集するものとする。

(平29達30・追加、令元達41・一部改正)

(国立大学法人京都大学非識別加工情報をその用に供して行う事業に関する提案)

第46条の4　前条の規定による募集に応じて国立大学法人京都大学非識別加工情報取扱事業者になるための提案を行おうとする者は、所定の提案書その他必要な書面を開示窓口に提出しなければならない。

(平29達30・追加)

(提案の審査等)

第46条の5　総括保護管理者は、前条の提案があったときは、当該提案が法第44条の7第1項各号に掲げる基準に適合するかどうかを審査する。

2　総括保護管理者は、前項の規定により審査した結果、前条の提案が法第44条の7第1項各号に掲げる基準に適合すると認めるときは、当該提案をした者に対し、次に掲げる事項を書面により通知するものとする。

(1)　法第44条の9の規定により本学との間で国立大学法人京都大学非識別加工情報の利用に関する契約を締結することができる旨

(2)　納付すべき手数料の額

(3)　手数料の納付方法

(4)　手数料の納付期限

(5)　国立大学法人京都大学非識別加工情報の提供の方法

3　総括保護管理者は、第1項の規定により審査した結果、前条の提案が法第44条の7第1項各号に掲げる基準のいずれかに適合しないと認めるときは、当該提案をした者に対し、理由を付して、その旨を書面により通知するものとする。

(平29達30・追加)

(第三者に対する意見書提出の機会の付与等)

第46条の6　法第44条の8第1項において準用する独立行政法人等情報公開法第14条第1項又は第2項の規定により、個人情報ファイル簿に法第44条の3第3号に掲げる事項の記載がある個人情報ファイルに係る第46条の4の提案に係る審査をするに当たって第三者に意見書を提出する機会を与えるときは、総括保護管理者は、事前に所定の様式により、当該第三者に通知するものとする。

2　前項の意見書の提出の機会を与えられた第三者が第46条の4の提案に係る国立大学法人京都大学非識別加工情報の作成に反対の意思を表示した意見書を提出したときは、当該提案に係る個人情報ファイルから当該第三者を本人とする保有個人情報を除いた部分を当該提案に係る個人情報ファイルとみなして、この章の規定を適用する。

(平29達30・追加)

(国立大学法人京都大学非識別加工情報の作成等)

第46条の7　総括保護管理者は、本学が第46条の4の提案をした者と国立大学法人京都大学非識別加工情報の利用に関する契約を締結したときは、当該提案に係る個人情報ファイルを保有する部局の保護管理者に、国立大学法人京都大学非識別加工情報の作成を指示するものとする。

2　保護管理者は、国立大学法人京都大学非識別加工情報を作成するときは、特定の個人を識別することができないように及びその作成に用いる保有個人情報を復元することができないようにするために必要なものとして委員会規則第10条に定める基準に従い、当該保有個人情報を加工しなければならない。

(平29達30・追加)

(国立大学法人京都大学非識別加工情報に関する事項の個人情報ファイル簿への記載)

第46条の8　保護管理者は、当該部局において国立大学法人京都大学非識別加工情報を作成したときは、当該国立大学法人京都大学非識別加工情報の作成に用いた保有個人情報を含む個人情報ファイルについては、直ちに別記様式2に当該国立大学法人京都大学非識別加工情報の概要を記載し、総括保護管理者に届け出なければならない。

2　総括保護管理者は、前項の届出を受けたときは、速やかに当該国立大学法人京都大学非識別加工情報の作成に用いた保有個人情報を含む個人情報ファイルについて、個人情報ファイル簿に次に掲げる事項を記載しなければならない。

(1)　国立大学法人京都大学非識別加工情報の本人の数及び国立大学法人京都大学非識別加工情報に含まれる情報の項目

(2)　次条の提案を受ける組織の名称及び所在地

(3)　次条の提案をすることができる期間

(平29達30・追加)

(作成された国立大学法人京都大学非識別加工情報をその用に供して行う事業に関する提案等)

第46条の9　第46条の4及び第46条の5の規定は、前条第2項の規定により個人情報ファイル簿に同項第1号に掲げる事項が記載された国立大学法人京都大学非識別加工情報をその事業の用に供する国立大学法人京都大学非識別加工情報取扱事業者になろうとする者が行う提案について準用する。当該国立大学法人京都大学非識別加工情報について法第44条の9の規定により本学と国立大学法人京都大学非識別加工情報の利用に関する契約を締結した者が、当該国立大学法人京都大学非識別加工情報をその用に供する事業を変更しようとするときも、同様とする。

(平29達30・追加)

(手数料)

第46条の10　法第44条の9(法第44条の12第2項において準用する場合を含む。次条において同じ。)の規定により本学と国立大学法人京都大学非識別加工情報の利用に関する契約を締結する者は、総長の定めるところにより、21,000円に次に掲げる額の合計額を加算した額の手数料を納めなければならない。

(1)　法第44条の8第1項において準用する独立行政法人等情報公開法第14条第1項又は第2項の規定により意見書の提出の機会を与える第三者一人につき210円(当該機会を与える場合に限る。)

(2)　国立大学法人京都大学非識別加工情報の作成に要する時間1時間までごとに3,950円

(3)　国立大学法人京都大学非識別加工情報の作成の委託を受けた者に対して支払う額(当該委託をする場合に限る。)

2　前条の規定により本学と国立大学法人京都大学非識別加工情報の利用に関する契約を締結する者は、総長の定めるところにより、次に掲げる区分に応じ、それぞれ当該各号に定める額の手数料を納めなければならない。

(1)　次号に掲げる者以外の者　法第44条の9の規定により本学と当該国立大学法人京都大学非識別加工情報の利用に関する契約を締結する者が前項の規定により納付しなければならない手数料の額と同一の額

(2)　法第44条の9(法第44条の12第2項において準用する場合を含む。)の規定により本学と当該国立大学法人京都大学非識別加工情報の利用に関する契約を締結した者　12,600円

(平29達30・追加、平30達50・一部改正)

(国立大学法人京都大学非識別加工情報の利用に関する契約の解除)

第46条の11　総長は、法第44条の9の規定により本学と国立大学法人京都大学非識別加工情報の利用に関する契約を締結した者が次の各号のいずれかに該当するときは、当該契約を解除することができる。

(1)　偽りその他不正の手段により当該契約を締結したとき。

(2)　法第44条の6各号(法第44条の12第2項において準用する場合を含む。)のいずれかに該当することとなったとき。

(3)　当該契約において定められた事項について重大な違反があったとき。

(平29達30・追加)

(安全確保の措置)

第46条の12　保護管理者は、当該部局における国立大学法人京都大学非識別加工情報、国立大学法人京都大学非識別加工情報の作成に用いた保有個人情報から削除した記述等及び個人識別符号並びに第46条の7第2項の規定により行った加工の方法に関する情報(以下この条及び次条において「国立大学法人京都大学非識別加工情報等」という。)の漏えいを防止するために必要な措置を講じるものとする。

(平29達30・追加)

(従事者の義務)

第46条の13　非識別加工情報等の取扱いに従事する職員等又はこれらの職にあった者は、その業務に関して知り得た国立大学法人京都大学非識別加工情報等の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。

(平29達30・追加)

第6章　雑則

(移送された事案の取扱い)

第47条　他の独立行政法人等又は行政機関から移送された事案に係る開示、訂正又は利用停止に係る手続は、第23条から前条までの規定に準じて取り扱うものとする。

(関係省庁との連携)

第47条の2　本学は、保有個人情報の適切な管理にあたって、個人情報の保護に関する基本方針(平成16年4月2日閣議決定)を踏まえ、関係省庁と緊密に連携して行うものとする。

(平28達97・追加)

(法務・コンプライアンス担当の副学長の協力)

第47条の3　総括保護管理者は、本学における個人情報の保護に関し必要があると認めるときは、法務・コンプライアンス担当の副学長に対して協力を求めることができる。

(平30達50・追加)

(適用除外)

第48条　本学における行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)に基づく特定個人情報等の取扱いその他特定個人情報等の保護については、京都大学における個人番号及び特定個人情報の保護に関する規程(平成27年達示第49号)の定めるところによる。

(平27達48・追加)

(その他)

第49条　この規程に定めるもののほか、本学における個人情報の保護に関し必要な事項は、総括保護管理者が定める。

(平21達66・一部改正、平27達48・旧第48条繰下)

附　則

この規程は、平成17年4月1日から施行する。

〔中間の改正規程の附則は、省略した。〕

附　則(平成17年達示第76号)

この規程は、平成17年11月29日から施行し、平成17年11月1日から適用する。

〔中間の改正規程の附則は、省略した。〕

附　則(平成28年達示第36号)

1　この規程は、平成28年4月1日から施行する。

2　この規程の施行前に本学が行った決定又はこの規程の施行前に開示請求等があったものに係る本学の不作為に係る異議申立てについては、改正後の規定にかかわらず、なお従前の例による。

〔中間の改正規程の附則は、省略した。〕

附　則(令和2年達示第54号)

この規程は、令和2年10月1日から施行する。

別記様式1(第18条第1項関係)

(平29達30・一部改正、令元達37・全改)

別記様式2(第19条第1項関係)

(平29達30・一部改正、令元達37・全改)

◆	平成17年3月14日	達示第1号
◇	平成17年7月25日	達示第59号
◇	平成17年11月29日	達示第76号
◇	平成18年3月29日	達示第39号
◇	平成19年3月30日	達示第33号
◇	平成20年9月16日	達示第48号
◇	平成21年2月3日	達示第66号
◇	平成21年3月2日	達示第70号
◇	平成22年3月29日	達示第36号
◇	平成23年3月31日	達示第38号
◇	平成24年3月27日	達示第31号
◇	平成24年9月25日	達示第53号
◇	平成25年3月27日	達示第33号
◇	平成27年3月25日	達示第11号
◇	平成27年9月15日	達示第48号
◇	平成27年12月22日	達示第68号
◇	平成28年3月31日	達示第36号
◇	平成29年2月28日	達示第97号
◇	平成29年3月28日	達示第4号
◇	平成29年5月23日	達示第30号
◇	平成30年5月29日	達示第50号
◇	平成30年12月18日	達示第76号
◇	令和元年5月7日	達示第37号
◇	令和元年6月3日	達示第41号
◇	令和2年9月29日	達示第54号