國學院大學久我山中学校・高等学校は、学校法人國學院大學の個人情報保護方針に従うものとします。
学校法人國學院大學の個人情報保護方針は以下のリンクからご確認ください。
國學院大學久我山中学校・高等学校(以下、本校)における個人情報の取扱いは、下記のとおりとします。
(1)生徒に関する個人情報の利用について |
本人の確認、成績・履修に関わる事項、学習指導・進路指導・生活指導、進学・転学等に伴う関係諸機関への届け出、安全対策を目的とした各種連絡等に使用します。 |
(2)保護者に関する個人情報の利用について |
学費納入等の学則に定めた手続き、生徒の教育活動に関連して、保護者への報告・連絡・相談などが必要な場合に使用します。 |
(3)卒業生(退学生)に関する個人情報の利用について |
卒業・成績・在籍等の証明に関する業務、同窓会の運営・管理、進学・転学等に伴う関係諸機関への届け出等に使用します。 |
(4)受験生に関する個人情報の利用について |
入試出願時に取得した個人情報は入学試験の際に利用します。また入学手続(編入学を含む)、入学前のガイダンスに使用します。 |
(5)学校行事開催時等に取得する個人情報(画像)について |
行事等の様子を撮影した画像は、本校ホームページや学校案内パンフレット(リーフレットを含む)等に掲載し、広報活動等のため活用する場合がございます(ただし、個人氏名と併せて掲載する場合は、本人の承諾を得た上で掲載します)。 |
※利用期間については、法令に定めがあるものについてはその期間、その他のものについては、入学時から卒業までとなります。
(1)生徒に関する個人情報 |
生徒の氏名、性別、生年月日、住所、電話番号、学籍番号、画像、出身学校、学年・クラス・部活動等の所属、履修・成績等の情報、健康管理の情報、奨学生情報、賞罰情報、学費納入等の諸情報 |
(2)保護者(法定代理人)に関する個人情報 |
保護者の氏名・住所・電話番号、続柄、勤務先、電子メールアドレス |
(3)卒業生(退学生)に関する個人情報の利用について |
卒業(退学)時の氏名、性別、生年月日、住所、電話番号、学籍番号、画像、進路に関する情報、出身学校、学年・クラス・部活動等の所属、履修・成績等の情報 |
(4)受験生に関する個人情報 |
入学試験に関わる成績・諸手続き時に文書(各種諸票)に記入した個人情報(E-mailやFAXによる個人情報も含む) |
國學院大學久我山中学校・高等学校 個人情報保護委員会
制定 平成29年5月11日
改正 令和4年4月1日
第1編 総則
(目的)
第1条 この規程は、学校法人國學院大學個人情報の保護に関する規程(以下「法人規程」という。)に基づき、國學院大學久我山中学高等学校(以下「本校」という。)における個人情報等の保護について、必要な事項を定める。
(責務)
第2条 本校は、法人規程第3条に基づき、次の各号に定める措置を講じるものとする。
(校長の責務)
第3条 校長は、本校における個人情報保護に関する取り組みの全てを監督する責務を有する。
第2編 個人情報
第1章 安全管理措置
第1節 組織的安全管理措置
(委員会の設置)
第4条 本校に、個人データを適正に管理する事務取扱責任を担う組織として、國學院大學久我山中学高等学校個人情報保護委員会(以下「委員会」という。)を置く。
(委員会の構成)
第5条 委員会は、校長が委嘱する専任教員及び専任職員によって構成する。
(委員会の任務)
第6条 委員会は、個人情報保護に関する次の事項について審議し、決定する。
(1) 個人情報保護に関する本校の基本方針への意見
(2) 個人情報の収集、利用及び提供に関する照会の回答
(3) 開示並びに訂正、追加、削除及び利用の停止(以下「訂正等」という。)に関する照会の回答
(4) 個人データの安全管理に関する教育及び研修等の企画及び実施
(5) 生徒に関する個人情報データベースの利用及び取扱状況の把握
(6) 個人データの取扱状況の把握
(7) 個人データ及び個人情報データベース等に係る委託先選定基準の周知及び監督等
(8) 委託先における個人データの取扱状況等の監督
(9) その他、個人データの安全管理に関する事項
2 委員会は、個人データがこの規程に基づき適正に取り扱われるよう、第8条に規定する個人情報保護管理者に対して必要かつ適切な指導又は助言を行うものとする。
(委員会の運営)
第7条 委員会の運営については、別に定める細則に従うものとする。
(個人情報保護管理者)
第8条 本校は、法人規程及びこの規程の目的を達成するため、個人情報保護管理者(以下「管理者」という。)を置き、管理者は、その所管する範囲内における個人情報、仮名加工情報、削除情報等及び匿名加工情報等(以下「所管情報」という。)の取扱いの責任を負う。
2 管理者は、所管情報を適正に管理するため、次の各号に定める事項について措置を講じなければならない。
(1) 所管情報の紛失、毀損等の事故、及び不正アクセスの防止
(2) 所管情報の改ざん及び漏えいの防止
(3) 個人データ及び削除情報等の正確性及び最新性の保持
(4) 不要となった所管情報の廃棄又は消去
3 管理者は、この規程の定めに従い、所管情報の収集、利用、提供及び管理が適正に行われ、かつ本人からの開示及び訂正等の請求があった場合、適正に処理されるようにしなければならない。
4 所管情報の管理責任範囲について疑義が生じた場合は、委員会の協議により、これを定めるものとする。
5 管理者は、所管情報の取扱いに関し、校長の命令があった場合は、すみやかに必要な措置を講じなければならない。
6 管理者は、所管する構成員に対して必要かつ適切な監督を行い、委員会に対して必要な報告を行う。
(本校構成員の責務)
第9条 本校の構成員は、法人規程第6条を遵守するとともに、委員会の指導又は助言に従い、個人データの保護に十分な注意を払って、個人データを取扱う業務に従事するものとする。
2 本校の構成員は、個人情報の漏えい等、法、政令及び規則若しくはその他の関連法令、ガイドライン、法人規程、この規程若しくはその他の規程又は委員会の指導若しくは助言に違反している事実又は兆候を把握した場合には、すみやかに管理者に報告するものとする。構成員から報告を受けた各部署の責任者は、すみやかに委員会へ報告するものとする。
(個人情報及び個人情報データベース等の運用状況の確認)
第10条 委員会は、別に定める項目について、別に定める方法により、この規程に基づく個人情報及び個人情報データベース等の運用状況を確認する。
(取扱状況の確認手段)
第11条 本校の構成員が、個人情報データベース等の取扱状況を確認するための手段については、別に定める。
(情報漏えい事案等への対応)
第12条 管理者は、個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の事案の発生又は兆候を把握した場合は、校長及び委員会へ報告する。
2 前項の報告を受けた委員会は、各部署の責任者と共に、次の各号に掲げる措置を講じるものとする。
(1) 事実関係の調査及び原因の究明
(2) 影響を受ける可能性のある本人への通知
(3) 個人情報保護委員会及び監督官庁への報告
(4) 再発防止策の検討及び決定
(5) 事実関係及び再発防止策等の公表
(6) 前各号に掲げるもののほか、必要な事項
(監査)
第13条 委員会は、個人データ及び個人情報データベース等の取扱状況並びに関係法令及びこの規程の遵守状況を検証するため、定期的に内部点検を行い、必要に応じて監査を定期的に実施する。
2 委員会は、内部点検の結果及び監査の報告に基づき、当該部局に対して改善の指示を行う。
(個人情報保護審査会)
第14条 個人情報の取扱いに関する本人からの苦情並びに個人データの開示、訂正等の決定及び第三者提供記録の開示の決定に対する不服の申し立てを処理するために、必要に応じて個人情報保護審査会(以下「審査会」という。)を置く場合がある。
(審査会の構成)
第15条 審査会は、校長及び、校長が委嘱する専任教職員によって構成する。
2 委員の任期は、1年とする。ただし、再任を妨げない。
3 審査会に責任者を置く。
4 審査会の委員は、委員会の委員を兼ねることはできない。
(審査会の運営)
第16条 審査会は、本校のいかなる機関からも独立して、その職務を遂行するものとする。
2 審査会の運営については、別に定める細則に従うものとする。
第2節 人的安全管理措置
(教育及び研修)
第17条 委員会は、本校の構成員に対してこの規程を遵守させるための教育及び研修を企画し、運営するものとする。
第3節 物理的安全管理措置
(機器及び電子媒体等の盗難等の防止)
第18条 本校は、管理区域及び取扱区域における個人データを取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、別に定める措置を講じる。
(個人データが記載された書類及び記録された媒体等の移動)
第19条 本校の構成員は、次の各号に定める場合を除き、個人データが記載された書類又は記録された電子媒体等を校外へ持ち出してはならない。
(1) 教員又は職員が、正当な教育活動の遂行又は本校の運営のために必要とする場合
(2) 個人情報を使用する業務を校外の事業者(以下「委託事業者」という。)に委託する場合
2 個人データが記載された書類又は記録された電子媒体等を管理区域又は取扱区域の外へ持ち運ぶ場合については、個人データの紛失及び盗難等に留意しなければならない。
3 個人データが記載された書類又は記録された電子媒体等を移動する場合には、次の各号に定める安全対策を講じるものとする。
(1) 校内での持ち運び
ア 搬送容器の使用
イ 共有フォルダの使用
ウ その他安全対策として必要な事項
(2) 校外への持ち運び
ア 持ち運びデータの暗号化
イ 持ち運びデータのパスワードによる保護
ウ その他安全対策として必要な事項
(個人データの削除又は廃棄)
第20条 個人データの削除又は廃棄にあたっては、次の各号に掲げる復元できない手段によって削除又は廃棄をする。
(1) 個人データが記載等された書類を廃棄する場合には、焼却、溶解又は復元不能な程度の細断を行う。
(2) 個人データが記録された電子媒体等を廃棄する場合には、専用のデータ削除ソフトウェアを利用し、又は物理的な破壊等により行う。
(3) 個人情報データベース等に含まれる個人データを削除する場合には、データ復元用の専用ソフトウェア、プログラム、装置などを利用しなければ容易に復元できない手段により行う。
2 前項により削除又は廃棄を行った場合は、削除又は廃棄を行った個人データ又は個人情報データベース等について、別に定める方法により、記録する。削除又は廃棄を外部へ委託する場合は、委託事業者の作業について証明書を取得して確認するとともに保管する。
第2章 個人情報の取扱い
第1節 個人情報の取得及び利用等
(収集の届出)
第21条 本校の教育研究活動及び本校の運営をする上で、新たに個人情報を収集する場合は、管理者は、あらかじめ次の各号に定める事項を委員会に届け出なければならない。
(1) 名称
(2) 利用目的
(3) 収集の対象者
(4) 収集方法
(5) 記録項目
(6) 記録の形態
(7) その他、委員会が必要と認める事項
2 前項の規定に基づき届け出た事項を変更又は廃止する場合、管理者は、これを委員会に届け出なければならない。
第2節 個人情報の第三者提供
(第三者提供をする際の記録)
第22条 個人データを第三者に提供したときは、第三者提供に係る記録を作成しなければならない。ただし、当該個人データの提供が法に定める場合又は法人規程第20条第5項各号のいずれかに該当する場合は、この限りでない。
2 第三者に個人データの提供をする場合の記録は、文書又は電磁的記録を用いて作成する。
3 前項の記録は、第三者へ個人データの提供をした都度、すみやかに作成しなければならない。ただし、当該第三者に対し継続的に若しくは反復して個人データの提供(法人規程第20条の規定に基づく提供を除く。)をしたとき、又は当該第三者に対し継続的に若しくは反復して個人データの提供をすることが確実であると見込まれるときの記録は、一括して作成することができる。
4 前項の規定にかかわらず、第2項の記録は、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者へ個人データの提供をしたときの記録に代えることができる。
5 法人規程第20条に基づき個人データを第三者に提供した場合は、以下の事項を記録するものとする。
(1) 当該個人データを提供した時期
(2) 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
(3) 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
(4) 当該個人データの項目
6 法人規程第19条第1項又は法人規程第21条第1項に基づく本人の同意を得て個人データを第三者に提供した場合は、以下の事項を記録するものとする。
(1) 本人の同意を得ている旨
(2) 当該個人データを提供した時期
(3) 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
(4) 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
(5) 当該個人データの項目
7 第5項及び前項の記載事項のうち、第2項から第4項までの方法により作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
8 第5項から前項までの規定により作成した記録は、次の各号に掲げる場合に応じて、当該各号に定める記録を作成した日から所定の期間保存しなければならない。
(1) 本人を当事者とする契約書等に基づく個人データの提供の場合
最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間
(2) 個人データの継続的又は反復した提供の場合
最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間
(3) 前二号以外の場合
当該記録を作成した日から起算して3年を経過する日までの間
(第三者提供を受ける際の確認及び記録)
第23条 第三者から個人データの提供を受けるに際しては、次の各号に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が法に定める場合又は法人規程第20条第5項各号のいずれかに該当する場合は、この限りでない。
(1) 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
(2) 当該第三者による当該個人データの取得の経緯
2 第三者から個人データの提供を受ける際の確認を行う方法は、次の各号に掲げる確認を行う事項に応じて、当該各号に定める方法とする。
(1) 前項第1号に該当する事項
個人データを提供する第三者から申告を受ける方法その他の適切な方法
(2) 前項第2号に該当する事項
個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法
3 前項の規定にかかわらず、第三者から他の個人データの提供を受けるに際して既に前項の方法による確認(当該確認について記録の作成及び保存をしている場合におけるものに限る。)を行っている場合は、当該事項の内容と当該提供に係る確認事項の内容が同一であることの確認を行う。
4 前三項に規定する確認を行ったときは、次の各号に掲げる区分に応じて、当該各号に定める事項を記録しなければならない。
(1) 法人規程第20条に規定する方法により個人データの提供を受けた場合
ア 個人データの提供を受けた時期
イ 当該第三者の氏名又は名称
ウ 当該第三者の住所
エ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
オ 当該第三者による当該個人データの取得の経緯
カ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
キ 当該個人データの項目
ク 法第23条第4項に基づき個人情報保護委員会による公表がされている旨
(2) 法人規程第19条第1項又は法人規程第21条第1項に規定する方法により個人データの提供を受けた場合
ア 本人の同意を得ている旨
イ 個人データの提供を受けた時期
ウ 当該第三者の氏名又は名称
エ 当該第三者の住所
オ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
カ 当該第三者による当該個人データの取得の経緯
キ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
ク 当該個人データの項目
(3) 個人情報取扱事業者でない第三者から提供を受けた場合
ア 個人データの提供を受けた時期
イ 当該第三者の氏名又は名称
ウ 当該第三者の住所
エ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
オ 当該第三者による当該個人データの取得の経緯
カ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
キ 当該個人データの項目
5 前項各号の記載事項のうち、既に作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
6 第4項の記録は、次項に該当する場合を除き、第三者から個人データの提供を受けた都度、すみやかに作成しなければならない。ただし、当該第三者から継続的に若しくは反復して個人データの提供(法人規程第20条の規定に基づく提供を受けた場合を除く。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
7 前項の規定にかかわらず、第4項の記録は、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者から個人データの提供を受けたときの記録に代えることができる。
8 第4項又は第5項の規定により作成した記録は、次の各号に掲げる場合に応じて、当該各号に定める記録を作成した日から所定の期間保存しなければならない。
(1) 本人を当事者とする契約書等に基づく個人データの提供の場合
最後に当該記録に係る個人データの提供を受けた日から起算して1年を経過する日までの間
(2) 個人データの継続的又は反復した提供の場合
最後に当該記録に係る個人データの提供を受けた日から起算して3年を経過する日までの間
(3) 前二号以外の場合
当該記録を作成した日から起算して3年を経過する日までの間
(個人関連情報の第三者提供をする際の確認及び記録)
第23条の2 前条の規定は、個人関連情報を第三者に提供する際の確認及び記録に準用する。この場合において、同条中「の提供を受ける」又は「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。
第3編 匿名加工情報
(匿名加工情報の取扱い)
第24条 匿名加工情報の取扱いについては、法人規程を準用する。
第4編 仮名加工情報
(仮名加工情報の取扱い)
第25条 仮名加工情報の取扱いについては、法人規程を準用する。
第5編 委託
(匿名加工情報の作成の委託)
第26条 匿名加工情報の作成の委託については、法人規程を準用する。
第6編 開示請求及び訂正並びに苦情処理
第1章 個人データの開示、訂正等、利用停止等及び第三者提供の停止
(保有個人データの利用目的の通知請求)
第27条 本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知するものとする。ただし、次の各号のいずれかに該当する場合は、この限りでない。
(1) 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
(2) 法に定める場合
2 前項の規定に基づき、求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(保有個人データの開示請求)
第28条 本人は、自己に関する個人データについて、当該個人データを保有する管理者に対し、開示の請求(以下「開示請求」という。)をすることができる。
2 前項の請求をする場合は、所定の様式に記入した上で、本人であることを明らかにする書類を添付し、本校に提出するものとする。
3 開示請求があった場合には、管理者は、速やかに保有個人データを開示(当該保有個人データが存在しないときに、その旨を知らせることを含む。以下同じ。)するものとする。ただし、次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 個人の指導、評価、診断、選考等に関する保有個人データであって、開示をすることにより、当該指導、評価、診断、選考等に著しい支障が生ずるおそれがある場合
(3) 開示をすることにより、本校の運営の適正な執行に支障が生じ、又は請求自体が本校の業務に著しい支障を生ずる場合
(4) 他の法令に違反することとなる場合
4 他の法令の規定により、本人に対し前項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は、適用しない。
(非開示の決定)
第29条 管理者は、保有個人データの全部又は一部について開示をしない旨の決定をした場合は、開示請求をした者に対し、その理由を書面により通知しなければならない。
(開示の方法)
第30条 保有個人データの開示は、開示請求をした者が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により行うものとする。
2 前項の規定により開示請求をした者が請求した方法による開示が困難であるときは、開示請求をした者に対し、遅滞なく、その旨を通知しなければならない。
(第三者提供記録の開示)
第31条 第28条から前条までの規定は、当該本人が識別される個人データに係る第22条第 1項及び第23条第4項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。以下「第三者提供記録」という。)について準用する。
(保有個人データの訂正等の請求)
第32条 本人は、自己の個人データに誤りがあると判断した場合、又は手続に不備があると認める場合は、当該個人データを保有する管理者に対し、訂正等の請求をすることができる。
2 保有個人データの訂正等の請求をする場合については、第28条第2項の規定を準用する。
3 管理者は、第1項に基づく請求を受けた場合は、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく、当該請求に係る事実を調査し、必要と認める場合には、すみやかに訂正等を行わなければならない。
4 第1項に規定する請求に係る保有個人データの内容の全部又は一部について訂正等を行ったとき、又は訂正等を行わない旨を決定したときは、本人に対し、遅滞なく、書面によりその旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。通知に際しては、その理由を付するものとする。
(保有個人データの利用停止等)
第33条 本人は、当該本人が識別される保有個人データが、法人規程第14条第3項若しくは第16条の2の規定に違反して取り扱われたものであるとき、又は法人規程第15条の規定に違反して取得されているときは、当該個人データを保有する本校に対し、当該保有個人データの利用の停止又は消去(以下この編において「利用停止等」という。)を請求することができる。
2 第28条第2項の規定は、保有個人データの利用停止等の請求をする場合に準用する。
3 本校は、第1項に基づく請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等を行うことに多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、当該本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
4 本校は、本人が識別される保有個人データを本校が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る法第22条の2第1項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがあることを理由として、当該保有個人データ利用停止等又は第三者への提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するために必要なこれに代わる措置をとるときは、この限りでない。
5 第1項若しくは前項に規定する請求に係る保有個人データの内容の全部又は一部について利用停止等を行ったとき又は利用停止等を行わない旨を決定したときは、本人に対し、遅滞なく、書面によりその旨を通知しなければならない。通知に際しては、その理由を付するものとする。
(保有個人データの第三者提供の停止)
第34条 本人は、当該本人が識別される保有個人データが法人規程第19条又は法人規程第21条の規定に違反して第三者に提供されているときは、当該個人データを保有する本校に対し、当該保有個人データの第三者への提供の停止を請求することができる。
2 第28条第2項の規定は、保有個人データの第三者への提供の停止の請求をする場合に準用する。
3 本校は、第1項に基づく請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
4 第1項に規定する請求に係る保有個人データの内容の全部又は一部について第三者への提供を停止したとき又は第三者への提供を停止しない旨を決定したときは、本人に対し、遅滞なく、書面によりその旨を通知しなければならない。通知に際しては、その理由を付するものとする。
第2章 審査の申立て
(審査の申立て)
第35条 本人は、自己の個人データの取扱いに関する事項について苦情がある場合、保有個人データの開示、訂正等、利用停止等若しくは第三者提供の停止に関する決定について不服がある場合若しくは第三者提供記録の開示に関する決定に不服がある場合又は匿名加工情報等の取扱いに関する事項について苦情がある場合は、本校に対し、審査の申立てをすることができる。
2 前項の申立てをする場合は、所定の様式に記入し、本人であることを明らかにする書類を添えて本校に提出するものとする。
(審査会の招集)
第36条 校長は、前条に規定する審査の申立てがあった場合は、すみやかに審査会を招集しなければならない。
(審査結果の報告、校長の決定及び決定内容の通知)
第37条 審査会は、第35条に規定する審査の申立てに係る事実を調査し、その結果を遅滞なく校長に報告しなければならない。
2 校長は、審査会の報告に基づき、当該申立てに対する措置をすみやかに決定しなければならない。
3 校長は、本人及び当該申立てに関係する機関の管理者に、決定の内容を通知しなければならない。
(不利益な扱いの禁止)
第38条 申立てを行った者は、申立てを理由とするいかなる不利益な扱いも受けないものとする。
第7編 罰則
(罰則)
第39条 校長は、この規程に違反した者に対して、就業規則に従って処分に必要な手続きをとることができる。
第8編 雑則
(規程の改廃)
第40条 この規程の改廃は、委員会の審議を経て校長がこれを行い、職員会議にて報告を行う。
(委任)
第41条 この規程に定めるもののほか、個人情報の保護に関する実施細則等については、別に定める。
(事務の所管)
第42条 個人情報の保護に関する事務は、庶務管理課がこれにあたる。
附 則
(施行期日)
この規程は、平成18年4月1日に施行する。
この規程は、平成29年5月30日から施行する。
この規程は、令和4年4月1日から施行する。
制定 平成29年5月11日
改正 令和4年4月1日
(目的)
第1条 この細則は、國學院大學久我山中学高等学校個人情報保護規程に基づき、國學院大學久我山中学高等学校(以下「本校」という。)における個人情報等の保護について、必要な事項を定めるものとする。
(委員会の運営等)
第2条 個人情報保護規程第7条による、個人情報保護委員会は、次の委員をもって構成する。
(1)個人情報保護規程第5条に基づく委員
2 委員会は、必要に応じて、委員以外の出席を要請されたもの
(個人情報保護管理者)
第3条 個人情報保護規程第8条による、本校の各部署に次に定める管理者を置く。
(1)各部にあっては、各部長
(2)課程にあっては、課程主任
(3)学科にあっては、学科主任
(4)校務分掌にあっては、所属長、もしくは主任
(5)事務にあっては、事務長、課長、その他の役職者
2 校長は、前項で定める管理者の他、必要に応じて管理者を任命することができる。
(管理者の職務)
第4条 管理者は、次の職務を行う。
(1)個人情報の適正な取得、利用、提供及び保管に関する事項並びに仮名加工情報、削除情報等及び匿名加工情報等の適正な作成、利用、提供及び保管に関する事項
(2)構成員への法令及び規程の周知並びに監督に関する事項
(3)所管する個人情報について、本人からの相談等に関する事項
(4)業務を外部へ委託する場合における委託先の個人データ、仮名加工情報又は匿名加工情報等の取扱状況等の調査及び監督に関する事項
(5)個人データ又は匿名加工情報等を第三者へ提供する場合又は個人データ、仮名加工情報又は匿名加工情報等を共同利用する場合の提供先又は共同利用先の個人情報保護状況の調査及び監督に関する事項
(個人情報及び個人情報データベース等の運用状況の記録の項目及び方法)
第5条 個人情報保護規程第10条に規定する項目及び方法は、次の各号に規定する事項とする。
(1)個人情報データベース等ファイルへの入力状況
システムログとして記録する。
(2)個人情報データベース等の利用及び出力状況の記録
システムログとして記録する。
(3)個人情報データベース等の削除又は廃棄の状況
情報資産洗出表等へ記録する。
(4)前号の削除又は廃棄を委託した場合、その状況
委託先契約書等に基づく委託事業者から受領した証明書により確認する。
(5)個人情報データベース等をコンピュータで取り扱う場合、本校構成員のコンピュータの利用状況
システムログとして記録する。
(取扱状況の確認手段)
第6条 個人情報保護規程第11条に規定する取扱状況を確認するための手段は、情報資産洗出表等の作成及び保管とし、これらの書類について適宜更新作業を行うものとする。
(審査会の運営)
第7条 個人情報保護規程第16条による、個人情報の保護に関する審査会は、次の委員をもって構成する。
(1)個人情報保護規程第15条に基づく委員
2 審査会は、必要に応じ、委員以外の出席を要請されたもの
(会議)
第8条 校長は、次の場合、速やかに審査会を招集しなければならない。
(1)個人情報の取扱いに関する苦情があった場合
(2)個人データ又は第三者提供記録の開示等の決定に対する審査の申し立てがあった場合
(3)法令違反、又は規程違反の疑義が生じた場合
(4)その他、本校の個人情報の取扱いに関して異議が申し立てられた場合
(5)審査員が各部署の長、又は構成員である場合、各部署の会議をもって審査会とすることができる。
(審査会の職務)
第9条 審査会は、次の事項について審査する。
(1)個人情報の取扱いに関する苦情について、その事実関係に関する事項
(2)本校が行った個人データ又は第三者提供記録の開示等の決定に関する事項
(3)法令違反、又は規程違反の事実関係に関する事項
(4)その他、個人情報の取扱いに関する事案の解決に必要と思われる事項
2 審査会は、必要に応じて専門家の意見を求めることができる。
3 審査会は、事実関係を明らかにするため当事者、その他の関係者から事情を聴取することができる。
4 審査会は、第1項で行った審議の結果について、遅滞なく校長へ報告しなければならない。
(機器及び電子媒体等の盗難等の防止措置)
第10条 個人情報保護規程第18条に規定する措置は、次に掲げる事項とする。
(1)個人データを取扱う機器、電子媒体又は書類等は、施錠できる保管庫に保管する。
(個人データの削除又は廃棄の記録)
第11条 個人情報保護規程第20条第2項に規定する削除又は廃棄の記録は、情報資産洗出表等への記載によって行う。
(外部からの不正アクセス等の防止措置)
第12条 法人規程第13条に規定する不正アクセス又は不正ソフトウェア対策のための措置は、次の各号に規定する事項とする。
(1)ファイアウォールの設置による不正アクセスの遮断
(2)セキュリティ対策ソフトウェアによるウイルス等への対応
(3)機器やソフトウェアの自動更新による最新の対策の導入
(4)定期的なアクセスログの解析による不正アクセスの早期検知
(利用目的の変更又は第三者への提供時の同意の確認方法)
第14条 法人規程第14条第3項に基づく利用目的の達成に必要な範囲を超えて個人情報を使用する場合、同上第6項に基づく利用目的を変更した場合又は法人規程第19条に基づく個人データを第三者へ提供する場合には、次の各号に規定する方法により、本人の同意を確認するものとする。
(1)同意する旨を含む本人署名の申込書等文書の受領
(2)口頭又は書面での本人からの直接確認
(3)同意する旨を含む本人からのメールの受信
(4)その他委員会が認める合理的かつ適切な方法
2 本人による同意する旨の確認欄へのチェック又はウェブ画面上のボタンのクリックは、本人による書面での同意とみなす。
(利用目的に係る適用除外)
第14条 法人規程第14条第7項に規定する法に定める場合とは、次の各号に規定する事項とする。
(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(3)取得の状況からみて利用目的が明らかであると認められる場合
(個人情報の取得の際の適用除外)
第15条 法人規程第15条第3項に規定する法に定める場合とは、次の各号に規定する事項とする。
(1)法令の規定に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(要配慮個人情報の取得の際の適用除外)
第16条 法人規程第16条に規定する法に定める場合とは、次の各号に規定する事項とする。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5)当該要配慮個人情報が、本人、国の機関、地方公共団体、法人規程第76条第1項各号に掲げる者、外国政府、外国の政府機関、外国の地域公共団体又は国際機関、外国における法第76条第1項各号に掲げる者に相当する者により公開されている場合
(6)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
(7)法第23条第5項各号において、個人データである要配慮個人情報の提供を受けるとき。
(目的外利用の禁止の適用除外)
第17条 法人規程第17条に規定する法に定める場合とは、次の各号に規定する事項とする。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(第三者提供の禁止の適用除外)
第18条 法人規程第19条に規定する法に定める場合とは、次の各号に規定する事項とする。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(オプトアウトによる第三者提供)
第19条 法人規定第20条第1項第8号に規定する規則で定める事項とは、次の各号に規定する事項とする。
(1)第三者に提供される個人データの更新の方法
(2)法人規定第20条第1項本文に定める届出に係る個人データの第三者への提供を開始する
予定日
(オプトアウトによる第三者提供に係る公表方法)
第20条 法人規程第20条第5項に規定する公表は、インターネット上のホームページにおいて行うものとする。
(外国にある第三者への提供の制限の適用除外)
第21条 法人規程第21条第1項に規定する法に定める場合とは、第18条各号に規定する場合とする。
(第三者提供の記録の適用除外)
第22条 個人情報保護規程第22条第1項に規定する法に定める場合とは、第18条各号に規定する場合とする。
(第三者提供を受ける際の確認及び記録の適用除外)
第23条 個人情報保護規程第23条第1項に規定する法に定める場合とは、第18条各号に規定する場合とする。
(保有個人データに係る利用目的の公表の適用除外)
第24条 法人規程第56条第2号に規定する法に定める場合とは、第14条第1号から第3号までに規定する場合とする。
(匿名加工情報等の運用状況の記録の項目及び方法)
第25条 個人情報保護規程第24条に規定する項目及び方法は、次の各号に規定する事項とする。
(1)匿名加工情報の作成日及び加工方法等情報の生成日
匿名加工情報運用記録台帳へ記録する。
(2)匿名加工情報の提供を受けた日
匿名加工情報運用記録体調へ記録する。
(3)匿名加工情報等の利用及び出力状況の記録
匿名加工情報運用記録台帳へ記録する。
(4)匿名加工情報等が記載された書類又は記録された媒体等の持ち運び等の状況
提供を受ける部局又は部署は情報資産提供依頼書を提出し、提出後は情報資産提供依頼書へ受領印を押す。
(5)匿名加工情報等の削除又は廃棄の状況
業務フロー図、情報資産洗い出しシート、業務プロセス別情報資産リスク分析表及び情報資産グループ表へ記録する。
(6)前号の削除又は廃棄を委託した場合、その状況
委託先調査票に基づく委託事業者から受領した証明書により確認する。
(7)匿名加工情報データベース等又は加工方法等情報データベース等をコンピュータで取り 扱う場合、本校構成員のコンピュータの利用状況システムログとして記録する。
(匿名加工情報の作成における個人情報の加工の方法)
第26条 個人情報保護規程第24条に規定する、匿名加工情報を作成する場合において、その作成に用いる個人情報を加工する方法を例示すると、おおむね次の各号に掲げるとおりである。
(1)項目、レコード又はセルの削除
加工対象となる個人情報データベース等に含まれる個人情報の記述等を削除するものを指す。
(2)一般化(グルーピング)
加工対象となる情報に含まれる記述等について、上位概念若しくは数値に置き換えること又は数値を四捨五入などして丸めることとするものを指す。
(3)トップ(ボトム)コーディング
加工対象となる個人情報データベース等に含まれる数値に対して、特に大きい又は小さい数値をまとめることとするものを指す。
(4)ミクロアグリゲーション
加工対象となる個人情報データベース等を構成する個人情報をグループ化した後、グループの代表的な記述等に置き換えることとするものを指す。
(5)データ交換(スワップ)
加工対象となる個人情報データベース等を構成する個人情報相互に含まれる記述等を(確率的に)入れ替えることとするものを指す。
(6)誤差(ノイズ)の付加
一定の分布に従った乱数的な数値を付加することにより、他の任意の数値へと置き換えることとするものを指す。
(7)疑似データ作成
人工的な合成データを作成し、これを加工対象となる個人情報データベース等に含ませることとするものを指す。
(匿名加工情報の作成時の公表方法)
第27条 法人規程第34条に規定する公表は、インターネット上のホームページにおいて行うものとする。
(匿名加工情報の第三者提供時の公表方法)
第28条 法人規程第35条に規定する公表は、インターネット上のホームページにおいて行うものとする。
(仮名加工情報等の運用状況の記録の項目及び方法)
第29条 個人情報保護規程第25条に規定する項目及び方法は、次の各号に規定する事項とする。
(1)仮名加工情報の作成日及び削除情報等の生成日
仮名加工情報運用記録台帳へ記録する。
(2)仮名加工情報の提供を受けた日
仮名加工情報運用記録台帳へ記録する。
(3)仮名加工情報の利用及び出力状況の記録
仮名加工情報運用記録台帳へ記録する。
(4)仮名加工情報及び削除情報等が記載された書類又は記録された媒体等の持ち運び等の状 況提供を受ける部局又は部署は情報資産提供依頼書を提出し、提出後は情報資産提供依頼書へ受領印を押す。
(5)仮名加工情報及び削除情報等の削除又は廃棄の状況
業務フロー図、情報資産洗い出しシート、業務プロセス別情報資産リスク分析表及び情報資産グループ表へ記録する。
(6)前号の削除又は廃棄を委託した場合、その状況
委託先調査票に基づく委託事業者から受領した証明書により確認する。
(7)仮名加工情報データベース等をコンピュータで取り扱う場合、本校構成員のコンピュータの利用状況
システムログとして記録する。
(個人情報開示・訂正等の手続方法及び手数料)
第30条 個人情報保護規程第28条による、本校が所有する個人情報について、請求があった場合、速やかに処置を行わなければならない。
2 個人情報についての請求があった場合、以下の手続を取り、また手数料を受領することとする。
(1)請求用紙に所定の事項を記入し、提出とする。なお、提出の際は、本人確認のために公的機関発行の証明書(運転免許証、パスポート又は健康保険証等のコピー)を添付することとする。
(2)本人、及び保護者(法定代理人)以外の申請は、受理しない。
(3)請求内容のうち、「利用目的の通知」及び「開示請求」については1件につき500円の手数料を受領する。
(保有個人データの利用目的の通知請求の適用除外)
第31条 個人情報保護規程第27条第1項第2号に規定する法に定める場合とは、第14条第1号から第3号までに規定する場合とする。
(改廃)
第32条 この細則の改廃は、委員会の議を経て校長がこれを行う。職員会議にてこれを行う。
附則
(施行期日)
この規定は、平成18年4月1日に施行する。
この規程は、平成29年5月30日から施行する。
この規程は、令和4年4月1日から施行する。