MNS関連規程・ガイドライン
- このページのコンテンツ
- 学校法人神奈川大学総合ネットワーク管理・運用規程
- ネットワーク・サーバセキュリティの点検・評価実施要領
- 学校法人神奈川大学Microsoft 365クラウドシステム利用ガイドライン
- 学校法人神奈川大学情報セキュリティポリシー
- 学校法人神奈川大学情報管理規程
- 学校法人神奈川大学プライバシーポリシー
- 学校法人神奈川大学個人情報の取扱いに関する規程
学校法人神奈川大学総合ネットワーク管理・運用規程
平成13年 10月25日 規程 第 584号
- (趣旨)
第1条 - この規程は、学校法人神奈川大学総合ネットワーク(以下「MIYAMO-NET」という。)を共同利用するため管理及び運用並びにモラル維持とセキュリティ対策について必要な事項を定める。
- (目的)
第2条 - 学校法人神奈川大学はMIYAMO-NETを構築・整備し、学校法人神奈川大学及びその設置する学校(以下「本学」という。)の構成員に対しこれを提供し、 本学の教育研究及び学習の向上並びにその支援を行うとともに本学の管理及び運営業務の効率化をはかり、広く社会に貢献する。
- (MIYAMO-NETの定義)
第3条 - この規程において、MIYAMO-NETとは、学内ネットワーク施設及びこれらに接続されている全ての機器(KANAGAWA-U.AC.JPドメインを利用するコンピュータと133.72.xxx.xxx(xxx には0~255までの数字が入る。) のIPアドレス又はプライベートアドレスで示される全てのコンピュータ)により構成されるネットワークをいう。
- (審議機関)
第4条 - MIYAMO-NETの総合的な管理及び運用に関し必要な事項は、情報化推進本部において審議し、決定する。
- (管理及び運用体制並びに管理責任)
第5条 - 1. MIYAMO-NETの円滑な管理及び運用を行うため、ネットワークを階層化する。 最上位のネットワークについては情報化推進本部長が総括管理責任者としてその業務を統括する。 また、本学組織に応じた下位のネットワークには、次に掲げる組織総括管理責任者を置く。
- (1)大学 学長
- (2)附属学校 校長
- (3)事務局 事務局長
- 2. 前項各組織の部門の所属長は、部門管理責任者となり、所管するMIYAMO-NETの管理及び運用業務を統括する。
- 3. 第1項各号の組織総括管理責任者及び部門管理責任者が、それぞれ独自に本規程と異なる方針等を作成した場合においてもこの規程の適用を免れるものではない。
- (支援部署)
第6条 - 1. MIYAMO-NETの運用に関する支援部署は、情報システム部とする。
- 2. 情報システム部は、次に掲げる事項を行う。
- (1)MIYAMO-NETの共通的な運用に関し必要と認められること。
- (2)MIYAMO-NETの共通的な利用に関し必要と認められること。
- (3)前二号のほか、情報化推進本部が認めたこと。
- 3. 情報システム部は、前条第1項第1号から第3号の組織総括管理責任者の求めに応じ、同条第2項の部門管理責任者を支援し、その業務遂行に協力するものとする。
- (利用者の範囲)
第7条 - 1. MIYAMO-NETを利用できる者は、次のとおりとする。
- (1) 本学に在学する学生及び生徒(科目等履修生、研究生、聴講生、単位互換生等を含む。)
- (2) 本学の職員(非常勤講師、嘱託職員を含む。)
- (3) 本学の各組織に勤務するアルバイト及び派遣社員等で、所属長の申請により総括管理責任者が認めた者
- (4) 本学が開設する公開講座及び資格取得講座等の受講者で、開設担当各部門の所属長の申請により総括管理責任者が認めた者
- (5) その他、総括管理責任者が必要と認めた者
- 2. 前項の規定にかかわらず、利用資格者がその身分を停止されている時は原則として利用を認めないこととする。
- (利用者の責務)
第8条 - MIYAMO-NETの利用にあたり、利用者は通信内容、生ぜしめた損害及びその他モラルに反しあるいは安全を害する利用に責任を負わなければならない。
- 第8条の2
- 本学のIPアドレスを取得しようとする者は、組織総括管理責任者に所定の申請書を提出し、許可を受けなければならない。
- 2. 前項の許可を受けた者のうち、学外の不特定のIPアドレスにサービスを公開しようとするものは、別に定めるネットワーク・サーバセキュリティの点検・評価実施要領による点検を行わなければならない。
- (禁止事項)
第9条 - MIYAMO-NETの利用にあたっては、次の行為を禁止する。
- (1)第三者の人権を侵害する行為
- (2)第三者の著作権及び特許権等の知的財産権を侵害する行為
- (3)第三者に損害又は不利益を与える行為
- (4)営業その他利得を目的とする行為
- (5)本学の名誉を傷つけ、またはMIYAMO-NETの品位を害する行為
- (6)MIYAMO-NETの正常な維持及び運用を妨げる行為
- (7)その他、MIYAMO-NETの目的に照らし不適当な行為
- (調査・報告)
第10条 - 1. 総括管理責任者は、前条に定める禁止行為が発生した場合は、当該利用者の組織総括管理責任者に対し、調査を依頼するとともに必要な場合にはMIYAMO-NETの利用を一時凍結することができる。
- 2. 組織総括管理責任者は、当該利用者の帰属する部門管理責任者に対し、調査を命ずることができる。
- 3. 部門管理責任者は、その行為の内容を含めて調査の結果を組織総括管理責任者に報告する。
- 4. 組織総括管理責任者は、前項の調査の結果について速やかに総括管理責任者に報告し、総括管理責任者はその報告から前条の禁止行為の存在が認められた場合は、その行為の内容を常務理事会及び情報化推進本部に報告する。
- (懲戒)
第11条 - 1. 常務理事会は、前条第4項による報告の結果、懲戒が必要であると判断する場合は、MIYAMO-NETの利用を停止するとともに、当該利用者が学生又は生徒の場合は学長又は校長に、職員の場合は理事長に対して懲戒を申請する。
- 2. 懲戒は、学校法人神奈川大学就業規則、神奈川大学学則、神奈川大学大学院学則、神奈川大学附属高等学校学則及び神奈川大学附属中学校学則に則るものとする。
- (損害賠償)
第12条 - 当該利用者の行為により学校法人神奈川大学が損害を受けたときは、損害賠償等法的な措置を取ることがある。
- (個人情報の保護)
第13条 - 個人情報の保護については、別に定める。
- (委任)
第14条 - この規程に定めるもののほか、必要な事項は別に定める。
- (改正)
第15条 - この規程の改廃は、情報化推進本部の議を経て、理事会が行う。
- 附 則
- この規程は、平成13年10月25日から施行する。
- 附 則(平成15年2月6日規程第616号)
- この規程は,平成15年2月6日から施行し,平成14年12月19日から適用する。
- 附則(平成22年3月10日規程第872号)
- この規程は、平成22年4月1日から施行する。
- 附 則(平成25年12月19日規程第1007号)
- この規程は、平成26年4月1日から施行する。
ネットワーク・サーバセキュリティの点検・評価実施要領
- (目的)
第1条 - この実施要領は、学校法人神奈川大学総合ネットワーク管理・運用規程第8条の2に基づき、学校法人神奈川大学(以下「本学」という。)のネットワーク・サーバセキュリティの技術的な脆弱性を点検・評価し、脆弱性に対する対策を実施することにより、本学のネットワーク・サーバセキュリティの向上を目指すことを目的とする。
- (定義)
第2条 - この実施要領において「標準開放ポート」とは、別表1、2で示される、本学が標準で開放しているファイアウォールのポートのことをいう。
- 2 この実施要領において、「情報機器」とは、本学のIPアドレスが付与されているもので、標準開放ポートに加えて他のポートを開放し、学外の不特定のIPアドレスにサービスを公開しているサブネットワークとサーバ機器をいう。
- 3 この実施要領において、「点検」とは、情報機器の管理者(以下「情報機器管理責任者」という。)が事前に提示された方法で、自ら行う検査のことをいう。
- 4 この実施要領において、「評価」とは、前項の点検の終了後、情報システム部が点検することをいう。
- (点検・評価の対象)
第3条 - 情報機器管理責任者および情報システム部が行う点検・評価は、情報機器をその対象とする。
- 2 業務サーバなど、情報システム部が直接管理・運用しているサブネットワークとサーバ機器の点検は別に定める。
- (点検・評価の実施)
第4条 - 点検・評価は以下に基づき実施し、点検・評価のためのアクセスは学外から行うものとする。ただし、学外からのアクセスが構成上難しい場合には、本学のファイアウォールの外側からアクセスするものとする。
- (1)点検・評価については、情報システム部会で計画し、メディア教育・情報システム委員会でその計画を承認して実施する。なお、この点検・評価は年一回以上実施するものとする。
- (2)情報システム部からネットワーク・サーバセキュリティの点検・評価実施の案内が届いた情報機器管理責任者は期限までに点検を実施し、点検終了後情報システム部に点検終了の報告をする。 なお、点検中に脆弱性が発見された場合は、脆弱性を改善後、情報システム部へ点検終了の報告を行うものとする。
- (3)点検が終了した情報機器を情報システム部が評価し、評価結果を情報機器管理責任者に通知する。情報機器管理責任者は、通知された脆弱性の問題を解決するものとする。
- (4)点検・評価を繰り返し実施し、情報機器の脆弱性を改善する。
- (点検・評価の報告)
第5条 - 前条で行った点検・評価の結果はメディア教育・情報システムセンター所長(以下「所長」という。)が総合メディア委員会に報告し、 その結果を学部長が教授会で報告する。併せて、所長は学校法人神奈川大学総合ネットワーク管理・運用規程に定める総括管理責任者に報告する。
- (情報機器管理責任者の義務等)
第6条 - 情報機器管理責任者は、点検を行い脆弱性に対する技術的な対策を講じなければならない。
- 2 点検・評価の実施中に重大な脆弱性が検出された場合、情報機器管理責任者は当該情報機器を学内のネットワークから切り離し、 脆弱性の対策を行わなければならない。対策がなされないかぎり、再度学内のネットワークに接続してはならない。
- 3 情報機器管理責任者が定期的な点検を実施しない、または脆弱性のある情報機器に対策を施さない場合、情報システム部は情報機器管理責任者に通知の上、当該情報機器の通信を遮断することができる。
- (改廃)
第7条 - この実施要領の改廃は、情報システム部会の議を経て、メディア教育・情報システム委員会が行う。
- 附則
- この実施要領は、平成26年4月1日から施行する。
- 附則
- この実施要領は、平成26年5月28日から施行する。
- 別表:非公開
学校法人神奈川大学 Microsoft 365クラウドシステム利用ガイドライン
- 第1条(趣旨)
- このガイドラインは、学校法人神奈川大学(以下「本法人」という。)におけるMicrosoft 365クラウドシステムの利用について、必要な事項を定めるものです。
- 第2条(ガイドラインの適用)
- このガイドラインは、Microsoft 365クラウドシステムの利用に対して適用されます。
- 第3条(ガイドラインの承諾)
- 利用者が、Microsoft 365クラウドシステムを利用したときは、このガイドラインのすべての内容を承諾したものとみなします。このガイドラインが変更された後の利用についても同様とします。このガイドラインに承諾されない場合は、Microsoft 365クラウドシステムを利用することはできません。
- 第4条(定義)
- このガイドラインにおいて使用する用語の意味を次の各号に定めるとおり定義します。
- 1)「Microsoft 365クラウドシステム」
Microsoft 365を使用したシステムの総称 - 2)「Microsoft 365」
日本マイクロソフト株式会社(以下「マイクロソフト社」という。)の提供するMicrosoft 365のシステムの総称 - 3)「JINDAIメールアドレス」
Microsoft 365クラウドシステムを利用する際に、本法人から利用者に対して付与されるメールアドレス - 4)「パスワード」
利用者がMicrosoft 365クラウドシステムを利用するために、JINDAIメールアドレスと共に利用するパスワード
5)「利用者」
本法人が定める手続きに従って登録を行い、JINDAIメールアドレスを有する者
- 第5条(Microsoft 365クラウドシステムの内容)
- Microsoft 365クラウドシステムは、利用者に対して、次のサービスを提供するものです。
- 1)Microsoft 365が提供する全ての機能。ただし、導入する過程において提供する機能に制限を設ける場合があります。
2)JINDAIメールアドレスのIDとしての利用
- 第6条(ガイドラインの遵守)
- 利用者は、このガイドラインを遵守する義務を負うものとします。またマイクロソフト社が提示する使用条件等に承諾したうえで、利用するものとします。
- 第7条(利用目的)
- Microsoft 365クラウドシステムの利用は、研究及び教育を目的とするものに限られます。ただし、本法人の管理・運営及び学生・教職員の福利厚生等に資するための利用については認めるものとします。
- 第8条(運用組織)
- JINDAIメールアドレスの管理は本法人の情報システム部が行います。
二 情報システム部は、Microsoft 365に障害発生が判明した場合、速やかにマイクロソフト社に改善依頼を行うこととします。
- 第9条(利用資格)
- 次の各号のいずれかに該当し、利用登録された者が、Microsoft 365クラウドシステムを利用することができます。
- 1)本法人に勤務する者
2)本法人が運営する大学の学部、大学院または附属学校に在籍する者。ならびに正規の課程を卒業・修了した者
3)その他本法人が適当と認めた者
- 第10条(禁止事項)
- Microsoft 365クラウドシステムの利用については、次の各号に掲げる行為を禁止するものとします。
- 1)このガイドラインに定めた利用目的外のMicrosoft 365クラウドシステムの利用
2)他人を詐称する行為
3)他の利用者のJINDAIメールアドレス又はパスワードを不正に使用する行為
4)JINDAIメールアドレス又はパスワードを第三者に利用させる行為
5)Microsoft 365クラウドシステムの円滑な運営を妨害する行為
6)第三者の個人情報をMicrosoft 365クラウドシステムで取り扱う行為
7)他の利用者の利用を妨害する行為
8)法令に違反する行為
9)本法人に不利益を与える行為
10)第三者の法律上保護された権利・利益を侵害する行為
11)公序良俗又は社会通念に反する行為
12)その他本法人が不適切と判断する行為
13)その他前各号に該当するおそれのある行為又はこれに類する行為
- 第11条(利用資格の停止等)
- 本法人は、次の各号のいずれかに該当するとき、あるいは、該当するおそれのあるとき、その内容を調査したうえで、Microsoft 365クラウドシステムの登録・発信情報の変更、削除、利用資格の停止等を行うことがあります。
- 1)第10条各号に違反したと判断されるとき
2)情報システム部からの適正利用のための指導に従わないとき
3)第三者によりJINDAIメールアドレス又はパスワードが不正利用されているとき
4)情報化推進本部会議が必要と認めたとき
5)本法人の他の規程に違反したとき
6)その他、情報システム部が必要と認めたとき - 二 前項の規定による利用資格の停止等をするときは、本法人は、あらかじめ、その理由、利用停止等の期間、利用停止等を解除する条件を利用者に通知し、ガイドラインに違反する行為等を止め、同様の行為を繰り返さないことを要求することや利用者が登録・投稿した情報の自発的削除・訂正を求めることとします。ただし、事由によりやむを得ない場合は、利用者に事前に通知することなく、利用停止等がなされます。
三 前項の通知は、Microsoft 365を利用する際に登録した連絡先に通知します。
- 第12条 (利用者の義務)
- 利用者は、Microsoft 365クラウドシステムを利用するにあたり、次の各号の義務を負います。
- 1)JINDAIメールアドレス及びパスワードの厳格な管理
2)JINDAIメールアドレス又はパスワードの第三者の利用が判明した場合の情報システム部への連絡
3)自己の登録情報に変更が生じた場合の速やかな変更手続き
4)Microsoft 365クラウドシステムの利用に支障が生じていると考えるに足る状況に置かれた場合の情報システム部への通知
5)Microsoft 365クラウドシステムの利用により、利用者が第三者に加えた行為の責任
- 第13条(通知方法)
- 本法人は、Microsoft 365クラウドシステムの利用に必要な事項について、MIYAMO NET Serviceホームページへの掲示、電子メールの送信、その他本法人が適当と判断する方法により、利用者にお知らせします。
二 前項の通知は、当該通知をMIYAMO NET Serviceホームページ上に掲示又は利用者に通知を発信した時から周知されたものとします。
- 第14条(利用の終了)
- 本法人は、次の各号のいずれかに該当する場合は、当該利用者のMicrosoft 365クラウドシステムの利用を終了することができるものとします。
- 1)利用者本人の申請
2)利用者の死亡
3)利用ガイドラインの違反
4)本法人における身分の喪失
5)その他本法人がMicrosoft 365クラウドシステムの利用を終了させる必要があると判断したとき
- 第15条(システムの停止)
- 本法人は、本法人が必要と認めた場合には、Microsoft 365クラウドシステムの利用を停止することがあります。
二 前項の規定によりMicrosoft 365クラウドシステムの利用を停止するときは、あらかじめその旨を利用者に通知・掲示するものとしますが、やむを得ない場合には、利用者に事前に通知することなく、システムの利用を停止することができるものとします。
- 第16条(個人情報保護)
- Microsoft 365クラウドシステムのサービスにおける個人情報の取扱いについては、「学校法人神奈川大学プライバシーポリシー」及び「学校法人神奈川大学個人情報の取扱いに関する規程」を遵守します。
- 二 Microsoft 365クラウドシステムのサービスの提供を通じて知り得た利用者の個人情報について、次の各号のいずれかに該当する場合、本人の同意を得ずに、第三者に提供することがあります。
- 1)Microsoft 365クラウドシステムの維持に問題が生じたとき
2)利用者が、法令又は本法人が定める規程等に違反したとき
3)Microsoft 365クラウドシステムの利用が、社会通念上問題があると判断されたとき
4)本法人又は第三者の権利利益の保護の必要性が生じたとき
5)利用者本人から開示・提供についてあらかじめ同意を得たとき
6)Microsoft 365クラウドシステムのサービス向上のため、情報を集計し、分析等を行うとき
7)本法人からの連絡が必要なとき
- 第17条(免責事項)
- Microsoft 365クラウドシステムを利用することにより発生した利用者の不利益について、本法人は、一切の責任を負わないものとします。
二 Microsoft 365クラウドシステムの利用により、利用者が他の利用者又は第三者に対して損害を与えたとしても、本法人は一切の責任を負わないものとします。
三 利用者間での紛争については、当事者同士で解決するものとし、本法人は一切の責任を負わないものとします。
四 本法人は、Microsoft 365クラウドシステムのサービスにおいて取得され開示される利用者の個人情報の保護について、一切の責任を負わないものとします。
五 本法人は、利用者がMicrosoft 365クラウドシステムのサービスを通じて得た情報等について、その完全性、正確性、確実性、有用性等についていかなる保証も行わないものとします。
六 本法人は、利用者が使用する機器及びソフトウェアについて、その動作保証を一切行わないものとします。
七 Microsoft 365クラウドシステムに含まれる情報・機能は、利用者の特定の目的に適合することをいかなる保証も行わないものとします。
八 Microsoft 365クラウドシステムの利用に際しての通信料等は利用者自身の負担となります。
九 本法人は、Microsoft 365クラウドシステム停止により発生した利用者の不利益について、一切の責任を負わないものとします。
- 第18条(ガイドラインの改正及び運用の変更)
- 本法人は、このガイドライン及びシステムの運用を、事前に利用者の承諾を得ることなく、改正することがあります。
二 このガイドラインの改正は、本法人が改正後のガイドラインをMIYAMO NET Serviceホームページ上に掲示した時点から適用となります。
三 利用者が、このガイドラインの改正後も引き続きMicrosoft 365クラウドシステムを利用する場合は、改正後のガイドラインのすべての記載内容を承諾したものとみなします。
- 第19条(統計情報の公開)
- Microsoft 365クラウドシステムに関わる統計情報は、本法人が必要と判断した場合、これを公開することができるものとします。
- 第20条(ガイドラインの改廃)
- このガイドラインの改廃は、情報化推進本部会議が行います。
- 附 則(平成 28 年4月1日)
- このガイドラインは、平成 28年4月1日から施行します。
- 附 則(令和元年9月26日)
- このガイドラインは、令和元年9月26日から施行します。
- 附 則(令和5年4月1日)
- このガイドラインは、令和 5年4月1日から施行します。
学校法人神奈川大学情報セキュリティポリシー
平成17年12月2日
施行
- (目的)
- 第1条 学校法人神奈川大学(以下「本法人」という。)の目的である教育及び研究は、情報をその主たる基盤としており、情報資産のセキュリティを確保することは不可欠である。また、個人情報保護を中心とした権利利益保護に関する社会的要請は強く、情報セキュリティへの対応を進めることは高度情報化社会を担う一員として本法人の当然の責務である。この情報セキュリティポリシーは、情報セキュリティの重要性を本法人の全構成員が十分に認識し、情報資産を確固として守るための方針として定めるものである。
- (対象範囲)
- 第2条 本法人が活動を通じて入手及び知り得たすべての情報並びに本法人が業務上保有するすべての情報を対象とする。特に個人情報を最重要な情報と位置付ける。
- 2 本法人の業務に携わる役員、職員(就業規則で規定される職員をいう。以下同じ。)及 び契約等に基づいた職員に準じる者(非常勤講師、派遣職員、ティーチングアシスタン ト、アルバイト等をいう。)であって本法人の情報を取り扱うすべての者(在職中及び退 職後のすべての者を含む。以下「職員等」という。)を対象とする。
- (体制の構築)
- 第3条 本法人は、情報セキュリティ対策を適切に推進及び管理するための体制を確立する。
- 2 情報セキュリティ対策を統括する最高責任者として、理事長がその任にあたる。
- 3 情報セキュリティ対策を適切に推進及び管理するための横断的組織として情報管理委 員会を設ける。なお、情報管理委員会に関する事項は、別に定める学校法人神奈川大学 情報管理規程(以下「情報管理規程」という。)による。
- (規程の整備)
- 第4条 この情報セキュリティポリシーに基づき、情報セキュリティを確保するために遵守すべき事項として情報管理規程を定め、個別業務における具体的な対応方法として情報セキュリティ実施手順を定める。
- 2 情報セキュリティのうちの個人情報については、学校法人神奈川大学個人情報の取扱 いに関する規程及び個人情報の取扱いに関する手続を定める。
- (情報の分類・管理)
- 第5条 本法人は、本法人が保有する情報を分類し、それぞれの特性に応じた情報セキュリティ対策を実施する。
- 2 本法人で管理すべきすべての情報については、その管理者を定める。
- (情報セキュリティ対策)
- 第6条 本法人は、情報及びその処理・保管環境を脅威から保護するために、次に掲げる対策を実施する。
(1) 物理的・環境的セキュリティ対策
(2) 技術的セキュリティ対策} (3) 人的・運用的セキュリティ対策
(4) 外部委託管理におけるセキュリティ対策 - (教育・研修)
- 第7条 本法人は、情報セキュリティを向上させるため、職員等を対象として必要な教育・研修を実施する。
- (職員等の責務)
- 第8条 職員等は、情報セキュリティ及び個人情報保護の重要性について認識し、本法人が定める情報セキュリティに関する諸規程及び情報の保護に関する法令等を遵守しなければならない。
- (懲戒)
- 第9条 職員が本法人が定める情報セキュリティに関する諸規程に違反した場合は、懲戒の対象とする。職員以外の者が違反した場合についても相応の措置を講ずるものとする。
- (評価及び見直し)
- 第10条 本法人は、本法人が定める情報セキュリティに関する諸規程に基づく情報セキュリティ対策について定期的に、又は必要な場合に評価及び見直しを行うことで、社会的、技術的及び法的変化に対応した適切な情報セキュリティ水準の維持向上に努める。
- (改廃)
- 第11条 この情報セキュリティポリシーの改廃は、情報管理委員会の議を経て理事会が行う。
- 附則
- この情報セキュリティポリシーは、平成 17 年 12 月 2 日から施行する。
学校法人神奈川大学情報管理規程
平成17年12月2日
規程第 691 号
第1章 総則
- (趣旨)
- 第1条 この規程は、学校法人神奈川大学情報セキュリティポリシーに基づき、学校法人神奈川大学(以下「本法人」という。)が保有する情報に関する情報セキュリティ対策を実施するために、遵守すべき具体的な基準として定めるものである。
- (定義)
- 第2条 この規程において使用する用語の定義は、次に掲げるとおりとする。
- (1) 情報
本法人が活動を通じて入手及び知り得たすべての情報並びに本法人が業務上保有するすべての情報 - (2) 情報システム
業務を遂行するために用いるハードウエア(パソコン、サーバその他周辺機器等)、ソフトウエア(OS、アプリケーション等)及び学校法人神奈川大学ネットワーク(MIYAMO‐NET) - (3) 職員等
本法人の業務に携わる役員、職員(就業規則で規定される職員をいう。)及び契約等に基づいた職員に準じる者(非常勤講師、派遣職員、ティーチングアシスタント、アルバイト等をいう。)であって本法人の情報を取り扱うすべての者(在職中及び退職後のすべての者を含む。)
- (1) 情報
- (管理体制)
- 第3条 情報セキュリティ対策は、次の情報セキュリティ管理体制図により実施するものとする。
- (役割)
- 第4条 情報セキュリティ管理体制に属する者は、それぞれ次に掲げる役割を担う。
- (1) 情報管理最高責任者 理事長がその任にあたり、情報セキュリティ対策の方針決定及び各種承認を行う。
- (2) 情報管理統括責任者 理事長が指名する常務理事がその任にあたり、情報セキュリティ対策の企画、立案及び実施を統括する。
- (3) システム管理責任者 学校法人神奈川大学情報化推進本部規程第 3 条第 1 項に規定する情報化推進本部長がその任にあたり、本法人が保有する情報システムの情報セキュリティに関する対策を行う。
- (4) 情報管理責任者 部署の長がその任にあたり、学長、附属学校長又は事務局長の統括のもと、部署において情報を管理し、情報セキュリティ対策の検討及び実施並びに部署の職員等に情報セキュリティを維持するための事項を周知させ、遵守させる。
- (5) 情報利用者 各部署において情報を利用する者であって、次条に規定する情報の分類に基づき利用する責任を有する。
- 2 本法人の情報セキュリティ管理体制を維持するため、情報管理委員会を置く。情報管理委員会については第 5 章に定める。
- 3 情報セキュリティ対策の実施状況等を検証する監査の計画及び実施は、内部監査室が 行う。
- (情報の分類及び取扱い)
- 第5条 情報管理責任者は、部署が保有する情報について、次に掲げる情報分類に応じて分類し、取り扱う。
- (1) 個人情報
当該情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別できるもの。学校法人神奈川大学個人情報の取扱いに関する規程に基づき取り扱う。 - (2) 重要情報
本法人の保有する情報のうち、特に識別し通常以上の管理レベルを要求されるものであり、次に掲げる事項に該当するもの。原則として利用者を限定する。
- ア 漏えいした場合、個人又は法人その他の団体の利益を害する等本法人に対する信 頼を害するおそれのある情報
- イ 滅失し、又は損傷した場合、その復元が困難となり、業務の円滑な遂行を妨げる おそれのある情報
- ウ 情報システムに係るパスワード及び情報システムの設定情報
エ 法令又は条例等により守秘されるものと規定されている情報
- (3) 通常情報
本法人の保有する情報のうち前号に規定する重要情報以外のもの。情報の特性に応じて適切に取り扱う。
- (1) 個人情報
第2章 業務遂行に関する事項
- (情報の保護・管理)
- 第6条 情報管理責任者は、所管する情報を次に掲げるとおり適切に保護・管理する。
- (1) 前条に規定する情報分類に基づき、利用可能者を定める。
- (2) 情報を記録した媒体は、第三者がその重要性を容易に識別することができないように留意した上で、適切に管理する。
- (3) 情報を保管する場合には、その情報分類及び特性に応じ、安全な場所に保管する。特に、重要情報は、施錠できる、又はアクセス管理がされている等の適切に管理できる場所に保管する。
- (4) 重要情報及び個人情報のうち特に取扱いに注意を要するものは、原則として本法人の執務室外への移動(持出し等)は認めない。業務の必要性から職員等が情報を移動する場合には、情報管理責任者がその必要性等を判断し、適切な保護策を講じることを条件に許可する。
- (5) 情報又は情報を記録した媒体が不要となった場合は、その情報分類及び特性に応 じて媒体の初期化、溶解・裁断する等の適切な処理を実施した上で廃棄する。
- (物理的・環境的対策)
- 第7条 職員等は、執務中は身分証を着用する。
2 執務室への第三者の立入りを管理し、第三者が執務室へ立ち入る場合は、原則として職員等が帯同する。
3 重要情報及び個人情報のうち特に取扱いに注意を要するものを取り扱う場合は、可能な限り執務室の出入口又は通路から離れた場所若しくはつい立等で仕切られた場所で実施する。 - (業務の外部委託)
- 第8条 業務を外部委託する場合は、事前に健全な受託業務運営を行っていることを確認し、情報セキュリティの維持に必要となるセキュリティ要件の遵守義務を定めた契約を締結する。
- (外部への情報の提供)
- 第9条 本法人の外部へ情報を提供する場合は、その情報分類及び特性に応じて、契約書等によって守秘義務等十分な情報セキュリティ要求事項を相手方に課す。
- (個人情報保護法への対応)
- 第10条 個人情報の取扱いは、別に定める。
第3章 職員等に関する事項
- (遵守事項)
- 第11条 職員等は、情報セキュリティを実現するために、次に掲げる事項を遵守しなければならない。
- (1) 情報セキュリティポリシー、情報管理規程、情報セキュリティ実施手順及び個人情報の取扱いに関する規程(以下「情報セキュリティに関する諸規程」という。)に定められている事項を遵守すること。
- (2) 情報の保護に関する法令等を遵守すること。
- (3) 情報を適切に管理・利用し、利用目的以外に使用しないこと。
- (4) 業務の目的以外のために情報システムを使用しないこと。
- (5) 情報セキュリティに関する諸規程に定められている事項に関して疑問等がある場合は、速やかに情報管理責任者に相談し、指示に従うこと。
- (6) 情報セキュリティに影響を及ぼす事象が生じていることを確認した場合は、速やかに情報管理責任者又はシステム管理責任者に報告すること。
- (7) 異動、退職等により業務を離れる場合は、業務上知り得た情報を漏らさないこと。
- (パソコン等の管理)
- 第12条 情報システムを使用する職員等は、パスワードに関して次に掲げる事項を遵守しなければならない。
- (1) パスワードは、定期的に変更する。
- (2) パスワードには、名前、生年月日、職員番号等類推しやすいものを使用しない。
- (3) パスワードは、パソコン等に記憶させない。
- (4) パスワードを他人にわかる方法でメモに残したり、他人に教えたりしない。
- 2 職員等は、業務において必要となるソフトウエア又はプログラム以外を導入してはならない。
3 職員等は、業務以外の目的でネットワーク及び電子メールを使用してはならない。
4 職員等は、コンピュータウイルスのチェックを定期的に行わなければならない。 - (重要情報の管理)
- 第13条 職員等は、パソコン等を使用中に離席する場合には適切な処置を行い、離席時及び帰宅時に重要な情報を机上に放置してはならない。
- (個人所有のパソコン等の使用制限)
- 第14条 職員等は、情報システムに接続して業務を行う場合、適正な手続による使用許可を得ていない個人的に所有するパソコン、記録媒体等を業務で使用してはならない。
- (重要情報の授受)
- 第15条 職員等は、外部ネットワークを用いた通信、FAX等による重要情報の授受は、適切な手段により機密性・完全性を確保する。
- (情報システムの管理)
- 第16条 情報管理責任者は、自らが所管又は管理する情報システムに対して、必要に応じて第 4 章に定める対策の導入に努める。
第4章 システム管理責任者に関する事項
- (サーバ等の設置)
- 第17条 システム管理責任者が所管する情報システムで使用するサーバ及びその周辺機器は、マシン室等の適切な対策を施したエリアに設置する。
- (マシン室の設置)
- 第18条 マシン室は、可能な限り火災、水害、ほこり、電界、磁界、振動、温度等の影響が受けにくい場所に設置する。
- (サーバ等の保護)
- 第19条 システム管理責任者は、サーバ及びその周辺機器を保護するために、次に掲げる事項を実施する。
- (1) マシン室への不正な立入り等を防止するため、施錠等の適切な管理を実施する。
- (2) 許可された者以外の者が容易にネットワーク及び情報システムを操作できないような措置を講じる。
- (3) 配線が損傷等を受けることがないように可能な限り必要な措置を講じる。
- (4) ハードウエア等の機器が容易に盗難されることを防止する措置を講じる。
- (5) 停電及び異常電源から機器を保護する措置を講じる。
- (コンピュータウイルス対策)
- 第20条 コンピュータウイルス対策として、次に掲げる事項を実施する。
- (1) すべてのサーバ及びパソコンにコンピュータウイルスの対策のためのソフトウエア等を導入する。
- (2) パターンファイルを常時、最新のものに保つ。
- (3) 必要な場合を除き、コンピュータウイルスのチェックを中断しない。
- (アクセス記録等の管理)
- 第21条 システム管理責任者は、所管する情報システムに関するアクセス記録等を取得し、一定期間保管及び管理する。また、取得したアクセス記録等は、定期的に分析を行い、セキュリティ対策として活用する。
- (バックアップの取得)
- 第22条 重要情報及び重要情報を取り扱う情報システムのソフトウエア及び電子データについては、定期的に外部記録媒体にバックアップを取得する。
2 記録媒体は、盗難、破壊等がないように適切に管理する。 - (アクセス権の管理)
- 第23条 情報システムは、適切な識別認証機能及びアクセス制御機能を有したものを使用する。
- (不正アクセスの防止)
- 第24条 外部とのネットワーク接続は、情報システム、情報に対する不正アクセス等の発生を防止するために、次に掲げる事項を実施する。
- (1) ネットワーク管理
- (2) インターネット及び外部ネットワークとの接続管理
- (3) ファイアウォール管理
- (パスワードの管理)
- 第25条 パスワードの管理のため、情報システム内のパスワード格納ファイルは、暗号化する。
- (利用者権限の管理)
- 第26条 情報システムのユーザID及び利用者権限の付与は、個々のシステムに定められた方法に従い、その登録、変更、抹消等を適切に管理する。
2 情報システムの管理に係る権限の付与は、必要最小限の者に限ることとし、適切に管 理する。 - (ユーザ ID の付与)
- 第27条 情報システムのユーザIDの付与は、個人付与とする。やむを得ず情報システムのユーザ ID を複数名で共用する場合は、別途個別ルールを定めて運用する。
- (記録媒体の管理)
- 第28条 記録媒体の含まれる機器を外部業者に修理させる場合及び廃棄する場合は、必要となる範囲でバックアップを取得し、記録媒体内の情報をすべて消去する。
第5章 情報管理委員会及び専門部会に関する事項
- (構成)
- 第29条 第4条第2項に基づく情報管理委員会(以下「委員会」という。)は、次に掲げる委員をもって構成する。
- (1) 情報管理統括責任者
- (2) システム管理責任者
- (3) 事務局次長 1名
- (4) メディア教育・情報システムセンター所長
- (5) 情報システム部長
- (6) 附属学校副校長 1名
- (7) その他理事長が必要と認めた者 若干名
3 委員長は、第1項各号に掲げる者のほか、必要に応じてオブザーバーを出席させることができる。 - (審議事項)
- 第30条 委員会は、次に掲げる事項を審議する。
- (1) 情報セキュリティ関連文書の見直し及び改訂に関すること。
- (2) 情報セキュリティ対策の見直し検討及び調整に関すること。
- (3) 情報セキュリティ教育・研修の計画及び実施に関すること。
- (4) 情報セキュリティ事故対応の検証及び改善等に関すること。
- (5) その他情報セキュリティに関すること。
- (平時の対応)
- 第31条 情報セキュリティ対策及び情報セキュリティに関する職員等への定期的な教育・研修等の実施については、情報システム部情報システム課が行う。
- (緊急時・障害時の対応)
- 第32条 委員会のもとに、情報セキュリティ事故に対応するため、情報セキュリティ事故対応専門部会(以下「専門部会」という。)を置く。
- 第33条 専門部会は、次に掲げる者によって構成する。
- (1) 情報管理統括責任者
- (2) 情報システム部長
- (3) その他情報管理統括責任者が指名する者
- 第34条 専門部会は、情報セキュリティ事故に速やかに対応するとともに、再発防止策を講じる。
- 2 専門部会は、実施した情報セキュリティ事故対応等について委員会に報告する。
- (懲戒)
- 第35条 情報セキュリティ事故が発生し、職員等が情報セキュリティに関する諸規程に違反した場合で懲戒又は相応の措置が必要であると判断した場合は、委員会は理事長に対して懲戒又は相応の措置をとるよう申請することができる。ただし、神奈川大学の教育職員の懲戒については学長に、附属学校の教育職員の懲戒については附属学校長に、申請と同時に報告しなければならない。
第6章 補則
- (改廃)
- 第36条 この規程の改廃は、情報管理委員会の審議を経て理事会が行う。
- 附 則
- この規程は、平成17年12月2日から施行する。
- 附 則(平成22年3月10日規程第872号)
- この規程は、平成22年4月1日から施行する。
- 附 則(令和4年5月19日規程第1382号)
- この規程は、令和4年5月19日から施行し、令和4年4月1日から適用する。
- 附 則
- この規程は、令和5年4月1日から施行する。
学校法人神奈川大学プライバシーポリシー
平成17年12月2日
施行
本法人は、教育研究機関としての社会的、公共的な使命と責任を果すべく、様々な教育研究活動に取り組んでいます。その教育研究活動の実施基盤となる個人情報の取扱いについて、重要性を深く識し、本法人全教職員が一丸となって、適切かつ厳重な保護に努めます。
- ・個人情報の適正な取得
- 本法人は、十分な安全管理措置を講じた上で、本法人の業務目的を達成するために必要な範囲内において、適法かつ公正な方法で個人情報を取得します。
- ・個人情報の管理
- 本法人は、個人情報を適切に管理し、個人情報への不正アクセス、個人情報の紛失、破壊、改ざん、漏えい等に対し、予防措置を講ずるとともに、万が一、問題等が発生した場合は、速やかに是正措置を講じます。
- ・個人情報の利用及び提供
- 本法人は、個人情報を予め示した利用目的の範囲を超えて利用することはありません。 また、以下の場合を除き、個人情報を第三者に提供することはありません。
- (1) 本人の同意がある場合
- (2) 法令により必要と判断される場合
- (3) 守秘義務を明記した契約に基づいて業務委託等を行う上で、必要な限度において相手企業等に開示する場合
- ・個人情報の開示、訂正等
- 本法人は、本人からの個人情報の開示請求に対し、当該個人情報を保有している担当部署において、本人であることを確認の上、書面にて受け付けます。
- 本法人は、個人情報の開示請求の理由が適正であると判断した場合は、請求に応じます。また、個人情報の開示の結果、内容が不正確又は誤りであることが判明した場合は、速やかに訂正等に応じます。
- ・法令、規範、ガイドライン等の遵守
- 本法人は、個人情報の取扱いについて、プライバシーの保護に十分配慮して、法令その他の規範を遵守します。
本法人は、個人情報の保護違反に対して、毅然たる態度で臨みます。 - ・継続的改善
- 本法人は、個人情報の取扱いを適切に行うため、個人情報の取扱いに関する規程を整備し、運用状況を定期的に監査することで、継続的に見直し、改善に努めます。
学校法人神奈川大学個人情報の取扱いに関する規程
平成17年12月2日
規程第 692 号
- 目次
-
- 第1章 総則(第1条―第5条)
- 第2章 管理体制(第6条―第8条)
- 第3章 個人情報の取得、利用及び提供(第9条―第15条)
- 第4章 個人情報の適正管理(第16条・第17条)
- 第5章 個人情報の開示、訂正等及び利用停止等(第18条―第20条) 第6章 不服の申立て(第21条)
- 第7章 漏えい事案等への対応(第22条)
- 第8章 補則(第23条―第27条)
- 附則
第1章 総則
- (目的)
- 第1条 この規程は、個人情報の保護に関する法律(平成15年法律第57号)及び学校法人神奈川大学プライバシーポリシーに基づき、学校法人神奈川大学(以下「本法人」という。)が保有する個人情報の取扱いに関し必要な事項を定めることにより、個人情報の適正な取得、利用、管理及び保存を図り、もって本法人における個人の権利利益及びプライバシーの保護に資することを目的とする。
- (定義)
- 第2条 この規程において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
- (1) 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
- (2) 個人識別符号が含まれるもの
2 この規程において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、個人情報の保護に関する法律施行令(平成 15 年政令第507 号。以下「政令」という。)で定めるものをいう。- (1) 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
- (2) 個人に提供される役務の利用に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、特定の個人を識別することができるもの
- 3 この規程において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
- 4 この規程において「本人」とは、個人情報によって識別される特定の個人をいう。
- (適用範囲)
- 第3条 この規程は、本法人が取得する個人情報を取り扱う業務並びに本法人の業務に携わる役員、職員(就業規則で規定する職員をいう。)及び契約等に基づく職員に準ずる者(非常勤講師、派遣職員、ティーチングアシスタント、アルバイト等をいう。)であって、本法人の個人情報を取り扱う全ての者(在職中及び退職後の全ての者を含む。以下「職員等」という。)に適用する。
- (関連規程の位置付け)
- 第4条 この規程は、情報セキュリティの取組に関する基本的な姿勢を示した学校法人神奈川大学情報セキュリティポリシー並びに情報セキュリティの確保のために遵守すべき基本的な行為及び判断基準を示した学校法人神奈川大学情報管理規程(以下「情報管理規程」という。)と整合を図るものとする。
- (責務)
- 第5条 職員等は、個人情報保護の重要性を認識し、個人情報の取扱いに伴う本人の権利利益及びプライバシーを侵害することがないように、この規程を遵守するとともに必要な措置を講ずるよう努める。
2 職員等は、業務上知り得た個人情報を漏えいし、又は不当な目的に使用してはならない。
第2章 管理体制
- (管理体制)
- 第6条 本法人は、個人情報の安全管理のため、責任者及び責任者の役割等を定め、職員等に周知するものとする。
2 前項の責任者は次の各号に掲げるとおりとし、その役割等は当該各号に定めるところによる。
- (1) 個人情報管理最高責任者 情報管理規程第4条第1項第1号の情報管理最高責任者がその任を兼ね、個人情報の取扱いに関する方針決定及び各種承認を行う。
- (2) 個人情報管理統括責任者 情報管理規程第4条第1項第2号の情報管理統括責任者がその任を兼ね、個人情報管理最高責任者からの指示及びこの規程に基づく個人情報の取扱いに関して、安全対策の立案及び実施並びに教育・研修計画の策定を行う。
- (3) 個人情報管理責任者情報管理規程第4条第1項第4号の情報管理責任者がその任を兼ね、この規程で定められた事項を遵守するとともに、個人情報を取り扱う職員等に対し、この規程及び個人情報の取扱いに関する本法人の諸事務手続を理解させ、当該諸事務手続による処理を遵守させる。
- (委員会)
- 第7条 本法人は、個人情報の取扱いに関する適切な管理体制の維持及び重要事項を審議する委員会を置き、定期的に開催する。
2 前項の委員会は、情報管理規程第4条第2項の情報管理委員会がその役割を兼ねる。 - (窓口)
- 第8条 本法人は、個人情報の保護及び管理に関する苦情、相談等の受付窓口を常設する。
第3章 個人情報の取得、利用及び提供
- (利用目的の特定)
- 第9条 本法人は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定する。
2 本法人が取り扱う個人情報の利用目的は、別に定める。
3 本法人は、個人情報の利用目的を変更する場合には、変更前の利用目的と関連性を有 すると合理的に認められる範囲で行う。 - (取得に際しての利用目的の通知等)
- 第10条 本法人は、個人情報を取得した場合は、あらかじめその利用目的を通知又は公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表するものとする。
2 本法人は、前項の規定にかかわらず、本人から書面等により当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。た し、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 本法人は、個人情報の利用目的を変更した場合は、変更した利用目的について、本人 に通知し、又は公表するものとする。
4 前3項の規定は、次に掲げる場合については、適用しない。
- (1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- (2) 利用目的を本人に通知し、又は公表することにより本法人の権利又は正当な利益を害するおそれがある場合
- (3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して、本法人 が協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- (4) 取得の状況からみて利用目的が明らかであると認められる場合
- (適正な取得)
- 第11条 本法人は、偽りその他不正の手段により個人情報を取得しない。
2 本法人は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得しない。
- (1) 法令に基づく場合
- (2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- (3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- (4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- (5) 当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報の保護に関する法律第 76 条第 1 項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
- (6) その他前各号に掲げる場合に準ずるものとして政令で定める場合
- (利用目的による制限)
- 第12条 本法人は、あらかじめ本人の同意を得ないで、第9条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱わない。
2 本法人は、合併その他の事由により他の法人等から事業を承継することに伴って個人 情報を取得した場合は、あらかじめ、本人の同意を得ることなく、承継前における当該 個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を利用しない。
3 前2項の規定は、次に掲げる場合については、適用しない。
- (1) 法令に基づく場合
- (2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- (3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- (4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより 当該事務の遂行に支障を及ぼすおそれがあるとき。
- (第三者提供の制限)
- 第13条 本法人は、前条第3項各号に掲げる場合を除き、あらかじめ本人の同意を得ないで、個人情報を第三者に提供しない。
2 次に掲げる場合において、当該個人情報の提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。
- (1) 利用目的の達成に必要な範囲内において個人情報の取扱いの全部又は一部を委託する場合
- (2) 合併その他の事由による事業の承継に伴って個人情報が提供される場合
- (3) 特定の者との間で共同して利用される個人情報が当該特定の者に提供される場合であって、その旨並びに共同して利用される個人情報の項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人情報の管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
- (第三者提供に係る記録の作成等)
- 第14条 本法人は、個人情報を第三者に提供したときは、個人情報保護委員会規則で定めるところにより、記録を作成する。
2 本法人は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存する。 - (外国にある第三者への提供)
- 第15条 本法人は、外国にある第三者に個人情報を提供する場合には、第12条第3項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、第 13 条の規定は適用しない。
第4章 個人情報の適正管理
- (安全管理措置)
- 第16条 本法人は、個人情報の安全性及び信頼性を確保するため、保有する情報の漏えい、滅失及び毀損(以下「漏えい等」という。)並びに改ざんの防止その他の安全管理のために必要かつ適切な措置を講ずる。
2 本法人は、保有する情報をその目的に応じて最新の状態に管理する。
3 本法人は、保有する必要がなくなった情報を確実かつ迅速に廃棄又は消去する。 - (委託に伴う取扱い)
- 第17条 本法人は、個人情報の取扱いを含む業務を学外の業者等(以下「受託者」という。)に委託する場合、業務目的の達成に必要な範囲内において情報を提供するものとし、個人情報の安全管理が図られるよう、別に定める個人情報の取扱業務に関する委託先管理基準に基づき、受託者に対する必要かつ適切な監督を行う。
第5章 個人情報の開示、訂正等及び利用停止等
- (個人情報の開示請求)
- 第18条 本法人は、本人から当該本人が識別される本人の個人情報の開示を求められたときは、別に定める個人情報の開示等の請求に係る手順に基づき、書面により、受け付けるものとする。
2 本法人は、開示請求に対して、別に定める個人情報の開示等の請求における審査基準に基づき、開示請求の理由が適正であると判断した場合は、本人に遅滞なく、情報を開示する。
3 本法人は、開示請求に対して、前項の審査基準に基づき、その全て又は一部を開示しない旨を決定した場合は、開示請求を行った本人に対し、その理由を文書で通知する。 - (個人情報の訂正等)
- 第19条 本法人は、個人情報に誤り等があると本人から申出があった場合、当該個人情報の訂正、追加又は削除(以下「訂正等」という。)の請求について、受け付けるものとする。
2 本法人は、個人情報の訂正等の請求に対して、利用目的の達成に必要な範囲内において、遅滞なく、事実の確認等の必要な調査を行い、請求理由が適正であると判断した場合は、当該個人情報の内容の訂正等を行う。
3 本人に対しての調査結果の通知は、遅滞なく、結果通知書をもって行うものとする。 - (利用停止等)
- 第20条 本法人は、本人から、当該本人が識別される個人情報が第12条の規定に違反して取り扱われているとき、又は第 11 条の規定に違反して取得されたものであるとして、当該個人情報の利用の停止又は消去(以下「利用停止等」という。) の請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該個人情報の利用停止等を行うものとする。ただし、当該個人情報の利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2 本法人は、本人から、当該本人が識別される個人情報が第13条第1項又は第15条の規定に違反して第三者に提供されているとして、当該個人情報の第三者への提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該個人情報の第三者への提供を停止するものとする。ただし、当該個人情報の第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3 本法人は、第1項の規定による請求に係る個人情報の全部若しくは一部について利用停止等を行ったとき、若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定による請求に係る個人情報の全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
第6章 不服の申立て
- (不服の申立て)
- 第21条 個人情報統括責任者は、前3条の規定による開示、訂正等及び利用停止等の措置内容について、本人から不服の申立てがあった場合は、当該不服の申立てに必要な事項を明記した書面により、受け付けるものとする。
2 個人情報統括責任者は、前項の規定による不服申立てに対して、委員会において速やかに審議し、決定結果を文書で本人に通知する。
3 委員会は、審議に際して、必要に応じて不服申立人又は本法人の当該情報を所有している部署の職員等関係者の出席を求め、意見又は説明を聴取することができる。
4 委員会は、本人からの不服申立てが正当であると判断した場合は、該当する個人情報を所有している部署の個人情報管理責任者に対して、個人情報の開示、訂正等の勧告をする。
第7章 漏えい事案等への対応
- (漏えい事案等への対応)
- 第22条 本法人は、個人情報の漏えい等の事故が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、漏えい等の事実関係、再発防止策等を早急に公表しなければならない。
2 本法人は、個人情報の漏えい等の事故が発生した場合は、対象となった本人に対し、 速やかに、事実関係等の通知を行う。
3 個人情報の漏えい等の事故があった場合に備え、危機対応のための体制の整備、手順の策定等は、別途定める。
第8章 補則
- (教育・研修)
- 第23条 本法人は、職員等に個人情報の管理について適切な教育・研修を行う。
2 委員会は、継続的かつ定期的に教育・研修を計画し実施する。 - (監査)
- 第24条 個人情報の保護に関する運用状況等を検証する監査の計画及び実施は、内部監査室が行う。
- (懲戒)
- 第25条 職員等が個人情報保護に関する法令及びこの規程に違反し、漏えい等の事故を発生させた場合において、懲戒又は相応の措置が必要であると判断したときは、委員会は、理事長に対して懲戒又は相応の措置をとるよう申請することができる。ただし、神奈川大学の教育職員の懲戒については学長に、附属学校の教育職員の懲戒については附属学校長に、申請と同時に報告しなければならない。
- (雑則)
- 第26条 この規程に定めのない事項については、個人情報の保護に関する法律その他の法令の定めるところによる。
- (改廃)
- 第27条 この規程の改廃は、情報管理委員会の議を経て、理事会が行う。
- 附則
- この規程は、平成 17 年 12 月 2 日から施行する。
- 附 則(平成27年12月17日規程第1075号)
- この規程は、平成 28 年 1 月 1 日から施行する。
- 附 則(平成31年2月7日規程第1174号)
- この規程は、平成 31 年 2 月 7 日から施行する。