第1章 総則

(目的)

第1条 この規程は、学校法人札幌大谷学園(以下「法人」という。)における個人情報の取得、利用、保管、その他の取扱いについて必要な事項を定め、個人情報の適切な保護に資することを目的とする。

(定義)

第2条 この規程において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、住所、電話番号等により特定の個人を識別することができるもの又はその情報自体からは特定の個人を識別することができなくても、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものをいう。

  1. 前項の個人情報は、法人の教職員(役員、評議員を含む。以下、同じ。)又は学生等(幼児・児童・生徒を含む。以下同じ。)に関する情報のほか、過去に法人の教職員や学生等であった者に関する情報も含まれるものとする。
  2. この規程において「個人情報データベース」とは、個人情報を含む情報の集合物であって、個人情報を容易に検索することができるように、コンピュータ又は帳簿等によって体系的に構成したものをいう。
  3. この規程において「個人データ」とは、個人情報データベースを構成する個人情報をいう。

(責務)

第3条 法人の教職員は、この規程その他法人の諸規程及び個人情報保護委員会の決定する施策を遵守し、個人情報を保護する責務を負う。

  1. 法人の教職員は、職務等により知り得た個人情報を、故意又は過失により、漏えいし、滅失し、若しくはき損し、又は不当な目的に利用してはならない。その地位を退いた後においても同様とする。
  2. 法人は、学生に対して、個人情報の適正な取扱いにつき、適切に指導及び啓蒙活動を行うことに努めるものとする。

(適用除外)

第4条 この規程は、学術研究の用に供する目的で個人情報を取り扱う場合には適用しない。ただし、その場合においても、できる限りこの規程に準じて個人情報を取り扱うようにするなど、個人情報の適正な取扱いを確保するために必要な措置を講ずるよう努めなければならない。

第2章 個人情報の取得、利用及び提供

(取得)

第5条 個人情報を取得するに当たっては、その利用目的をできる限り特定し、利用目的の達成に必要な範囲で取得しなければならない。

  1. 前項の利用目的は、個人情報を取得する前又は取得した後速やかに、本人に通知し、又は公表しなければならない。ただし、本人から直接に、書面(電磁気的記録媒体等を含む。)に記載された当該本人の個人情報を取得する場合は、特別の事情のある場合を除き、あらかじめ、本人に対し、その利用目的を明示しなければならない。
  2. 第1項の利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。変更された利用目的については、本人に通知し、又は公表しなければならない。
  3. 第2項及び前項後段の規定は、次に掲げる場合については、適用しない。
     ⑴ 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合、及び本法人の権利又は正当な利益を害するおそれがある場合
     ⑵ 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
     ⑶ 取得の状況からみて利用目的が明らかであると認められる場合
  4. 思想、信条及び宗教に関する個人情報、並びに社会的差別の原因となるおそれのある個人情報は、やむを得ない合理的理由がない限り、取得してはならない。
  5. 個人情報を取得するに当たっては、適法かつ相当な手段により取得しなければならない。

(取扱い)

第6条 個人情報は、利用目的の達成に必要な範囲で取り扱わなければならない。ただし、次に掲げる場合については、この限りでない。

⑴ あらかじめ本人の同意を得た場合
⑵ 法令に基づく場合
⑶ 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
⑷ 公衆衛生の向上又は生徒等の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
⑸ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(第三者提供)

第7条 個人データを第三者に提供してはならない。ただし、次に掲げる場合については、この限りでない。

⑴ あらかじめ本人の同意を得た場合
⑵ 次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いている場合
(ア)第三者への提供を利用目的とすること。
(イ)第三者に提供される個人データの項目
(ウ)第三者への提供の手段又は方法
(エ)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
⑶ 前条第2号から第5号までに掲げる場合

  1. 個人データを第三者へ提供する場合には、当該提供先において、個人データの提供する目的以外での利用、他の者への再提供、複写複製、改ざん、漏えい、盗用等がなされないように、個人データの安全管理のために講ずべき措置について、提供先と契約書を締結するなど、適切な措置を講じなければならない。

(委託、共同利用)

第8条 前条の規定は、次に掲げる場合については、適用しない。

⑴ 法人が外部業者等に対し個人データの取扱いの全部又は一部を委託する場合。この場合には、委託された当該個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
⑵ 個人データを特定の者との間で共同して利用する場合。この場合には、次に掲げる事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。エ及びオに掲げる事項を変更する場合も同様とする。
(ア)個人データを共同利用すること。
(イ)共同利用する個人データの項目
(ウ)共同利用する者の範囲
(エ)利用する者の利用目的
(オ)共同利用する個人データの管理について責任を有する者の氏名又は名称

第3章 個人データの管理

(管理責任者)

第9条 法人の各部門の所属長(学長、高等学校長、中学校長、園長、法人本部長)、その他理事長の指名する者を、個人データ管理責任者とする。

  1. 個人データ管理責任者は、各部門における個人データを総括的に管理するとともに、各部門に所属する教職員が個人データを適切に取り扱っているかどうかを管理しなければならない。
  2. 個人データ管理責任者は、個人情報データベースに関し次に掲げる事項を記載したものを一つの簿冊に綴って備え置き、閲覧に供しなければならない。ただし、第5条第4項第1号及び第2号に掲げる場合、個人情報データベースが取得後6か月以内に消去することになる情報のみからなっている場合、個人情報データベースが専らコンピュータの試験的操作のために利用するものである場合、その他合理的な理由がある場合については、この限りでない。
    ⑴ 個人情報データベースの名称
    ⑵ 個人データの利用目的
    ⑶ 個人情報データベースを取り扱う部門の名称
    ⑷ 個人情報データベースに記録されている項目
    ⑸ 個人データの取扱期間
    ⑹ その他必要な事項

(個人情報保護委員会)

第10条  個人情報の保護を適正に行うため、法人に個人情報保護委員会を置く。

  1. 個人情報保護委員会は、次に掲げる事項について審議する。
    ⑴ 個人情報の保護に関する全学的な施策に関する事項
    ⑵ 個人データを含むコンピュータシステムの整備、個人データを含む帳簿等の管理その他、個人データの適正な管理のための方法及び措置に関する事項
    ⑶ 個人データの開示、訂正、追加、削除、利用の停止若しくは消去の要求、利用目的の通知の請求又は苦情申立てがあった場合に、理事長から付議された事項
    ⑷ その他個人情報の保護のために必要な事項
  2. 個人情報保護委員会は、次に掲げる者をもって構成する。
    ⑴ 理事長
    ⑵ 常務理事
    ⑶ 学長
    ⑷ 高等学校長
    ⑸ 法人本部長
    ⑹ その他理事長の委嘱した者
  3. 個人情報保護委員会の委員長は、理事長をもって充て、委員長が招集及び議事の進行を行う。委員長は、必要に応じ関係者を出席させ、意見を聴くことができる。
  4. 個人情報保護委員会に関する事務は、法人本部総務課が行う。

第4章 個人データの開示等

(開示)

第11条 本人は、自己に関する個人データの開示を請求することができる。請求は、代理人によってもすることができる。

  1. 前項の請求は、学生証、職員証、身分証明書、代理権を有することを証明する書面等により本人又は代理人であることを明らかにし、法人の定める請求書を各部門の所属長あてに提出して行わなければならない。
  2. 本人から、個人データの開示を求められたときは、本人に対し、遅滞なく、これを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
    ⑴ 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
    ⑵ 法人の業務の適正な実施に著しい支障を及ぼすおそれがある場合
    ⑶ 他の法令に違反することとなる場合
  3. 理事長は、開示を求められた個人データの全部又は一部の開示につき、必要に応じて、個人情報保護委員会に付議し、又は個人データ管理責任者等から意見を聴くことができる。
  4. 開示は、当該個人データの記載されている文書の写しを交付する方法により行う。当該個人データが、コンピュータ処理用の個人情報データファイルを構成するものである場合は、コンピュータによって出力した帳票の交付をもって行う。ただし、本人の同意があれば、その他の適宜な方法をもって開示することができる。
  5. 個人データの全部又は一部を開示しない場合は、本人に対し、遅滞なく、文書でその旨を通知しなければならない。

(訂正等)

第12条 本人は、自己に関する個人データの内容が事実でない場合、その内容の訂正、追加又は削除を請求することができる。請求は、代理人によってもすることができる。

  1. 前項の請求については、前条第2項に定める手続に準じて行わなければならない。ただし、手数料は必要としない。
  2. 法人は、第1項の請求を受けた場合には、遅滞なく、必要な調査を行い、必要な措置を講じ、その結果を本人に対し文書で通知しなければならない。この場合、前条第4項の規定を準用する。

(利用停止等)

第13条 本人は、自己に関する個人データが法令若しくはこの規程その他法人の諸規程に違反して取得され、又は利用されている場合、その利用を停止し、又は適切な措置を講ずるよう請求することができる。請求は、代理人によってもすることができる。

  1. 前項の請求については、前条第2項の規定を準用する。
  2. 法人は、第1項の請求を受けた場合には、遅滞なく、必要な調査を行い、必要な措置を講じ、その結果を本人に対し文書で通知しなければならない。この場合、第11条第4項の規定を準用する。

(利用目的の通知)

第14条 本人は、自己に関する個人データの利用目的の通知を請求することができる。請求は、代理人によってもすることができる。

  1. 前項の請求は、第11条第2項に定める手続に準じて行わなければならない。
  2. 法人は、第1項の請求を受けた場合には、第5条第4項各号に掲げる場合を除き、速やかに、その利用目的を、本人に通知しなければならない。利用目的を通知しない場合は、本人に対し、遅滞なく、文書でその旨を通知しなければならない。この場合、第11条第4項の規定を準用する。

(苦情申立て)

第15条 本人は、自己に関する個人データの取扱いについて苦情申立てをすることができる。請求は、代理人によってもすることができる。

  1. 前項の請求を受けた場合には、第13条第3項の規定を準用する。

第5章 雑則

(関係法令の適用)

第16条 この規程に定めのない事項及びこの規程の解釈適用は、個人情報の保護に関する法律(平成15年法律第57号)その他の関係法令に従う。

(改廃)

第17条 この規程の改廃は、理事会が行う。