Microsoft Word - 12.3.8.4.1_GuidelinesforPersonalInformationProtection_20160323_cl

Guidelines for Personal Information Protection 個 人 情 報 保 護 に 関 するガイドライン November 30, 2011 平 成 23 年 11 月 30 日 Approved by Vice President for Administrative Compliance 副 学 長 (アドミニストレイティブ コンプライアンス 担 当 ) 決 定 Partial Revision March 1,2015 一 部 改 正 平 成 27 年 3 月 1 日 Partial Revision March 23,2016 一 部 改 正 平 成 28 年 3 月 23 日 Article 1. Purpose 第 1 条 目 的 The purpose of these Guidelines is to set forth the handling of personal information by the Okinawa Institute of Science and Technology School Corporation (hereinafter, the Corporation ) so as to provide for the smooth and appropriate administration of the business and operations of the Corporation while protecting the rights and interests of the individual. Individuals tasked with the responsibilities as detailed in these guidelines, may in some cases not have direct control of the resources required to action them. In this case the individual responsible is to work with the relevant parties, such as the CIO, whom has direct control of the resources required to ensure that the responsibilities are met. Further rules may be imposed locally by the corporation, these rules and may only increase the level of restrictions, but shall not decrease the level of restrictions. このガイドラインは 学 校 法 人 沖 縄 科 学 技 術 大 学 院 大 学 学 園 ( 以 下 学 園 という )における 個 人 情 報 の 取 扱 いに 関 する 基 本 的 事 項 を 定 めることによ り 学 園 の 事 務 及 び 事 業 の 適 正 かつ 円 滑 な 運 営 を 図 りつつ 個 人 の 権 利 利 益 を 保 護 することを 目 的 とする このガイドラインで 定 められる 各 責 任 者 は その 責 務 を 果 たすうえで 必 要 な リソースを 直 接 管 理 権 していない 場 合 には CIOその 他 の 管 理 権 を 有 する 関 係 者 と 連 携 をとることが 求 められる 学 園 は 追 加 的 なルールによりこのガ イドラインより 更 に 制 限 を 強 めることはできるが 制 限 を 緩 めることはでき ない 1

Article 2. Definitions 第 2 条 定 義 The terms used in these guidelines shall be construed in accordance with Article 2 of the Law concerning Access to Personal Information Held by Independent Administrative Institutions (Law No. 59 of 2003; hereinafter, the Law ). このガイドラインにおける 用 語 の 意 義 は 独 立 行 政 法 人 等 の 保 有 する 個 人 情 報 の 保 護 に 関 する 法 律 ( 平 成 15 年 法 律 第 59 号 以 下 法 という ) 第 2 条 の 定 めるところによる Article 3. General Manager for Personal Information Protection 第 3 条 個 人 情 報 総 括 保 護 管 理 者 1. The Vice President for Administrative Compliance shall be appointed as the General Manager for Personal Information Protection of the Corporation. 学 園 に 個 人 情 報 総 括 保 護 管 理 者 ( 以 下 総 括 保 護 管 理 者 という )1 名 を 置 き 副 学 長 (アドミニストレイティブ コンプライアンス 担 当 )をもって 充 てるものとする 2. The General Manager for Personal Information Protection shall have general responsibility for the management of personal information retained by the Corporation. 総 括 保 護 管 理 者 は 学 園 における 保 有 個 人 情 報 の 管 理 に 関 する 事 務 を 総 括 する ものとする Article 4. Personal Information Protection Manager 第 4 条 個 人 情 報 保 護 管 理 者 1. Each section shall appoint one Personal Information Protection Manager, which position shall be filled by the head of the section. This role will normally have overlap with the Data Custodian role as defined in [PRP LINK], with a single individual fulfilling both roles in most cases. 各 セクション 等 の 部 署 に 個 人 情 報 保 護 管 理 者 ( 以 下 保 護 管 理 者 という ) 1 名 を 置 き 当 該 セクション 等 の 部 署 の 長 をもって 充 てるものとする 個 人 情 報 保 護 管 理 者 は 通 常 PRP17 章 で 規 定 されるデータ 管 理 者 [Link:17.8.4 ]と 同 一 の 者 が 行 う 2. The Personal Information Protection Manager shall have general responsibility for the management of personal information retained by the section. The Personal Information Protection Manager shall be responsible for ensuring appropriate management of retained personal information. When the section handles retained personal information by information system, T the Personal Information Protection Manager shall work 2

with CIO,which is determined by Article 6 of this guideline. 保 護 管 理 者 は 当 該 セク ション 等 の 部 署 における 保 有 個 人 情 報 の 管 理 に 関 する 事 務 を 統 括 するものと する 保 護 管 理 者 は 各 部 署 における 保 有 個 人 情 報 の 適 切 な 管 理 を 確 保 する 任 に 当 たる 保 有 個 人 情 報 を 情 報 システムで 取 り 扱 う 場 合 保 護 管 理 者 は 本 ガ イドライン 第 6 条 に 定 める 最 高 情 報 責 任 者 と 連 携 して その 任 に 当 たる Article 5. Personal Information Protection Officer 第 5 条 個 人 情 報 保 護 担 当 者 1. The Personal Information Protection Manager from each section shall appoint one Personal Information Protection Officer to be the Document Management Officer as set forth in the PRP 12.3.4.3.2. 各 セクション 等 の 部 署 に 当 該 セクション 等 の 部 署 の 保 護 管 理 者 が 指 名 する 個 人 情 報 保 護 担 当 者 ( 以 下 保 護 担 当 者 という )1 名 を 置 き PRP 12.3.4.3.2 に 定 める 文 書 管 理 担 当 者 をもって 充 てるものとする 2. The Personal Information Protection Officer shall assist the Personal Information Protection Manager and shall be in charge of day-to-day operations relevant to the management of the personal information retained in the section. 保 護 担 当 者 は 保 護 管 理 者 を 補 佐 し 各 セクション 等 の 部 署 における 保 有 個 人 情 報 の 管 理 に 関 する 事 務 を 担 当 するものとする Article 6. Chief Information Officer 第 6 条 最 高 情 報 責 任 者 1. The Corporation appoints, based on PRP2.4.1.3 and 17.4.7,the Chief Information Officer (hereinafter, the CIO ). 学 園 は PRP2.4.1.3 及 び17.4.7の 規 定 により 最 高 情 報 責 任 者 ( 以 下 CIO と いう )1 名 を 置 く 2. CIO shall be responsible for management of information system and cyber security program. CIO shall work with General Manager for Personal Information Protection and Personal Information Protection Manager for ensuring appropriate personal information protection management by information system and for facilitating appropriate information system. CIOは 学 園 の 情 報 システムの 管 理 及 びサイバーセキュリティープログラムに 関 して 責 任 を 有 する CIOは 統 括 保 護 管 理 者 や 保 護 管 理 者 と 連 携 し 学 園 の 情 報 システムを 用 いた 保 有 個 人 情 報 の 適 切 な 管 理 及 び 適 切 な 情 報 システムを 整 備 する 任 に 当 たる 3

Article 7. Chief Information Security Manager 第 7 条 最 高 情 報 セキュリティ 責 任 者 1. The Corporation appoints Chief Information Security Manager (hereinafter CISM ), which position shall be filled by CIO appointment based on PRP 17.4.7. 学 園 は 最 高 情 報 セキュリティ 責 任 者 ( 以 下 CISM という )1 名 を 置 き PRP17.4.7に 基 づきCIOが 指 名 する 者 をもって 充 てるものとする 2. CISM shall be responsible for developing information security related policies and procedures, as well as conducting risk assessment and ensuring overall information security enforcement in OIST. 学 園 における 情 報 セキュリティ 方 針 手 続 き 及 び 管 理 技 術 を 策 定 し 情 報 セキ ュリティ 管 理 策 の 実 効 性 をリスクアセスメントなどにより 監 督 する 任 に 当 た る Article 8. Personal Information Protection Auditor 第 8 条 監 査 責 任 者 1. The auditor of the Corporation shall be appointed as the Personal Information Protection Auditor. 学 園 に 個 人 情 報 保 護 監 査 責 任 者 ( 以 下 監 査 責 任 者 という )を1 名 置 く こととし 監 事 をもって 充 てるものとする 2. The Personal Information Protection Auditor shall be responsible for auditing the status of management for retained personal information. 監 査 責 任 者 は 保 有 個 人 情 報 の 管 理 の 状 況 について 監 査 する 任 に 当 たるものと する Article 9. Personal Information Protection Committee 第 9 条 個 人 情 報 保 護 委 員 会 If the General Manager for Personal Information Protection finds it necessary, he/she shall establish a Personal Information Protection Committee, which consists of relevant staff members, to determine important matters related to the management of retained personal information and to provide relevant communication and coordination, etc. and hold the meeting periodically or as necessary. 総 括 保 護 管 理 者 は 保 有 個 人 情 報 の 管 理 に 係 る 重 要 事 項 の 決 定 連 絡 調 整 等 を 行 うため 必 要 があると 認 めるときは 関 係 職 員 を 構 成 員 とする 委 員 会 を 設 け 定 期 に 又 は 随 時 に 開 催 するものとする 4

Article 10. Staff Training 第 10 条 職 員 研 修 1. The General Manager for Personal Information Protection shall provide staff members(including temporary staff members; hereinafter the same) handling retained personal information adequate training in matters of retained personal information handling and increase general awareness of personal information protection. 総 括 保 護 管 理 者 は 保 有 個 人 情 報 の 取 扱 いに 従 事 する 職 員 ( 派 遣 職 員 を 含 む 以 下 同 じ )に 対 し 保 有 個 人 情 報 の 取 扱 いについて 理 解 を 深 め 個 人 情 報 の 保 護 に 関 する 意 識 の 高 揚 を 図 るための 啓 発 その 他 必 要 な 研 修 を 行 うものとす る 2. The General Manager for Personal Information Protection shall work with the CIO to ensure staff members involved in the management of information systems handling retained personal information have the necessary training in the management, operations, and security of information systems to enable appropriate management of retained personal information. 総 括 保 護 管 理 者 は CIO と 連 携 し 保 有 個 人 情 報 を 取 り 扱 う 情 報 システムの 管 理 に 関 する 事 務 に 従 事 する 職 員 に 対 し 保 有 個 人 情 報 の 適 切 な 管 理 のために 情 報 システムの 管 理 運 用 及 びセキュリティ 対 策 に 関 して 必 要 な 研 修 を 行 う 3. The General Manager for Personal Information Protection shall implement training for Personal Information Protection Managers and Personal Information Protection Officers for the appropriate management of personal information in each section, etc. 総 括 保 護 管 理 者 は 保 護 管 理 者 及 び 保 護 担 当 者 に 対 し 部 署 等 の 現 場 における 保 有 個 人 情 報 の 適 切 な 管 理 のための 教 育 研 修 を 実 施 する Article 11. Staff Responsibilities 第 11 条 職 員 の 責 務 Staff members shall adhere to the letter and intent of all relevant laws, ordinances and guidelines, etc. and follow the instructions of the General Manager for Personal Information Protection, Personal Information Protection Manager, and Personal Information Protection Officer. 職 員 は 法 の 趣 旨 に 則 り 関 連 する 法 令 及 び 例 規 等 の 定 めを 遵 守 するとともに 総 括 保 護 管 理 者 保 護 管 理 者 及 び 保 護 担 当 者 の 指 示 に 従 い 保 有 個 人 情 報 を 取 り 扱 わなければならない Article 12. Access 第 12 条 アクセス 制 限 5

1. The Personal Information Protection Manager shall work with the CIO to restrict the staff with access to personal information and the details of that access to the minimum scope required for those staff members to implement their work, as warranted by the confidentiality and nature of the retained personal information. 保 護 管 理 者 は CIO と 連 携 し 保 有 個 人 情 報 の 秘 匿 性 等 その 内 容 に 応 じて 当 該 保 有 個 人 情 報 にアク セスする 権 限 を 有 する 職 員 とその 権 限 の 内 容 を 当 該 職 員 が 業 務 を 行 う 上 で 必 要 最 小 限 の 範 囲 に 限 るものとする 2. Unauthorized Staff members shall not access personal information. アクセス 権 限 を 有 しない 職 員 は 保 有 個 人 情 報 にアクセスしてはならない 3. Staff members shall not access personal information for non-operational purposes. 職 員 は アクセス 権 限 を 有 する 場 合 であっても 業 務 上 の 目 的 以 外 の 目 的 で 保 有 個 人 情 報 にアクセスしてはならない Article 13. Personal Information Copying, Distribution, etc. 第 13 条 複 製 等 の 制 限 When handling personal information for operational purposes, the Personal Information Protection Manager shall limit the cases in which the actions listed below can be carried out as warranted by the confidentiality and nature of the personal information in question, and staff members shall follow the instructions of Personal Information Protection Manager relating to;: 職 員 が 業 務 上 の 目 的 で 保 有 個 人 情 報 を 取 り 扱 う 場 合 であっても 保 護 管 理 者 は 次 の 各 号 に 掲 げる 行 為 については 当 該 保 有 個 人 情 報 の 秘 匿 性 等 その 内 容 に 応 じて 当 該 行 為 を 行 うことができる 場 合 を 限 定 し 職 員 は 保 護 管 理 者 の 指 示 に 従 わなければならない (1) Copying of personal information 保 有 個 人 情 報 の 複 製 (2) Distribution of personal information 保 有 個 人 情 報 の 送 信 (3) Distribution to outside parties or distribution of media containing personal information 保 有 個 人 情 報 が 記 録 されている 媒 体 の 外 部 への 送 付 又 は 持 出 し (4) Other inappropriate management of personal information その 他 保 有 個 人 情 報 の 適 切 な 管 理 に 支 障 を 及 ぼすおそれのある 行 為 6

Article 14. Error Amendment, etc. 第 14 条 誤 りの 訂 正 等 Staff members, as instructed by the Personal Information Protection Manager, shall promptly correct personal information errors, etc. 職 員 は 保 有 個 人 情 報 の 内 容 に 誤 り 等 を 発 見 した 場 合 には 保 護 管 理 者 の 指 示 に 従 い 訂 正 等 を 行 わなければならない Article 15. Electronic Media, File Management 第 15 条 媒 体 の 管 理 等 Staff members shall store personal information media in a designated location as instructed by the Personal Information Protection Manager, and when deemed necessary, store said media under lock and key in a fireproof safe. 職 員 は 保 護 管 理 者 の 指 示 に 従 い 保 有 個 人 情 報 が 記 録 されている 媒 体 を 定 め られた 場 所 に 保 管 するとともに 必 要 があると 認 めるときは 耐 火 金 庫 への 保 管 施 錠 等 を 行 うものとする Article 16. Electronic Media, File Destruction, etc. 第 16 条 廃 棄 等 In the event that personal information files, media (including storage, terminals, and servers) is no longer needed, staff members, as instructed by the Personal Information Protection Manager, shall delete relevant information and/or destroy relevant media in a manner that renders it impossible to recover or decipher the retained personal information. 職 員 は 保 有 個 人 情 報 又 は 保 有 個 人 情 報 が 記 録 されている 媒 体 ( 端 末 及 びサー バに 内 蔵 されているものを 含 む )が 不 要 となった 場 合 には 保 護 管 理 者 の 指 示 に 従 い 当 該 保 有 個 人 情 報 の 復 元 又 は 判 読 が 不 可 能 な 方 法 により 当 該 情 報 の 消 去 又 は 当 該 媒 体 の 廃 棄 を 行 わなければならない 7

Article 17. Personal Information Handling Records 第 17 条 保 有 個 人 情 報 の 取 扱 状 況 の 記 録 As warranted by the confidentiality and nature of the personal information, the Personal Information Protection Manager shall create ledgers, etc. and record the status of personal information use, storage, and handling. 保 護 管 理 者 は 保 有 個 人 情 報 の 秘 匿 性 等 その 内 容 に 応 じて 台 帳 等 を 整 備 して 当 該 保 有 個 人 情 報 の 利 用 及 び 保 管 等 の 取 扱 いの 状 況 について 記 録 しなければ ならない Article 18. Personal Information File Ledgers Management, etc. 第 18 条 個 人 情 報 ファイル 簿 の 管 理 等 1. The Rules and Procedures Section shall create, store, and publish personal information file ledgers. 個 人 情 報 ファイル 簿 は 法 令 セクションが 整 備 し 保 管 及 び 公 表 する 2. The Personal Information Protection Manager shall formally request the Rules and Procedures Section when updating the personal information file ledger and, whenever necessary, amend matters recorded to the personal information file ledger. 保 護 管 理 者 は 個 人 情 報 ファイル 簿 に 記 載 すべき 個 人 情 報 ファイルを 保 有 した とき 又 は 個 人 情 報 ファイル 簿 に 記 載 されている 事 項 を 訂 正 等 する 必 要 がある ときは 個 人 情 報 ファイル 簿 を 更 新 するよう 法 令 セクションに 連 絡 しなければ ならない Article 19. Access 第 19 条 アクセス 制 御 1. The Personal Information Protection Manager shall work with the CIO to take necessary measures, as warranted by the confidentiality and nature of personal information (in this article, Article 24 and Article 27 through Article 31, this shall be limited to retained personal information handled in information systems), to control access by establishing security measures (passwords, smart cards, biometrics) to verify authorization (hereinafter, Authentication Functions ). 保 護 管 理 者 は CIO と 連 携 し 保 有 個 人 情 報 ( 以 下 本 条 から 第 24 条 及 び 第 27 条 から 第 31 条 において 情 報 システムで 取 り 扱 うものに 限 る )の 秘 匿 性 等 その 内 容 に 応 じて パスワード 等 (パスワード ICカード 生 体 情 報 等 を いう 以 下 同 じ )を 使 用 して 権 限 を 識 別 する 機 能 ( 以 下 認 証 機 能 という ) を 設 定 する 等 のアクセス 制 御 のために 必 要 な 措 置 を 講 ずるものとする 8

2. When taking security measures described in the preceding paragraph, the Personal Information Protection Manager shall work with the CIO to initiate any rules for the management of passwords, etc. (including regular and as-necessary reviews) and take any required security measures in order to prevent the theft of passwords, etc. 保 護 管 理 者 は CIO と 連 携 し 前 項 の 措 置 を 講 ずる 場 合 には パスワード 等 の 管 理 に 関 する 定 めを 整 備 (その 定 期 又 は 随 時 の 見 直 しを 含 む )するとともに パスワード 等 の 読 取 防 止 等 を 行 うために 必 要 な 措 置 を 講 ずるものとする Article 20. Records Access 第 20 条 アクセス 記 録 1. The Personal Information Protection Manager shall, as warranted by the confidentiality and nature of retained personal information, work with the CIO to enact such measures as may be necessary to record access to personal information, retain access records for a predetermined regularly audit access records. 保 護 管 理 者 は CIO と 連 携 し 保 有 個 人 情 報 の 秘 匿 性 等 その 内 容 に 応 じて 当 該 保 有 個 人 情 報 へのアクセス 状 況 を 記 録 し その 記 録 ( 以 下 アクセス 記 録 という )を 一 定 の 期 間 保 存 し 及 びアクセス 記 録 を 定 期 に 分 析 するために 必 要 な 措 置 を 講 ずるものとする 2. The Personal Information Protection Manager shall work with the CIO to take any necessary measures to prevent the unauthorized modification, theft, or unauthorized destruction of access records. 保 護 管 理 者 は CIO と 連 携 し アクセス 記 録 の 改 ざん 窃 取 又 は 不 正 な 消 去 の 防 止 のために 必 要 な 措 置 を 講 ずるものとする Article 21. Monitoring of Access 第 21 条 アクセス 状 況 の 監 視 In order to monitor inappropriate access to personal information, the Personal Information Protection Manager shall, as warranted by the confidentiality and nature of such information, work with CIO to take measures necessary to check at regular intervals. 保 護 管 理 者 は CIO と 連 携 し 保 有 個 人 情 報 の 秘 匿 性 等 その 内 容 に 応 じて 当 該 保 有 個 人 情 報 への 不 適 切 なアクセスの 監 視 のため 定 期 的 確 認 等 の 必 要 な 措 置 を 講 ずる 9

Article 22. Authority of Managers 第 22 条 管 理 者 権 限 の 設 定 The Personal Information Protection Manager shall, as warranted by the confidentiality and nature of personal information, take measures necessary such as to get sign in document to acknowledge that they will be subject to disciplinary action by the Corporation if they conduct improper manipulation, in order to minimize harm in the event of theft of system administrative authority and prevent internal improper manipulation of such information, etc. 保 護 管 理 者 は 保 有 個 人 情 報 の 秘 匿 性 等 その 内 容 に 応 じて 情 報 システムの 管 理 者 権 限 の 特 権 を 不 正 に 搾 取 された 際 の 被 害 の 最 小 化 及 び 内 部 からの 不 正 操 作 等 の 防 止 のため 不 正 操 作 を 行 った 際 は 学 園 による 懲 戒 的 な 処 分 の 対 象 とな ることに 同 意 する 書 面 に 署 名 を 得 る 等 の 必 要 な 措 置 を 講 ずるものとする Article 23. Prevention of Unauthorized External Access 第 23 条 外 部 からの 不 正 アクセスの 防 止 The Personal Information Protection Manager shall, as warranted by the confidentiality and nature of retained personal information, work with CIO to take such measures as may be necessary to prevent unauthorized external access to IT systems handling personal information (e.g. firewall establishment to control access pathways). 保 護 管 理 者 は CIO と 連 携 し 保 有 個 人 情 報 の 秘 匿 性 等 その 内 容 に 応 じて 保 有 個 人 情 報 を 取 り 扱 う 情 報 システムへの 外 部 からの 不 正 アクセスを 防 止 す るため ファイアウォールの 設 定 による 経 路 制 御 等 の 必 要 な 措 置 を 講 ずるもの とする Article 24. Prevention of Unauthorized Disclosure Prevention Due to Malware 第 24 条 不 正 による 漏 えい 等 の 防 止 The Personal Information Protection Manager shall work with CIO to take measures necessary to eliminate vulnerabilities exposed in software and prevent the infection of IT system by malware that has grasped such vulnerabilities (including maintaining introduced software in its most up to date state at all times), in other to prevent the unauthorized disclosure, loss, or damage of personal information die to malware. 保 護 管 理 者 は CIO と 連 携 し ソフトウェアに 関 する 公 開 された 脆 弱 性 の 解 消 把 握 された 不 正 プログラムによる 保 有 個 人 情 報 の 漏 えい 滅 失 又 は 毀 損 の 防 止 のため 不 正 プログラムの 感 染 防 止 等 に 必 要 な 措 置 ( 導 入 したソフトウェアを 常 に 最 新 の 状 態 に 保 つことを 含 む )を 講 ずるものとする 10

Article 25Processing of Personal Information in Information Systems 第 25 条 情 報 システムにおける 保 有 個 人 情 報 の 処 理 If carrying out an action such as copying personal information temporarily to process it, staff members shall limit the personal information subject to such action to the minimum necessary, and shall promptly delete any information no longer required after processing is complete. The Personal Information Protection Manager shall, as warranted by the confidentiality and nature of the personal information in question, confirm the situation from time to time with a focus on the state of implementation of deletion, etc. 職 員 は 保 有 個 人 情 報 について 一 時 的 に 加 工 等 の 処 理 を 行 うため 複 製 等 を 行 う 場 合 には その 対 象 を 必 要 最 小 限 に 限 り 処 理 終 了 後 は 不 要 となった 情 報 を 速 やかに 消 去 する 保 護 管 理 者 は 当 該 保 有 個 人 情 報 の 秘 匿 性 等 その 内 容 に 応 じて 随 時 消 去 等 の 実 施 状 況 を 重 点 的 に 確 認 する Article 26. Encryption 第 26 条 暗 号 化 The Personal Information Protection Manager shall, as warranted by the confidentiality and nature of retained personal information, work with CIO to take necessary security measures to encrypt personal information. Staff members shall, as warranted by the confidentiality and nature of personal information, carry out encryption appropriately( Actions such as the selection of appropriate passwords and measures to prevent their unauthorized disclosure are included) on the personal information that they process based on these security measures. 保 護 管 理 者 は CIO と 連 携 し 保 有 個 人 情 報 の 秘 匿 性 等 その 内 容 に 応 じて その 暗 号 化 のために 必 要 な 措 置 を 講 ずるものとする 職 員 は これを 踏 まえ その 処 理 す る 保 有 個 人 情 報 について 当 該 保 有 個 人 情 報 の 秘 匿 性 等 その 内 容 に 応 じて 適 切 に 暗 号 化 ( 適 切 なパスワードの 選 択 その 漏 えい 防 止 の 措 置 等 を 含 む)を 行 う Article 27. Information Verification, etc. 第 27 条 入 力 情 報 の 照 合 等 Staff members shall verify input against original copies, as warranted by the importance of retained personal information handled by information systems, in order to confirm the content of personal information before and after processing, and verify, etc. the integrity of existing personal information. 職 員 は 情 報 システムで 取 り 扱 う 保 有 個 人 情 報 の 重 要 度 に 応 じて 入 力 原 票 と 入 力 内 容 との 照 合 処 理 前 後 の 当 該 保 有 個 人 情 報 の 内 容 の 確 認 既 存 の 保 有 個 人 情 報 と の 照 合 等 を 行 うものとする 11

Article 28. Personal Information Backup 第 28 条 バックアップ The Personal Information Protection Manager shall, as warranted by the importance of retained personal information, take necessary security measures to create and provide decentralized storage of personal information backups. 保 護 管 理 者 は 保 有 個 人 情 報 の 重 要 度 に 応 じて バックアップを 作 成 し 分 散 保 管 するために 必 要 な 措 置 を 講 ずるものとする Article 29. IT System Design Documents Management, etc. 第 29 条 情 報 システム 設 計 書 等 の 管 理 The Personal Information Protection Manager shall take necessary security measures to store, copy and destroy, etc. IT system design documents, schematic diagrams, and other documentation for information systems related to personal information. 保 護 管 理 者 は 保 有 個 人 情 報 に 係 る 情 報 システムの 設 計 書 構 成 図 等 の 文 書 に ついて 外 部 に 知 られることがないよう その 保 管 複 製 廃 棄 等 について 必 要 な 措 置 を 講 ずるものとする Article 30. Personal Information Terminals 第 30 条 端 末 の 限 定 The Personal Information Protection Manager shall, as warranted by the confidentiality and nature of retained personal information, take necessary security measures to restrict terminals at which retained information may be accessed. 保 護 管 理 者 は 保 有 個 人 情 報 の 秘 匿 性 等 その 内 容 に 応 じて その 処 理 を 行 う 端 末 を 限 定 するために 必 要 な 措 置 を 講 ずるものとする Article 31. Terminal Theft Prevention, etc. 第 31 条 端 末 の 盗 難 防 止 等 1. The Personal Information Protection Manager shall take necessary security measures to prevent the theft and/or loss of terminals. 保 護 管 理 者 は 端 末 の 盗 難 又 は 紛 失 の 防 止 のため 必 要 に 応 じ 端 末 の 固 定 執 務 室 の 施 錠 等 の 措 置 を 講 ずるものとする 2. Staff members shall not remove terminals from the Corporation premises or bring in terminals from outside except when deemed necessary by the Personal Information Protection Manager. 職 員 は 保 護 管 理 者 が 必 要 があると 認 めるときを 除 き 端 末 を 外 部 へ 持 ち 出 し 又 は 外 部 から 持 ち 込 んではならない 12

Article 32. Third Party Viewing Prevention 第 32 条 第 三 者 の 閲 覧 防 止 Staff members shall take necessary security measures to prevent the viewing of personal information by third parties when terminals are used (guidelines for logging off IT systems). 職 員 は 端 末 の 使 用 に 当 たっては 保 有 個 人 情 報 が 第 三 者 に 閲 覧 されることが ないよう 使 用 状 況 に 応 じて 情 報 システムからログオフを 行 うことを 徹 底 する 等 の 必 要 な 措 置 を 講 ずるものとする Article 33. Restrictions on Connection of Devices and Media with Recording Functions 第 33 条 記 録 機 能 を 有 する 機 器 媒 体 の 接 続 制 限 The Personal Information Protection Manager shall, as warranted by the confidentiality and nature of personal information, work with CIO to take measures necessary to restrict connection of smartphones, USB flash drives, and other devices and media with recording functions to information system terminals (including upgrade of such devices) in order to prevent unauthorized disclosure, loss, or damage of personal information. They shall further ensure that the system terminals are prevented from accessing inappropriate cloud or other online services to the maximum reasonable extent possible. 保 護 管 理 者 は CIO と 連 携 し 保 有 個 人 情 報 の 秘 匿 性 等 その 内 容 に 応 じて 当 該 保 有 個 人 情 報 の 漏 えい 滅 失 又 は 毀 損 の 防 止 のため スマートフォン USB メモリ 等 の 記 録 機 能 を 有 する 機 器 媒 体 の 情 報 システム 端 末 等 への 接 続 の 制 限 ( 当 該 機 器 の 更 新 への 対 応 を 含 む ) 等 の 必 要 な 措 置 を 講 じなければならない また シ ステム 端 末 からの 不 適 切 なクラウドやその 他 オンラインサービスへのアクセス をできる 限 り 防 止 する 措 置 を 講 ずるものとする Article 34. Access Management 第 34 条 入 退 の 管 理 1. The Personal Information Protection Manager shall work with CIO to authorize persons to enter the core server room and other areas in which equipment handling personal information is located (hereinafter, the Server Room, etc. ) and take necessary security measures to confirm purpose of entry, log room access, identity, ensure that staff members are present when outsiders are granted access. or that such outsiders are monitored by monitoring systems, and restrict or inspect the bringing in, use, and taking out of external electromagnetic media. If other media storage contains personal information, similar measures shall be taken when deemed necessary. 保 護 管 理 者 は CIO と 連 携 し 保 有 個 人 情 報 を 取 り 扱 う 基 幹 的 なサーバ 等 の 機 器 を 設 置 する 室 その 他 の 区 域 ( 以 下 電 子 計 算 機 室 等 という )に 立 入 る 権 13

限 を 有 する 者 を 定 めるとともに 用 件 の 確 認 入 退 の 記 録 部 外 者 についての 識 別 化 部 外 者 が 立 ち 入 る 場 合 の 職 員 の 立 会 い 又 は 監 視 設 備 による 監 視 外 部 電 磁 的 記 録 媒 体 等 の 持 ち 込 み 利 用 及 び 持 ち 出 しの 制 限 又 は 検 査 の 措 置 を 講 ず るものとする また 保 有 個 人 情 報 を 記 録 する 媒 体 を 保 管 するための 施 設 を 設 けている 場 合 においても 必 要 があると 認 めるときは 同 様 の 措 置 を 講 ずるも のとする 2. The Personal Information Protection Manager shall, when deemed necessary, work with CIO to simplify the management of server room access by identifying Server Room, etc. entrances and exits and restricting location signs. 保 護 管 理 者 は CIO と 連 携 し 必 要 があると 認 めるときは 電 子 計 算 機 室 等 の 出 入 口 の 特 定 化 による 入 退 の 管 理 の 容 易 化 所 在 表 示 の 制 限 等 の 措 置 を 講 ずる ものとする 3. The Personal Information Protection Manager shall work with CIO to enact security measures to manage access to the Server Room, etc. and storage facilities (installing access Authentication Functions and formulating rules for the management of passwords, etc.; including regular and as-necessary reviews) and take such measures as to prevent the theft of passwords, etc. 保 護 管 理 者 は CIO と 連 携 し 電 子 計 算 機 室 等 及 び 保 管 施 設 の 入 退 室 の 管 理 につ いて 必 要 があると 認 めるときは 立 入 りに 係 る 認 証 機 能 を 設 定 し 及 びパス ワード 等 の 管 理 に 関 する 定 めの 整 備 (その 定 期 又 は 随 時 の 見 直 しを 含 む ) パスワード 等 の 読 取 防 止 等 を 行 うために 必 要 な 措 置 を 講 ずるものとする Article 35. Server Room, etc. Management 第 35 条 電 子 計 算 機 室 等 の 管 理 1. The Personal Information Protection Manager work with CIO to shall take security measures as may be necessary to prevent unauthorized intrusions (providing locks, alarms, and monitoring equipment for the Server Room, etc.) 保 護 管 理 者 は CIO と 連 携 し 外 部 からの 不 正 な 侵 入 に 備 え 電 子 計 算 機 室 等 に 施 錠 装 置 警 報 装 置 監 視 設 備 の 設 置 等 の 措 置 を 講 ずるものとする 2. The Personal Information Protection Manager shall work with CIO to take preventative measures against natural disaster, etc. by providing the Server Room, etc. with anti-seismic, fireproofing, smoke proofing and waterproofing equipment, ensuring reserve power supplies for servers/other equipment and prevent damage to wiring. 保 護 管 理 者 は CIO と 連 携 し 災 害 等 に 備 え 電 子 計 算 機 室 等 に 耐 震 防 火 防 煙 防 水 等 の 必 要 な 措 置 を 講 ずるとともに サーバ 等 の 機 器 の 予 備 電 源 の 確 保 配 線 の 損 傷 防 止 等 の 措 置 を 講 ずるものとする 14

Article 36. Personal Information Provisions 第 36 条 保 有 個 人 情 報 の 提 供 1. When providing personal information to outside parties other than administrative agencies and independent administrative institutions pursuant to Article 9, Paragraph 2, subparagraphs 3 and 4 of the Law, the Personal Information Protection Manager shall document the party receiving information by specifying the purpose of use, the legal rationale for the work in which used, the scope and content of usage records and the form of use, etc. 保 護 管 理 者 は 法 第 9 条 第 2 項 第 3 号 及 び 第 4 号 の 規 定 に 基 づき 行 政 機 関 及 び 独 立 行 政 法 人 等 以 外 の 者 に 保 有 個 人 情 報 を 提 供 する 場 合 には 原 則 として 提 供 先 における 利 用 目 的 利 用 する 業 務 の 根 拠 法 令 利 用 する 記 録 範 囲 及 び 記 録 項 目 利 用 形 態 等 について 書 面 を 取 り 交 わすものとする 2. When providing personal information to outside parties other than administrative agencies and independent administrative institutions pursuant to Article 9, Paragraph 2, subparagraphs 3 and 4 of the Law, the Personal Information Protection Manager shall require the enactment of security measures and shall, when deemed necessary, perform on-site inspections prior to provision and periodically thereafter to confirm the status of measures, record findings and seek improvements, etc. 保 護 管 理 者 は 法 第 9 条 第 2 項 第 3 号 及 び 第 4 号 の 規 定 に 基 づき 行 政 機 関 及 び 独 立 行 政 法 人 等 以 外 の 者 に 保 有 個 人 情 報 を 提 供 する 場 合 には 安 全 確 保 の 措 置 を 要 求 するとともに 必 要 があると 認 めるときは 提 供 前 又 は 随 時 に 実 地 の 調 査 等 を 行 い 措 置 状 況 を 確 認 してその 結 果 を 記 録 するとともに 改 善 要 求 等 の 措 置 を 講 ずるものとする 3. When providing personal information to administrative agencies and independent administrative institutions pursuant to Article 9, Paragraph 2, Subparagraph 3 of the Law, the Personal Information Protection Manager shall, when deemed necessary, take the measures as set forth in the preceding two paragraphs. 保 護 管 理 者 は 法 第 9 条 第 2 項 第 3 号 の 規 定 に 基 づき 行 政 機 関 又 は 独 立 行 政 法 人 等 に 保 有 個 人 情 報 を 提 供 する 場 合 において 必 要 があると 認 めるときは 前 二 項 に 規 定 する 措 置 を 講 ずるものとする Article 37. Operations Outsourcing, etc. 第 37 条 業 務 の 委 託 等 1. When outsourcing operations related to the handling of retained personal information, all necessary security measures shall be taken to avoid selection of parties lacking the capacity to appropriately manage personal information. Contracts shall specify the matters listed in items (1) to (6) below and document the contractor s and operators 15

management and operational systems, provisions relating to inspection of personal information management practices, and any other necessary matters. 保 有 個 人 情 報 の 取 扱 いに 係 る 業 務 を 外 部 に 委 託 する 場 合 には 個 人 情 報 の 適 切 な 管 理 を 行 う 能 力 を 有 しない 者 を 選 定 することがないよう 必 要 な 措 置 を 講 じ なければならない また 契 約 書 に 次 に 掲 げる 事 項 を 明 記 するとともに 委 託 先 における 責 任 者 及 び 業 務 従 事 者 の 管 理 及 び 実 施 体 制 個 人 情 報 の 管 理 の 状 況 についての 検 査 に 関 する 事 項 等 の 必 要 な 事 項 について 書 面 で 確 認 するもの とする (1) Obligations to protect the confidentiality of personal information and prohibit it from being used for any purpose other than that intended 個 人 情 報 に 関 する 秘 密 保 持 目 的 外 利 用 の 禁 止 等 の 義 務 (2) Restrictions on subcontracting or conditions for subcontracting, such as a requirement to seek prior approval 再 委 託 の 制 限 又 は 事 前 承 認 等 再 委 託 に 係 る 条 件 に 関 する 事 項 (3) Restrictions on copying, etc. of personal information 個 人 情 報 の 複 製 等 の 制 限 に 関 する 事 項 (4) Response to unauthorized disclosure or other incident involving personal information 個 人 情 報 の 漏 えい 等 の 事 案 の 発 生 時 における 対 応 に 関 する 事 項 (5) Destruction of personal information and return of digital media at the conclusion of outsourcing 委 託 終 了 時 における 個 人 情 報 の 消 去 及 び 媒 体 の 返 却 に 関 する 事 項 (6) Contract cancellation procedures, liability for damages, and other necessary measures in the event of breach of contract 違 反 した 場 合 における 契 約 解 除 損 害 賠 償 責 任 その 他 必 要 な 事 項 の 措 置 その 他 必 要 な 事 項 2. When outsourcing operations related to the handling of retained personal information, as warranted by the confidentiality and nature of the relevant personal information, the contractor s personal information management practices shall be checked through regular inspections conducted at least annually. 保 有 個 人 情 報 の 取 扱 いに 係 る 業 務 を 外 部 に 委 託 する 場 合 には 委 託 する 保 有 個 人 情 報 の 秘 匿 性 等 その 内 容 に 応 じて 委 託 先 における 個 人 情 報 の 管 理 の 状 況 について 年 1 回 以 上 の 定 期 的 検 査 等 により 確 認 する 3. If a contractor sub-contracts operations involving the handling of personal information, the contractor shall be required to take the measures described in Paragraph 8.4 above and, as warranted by the confidentiality and nature of the relevant personal information, the measures described in Paragraph 8.5 above shall 16

be taken either via the contractor or directly by the party outsourcing the operations. The same requirements shall apply if operations involving the handling of personal information are further sub-contracted. 委 託 先 において 保 有 個 人 情 報 の 取 扱 いに 係 る 業 務 が 再 委 託 される 場 合 に は 委 託 先 に4の 措 置 を 講 じさせるとともに 再 委 託 される 業 務 に 係 る 保 有 個 人 情 報 の 秘 匿 性 等 その 内 容 に 応 じて 委 託 先 を 通 じて 又 は 委 託 元 自 ら が 5 の 措 置 を 実 施 する 保 有 個 人 情 報 の 取 扱 いに 係 る 業 務 について 再 委 託 先 が 再 々 委 託 を 行 う 場 合 以 降 も 同 様 とする 4. When temporary staffs handle personal information, temporary staff referral contracts shall contain explicit provisions regarding the confidentiality obligations and other aspects of the handling of personal information. 保 有 個 人 情 報 の 取 扱 いに 係 る 業 務 を 派 遣 労 働 者 によって 行 わせる 場 合 には 労 働 者 派 遣 契 約 書 に 秘 密 保 持 義 務 等 個 人 情 報 の 取 扱 いに 関 する 事 項 を 明 記 しなければならない Article 38. Incident Reporting, Recurrence Prevention Measures, etc. 第 38 条 事 案 の 報 告 及 び 再 発 防 止 措 置 1. In the event of unauthorized disclosure, other incidents that pose security problems for personal information, or the possibility of occurrence of a problem, the staff member who became aware of the matter shall report right away before confirming the facts, which takes time to the Personal Information Protection Manager and Personal Information Protection Officer responsible for the management of the personal information. 保 有 個 人 情 報 の 漏 えい 等 安 全 確 保 の 上 で 問 題 となる 事 案 が 又 は 問 題 となる 事 案 の 発 生 のおそれを 認 識 した 場 合 に その 事 案 等 を 認 識 した 職 員 は 時 間 を 要 する 事 実 確 認 を 行 う 前 に 直 ちに 当 該 保 有 個 人 情 報 を 管 理 する 保 護 管 理 者 及 び 保 護 担 当 者 に 報 告 する 2. The Personal Information Protection Manager shall take the necessary measures right away to prevent the expansion of damage and incident recovery. However, measures that can be taken right away to prevent the expansion of damage such as disconnecting the LAN cables of terminals that are suspected to have undergone unauthorized access from an external source or infection by malware shall be taken right away (including making staff members take them). 保 護 管 理 者 は 被 害 の 拡 大 防 止 又 は 復 旧 等 のために 必 要 な 措 置 を 速 やかに 講 ずる ただし 外 部 からの 不 正 アクセスや 不 正 プログラム 感 染 が 疑 われる 当 該 端 末 等 の LAN ケーブルを 抜 くなど 被 害 拡 大 防 止 のため 直 ちに 行 い 得 る 措 置 については 直 ちに 行 う( 職 員 に 行 わせることを 含 む )ものとする 17

3. The Personal Information Protection Manager shall identify the chain-of-events leading to the incident and the extent of damage, etc. and shall report in a timely manner to the General Manager for Personal Information Protection. However, incidents deemed particularly serious shall be immediately reported to the General Manager for Personal Information Protection. 保 護 管 理 者 は 事 案 の 発 生 した 経 緯 被 害 状 況 等 を 把 握 し 速 やかに 総 括 保 護 管 理 者 に 報 告 する ただし 特 に 重 大 と 認 める 事 案 が 発 生 した 場 合 には 直 ちに 総 括 保 護 管 理 者 に 当 該 事 案 の 内 容 等 について 報 告 する 4. Upon receiving reports pursuant to the preceding paragraphs, the General Manager for Personal Information Protection shall report the nature, history and damage, etc. of the incident to the President and in a timely manner as warranted by the nature of the incident. 総 括 保 護 管 理 者 は 前 項 に 基 づく 報 告 を 受 けた 場 合 には 事 案 の 内 容 等 に 応 じて 当 該 事 案 の 内 容 経 緯 被 害 状 況 等 を 理 事 長 に 速 やかに 報 告 する 5. The General Manager for Personal Information Protection shall promptly provide information to the Okinawa Development and Promotion Bureau of the Cabinet Office in question with regard to the details of the incident, its background and the state of damage received in accordance with the facts of the incident. 括 保 護 管 理 者 は 事 案 の 内 容 等 に 応 じて 事 案 の 内 容 経 緯 被 害 状 況 等 に ついて 内 閣 府 ( 沖 縄 振 興 局 )に 対 し 速 やかに 情 報 提 供 を 行 う 6. The Personal Information Protection Manager shall analyze the factors resulting in the incident and shall take such measures to prevent further recurrence. 保 護 管 理 者 は 事 案 の 発 生 した 原 因 を 分 析 し 再 発 防 止 のために 必 要 な 措 置 を 講 じなければならない Article 39. Public Announcement, etc. 第 39 条 公 表 等 The President shall, as warranted by the nature and impact, etc. of the incident, publicly announce the facts of the incident and measures to prevent recurrence, and determine responses(such as communication with the people related to the personal information that was disclosed without authorization.), etc. to persons whose personal information was involved in the incident. Information shall be provided promptly to the Ministry of Internal Affairs and Communications (Administrative Management Bureau) with regard to the facts of an incident that is to be announced publicly, the background to it and the damage received. 18

理 事 長 が 必 要 を 認 めるときは 事 案 の 内 容 影 響 等 に 応 じて 事 実 関 係 及 び 再 発 防 止 策 の 公 表 当 該 事 案 に 係 る 保 有 個 人 情 報 の 本 人 への 対 応 ( 漏 えい 等 が 生 じた 保 有 個 人 情 報 に 係 る 本 人 への 連 絡 ) 等 の 措 置 を 講 ずるものとする 公 表 を 行 う 事 案 については 当 該 事 案 の 内 容 経 緯 被 害 状 況 等 について 速 やかに 総 務 省 ( 行 政 管 理 局 )に 情 報 提 供 を 行 うものとする Article 40. Inspection 第 40 条 点 検 The Personal Information Protection Manager shall inspect on a regular and as-necessary basis the digital recording media, processing channels and storage methods, etc. for personal information in his or her section and shall report findings to the General Manager for Personal Information Protection. 保 護 管 理 者 は 各 部 署 等 における 保 有 個 人 情 報 の 記 録 媒 体 処 理 経 路 保 管 方 法 等 について 定 期 に 及 び 必 要 に 応 じ 随 時 に 点 検 を 行 い 必 要 があると 認 めるときは その 結 果 を 総 括 保 護 管 理 者 に 報 告 するものとする Article 41. Audit 第 41 条 監 査 The Personal Information Protection Auditor shall perform regular and as-necessary audits (including independent audits by external auditors; hereinafter the same)of the management at the Corporation in question, including the state of the measures stipulated in Article3 to Article36, to verify the appropriate management of of personal information, and shall report the findings to the General Manager for Personal Information Protection. 監 査 責 任 者 は 保 有 個 人 情 報 の 管 理 の 適 切 な 管 理 を 検 証 するため 3 条 から 36 条 に 規 定 する 措 置 の 状 況 を 含 む 学 園 における 保 有 個 人 情 報 の 状 況 につい て 定 期 に 及 び 必 要 に 応 じ 随 時 に 監 査 ( 外 部 監 査 を 含 む 以 下 同 じ )を 行 い その 結 果 を 総 括 保 護 管 理 者 に 報 告 する Article 42. Evaluation and Review 第 42 条 評 価 及 び 見 直 し The General Manager for Personal Information Protection and the Personal Information Protection Manager shall evaluate measures for the appropriate management of personal information from the perspective of their effectiveness on the basis of audit or inspection findings and shall review such measures when deemed necessary. 総 括 保 護 管 理 者 保 護 管 理 者 等 は 点 検 又 は 監 査 の 結 果 等 を 踏 まえ 実 効 性 等 の 観 点 から 保 有 個 人 情 報 19

の 適 切 な 管 理 のための 措 置 について 評 価 し 必 要 があると 認 めるときは その 見 直 し 等 の 措 置 を 講 ずるものとする Article 43. Cooperation with Government Agencies 第 43 条 行 政 機 関 との 連 携 The Corporation shall carry out appropriate management of the personal information in its possession in close cooperation with the Okinawa Development and Promotion Bureau of the Cabinet Office in question based on Paragraph 4 of the Basic Policy on the Protection of Personal Information (Cabinet Decision, April 2, 2004). 学 園 は 個 人 情 報 の 保 護 に 関 する 基 本 方 針 ( 平 成 16 年 4 月 2 日 閣 議 決 定 )4 を 踏 まえ 内 閣 府 ( 沖 縄 振 興 局 )と 緊 密 に 連 携 して その 保 有 する 個 人 情 報 の 適 切 な 管 理 を 行 う Article 44 Other Provisions 第 44 条 細 則 等 の 定 め 1. Necessary matters related to the clerical processing of and fees for requests for disclosure, requests for amendment and requests for suspension of use, etc. shall be specified separately. 開 示 請 求 訂 正 請 求 利 用 停 止 請 求 等 の 事 務 処 理 及 び 手 数 料 等 に 関 し 必 要 な 事 項 は 別 に 定 める 2. In addition to these Guidelines and the provisions set forth in the preceding paragraph, the Vice President for Administrative Compliance shall formulate necessary matters for the clerical processing of personal information. 本 ガイドライン 及 び 前 項 に 規 定 する 定 めのほか 個 人 情 報 保 護 の 事 務 処 理 に 必 要 な 事 項 は 副 学 長 (アドミニストレイティブ コンプライアンス 担 当 ) が 定 めるものとする 20