○個人情報保護に関する実施細則
(平成17年4月1日細則(総)第11号)
改正
平成20年4月1日細則(総)第5号
平成20年11月14日細則(情)第51号
平成21年3月16日細則(情)第8号
平成22年6月28日細則(情)第33号
平成23年3月31日細則(情)第9号
平成23年12月12日細則(情)第49号
平成27年6月12日細則(情)第13号
平成27年9月30日細則(情)第20号
平成29年5月2日細則(情)第12号
平成29年11月27日細則(情)第21号
平成30年12月12日細則(情)第26号
令和3年3月31日細則(総)第9号
令和4年3月31日細則(情)第2号
令和5年3月28日細則(情)第3号
令和6年4月1日細則(情)第6号
目次
第1章 総則(第1条・第2条)
第2章 個人情報保護の体制(第3条-第7条)
第3章 役職員等及び情報取扱事務従事者の責務(第8条)
第4章 個人情報及び特定個人情報等の取扱い(第9条-第22条)
第5章 情報システム等における安全の確保等(第23条-第39条)
第6章 保有個人情報等の利用目的以外の目的のための利用及び提供(第40条-第44条)
第7章 保有個人情報等の取扱いに係る業務の委託等(第45条・第46条)
第8章 個人情報ファイル簿の作成及び公表(第47条)
第9章 保有個人情報等の開示、訂正及び利用停止(第48条)
第10章 行政機関等匿名加工情報の提供等(第49条-第53条)
第11章 安全管理上の問題への対応(第54条)
第12章 EEA個人データの取扱い(第55条-第66条)
第13章 教育研修(第67条)
第14章 監査及び点検の実施(第68条-第70条)
第15章 雑則(第71条)
附則

第1章 総則
(目的)
第1条 本細則は、独立行政法人国際協力機構サイバーセキュリティ対策に関する規程(平成29年規程(情)第14号。以下「規程」という。)第24条の規定、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)及び行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)に基づき、独立行政法人国際協力機構(以下「機構」という。)における個人情報及び特定個人情報等の取扱いに関する基本的事項を定めるものとする。
(用語の定義)
第2条 本細則における用語の意義は、次の各号に定めるところによる。なお、本条の各号において定めのない用語は、法及びサイバーセキュリティ対策実施細則(平成29年細則(情)第11号。以下「セキュリティ対策実施細則」という。)において使用する用語の例による。
(1) 個人情報 生存する個人に関する情報であって、次のいずれかに該当するものをいう。
イ 当該情報に含まれる氏名、生年月日その他の記述等(文書、図面若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次号ロにおいて同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
ロ 個人識別符号が含まれるもの
(2) 個人識別符号 次のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
イ 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
ロ 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式に記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
(3) 要配慮個人情報 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして、次のいずれかを内容とする記述等(本人の病歴又は犯罪の経歴に該当するものを除く。)が含まれる個人情報をいう。
イ 身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。
ロ 本人に対して医師その他医療に関連する職務に従事する者(本号ハにおいて「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(本号ハにおいて「健康診断等」という。)の結果
ハ 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
ニ 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
ホ 本人を少年法(昭和23年法律第168号)第3条第1項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。
(4) 個人番号 住民票コード(住民基本台帳法(昭和42年法律第81号)第7条第13号に規定する住民票コードをいう。以下同じ。)を変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
(5) 本人 個人情報及び個人番号によって識別される特定の個人をいう。
(6) 仮名加工情報 次の個人情報の区分に応じて次に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
イ 第1号イに該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
ロ 第1号ロに該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(7) 匿名加工情報 次の個人情報の区分に応じて次に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
イ 第1号イに該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
ロ 第1号ロに該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(8) 個人関連情報 生存する個人に関する情報であって、個人情報、仮名個人情報及び匿名加工情報のいずれにも該当しないものをいう。
(9) 行政機関 法第2条第8項に規定する機関をいう。
(10) 独立行政法人等 法第2条第9項に規定する独立行政法人等をいう。
(11) 地方独立行政法人 法第2条第10項に規定する地方独立行政法人をいう。
(12) 行政機関等 法第2条第11項に規定する機関をいう。
(13) 個人情報取扱事業者 法第16条第1項に定める個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
イ 国の機関
ロ 地方公共団体
ハ 独立行政法人等
ニ 地方独立行政法人
(14) 仮名加工情報取扱事業者 仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして個人情報の保護に関する法律施行令(平成15年政令第507号。以下「政令」という。)で定めるもの(法第41条第1項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、前号イから二に掲げる者を除く。
(15) 匿名加工情報取扱事業者 匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(法第43条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第13号イから二に掲げる者を除く。
(16) 個人関連情報取扱事業者 個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(法第31条第1項において「個人関連情報データベース等」という。)を事業の用に供している者をいう。ただし、第13号イから二に掲げる者を除く。
(17) 学術研究機関等 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。
(18) 保有個人情報 役職員等が職務上作成し、又は取得した個人情報であって、役職員等が組織的に利用するものとして、機構が保有しているものをいう。ただし、独立行政法人等の保有する情報の公開に関する法律(平成13年法律第140号。以下「独立行政法人等情報公開法」という。)第2条第2項に規定する法人文書(同項第4号に掲げるものを含む。以下単に「法人文書」という。)に記載されているものに限る。
(19) 個人情報ファイル 保有個人情報を含む情報の集合物であって、次に掲げるものをいう。
イ 一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
ロ 本号イに掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの
(20) 特定個人情報 個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。)をその内容に含む個人情報をいう。
(21) 特定個人情報ファイル 個人番号をその内容に含む個人情報ファイルをいう。
(22) 行政機関等匿名加工情報 次のいずれにも該当する個人情報ファイルを構成する保有個人情報の全部又は一部(これらの一部に独立行政法人等情報公開法第5条に規定する不開示情報(同条第1号に掲げる情報を除き、同条第2号ただし書に規定する情報を含む。)が含まれているときは、これらの不開示情報に該当する部分を除く。)を加工して得られる匿名加工情報をいう。
イ 第47条第7項各号のいずれかに該当するもの又は同条第8項の規定により同条第6項に規定する個人情報ファイル簿に掲載しないこととされるものでないこと。
ロ 機構に対し、当該個人情報ファイルを構成する保有個人情報が記録されている行政文書等の開示の請求(独立行政法人等情報公開法第3条の規定による開示の請求をいう。)があったとしたならば、これらの者が次のいずれかを行うこととなるものであること。
(1) 当該行政文書等に記録されている保有個人情報の全部又は一部を開示する旨の決定をすること。
(2) 独立行政法人等情報公開法第14条第1項若しくは第2項の規定により意見書の提出の機会を与えること。
ハ 機構の事務及び事業の適正かつ円滑な運営に支障のない範囲内で、第51条第1項の基準に従い、当該個人情報ファイルを構成する保有個人情報を加工して匿名加工情報を作成することができるものであること。
(23) 行政機関等匿名加工情報ファイル 行政機関等匿名加工情報を含む情報の集合物であって、次に掲げるものをいう。
イ 特定の行政機関等匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの
ロ 前項に掲げるもののほか、特定の行政機関等匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
(24) 部等 セキュリティ対策実施細則第3条第1項第1号に規定する部等をいう。
(25) 役職員等 規程第3条第1項第1号に規定する役職員等をいう。
(26) 情報取扱事務従事者 規程第3条第1項第2号に規定する情報取扱事務従事者をいう。
(27) 情報システム セキュリティ対策実施細則第3条第25号に規定する情報システムをいう。
(28) 個人番号利用事務 機構の事務を処理するものがその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。
(29) 個人番号関係事務 個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(30) 個人番号関係事務実施者 個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。
第2章 個人情報保護の体制
(個人情報保護管理体制の整備)
第3条 機構における個人情報保護体制を確保するための管理体制は、規程第4条及びセキュリティ対策実施細則第12条に規定するところによる。
(最高情報セキュリティ責任者等)
第4条 最高情報セキュリティ責任者 (以下「最高責任者」という。)は、規程第4条第4項に規定するところにより、機構の保有個人情報及び個人番号(以下「保有個人情報等」という。)の管理に関する事務を総括する。
2 統括情報セキュリティ責任者(以下「統括責任者」という。)は、セキュリティ対策実施細則第12条第2項に規定するところにより、最高責任者を補佐し、関係事務を総括整理する。
3 情報セキュリティ責任者(以下「責任者」という。)は、セキュリティ対策実施細則第12条第1項に規定するところにより、各部等の保有個人情報等の適切な管理を確保する任にあたる。責任者は保有個人情報等を主管している情報システムで取り扱う場合、セキュリティ対策実施細則第12条第5項に定めるところにより、情報システムセキュリティ責任者としてその任にあたる。
4 課等情報セキュリティ責任者(以下「課等責任者」という。)は、セキュリティ対策実施細則第12条第4項に規定するところにより、責任者の命を受けて、当該課における保有個人情報等を適切に管理する任にあたる。
5 責任者は、個人番号及び特定個人情報(以下「特定個人情報等」という。)を取り扱う役職員等(以下「事務取扱担当者」という。)並びにその役割を指定し、各事務取扱担当者が取り扱う特定個人情報等の範囲を指定する。
(監査責任者)
第5条 機構は監査責任者を一人置くこととし、監査室長をもってその任に充てる。監査責任者は、内部監査規程に基づき、保有個人情報等の管理状況について監査を行う。
(個人情報等の管理に係る審議)
第6条 機構が保有する個人情報等の管理に係る重要事項の審議等については、規程第4条第3項の規定により基づき設置される情報セキュリティ委員会による。
(個人情報相談窓口)
第7条 法第127条に定める開示請求等をしようとする者に対する利便を考慮した適切な情報の提供等及び法第128条に定める機構における個人情報等の取扱いに関する苦情に対する適切かつ迅速な処理に対応する窓口として、個人情報相談窓口を設置する。
2 個人情報相談窓口は、法人文書の開示等の手続きに関する実施細則(平成15年細則(総)第2号)第4条に定める情報公開窓口が兼ねる。
3 個人情報相談窓口を設置する部門の長は、本部の個人情報相談窓口において、第1項に定める事項について対応する個人情報相談窓口担当者を指名する。
第3章 役職員等及び情報取扱事務従事者の責務
(役職員等及び情報取扱事務従事者の責務)
第8条 役職員等及び情報取扱事務従事者は、法及び番号法の趣旨に則り、関連する法令並びに本細則等の定め及び第4条に掲げる者の指示に従い、保有個人情報等の安全管理のために必要かつ適切な措置を講じなければならない。
2 役職員等又は役職員等であった者は、次に掲げる行為を行ってはならない。
(1) その業務に関して知り得た個人情報並びに行政機関等匿名加工情報、第52条第3項に規定する削除情報及び第51条第1項の規定により行った加工の方法に関する情報(以下「行政機関等匿名加工情報等」という。)の内容をみだりに他人に知らせ、又は不当な目的に利用すること。
(2) 正当な理由がないのに個人の秘密に属する事項が記録された個人情報ファイル及び特定個人情報ファイル(その全部又は一部を複製し、又は加工したものを含む。)を提供すること。
(3) その業務に関して知り得た保有個人情報等及び特定個人情報等を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用すること。
(4) その職権を濫用して、その職務の用以外の用に供する目的で個人の秘密に属する事項又は特定個人情報が記録された文書、図画又は電磁的記録を収集すること。
3 情報取扱事務従事者(個人情報取扱事業者若しくはその従業者)又はこれらであった者が、その業務に関して取扱った法第16条第1項に定める個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用してはならない。
4 第2項各号及び第3項に掲げる行為は、日本国外においても行ってはならない。
5 行政機関等匿名加工情報等の取扱いに従事する役職員等若しくは役職員等であった者、又は第53条第3項の委託を受けた業務に従事している者若しくは従事していた者は、その業務に関して知り得た行政機関等匿名加工情報等の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。
6 機構は、匿名加工情報(行政機関等匿名加工情報を除く。以下この条において同じ。)を第三者に提供するときは、法令に基づく場合を除き、個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下、本条において「個人情報保護委員会規則」という。)で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
7 機構は、匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは法第43条第1項の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
8 機構は、匿名加工情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、匿名加工情報の適切な管理のために必要な措置を講じなければならない。
9 前二項の規定は、行政機関等から匿名加工情報の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。
第4章 個人情報及び特定個人情報等の取扱い
(個人情報の保有の制限等)
第9条 個人情報を保有するに当たっては、法令(条例を含む。第40条第2項第2号及び第3号並びに第48条において同じ。)の定める業務を遂行するため必要な場合に限り、かつ、その利用の目的をできる限り特定しなければならない。
2 前項の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を保有してはならない。
3 利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
4 要配慮個人情報は、その保有等を行わないものとする。ただし、明示的な本人の同意又は法令に特別の規定がある場合、司法手続上必要不可欠である場合、その他個人情報を取り扱う事務の目的を達成するために当該個人情報が必要かつ欠くことができない場合は、この限りではない。
(利用目的の明示)
第10条 本人から直接書面(電磁的記録を含む。)に記録された当該本人の個人情報を取得するときは、次に掲げる場合を除き、あらかじめ、本人に対し、その利用目的を明示しなければならない。
(1) 人の生命、身体又は財産の保護のために緊急に必要があるとき。
(2) 利用目的を本人に明示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき。
(3) 利用目的を本人に明示することにより、国の機関、独立行政法人等又は地方公共団体が行う事務又は事業の適正な遂行に支障を及ぼすおそれがあるとき。
(4) 取得の状況からみて利用目的が明らかであると認められるとき。
(不適正な利用の禁止)
第11条 役職員等及び情報取扱事務従事者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
(適正な取得)
第12条 役職員等及び情報取扱事務従事者は、偽りその他不正の手段により個人情報を取得してはならない。
2 役職員等及び情報取扱事務従事者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ずに要配慮個人情報を取得してはならない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で所得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
(6) 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、法第57条第1項各号に掲げる者(放送機関、新聞社、通信社その他の報道機関、著述を業として行う者、宗教団体、政治団体)、外国(本邦の域外にある国又は地域をいう。以下この条において同じ。)政府、外国の政府機関、外国の地方公共団体又は国際機関、外国において学術研究機関等に相当する者、外国において法第57条第1項各号に掲げる者により公開されている場合
(7) 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
(8) 法第27条第5項各号に掲げる場合において、法第16条第3項に定める個人データである要配慮個人情報の提供を受けるとき。
(特定個人情報等の利用の制限等)
第13条 責任者は、特定個人情報等の利用にあたり、次の内容を遵守する。
(1) 個人番号の利用は、番号法があらかじめ限定的に定めた事務に限定する。
(2) 個人番号関係事務を処理するために必要な場合を除き、個人番号の提供を求めてはならない。
(3) 個人番号関係事務を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイルを作成してはならない。
(4) 特定個人情報ファイルを保有する場合は、保有する前に特定個人情報保護評価を実施しなければならない。なお、番号法第27条第1項に基づく特定個人情報保護評価指針において特定個人情報保護評価の実施が義務付けられない事務は除く。
(5) 番号法第19条各号のいずれかに該当する場合を除き、他人の特定個人番号等を収集又は保管してはならない。
(正確性の確保)
第14条 役職員等及び情報取扱事務従事者は、利用目的の達成に必要な範囲内で、保有個人情報等が過去又は現在の事実と合致するよう努めなければならない。
2 役職員等及び情報取扱事務従事者は、保有個人情報等の内容に誤り等を発見した場合には、責任者の指示に従い、訂正等を行う。
(安全管理措置)
第15条 役職員等及び情報取扱事務従事者は、規程及びセキュリティ対策実施細則に従い、保有個人情報等の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。
2 責任者及び課等責任者は、個人情報を取り扱い、又は情報システムを構築し、若しくは利用するに当たっては、規程及びセキュリティ対策実施細則に従い、取り扱う保有個人情報の性質等に照らして適正なサイバーセキュリティの水準を確保する。
(アクセス制限)
第16条 課等責任者は、保有個人情報等の秘匿性等その内容(特定の個人の識別の容易性の程度、要配慮個人情報の有無及び漏えい等が発生した場合に生じ得る被害の性質・程度などを考慮する。以下同じ。)に応じて、当該保有個人情報等にアクセスする権限を有する役職員等及び情報取扱事務従事者の範囲と権限の内容を、当該役職員等及び情報取扱事務従事者が業務を行う上で必要最小限の範囲に限定する。
2 アクセス権限を有しない役職員等及び情報取扱事務従事者は、保有個人情報等にアクセスしてはならない。
3 アクセス権限を有する役職員等及び情報取扱事務従事者であっても、業務上の目的以外の目的で保有個人情報等にアクセスしてはならない。
(複製等の制限)
第17条 役職員等及び情報取扱事務従事者が、業務上の目的で保有個人情報等を取り扱う場合であっても、課等責任者は、次に掲げる行為については、当該保有個人情報等の秘匿性等その内容に応じて、当該行為を行うことができる場合を限定し、役職員等及び情報取扱事務従事者は課等責任者の指示に従い行う。
(1) 保有個人情報等の複製
(2) 保有個人情報等の送信
(3) 保有個人情報等が記録されている媒体の機構外への送付又は持出し
(4) その他保有個人情報等の適切な管理に支障を及ぼすおそれのある行為
(媒体の管理)
第18条 役職員等及び情報取扱事務従事者は、課等責任者の指示に従い、保有個人情報等が記録されている媒体を、セキュリティ対策実施細則第44条に基づいて定められる要管理対策区域の区域情報セキュリティ責任者に許可された者のみがアクセスできる領域にて、業務終了後に施錠保管する。また、必要があると認めるときは、耐火金庫への保管等を行う。また、保有個人情報が記録されている媒体を機構外へ送付し又は持ち出す場合には、原則として、パスワード等(パスワード、IC カード、生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講ずる。
(誤送付等の防止)
第19条 職員は、保有個人情報等を含む電磁的記録又は媒体(文書の内容だけでなく、付加情報(PDF ファイルの「しおり機能表示」やプロパティ情報等)に個人情報が含まれている場合があることにも留意。)の誤送信・誤送付、誤交付、又はウェブサイト等への誤掲載を防止するため、個別の事務・事業において取り扱う個人情報の秘匿性等その内容に応じ、複数の職員による確認やチェックリストの活用等の必要な措置を講ずる。
(廃棄)
第20条 役職員等及び情報取扱事務従事者は、独立行政法人国際協力機構法人文書管理規程(平成16年規程(総)第31号)に基づく保存期間が満了した保有個人情報等又は保有個人情報等が記録されている媒体(端末及びサーバに内蔵されているものを含む。)について、課等責任者の指示に従い、当該保有個人情報等の復元不可能な方法により当該保有個人情報等の消去又は当該媒体の廃棄を行う。特に、保有個人情報等が記録されている媒体の廃棄を委託する場合(二以上の段階にわたる委託を含む。)には、必要に応じて職員が消去及び廃棄に立ち会い、又は写真等を付した消去及び廃棄を証明する書類を受け取るなど、委託先において消去及び廃棄が確実に行われていることを確認する。
(保有個人情報等の取扱状況の記録)
第21条 課等責任者は、保有個人情報等の秘匿性等その内容に応じて、台帳等を整備して、当該保有個人情報等の利用及び保管等の取扱いの状況について記録する。
(外的環境の把握)
第22条 保有個人情報等が、外国(民間事業者が提供するクラウドサービスを利用する場合のクラウドサービス提供事業者が所在する外国及び個人情報ファイルを構成する保有個人情報が保存されるサーバが所在する外国を含む。)において取り扱われる場合、当該外国の個人情報の保護に関する制度等を把握した上で、保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。
第5章 情報システム等における安全の確保等
(アクセス制御)
第23条 責任者は、保有個人情報等(情報システムで取り扱うものに限る。以下第29条を除く本章において同じ。)の秘匿性等その内容に応じて、認証機能を設定する等のアクセス制御のために必要な措置を講ずるものとし、第16条第1項の規定により設定した必要最小限のアクセス権限を具体化すること。
2 責任者は、前項の措置を講ずる場合には、パスワード等の管理に関する定めを整備(その定期又は随時の見直しを含む。)するとともに、パスワード等の読取防止等を行うために必要な措置を講ずる。
(アクセス記録)
第24条 責任者は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報へのアクセス状況を記録し、その記録(以下「アクセス記録」という。)を一定の期間保存し、及びアクセス記録を定期的に分析するために必要な措置を講ずる。
2 責任者は、アクセス記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講ずる。
(アクセス状況の監視)
第25条 責任者は、保有個人情報の秘匿性等その内容及びその量に応じて、当該保有個人情報への不適切なアクセスの監視のため、保有個人情報を含む又は含むおそれがある一定量以上の情報が情報システムからダウンロードされた場合に警告表示がなされる機能の設定、当該設定の定期的確認等の必要な措置を講ずる。
(管理者権限の設定)
第26条 責任者は、保有個人情報の秘匿性等その内容に応じて、情報システムの管理者権限の特権を不正に窃取された際の被害の最小化及び内部からの不正操作等の防止のため、当該特権を最小限とする等の必要な措置を講ずる。
(外部からの不正アクセスの防止)
第27条 責任者は、保有個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定による経路制御等の必要な措置を講ずる。
(不正プログラムによる漏えい等の防止)
第28条 責任者は、不正プログラムによる保有個人情報の漏えい等の防止のため、ソフトウェアに関する公開された脆弱性の解消、把握された不正プログラムの感染防止等に必要な措置(導入したソフトウェアを常に最新の状態に保つことを含む。)を講ずる。
(情報システムにおける保有個人情報の処理)
第29条 役職員等及び情報取扱事務従事者は、保有個人情報について、一時的に加工等の処理を行うため複製等を行う場合には、その対象を必要最小限に限り、処理終了後は不要となった情報を速やかに消去する。責任者は、当該保有個人情報の秘匿性等その内容に応じて、随時、消去等の実施状況を重点的に確認する。
(暗号化)
第30条 責任者は、保有個人情報の秘匿性等その内容に応じて、暗号化のために必要な措置を講ずる。役職員等及び情報取扱事務従事者は、これを踏まえ、その処理する保有個人情報について、当該保有個人情報の秘匿性等その内容に応じて、適切に暗号化(適切なパスワードの選択、その漏えい防止の措置等が含まれる)を行う。
(記録機能を有する機器・媒体の接続制限)
第31条 責任者は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報の漏えい等の防止のため、スマートフォン、USB メモリ等の記録機能を有する機器・媒体の情報システム端末等への接続の制限(当該機器の更新への対応を含む。)等の必要な措置を講ずる。
(端末の限定)
第32条 責任者は、保有個人情報の秘匿性等その内容に応じて、その処理を行う端末を限定するために必要な措置を講ずる。
(端末の盗難防止等)
第33条 責任者は、端末の盗難又は紛失の防止のため、端末の固定、執務室の施錠等の必要な措置を講ずる。
2 役職員等及び情報取扱事務従事者は、責任者が必要であると認めるときを除き、端末を機構外へ持ち出し、又は機構外から持ち込んではならない。
(第三者の閲覧防止)
第34条 役職員等及び情報取扱事務従事者は、端末の使用に当たっては、保有個人情報が第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講ずる。
(入力情報の照合等)
第35条 役職員等及び情報取扱事務従事者は、情報システムで取り扱う保有個人情報の重要度に応じて、入力原票と入力内容との照合、処理前後の当該保有個人情報の内容の確認、既存の保有個人情報との照合等を行う。
(バックアップ)
第36条 責任者は、保有個人情報の重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講ずる。
(情報システム設計書等の管理)
第37条 責任者は、保有個人情報に係る情報システムの設計書、構成図等の文書について外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講ずる。
(入退管理)
第38条 責任者は、保有個人情報を取り扱う基幹的なサーバ等の機器を設置する室その他の区域(以下、本章において「サーバ室等」という。)に立ち入る権限を有する者を定めるとともに、用件の確認、入退の記録、部外者についての識別化、部外者が立ち入る場合の役職員等の立会い又は監視設備による監視、外部電磁的記録媒体等の持込み、利用及び持ち出しの制限又は検査等の措置を講ずる。また、保有個人情報を記録する媒体を保管するための施設を設けている場合においても、必要があると認めるときは、同様の措置を講ずる。
2 責任者は、必要があると認めるときは、サーバ室等の出入口の特定化による入退の管理の容易化、所在表示の制限等の措置を講ずる。
3 責任者は、サーバ室等及び保管施設の入退の管理について、必要があると認めるときは、立入りに係る認証機能を設定し、及びパスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。)、パスワード等の読取防止等を行うために必要な措置を講ずる。
(サーバ室等の管理)
第39条 責任者は、外部からの不正な侵入に備え、サーバ室等に施錠装置、警報装置及び監視設備の設置等の措置を講ずる。
2 責任者は、災害等に備え、サーバ室等に、耐震、防火、防煙、防水等の必要な措置を講ずるとともに、サーバ等の機器の予備電源の確保、配線の損傷防止等の措置を講ずる。
第6章 保有個人情報等の利用目的以外の目的のための利用及び提供
(利用目的外の利用及び提供)
第40条 役職員等及び情報取扱事務従事者は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報等を自ら利用し、又は提供してはならない。
2 前項の規定にかかわらず、課等責任者が次の各号のいずれかに該当すると認めるときは、役職員等及び情報取扱事務従事者は利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。ただし、保有個人情報を利用目的以外の目的のために自ら利用し、又は提供することによって、本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは、この限りでない。
(1) 本人の同意があるとき、又は本人に提供するとき。
(2) 法令の定める業務の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当の理由があるとき。
(3) 他の行政機関、独立行政法人等、地方公共団体又は地方独立行政法人に保有個人情報を提供する場合において、保有個人情報の提供を受ける者が、法令の定める事務又は業務の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当な理由があるとき。
(4) 前2号に掲げる場合のほか、専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき、本人以外の者に提供することが明らかに本人の利益になるとき、その他保有個人情報を提供することについて特別の理由があるとき。
3 前項の規定は、保有個人情報の利用又は提供を制限する他の法令の規定の適用を妨げるものではない。
4 課等責任者は、個人の権利利益を保護するため特に必要があると認めるときは、保有個人情報の利用目的以外の目的のための機構内における利用を特定の役員又は職員に限るものとする。
5 責任者は、利用目的のために又は第2項第3号若しくは第4号の規定に基づき、保有個人情報を提供する場合において、必要があると認めるときは、保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求めるものとする。
6 責任者は、番号法第19条各号のいずれかに該当する場合を除き、特定個人情報を提供してはならない。
(保有個人情報提供時の措置)
第41条 責任者は、前条第2項第3号又は第4号の規定に基づき行政機関等以外の者に保有個人情報を提供する場合には、前条第5項の規定に基づき、原則として、提供先における利用目的、利用する業務の根拠法令、利用する記録範囲及び記録項目、利用形態等について提供先との間で書面(電磁的記録を含む。)を取り交わす。
2 責任者は、前条第2項第3号又は第4号の規定に基づき行政機関等以外の者に保有個人情報を提供する場合には、前条第5項の規定に基づき、安全確保の措置を要求するとともに、必要があると認めるときは、提供前又は随時に実地の調査等を行い、措置状況を確認してその結果を記録するとともに、改善要求等の措置を講ずる。
3 責任者は、前条第2項第3号の規定に基づき他の行政機関等に保有個人情報を提供する場合において、必要があると認めるときは、前条第5項の規定に基づき、第1項及び第2項に規定する措置を講ずる。
(外国にある第三者への提供の制限)
第42条 役職員等及び情報取扱事務従事者は、外国(本邦の域外にある国又は地域をいう。以下この条において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの(平成 31 年個人情報保護委員会告示第 1 号に定める国)を除く。以下この条において同じ。)にある第三者(法第16条第3項に規定する個人データの取扱いについて、法第4章第2節の規定により同条第2項に規定する個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第5項及び第6項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準(機構と保有個人情報の提供を受ける者との間で、当該提供を受ける者における当該保有個人情報の取扱いについて、適切かつ合理的な方法により法第4章第2節の規定の趣旨に沿った措置の実施確保、若しくは、保有個人情報の提供を受ける者が、個人情報の取扱いに係る国際的な枠組み(APEC CBPRシステム認証等)に基づき認定済み。)に適合する体制を整備している者を除く。以下この項及び次項において同じ。)に利用目的以外の目的のために保有個人情報を提供する場合には、法令に基づく場合及び第40条第2項第4号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。
2 役職員等及び情報取扱事務従事者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところ(電磁的記録の提供による方法、書面の交付による方法その他の適切な方法)により、あらかじめ、次に掲げる事項について当該本人に参考となるべき情報を当該本人に提供しなければならない。
(1) 当該外国の名称
(2) 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
(3) 当該第三者が講ずる個人情報の保護のための措置に関する情報
3 前項の規定にかかわらず、第1項の規定により本人の同意を得ようとする時点において、前項第1号に定める事項が特定できない場合には、同号及び同項第2号に定める事項に代えて、次に掲げる事項について情報提供しなければならない。
(1) 前項第1号に定める事項が特定できない旨及びその理由
(2) 前項第1号に定める事項に代わる本人に参考となるべき情報がある場合には、当該情報
4 第2項の規定にかかわらず、第1項の規定により本人の同意を得ようとする時点において、第2項第3号に定める事項が特定できない場合には、同号に定める事項に代えて、その旨及びその理由について情報提供しなければならない。
5 役職員等及び情報取扱事務従事者は、保有個人情報を外国にある第三者(第1項に規定する体制を整備している者に限る。)に利用目的以外の目的のために提供した場合には、法令に基づく場合及び第40条第2項第4号に掲げる場合を除くほか、次に掲げる当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法により、当該本人に提供しなければならない。
(1) 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認する。
(2) 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、保有個人情報の当該第三者への提供を停止する。
6 前項に定める本人からの求めを受けたときは、本人に対し、遅滞なく、次に掲げる事項について情報提供しなければならない。ただし、情報提供することにより機構の事業の適正な遂行に支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができる。
(1) 当該第三者による第1項に規定する体制の整備の方法
(2) 当該第三者が実施する相当措置の概要
(3) 第5項第1号の規定による確認の頻度及び方法
(4) 当該外国の名称
(5) 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要
(6) 当該第三者による相当措置の実施に関する支障の有無及びその概要
(7) 前号の支障に関して第5項第2号の規定により機構が講ずる措置の概要
7 機構は、第5項の規定による求めに係る情報の全部又は一部について提供しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
8 前項の規定により、本人から求められた情報の全部又は一部について提供しない旨を通知する場合には、本人に対し、その理由を説明するよう努めなければならない。
9 課等責任者は、法第71条にいう外国にある第三者に利用目的以外の目的のために保有個人情報を提供する場合には、第41条第1項及び第2項に規定する措置を講ずる。
(個人関連情報の提供を受ける者に対する措置要求)
第43条 課等責任者は、第三者に個人関連情報を提供する場合(当該第三者が当該個人関連情報を個人情報として取得することが想定される場合に限る。)において、必要があると認めるときは、当該第三者に対し、提供に係る個人関連情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人関連情報の適切な管理のために必要な措置を講ずることを求めるものとする。
(仮名加工情報の取扱いに係る義務)
第44条 役職員等及び情報取扱事務従事者は、法令に基づく場合を除くほか、仮名加工情報を第三者(当該仮名加工情報の取扱いの委託を受けた者を除く。)に提供してはならない。
2 役職員等及び情報取扱事務従事者は、その取り扱う仮名加工情報の漏えいの防止その他仮名加工情報の安全管理のために必要かつ適切な措置を講じなければならない。
3 役職員等及び情報取扱事務従事者は、仮名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに法第41条第1項の規定により行われた加工の方法に関する情報をいう。)を取得し、又は当該仮名加工情報を他の情報と照合してはならない。
4 役職員等及び情報取扱事務従事者は、仮名加工情報を取り扱うに当たっては、法令に基づく場合を除き、電話をかけ、郵便若しくは信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
5 前各項の規定は、機構から仮名加工情報の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。
第7章 保有個人情報等の取扱いに係る業務の委託等
(業務の委託等)
第45条 責任者は、次の各号に掲げる者が当該各号に定める業務を行う場合における保有個人情報等の取扱いに際し、第15条に定める保有個人情報等の安全管理が図られるよう、当該各号に掲げる者に対する必要かつ適切な監督を行う。
(1) 機構から保有個人情報等の取扱いの委託を受けた者及び当該委託を受けた業務
(2) 前号に掲げる者から前号が定める業務の委託(二以上の段階にわたる委託を含む。)を受けた者及び当該委託を受けた業務
(3) 前2号以外の法第66条第2項各号に掲げる者及び業務
2 責任者は、前項第2号に掲げる委託を認める場合には、当該業務を行う場合における保有個人情報等の安全管理が図られるよう、前項第1号に掲げる者に担保させるとともに、判断に必要な情報の提供を求め、その内容を確認した上で、当該委託の可否を判断する。
3 責任者は、個人情報の取扱いに係る業務を外部に委託(契約の形態・種類を問わず、行政機関等が他の者に個人情報の取扱いを行わせることをいう。個人情報の入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定されるが、これらに限られない。)する場合には、個人情報の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置(セキュリティ対策実施細則に基づく委託先によるアクセスを認める情報及び情報システムの範囲を判断する基準や委託先の選定基準等の整備等)を講ずる。
4 責任者は、個人情報の取扱いに係る業務を外部に委託する場合には、契約書に、次の事項を明記するとともに、委託先における責任者及び業務従事者の管理体制及び実施体制、個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認する。
(1) 個人情報に関する秘密保持、利用目的以外の目的のための利用の禁止等の義務
(2) 再委託(再委託先が委託先の子会社(会社法(平成17年法律第86号)第2条第1項第3号に規定する子会社をいう。)である場合も含む。本項及び第7項において同じ。)の制限又は事前承認等再委託に係る条件に関する事項(委託先との契約書に、再委託に際して再委託先に求める事項は、再委託先が子会社である場合も、同様に求めるべきことを明記すること。)
(3) 個人情報の複製等の制限に関する事項
(4) 個人情報の安全管理措置に関する事項
(5) 個人情報の漏えい等の事案の発生時における対応に関する事項
(6) 委託終了時における個人情報の消去及び媒体の返却に関する事項
(7) 法令及び契約に違反した場合における契約解除、損害賠償責任その他必要な事項(準拠法や裁判管轄について日本国内法令とすべきかについてもあらかじめ検討すること。)
(8) 契約内容の遵守状況についての定期的報告に関する事項及び委託先における委託された個人情報の取扱状況を把握するための監査等に関する事項(再委託先の監査等に関する事項を含む。)
5 保有個人情報の取扱いに係る業務を外部に委託する場合には、取扱いを委託する個人情報の範囲は、委託する業務内容に照らして必要最小限でなければならない。
6 課等責任者は、保有個人情報の取扱いに係る業務を外部に委託する場合には、委託する業務に係る保有個人情報の秘匿性等その内容やその量等に応じて、作業の管理体制及び実施体制や個人情報の管理の状況について、少なくとも年 1 回以上、原則として実地検査により確認する。
7 委託先において、保有個人情報等の取扱いに係る業務が再委託される場合には、委託先に第1項から第4項の措置を講じさせるとともに、再委託される業務に係る保有個人情報等の秘匿性等その内容に応じて、委託先を通じて又は機構自らが前項の措置を実施する。保有個人情報等の取扱いに係る業務について再委託先が再々委託を行う場合以降も同様とする。
8 派遣先責任者(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和60年法律第88条)第41条に規定する者をいう。)は、保有個人情報等の取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等、個人情報の取扱いに関する事項を明記しなければならない。
9 保有個人情報等を提供し、又は業務委託する場合には、漏えい等による被害発生のリスクを低減する観点から、提供先の利用目的、委託する業務の内容、保有個人情報等の秘匿性等その内容などを考慮し、必要に応じ、特定の個人を識別することができる記載の全部又は一部を削除し、又は別の記号等に置き換える等の措置を講ずる。
(個人番号関係事務の委託)
第46条 責任者は個人番号関係事務の全部又は一部を委託する場合には、前条の措置に加えて次の各号に掲げる措置についても講ずるものとする。
(1) 委託先において、番号法に基づき機構が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認する。
(2) 委託先において、機構が果たすべき安全管理措置と同等の措置が講じられているよう必要かつ適切な措置を行う。
(3) 委託先が当該業務を再委託する際には、委託する個人番号関係事務において取り扱う特定個人情報等の適切な安全管理が図られることを確認した上で再委託の諾否を判断する。
第8章 個人情報ファイル簿の作成及び公表
(個人情報ファイル簿の作成及び公表)
第47条 セキュリティ対策実施細則第10条第4項に規定する事務局(以下「事務局」という。)は、機構が個人情報ファイル(特定個人情報ファイルを含む。第7項各号に掲げるもの及び第8項の規定により個人情報ファイル簿に掲載しないものを除く。以下次項及び第4項において同じ。)を保有するに至ったときは、それぞれ第6項に掲げる事項を記載した帳簿(以下「個人情報ファイル簿」という。)を直ちに作成しなければならない。
2 個人情報ファイル簿は、機構が保有している個人情報ファイルを通じて一の帳簿とする。
3 個人情報ファイル簿に記載すべき事項に変更があったときは、当該個人情報を管理する課等責任者は直ちに事務局にその旨報告しなければならない。事務局は、報告があったときは直ちに、当該個人情報ファイル簿を修正しなければならない。
4 機構が個人情報ファイル簿に掲載した個人情報ファイルの保有をやめたとき、又はその個人情報ファイルが第7項第7号に該当するに至ったときは、当該個人情報を管理する課等責任者は、遅滞なく、事務局に報告しなければならない。事務局は、報告があったときは、遅滞なく、当該個人情報ファイルについての記載を消除しなければならない。
5 事務局は、個人情報ファイル簿を作成したときは、遅滞なく、これを機構に備えて置き一般の閲覧に供するとともに、インターネットの利用その他の情報通信の技術を利用する方法により公表しなければならない。
6 事務局は、機構が保有している個人情報ファイルについて、それぞれ次に掲げる事項、法第110条各号及び法第117条各号に掲げる事項を記載した帳簿(以下「個人情報ファイル簿」という。)を作成し、公表しなければならない。
(1) 個人情報ファイルの名称
(2) 機構の名称及び個人情報ファイルが利用に供される事務をつかさどる組織の名称
(3) 個人情報ファイルの利用目的
(4) 個人情報ファイルに記録される項目(以下この条において「記録項目」という。)及び本人(他の個人の氏名、生年月日その他の記述等によらないで検索し得る者に限る。次項第9号において同じ。)として個人情報ファイルに記録される個人の範囲(以下この条において「記録範囲」という。)
(5) 個人情報ファイルに記録される個人情報(以下この条において「記録情報」という。)の収集方法
(6) 記録情報に要配慮個人情報が含まれるときは、その旨
(7) 記録情報を機構以外の者に経常的に提供する場合には、その提供先
(8) 機構が保有する自己を本人とする保有個人情報の開示、訂正又は利用停止の請求を受理する組織の名称及び所在地
(9) 保有個人情報の訂正に関する他の法律又はこれに基づく命令の規定により特別の手続が定められている又は保有個人情報の利用の停止、消去又は提供の停止に関する他の法律又はこれに基づく命令の規定により特別の手続が定められているときは、その旨
(10) 第2条第19号イに係る個人情報ファイル又は同号ロに係る個人情報ファイルの別
(11) 第2条第19号イに係る個人情報ファイルについて、次項第13号に規定する個人情報ファイルがあるときは、その旨
(12) その他政令で定める事項
7 前項の規定は、次に掲げる個人情報ファイルについては、適用しない。
(1) 国の安全、外交上の秘密その他の国の重大な利益に関する事項を記録する個人情報ファイル
(2) 犯罪の捜査、租税に関する法律の規定に基づく犯則事件の調査又は公訴の提起若しくは維持のために作成し、又は取得する個人情報ファイル
(3) 機構の役職員又は役職員であった者に係る個人情報ファイルであって、専らその人事、給与若しくは福利厚生に関する事項又はこれらに準ずる事項を記録するもの(機構が行う職員の採用試験に関する個人情報ファイルを含む。)
(4) 専ら試験的な電子計算機処理の用に供するための個人情報ファイル
(5) 前項の規定による公表に係る個人情報ファイルに記録されている記録情報の全部又は一部を記録した個人情報ファイルであって、その利用目的、記録項目及び記録範囲が当該公表に係るこれらの事項の範囲内のもの
(6) 一年以内に消去することとなる記録情報のみを記録する個人情報ファイル
(7) 資料その他の物品若しくは金銭の送付又は業務上必要な連絡のために利用する記録情報を記録した個人情報ファイルであって、送付又は連絡の相手方の氏名、住所その他の送付又は連絡に必要な事項のみを記録するもの
(8) 職員が学術研究の用に供するためその発意に基づき作成し、又は取得する個人情報ファイルであって、記録情報を専ら当該学術研究の目的のために利用するもの
(9) 本人の数が千人に満たない個人情報ファイル
(10) 次に掲げる者に係る個人情報ファイルであって、専らその人事、給与若しくは福利厚生に関する事項又はこれらに準ずる事項を記録するもの(イに掲げる者の採用又は選定のための試験に関する個人情報ファイルを含む。)
イ 次に掲げる者又はこれらの者であった者
(1) 機構以外の行政機関等の職員
(2) 行政機関の職員以外の国家公務員であって行政機関又は行政機関の長の任命に係る者
(3) 行政機関が雇い入れる者であって国以外のもののために労務に服するもの
(4) 行政機関又は行政機関の長から委託された事務に従事する者であって当該事務に1年以上にわたり専ら従事すべきもの
ロ 第3号に規定する者又はイに掲げる者の被扶養者又は遺族
(11) 第3号に規定する者及び前号イ又はロに掲げる者を併せて記録する個人情報ファイルであって、専らその人事、給与若しくは福利厚生に関する事項又はこれらに準ずる事項を記録するもの
(12) 第1号から第11号の規定による公表に係る個人情報ファイルに記録されている記録情報の全部又は一部を記録した個人情報ファイルであって、その利用目的、記録項目及び記録範囲が当該公表に係るこれらの事項の範囲内のもの
(13) 第2条第1項第19号ロに係る個人情報ファイルで、その利用目的及び記録範囲が前項の規定による公表に係る第2条第1項第19号イに係る個人情報ファイルの利用目的及び記録範囲の範囲内であるもの
8 第6項の規定にかかわらず、事務局は、記録項目の一部若しくは同項第5号若しくは第7号に掲げる事項を個人情報ファイル簿に記載し、又は個人情報ファイルを個人情報ファイル簿に掲載することにより、利用目的に係る事務又は事業の性質上、当該事務又は事業の適正な遂行に著しい支障を及ぼすおそれがあると認めるときは、その記録項目の一部若しくは事項を記載せず、又はその個人情報ファイルを個人情報ファイル簿に掲載しないことができる。
第9章 保有個人情報等の開示、訂正及び利用停止
(開示、訂正及び利用停止)
第48条 機構は、保有する自己を本人とする保有個人情報の開示、訂正又は利用停止の請求を受けた場合は、法第5章第4節(第76条~第108条)の規定に則り、当該請求への対応手続きを適切に実施する。
第10章 行政機関等匿名加工情報の提供等
(提案の募集)
第49条 機構は、毎年度1回以上、当該募集の開始の日から30日以上の期間を定めて、インターネットの利用その他の適切な方法により、機構が保有している個人情報ファイル(個人情報ファイル簿に法第110条各号に掲げる行政機関等匿名加工情報の提供に係る事項の記載があるものに限る。以下この章において同じ。)について、法第111条に定める行政機関等匿名加工情報をその用に供して行う事業に関する提案を募集するものとし、必要な事項は、あらかじめ公示するものとする。
(提案の審査等)
第50条 機構は、法第112条に規定する行政機関等匿名加工情報をその用に供して行う事業に関する法第118条に規定する提案があったときは、当該提案が法第114条第1項各号に規定する基準に適合するかどうかを審査し、当該提案をした者に対し、適合すると認めるときは法第114条第2項各号に規定する事項、適合しないと認めるときは法第114条第3項に規定する事項を通知する。
2 機構は、法第115条の規定により、法第114条第2項の規定による通知を受けた者と行政機関等匿名加工情報の利用に関する契約を締結する。ただし、法第120条各号に規定する場合は当該契約を解除することができる。
(行政機関等匿名加工情報の作成等)
第51条 機構は、法第116条の規定により行政機関等匿名加工情報を作成するときは、特定の個人を識別することができないように及びその作成に用いる保有個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該保有個人情報を加工する。
2 前項の規定は、行政機関等から行政機関等匿名加工情報の作成の委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。
(行政機関等匿名加工情報の提供等)
第52条 機構は、次の各号のいずれかに該当する場合を除き、行政機関等匿名加工情報を提供してはならない。
(1) 法令に基づく場合(法第5章第5節の規定に従う場合を含む。)
(2) 保有個人情報を利用目的のために第三者に提供することができる場合において、当該保有個人情報を加工して作成した行政機関等匿名加工情報を当該第三者に提供するとき。
2 第44条の規定にかかわらず、機構は、法令に基づく場合を除き、利用目的以外の目的のために削除情報(保有個人情報に該当するものに限る。)を自ら利用し、又は提供してはならない。
3 前項の「削除情報」とは、行政機関等匿名加工情報の作成に用いた保有個人情報から削除した記述等及び個人識別符号をいう。
(識別行為の禁止等)
第53条 機構は、行政機関等匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該行政機関等匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該行政機関等匿名加工情報を他の情報と照合してはならない。
2 機構は、行政機関等匿名加工情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、行政機関等匿名加工情報等の適切な管理のために必要な措置を講じる。
3 前二項の規定は、行政機関等から行政機関等匿名加工情報等の取扱いの委託(二以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。
第11章 安全管理上の問題への対応
(漏えい等の報告等)
第54条 機構は、保有個人情報等の漏えい、滅失、毀損その他の保有個人情報の安全の確保に係る事態であって、次の各号のいずれかに該当する個人の権利利益を害するおそれが大きいもの(以下「事案等」という。)が生じたときは、次項に定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告する。
(1) 要配慮個人情報が含まれる保有個人情報(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下本項及び次項において同じ。)の漏えい、滅失若しくは毀損(以下本項及び次項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
(2) 不正に利用されることにより財産的被害が生じるおそれがある保有個人情報の漏えい等が発生し、又は発生したおそれがある事態
(3) 不正の目的をもって行われたおそれがある機構に対する行為による保有個人情報(機構が取得し、又は取得しようとしている個人情報であって、保有個人情報として取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態
(4) 保有個人情報に係る本人の数が百人を超える漏えい等が発生し、又は発生したおそれがある事態
2 機構は、前項の規定による報告をする場合には、前項各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。)を報告しなければならない。
(1) 概要
(2) 漏えい等が発生し、又は発生したおそれがある保有個人情報(前項第3号に定める事態については、同号に規定する個人情報を含む。次号において同じ。)の項目
(3) 漏えい等が発生し、又は発生したおそれがある保有個人情報に係る本人の数
(4) 原因
(5) 二次被害又はそのおそれの有無及びその内容
(6) 本人への対応の実施状況
(7) 公表の実施状況
(8) 再発防止のための措置
(9) その他参考となる事項
3 前項の場合において、機構は、当該事態を知った日から三十日以内(当該事態が第1項第3号に定めるものである場合にあっては、六十日以内)に、当該事態に関する前項各号に定める事項を報告しなければならない。
4 第1項の規定による報告は、電子情報処理組織(個人情報保護委員会の使用に係る電子計算機と報告をする者の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織をいう。以下この項において同じ。)を使用する方法(電気通信回線の故障、災害その他の理由により電子情報処理組織を使用することが困難であると認められる場合にあっては、個人情報保護委員会規則で定める様式による報告書を提出する方法)により行うものとする。
5 第1項に規定する場合には、機構は、本人に対し、第1項各号に定める事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、第2項第1号、第2号、第4号、第5号及び第9号に定める事項により、当該事態が生じた旨を通知しなければならない。ただし、次の各号のいずれかに該当するときは、この限りでない。
(1) 本人への通知が困難な場合であって、本人の権利利益を保護するために必要なこれに代わるべき措置をとるとき。
(2) 当該保有個人情報に法第78条第1項各号に掲げる情報(開示請求者に対する不開示情報)のいずれかが含まれるとき。
6 保有個人情報の漏えい等安全管理の上で問題となる事案等の発生(事案等発生のおそれを含む。)を認識した役職員等及び情報取扱事務従事者は、直ちに当該保有個人情報を管理する課等責任者に報告する(時間を要する事実確認を行う前にまず課等責任者に報告する。)。
7 課等責任者は、事案等発生(事案等発生のおそれを含む。)の報告があった場合にその旨を直ちに責任者に報告し、責任者は、被害の拡大防止又は復旧等のために必要な措置を速やかに講ずるものとする。ただし、外部からの不正アクセスや不正プログラムの感染が疑われる当該端末等の LAN ケーブルを抜くなど、被害拡大防止のため直ちに行い得る措置については、直ちに行う(役職員等及び情報取扱事務従事者に行わせることを含む。)ものとする。
8 責任者は、事案の発生した経緯、被害状況等を調査し、統括責任者に報告する。ただし、特に重大と認める事案が発生した場合には、直ちに統括責任者に当該事案の内容等について報告する。
9 統括責任者は、特に重大と認める事案等が発生したと判断した場合は最高責任者に報告する。最高責任者は事案の内容等に応じて、当該事案の内容、経緯、被害状況等を理事長に速やかに報告する。
10 最高責任者は、前項の規定による報告を受けたときは当該事案等への対策案(含む公表の要否)を、規程第4条第3項の規定により設置される情報セキュリティ委員会の議に付す。ただし、緊急に対応することが求められ、委員会開催の時間的余裕のない事案等の場合は、別に定める手順等に従い最高責任者が判断し、委員会に事後報告するものとする。
11 責任者は、事案等の発生した原因を分析し、再発防止のために必要な措置を講ずるとともに、同種の業務を実施している部等に再発防止策を共有する。
12 漏えい等が生じた場合であって第1項の規定による個人情報保護委員会への報告及び第5項の規定による本人への通知を要する場合には、第6項から第11項までと並行して、速やかに所定の手続を行うとともに、個人情報保護委員会による事案の把握等に協力する。
13 第1項の規定による報告の対象とならない場合であっても、国民の不安を招きかねない事案(公表を行う漏えい等が発生したとき、個人情報保護に係る内部規程に対する違反があったとき、委託先において個人情報の適切な管理に関する契約条項等に対する違反があったとき等)については、当該事案の内容、経緯、被害状況等について、速やかに個人情報保護委員会へ情報提供を行うことが望ましい。
第12章 EEA個人データの取扱い
(EEA個人データの取扱いに係る規定等の目的)
第55条 機構は、欧州連合(European Union。以下「EU」という。)の「個人データの取扱いと関連する自然人の保護に関する、及びその当該データの自由な移転に関する、並びに、指令95/46/ECを廃止する欧州議会及び欧州理事会の2016年4月27日の規則(EU)2016/679」(一般データ保護規則。以下「GDPR」という。)に基づき、保護対象となる欧州経済領域(European Economic Area。以下「EEA」という。)域内に所在するデータ主体に関するあらゆる情報(以下「EEA個人データ」という。)の取扱いに関する基本的事項を定め、GDPRの遵守を確保するために必要な事項を、本章に定めるものとする。
(EEA個人データの取扱いにかかる規定等の適用範囲)
第56条 本章に定める事項は、機構によるEEA個人データの取扱い、並びにEEA個人データを取り扱う役職員等及び情報取扱事務従事者に対して適用する。
2 役職員等及び情報取扱事務従事者は、機構の事業活動において、以下の各号に定めるEEA個人データの取扱いであって、個人データファイルの一部を構成、又は、個人データファイルの一部を構成することが予定されている場合には、GDPRに従った取扱いを行うこと。なお、当該EEA個人データの取扱いに際しては、第4章から第11章までの各条に定める事項も適用するものとし、役職員等及び情報取扱事務従事者は、適切に実施すること。
(1) 機構のEEA域内に所在する在外拠点(以下「EEA域内拠点」という。)がEEA個人データを取り扱う場合
(2) 機構の本部、国内機関及びEEA域外に所在する在外拠点(以下総称して「EEA域外拠点等」という。)が、EEA個人データを取り扱う場合
(3) EEA個人データが、EEA域内に所在するデータ主体から直接、又は機構のEEA域内拠点若しくは機構のEEA域外拠点等を経由して、別の機構のEEA域外拠点等に移転される場合
(EEA個人データの取扱いに係る用語の定義)
第57条 本章におけるEEA個人データの取扱いに係る用語は、それぞれ当該各号に定めるところによる。なお、本条の各号において定めのない用語の定義については、GDPR第4条の定めるところによる。
(1) 管理者 単独で又はその他の事業体と共同して、EEA個人データを取り扱う目的及び方法を決定する事業体をいう。本細則では、機構のEEA域外拠点等及びEEA域内拠点の双方の責任者を指す。2者以上の管理者が共同してEEA個人データを取り扱う目的及び方法を決定する場合には、各々が「共同管理者」となる。
(2) 監督機関 EUの各加盟国においてGDPRの適用を監視する職責を負う公的執行機関をいう。
(3) データ主体 EEA個人データを参照することにより、直接又は間接に、特定される又は特定可能な自然人をいう。
(4) EEA European Economic Area:欧州経済領域。EU欧州自由貿易連合(EFTA)加盟国がEUに加盟することなくEU単一市場に参加するための枠組みであり、EU加盟国も含まれる。具体的な加盟国については都度確認すること。
(5) EEA個人データ EEA域内に所在するデータ主体に関するあらゆる情報であって、次に掲げるものを含む。
イ EEA域内拠点の事業活動の中で取り扱う個人データ(EEA域内に移転又は保存される個人データ、並びにEEA域内拠点のEEA域外における活動の中で取り扱うEEA域内のデータ主体の個人データを含む)
ロ EEA域外拠点等により取り扱われるが、EEA域内のデータ主体から収集した個人データ
ハ EEA域内拠点からEEA域外拠点等に移転される個人データ
(6) EEA個人データ取扱記録 機構の責任下で実施されたEEA個人データ取扱いプロセスの記録をいう。EEA個人データ取扱記録には、GDPRの定めに従い、事業体が管理者又は処理者として行動するかに応じて、第64条第1項各号に定める事項を記載しなければならない。
(7) 個人データ 特定された又は特定可能な自然人に関するあらゆる情報をいう。特定可能な自然人は、特に、氏名、識別番号、位置データ、オンライン識別子(IPアドレス、クッキー識別子)等の識別子、又は当該自然人に関する身体的、生理学的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接に又は間接に、特定することのできる者をいう。
第2条第1号及び第2号に定める定義では個人情報に該当しない識別番号、識別子単体等であっても個人データに該当する場合がある点に留意すること。また、個人データには、第2条第3号に定める「要配慮個人情報」に相当する「特別な種類の個人データ」(GDPR第9条第1項に規定される。)が含まれ、当該データには、人種若しくは民族的出自、政治的見解、宗教又は哲学的信条を明らかにするデータ、労働組合員資格、遺伝データ、自然人を一意的に特定する生体データ、健康関連データ、及び自然人の性生活若しくは性的指向に関するデータが含まれる。なお、第2条第3号に定める「要配慮個人情報」の定義には、労働組合員資格、及び自然人の性生活若しくは性的指向に関するデータが含まれていないが、「要配慮個人情報」と同様に取り扱うこと。
(8) 個人データ侵害 送信、保存又はその他取扱いをされたEEA個人データに対する偶発的又は違法な破棄、消失、変更、無断開示若しくはアクセスをもたらすセキュリティの侵害をいう。
(9) 取扱い 自動化された手段かどうかを問わず、個人データ又は個人データの集合に対して実施される操作又は一連の操作(収集、記録、編集、構造化、保存、修正若しくは変更、復旧、参照、利用、送信による開示、周知又はその他個人データを利用可能とする行為、整列若しくは結合、制限、消去若しくは破棄等)をいう。
(10) 処理者 管理者に代わり個人データを取り扱う事業体をいう。本細則においては、主にサービス提供を担う委託事業者を指す。
(11) SCC(Standard Contractual Clauses) 欧州委員会の決定によって採択された契約書の雛形である標準契約条項をいう。EUがEEA個人データに関する十分性の認定を行っていない国へのデータ移転を適法化するための適切な保護措置の一つであり、管理者間で移転する場合と管理者から処理者に移転する場合のSCCがある。
(12) 移転/アクセス データの送信(電子メール、CD/DVD、FTPサーバーによる場合等)、又は他の事業体がアクセスできるシステムへのデータの入力(ソフトウェア、オンライン上のシステム、ネットワーク、共有サーバー、グループ全体の文書管理システム等)を含め、第三者への個人データの提供を可能とする行為をいう。移転は、EEA域内における、EEA域内からEEA域外に対する、又はEEA域外からEEA域外の第三者への移転により生じる場合がある。
(13) 個人データファイル 個人データの構成された集合体であって、機能上又は地理上における集中型、分散型又は散在型の別を問わず、特定の基準に従ってアクセス可能なものを意味する。第2条第19号に定める「個人情報ファイル」に準ずるものとし、同様の管理を行う。
(14) 取得者 第三者であるか否かを問わず、個人データの開示を受ける自然人若しくは法人、公的機関、部局又はその他の組織をいう。ただし、EU法又は加盟国の国内法に従って特別の調査の枠組み内で個人データを取得できる公的機関は、取得者とはみなされない。公的機関によるそのデータの取扱いは、その取扱いの目的に従い、適用可能なデータ保護の規定を遵守するものとする。本章において「個人データの開示」は、第6章における「個人情報の提供」と同義として用いるものとする。
(15) 代理人 GDPR第27条に従い、管理者又は処理者から書面によって指名され、EU域内において管理者又は処理者のそれぞれの義務に関して管理者又は処理者を代理する者をいう。
(16) 国際機関 国際公法によって規律される組織及びその下部組織、又は、その他の組織であって、複数の国の間の協定によって、若しくは、その協定に基づいて、設立されるものをいう。
(データ保護オフィサー)
第58条 GDPR第37条以下に定めるデータ保護オフィサー(以下「DPO」という。)は、以下の各号に示す職務を担うものとし、個人情報相談窓口を設置する部門長をもって充てる。
(1) 管理者又は処理者及びEEA個人データの取扱いを行う役職員等及び情報取扱事務従事者に対し、事務局を通じて本章及びGDPRに基づく義務を通知し、助言する。
(2) 取扱業務に関与する職員の責任の割当て、意識向上及び訓練、並びに、関連する監査を含め、GDPRの遵守、それ以外のEU又は加盟国の個人データ保護条項遵守、並びに、個人データ保護と関連する管理者又は処理者の保護方針の遵守を必要に応じて事務局を通じて、監視すること。
(3) 最高責任者、統括責任者又は責任者から要請があった場合、第64条第3項及び第4項に定めるデータ保護影響評価(GDPR第35条に定めるものを指し、以下「DPIA」という。)に関して事務局の協力を得て助言を提供し、その遂行を監視すること。
(4) 監督機関と協力すること。
(5) 個人データの取扱いに関連する問題に関し、監督機関の連絡先として行動すること。DPIAにて高リスクであることが示された場合の監督機関との事前協議、また適切な場合には、それ以外の関連事項について協議することを含む。
2 DPOは、前項各号の職務を遂行する際、取扱いの性質、範囲、過程及び目的を考慮に入れた上で、取扱業務と関係するリスクに関し、十分に注意を払うこと。
(EEA個人データ保護の基本原則)
第59条 機構は、機構の事業活動においてEEA個人データを取り扱うに際し、第4章から第10章までの規定、及びGDPRに従い、適切な取り扱いを行う。
(データ主体からの権利行使要請への対応)
第60条 機構は、データ主体によるそのEEA個人データに関する次の各号のいずれかに示す権利の行使があった場合、少なくとも1か月以内に、当該権利の行使に対応しなければならない。
(1) 機構が実施するデータ取扱い業務に関して情報通知を受ける権利
(2) 機構が取り扱うEEA個人データにアクセスする権利
(3) 機構が取り扱うEEA個人データを訂正する権利
(4) 機構が取り扱うEEA個人データを消去する権利
(5) 機構が取り扱うEEA個人データの取扱いを制限する権利
(6) 機構の取り扱うEEA個人データを、体系的で、一般的に利用され、機械で読み取り可能な形式で受け取る又は別の事業体に対し移転するデータポータビリティの権利
(7) 機構が取り扱うEEA個人データの取扱いに異議を唱える権利
(8) 機構が実施するプロファイリングを含む個人に対する自動化された意思決定に関する権利
2 前項各号に定める権利を行使するための直接又は間接の要求として解釈される、データ主体からの連絡を受けた役職員等及び情報取扱事務従事者は、これを直ちに第7条に定める個人情報相談窓口に報告すること。また、第71条第2項と同様に、必要な手続きは、別途定めるものとする。
3 役職員等及び情報取扱事務従事者は、データ主体が行使し、個人情報相談窓口が認める権利を実行するために、必要に応じ事務局及びDPOの指示に従い、かつ個人情報相談窓口に協力すること。
(EEA個人データ取扱いにかかる説明責任)
第61条 責任者は、GDPRに従ってEEA個人データを取り扱う際の基礎となる、すべての方針、規程類その他の取決め及び書面記録を保持し、最新に保つこと。
2 役職員等及び情報取扱事務従事者は、EEA個人データの取扱いが本細則及びGDPRの原則や義務を遵守しているかについて疑義がある場合、事務局及びDPOに助言を求めること。また、関連する部等は、該当する規定等を確実に遵守するため、事務局及びDPOに助言を求めること。
3 責任者は、EEA個人データの取扱い業務を処理者に委託する場合、第45条の定めに加え、GDPR第28条が求める事項の遵守を確実とするために必要な措置を講ずること。
(EEA個人データ取扱いにかかる設計及び初期設定によるデータ保護)
第62条 責任者は、EEA個人データを取扱う業務のすべての段階において、情報システム及びプロセスによりEEA個人データの過度の、不要な、又は無許可の取扱いを生じないことを確保するため、以下の各号に示す措置・対策を講ずること。
(1) EEA個人データを取り扱う新たなサービス、プロセス又は情報システムを開発及び設定する際には、プライバシーに配慮した設計アプローチを総合的に取り入れること。
(2) 機構情報通信網内において、初期設定により、あらゆるプライバシーデータの保護設定について、最もプライバシーに配慮した設定とすること
(3) 役職員等及び情報取扱事務従事者による複数のデータベースへの交差接続及びアクセスが行われる場合、仮名化やその他の手段によってEEA個人データへの不当なアクセスを制限すること
(EEA個人データ取扱いにかかる技術的及び組織的安全管理措置の実施)
第63条 責任者は、リスクに対する適切なセキュリティレベルを確保するため、EEA個人データの取扱いにおけるリスクに応じ、以下に示す技術的及び組織的な安全管理措置(セキュリティ強化対策)を講ずること。
(1) 個人データの仮名化又は暗号化
(2) 取扱システム及び取扱サービスの現在の機密性、完全性、可用性及び回復性を確保する能力
(3) 物的又は技術的なインシデントが発生した際、適時に個人データの可用性及びそれに対するアクセスを復旧する能力
(4) 取扱いの安全性を確保するための技術上及び組織上の措置の有効性の定期的なテスト、評価及び評定のための手順
2 第51条の規定により、EEA個人データから行政機関等匿名加工情報を作成する場合、行政機関等匿名加工情報の作成に用いた保有個人情報から削除した記述等及び個人識別符号並びに同条により行った加工の方法に関する情報を削除することにより、匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、行政機関等匿名加工情報として取扱ってよいものとする。
(EEA個人データ取扱いにおける制限等)
第64条 役職員等及び情報取扱事務従事者は、以下の各号に定めるEEA個人データ取扱記録を含む第47条に定める個人情報ファイル簿の基礎となる帳簿(以下「個人情報ファイル台帳」という。)が整備済みであるEEA個人データに限り取り扱うことができるものとし、該当するEEA個人データ取扱記録が未整備の場合にはEEA個人データを取扱ってはならない。
(1) 管理者として実施する取扱いに関する以下の活動記録
イ 管理者及び(該当する場合)共同管理者、管理者の代理人並びにDPOの名前及び連絡先
ロ 取扱いの目的
ハ データ主体の類型の記述及び個人データの種類の記述
ニ 第三国又は国際機関内の取得者を含め、個人データが開示された、又は、開示される取得者の類型
ホ (該当する場合)当該第三国若しくは国際機関の識別を含め、第三国又は国際機関に対する個人データの移転、及び、GDPR第49条第1項に定める特定状況における例外条件が適用できない状況で行う例外的な個人データ移転の場合、適切な保護措置を示す文書(SCC等)
ヘ (可能なとき)異なる種類毎のデータの削除のために予定されている期限
ト (可能なとき)第63条に規定する技術的及び組織的安全管理措置の概要
(2) 処理者に実施させる取扱いに関する以下の活動記録
イ 処理者及び処理者が代わりに活動している個々の管理者の名前及び連絡先、並びに(該当する場合)管理者又は処理者の代理人及びDPOの名前及び連絡先
ロ 個々の管理者の代わりに行われる取扱いの種類
ハ (該当する場合)当該第三国若しくは国際機関の識別を含め、第三国又は国際機関に対する個人データの移転、及び、GDPR第49条第1項に定める特定状況における例外条件が適用できない状況で行う例外的な個人データ移転の場合、適切な保護措置を示す文書(SCC等)
ニ (可能なとき)第63条に規定する技術的及び組織的安全管理措置の概要
2 役職員等及び情報取扱事務従事者は、以下の各号に示す条件に該当する場合、EEA個人データを取り扱ってはならない。
(1) 整備済み個人情報ファイル台帳にて意図していなかった新たな目的のためにEEA個人データを取り扱おうとする場合
(2) 整備済み個人情報ファイル台帳に記載されていない新たな種類のEEA個人データを取り扱おうとする場合
3 責任者は、部等にて取り扱おうとするEEA個人データに該当するEEA個人データ取扱記録が未整備の場合には、当該記録を新たに作成し、以下の各号に示す事項に基づき、DPIA実施の必要性を判断する。
(1) 取扱いの性質、範囲、過程及び目的を考慮した上で、特に新たな技術を用いるような種類の取扱いが、データ主体の権利及び自由に対する高いリスクを発生させる恐れがある場合 高いリスクを発生させる恐れがある場合としては、以下のケースが典型的なものである。
イ プロファイリングを含む、自動的な取扱いに基づく判断が、データ主体への法的効果を発生させる、又は同様の重大な影響を及ぼすような評価につながる場合
ロ 本細則第57条第7号に定める個人データのうち、同号に定める「特別な種類の個人データ」に該当する個人データを大規模に取り扱う場合
ハ 公衆がアクセス可能な場所のシステムによる大規模な監視を実施する場合
(2) 監督機関から公表されているDPIAを要する取扱い業務に該当する場合、又はDPIAを要しない個人データ取扱い業務に該当しない場合
4 責任者は、前項に従い新たに作成したEEA個人データ取扱記録、及びDPIAの必要性判断結果について、直ちに事務局及びDPOに報告する。また前項の判断に従い、EEA個人データの管理者となる部等の責任者がDPIAを実施する際には、事務局及びDPOの助言・指示に従い、DPIAの結果についても直ちに事務局及びDPOに報告すること。                                                                                    なお、報告内容に応じ、事務局及びDPOより、以下の各号に示す条件を課する場合がある。
(1) 報告されたEEA個人データの取扱いプロセスを修正すること
(2) 事務局が提供する文書、ガイダンス及び指示に従ってデータ主体から同意を取得する、又は既存の同意取得に関する運用手続を修正すること
(3) 事務局が提供する文書、ガイダンス及び指示に従って情報通知を実施する又は既存の情報通知を修正すること
(4) 既存のEEA個人データ取扱記録に必要な新規の取扱いを加える又は既存の取扱いを修正すること
(EEA個人データ移転の制限)
第65条 役職員等及び情報取扱事務従事者は、以下の各号に示す条件を満たす場合に限り、第三国の事業体(EEA域外拠点等若しくは処理者)又は国際機関にEEA個人データを移転することができるものとし、条件を満たしていない場合には、移転を実施してはならない。
(1) 当該EEA個人データに関し、第64条第1項各号に定めるEEA個人データ取扱記録を含む個人情報ファイル台帳が整備済みであること。
(2) 当該EEA個人データに関し、第64条第1項第1号ロ及びハに記載されていない新たな取扱い目的、個人データの類型及び種類がないこと。
(3) 当該EEA個人データに関し、第64条第1項第1号ニに記載されていない新たな取得者がいないこと。
(4) 当該EEA個人データの移転がGDPR第45条(十分性認定に基づく移転)に該当、又はGDPR第49条第1項(特定の状況における例外)に該当、若しくは第64条第1項第1号ホ及び第2号ハに記載のデータ移転の適切な保護措置を示す文書(SCC等)が整備済みであること。
2 前項各号の条件を満たしておらず、新たに第三国の事業体(EEA域外拠点等又は処理者)又は国際機関にEEA個人データを移転しようとする場合、責任者は、第64条の定めに従い個人情報ファイル台帳を新たに整備し、当該データ移転がGDPR第45条(十分性認定に基づく移転)又はGDPR第49条第1項(特定の状況における例外)に該当しない場合、当該データ移転の適切な保護措置を示す文書(SCC等)の整備の必要性について事務局及びDPOに報告すること。個人情報ファイル台帳の整備に際しては、以下の各号に示す事項を確認すること。
(1) EEA個人データの移転に関する新たな移転、新たなカテゴリーの個人データ、又は新たな目的
(2) EEA個人データの受領者、受領者が所在する国、EEA個人データが保存又は取扱いされる国
(3) その移転に関する何らかの契約、業務委託契約又はその他の文書の提供又は交換の有無
3 責任者は、前項に従い個人情報ファイル台帳を新たに整備し、EEA個人データの移転についての適切な保護措置を示す文書(SCC等)を整備する必要が生じた場合、直ちに事務局及びDPOに報告し、事務局及びDPOの助言・指示に従うこと。なお、SCCを締結する場合には、以下の各号に示す事項を考慮すること。
(1) 適切なSCCを締結し得るデータの受領者であるか
(2) EEA個人データの受領者、受領者が所在する国、EEA個人データが保存又は取扱いされる国
(3) その移転に関する何らかの契約、業務委託契約又はその他の文書の提供又は交換の有無
(EEA個人データ取扱いにかかる個人データ侵害)
第66条 機構の取り扱うEEA個人データが侵害された場合、機構は、当該侵害を認知した時点から72時間以内に所管の監督機関に報告しなければならない。また、機構は、関係するデータ主体に対しても、かかるデータの侵害を連絡しなければならない。ただし、その個人データ侵害が自然人の権利及び自由に対するリスクを発生させるおそれがない場合を除く。
2 機構が取り扱うEEA個人データの侵害又は安全管理の上で問題となる事案若しくは事案となる恐れのある事実(以下「EEA個人データ問題事案等」という。)の発生を認知し又は発見した役職員等及び情報取扱事務従事者は、第54条の定めに従い、直ちに必要な措置及び報告を実施すること。
3 EEA個人データ問題事案等にかかる役職員等及び情報取扱事務従事者は、統括責任者が判断するとおり、EEA個人データの侵害を調査し、当該侵害に関するすべての規制上の義務を履行するために、必要に応じ、統括責任者の指示に従い、かつ事務局及びDPOに協力すること。
第13章 教育研修
(教育研修)
第67条 最高責任者は、以下の各号に定める教育研修を行う。
(1) 保有個人情報等の取扱いに従事する役職員等及び情報取扱事務従事者に対する個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修
(2) 保有個人情報等を取り扱う情報システムの管理に関する事務に従事する役職員等及び情報取扱事務従事者に対する保有個人情報等の適切な管理のための、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修
(3) 責任者及び課等責任者に対する部等の現場における保有個人情報等の適切な管理のための定期的な教育研修
2 責任者及び課等責任者は、その所属する部等の役職員等及び情報取扱事務従事者に対し、保有個人情報等の適切な管理のために、前項の教育研修への参加の機会を付与する等の必要な措置を講じ、適切に受講させる。
3 統括責任者は、第1項の教育研修を実施するための教育実施計画を策定し、その実施体制を整備する。
4 統括責任者は、個人情報保護の状況の変化に応じ、役職員等及び情報取扱事務従事者に対して新たに教育すべき事項が明らかになった場合は、前項の教育実施計画を見直す。
第14章 監査及び点検の実施
(点検)
第68条 責任者は、自ら管理責任を有する保有個人情報等の記録媒体、処理経路、保管方法等について、定期に、及び必要に応じ随時に点検を行い、その結果を統括責任者に報告する。
(監査)
第69条 監査責任者は、その結果を最高責任者に共有する。
(評価及び見直し)
第70条 保有個人情報等の適切な管理のための措置については、最高責任者、統括責任者、責任者等は、点検又は監査の結果を踏まえ、実効性の観点から保有個人情報等の適切な管理のための措置について評価し、必要があると認めるときは、その見直し等の措置を講ずる。
第15章 雑則
(実施細目)
第71条 本細則の実施に必要な手続その他の細目(次項に規定する事項を除く。)は、統括責任者が別に定める。
2 機構の保有する自己を本人とする保有個人情報の開示、訂正及び利用停止、特定個人情報の取り扱い、並びに行政機関等匿名加工情報の提供に関する手続きその他の細目は、総務部長が別に定める。
附 則
この細則は、平成17年4月1日から施行する。
附 則(平成20年4月1日細則(総)第5号)
1 この細則は、平成20年4月1日から施行する。
2 この細則の施行に伴い、第1条から第27条までの規定により改正される各細則の規定により、当該各細則の実施に係る細目の決定を理事長から授権又は委任される者(以下「授権者」という。)が異なることとなる場合であって、この細則の施行の際、現に制定済の準内部規程等の細目(以下「準内部規程等」という。)があるときは、当該準内部規程等に相当する準内部規程等が新たな授権者により別途制定されるまでの間、現に制定済の準内部規程等を当該新たな授権者により制定されたものとみなす。
附 則(平成20年11月14日細則(情)第51号)
この細則は、平成20年11月14日から施行し、平成20年10月1日から適用する。
附 則(平成21年3月16日細則(情)第8号)
この細則は、平成21年3月16日から施行する。
附 則(平成22年6月28日細則(情)第33号)
この細則は、平成22年6月28日から施行する。
附 則(平成23年3月31日細則(情)第9号)
1 この細則は、平成23年4月1日から施行する。
2 この細則により、細則の実施に係る細目の決定を理事長から授権又は委任される者(以下「授権者」という。)が異なることとなる場合であって、この規程の施行の際、現に制定済の準内部規程等の細目(以下「準内部規程等」という。)があるときは、当該準内部規程等に相当する準内部規程等が新たな授権者により別途制定されるまでの間、現に制定済の準内部規程等を当該新たな授権者により制定されたものとみなす。
附 則(平成23年12月12日細則(情)第49号)
この細則は、平成23年12月12日から施行する。
附 則(平成27年6月12日細則(情)第13号)
この細則は、平成27年6月12日から施行する。
附 則(平成27年9月30日細則(情)第20号)
この細則は、平成27年9月30日から施行する。
附 則(平成29年5月2日細則(情)第12号)
1 この細則は、平成29年5月30日から施行する。
2 この細則により、細則の実施に係る細目の決定を理事長から授権又は委任される者(以下「授権者」という。)が異なることとなる場合であって、この細則の施行の際、現に制定済の準内部規程等の細目(以下「準内部規程等」という。)があるときは、当該準内部規程等に相当する準内部規程等が新たな授権者により別途制定されるまでの間、現に制定済の準内部規程等を当該新たな授権者により制定されたものとみなす。
附 則(平成29年11月27日細則(情)第21号)
この細則は、平成29年11月27日から施行する。
附 則(平成30年12月12日細則(情)第26号)
この細則は、平成30年12月12日から施行する。
附 則(令和3年3月31日細則(総)第9号)
この細則は、令和3年4月1日から施行する。
附 則(令和4年3月31日細則(情)第2号)
この細則は、令和4年4月1日から施行する。
附 則(令和5年3月28日細則(情)第3号)
この細則は、令和5年4月1日から施行する。
附 則(令和6年4月1日細則(情)第6号)
この細則は、令和6年4月1日から施行する。