個人情報保護に関する管理基準について

  1. 目的
    この基準は、一般財団法人大阪府教職員互助組合の「個人情報保護基本方針(2005年3月24日策定)」に基づき、取得・保有する個人情報を安全かつ適正に管理することを目的とする。
  2. 用語の定義
    この基準において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

    (1)情報システム
    電子計算機を利用して行う業務処理の体系をいう。

    (2)ユーザ
    電子計算機の使用者および情報システムの利用者をいう。

    (3)ユーザID
    ユーザを識別するための記号をいう。

    (4)パスワード
    正当なユーザであることを認証するために使用される秘密の文字列情報をいう。

    (5)ユーザ認証機能
    電子計算機および情報システムにおいてユーザIDとパスワードを利用して、ユーザを識別するとともに正当なユーザであることを認証する機能をいう。

    (6)端末機等
    ユーザが直接利用する電子計算機をいう。

    (7)システム室
    電子計算機を集中管理し、基幹業務の運用および情報システムの監理を行う場所をいう。

    (8)アクセス
    電子計算機および情報システムを利用して、データの参照、変更等を行うことをいう。

    (9)ロ グ
    電子計算機および情報システムの使用記録をいう。

    (10)不正アクセス等
    不正なアクセス、コンピューターウイルスの感染など情報システムの運用等に支障をきたすような状況をいう。

    (11)バックアップ
    データの滅失、き損に備えデータを複製することをいう。

    (12)コンプライアンス
    ・プログラム
    個人情報保護に関する取扱要項、個人情報保護基本方針、本基準およびその他個人情報保護に関する運用取扱等をいう。

  3. 個人情報の利用目的等については、次のとおりとする。
    (1)利用目的の特定
    個人情報を取り扱うに当たっては、申込書および請求書等にその利用の目的を記載することとし、利用目的はできる限り特定しなければならない。

    (2)利用目的の変更
    利用目的の変更は、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
    また、利用目的を変更した場合は、変更した内容を本人に通知し、または公表しなければならない。

    (3)利用目的による制限
    あらかじめ本人の同意を得ないで、上記(1)により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

    (4)個人情報の取得関係
    ア 適正取得
    偽りその他不正な手段により個人情報を取得してはならない。
    イ 利用目的の通知又は公表
    個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、または公表しなければならない。
    ウ 直接書面等による取得
    本人との間における契約の締結等に伴い契約書その他の書面に記載された当該本人の個人情報を取得する場合、その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。

  4. 個人データの管理については次のとおりとする。
    (1)データ内容の正確性の確保
    利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。

    (2)安全管理措置
    ア 組織的安全管理措置
    情報システムに係る不正なアクセスを防止するため、次の項目について周知徹底を図ることとする。
    ① パスワードについては、これの秘匿に努める。
    ② 端末機等から離れるときは、情報システムを終了させる。
    ③ パソコンや記録媒体は、許可なく外部に持ち出さない。
    ④ 重要なデータを記録している記録媒体は、定期的にバックアップを行う。
    ⑤ コンピューターウィルスの感染を防止するため、出所不明のソフトウェアは利用しない。
    ⑥ 必要のないソフトウェアの組み込み及びシステム環境の変更は行わない。
    ⑦ データの漏えいを防止するため、必要以上のデータの複製は行わない。
    ⑧ 個人データの安全管理措置の評価、見直し及び改善を適時行う。
    ⑨ コンプライアンス・プログラムに違反する事実または違反する恐れがあることを発見した者は、
    その旨を情報取扱責任者に報告する。
    ⑩ コンプライアンス・プログラムに違反した者の懲戒は、就業規程の定めるところによる。
    イ 物理的安全管理措置
    電子計算機及びこれを設置する施設を部外者の侵入、災害等から保護するため、次の項目について対策を講じることとする。
    ① システム室への入室については、入室資格者を限定するとともに、入退室の記録、
    入室目的の確認等の措置を講じるなど適切な管理を図る。
    ② 地震、火災その他の災害に備えて必要な保安措置を施す。
    ③ 盗難等の防止のため、事務局内で個人データの保管場所は施錠等の安全対策を図る。
    ウ 技術的安全管理措置
    個人データへのアクセスおよび個人データを取り扱う情報システムに関し、次の項目について対策を講じる。
    ① 互助組合が直接管理しない電子計算機(以下「外部の電子計算機」という。)と接続する
    電子計算機については、外部の電子計算機から利用できる機能を制限するための装置を
    設けるなど不正アクセス等の防止に努める。
    ② 必要に応じ電子計算機にユーザ認証機能を組み込み、ユーザおよびアクセスを行うことの
    できる範囲を制限するための措置を講じるとともに、アクセスを監理するためログを取得し、
    これを定期的に点検する。

    (3)個人情報の処理に従事する職員の監督
    個人情報の処理に従事する職員に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

    (4)委託先の監督
    個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

    (5)第三者への提供
    あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
    ただし、委託業者等への対応は、提供する個人データの利用目的、項目、手段又は方法、本人の求めに応じて提供を停止することをあらかじめ通知することにより、当該個人データを提供することができる。

    (6)保有個人データに関する事項の公表、保有個人データの開示・訂正・利用停止等
    保有個人データに関し、次に掲げる事項について、本人の知り得る状態に置かなければならない。
    ア 保有個人データの開示
    本人から、当該本人が識別される保有個人データの開示を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データの開示を行う。
    イ 保有個人データの訂正等
    本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加または削除を求められた場合には、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行う。
    ウ 保有個人データの利用停止等
    本人から、当該本人が識別される保有個人データが規定に違反して取り扱われているという理由によって、当該保有個人データの利用の停止または消去を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、個人データの利用停止等を行う。
    エ 理由の説明
    本人から求められた措置をとらない旨を通知する場合またはその措置と異なる措置をとる旨を通知する場合は、本人に対し、書面をもって当該措置理由を説明することとする。
    オ 開示等の求めに応じる手続
    開示等の求めは、所定の書面にて受け付けることとする。
    カ 手数料
    利用目的の通知または開示に関し、これにかかる経費が発生する場合、手数料として徴収することができる。

  5. 苦情の処理
    個人情報の取扱いに関する苦情の適切かつ迅速な処理ため、事務局に窓口を設置する。
    なお、対応手順等については、別途定めるものとする。
  6. 不正アクセス等被害時における措置
    不正アクセス等の報告を受けたときは、速やかに被害状況および原因の把握を行い、防止措置を講じるとともに遅滞なく不正アクセス等の内容を情報取扱責任者に報告すること。