この基準は、個人情報の保護に関する法律(平成15年法律第57号)、個人情報の保護に関する法律施行条例(令和4年東京都条例第130号)及び東京都教育委員会個人情報取扱事務要綱(平成17年9月22日付17教総総第1009号)の規定に基づき、東京都立○○○学校(以下「学校」という。)における保有個人情報の適正な管理のために必要な事項を定め、個人の権利利益を保護することを目的とする。

なお、この基準は、学校内における保有個人情報及び保有個人情報を記録した公文書(以下「保有個人情報等」という。)の管理の基準を示したものであって、保有個人情報等の取扱いについて法令等に別の定めがあるとき又は教育庁から提出等の指示があるときには、それによるものとする。

第2　法令等の遵守

教職員は、保有個人情報の保護に関し、次の各号に掲げる法令等を遵守しなければならない。

1　個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)

2　個人情報の保護に関する法律施行条例(令和4年東京都条例第130号。以下「法施行条例」という。)

3　東京都教育委員会個人情報取扱事務要綱(平成17年9月22日付17教総総第1009号。以下「要綱」という。)

第3　定義

この基準において使用する用語は、法及び東京都情報公開条例(平成11年東京都条例第5号)において使用する用語の例による。

第4　情報処理システムにおける技術的安全管理措置

保有個人情報を記録した情報処理システムの安全確保については、東京都サイバーセキュリティ基本方針、東京都サイバーセキュリティ対策基準及び東京都教育委員会におけるサイバーセキュリティ安全管理措置・実施手順による。

第5　都立○○○学校において保有個人情報を取り扱う事務

1　学校において保有個人情報を取り扱う事務は、法施行条例第3条の規定に基づき備え付けた登録簿に記載された事務及び教職員又は教職員であった者に係る事務など、別表のとおりである。

2　保有個人情報を取り扱う事務を開始、変更又は廃止するときは、法施行条例第3条の規定に基づき登録簿の備付け、又は更新を行う。

第6　管理体制・個人情報管理責任者の役割

東京都立○○○学校長(以下「校長」という。)は、以下の安全管理の基準に基づき、保有個人情報の保護について厳重、適正な管理を行う。

(管理体制)

1　校長は、東京都立○○○学校における保有個人情報等の適正な管理について責任を負うとともに、保有個人情報等の保護に関し、所属教職員を指導する。

(管理状況の点検)

2　保有個人情報等の安全管理を厳格に行うため、校長は、保有個人情報の収集及び利用並びに保有個人情報等の保管及び廃棄の状況(以下「保有個人情報等の管理状況」という。)について、点検票(別記第1号様式及び同様式の2)により毎年度1回以上、点検を行う。

(是正措置)

3　教職員は、保有個人情報等の管理状況に関して問題となる事案が発生した場合には、直ちに校長に報告し、校長は、保有個人情報等の管理状況に不適切な点があると認めるときには、直ちに是正措置を講ずる。

(校内研修)

4　校長は、個人情報が生徒(必要に応じ、幼児、児童、学生を加える。)、保護者等、地域住民等の生活に直接関わる大切な財産であることを認識し、教職員に対して、個人情報保護の重要性及び保有個人情報の適正管理等に対する理解と関係規程遵守の徹底が図られるよう必要な啓発その他、教育研修を行う。

(事故対応)

5　教職員は、次の各号に掲げる事故(以下「保有個人情報に係る事故」という。)が発生した場合又は発生のおそれがある事象を把握した場合には、直ちに校長に報告する。

(1)　保有個人情報を記録した公文書の盗難、紛失又は不適正な持ち出し

(2)　保有個人情報又は学校が取得し、若しくは取得しようとしている個人情報であって、保有個人情報として取り扱われることが予定されているものに係る不正アクセス、虚偽記載、改ざん又は不適正な消去

(3)　その他保有個人情報の漏えい、滅失又は毀損

6　校長は、前項の報告を受けたときは、直ちに事実関係を調査した上で、東京都○○学校経営支援センター(支所)に、また、同センターを経由して東京都教育庁総務部総務課に当該事案が発生したことを報告するとともに、同センター(支所)と連携し、事故の対象となった保有個人情報の本人への対応及び事案の公表等の被害の拡大を防止するための適切な措置を講じる。

7　校長は、5で把握した事象のうち、個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)第43条各号に該当するものについては、東京都○○学校経営支援センター(支所)及び東京都教育庁総務部総務課を経由して、個人情報保護委員会に報告する。

8　校長は、6の措置を講じた後、速やかに事故の原因を調査して再発防止策を講じるとともに、必要に応じて、これらの内容を東京都○○学校経営支援センター(支所)に報告する。

なお、事案の内容、影響等に応じて、その後の経過及び再発防止策等を公表する。

第7　保有個人情報等の安全管理措置

校長は、保有個人情報に係る事故がないように、次の事項について、所属教職員を指導するほか必要な措置を講ずる。

(保管等)

1　教職員は、退勤時に保有個人情報等を校長が指示する保管庫等に保管し、必ず施錠しなければならない。

また、保管庫等の鍵は、関係教職員以外の者が使用できないよう、安全な場所に保管しなければならない。

2　教職員は、事務の遂行上必要な場合を除き、保有個人情報等を複製してはならない。

3　教職員は、保有個人情報等を机上等に放置してはならない。

また、関係教職員以外の者が保有個人情報を知ることができないよう、常に留意しなければならない。

4　教職員は、パソコンの盗難又は紛失を防ぐため、セキュリティワイヤ等により固定するとともに、必要に応じて執務室等を施錠しなければならない。

(保有個人情報等の校舎外への持ち出し等)

5　教職員は、原則として、校長の指示又は許可によらずに、保有個人情報等を校舎外に持ち出し又は送付(通信回線を利用した送信を含む。以下同じ。)してはならない。

校長は、生徒(必要に応じ、幼児、児童、学生を加える。)の安全確保、健康の維持及び指導上の必要のため、教職員があらかじめ処理簿(別記第2号様式)により、保有個人情報等の校舎外持ち出し又は送付について許可を求めた場合で、持ち出し又は送付目的等(持ち出しにあっては、持出期間及び使用場所等を含む。以下同じ。)に支障がなく、当該保有個人情報等が別紙保有個人情報等取扱基準に定める分類S―2又は分類S―3に区分され、かつ、個人情報の内容範囲及び種類がその持ち出し又は送付目的の範囲内であり(必要のない情報は削除する。)、さらに、校舎外における保有個人情報等の使用環境が安全であるとき、校舎外への保有個人情報等の持ち出し又は送付を許可することができる。

なお、別紙保有個人情報等取扱基準に定める分類S―3に分類された保有個人情報等については、持ち出し又は送付目的等について文書により定めた場合に限り、保有個人情報等の校舎外への持ち出し又は送付を包括的に許可することができる。

6　教職員は、保有個人情報等を校舎外に持ち出す場合には、保有個人情報に係る事故を防止するため、保有個人情報等の運搬に当たり、次の各号を遵守しなければならない。

(1)　原則として、盗難又は紛失等を防止することができる形状、機能を持つ鞄(かばん)などに収納すること。

(2)　保有個人情報等を常に肌身離さず携帯し、移動経路は必要かつ最小限のものとすること。

(3)　その他校長が指示した安全対策を講じること。

7　前項の規定は、校舎内において保有個人情報等を運搬する場合に準用する。

8　教職員は、校舎外に持ち出した保有個人情報等の持ち帰りについて、校長の確認を得なければならない。また、校舎外に持ち出した保有個人情報等を、事務の遂行上やむを得ず、校舎外で保管する場合、当該教職員は、保有個人情報に係る事故を防止するための必要な措置を講じなければならない。

9　教職員は、保有個人情報等を送付又はホームページ等に掲載する場合には、保有個人情報等に係る事故を防止するため、次の各号を遵守しなければならない。

(1)　送付先及び送付物又は掲載内容に誤りがないか確認すること。

(2)　送付先の情報及び送付内容が第三者に知られないようにすること。

(3)　掲載内容に第三者に知られてはならない個人情報が含まれていないか確認すること。

(4)　送付物又は掲載する内容により適切な送付又は掲載方法を選択すること。

(5)　その他校長が指示した安全対策を講じること。

10　教職員は、TAIMS端末利用基準(令和2年6月30日付2戦I情第578号)に規定するTAIMS個人端末を校舎外に持ち出し、校舎外において情報処理作業を行う際は、保有個人情報に係る事故を防止するため、TAIMS端末利用基準第2.4の規定を遵守すること。この場合において、「庁外」とあるのは、「校舎外」に読み替えるものとする。

(保有個人情報等の消去又は廃棄)

11　校長は、保有個人情報等が不要となった場合には、当該保有個人情報等の復元又は判読が不可能な方法により、消去又は廃棄を行う。

なお、保有個人情報等の消去又は廃棄を委託して行う場合には、教職員が立ち会うなどの方法により、適切に消去又は廃棄したことを確認する。

(保有個人情報の提供時の措置要求等)

12　校長は、保有個人情報等を実施機関以外のものに提供する場合には、当該提供先に対して安全確保の措置を要求し、必要があると認めるときは、実地調査等により当該措置状況を確認し、所要の改善要求等を行う。

13　校長は、法令に基づく場合及び法第69条第2項各号に該当する場合を除き、保有個人情報を取り扱う事務の目的を超えて、保有個人情報を都の機関等以外のものへ提供してはならない。

第8　委託に伴う措置

(取り決め事項等)

1　校長は、保有個人情報等を取り扱う事務を委託しようとするときは、当該契約又は協定(以下「委託契約等」という。)の締結等に当たり、次の各号に掲げる事項について、取り決めを行う。

(1)　取り扱う保有個人情報等が、受託者又は東京都教育委員会のうちのいずれの保有に属するのか、その範囲を明らかにする事項

(2)　安全管理、秘密の厳守等の受託者が保有個人情報保護について遵守すべき事項(要綱第7.4で、契約書等に記載することと規定されている事項)

(3)　再委託に関する事項

2　校長は、保有個人情報等を適切に管理する能力を有しないものを受託者として選定することがないよう、前項に規定する事項について、あらかじめ仕様書等に明記するとともに、必要に応じて教職員に調査を行わせる。

(再委託)

3　校長は、保有個人情報を取り扱う事務の再委託について、再委託を受ける者が保有個人情報を適切に管理する能力を有することを確認できた場合に認めるものとする。その場合、校長は、保有個人情報等の取扱いに係る態様について東京都教育委員会が十分に管理できるよう、再委託の内容及び再委託先等について、あらかじめ東京都教育委員会の承諾を求めるなど、適切な再委託先を選定するために必要な措置をとるとともに、その旨を具体的に委託契約書等に明記する。

(監督)

4　校長は、受託者が委託契約等において取り決めた事項を遵守しているか、また、受託者が再委託を受けた者に対して必要かつ適切な監督を行っているか等を教職員に監督させるなど、受託者及び再委託を受けた者に対する必要な監督を行う。

(廃棄等の確認)

5　校長は、受託者において保有個人情報等の消去又は廃棄が行われるときは、教職員が立ち会うなどの方法により、適切に消去又は廃棄したことを確認する。

6　校長は、受託者に個人情報記載文書等を搬送する必要がある場合は、保有個人情報に係る事故を防止するための必要な措置を講じる。

7　校長は、受託者等に保有個人情報記載文書等を受け渡すときは、個人情報授受簿(別記第3号様式)を定めて教職員にその都度受渡しの確認を行わせる。

8　電子情報処理委託については、電子情報処理委託に係る標準特記仕様書を用い、又は特記仕様書の事項を委託仕様書に記載する。

附則

附則(令和6年6教総総第667号)

保有個人情報等取扱基準

S―1　原則として、児童・生徒の障害の状況、事件・事故、指導記録、保護者の収入等の情報など、プライバシー性が高い情報並びに指導要録や成績一覧表など児童・生徒の情報が高度に集積している帳票や電子データなど。関連する補助簿や補助資料も含む。

S―2　個別的な情報で、随時・継続的に作成し、蓄積が必要な帳票や電子データ、記入済みの答案用紙など。関連する補助簿や補助資料も含む。

S―3　学校外においても一定程度存在する情報

保有個人情報取扱事務一覧　(例示)

その1：保有個人情報取扱事務届出事項

その2：教職員又は教職員であった者に係る事務

※　事務の名称欄には、東京都立学校の管理運営に関する規則第10条の5及び第12条の規定による担当事務を記載