1　館に、総括個人情報保護管理者一人を置き、総務部長をもって充てる。総括個人情報保護管理者は、館長を補佐し、館における保有個人情報の管理に関する事務を総括する任に当たる。

2　保有個人情報を取り扱う各課に、個人情報保護管理者一人を置き、情報セキュリティ対策基準に定める課情報セキュリティ責任者をもって充てる。個人情報保護管理者は、各課における保有個人情報を適切に管理する任に当たる。

3　保有個人情報を取り扱う各課に、個人情報保護担当者を置き、情報セキュリティ対策基準に定める情報セキュリティ担当者をもって充てる。個人情報監査責任者は、保有個人情報の管理の状況について監査する任に当たる。

4　館に、個人情報監査責任者一人を置き、総務部総務課長をもって充てる。個人情報監査責任者は、保有個人情報の管理の状況について監査する任に当たる。

5　総括個人情報保護管理者は、保有個人情報の管理に係る重要事項の決定、連絡・調整等を行うに当たり、必要があると認めるときは、情報化統括責任者等の設置に関する内規（平成19年度国立国会図書館内規第3号）第4条に定める情報化推進委員会に諮るものとする。

1　個人情報保護管理者は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報にアクセスする権限を有する者をその利用目的を達成するために必要最小限の職員に限る。
2　アクセス権限を有しない職員は、保有個人情報にアクセスしてはならない。
3　職員は、アクセス権限を有する場合であっても、業務上の目的以外の目的で保有個人情報にアクセスしてはならない。

4　職員は、業務上の目的で保有個人情報を取り扱う場合であっても、次に掲げる行為については、個人情報保護管理者の個別の指示に従い行う。
　(1) 保有個人情報の複製
　(2) 保有個人情報の送信
　(3) 保有個人情報が記録されている媒体の外部への送付又は持出し
　(4) その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為

5　職員は、保有個人情報の内容に誤り等を発見した場合には、個人情報保護管理者の指示に従い、訂正等を行う。

6　職員は、個人情報保護管理者の指示に従い、保有個人情報が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫への保管、施錠等を行う。

7　職員は、保有個人情報又は保有個人情報が記録されている媒体（端末及びサーバに内蔵されているものを含む。）が不要となった場合には、個人情報保護管理者の指示に従い、当該保有個人情報の復元又は判読が不可能な方法により当該情報の消去又は当該媒体の廃棄を行う。

8　個人情報保護管理者は、保有個人情報の秘匿性等その内容に応じて、台帳等を整備して、当該保有個人情報の利用及び保管等の取扱いの状況について記録する。

1　個人情報保護管理者は、保有個人情報の秘匿性等その内容に応じて、パスワード等（パスワード、ICカード、生体情報等をいう。以下同じ。）を使用して権限を識別する機能（以下「認証機能」という。）を設定する等のアクセス制御のために必要な措置を講ずる。
2　個人情報保護管理者は、第1項の措置を講ずる場合には、パスワード等の管理に関する定めの整備（その定期又は随時の見直しを含む。）、パスワード等の読取防止等を行うために必要な措置を講ずる。

3　個人情報保護管理者は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報へのアクセス状況を記録し、その記録（以下「アクセス記録」という。）を一定の期間保存し、及びアクセス記録を定期に又は随時に分析するために必要な措置を講ずる。
4　個人情報保護管理者は、アクセス記録の改ざん、窃取又は不正な消去の防止のために必要な措置を講ずる。

5　個人情報保護管理者は、保有個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定による経路制御等の必要な措置を講ずる。

6　個人情報保護管理者は、コンピュータウイルスによる保有個人情報の漏えい、滅失又はき損の防止のため、コンピュータウイルスの感染防止等に必要な措置を講ずる。

7　個人情報保護管理者は、保有個人情報の秘匿性等その内容に応じて、その暗号化のために必要な措置を講ずる。

8　職員は、保有個人情報の重要度に応じて、入力原票と入力内容との照合、処理前後の当該保有個人情報の内容の確認、既存の保有個人情報との照合等を行う。

9　個人情報保護管理者は、保有個人情報の重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講ずる。

10　個人情報保護管理者は、保有個人情報に係る情報システムの設計書、構成図等の文書について外部に知られることがないよう、その保管、複製、廃棄等について必要な措置を講ずる。

11　個人情報保護管理者は、保有個人情報の秘匿性等その内容に応じて、その処理を行う端末を限定するために必要な措置を講ずる。

12　個人情報保護管理者は、端末の盗難又は紛失の防止のため、端末の固定、執務室の施錠等の必要な措置を講ずる。
13　職員は、情報セキュリティ対策基準（情報セキュリティ対策基準に基づき定められた、情報セキュリティ実施手順（職員一般向け）（平成18年国図情060628001号）及び情報セキュリティ実施手順（システム管理者等向け）（平成18年国図情061005001号）を含む。以下同じ。）の定めるところに従い特に許可を受けた場合を除き、端末を外部へ持ち出し、又は外部から持ち込んではならない。

14　職員は、端末の使用に当たっては、保有個人情報が第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講ずる。

1　個人情報保護管理者は、情報セキュリティ対策基準の定めるところに従い、保有個人情報を取り扱う基幹的なサーバ等の機器を設置する室（保有個人情報を記録する媒体を保管するための施設を設けている場合にあっては当該施設を含む。以下「電子計算機室等」という。）の入退室を管理する措置を講ずる。

2　個人情報保護管理者は、情報セキュリティ対策基準の定めるところに従い、外部からの不正な侵入及び災害等から電子計算機室等を防護するための措置を講ずる。

1　館長は、第3第10項第3号及び第4号の規定に基づき館以外の者に保有個人情報を提供する場合には、原則として、提供先における利用目的、利用する業務の根拠法令、利用する個人情報ファイルに記録される項目（以下「記録項目」という。）及び本人として個人情報ファイルに記録される個人の範囲（以下「記録範囲」という。）、利用形態等について書面を取り交わす。

2　保有個人情報の取扱いに係る業務を外部に委託する場合には、個人情報の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置を講ずる。また、契約書に、次に掲げる事項を明記するとともに、委託先における責任者等の管理体制、個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認する。
　(1) 個人情報に関する秘密保持等の義務
　(2) 再委託の制限又は条件に関する事項
　(3) 個人情報の複製等の制限に関する事項
　(4) 個人情報の漏えい等の事案の発生時における対応に関する事項
　(5) 委託終了時における個人情報の消去及び媒体の返却に関する事項
　(6) 違反した場合における契約解除の措置その他必要な事項

1　保有個人情報の漏えい等安全確保の上で問題となる事案が発生した場合に、その事実を知った職員は、速やかに当該保有個人情報を管理する個人情報保護管理者に通報する。
2　個人情報保護管理者は、被害の拡大防止又は復旧等のために必要な措置を講ずる。
3　個人情報保護管理者は、事案の発生した経緯、被害状況等を調査し、総括個人情報保護管理者に報告する。ただし、特に重大と認める事案が発生した場合には、直ちに総括個人情報保護管理者に当該事案の内容等について報告する。
4　総括個人情報保護管理者は、第3項の規定に基づく報告を受けた場合には、事案の内容等に応じて、当該事案の内容、経緯、被害状況等を館長に速やかに報告する。
5　総括個人情報保護管理者及び個人情報保護管理者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずる。

6　事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る本人への対応等の措置を講ずる。

1　個人情報監査責任者は、保有個人情報の管理の状況について、定期に又は随時に監査（外部監査を含む。）を行い、その結果を総括個人情報保護管理者に報告する。

2　個人情報保護管理者は、自ら管理責任を有する保有個人情報の記録媒体、処理経路、保管方法等について、定期に又は随時に点検を行い、必要があると認めるときは、その結果を総括個人情報保護管理者に報告する。

3　総括個人情報保護管理者は、保有個人情報の適切な管理のための措置について、監査又は点検の結果等を踏まえ、実効性等の観点から評価し、必要があると認めるときは、その見直し等の措置を講ずる。

1　館長は、保有している個人情報ファイルについて、次項に掲げる事項を記録した帳簿（以下「個人情報ファイル簿」という。）を作成し、公表する。ただし、次に掲げる個人情報ファイルについては適用しない。
　(1) 館の職員又は職員であった者に係る個人情報ファイル（館の職員採用試験に関する個人情報ファイルを含む。）
　(2) 国会に対する奉仕に係る個人情報ファイル
　(3) 図書館資料に係る書誌データファイル（人名典拠ファイルを除く。）
　(4) 専ら試験的な電子計算機処理の用に供するための個人情報ファイル
　(5) 個人情報ファイル簿に記録する個人情報ファイルを作成するための作業用ファイル又は当該個人情報ファイルから派生する二次的ファイルであって、利用目的、記録項目及び記録範囲が当該個人ファイルの事項の範囲内であるもの
　(6) 1年以内に消去することとなる記録情報のみを記録する個人情報ファイル
　(7) 資料その他の物品若しくは金銭の送付又は業務上必要な連絡のために必要な事項のみを記録した個人情報ファイル
　(8) 職員が学術研究の用に供するためその発意に基づき作成し、又は取得する個人情報ファイルであって、記録情報を専ら当該学術研究の目的のために利用するもの
　(9) 本人の数が1,000名に満たない個人情報ファイル

2　個人情報ファイル簿には次に掲げる事項を記録する。
　(1) 個人情報ファイルの名称
　(2) 取り扱う部局（関西館及び国際子ども図書館を含む。）及び課の名称
　(3) 個人情報ファイルの利用目的
　(4) 記録項目及び記録範囲
　(5) 個人情報ファイルに記録される個人情報の収集方法
　(6) 個人情報ファイルに記録される個人情報を館以外の者に経常的に提供する場合には、その提供先
　(7) その他特に必要とする事項
3　第1項の規定にかかわらず、館長は、前項に掲げる事項を個人情報ファイル簿に記載し、又は個人情報ファイルを個人情報ファイル簿に掲載することにより、利用目的に係る事務の性質上、当該事務の適正な遂行に著しい支障を及ぼすおそれがあると認めるときは、その事項を記載せず、又はその個人情報ファイルを個人情報ファイル簿に掲載しないことができる。

1　保有個人情報に記録される本人が自己を本人とする保有個人情報の開示申請（本人が未成年者又は成年被後見人である場合にあっては、その法定代理人が本人に代わって開示申請をする場合を含む。以下「開示申請」という。）をする場合は、館長は、次に掲げる事項を記載した書面の提出を受ける。ただし、別段の定めがあるときは、この限りでない。
　(1) 開示申請をする者の氏名及び住所又は居所
　(2) 開示申請に係る保有個人情報が記録されている個人情報ファイルの名称その他の開示申請に係る保有個人情報を特定するに足りる事項
2　前項の場合において、館長は、開示申請をする者から開示申請に係る保有個人情報の本人であること（法定代理人が開示申請をする場合にあっては、開示申請に係る保有個人情報の本人の法定代理人であること）を示す書類の提示又は提出を受ける。

3　館長は、開示申請があったときは、開示申請に係る保有個人情報に行政機関の保有する個人情報の保護に関する法律（平成15年法律第58号）第14条各号に定める情報に相当する情報（以下「不開示情報」という。）のいずれかが含まれている場合を除き、開示申請をする者に対し、当該保有個人情報を開示する。

4　館長は、開示申請に係る保有個人情報に不開示情報が含まれている場合において、不開示情報に該当する部分を容易に区分して除くことができるときは、開示を申請する者に対し、当該部分を除いた部分につき開示する。

5　館長は、開示申請に係る保有個人情報の全部又は一部を開示するときは、開示申請をした者に対し、遅滞なく、その旨を書面により通知する。開示申請に係る保有個人情報の全部を開示しないとき（当該個人情報を保有していないときを含む。）も同様とする。

6　保有個人情報の開示は、当該保有個人情報が、文書又は図画に記録されているときは閲覧又は写しの交付により、電磁的記録に記録されているときは館が定める方法により行う。ただし、閲覧の方法による保有個人情報の開示にあっては、館長は、当該保有個人情報が記録されている文書又は図画の保存に支障を生ずるおそれがあると認めるとき、その他正当な理由があるときは、その写しにより、これを行うことができる。

1　保有個人情報に記録される本人が、開示を受けた保有個人情報の内容が事実でないと思料し、訂正申請（追加又は削除に係る申請を含む。以下同じ。）（本人が未成年者又は成年被後見人である場合にあっては、その法定代理人が本人に代わって行う訂正申請を含む。以下同じ。）をする場合は、館長は、次に掲げる事項を記載した書面の提出を受ける。ただし、別段の定めがあるときは、この限りでない。
　(1) 訂正申請をする者の氏名及び住所又は居所
　(2) 訂正申請に係る保有個人情報の開示を受けた日その他当該保有個人情報を特定するに足りる事項
　(3) 訂正申請の趣旨及び理由
2　前項の場合において、館長は、訂正申請をする者から、訂正申請に係る保有個人情報の本人であること（法定代理人が訂正申請をする場合にあっては、訂正申請に係る保有個人情報の本人の法定代理人であること）を示す書類の提示又は提出を受ける。

3　館長は、訂正申請があった場合において、当該訂正申請に理由があると認めるときは、当該訂正申請に係る保有個人情報の利用目的の達成に必要な範囲内で、当該保有個人情報の訂正を行う。

4　館長は、訂正申請に係る保有個人情報の訂正をするときは、訂正申請をした者に対し、遅滞なく、その旨を書面により通知する。訂正しないときも同様とする。

5　館長は、保有個人情報の訂正を行った場合において、必要があると認めるときは、当該保有個人情報の提供先に対し、遅滞なく、その旨を書面により通知するものとする。

1　保有個人情報に記録される本人が、自己を本人とする保有個人情報について、館により適法に取得されたものでないと思料し又は第3第2項の規定に違反して保有され若しくは第3第9項及び第10項の規定に違反して利用されていると思料して当該保有個人情報の利用の停止若しくは消去を、又は第3第9項及び第10項の規定に違反して提供されていると思料して提供の停止を申請する場合（本人が未成年者又は成年被後見人である場合にあっては、その法定代理人が本人に代わって利用の停止、消去又は提供の停止を申請する場合を含む。）は、館長は、次に掲げる事項を記載した書面の提出を受ける。ただし、別段の定めがあるときは、この限りでない。
　(1) この項の規定に基づく利用の停止、消去又は提供の停止（以下「利用停止等」という。）を申請する者の氏名及び住所又は居所
　(2) 利用停止等の申請に係る保有個人情報の開示を受けた日その他当該保有個人情報を特定するに足りる事項
　(3) 利用停止等の申請の趣旨及び理由
2　前項の場合において、館長は、利用停止等の申請をする者から、利用停止等の申請に係る保有個人情報の本人であること（法定代理人が利用停止等の申請をする場合にあっては、利用停止等の申請に係る保有個人情報の本人の法定代理人であること）を示す書類の提示又は提出を受ける。

3　館長は、利用停止等の申請があった場合において、当該利用停止等の申請に理由があると認めるときは、館における個人情報の適正な取扱いを確保するために必要な限度で、当該利用停止等の申請に係る保有個人情報の利用停止等を行う。ただし、当該保有個人情報の利用停止等を行うことにより、当該保有個人情報の利用目的に係る事務の性質上、当該事務の適正な遂行に著しい支障を及ぼすおそれがあると認められるときは、この限りでない。

4　館長は、利用停止等の申請に係る保有個人情報の利用停止等を行うときは、利用停止等を申請した者に対し、遅滞なく、その旨を書面により通知する。利用停止等を行わないときも同様とする。