個人情報保護規程
Personal
Information Protection Regulation
< 第1版 >
版数
|
発行年月日
|
改訂内容
|
1
|
2023年3月31日
|
制定
|
目次
第1章 総則
第1条 目的
第2条 適用範囲
第3条 定義
第2章 個人情報の取得
第4条 適正な取得
第5条 取得の手続き
第3章 個人情報の利用
第6条 利用目的の特定
第7条 利用目的による制限
第8条 利用目的の通知等
第9条 個人データ内容の正確性の確保
第10条 個人データの廃棄または消去
第11条 目的外利用の場合の手続
第12条 共同利用
第13条 個人データの取扱の第三者に対する委託
第4章 第三者提供の制限
第14条 第三者提供の制限
第15条 外国にある第三者への提供の制限
第16条 第三者提供に係る記録の作成等
第17条 第三者提供を受ける際の確認等
第5章 保有個人データの開示・訂正・利用停止等の請求に対する対応
第18条 保有個人データに関する事項の公表等
第19条 保有個人データ・第三者提供記録の開示
第20条 保有個人データの訂正等
第21条 保有個人データの利用停止等
第22条 手数料
第23条 苦情への対応
第6章 仮名加工情報・匿名加工情報に関する事項
第24条 仮名加工情報の利用
第25条 匿名加工情報の利用
第26条 個人関連情報に関する事項
第7章 組織および体制
第27条 総務部・個人情報保護責任者・個人情報保護管理者・個人情報取扱担当者
第28条 個人情報保護責任者の責務
第29条 個人情報保護管理者の責務
第30条 個人情報取扱担当者の責務
第31条 個人情報保護窓口の設置等
第8章 情報漏えい事案等への対応
第32条 個人情報の安全管理、適法・適正な取扱い義務
第33条 個人情報漏えい等の報告義務
第34条 被害の拡大の防止のための措置等
第35条 対応すべき事項
第36条 コンプライアンス責任者(社長)に対する報告
第37条 個人情報保護委員会への報告
第38条 監査
第1章 総則
第1条 (目的)
1.本規程は、当社が業務上取得し、保有、利用する個人情報につき、個人情報の保護に関する法律および当社の個人情報保護方針に基づく適正な保護を実現することを目的とする。
2.個人情報保護方針については、ISO27001文書管理:標準「個人情報保護方針(privacy policy)」にて従業員に周知する。
第2条 (適用範囲)
1.本規程は、当社の従業者(第3条第2号にて定義)に対して適用する。
2.個人情報のうち、特定個人情報については、特定個人情報保護規程を本規程に
優先して適用する。
第3条(定義)
本規程における用語の定義は、次の各号に定めるところによる。
(1)「法」とは、「個人情報の保護に関する法律」をいう。
(2)「従業者」とは、当社の組織内において業務に従事する全ての者を意味し、従業員のほか、取締役、監査役、執行役員、派遣社員等を含む。
(3)「個人情報」とは、生存する個人に関する情報であって、次のイ、ロのいずれかに該当するものをいう。
イ.当該情報に含まれる氏名、生年月日その他の記述等(書面、図面もしくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、もしくは記録され、または音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
ロ.個人識別符号が含まれるもの
(4)「個人識別符号」とは、次のイ、ロのいずれかに該当する文字、番号、記号その他の符号のうち、法施行令第1条で定めるものをいう。
イ.特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
ロ.個人に提供される役務の利用もしくは個人に販売される商品の購入に関し割り当てられ、または個人に発行されるカードその他の書類に記載され、もしくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者もしくは購入者または発行される者ごとに異なるものとなるように割り当てられ、または記載され、もしくは記録されることにより、特定の利用者もしくは購入者または発行を受ける者を識別することができるもの
(5)「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法施行令第2条で定める記述等が含まれる個人情報をいう。
(6)「個人情報データベース等」とは、個人情報を含む情報の集合物であって次に掲げるものをいう(利用方法からみて個人の権利利益を害するおそれが少ないものとして法施行令第3条第1項で定めるものを除く。)。
イ.特定の個人情報を電子計算機を用いて検索することができるように体系的に構成するもの
ロ.イに掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして法施行令第3条第2項で定めるもの
(7)「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
イ.国の機関
ロ.地方公共団体
ハ.独立行政法人等
ニ.地方独立行政法人等
(8)「個人データ」とは、個人情報のうち、個人情報データベース等を構成するものをいう。
(9)「保有個人データ」とは、当社が、開示、内容の訂正、追加または削除、利用の停止、消去および
第三者への提供の停止を行うことができる権限を有する個人データであって、その存否が明らかになることにより、@本人または第三者の生命、身体または財産に危害がおよぶおそれがあるもの、A違法もしくは不当な行為を助長し、または誘発する恐れがあるもの、B国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれまたは他国もしくは国際機関との交渉上不利益を被るおそれがあるもの、C犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの以外をいう。
(10)「本人」とは、個人情報によって識別される特定の個人をいう
(11)「仮名加工情報」とは、次に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定個人を識別できない状態に加工した個人に関する情報をいう。
イ.第3号に該当する個人情報については当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
ロ.第4号に該当する個人情報については当該個人情報に含まれる個人識別符号の全部を削 除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
(12)「匿名加工情報」とは、次のイ、ロに掲げる個人情報の区分に応じて当該イ、ロに定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
イ.第3号に該当する個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
ロ.第4号に該当する個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
(13)「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
(14)「個人情報保護責任者」とは、当社の個人情報の管理に関する責任を負う者をいう。
(15)「個人情報保護管理者」とは、各部、課、室の個人情報の管理に関する責任を負う者をいう。
(16)「個人情報取扱担当者」とは、総務部内において、当社の個人情報を取り扱う事務に従事する者をいう。
(17)「個人情報監査責任者」とは、当社の個人情報の取扱いならびに法令および本規程の遵守状況を監査し、その改善を促す責任を負う者をいう。
第2章 個人情報の取得
第4条(適正な取得)
1.従業者は、偽りその他不正な手段により個人情報を取得しない。
2.従業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮 個人情報を取得しない。
(1)法令に基づく場合
(2)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(5)当該要配慮個人情報が、本人、国の機関、地方公共団体、法第57条第1項各号に掲げる者、その他個人情報保護委員会規則で定める者により公開されている場合
(6)本人を目視し、または撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
(7)法第27条第5項各号において、個人データである要配慮個人情報の提供を受けるとき
第5条(取得の手続き)
従業者は、業務において新たに個人情報を取得する場合は、あらかじめ、個人情報保護責任者に利用目的を届け出て、個人情報取得届出書を提出し、承認を得る。
第3章 個人情報の利用
第6条(利用目的の特定)
1.従業者は、個人情報を取り扱うに当たっては、業務を遂行するため必要な場合に限り、その利用の目的(以下「利用目的」という。)をできる限り特定する。
2.従業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行わない。
第7条(利用目的による制限)
1.従業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱わない。
2.従業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わない。
3.前二項の規定は、次に掲げる場合については、適用しない。
(1)法令に基づく場合
(2)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
第8条(利用目的の通知等)
1.従業者は、個人情報を取得した場合は、あらかじめその利用目的を当社のホームページで一般に公表している場合を除き、速やかに、その利用目的を本人に通知し、または当社が公表する。
2.前項の規定にかかわらず、従業者は、本人との間で契約を締結することに伴って契約書その他の文書に記載された当該本人の個人情報を取得する場合その他本人から直接文書に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示する。ただし、人の生命、身体または財産の保護のために緊急に必要がある場合は、この限りでない。
3.従業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、または当社が公表する。
4.前三項の規定は、次に掲げる場合については、適用しない。
(1)利用目的を本人に通知し、または公表することにより本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)利用目的を本人に通知し、または公表することにより当社の権利又は正当な利益を害するおそれがある場合
(3)国の機関または地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、または公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(4)取得の状況からみて利用目的が明らかであると認められる場合
第9条(データ内容の正確性の確保)
従業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つ。
第10条(個人データの廃棄または消去)
従業者は、個人データを利用する必要がなくなったときは、遅滞なく溶解処理等の方法で廃棄するか、データが決して復元されることのない方法で
消去する。
第11条(目的外利用の場合の手続)
従業者は、利用目的の範囲を超えて個人情報を利用するために本人の同意を求める場合は、個人情報目的外利用届出書を提出し、個人情報保護責任者の承認を得る。
第12条(共同利用)
従業者は、業務上の必要があって、個人データを第三者との間で共同利用する場合は、当該共同利用に関して個人情報の共同利用に関する法第27条5項3号の規定が遵守されているかを確認したうえ、個人情報共同利用届出書を提出し、個人情報保護責任者の承認を得る。
第13条(個人データの取扱いの第三者に対する委託)
1.従業者は、業務上の必要性があって、個人データの取扱いを第三者に委託する場合は、個人情報外部委託届出書を提出し、個人情報保護責任者の承認を得る。
2. 従業者は、個人データの取扱いの全部または一部を委託する場合は、取扱いを委託した個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行う。
3. 従業者は、委託を受けたものに対する必要かつ適切な監督を履行するため、委託を受けたものに対し、安全管理措置チェックシートやそれに代わるものを提出させ、確認を行う。
第4章 第三者提供の制限
第14条(第三者提供の制限)
1.
従業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供しない。
また、従業者は、本人の同意を得て、個人データを第三者に提供する場合は、個人情報第三者提供届出書を提出し、個人情報保護責任者の承認を得る。
(1)法令に基づく場合
(2)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
2.次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする
(1)利用目的の範囲内において個人データの取扱いの全部または一部を委託する場合
(2)合併その他の事由による事業の承継に伴って個人データが提供される
(3)個人 データを特定の者との間で共同利用する場合であって、その旨、共同利用される個人データの項目、共同利用する者の範囲、利用する者の利用目的、当該個人データの管理責任を有する者の氏名等について、あらかじめ本人に通知し、または本
人が容易に知りうる状態においているとき
3. 当社は、第三者に提供される個人データについて、本人の求めに応じて当該本人 が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、本条第1項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報または偽りその他不正の手段により個人情報を取得されたものもしくは他の個人情報取扱事業者から本項の規定により提供されたもの(その全部または一部を複製し、または加工したものを含む。)である場合は、この限りでない。
(1)第三者への提供を行う当社名称及び住所並びに代表者の氏名
(2)第三者への提供を利用目的とすること
(3)第三者に提供される個人データの項目
(4)第三者に提供される個人データの取得の方法
(5)第三者への提供の方法
(6)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
(7)本人の求めを受け付ける方法
(8)その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
4.当社は、前項第1 号、第 3 号から第 5 号または第 7 号
から第8号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出る。
第15条(外国にある第三者への提供の制限)
1.前条にかかわらず、従業者は、外国(本邦の域外にある国または地域をいう。以下同じ。)( EU および英国を除く。)にある第三者(ただし、適切かつ合理的な方法により法第 4 章第
2 節の規定の趣旨に沿った措置を講じている者は除く。)に個人データを提供する場合は、前条第1項各号に該当する場合を除き、あらかじめ当該外国にある第三者への提供を認める旨の本人の同意を得る。
2. 従業者は、本人の同意を得ようとする場合には、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
3.従業者は、個人データを外国にある第三者に提供した当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
第16条(第三者提供に係る記録の作成等)
1.当社は、個人データを第三者に提供したときは本人から同意を得ている旨、当該個人データを提供した年月日、当該第三者の氏名、名称および住所、法人の場合は代表者の氏名、当該個人データによって識別される本人の氏名、当該個人データの項目に関する記録を作成する。
2.当社は、前項の記録を、当該記録を作成した日から3年間保存する。
第17条(第三者提供を受ける際の確認等)
1.当社は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行う。
ただし、当該個人データの提供が第13条第1項各号に該当する場合は、この限りでない。
(1)当該第三者の氏名または名称および住所ならびに法人にあっては、その代表者(法人ではない団体で代表者または管理人の定めのあるものにあっては、その代表者または管理人)の氏名
(2)当該第三者による当該個人データの取得の経緯
2.前項の確認を行ったときは、従業者は、個人情報保護委員会規則により、当該個人データの提供を受けた年月日、当該確認に係る事項その他の同規則で定める事項に関する記録を作成する。
3.当社は、前項の確認の記録を、当該記録を作成した日から3年間保存する。
第5章 保有個人データの開示・訂正・利用停止等の請求に対する対応
第18条(保有個人データに関する事項の公表等)
1.当社は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置く。
(1)当社の名称
(2)全ての保有個人データの利用目的(第8条第4項第1号から第3号までに該当する場合を除く。)
(3)次項、次条第1項、第20条第1項、第21条第1項または同条第2項の規定による請求に応じる手続(第22条に規定する手数料の額を含む。)
(4)当社が行う保有個人データの取扱いに関する苦情の申出先
2.当社は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知する。ただし、次の各号のいずれかに該当する場合は、この限りでない。
(1)前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
(2)第8条第4項第1号から第3号までに該当する場合
3. 当社は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する。
第19条(保有個人データ・第三者提供記録の開示)
1.当社は、本人から、当該本人が識別される保有個人データまたは第三者提供記録の開示の請求を受けたときは、本人に対し、遅滞なく、文書の交付または電磁的記録の提供のうち本人の選択する方法(開示の請求を行なった者が同意した方法があるときは、当該方法)により当該保有個人データを開示する。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部または一部を開示しないことができる。
(1)本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
2.当社は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたとき、または当該個人保有データが存在しないときは、本人に対し、遅滞なく、その旨を通知する。
3.他の法令の規定により、本人に対し第1項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は適用しない。
第20条(保有個人データの訂正等)
1.当社は、当該本人が識別される保有個人データの内容が事実でないことを理由に当該本人から当該保有個人データの内容の訂正、追加または削除(以下「訂正等」という。)の請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行う。
2.当社は、前項の請求に係る保有個人データの内容の全部または一部について訂正等を行ったとき、または訂正等を行わない旨を決定したときは、当該本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知する。
第21条(保有個人データの利用停止等)
1.当社は、本人から、当該本人が識別される保有個人データが、@第 7 条 第 1 項 に違反して 取り扱われているとき 、 A第 4 条 に違反して 取得されたものであるとき、B違法または不当な行為を助長し誘発する可能性のある方法で利用したとき、C事業者が利用する必要がなくなったとき、D漏えい、滅失、毀損その他の個人データの安全の確保に関し本人の権利利益を害する恐れが大きい事態が発生したとき、E本人の権利または正当な利益が害されるおそれがあるときであることを理由に、当該保有個人データの利用の停止または消去(以下、「利用停止等」という。)の請求を受けた場合であって、当該請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該当該保有個人データの利用停止等止等を行う。ただし、利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、当該本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2.当社は、本人から、当該本人が識別される保有個人データが第14
条第 1 項または第 15 条に違反して第三者に提供されている旨の理由によって、当該保有個人データの第三者への提供の停止の請求を受けた場合にあって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止する。ただし、当該保有
個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3.当社は、第1項の規定に基づき求められた保有個人データの全部もしくは一部について利用停止等を行ったときもしくは利用停止等を行わない旨の決定をしたとき、または前項の規定に基づき求められた保有個人データの全部もしくは一部について第三者への提供を停止したときもしくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する。
第22条(手数料)
当社は、本人から第18条第2項に基づく利用目的の通知を求められたときまたは、第19条第1項に基づく開示の請求を受けたときは、手数料を徴収する場合がある。
第23条(苦情への対応)
1. 当社は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努める。
2. 個人情報取扱担当者は、本人から直接または次項の規定に基づいて、個人情報の取扱いに関する苦情を受けた場合は、その旨を個人情報保護責任者に報告し、当社内の関係当事者と協力のうえ、適切かつ迅速に対応する。
3.従業者は、本人から個人情報の取扱いに関する苦情を受けた場合は、その旨を、所属部門の個人情報保護管理者を通じ、個人情報取扱担当者に報告する。
第6章 仮名加工情報・匿名加工情報の利用および個人関連情報に関する事項
第24条(仮名加工情報の利用)
1.当社は、仮名加工情報を作成するときは、他の情報と照合しない限り特定個人を識別できない状態にするために必要なものとして@個人情報に含まれる特定の個人を識別することができる記述等の全部または一部を削除すること、A個人情報に含まれる個人識別符号の全部を削除すること、B個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等を削除することにより、当該個人情報を加工する。
2.当社は、仮名加工情報を作成するときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定に
より行った加工の方法に関する情報(以下「削除情報等」という)の漏えいを防止するために必要な安全管理のための措置を講ずる。
3.当社は、仮名加工情報を作成するときは、その利用目的を公表し、法令に基づく場合を除き、その公表された利用目的の範囲で利用する。
4.当社は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、これらを遅滞なく消去するよう努める。
5.当社は、仮名加工情報である個人データを、法令に基づく場合を除き、第三者に提供しない。
6.当社は、仮名加工情報を取り扱うにあたり、作成に用いた個人情報を本人識別するために仮名加工情報を他の情報と照合しない。
7.当社は、仮名加工情報を取り扱うにあたり、電話、郵便もしくは信書便送付、電報送付、電子メール等の送信または住居訪問のために仮名加工情報に含まれる連絡先その他の情報を利用しない。
8.当社は、仮名加工情報を作成・利用するときは、当該仮名加工情報の安全管理のために必要かつ適切な措置、当該仮名加工情報の作成その他の取扱いに関する苦情の処理その他の当該仮名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表する。
9.従業者は、仮名加工情報を作成・利用・第三者に提供等する場合は、個人情報保護責任者に仮名加工情報届出書を提出し、承認を得る。
第25条(匿名加工情報の利用)
1.当社は、匿名加工情報(法第2 条第 6 項に定める名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人情報を識別することおよびその作成に用いる個人情報を復元することができないようにするために必要なものとして、@個人情報に含まれる特定の個人を識別することができる記述等の全部または一部を削除すること、A個人情報に含まれる個人識別符号の全部を削除すること、B個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること、C特異な記述等を削除すること、D前述の@〜Cに掲げる措置のほか、その他適切な措置を講ずることにより、当該個人情報を加工する。
2.当社は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号ならびに前項の規定により行った加工の方法に関する情報の漏えいを防止するために@加工方法等情報を取り扱う者の権限および責任を明確に定めること、A加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること、B加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずることにより必要な安全管理のための措置を講ずる。
3.当社は、匿名加工情報を作成したときは、遅滞なく、インターネットの利用その他の適切な方法により当該匿名加工情報に含まれる個人に関する情報の項目を公表する。
4.当社は、自ら作成し、または他者から提供された匿名加工情報を第三者に提供するときは、インターネットの利用その他の適切な方法により第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、電子メールを送信する方法または書面を交付する方法その他の適切な方法により当該提供に係る情報が匿名加工情報である旨を明示する。
5.当社は、自ら作成し、または他者から提供された匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合しない。また、他者から提供された当該匿名加工情報を取り扱うに当たっては、当該個人情報から削除された記述等もしくは個人識別符号もしくは第1項の規定により行われた加工の方法に関する情報を取得し、当該匿名加工情報を他の情報と照合しない。
6.当社は、自ら作成し、または他者から提供された匿名加工情報の安全管理のために必要かつ措置、当該匿名加工情報の取扱いに関する苦情の処理その他の当該匿名加工情報の取扱いを確保するために必要な措置をそれぞれ自ら講じ、かつ、当該措置の内容を公表するように努める。
7.従業者は、匿名加工情報を作成・利用・第三者に提供等する場合は、個人情報保護責任者に匿名加工情報届出書を提出し、承認を得る。
第26条((個人関連情報に関する事項)
1.当社は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。)を個人データとして取得することが想定されるときは、次に掲げる事項について、あらかじめ確認することをしないで、当該個人関連情報を当該第三者に提供しない。
(1)当該第三者が当社から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
(2)外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
2.当社は、第一項の規定による確認を行い、当該個人関連情報を第三者に提供したときは、当該個人情報関連情報
を提供した年月日、当該第三者の氏名、名称および住所、法人の場合は代表者の氏名、当該個人関連情報によって識別される本人の氏名、当該個人関連情報の項目に関する記録を作成する。
3.当社は、前項の記録を、当該記録を作成した日から3年間保存する。
4.従業者は、個人関連情報を第三者に提供等する場合は、個人情報保護責任者に個人関連情報届出書を提出し、承認を得る
。
第7章 組織および体制
第27条(総務部・個人情報保護責任者・個人情報保護管理者・個人情報取扱担当者)
1.総務部を当社における個人情報の取扱いに関する責任部署とする。
2.当社に、個人情報保護責任者1人を置く。
3.個人情報保護責任者は、総務部の担当役員がその任にあたる。
4.個人情報保護管理者は、各部門の部長、課長または室長がその任にあたる。
5.従業者の健康情報等に関する個人情報保護管理者は、総務部に定められた責任者がその任にあたる。
6. 個人情報取扱担当者は、総務部において任命された者がその任にあたる。
第28条(個人情報保護責任者の責務)
1.個人情報保護責任者は、当社の個人情報に関する業務を統括する。
2.個人情報保護責任者は、次の各業務を所掌し、個人情報取扱担当者に委任し実行する。
(1)本規程の内容の従業者に対する周知徹底(個人データを第三者に委託する場合の当該委託先の選定基準の承認および周知徹底を含む。)
(2)個人データの安全管理に関する教育・研修の企画・実施
(3)個人データの取扱状況の把握
(4)委託先における個人データの取扱状況等の監督
(5)当社における個人情報の安全管理に関すること
(6)その他本規程の他の条項に定める事項
第29条(個人情報保護管理者の責務)
1.個人情報保護管理者は、本規程の内容を所属部、課、室の従業者に周知徹底する。
2.個人情報保護管理者は、個人情報の漏えい等もしくは所属部門の従業者が本規程に違反している事実または、それらの兆候を把握した場合は、速やかに事実関係を整理し、個人情報取扱担当者を経由して、個人情報保護責任者に報告する。
3.個人情報保護管理者は、所属部門における個人情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざんおよび漏えいなど)を防止するため、所属部門の従業者を指導・監督し、その他必要かつ適切な安全管理対策を講じる。
第30条(個人情報取扱担当者の責務)
1.個人情報取扱担当者は、個人データの取得(第5条)、目的外利用(第10条)、共同利用(第11条)、外部委託(第12条第1項)および第三者提供(第13条第1項)の各届出書の一次窓口として、その取り扱い事務を行う。
2.個人情報取扱担当者は、当社内の各部門において個人情報の漏えい等もしくは本規程に違反している事実または、それらの兆候を把握した場合は、速やかに当該部門の従業者および個人情報保護管理者から報告を受け、個人情報保護責任者に報告する。
3.個人情報取扱担当者は、前2項のほか、本規程の他の条項に定める責務を負う。
4.個人情報取扱担当者は、本規程に定める責務を行うために必要がある場合は、適宜、関連部署の協力を要請し、または、総務部内において補助者を使用することができる。
第31条(個人情報保護窓口の設置等)
1.当社に対する保有個人データの開示請求、第三者提供記録請求、訂正請求および利用停止請求ならびに相談等に対応する窓口として、総務部内に、個人情報保護相談窓口を置き、個人情報取扱担当者が対応する。
2.個人情報取扱担当者は、当社の従業者からの、個人情報の取扱い等に係る相談等
の受付および事務を行う。
第8章 情報漏えい事案等への対応
第32条(個人情報の安全管理、適法・適正な取扱い義務)
従業者は、個人情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざんおよび漏えいなど)を防止するため、個人情報を安全に管理し、適法・適正に取り扱う。
第33条(個人情報漏えい等の報告義務)
1.従業者は、個人情報の漏えい等もしくは他の従業者が本規程に違反している事実または、それらの兆候を認識した場合には、速やかに、個人情報保護管理者を経由して、個人情報取扱担当者にその旨報告する。
2.個人情報漏えいに関する事故発生時には、ISO27001文書管理:標準「情報セキュリティインシデント対応要領」に定めるインシデント報告書に記載し報告する。
第34条(被害の拡大の防止のための措置等)
1.個人情報取扱担当者は、前条の報告を受けた場合の他、当社の各部門において個人情報の漏えい等もしくは本規程に違反している事実または、それらの兆候を把握した場合は、関係部署と連携して、速やかに、漏えい等の被害の拡大の防止のための措置等を講ずる。
2.個人情報取扱担当者は、当社のシステムに対する不正アクセスや当社のシステムが不正プログラムに感染したことが疑われる場合などは、情報セキュリティ管理規程および細則に準じて、適切に対応する。
第35条(対応すべき事項)
総務部は、個人情報の漏えい等の事案が発生した場合は、関係部署と連携して、速やかに、主として以下の各号について、検討し、必要な対応をする。
(1)被害の拡大の防止
(2)事実関係の調査、原因の究明
(3)影響範囲の特定
(4)影響を受ける可能性のある本人への連絡等
(5)警察、弁護士等に対する相談等
(6)個人情報保護委員会への報告
(7)再発防止策の検討および実施
(8)事実関係および再発防止策等の公表
第36条(コンプライアンス責任者(社長)に対する報告)
個人情報保護責任者は、個人情報の漏えい等の事案が発生した場合、速やかに、コンプライアンス責任者(社長)に対して報告を行う。
第37条(個人情報保護委員会への報告)
個人情報保護責任者は、個人情報の漏えい等の事案が発生した場合で、必要がある旨判断したときは、個人情報保護委員会に対して報告を行う。
第38条(監査)
1.個人情報監査責任者は、管理室の長がその任にあたる。
2.個人情報監査責任者は、管理室を指揮し、当社の個人情報の適正な取扱いその他法令および本規程の遵守状況について適宜監査を行う。
3.前項の監査は、個人情報社内監査規程に基づき実施される。
4.個人情報監査責任者は、監査の結果、個人情報の管理につき、不正または不適切な行為があったことが判明した場合には、個人情報保護責任者および個人情報保護管理者に対して改善指導を行う。
|