個人情報保護規程~テンプレート~

IPO・バリュエーション

ここでは個人情報保護規程のテンプレートを提示します。
個人情報保護方針(プライバシーポリシー)をベースに、個人情報保護のルールを定める重要なものです。
会社・事業の状況にあわせて大きくカスタマイズが必要となります。

関連規程はこちら↓です。

スポンサーリンク
スポンサーリンク

第1章 総則

(目的)
第1条
本規程は、当社の事業遂行上取り扱う個人情報を適切に保護するための基本的事項を定めたものである。

(適用範囲)
第2条
本規程は、当社の従業者を人的適用範囲とし、当社が事業の用に供している個人情報(従業者の個人情報を含む)を適用対象とする。又、個人情報を取り扱う業務を外部に委託する場合も本規程の目的とするところに従って、個人情報の適切な保護を図るものとする。

(定 義)
第3条
本規程で掲げる用語の定義は、次のとおりとする。

① 個人情報

個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)をいう。

② 本人

個人情報によって識別される特定の個人をいう。

③ 事業者

事業を営む法人その他団体又は個人をいう。

④ 個人情報保護管理者

代表取締役によって社内の者から指名された者であって、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者をいう。

⑤ 個人情報保護監査責任者

代表取締役によって社内の者から指名された者であって、公平、かつ、客観的な立場にあり、監査の実施及び報告を行う責任及び権限をもつ者をいう。

⑥ 本人の同意

本人が、個人情報の取扱いに関する情報を与えられた上で、自己に関する個人情報の取扱いについて承諾する意思表示をいう。ただし、本人が子供又は事理を弁識する能力を欠く者の場合は、法定代理人などの同意も得ておく。

⑦ 個人情報保護マネジメントシステム

当社が、自らの事業の用に供する個人情報について、その有用性に配慮しつつ、個人の権利利益を保護するための方針、体制、計画、実施、点検及び見直しを含むマネジメントシステムをいう。

⑧ 不適合

本規程の要求を満たしていないことをいう。

⑨ 従業者

当社の組織内にあって直接又は間接に当社の指揮監督を受けて当社の業務に従事している者をいい、雇用関係にある従業員のみならず、役員及び派遣社員なども含まれる。

(個人情報保護方針)
第4条
代表取締役は、個人情報保護の理念を明確にした上で、次の事項を含む個人情報保護方針を定め、これを実施し、かつ、維持する。又、代表取締役は、この方針を文書(電子的方式、磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下、同じ。)化し、従業者に周知させるとともに、一般の人が入手可能な措置を講ずる。

  • 事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下、「目的外利用」という。)を行わないこと及びそのための措置を講じることを含む。)
  • 個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること
  • 個人情報の漏えい、滅失又はき損の防止並びに是正に関すること
  • 苦情及び相談への対応に関すること
  • 個人情報保護マネジメントシステムの継続的改善に関すること
  • 代表取締役の氏名
  • 制定年月日及び最終改訂年月日
  • 問合せ先

2.代表取締役は、前項に基づき定められた個人情報保護方針を、従業者に通知し周知させるとともに、当社ホームページに掲載し、社外からの入手を可能にする。

(規程の改廃)
第5条
本規程の改廃は、個人情報保護管理者が起案し、取締役会の決裁による。

スポンサーリンク

第2章 計画

(個人情報の特定)
第6条
当社が事業の用に供するすべての個人情報を特定する手順を次に定め、維持する。

2.個人情報を取り扱う部門(以下「各部門」という。)は、「個人情報管理台帳」をもって事業の用に供するすべての個人情報、及びその利用目的を特定する。

3.企画・推進担当は、「個人情報管理台帳」をもって特定した個人情報を、その内容や重要性に基づき分類し、「個人情報分類表」に管理レベルを定めるものとする。

4.各部門は、「個人情報分類表」に基づき「個人情報管理台帳」に管理レベルを定める。なお、各分類に該当するか否かが定かでない場合は、企画・推進担当が判断する。

5.取扱う個人情報に変更があった場合や新たな個人情報に関する業務が発生した場合、各部門は、前第2項及び第4項に基づき、個人情報を特定し、速やかに「個人情報管理台帳」の見直しを行う。又、各部門は、毎年1回及び必要に応じて随時、企画・推進担当に報告する。

6.企画・推進担当は、各部門から報告された「個人情報管理台帳」を取りまとめ、前第3項に基づき「個人情報分類表」の見直しを行い、個人情報保護管理者に報告し、承認を得るものとする。

(法令、国が定める指針その他の規範)
第7条
個人情報の取扱いに関する法令、国が定める指針その他の規範については、次に定める手順に基づいて特定し、参照、維持する。

2.当社が特定する個人情報の取扱いに関する法令、国が定める指針その他の規範については、「個人情報に関連する法令、国が定める指針その他の規範一覧」に示すものとし、従業者が参照できるよう当社のイントラネット上で掲示する。

3.企画・推進担当は、個人情報の取扱いに関する法令、国が定める指針その他の規範に関する情報を少なくとも半年に1回以上、内閣府ホームページ及び業界団体ホームページなどから収集し、次の事項のいずれかに該当する場合は、「個人情報に関連する法令、国が定める指針その他の規範一覧」の見直しを行うものとする。

① 当社が特定した個人情報の取扱いに関する法令、国が定める指針その他の規範の改定
② 新たな個人情報の取扱いに関する法令、国が定める指針その他の規範の制定

4.企画・推進担当は、個人情報の取扱いに関する法令、国が定める指針その他の規範の制定・改廃状況に注意し、必要に応じて第46条に基づき、個人情報マネジメントシステムに反映するとともに、社内通達をもって従業者に通知し、周知させる。

(リスクなどの認識、分析及び対策)
第8条
第6条によって特定した個人情報について、目的外利用を行わないため、「個人情報管理台帳」に定めた利用目的の達成に必要な範囲を超えて個人情報を利用しないなどの必要な対策を講じ、かつ、維持する。

2.第6条によって特定した個人情報の取扱いの各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識、分析し、必要な対策を講じる手順を次に定め、かつ、維持する。

① 当社が特定した個人情報に関するリスクについては、各部門が個人情報毎(同様な取扱いの個人情報はグルーピング可)に、個人情報の取得から廃棄に至るまでのライフサイクルに基づきリスクを認識し、分析を行った上で対策を講じ、その対策に関連する規程・エビデンス及び残存リスク(対策を講じたにもかかわらずリスクが残る場合)を「リスク管理一覧表」を持って管理する。又、各部門は、「リスク管理一覧表」に定めたリスク管理番号で「個人情報管理台帳」と関連付けるものとする。

② 各部門は、夫々の業務において新たなリスクを認識した場合には、リスクの分析を行った上で対策を講じ、「リスク管理一覧表」にその対策に関連する規程・エビデンス及び残存リスクを記載する。

③ 各部門は、第6条第5項に基づき「個人情報管理台帳」を見直すに際して、「リスク管理一覧表」の見直しを行い、毎年1回及び必要に応じて随時、企画・推進担当に報告する。

④ 企画・推進担当は、各部門から報告された「リスク管理一覧表」を取りまとめ、個人情報保護管理者に報告し、承認を得るものとする。又、各部門におけるリスク管理について、必要に応じて随時、各部門と協議し対応を指示する。

(資源、役割、責任及び権限)
第9条
代表取締役は、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、改善するために不可欠な資源を用意する。

2.代表取締役は、個人情報保護マネジメントシステムを効果的に実施するために役割、責任及び権限を定め、文書化し、かつ、従業者に周知する。

3.推進組織については、個人情報保護管理者の下に、教育担当、個人情報相談窓口担当、企画・推進担当、運用・管理担当を置く。

代表取締役
├個人情報保護管理者┬教育担当(人事管掌部門、事業部教育管掌部門)
│         ├個人情報相談窓口担当(人事管掌部門)
│         ├企画・推進担当(総務管掌部門)
│         └運用・管理担当(各部門)
└個人情報保護監査責任者

(個人情報保護管理者)
第10条
代表取締役は、個人情報保護マネジメントシステムを理解し実践する能力のある個人情報保護管理者を社内から指名し、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせるものとする。

2.個人情報保護管理者は、代表取締役が指名する役員がその任にあたる。

3.個人情報保護管理者は、個人情報保護マネジメントシステムの見直し及び改善の基礎として、代表取締役に個人情報保護マネジメントシステムの運用状況を第46条に基づいて、報告する。

4.個人情報保護管理者は、個人情報保護マネジメントシステムの実施及び運用のために、補佐する担当者を置くことができる。

(個人情報保護監査責任者)
第11条
代表取締役は、公平、かつ、客観的な立場にある個人情報保護監査責任者を社内から指名し、監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え、業務を行わせるものとする。

2.個人情報保護監査責任者は、代表取締役が指名する役員がその任にあたる。

3.個人情報保護監査責任者は、個人情報保護マネジメントシステムのJIS Q15001:2006への適合状況及びその個人情報保護マネジメントシステムの運用状況を定期的に監査する。

(教育担当)
第12条
教育担当は、人事管掌部門、事業部教育管掌部門の責任者がその任にあたる。

2.教育担当は、各事業年度開始に先立って、次年度の教育計画を策定し、「個人情報保護 教育計画書」をもって個人情報保護管理者及び代表取締役の承認を得るものとする。

3.教育計画は、個人情報保護教育の年間スケジュール及びその内容(教育の名称、開催日時、教育の概要、場所、講師、受講対象者、使用テキストなど)によって構成する。

4.教育担当は、教育計画に基づく従業者に対する教育の実施、並びに各部門の部内教育に対する指導・助言を行うとともに、理解度テストやアンケートなどを実施する。

5.教育担当は、各部門から報告された「教育実施記録」、理解度テスト、アンケートなどを取りまとめ、その結果を「教育受講一覧」に記録し、出欠管理を行う。又、欠席者など教育未受講者については、各部門責任者に対して教育の実施を促し、報告を求めるものとする。

6.教育担当は、理解度テストやアンケートなどの実施によって、従業者の個人情報に対する理解度を把握、分析し、次回の教育や次年度の教育計画に反映させる。又、理解度テスト毎に定めた点数に満たない理解の不十分な従業者については、再度教育を実施する。

7.教育担当は、教育計画の実施状況を、「教育実施記録」をもって個人情報保護管理者に報告する。

8.教育担当は、教育計画やその実施などに関する記録を保管し管理する。

(苦情・相談窓口担当)
第13条
個人情報窓口担当は、人事管掌部門責任者がその任にあたる。

2.苦情・相談の対応は、別に定める「個人情報苦情・相談窓口受付票記入要領(兼苦情・相談対応マニュアル)」に従い、原則として苦情・相談窓口担当が行い、当該個人情報を取り扱う部門長が補佐する。

3.個人情報の苦情・相談事項は、「個人情報苦情・相談窓口受付票」に記録し、個人情報苦情・相談窓口担当が管理する。

4.苦情・相談窓口担当は、苦情・相談内容及び対応について個人情報保護管理者及び代表取締役に報告する。

(企画・推進担当)
第14条
企画・推進担当は、総務管掌部門責任者がその任にあたる。

2.企画・推進担当は、個人情報保護に関する情報を収集し、個人情報保護に関する規程、手引及びマニュアルなどを適宜見直し、改定案を作成し、個人情報保護管理者へ 報告するとともに、個人情報保護に関する規程、手引、及びマニュアルなどの改廃、従業者への通達などの必要な社内手続きを行うものとする。

(運用・管理担当)
第15条
運用・管理担当は、各部門責任者がその任にあたる。

2.各部門責任者は、当該部門の従業者が個人情報保護に関する規程、手引及びマニュアルなどを遵守し、適切に業務が遂行されるように指導、管理する。

3.各部門責任者は、当該部門の従業者に対し、個人情報保護マネジメントシステムの重要性などを理解させるために、年に1回以上の部内教育を実施し、その内容を「教育実施記録」をもって教育担当に報告する。又、欠席者など教育未受講者については、後日教育を実施し、その内容を「教育実施記録」をもって記録し、教育担当に報告する。

(計画書)
第16条
個人情報保護マネジメントシステムを確実に実施するために必要な教育、監査などの計画については、立案し、文書化し、かつ、維持する。

(緊急事態への準備)
第17条
個人情報保護管理者は、緊急事態を特定するための手順、又、それらにどのように対応するかの手順を確立し、実施し、かつ、維持する。

2.個人情報保護管理者は、個人情報が漏えい、滅失又はき損をした場合に想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれを考慮して、その影響を最小限とする手順を確立し、かつ、維持する。又、個人情報の漏えい、滅失又はき損が発生した場合に備え、次の事項を含む対応手順を確立し、かつ、維持する。

① 当該漏えい、滅失又はき損が発生した個人情報の内容を本人に速やかに通知し、又は本人が容易に知り得る状態に置くこと。
② 二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因及び対応策を、遅滞なく公表すること。
③ 事実関係、発生原因及び対応策を関係機関に直ちに報告すること。

3.前第1項及び第2項に掲げる手順については、別に定める「個人情報保護に関する緊急事態対応マニュアル」に基づいて、実施し、かつ、維持する。

スポンサーリンク

第3章 実施及び運用

(運用手順)
第18条
個人情報保護管理者は、個人情報保護マネジメントシステムを確実に実施するために、運用の手順を、本規程、関連規程、手引及びマニュアルなどに定め、明確にする。

(利用目的の特定)
第19条
個人情報を取得するにあたっては、その利用目的をできる限り特定し、その目的の達成に必要な限度においてこれを行うものとする。

2.新規の種類の個人情報を取得する場合は、第22条又は第23条に基づいて、その利用目的を特定する。又、取得した個人情報については、第6条に基づいて、「個人情報管理台帳」をもってその利用目的を特定する。

(適正な取得)
第20条
個人情報の取得は、適法、かつ、公正な手段によって行うものとする。

(特定の機微な個人情報の取得の制限)
第21条
次に示す内容を含む個人情報の取得、利用又は提供を行ってはならない。ただし、これらの取得、利用又は提供について、明示的な本人の同意がある場合及び第24条第1項第1号から第4号のいずれかに該当する場合は、この限りではない。

① 思想、信条又は宗教に関する事項
② 人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
③ 勤労者の団結権、団体交渉その他団体行動の行為に関する事項
④ 集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項
⑤ 保健医療又は性生活に関する事項

2.例外的に機微な個人情報を取得、利用又は提供する場合は、第22条又は第24条に基づいて、個人情報保護管理者の承認を得るものとする。

3.従業者、応募者から健康診断結果などの機微情報を取得する場合は、第22条に基づいて、書面によって本人の同意を得るものとする。

(本人から直接書面によって取得する場合の措置)
第22条
本人から書面(電子的方式、磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下、同じ。)に記載された個人情報を直接に取得する場合には、少なくとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、本人の同意を得るものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合、第23条第1項第1号から第4号のいずれかに該当する場合、及び第24条第1項第1号から第4号のいずれかに該当する場合は、この限りではない。

① 事業者の氏名又は名称
② 個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
③ 利用目的
④ 個人情報を第三者に提供することが予定される場合の事項

イ.第三者に提供する目的
ロ.提供する個人情報の項目
ハ.提供の手段又は方法
ニ.当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
ホ.個人情報の取扱いに関する契約がある場合はその旨

⑤ 個人情報の取扱いの委託を行うことが予定される場合には、その旨
⑥ 第34条から第37条に該当する場合には、その求めに応じる旨及び問合せ窓口
⑦ 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
⑧ 本人が容易に識別できない方法によって個人情報を取得する場合には、その旨

2.人事、労務管理などのうえで従業者から取得する個人情報については、その利用目的などを「従業員の個人情報の取扱いについて」によって従業者に明示し、従業者の同意を得るものとする。

3.採用活動において、応募者から履歴書や職務経歴書などの個人情報を取得する場合は、その利用目的などを「採用応募者の個人情報の取扱いについて」によって応募者に明示し、応募者の同意を得るものとする。

4.本人のパソコンや携帯電話などの端末に表示されるWeb画面や電子メールなどに個人情報を入力させる場合、送信の前に前第1項第1号から第8号の事項を明示しなければならない。又、Web画面に個人情報を入力させる場合は、次に示す事項を明記しなければならない。

① SSLに関する事項
② Cookieの取扱いに関する事項

5.本人から直接書面によって新規の種類の個人情報を取得する場合(前第1項ただし書きを適用する場合を含む。)は、取得する前に「個人情報 直接書面取得申請書」をもって個人情報保護管理者の承認を得るものとし、前題1項ただし書きを適用する場合を除き、前第1項第1号から第8号の事項を書面によって本人に明示し、本人の同意を得るものとする。

(個人情報を本人から直接書面以外の方法によって取得した場合の措置)
第23条
個人情報を前第22条以外の方法によって取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を、本人に通知し、又は公表する。ただし、次に示すいずれかに該当する場合は、この限りではない。

① 利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
いわゆる総会屋などによる不当要求などの被害を防止するため、当該総会屋の個人に関する情報を取得して、企業相互に情報交換を行っている場合で、利用目的を通知又は公表することによって、当該総会屋などの逆恨みによって、第三者たる情報提供者が被害を被るおそれがある場合などをいう。

② 利用目的を本人に通知し、又は公表することによって当該事業者の権利又は正当な利益を害するおそれがある場合
通知又は公表される利用目的の内容によって、新商品などの開発内容、営業ノウハウなどの企業秘密にかかるようなものが明らかになる場合などをいう。

③ 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき
公開手配を行わないで、被疑者に関する個人情報を、警察から提供された場合、利用目的を本人に通知し、又は公表することによって、捜査活動に重大な支障を及ぼすおそれがある場合などをいう。

④ 取得の状況からみて利用目的が明らかであると認められる場合
商品やサービスなどの販売・提供において住所・電話番号などの個人情報を取得し、その利用目的が当該商品やサービスなどの販売・提供だけを確実に行うためという場合や、一般の慣行としての名刺交換の場合などをいう。又、請求書や見積書などに記載された担当者名、捺印などもこれに該当する。

2.個人情報保護管理者は、「個人情報の取扱い」を当社ホームページに掲載し、利用目的を本人に通知し、又は公表する。

3.個人情報の取扱いの全部又は一部を委託された場合、委託を受けた個人情報が適正に取得されたものかどうか、委託者に確認する。委託者が明らかに法令に違反している場合には、委託を受けてはならない。又、個人情報の受取・返却については、「個人情報授受管理票」又は同等以上の内容を記載した書面をもって、次に掲げる事項の内容を記録し、1年以上保管しなければならない。

① 受取、返却取扱い者
② 受け渡し日付
③ 受け渡し物件名称とその数量
④ 返却の有無(返却不要な場合の廃棄方法)
⑤ 返却又は廃棄した場合の日付、担当者

4.本人から直接書面以外の方法によって新規の種類の個人情報を取得する場合(前第1項ただし書きを適用する場合を含む。)は、取得する前に「個人情報 直接書面外取得申請書」をもって個人情報保護管理者の承認を得るものとし、あらかじめその利用目的を公表している場合及び前第1項ただし書きを適用する場合を除き、速やかにその利用目的を、本人に通知し、又は公表する。

(利用に関する措置)
第24条
個人情報を利用する場合は、特定した利用目的の達成に必要な範囲内で行うものとする。特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、少なくとも、第22条第1項第1号から第6号までに示す事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得るものとする。ただし、次に示すいずれかに該当する場合は、この限りではない。

① 法令に基づく場合
刑事訴訟法第218条の令状による捜査に基づき、個人情報を取扱う場合をいう。

② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
急病その他の緊急事態時に、本人について、その血液型や家族の連絡先などを医師や看護師に提供する場合をいう。

③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
不登校生徒の問題行動について、児童相談所、学校、医療行為などの関係機関が連携して対応するために、当該関係機関などの間で当該児童生徒の情報を交換する場合などをいう。

④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
税務署の職員などの任意調査に対し、個人情報を提供する場合などをいう。

2.利用目的の達成に必要な範囲を超えて個人情報を利用する場合(前第1項ただし書きを適用する場合を含む。)は、「個人情報 目的外利用申請書」をもって個人情報保護管理者に申請し承認を得た後、前第1項ただし書きを適用する場合を除き、本人に「個人情報利用承諾のお願い」又は同等以上の内容で通知し、あらかじめ本人の同意を得るものとする。

3.目的外利用に該当するか否かが定かでない場合は、個人情報保護管理者の判断を求めるものとする。

(本人にアクセスする場合の措置)
第25条
個人情報を利用して本人にアクセスする(郵便、電話、又はメールなどで連絡又は接触する)場合には、本人に対して、第22条第1項第1号から第6号までに示す事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得るものとする。ただし、次に示すいずれかに該当する場合は、この限りではない。

① 個人情報の取得時に、既に第22条第1項第1号から第6号までに示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ているとき

② 個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報を、その利用目的の達成に必要な範囲内で取り扱うとき

③ 合併その他の事由による事業の承継に伴って個人情報が提供され、個人情報を提供する事業者が、既に第22条第1項第1号から第6号までに示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき

④ 個人情報が特定の者との間で共同して利用され、共同利用者が、既に第22条第1項第1号から第6号までに示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき

  • 共同して利用すること
  • 共同して利用される個人情報の項目
  • 共同して利用する者の範囲
  • 共同して利用する者の利用目的
  • 共同して利用する個人情報の管理について責任を有する者の氏名又は名称
  • 取得方法

⑤ 第23条第1項第4号に該当するため、利用目的などを本人に明示、通知又は公表することなく取得した個人情報を利用して、本人にアクセスするとき

⑥ 第24条第1項第1号から第4号のいずれかに該当する場合

2.前第1項第4号については、「個人情報の取扱い」を当社ホームページに掲載し、前第1項第4号で示す事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くものとする。

3.個人情報を利用して本人にアクセスする場合(前第1項第2号から第6号を適用する場合を含む。)は、「個人情報 本人アクセス申請書」をもって個人情報保護管理者に申請し承認を得た後、前第1項ただし書きを適用する場合を除き、本人に最初にアクセスする際に「個人情報継続利用承諾のお願い」又は同等以上の内容で通知し、本人の同意を得るものとする。本人の同意を得られた場合に限り、継続して本人にアクセスできる。

(提供に関する措置)
第26条
個人情報を第三者に提供する場合には、あらかじめ本人に対して、取得方法及び第22条第1項第1号から第4号までに示す事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得るものとする。ただし、次に示すいずれかに該当する場合は、この限りではない。

① 第22条又は前第25条の定めによって、既に第22条第1項第1号から第4号までに示す事項又はそれと同等以上の内容の事項を本人に明示又は通知し、本人の同意を得ているとき

② 大量の個人情報を広く一般に提供するために、本人の同意を得ることが困難な場合であって、次に示す事項又はそれと同等以上に内容の事項を、あらかじめ、本人に通知し、又はそれに代わる同等の措置を講じているとき

  • 第三者への提供を利用目的とすること
  • 第三者に提供される個人情報の項目
  • 第三者への提供の手段又は方法
  • 本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること
  • 取得方法

③ 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であって、かつ、法令に基づき又は本人若しくは当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって、以下で示す又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき

  • 第三者への提供を利用目的とすること
  • 第三者に提供される個人情報の項目
  • 第三者への提供の手段又は方法
  • 本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること
  • 取得方法

④ 特定した利用目的の達成に必要な範囲内において、個人情報の取扱いの全部又は一部を委託するとき

⑤ 合併その他の事由による事業の承継に伴って個人情報を提供する場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき

⑥ 個人情報を特定の者との間で共同して利用する場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき

  • 共同して利用すること
  • 共同して利用される個人情報の項目
  • 共同して利用する者の範囲
  • 共同して利用する者の利用目的
  • 共同して利用する個人情報の管理について責任を有する者の氏名又は名称
  • 取得方法

⑦ 第24条第1項第1号から第4号のいずれかに該当する場合

2.前第1項第2号については、「個人情報の取扱い」を当社ホームページに掲載し、前第1項第2号で示す事項を、あらかじめ、本人に通知し、又はそれに代わる同等の措置を講じる。

3.前第1項第3号、第6号については、「個人情報の取扱い」を当社ホームページに掲載し、前第1項第3号、第6号の各号で示す事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態におくものとする。

4.個人情報を利用目的の範囲内で第三者に提供する場合(前第1項第2号から第7号を適用する場合を含む。ただし、第4号を適用する場合は、第30条に基づき、委託するものとする。)は、「個人情報提供申請書」をもって個人情報保護管理者に申請し承認を得た後、前第1項ただし書きを適用する場合を除き、本人に「個人情報提供承諾のお願い」又は同等以上の内容で通知し、あらかじめ本人の同意を得るものとする。

第4章 適正管理

(個人情報の正確性の確保)
第27条
利用目的の達成に必要な範囲内において、個人情報を、正確、かつ、最新の状態で管理するものとする。

2.個人情報を情報システムに入力する場合は、当該業務を取扱う運用・管理担当がその責任者にあたる。運用・管理担当は、入力できる作業者を限定するとともに、業務上の必要性に応じ、入力時の照合・確認などの誤入力チェックを行うものとする。

3.個人情報については、第6条に基づき「個人情報管理台帳」に保存期間を定め、当該期間経過後の個人情報を廃棄する。ただし、法令に基づく保存期間の定めがある場合には、この限りではない。

4.個人情報をバックアップする手順については、情報システム管理規程の定めるところによる。

(安全管理措置)
第28条
個人情報保護管理者は、その取り扱う個人情報のリスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講ずるものとする。

2.安全管理については、情報システム管理規程、施設入退管理規程及びその他の社内規程などの定めるところによる。

(従業者の監督)
第29条
従業者に個人情報を取り扱わせるにあたっては、当該個人情報の安全管理が図られるよう、当該従業者に対し必要、かつ、適切な監督を行うものとする。

2.従業者が、在職中及びその職を退いた後において、その業務に関して知り得た個人情報を第三者に漏えいしないこと及び利用目的以外に使用しないことなどを内容とする「誓約書」を採用時などに締結するものとする。ただし、受入派遣社員など、当社と当該事業者との間で守秘義務契約を締結している場合は、この限りではない。

(委託先の監督)
第30条
個人情報の取扱いの全部又は一部を委託する場合は、十分な個人情報の保護水準を満たしている者を選定する。このため、委託を受ける者を選定するにあたっては、「個人情報 委託先選定確認書」をもって当社が定める個人情報保護の基準を満たしているか否かを事前に確認し、企画・推進担当に提出する。企画・推進担当は、別に定める「個人情報 委託先選定マニュアル」に従い、個人情報の委託先の選定手続きを行い、個人情報保護管理者の承認を得るものとする。又、当社の個人情報保護方針及び個人情報保護規程の目的とするところを理解し、それに準じた適切な保護措置を講ずることを、契約書などの書面で約束させる。

2.選定した委託先で継続して個人情報を委託している委託先については、2年毎に見直しを行うものとする。その際、確認した内容は、「個人情報委託先選定確認書」に記載し、個人情報保護管理者の承認を得るものとする。

3.個人情報の取扱いの全部又は一部を委託する場合は、委託する個人情報の安全管理が図られるよう、委託を受けた者に対する必要、かつ、適切な監督を行うものとする。

4.個人情報保護管理者は、次に示す事項を「個人情報保護に関する覚書」又は同等以上の内容を記載した契約書などの書面によって定め、十分な個人情報の保護水準を担保するものとする。

  • 委託者及び受託者の責任の明確化
  • 個人情報の安全管理に関する事項
  • 再委託に関する事項
  • 個人情報の取扱い状況に関する委託者への報告の内容及び頻度
  • 契約内容が遵守されていることを委託者が確認できる事項
  • 契約内容が遵守されなかった場合の措置
  • 事件・事故が発生した場合の報告・連絡に関する事項

5.前項の契約書などの書面は、委託先と契約を締結した当該部門が保管場所を定め、施錠し、少なくとも個人情報の保有期間にわたって保存するものとする。

第5章 個人情報に関する本人の権利

(個人情報に関する権利)
第31条
電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理、分類し、目次、索引、符号などを付することによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であって、当社が、本人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの(以下、「開示対象個人情報」という。)に関して、本人から利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止(以下、「開示等」という。)を求められた場合は、第34条から第37条の定めによって、遅滞なくこれに応ずるものとする。ただし、次のいずれかに該当する場合は、開示対象個人情報ではない。

① 当該個人情報の在否が明らかになることによって、本人又は第三者の生命、身体又は財産に危害が及ぶおそれのあるもの
家庭内暴力、児童虐待の被害者を支援するに際して、加害者(配偶者又は親権者)及び被害者(配偶者又は子)を本人とする個人情報をもっている場合などをいう。

② 当該個人情報の在否が明らかになることによって、違法又は不当な行為を助長し、又は誘発するおそれのあるもの
いわゆる総会屋等による不当要求被害を防止するため、事業者が総会屋等を本人とする個人情報をもっている場合や、不審者、悪質なクレーマー等からの不当要求被害を防止するため、当該行為を繰り返す者を本人とする個人情報を保有している場合などをいう。

③ 当該個人情報の在否が明らかになることによって、国の安全が害されるおそれ又は他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの
防衛に関する兵器・設備・機器・ソフトウェア等の設計、開発担当者名が記録された個人情報を保有している場合や、要人の訪問先やその警備会社が、当該要人を本人とする行動予定や記録等を保有している場合などをいう。

④ 当該個人情報の在否が明らかになることによって、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序維持に支障が及ぶおそれのあるもの
警察からの捜査関係事項照会や捜査差押令状の対象となった場合、その対応の過程で捜査対象者又は被疑者を本人とする個人情報を保有している場合などをいう。

2.開示等の求めについては、第34条から第37条及び別に定める「開示等手続きマニュアル」に基づいて、応ずるものとする。

(開示等の求めに応じる手続)
第32条
開示等の求めに応じる手続きとして次の事項を定めるものとする。

① 開示等の求めの申し出先
② 開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式
③ 開示等の求めをする者が、本人又は代理人であることの確認の方法
④ 第34条又は第35条による場合の手数料の徴収方法

2.本人からの開示等の求めに応じる手続きを定めるにあたっては、本人に過重な負担を課するものとならないよう配慮する。

3.34条又は第35条によって本人からの求めに応じる場合に、手数料を徴収するときは、実費を勘案して合理的であると認められる範囲内において、その額を定めるものとする。

4.開示等の求めについては、別に定める「開示等手続きマニュアル」に基づいて、応ずるものとする。

(開示対象個人情報に関する周知など)
第33条
取得した個人情報が開示対象個人情報に該当する場合は、当該開示対象個人情報に関し、次の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くものとする。

① 事業者の氏名又は名称
② 個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
③ すべての開示対象個人情報の利用目的(第23条第1項第1号から第3号までに該当する場合を除く。)
④ 開示対象個人情報の取扱いに関する苦情の申し出先
⑤ 当社が個人情報の保護に関する法律(平成15年法律第57号)第37条第1項の認定を受けた者(以下、「認定個人情報保護団体」という。)の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申し出先
⑥ 前第32条によって定めた手続

2.個人情報保護管理者は、前項に基づき定められた「個人情報の取扱い」を、当社ホームページに掲載し、本人の知り得る状態に置くものとする。

(開示対象個人情報の利用目的の通知)
第34条
本人から、当該本人が識別される開示対象個人情報について、利用目的の通知を求められた場合には、遅滞なくこれに応ずる。ただし、第23条第1項第1号から第3号のいずれかに該当する場合、又は前第33条第1項第3号により当該本人が識別される個人情報の利用目的が明らかな場合は利用目的の通知を必要としないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明する。

2.利用目的の通知の求めについては、別に定める「開示等手続きマニュアル」に基づいて、応ずるものとする。

(開示対象個人情報の開示)
第35条
本人から、当該本人が識別される開示対象個人情報の開示(当該本人が識別される開示対象個人情報が存在しないときにその旨を知らせることを含む。)を求められたときは、法令の規定により特別の手続が定められている場合を除き、本人に対し、遅滞なく、当該開示対象個人情報を書面(開示の求めを行った者が同意した方法があるときは、当該方法)によって開示する。ただし、開示することによって次の事項のいずれかに該当する場合は、その全部又は一部を開示する必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明する。

① 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
② 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
同一の本人から複雑な対応を要する同一内容について繰返し開示の求めがあり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる場合などをいう。
③ 法令に違反することとなる場合

2.開示の求めについては、別に定める「開示等手続きマニュアル」に基づいて、応ずるものとする。

(開示対象個人情報の訂正、追加又は削除)
第36条
本人から、当該本人が識別される開示対象個人情報の内容が事実ではないという理由によって当該開示対象個人情報の訂正、追加又は削除(以下、「訂正等」という。)を求められた場合は、法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該開示対象個人情報の訂正等を行うものとする。

2.訂正等を行ったときは、その旨及びその内容を、本人に対し、遅滞なく通知し、訂正等を行わない旨の決定をしたときは、その旨及びその理由を、本人に対し、遅滞なく通知する。

3.訂正等の求めについては、別に定める「開示等手続きマニュアル」に基づいて、応ずるものとする。

(開示対象個人情報の利用又は提供の拒否権)
第37条
当社が本人から当該本人が識別される開示対象個人情報の利用の停止、消去又は第三者への提供の停止(以下、「利用停止等」という。)を求められた場合は、これに応ずるものとする。

2.前第1項の措置を講じた後は、遅滞なくその旨を本人に通知する。ただし、第35条第1項第1号から第3号のいずれかに該当する場合は、利用停止等を行う必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明する。

3.利用停止等の求めについては、別に定める「開示等手続きマニュアル」に基づいて、応ずるものとする。

第6章 教育

(教育)
第38条
個人情報保護管理者又は教育担当は、従業者に、定期的に適切な教育を行うものとする。

2.個人情報保護管理者又は教育担当は、従業者に、関連する各部門及び階層における次の事項を理解させ、維持する。

① 個人情報保護マネジメントシステムに適合することの重要性及び利点
② 個人情報保護マネジメントシステムに適合するための役割及び責任
③ 個人情報保護マネジメントシステムに違反した際に予想される結果

3.教育の計画及び実施、結果の報告及びそのレビュー、計画の見直し並びにこれらに伴う記録の保持に関する責任及び権限については、第12条に基づき、教育を実施し、かつ、維持する。

第7章 苦情及び相談

(苦情及び相談への対応)
第39条
個人情報保護管理者又は個人情報相談窓口担当は、個人情報の取扱い及び個人情報保護マネジメントシステムに関して、本人からの苦情及び相談を受付けて、適切、かつ、迅速な対応を行い、かつ、維持する。

2.苦情及び相談への対応については、第13条に基づいて、応ずるものとする。

第8章 個人情報保護マネジメントシステム文書

(文書の範囲)
第40条
個人情報保護管理者は、次の個人情報保護マネジメントシステムの基本となる要素を、書面で記述する。

① 個人情報保護方針
② 内部規程
③ 計画書
④ JIS Q15001:2006が要求する記録及び当社が個人情報保護マネジメントシステムを実施するうえで必要と判断した記録

2.個人情報保護管理者は、別に定める「個人情報保護マネジメントシステム文書管理規程」に基づき、個人情報保護マネジメントシステムに関する文書を適切に管理する。

(文書管理)
第41条
JIS Q15001:2006が要求するすべての文書(記録を除く。)については、次の事項を、別に定める「個人情報保護マネジメントシステム文書管理規程」に基づき、管理を行い、実施し、かつ、維持する。

① 文書の発行及び改訂に関すること
② 文書の改訂の内容と版数との関連付けを明確にすること
③ 必要な文書が必要なときに容易に参照できること

(記録の管理)
第42条
個人情報保護管理者は、個人情報保護マネジメントシステム及びJIS Q15001:2006への要求事項への適合を実証するために必要な記録を作成し、かつ、維持する。記録の管理については、別に定める「個人情報保護マネジメントシステム文書管理規程」に基づき、実施し、かつ、維持する。

第9章 点検

(運用の確認)
第43条
個人情報保護マネジメントシステムが適切に運用されていることが当社の各部門及び階層において定期的に確認し、実施し、かつ、維持するよう、各部門責任者又は各部門責任者が指名した者は、月1回定期的に見回り確認するなどして、少なくとも次に示す当該部門に該当する事項を確認する。

① 最終退出時の社内点検(施錠確認など)の記録
② 入退館(室)の記録
③ 個人情報を格納した情報システムへのアクセスログの点検の記録

2.前第1項の運用の確認のみならず、各部門は、別に定める「個人情報保護監査規程」に基づいた運用の確認も行うものとする。

(監 査)
第44条
個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、代表取締役に報告する。監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保する。

2.監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限については、第11条及び別に定める「個人情報保護監査規程」に基づき、監査を実施し、かつ、維持する。

第10章 是正処置及び予防処置・代表取締役による見直し・その他

(是正処置及び予防処置)
第45条
不適合に対する是正処置及び予防処置を確実に実施するための責任及び権限については、次の事項を含む別に定める「個人情報保護是正処置及び予防処置規程」に基づき、実施し、かつ、維持する。

① 不適合の内容を確認する
② 不適合の原因を特定し、是正処置及び予防処置を立案する
③ 期限を定め、立案された処置を実施する
④ 実施された是正処置及び予防処置の結果を記録する
⑤ 実施された是正処置及び予防処置の有効性をレビューする

(代表取締役による見直し)
第46条
代表取締役は、個人情報の適切な保護を維持するために、毎年1回及び必要に応じ随時、次に定める手順に基づいて、個人情報保護マネジメントシステムの見直しを行うものとする。なお、代表取締役による見直しにおいては、次の事項を考慮しなければならない。

① 監査及び個人情報保護マネジメントシステムの運用状況に関する報告
② 苦情を含む外部からの意見
③ 前回までの見直しの結果に対するフォローアップ
④ 個人情報取扱いに関する法令、国の定める指針その他の規範の改正状況
⑤ 社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
⑥ 当社の事業領域の変化
⑦ 内外から寄せられた改善のための提案
⑧ その他

2.個人情報保護管理者又は企画・推進担当は、個人情報保護マネジメントシステム見直しのための会議を行い、個人情報保護マネジメントシステムの見直し及び改善の基礎として判断するための事項を「個人情報保護マネジメントシステム運用状況報告 兼 見直し報告書」をもって代表取締役に報告する。

3.見直しにあたっては、代表取締役、個人情報保護管理者、個人情報保護監査責任者及び個人情報保護管理者が指名した者が出席する。

4.代表取締役は、監査報告、個人情報マネジメントシステムの運用状況に関する報告及び経営者としての視点から経営環境などの変化を踏まえ、個人情報保護マネジメントシステムの見直し案を作成させ、優先順位を決定し、必要な予算措置を講じるなどしてその実行を命じるものとする。

5.見直した結果、不適合を発見した場合は、別に定める「個人情報保護是正処置及び予防処置規程」に基づき、是正処置及び予防処置を実施する。

6.企画・推進担当は、個人情報保護マネジメントシステムの見直しの結果を「個人情報保護マネジメントシステム見直し実施記録」をもって記録し、個人情報保護管理者及び代表取締役の承認を得るものとする。

(報告義務及び罰則)
第47条
個人情報保護マネジメントシステムに違反する事実を知った者又は違反のおそれがあることを発見した者は、その旨を個人情報保護管理者に報告する。

2.個人情報保護管理者は、報告の内容を調査し、違反の事実が判明した場合には、遅滞なく、社内の関係部門に対応処置を指示するとともに、代表取締役へ報告する。

3.個人情報保護マネジメントシステムに故意又は重大な過失により違反した従業者は、就業規則などの定めるところにより懲戒に処するものとする。

4.個人情報保護マネジメントシステムに違反した委託先については、契約上の責任を負わせるものとする。

附則

本規定はYYYY年MM月DD日より施行する。

以上

コメント

タイトルとURLをコピーしました