個人情報取扱規程
第1章 総則
(目的)
第1条 本規程は、当社が、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)に基づき、当社の取り扱う個人情報の適正な取扱いを確保するために定めるものである。
(定義)
第2条 この規程において使用する用語は、個人情報保護法において使用する用語の例による。
第2章 安全管理措置
第1節 組織的安全管理措置
(組織体制)
第3条 当社は、代表取締役が指名する者を当社の個人データの管理に関する責任を担う者(以下「個人情報管理者」という。)とする。
2 個人情報管理者は、個人データの保護に十分な注意を払ってその業務を行うものとする。
4 個人情報管理者が変更することになる場合、代表取締役は新たに個人情報管理者となる者を指名するものとする。この場合、従前の個人情報管理者は新たに個人情報管理者となる者に対して確実に引継ぎを行わせるものとする。代表取締役はかかる引継ぎが行われたか確認するものとする。
(運用状況・運用状況の記録)
第4条 個人情報管理者は、以下の個人データの運用状況について確認をするものとする。
① 個人情報データベース等の利用・出力状況
② 個人データを含む書類・媒体等の持ち運びの状況
③ 個人情報データベース等の削除・廃棄の状況
④ 削除・廃棄を委託した場合、これを証明する記録等
⑤ 個人情報データベース等を情報システムで取り扱う場合、情報システムの利用状況(ログイン実績、アクセスログ等)
2 個人情報等取扱担当者は、以下の個人データの取扱状況について確認をするものとする。
① 個人情報データベース等の種類、名称
② 個人データの項目
③ 責任者・取扱部署
④ 利用目的
⑤ アクセス権を有する者
(情報漏えい事案等への対応)
第5条 個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の事案の発生又は兆候を把握した場合の対応は、代表取締役の責任により以下の対応を行う。
①被害の拡大の防止
②事実関係の調査、原因の究明
③影響範囲の特定
④再発防止策の検討・実施
⑤影響を受ける可能性のある本人への連絡等
⑥事実関係、再発防止策等の公表
⑦関係当局への報告
(個人データの取扱状況の確認)
第6条 個人情報取扱担当者は、特定個人情報等の取扱状況について、1年に一回以上の頻度で確認を行うものとする。
第2節 人的安全管理措置
(教育・研修)
第7条 個人情報管理者は、本規程に定められた事項を理解し、遵守するとともに、従業者に本規程を遵守させるための教育訓練を企画・運営する責任を負う。
2 従業者は、個人情報管理者が主催する本規程を遵守させるための教育を受けなければならない。研修の内容及びスケジュールは、事業年度毎に個人情報管理者が定める。
3 当社は、個人データについての秘密保持に関する事項を就業規則に盛り込むものとする。
第3節 物理的安全管理措置
(個人データを取り扱う区域の管理)
第8条 当社は個人情報取扱担当者及び本人以外が容易に個人データを閲覧等できないような措置を講ずるものとする。
(機器及び電子媒体等の盗難等の防止)
第9条 当社は管理区域及び取扱区域における個人データを取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。
① 個人データを取扱う機器、電子媒体又は書籍等を、施錠できるキャビネット・書庫等に保管する。
② 個人データを取扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。
(電子媒体等を持ち運ぶ場合の漏えい等の防止)
第10条 当社の従業者が、個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずるものとする。
(個人データの削除及び機器、電子媒体等の廃棄)
第11条 個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄した場合には、個人情報管理者がこれを確認するものとする。
第4節 技術的安全管理措置
(アクセス制御)
第11条 当社は、個人データへの不正なアクセスを防止するため、個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化するものとする。
(アクセス者の識別と認証)
第12条 当社は、機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証するものとする。
(外部からの不正アクセス等の防止)
第13条 当社は、以下の各方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。
① 個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
② 個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。
(情報システムの使用に伴う漏えい等の防止)
第14条 当社は、メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定するものとする。
第3章 個人情報の取扱い
第1節 個人情報の取得・保有等
(利用目的の特定)
第15条 当社は、個人情報の保有に当たっては、業務を遂行するため必要な場合に限り、かつ、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 当社は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的による制限)
第16条 当社は、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を保有してはならない。
2 当社は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(利用目的の通知等)
第17条 当社は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表するものとする。
2 前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 当社は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合
(適正な取得)
第18条 当社は、偽りその他不正な手段により個人情報を取得してはならない。
2 当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該要配慮個人情報が、本人、国の機関、地方公共団体、法76条1項各号に掲げる者、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国における法第76条第1項各号に掲げる者に相当する者により公開されている場合
六 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
七 法第23条第5項各号において、個人データである要配慮個人情報の提供を受けるとき。
(データ内容の正確性の確保等)
第19条 当社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
第2節 第三者提供の制限
(第三者提供の制限)
第20条 当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 次に掲げる場合において、当該個人データの提供を受ける者は、第1項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
3 当社は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(第三者提供をする際の記録)
第21条 当社は、個人データを第三者に提供したときは、第三者提供に係る記録を作成しなければならない。ただし、当該個人データの提供が前条第1項各号に該当する場合又は同条2項各号のいずれかに該当する場合は、この限りでない。
2 第三者に個人データの提供をする場合の記録の作成方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法によるものとする。
3 前項の記録は、次項又は第5項に該当する場合を除き、第三者から個人データの提供をした都度、速やかに作成しなければならない。
4 第2項の記録は、当該第三者から継続的に若しくは反復して個人データの提供(法第23条第2項から第4項までの方法により個人データの提供を受けた場合を除く。)をしたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
5 第2項の記録は、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者から個人データの提供を受けたときの記録に代えることができる。
6 前条に基づく本人の同意を得て個人データを第三者に提供した場合は別紙3の「個人データ提供記録簿」に以下の事項を記録するものとする。
① 本人の同意を得ている旨
② 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
④ 当該個人データの項目
7 前項の記載事項のうち、第2項から第5項までの方法により作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
9 当社は、第6項から前項までの規定により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。
場合 | 保存期間 |
① 本人を当事者とする契約書等に基づく個人データの提供の場合 | 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 |
② 個人データを継続的に若しくは反復して提供する場合 | 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間 |
③ 上記①又は②以外の場合 | 当該記録を作成した日から3年間 |
(第三者提供を受ける際の確認及び記録)
第22条 当社は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第20条第1項各号に該当する場合又は同項2項各号のいずれかに該当する場合は、この限りでない。
① 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
② 当該第三者による当該個人データの取得の経緯
2 当社は、第三者から個人データの提供を受ける際の確認を行う方法は、確認を行う事項の区分に応じて、それぞれ次のとおりとする。
場合 | 方法 |
① 前項1号に該当する事項 | 個人データを提供する第三者から申告を受ける方法その他の適切な方法 |
② 前項2号に該当する事項 | 個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法 |
3 前項にかかわらず、第三者から他の個人データの提供を受けるに際して前項の方法による確認(当該確認について記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う場合は、当該事項の内容と当該提供に係る確認事項の内容が同一であることの確認を行う方法によるものとする。
4 当社は、前3項に基づく確認を行ったときは、以下の区分に応じて以下の事項を記録しなければならない。
一 法第23条第2項から第4項までの方法により個人データの提供を受けた場合(別紙4-1の「個人データ受領記録簿」に記録するものとする。)
① 個人データの提供を受けた年月日
② 当該第三者の氏名又は名称
③ 当該第三者の住所
④ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
⑤ 当該第三者による当該個人データの取得の経緯
⑥ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
⑦ 当該個人データの項目
⑧ 法第23条第4項に基づき個人情報保護委員会による公表がされている旨
二 前条に基づく本人の同意を得て第三者に提供した場合(別紙4-2の「個人データ受領記録簿」に記録するものとする。)
① 本人の同意を得ている旨
② 当該第三者の氏名又は名称
③ 当該第三者の住所
④ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
⑤ 当該第三者による当該個人データの取得の経緯
⑥ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
⑦ 当該個人データの項目
三 個人情報取扱事業者ではない第三者から提供を受けた場合(別紙4-3の「個人データ受領記録簿」に記録するものとする。)
① 当該第三者の氏名又は名称
② 当該第三者の住所
③ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
④ 当該第三者による当該個人データの取得の経緯
⑤ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
⑥ 当該個人データの項目
5 前項各号の記載事項のうち、既に作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
6 第4項の記録は、次項又は第8項に該当する場合を除き、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。
7 第4項の記録は、当該第三者から継続的に若しくは反復して個人データの提供(第20条第2項から第5項までの方法により個人データの提供を受けた場合を除く。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
8 第4項の記録は、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者から個人データの提供を受けたときの記録に代えることができる。
9 当社は、第4項又第5項により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。
場合 | 保存期間 |
① 本人を当事者とする契約書等に基づく個人データの提供の場合 | 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 |
② 個人データを継続的に若しくは反復して提供する場合 | 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間 |
③ 上記①又は②以外の場合 | 当該記録を作成した日から3年間 |
第4章 保有個人データの開示等の請求等及び苦情処理
(個人情報保護窓口の設置等)
第23条 保有個人データの開示請求、訂正請求、利用停止請求及びその他相談等に対応する窓口(以下「相談窓口」という。)は個人情報管理者とし、当社における個人情報の取扱い等に係る相談等の受付及び事務を行うものとする。
2 相談窓口の住所、電話番号、受付時間は当社のホームページに公開する。
(保有個人データに関する事項の公表等)
第24条 当社は、保有個人データに関し、次に掲げる事項について、「個人情報保護方針」と一体としてインターネットのホームページでの常時掲載を行うこと、又は事務所の窓口等での掲示・備付け等を行うこととする。
一 当社の名称
二 全ての保有個人データの利用目的(第17条第4項第1号から第3号までに該当する場合を除く。)
三 当社が行う保有個人データの取扱いに関する苦情の申出先
2 当社は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知するものとする。ただし、次の各号のいずれかに該当する場合は、この限りでない。
一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
二 第17条第4項第1号から第3号までに該当する場合
3 当社は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
(保有個人データの開示)
第25条 当社は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)に係る請求を受けたときは、本人に対し、書面の交付による方法により、遅滞なく、当該保有個人データを開示するものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 他の法令に違反することとなる場合
2 当社は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。この場合、当社は本人に対して、当該通知においてその理由を説明するものとする。
3 他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は、適用しない。
(保有個人データの訂正等)
第26条 当社は、当該本人が識別される保有個人データの内容が事実でないことを理由に当該本人から訂正、追加又は削除(以下「訂正等」という。)に係る請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行うものとする。
2 当社は、前項の請求に係る保有個人データの内容の全部又は一部について訂正等を行ったとき、又は訂正等を行わない旨を決定したときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知するものとする。この場合、当社は本人に対して、当該通知においてその理由を説明するものとする。
(保有個人データの利用停止等)
第27条 当社は、本人から、当該本人が識別される保有個人データが、法第16条の規定に違反して取得されているという理由、法第17条の規定に違反して取り扱われたものであるという理由によって、当該保有個人データの利用の停止、消去(以下、本条において「利用停止等」という。)に係る請求を受けた場合であって、利用停止等に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、保有個人データの利用停止等を行うものとする。但し、利用停止等を行うことに多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、当該本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではない。
2 当社は、本人から、当該本人が識別される保有個人データが法第23条第1項又は第24条の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止に係る請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの提供を停止するものとする。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3 当社は、第一項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。この場合、当社は本人に対して、当該通知においてその理由を説明するものとする。
(苦情処理)
第28条 当社は、当社における保有個人データの取扱いに関する苦情の適切かつ迅速な処理に努めるものとする。
第6章 雑則
(規程の細目及び運用)
第29条 この規程の実施に必要な事項は、別に定める。
附 則
この規程は、令和4年5月17日から施行する。
令和4年5月17日制定