第1章 総則
(目的)
第1条
本規程は、当社(当社の役員、従業者を含む。以下同じ。)が、法令等に基づき、当社の取り扱う個人データの適正な取扱いを確保するために定めるものである。なお、法に基づく仮名加工情報の取扱いについては「仮名加工情報等取扱規程」において、匿名加工情報の取扱いについては「匿名加工情報等取扱規程」において、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号)に基づく個人番号やその内容を含む個人情報に関しては、「特定個人情報等取扱規程」において、別途定めるところに従うものとする。
(定義)
第2条
この規程において、次に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
1「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
①当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の近くによっては認識できない方式をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて評された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
②個人識別符号が含まれるもの
2「個人識別符号」とは、政令第1条に定める個人識別符号をいう。
3「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令第2条で定める記述等が含まれる個人情報をいう。
4「個人情報データベース等」とは、(i)特定の個人情報をコンピュータ等を用いて検索できるように体系的に構成したもの及び(ii)これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものをいう。ただし、利用方法からみて個人の権利利益を害するおそれが少ないものとして政令第3条第1項に該当するものを除く。
5「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
① 国の機関
② 地方公共団体
③ 独立行政法人等(独立行政法人通則法第2条第1項に規定する独立行政法人その他の法に定める独立行政法人等をいう。)
④ 地方独立行政法人(地方独立行政法人法 (平成 15 年法律第 118 号)第2条第1項に規定する地方独立行政法人をいう。)
6「個人データ」とは、個人情報のうち、個人情報データベース等を構成するものをいう。
7「保有個人データ」とは、個人データのうち、開示、訂正、利用停止等の権限を有するものであって、以下のものを除く。
①当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
②当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
③当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
④当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
8「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報(法に規定する仮名加工情報をいう。)及び匿名加工情報(法に規定する匿名加工情報をいう。)のいずれにも該当しないものをいう。
9「個人関連情報データベース等」とは、①「個人関連情報」を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したもの、または、②これに含まれる「個人関連情報」を一定の規則に従って整理することにより特定の個人関連情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。
10「個人関連情報取扱事業者」とは、「個人関連情報データベース等」を事業の用に供している者で、国、地方公共団体、独立行政法人等、地方独立行政法人を除いたものをいう。
11個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
12「従業者」とは、当社の業務に従事している者等をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。
13「事務取扱責任者」とは、当社の個人データの管理に関する責任を担う者をいう。
14「部門責任者」とは、各部門における個人データの管理に関する責任を負う者をいう。
15「事務取扱担当者」とは、当社内において、個人データを取り扱う事務に従事する者をいう。
16「管理区域」とは、個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域をいう。
17「取扱区域」とは、個人データを取り扱う事務を実施する区域をいう。
18「法」とは、個人情報の保護に関する法律(平成 15 年法律第 57 号)をいう。
19「政令」とは、個人情報の保護に関する法律施行令(平成 15 年政令第 507 号)をいう。
20「規則」とは、個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号)をいう。
21「ガイドライン」とは、「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成 28 年個人情報保護委員会告示第6号)、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成 28 年個人情報保護委員会告示第7号)及び「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成 28 年個人情報保護委員会告示第8号)を総称したものをいう。
22「法令等」とは、法、政令及び規則並びにその他の関連法令、ガイドラインを総称したものをいう。
第2章 安全管理措置
第1節 組織的安全管理措置
(事務取扱責任者等)
第3条
人事部を当社における個人データの取扱いに関する責任部署とする。
2 当社に、事務取扱責任者1人を置く。
3 事務取扱責任者には、人事部長をもってこれに充てるものとする。
4 部門責任者には、個人データを取り扱う各部・各施設における部長・支配人がその任にあたる。
(事務取扱責任者等の任務)
第4条
事務取扱責任者は、当社における個人情報の取得及び個人データの保護管理に関する業務を統括するとともに、本規程に定められた事項を理解し、遵守し、また、事務取扱担当者に本規程を理解させ、遵守させるための教育訓練、安全対策の実施並びに周知徹底等の措置を実施する責任を負う。
2 事務取扱責任者は、次の業務を所掌する。
① 本規程及び委託先(個人データの取扱いの全部又は一部を委託する場合の委託を受けた者をいう。以下同じ。)の選定基準の承認及び周知
② 個人データの安全管理に関する教育・研修の企画・実施
③ 個人データの利用申請の承認及び記録等の管理
④ 管理区域及び取扱区域の設定
⑤ 個人データの取扱区分及び権限についての設定及び変更の管理
⑥ 個人データの取扱状況の把握
⑦ 委託先における個人データの取扱状況等の監督
⑧ その他当社における個人データの安全管理に関すること
3 部門責任者である各部門における部長・支配人は、当該門における個人情報の取得及び個人データを適切に管理する任に当たり、個人データの適切な管理のために必要な措置を講じ、個人データの安全確保に努める責任を負う。
4 事務取扱責任者は、法令遵守の観点から、各部門の部門責任者に対して指導、助言する。
(事務取扱担当者等の監督)
第5条
事務取扱責任者は、個人データが本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。
2 各部門の部門責任者は、当該各部門の事務取扱担当者に対して必要かつ適切な監督を行い、事務取扱責任者に対して必要な報告を行う。
(事務取扱担当者の責務)
第6条
事務取扱担当者は、当社の個人データの取扱い又は委託処理等、個人データを取扱う業務に従事する際、法令等、本規程及びその他の社内規程並びに事務取扱責任者の指示した事項に従い、個人データの保護に十分な注意を払ってその業務を行うものとする。
2 事務取扱担当者は、個人情報の漏えい等、法令等、本規程並びにその他の社内規程に違反している事実又は兆候を把握した場合、速やかに所属部門の部門責任者又は事務取扱責任者に報告するものとする。所属部門の事務取扱担当者から、当該報告を受けた部門責任者は速やかに事務取扱責任者に報告するものとする。
(本規程に基づく運用状況の記録)
第7条
事務取扱担当者は、本規程に基づく運用状況を確認するため、以下の項目につき、当社所定のチェックリストに基づき確認し、記入済みのチェックリストを保存するものとする。
① 個人情報の取得及び個人情報データベース等ファイルへの入力状況
② 個人情報データベース等の利用・出力状況の記録
③ 個人データが記載又は記録された書類・媒体等の持ち運び(個人データを、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等も含まれる。以下同じ。)等の状況
④ 個人情報データベース等の削除・廃棄記録
⑤ 削除・廃棄を委託した場合、これを証明する記録等
⑥ 個人情報データベース等を情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)
(取扱状況の確認手段)
第8条
事務取扱担当者は、個人情報データベース等の取扱状況を確認するための手段として、当社所定の個人情報管理台帳に以下の事項を記録するものとする。なお、個人情報管理台帳には、個人データ自体は記載しないものとする。
① 個人情報データベース等の種類、名称
② 個人データの範囲
③ 利用目的
④ 記録媒体
⑤ 保管場所(管理区域)
⑥ 責任者
⑦ 取扱部署
⑧ 事務取扱担当者(アクセス権者)
⑨ 保存期間
⑩ 削除・廃棄方法
(情報漏えい事態への対応)
第9条
事務取扱責任者は、規則第6条の2に定める個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の事態が発生した場合、事実関係の調査及び原因の究明に必要な措置を講じるとともに、規則第6条の3の定めに従い個人情報保護委員会に対して報告し、規則第6条の5の定めに従い本人に対して通知するものとする。また、調査結果に基づいて再発防止策の検討を行い、再発防止策の決定後速やかに事実関係及び再発防止策を公表するものとする。
(苦情への対応)
第 10 条
事務取扱担当者は、法、ガイドライン又は本規程に関し、本人から苦情の申出を受けた場合には、その旨を部門責任者に報告する。報告を受けた部門責任者は、適切に対応するものとする。
(取扱状況の確認並びに安全管理措置の見直し)
第 11 条
事務取扱責任者は、1年に1回以上の頻度で又は臨時に第7条に規定する個人データの運用状況の記録及び第8条に規定する個人情報データベース等の取扱状況の確認を実施しなければならない。
2 事務取扱責任者は、前項の確認の結果及び次条の監査の結果に基づき、安全管理措置の評価、見直し及び改善に取り組むものとする。
(監査)
第 12 条
代表取締役が指名した者は、当社の個人データの適正な取扱いその他法令及び本規則の遵守状況について検証し、その改善を事務取扱責任者及び各部の部門責任者に促す。
第2節 人的安全管理措置
(教育・研修)
第 13 条
事務取扱責任者は、本規程に定められた事項を理解し、遵守するとともに、従業者に本規程を遵守させるための教育訓練を企画・運営する責任を負う。
2 従業者は、事務取扱責任者が主催する本規程を遵守させるための教育を受けなければならない。研修の内容及びスケジュールは、事業年度毎に事務取扱責任者が定める。
3 当社は、個人データについての秘密保持に関する事項を就業規則に盛り込むものとする。
第3節 物理的安全管理措置
(個人データを取り扱う区域の管理)
第 14 条
当社は管理区域及び取扱区域を明確にし、それぞれの区域に対し、次の各号に従い以下の措置を講じる。
① 管理区域
管理区域へ持ち込む機器及び電子媒体等の制限を行うものとする。なお、管理区域については、入口への IC カードシステムの設置による。
② 取扱区域
可能な限り壁又は間仕切り等の設置をしたり、事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等をするなど座席配置を工夫等をすることにより、権限を有しない者による個人データの閲覧等を防止する。
(機器及び電子媒体等の盗難等の防止)
第 15 条
当社は管理区域及び取扱区域における個人データを取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。
① 個人データを取扱う機器、電子媒体又は書籍等を、施錠できるキャビネット・書庫等に保管する。
② 当社において個人データを取り扱う情報システムは、外部ネットワークから遮断された専用のノートパソコンに限り、業務において使用しない際には、施錠できるキャビネットに保管する。
(電子媒体等を持ち運ぶ場合の漏えい等の防止)
第 16 条
当社は個人データが記録された電子媒体又は書類等の持ち運びは、次に掲げる場合を除き禁止する。
① 個人データに係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
② 利用目的の範囲で個人データを利用する場合
2 前項により個人データが記録された電子媒体又は書類等の持ち運びを行う場合には、当社所定の記録簿に記録するとともに、以下の安全策を講じるものとする。
(1)個人データが記録された電子媒体
① 持ち運びデータの暗号化
② 持ち運びデータのパスワードによる保護
③ 施錠できる搬送容器の使用
④ 追跡可能な移送手段の利用
(2)個人データが記載された書類等
① 封緘、目隠しシールの貼付(各部署の事務取扱担当者から他の部署の事務取扱担当者に個人データが記載された書類等を移送する場合を含む。)
(個人データの削除及び機器、電子媒体等の廃棄)
第 17 条
個人データの廃棄・削除段階における記録媒体等の管理は次のとおりとする。
① 事務取扱担当者は、個人データが記録された書類等を廃棄する場合、シュレッダー等による記載内容が復元不能までの裁断、自社又は外部の焼却場での焼却・溶解等の復元不可能な手段を用いるものとする。
② 事務取扱担当者は、個人データが記録された機器及び電子媒体等を廃棄する場合、専用データ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を用いるものとする。
③ 事務取扱担当者は、個人情報データベース等中の個人データを削除する場合、容易に復元できない手段を用いるものとする。
④ 個人データを取り扱う情報システムにおいては、法令及び当社が別途定める保存期 間経過後の毎年度末に個人データを削除するよう情報システムを構築するものとする。
⑤ 個人情報が記載された書類等については、当該関連する書類等について当社が別途定める保存期間経過後の毎年度末に廃棄をするものとする。
2 事務取扱担当者は、個人データ若しくは個人情報データベース等を削除した場合、又は電子媒体等を廃棄した場合には、当社所定の記録簿に記録するものとする。削除・廃棄の記録としては、個人情報データベース等の種類・名称、責任者・取扱部署、削除・廃棄状況を記録するものとし、当該個人データ自体は含めないものとする。
第4節 技術的安全管理措置
(アクセス制御)
第 18 条
個人データへのアクセス制御は以下のとおりとする。
① 個人情報データベース等を取り扱うことができる情報システムを限定する。
② 個人データと紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
③ ユーザーIDに付与するアクセス権により、個人情報データベース等を取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
(アクセス者の識別と認証)
第 19 条
個人データを取り扱う情報システムは、ユーザーID、パスワード、磁気・ICカード等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証するものとする。
(外部からの不正アクセス等の防止)
第 20 条
当社は、以下の各方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。
① 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する方法。
② 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する方法。
③ 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する方法。
④ 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする方法。
⑤ ログ等の分析を定期的に行い、不正アクセス等を検知する方法。
(情報システムの使用に伴う漏えい等の防止)
第 21 条
当社は、情報システムの使用に伴う個人データの漏えい等を防止するために以下の措置を講じ、適切に運用するものとする。
① 情報システムの設計時に安全性を確保し、継続的に見直す(情報システムのぜい弱性を突いた攻撃への対策を講じることも含む。)。
② 個人データを含む通信の経路又は内容を暗号化する。
③ 移送する個人データについて、パスワード等による保護を行う。
第3章 個人情報の取扱い
第1節 個人情報の取得・保有等
(利用目的の特定)
第 22 条
個人情報の保有に当たっては、業務を遂行するため必要な場合に限り、かつ、その利用の目的をできる限り特定しなければならない。
2 当社は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的による制限)
第 23 条
当社は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を保有してはならない。
2 当社は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、
本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(利用目的の通知等)
第 24 条
当社は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表するものとする。
2 前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 当社は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、
又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
四 取得の状況からみて利用目的が明らかであると認められる場合
(不適正な利用の禁止)
第 25 条
当社は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないものとする。
(適正な取得)
第 26 条
当社は、偽りその他不正な手段により個人情報を取得しないものとする。
2 当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、
本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関、報道機関、著述を業として行う者、宗教団体若しくは政治団体、
外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国における学術研究機関、報道機関、著述を業として行う者、宗教団体
若しくは政治団体に相当する者により法において認められる範囲内で公開されている場合
六 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
七 法第 23 条第5項各号において、個人データである要配慮個人情報の提供を受けるとき
(データ内容の正確性の確保等)
第 27 条
当社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
第2節 第三者提供の制限
(第三者提供の制限)
第 28 条
当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、
本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
2 当社は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、規則に定める所定の方法により、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。但し、第三者に提供される個人データが要配慮個人情報又は第 26 条第1項の規定に違反して取得された個人データ若しくは他の個人情報取扱事業者から本項本文の方法により提供された個人データ(その全部又は一部を複製し、又は加工したものを含む。)である場合を除く。
一 当社の名称、住所及び代表者の氏名
二 第三者への提供を利用目的とすること。
三 第三者に提供される個人データの項目
四 第三者に提供される個人データの取得方法
五 第三者への提供の方法
六 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
七 本人の求めを受け付ける方法
八 第三者に提供される個人データの更新の方法
九 当該届出に係る個人データの第三者への提供を開始する予定日
3 当社は、前項第1号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく/同項第3号から第5号まで、第7号乃至第9号に掲げる事項を変更しようとするときはあらかじめ、その旨について、規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4 当社は、第2項及び第3項の規定による届出を行ったときは、規則で定めるところにより、当該届出に係る事項を公表する。
5 当社が、次の各号に従い個人データを提供する場合は、当該個人データの提供を受ける者は、第1項の第三者に該当しないものとする。
一 利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データを提供する場合
二 合併その他の事由による事業の承継に伴って個人データを提供する場合
三 特定の者との間で共同して利用される個人データを当該特定の者に提供する場合であって、その旨並びに共同して利用する個人データの
項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所
並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
6 当社は、前項第3号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく/同号に規定する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(外国にある第三者への提供の制限)
第 29 条
前条にかかわらず、当社が外国(本邦の域外にある国又は地域をいう。以下同じ。)にある第三者に個人データを提供する場合は、前条第1項各号に該当する場合を除き、あらかじめ当該外国の第三者への提供を認める旨の本人の同意を得なければならない。この場合、あらかじめ本人に対し、①当該外国の名称、②適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報、及び③当該第三者が講ずる個人情報の保護のための措置に関する情報を提供しなければならない。
2 前項にかかわらず、当社が、規則第11条第1項に定める外国にある第三者に個人データを提供する場合には、前条を適用するものとする。
3 前2項にかかわらず、当該外国にある第三者が適切かつ合理的な方法により、法第4章第1節の規定の趣旨に沿った措置(以下「相当措置」という。)を講じている場合又は個人情報の取扱いに係る国際的な枠組みに基づく認定を受けている場合には、前条を適用するものとする。
(第三者提供をする際の記録)
第 30 条
当社は、個人データを第三者に提供したときは、第三者提供に係る記録を作成しなければならない。ただし、当該個人データの提供が第 28 条第1項各号に該当する場合又は同条6項各号のいずれかに該当する場合は、この限りでない。
2 第三者に個人データの提供をする場合の記録の作成方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法によるものとする。
3 前項の記録は、次項又は第5項に該当する場合を除き、第三者に個人データの提供をした都度、速やかに作成しなければならない。
4 第2項の記録は、当該第三者に対し継続的に若しくは反復して個人データの提供(第 28条第2項から第5項までの方法により個人データの提供を受けた場合を除く。)をしたとき、又は当該第三者に対し継続的に若しくは反復して個人データの提供をすることが確実であると見込まれるときの記録は、一括して作成することができる。
5 第2項の記録は、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者から個人データの提供を受けたときの記録に代えることができる。
6 第 28 条第2項から第5項までに基づき個人データを第三者に提供した場合は以下の事項を記録するものとする。
① 当該個人データを提供した年月日
② 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
④ 当該個人データの項目
7 第 28 条第1項又は前条に基づく本人の同意を得て個人データを第三者に提供した場合は以下の事項を記録するものとする。
① 本人の同意を得ている旨
② 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
④ 当該個人データの項目
8 前2項の記載事項のうち、第2項から第5項までの方法により作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
9 当社は、第6項から前項までの規定により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。
場 合 | 保存期間 |
① 本人を当事者とする契約書等に基づく個人データの提供の場合 | 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 |
② 個人データを継続的に若しくは反復して提供する場合 | 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間 |
③ 上記①又は②以外の場合 | 当該記録を作成した日から3年間 |
(第三者提供を受ける際の確認及び記録)
第 31 条
当社は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第 28 条第1項各号に該当する場合又は同条第5項各号のいずれかに該当する場合は、この限りでない。
① 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、
その代表者又は管理人)の氏名
② 当該第三者による当該個人データの取得の経緯
2 当社は、第三者から個人データの提供を受ける際の確認を行う方法は、確認を行う事項の区分に応じて、それぞれ次のとおりとする。
場 合 | 方 法 |
① 前項第1号に該当する事項 | 個人データの提供を受ける第三者から申告を受ける方法その他の適切な方法 |
② 前項第2号に該当する事項 | 個人データの提供を受ける第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法 |
3 前項にかかわらず、第三者から他の個人データの提供を受けるに際して既に前項の方法による確認(当該確認について記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う場合は、当該事項の内容と当該提供に係る前項の確認事項の内容が同一であることの確認を行う方法によるものとする。
4 当社は、前3項に基づく確認を行ったときは、以下の区分に応じて以下の事項を記録しなければならない。
一 第 28 条第2項から第5項までの方法により個人データの提供を受けた場合
① 個人データの提供を受けた年月日
② 当該第三者の氏名又は名称
③ 当該第三者の住所
④ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、
その代表者又は管理人)の氏名
⑤ 当該第三者による当該個人データの取得の経緯
⑥ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
⑦ 当該個人データの項目
⑧ 法に基づき個人情報保護委員会による公表がされている旨
二 第 28 条第1項又は第 29 条第 1 項に基づく本人の同意を得て個人データの提供を受けた場合
① 本人の同意を得ている旨
② 当該第三者の氏名又は名称
③ 当該第三者の住所
④ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、
その代表者又は管理人)の氏名
⑤ 当該第三者による当該個人データの取得の経緯
⑥ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
⑦ 当該個人データの項目
三 個人情報取扱事業者ではない第三者から提供を受けた場合
① 当該第三者の氏名又は名称
② 当該第三者の住所
③ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、
その代表者又は管理人)の氏名
④ 当該第三者による当該個人データの取得の経緯
⑤ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
⑥ 当該個人データの項目
5 前項各号の記載事項のうち、既に作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
6 第4項の記録は、次項又は第8項に該当する場合を除き、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。
7 第4項の記録は、当該第三者から継続的に若しくは反復して個人データの提供(第 28条第2項から第5項までの方法により個人データの提供を受けた場合を除く。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
8 第4項の記録は、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者から個人データの提供を受けたときの記録に代えることができる。
9 当社は、第4項又第5項により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。
場 合 | 保存期間 |
① 本人を当事者とする契約書等に基づく個人データの提供の場合 | 最後に当該記録に係る個人データの提供を受けた日から起算して1年を経過する日までの間 |
② 個人データの提供を継続的に若しくは反復して受ける場合 | 最後に当該記録に係る個人データの提供を受けた日から起算して3年を経過する日までの間 |
③ 上記①又は②以外の場合 | 当該記録を作成した日から3年間 |
第4章 保有個人データの開示等の請求等及び苦情処理
(個人情報保護窓口の設置等)
第 32 条
保有個人データの開示請求、訂正請求、利用停止請求及びその他相談等に対応する窓口として、個人情報保護相談窓口(以下「相談窓口」という。)を人事部に置き、当社における個人情報の取扱い等に係る相談等の受付及び事務を行うものとする。
2 相談窓口の住所、電話番号、受付時間は以下のとおりとする。
① 住所
〒541-0041
大阪府大阪市中央区北浜二丁目 6 番 26 号 大阪グリーンビル 8 階
株式会社エムアンドエムサービス
人事部 個人情報保護相談窓口
② 電話番号 06-7777-8611
③ 受付時間 月曜~金曜(祝日、年末年始は除く)
9 時 30 分~12 時、13 時~16 時 30 分
(保有個人データに関する事項の公表等)
第 33 条
当社は、保有個人データに関し、次に掲げる事項について、プライバシーポリシーと一体としてインターネットのホームページでの常時掲載を行うこと(第3号については、「保有個人データの開示等の請求手続」としてホームページに掲載する。)、又は事務所の窓口等での掲示・備付け等を行うこととする。
一 当社の名称、住所及び代表者の氏名
二 全ての保有個人データの利用目的(第 24 条第4項第1号から第3号までに該当する場合を除く。)
三 利用通知の求め(次項)又は開示請求(次条第1項。同条第5項において準用する場合を含む。)、訂正等の請求(第 35 条1項)、
利用停止等の請求(第 36 条第1項、第2項、第4項)に応じる手続(手数料の額を含む。)
四 保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に
置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
五 当社が行う保有個人データの取扱いに関する苦情の申出先
2 当社は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知するものとする。ただし、次の各号のいずれかに該当する場合は、この限りでない。
一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
二 第 24 条第4項第1号から第3号までに該当する場合
3 当社は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
(保有個人データの開示)
第 34 条
本人からの当該本人が識別される保有個人データ開示の請求の方法は、①電磁的記録の提供による方法、②書面の交付による方法、③その他当社が定める方法とする。
2 当社は、本人から、当該本人が識別される保有個人データの開示に係る請求を受けたときは、当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他 の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、 遅滞なく、当該保有個人データを開示するものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 他の法令に違反することとなる場合
3 当社は、前項の規定に基づき求められた保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、又は第1項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知するものとする。この場合、当社は本人に対して、当該通知においてその理由を説明するものとする。
4 他の法令の規定により、本人に対し第2項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は、適用しない。
5 第1項から第3項までの規定は、当該本人が識別される個人データに係る第 30 条第1項及び第 31 条第4項の記録(次の各号に掲げるものを除く。以下「第三者提供記録」という。)について準用する。
一 当該記録の存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
二 当該記録の存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
三 当該記録の存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
四 当該記録の存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
(保有個人データの訂正等)
第 35 条
当社は、当該本人が識別される保有個人データの内容が事実でないことを理由に当該本人から訂正、追加又は削除(以下「訂正等」という。)に係る請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行うものとする。
2 当社は、前項の請求に係る保有個人データの内容の全部又は一部について訂正等を行ったとき、又は訂正等を行わない旨を決定したときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知するものとする。この場合、当社は本人に対して、当該通知においてその理由を説明するものとする。
(保有個人データの利用停止等)
第 36 条
当社は、本人から、当該本人が識別される保有個人データが、第 23 条の規定(利用目的による制限)に違反して取得されているという理由、第 25 条の規定(不適正な利用の禁止)、第 26 条(適正な取得)の規定に違反して取り扱われたものであるという理由によって、当該保有個人データの利用の停止、消去(以下、本条において「利用停止等」という。)に係る請求を受けた場合であって、利用停止等に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、保有個人データの利用停止等を行うものとする。ただし、利用停止等を行うことに多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、当該本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではない。
2 当社は、本人から、当該本人が識別される保有個人データが第 28 条第1項又は第 29条の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止に係る請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの提供を停止するものとする。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3 当社は、第一項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。この場合、当社は本人に対して、当該通知においてその理由を説明するものとする。
4 ①当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、②当該本人が識別される保有個人データについて、第9条(情報漏えい事態への対応)に規定する事態が生じた場合③その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合であって、かつ、本人から当該保有個人データの利用停止等又は第三者への提供の停止に係る請求があった場合には、当社は、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行うものとする。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
(苦情処理)
第 37 条
当社は、当社における保有個人データの取扱いに関する苦情の適切かつ迅速な処理に努めるものとする。
2 苦情処理に関する当社の体制整備は、第 10 条に定めるところに従う。
第5章 個人データの委託の取扱い
(委託先における安全管理措置)
第 38 条
当社は、個人データの全部又は一部の委託する場合には、当社自らが果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう、必要かつ適切な監督を行うものとする。
2 前項の「必要かつ適切な監督」には次に掲げる事項が含まれる。
(1)委託先の適切な選定
(2)委託先に安全管理措置を遵守させるために必要な契約の締結
(3)委託先における個人データの取扱状況の把握
3 前項(1)の「委託先の適切な選定」に当たっては、委託先の安全管理措置が、少なくとも法第 20 条及び「個人情報の保護に関する法律についてのガイドライン(通則編)」で委託元に求められるものと同等であることを確認するため、同ガイドライン「8((別添)講ずべき安全管理措置の内容)」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。
4 第2項(3)の「委託先における個人データの取扱状況の把握」については、委託契約の内容として、以下の規定等を盛り込むものとする。
①秘密保持義務に関する規定
②事業所内からの個人データの持出しの禁止
③個人データの目的外利用の禁止
④再委託における条件
⑤漏えい事案等が発生した場合の委託先の責任に関する規定
⑥委託契約終了後の個人データの返却又は廃棄に関する規定
⑦従業者に対する監督・教育に関する規定
⑧契約内容の遵守状況について報告を求める規定
⑨個人データを取り扱う従業者の明確化に関する規定
⑩委託者が委託先に対して実地の調査を行うことができる規定
5 当社は、委託先の管理については、人事部を責任部署とする。
6 当社は、委託先において個人データの安全管理が適切に行われていることについて、必要に応じてモニタリングをするものとする。
7 当社は、委託先において情報漏えい事故等が発生した場合に、適切な対応がなされ、速やかに当社に報告される体制になっていることを確認するものとする。
8 委託先は、当社の許諾を得た場合に限り、委託を受けた個人データの全部又は一部を再委託することができるものとする。再委託先が更に再委託する場合も同様とする。
9 当社は、再委託先の適否の判断のみならず、委託先が再委託先に対しても必要かつ適切な監督を行っているかどうかについても監督する。
10 当社は、委託先が再委託をする場合、当該再委託契約の内容として、第4項と同等の規定等を盛り込ませるものとする。
第6章 雑則
(規程の細目及び運用)
第 39 条
この規程の実施に必要な事項は、別に定める。
附 則
この規程は、2021 年 10 月 1 日から施行する。
株式会社 エムアンドエムサービス
〒541-0041
大阪府大阪市中央区北浜2-6-26 大阪グリーンビル
TEL 06-6222-1051 / FAX 06-6222-1144
【改訂履歴】
第2版制定 2021 年 10 月 01 日
初版制定 2005 年 03 月 01 日