旭化成株式会社

個人情報取扱規程

株式会社エルオルト
制定平成17年1月1日
改正平成26年6月1日
改正平成28年8月1日

第1条
総則
第2条
個人保護方針
第3条
計画
第4条
取得・利用及び提供に関する原則
第5条
個人情報の適正管理
第6条
個人に関する本人の権利
第7条
教育
第8条
文書管理
第9条
苦情及び相談
第10条
点検及び見直し
第11条
罰則

第1章  総則

(目的)

第1条
本規程は、個人情報の重要性に鑑み、顧客等の個人情報を保護するため、別に定める個人情報保護方針(以下「保護方針」という。)に則り、株式会社エルオルト(以下「会社」という。)における個人情報に関し必要な項目を定め、もって個人情報の適正な取得・利用・保管等を行なうことを目的とする。
2.
個人番号及び特定個人情報の取扱に関する「保護方針」及び適正収集、利用、提供、保管、廃棄等については、別途定める「個人番号及及び特定個人情報取扱規定」によるものとする。

(適用)

第2条
本規程は、会社が取扱う個人情報の全て若しくは一部を電子計算機などの自動処理システムによって処理している、又は自動処理システムによる処理を行なうことを目的として書面などによって処理しているあらゆる種類、規模の業務に適用する。なお、媒体に関係なく全ての個人情報を対象とする。
2.
特定個人情報の取扱については、別途定める「個人番号及及び特定個人情報取扱規定」及び「特定情報取扱マニュアル」によるものとし、第3条以降の各条も同様とする
  • (1)社員等の範囲:第8条「資源、役割、責任及び権限」に示される個人情報保護マネジメントシステムが適用される組織で、その業務に従事している全ての者(雇用関係の有無に係わらず、事業者の指揮命令を受けて会社の業務に従事している者をいう。)
  • (2)業務の範囲:会社の業務で取扱う個人情報について適用し、恒常的な事業活動のほかに、一時的に取得、利用、保管等をする個人情報についても適用する。
  • (3)事業所範囲
    本社 東京都千代田区有楽町1丁目1番2号日比谷三井タワー29F
    東京営業所 東京都千代田区有楽町1丁目1番2号日比谷三井タワー29F
    大阪営業所 大阪市北区中之島3丁目3番23号中之島ダイビル32F
  • (4)適用規格:JISQ15001-2006

(用語の定義)

第3条
この規程における用語は、次の各号に掲げるとおりとする
  • (1)PMSとは、Personal Information Protection Management Systemの略称で、会社が運用する個人情報保護マネジメントシステムを指し、会社が自らの事業の用に供する個人情報について、その有用性に配慮しつつ、個人の権利利益を保護するための方針・体制・計画・実施・点検及び見直しを含むマネジメントシステムをいう
  • (2)個人情報とは、個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照会することができ、それによって特定の個人を識別することが出来ることとなるものを含む。)
  • (3)本人とは、個人情報によって識別される特定の個人
  • (4)個人情報保護管理責任者とは、個人情報保護に係わる最高責任者で、経営層から選出し、事業者の代表者が指名する。リスク対策の承認権限を代表者から委任される。(当社では代表取締役社長)
  • (5)個人情報保護監査責任者とは、被監査組織から独立し、公平かつ客観的な立場にあり、監査の実施、報告を行なう権限をもつ者(当社では業務部長)
  • (6)個人情報保護管理者とは、本社各部、営業所における、個人情報の取扱いに関する責任者として、各箇所長がこの任にあたる
  • (7)システム管理責任者とはパソコン・ソフトウエア等システムの管理を行う者(当社では国内ビジネストラベル営業部長)
  • (8)社員等とは、雇用関係の有無に拘わらず、事業者の指揮監督を受けて、会社の業務に従事している者
  • (9)不適合とは、規格JISQ15001:2006(個人情報保護マネジメントシステム-要求事項)の要求事項を満たしていないことをいう

第2章  個人情報保護方針

(個人情報保護方針)

第4条
会社の代表者は、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、改善する。
2.
会社の代表者は、個人情報保護の理念を明確にした上で、次の事項を含む個人情報保護方針を定めるとともに、これを実行し、かつ、維持する。
  • (1)事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下、「目的外利用」という。)を行わないこと及びそのための措置を講じることを含む。)
  • (2)個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること
  • (3)個人情報の漏洩、滅失又はき損の防止及び是正に関すること
  • (4)苦情及び相談への対応に関すること
  • (5)個人情報保護マネジメントシステムの継続的改善に関すること
  • (6)代表者の氏名
3.
会社の代表者は、この方針を文書化し、社員等に周知させるとともに、ホームページ上への掲載、事務所内受付等への掲示のうち、一つ、又は、複数の方法に掲示により閲覧可能な措置を講じるものとする。併せて会社の個人情報保護方針を「個人情報取扱いハンドブック」に掲載する。

第3章  計画

(個人情報の特定)

第5条
会社は、自らの事業の用に供する全ての個人情報(社員等に関する情報を含む)を特定するための手順を確立し、維持するものとする。
2.
この手順については「個人情報取扱いハンドブック」による。

(法令、国が定める指針その他の規範)

第6条
会社は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し、参照できる手順を確立し、維持する。
2.
個人保護管理責任者は特定された「法令及びその他の規範」の承認を行う。
3.
この手順については「個人情報取扱いハンドブック」による。

(リスクなどの認識、分析及び対策)

第7条
会社は、第5条「個人情報の特定」によって特定した個人情報について、目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持する。また第5条によって特定した個人情報について、その取扱いの各局面におけるリスク(個人情報の漏洩、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれなど)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持する。
2.
この手順については「個人情報取扱いハンドブック」による。
3.
目的外利用を行わないための対策は、第18条「利用に関する措置」で定める。

(資源、役割、責任及び権限)

第8条
会社の代表者は、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、改善するために不可欠な資源(要員、技能、技術、資金、インフラストラクチャー)を用意する。又、会社の代表者は個人情報保護マネジメントシステムを効果的に実施するために役割、責任及び権限を次項に定め、文書化し、かつ、社員等に周知するものとする。
2.
  • (1)代表者
    ア.個人情報保護方針を策定する
    イ.個人情報保護マネジメントシステムをマネジメントレビューなどを通じて見直す
    ウ.要員と所定の技能、技術、資金等の経営資源を確保する
    エ.規格の内容を理解し、実践する能力のある個人情報保護管理責任者を内部から指名し、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任に係わりなく与え、業務を行わせる
    オ.個人情報保護監査責任者を内部から指名する
    カ.個人情報取扱規程及び関連文書を承認する
    キ.教育計画書及び内部監査計画書を承認する
    ク.苦情・相談内容の対応を承認する
  • (2)個人情報保護管理責任者
    ア. JISQ15001規格の要求事項に適合した個人情報保護マネジメントシステムを確立、実施、維持、管理する
    イ.個人情報保護マネジメントシステムの見直し及び改善の基礎として、代表者に個人情報保護マネジメントシステムの運用状況を報告する
    ウ.個人情報取扱規程及び関連文書を作成する
    エ.個人情報保護に関する教育、訓練を企画し実施する
    オ.社内外の個人情報保護に関する情報(法規制等を含む)の伝達、広報を実施する
    カ.個人情報管理委員会を統括する
    キ.業務委託先へ要求事項を伝達する
    ク.安全管理の責任者として設備等について統括的な管理を行う
  • (3)個人情報保護監査責任者
    ア.JISQ15001規格と社内文書の適合性、及び社内規程と運用状況の適合性の監査の実施、及び代表者への報告を行う
    イ.法令、国が定める指針その他の規範についての遵守状況の確認をする
    ウ.監査チェックリストを承認する
  • (4)システム管理責任者
    ア.情報システムに係わる運用上の指導、指示、統率等の管理をする
    イ.社内ネットワークにおけるID、パスワードの発行、管理をする
    ウ.システム上の点検を実施する
    エ.その他、個人情報保護管理責任者の指示においてシステムの管理をする
  • (5)苦情相談窓口
    ア.苦情内容を受付、個人情報保護管理責任者を中心として審議、解決を図る
    イ.個人情報の通知、開示、訂正、追加、削除、利用停止、提供停止等を取扱う
  • (6)個人情報管理委員会
    会社の代表者、個人情報保護管理責任者、部長等のメンバーによる合議体(PMS活動に関する情報交換、手順の検討等)
  • (7)各部門
    ア.関連手順の遵守、実施等
    イ.定められた教育、訓練の受講
    ウ.業務において使用するPC、データについての管理等

(内部規程)

第9条
会社は、次の事項を含む内部規程を文書化し、かつ、維持する。なお、会社が行う事業内容に応じて個人情報保護マネジメントシステムが確実に適用されるように、内部規程を定期的に見直すとともに、必要に応じて改正する。
  • (1)個人情報を特定する手順に関する規定
  • (2)法令、国が定める指針及びその他の規範の特定、参照及び維持に関する規定
  • (3)個人情報に関するリスクの認識、分析及び対策の手順に関する規定
  • (4)当社の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
  • (5)緊急事態(個人情報が漏洩、滅失又はき損した場合)への準備及び対応に関する規定
  • (6)個人情報の取得、利用及び提供に関する規定
  • (7)個人情報の適正管理に関する規定
  • (8)本人からの開示等の求めへの対応に関する規定
  • (9)教育に関する規定
  • (10)個人情報保護マネジメントシステム文書の管理に関する規定
  • (11)苦情及び相談への対応に関する規定
  • (12)点検に関する規定
  • (13)是正処置及び予防処置に関する規定
  • (14)代表者による見直しに関する規定
  • (15)内部規程の違反に関する罰則の規定(就業規則に定める)

(計画書)

第10条
会社は、個人情報保護管理者が個人情報保護マネジメントシステムを確実に実施するために必要な教育・監査の計画を立案し、文書化し、維持する。
2.
教育計画書は、個人情報保護管理責任者が作成し、代表者の承認を得るものとする。
3.
監査計画書は、個人情報保護監査責任者が作成し、代表者の承認を得るものとする。

(緊急事態への準備)

第11条
会社は、緊急事態を特定するための手順、又、それらにどのように対応するかの手順を下記にて確立し、実施し、維持するものとする。
2.
この手順については「個人情報取扱いハンドブック」によるものとする。
3.
個人情報が漏洩、滅失又はき損した場合に想定される経済的な不利益及び社会的な信用の失墜、本人への影響等のおそれを考慮し、その影響を最小限とするための手順を確立し、かつ、維持するものとする。
4.
個人情報の漏洩、滅失又はき損が発生した場合に備え、次の事項を含む手順を確立し、かつ、維持するものとする。
  • (1)当該漏洩、滅失又はき損が発生した個人情報の内容を本人に速やかに通知する。
  • (2)二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係、発生原因及び対応策を遅滞なく公表すること。好評する方法としてはホームページ掲載等による。
  • (3)事実関係、発生原因及び対応策を関係機関に直ちに報告するものとする

第4章  取得・利用及び提供に関する原則

(運用手順)

第12条
会社は、個人情報保護マネジメントシステムが確実に実施されるように、運用の手順を明確にするものとする。

(利用目的の特定)

第13条
会社は、個人情報を取得するに当たっては、その利用目的を出来る限り特定し、その目的の達成に必要な限度において行うものとする。なお、利用目的の特定については、第5条「個人情報の特定」の手順に従って実施するものとする。

(適正な取得)

第14条
会社は、適法、かつ、公正な手段によって個人情報を取得するものとする。2本人以外から個人情報を取得する場合(受託による取得を含む)、提供元又は委託元が個人情報を適正に取扱っていることを確認する。

(特定の機微な個人情報の取得、利用及び提供の制限)

第15条
会社は、次に示す内容を含む個人情報の取得、利用又は提供は行わない。但し、これらの取得、利用又は提供について、明示的な本人の同意がある場合及び第18条「利用に関する措置」の但し書き(1)~(4)のいずれかに該当する場合は、この限りでない。
  • (1)思想、信条又は宗教に関する事項
  • (2)人種、民族、門地、本籍地(所在地都道府県に関する情報を除く。)、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
  • (3)勤労者の団結権、団体交渉その他団体行動の行為に関する事項
  • (4)集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項
  • (5)保健医療又は性生活に関する事項
2.
前項の但し書きを適用する場合は、「個人情報に関する社内申請書」により個人情報保護管理責任者の承認を得るものとする。
3.
機微な情報を取得・利用・提供する場合は、「個人情報直接取得に関する同意書」にて、本人から明示的な同意をえる。

(本人から直接書面によって取得する場合の措置)

第16条
会社は、本人から書面(電子的方式、磁気的方式等人の知覚によっては認識できない方式で作られた記録を含む。以下、同じ。)に記載された個人情報を直接に取得する場合には、少なくとも、次に示す事項又はそれと同等以上の内容の事項を予め、書面によって本人へ明示し、本人の同意を得るものとする。但し、人の生命、身体又は財産の保護のために緊急に必要がある場合、第17条「個人情報を第16条以外の方法によって取得した場合の措置」の但し書き(1)~(4)のいずれかに該当する場合、及び第18条「利用に関する措置」の但し書き(1)~(4)のいずれかに該当する場合は、この限りでない。
  • (1)事業者の氏名又は名称
  • (2)個人情報保護管理責任者(若しくはその代理人)の氏名又は職名、所属及び連絡先
  • (3)個人情報の利用目的
  • (4) 個人情報を第三者に提供することが予定される場合の事項
    ・個人情報を第三者に提供する目的
    ・提供する個人情報の項目
    ・提供の手段又は方法
    ・当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
    ・個人情報の取扱いに関する契約がある場合はその旨
  • (5)個人情報の取扱いの委託を行うことが予定される場合には、その旨
  • (6)第28条「開示対象個人情報の利用目的の通知」~第31条「開示対象個人情報管理の利用又は提供の拒否権」に該当する場合には、その求めに応じる旨及び問合せ窓口
  • (7)本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果。
  • (8)本人が容易に認識できない方法によって個人情報を取得する場合には、その旨。
2.
前項の但し書きを適用する場合を含め、個人情報を直接書面によって取得する場合は「個人情報に関する社内申請書」により個人情報保護管理責任者の承認を得るものとする。
3.
本人が満18歳未満の場合は、本人への開示情報に関する同意を保護者から得るものとする。

(個人情報を第16条以外の方法によって取得した場合の措置)

第17条
会社は、個人情報を第16条「本人から直接書面によって取得する場合の措置」以外の方法によって取得した場合は、予めその利用目的を公表している場合を除き、速やかにその利用目的を、書面、電話等によって本人に通知し、又は公表するものとする。但し、次に示すいずれかに該当する場合は、この限りでない。
  • (1)利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  • (2)利用目的を本人に通知し、又は公表することによって当該事業者の権利又は正当な利益を害するおそれのある場合
  • (3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき
  • (4)取得の状況からみて利用目的が明らかであると認められる場合であり、当社においては、一般慣行として名刺交換した名刺による会社名・氏名・肩書き・電話番号等の取得で業務連絡のみに利用する場合、受領した電子メールにおける氏名・アドレス等の取得で電子メールの送受信のみに利用する場合、見積書、契約書、請求書、納品書、検収書、領収書等の書式における住所・氏名・捺印等の取得で書式本来の目的のみに利用する場合、商品、サービス等の販売・提供に関する住所・氏名・電話番号等の取得で当該商品・サービスの販売・提供のみに利用する場合に限定する
2.
前項の但し書きを適用する場合を含め、個人情報を第16条「本人から直接書面によって取得する場合の措置」以外の方法によって取得した場合は、「個人情報に関する社内申請書」により個人情報保護管理責任者の承認を得るものとする。利用目的等を公表する方法としては、ホームページ掲載、店頭掲示等の方法による。

(利用に関する措置)

第18条
会社は、特定した利用目的の達成に必要な範囲内で個人情報の利用を行う。特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、予め、少なくとも第16条「本人から直接書面によって取得する場合の措置」の(1)~(6)に示す事項又はそれと同等以上の内容の事項を「個人情報の利用目的変更(追加)同意書」によって本人に通知し、本人の同意を得るものとする。但し、次に示すいずれかに該当する場合においてのみ、この限りでない。
  • (1)法令に基づく場合
  • (2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  • (3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
  • (4)国の機関若しくは地方公共団体又はその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって、当該事務の遂行に支障を及ぼすおそれがあるとき
2.
本人の同意を得た後、利用について「個人情報に関する社内申請書」により個人情報保護管理者の承認を得る。(前項の但し書きを適用する場合も含む)
3.
目的外の利用に該当するかどうか判断に迷う場合、管理者の判断を求める。

(本人にアクセスする場合の措置)

第19条
会社は、個人情報を利用して本人にアクセスする場合には、本人に対して第16条「本人から直接書面によって取得する場合の措置」の(1)~(6)に示す事項又はそれと同等以上 の内容の事項、及び取得方法を書面で通知し、本人の同意を得るものとする。但し次に示すいずれかに該当する場合は、この限りでない。
  • (1)第16条の(1)~(6)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、既に本人の同意を得ているとき
  • (2)個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報を、その利用目的の達成に必要な範囲で取扱うとき
  • (3)合併その他の事由による事業の承継に伴って個人情報が提供され、個人情報を提供する事業者が、既に第16条の(1)~(6)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、承継前の利用目的の範囲内で当該個人情報を取扱うとき
  • (4) 個人情報が特定の者との間で共同して利用され、共同利用者が、既に第16条の(1)~(6)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、次に示す事項又はそれと同等以上の事項を、予め、本人に通知し、又は本人が容易に知り得る状態に置いているとき
    ・共同して利用すること
    ・共同して利用される個人情報の項目
    ・共同して利用する者の範囲
    ・共同して利用する者の利用目的
    ・共同して利用する個人情報の管理について責任を有する者の氏名又は名称
    ・取得方法
  • (5)第17条の但し書き(4)に該当するため、利用目的などを明示、通知又は公表することなく取得した個人情報を利用して、本人へアクセスするとき
  • (6)第18条の但し書き(1)~(4)のいずれかに該当する場合
2.
但し書き(2)~(6)を適用する場合を含め、本人へアクセスする場合には、取得時又は利用時に作成した「個人情報に関する社内申請書」によるか、新たに個人情報取扱者が「個人情報に関する社内申請書」を作成・申請し、個人情報保護管理責任者の承認を得るものとする。
3.
但し書き(2)を適用する場合は、委託元が個人情報保護法及びガイドライン等に沿って適切に個人情報を取扱っていることを文書、電子メール又は口頭にて確認し、記録に残すものとする。
4.
但し書き(4)を適用する場合は、本人に通知する手順としては、個人情報取扱者が、書面の手渡し、郵送又は電子メールの送信を行う。本人が容易に知り得る状態に置く手順としては、ホームページ上への掲載、事務所内受付等への掲示のうち、一つ、又は、複数の方法によるものとする。
5.
当社では但し書き(4)を適用することがない。但し書き(4)の適用が必要になった場合は、共同利用者と下記の事項を明確にした取り決めをおこなう。(手順の詳細は取扱い「個人情報取扱ハンドブック」よる)
  • (1)共同して利用する個人情報の項目
  • (2)共同して利用する者の範囲
  • (3)共同して利用する者のすべての利用目的
  • (4)共同して利用する個人情報の管理について責任を有する者の氏名又は名称
  • (5)共同利用者の要件
  • (6)各共同利用者の個人情報取扱責任者、問合せ担当者及び連絡先
  • (7)共同利用する個人情報の取扱いに関する事項
  • (8)共同利用する個人情報の取扱いに関する取決めが遵守されなかった場合の措置
  • (9)共同利用する個人情報に関する事件・事故が発生した場合の報告・連絡に関する事項

(提供に関する措置)

第20条
会社が、個人情報を第三者に提供する場合には、予め本人に対して、取得方法及び第16条「本人から直接書面によって取得する場合の措置」の(1)~(4)の事項又はそれと同等以上の内容の事項を書面で通知し、本人の同意を得なければならない。但し次に示すいずれかに該当する場合は、この限りでない。
  • (1)第16条又は第19条の規定によって、既に第16条の(1)~(4)の事項又はそれと同等以上の内容の事項を本人に明示又は通知し、本人の同意を得ているとき
  • (2) 大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難な場合であって、次に示す事項又はそれと同等以上の内容の事項を、予め本人に通知しているとき
    ・第三者への提供を利用目的とすること
    ・第三者に提供される個人情報の項目
    ・第三者への提供の手段又は方法
    ・本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること
    ・取得方法
  • (3)法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であって、かつ、法令に基づき又は本人若しくは当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって、(2)で示す事項又はそれと同等以上の内容の事項を、予め本人に通知し、又は本人が容易に知り得る状態に置いているとき
  • (4)特定した利用目的の達成に必要な範囲内において、個人情報の取扱いの全部又は一部を委託するとき
  • (5)合併その他の事由による事業の承継に伴って個人情報を提供する場合であって、承継前の利用目的の範囲内で当該個人情報を取扱うとき
  • (6) 個人情報を特定の者との間で共同して利用する場合であって、次に示す事項又はそれと同等以上の内容の事項を、予め本人に通知し、又は本人が容易に知り得る状態に置いているとき
    ・共同して利用すること
    ・共同して利用される個人情報の項目
    ・共同して利用する者の範囲
    ・共同して利用する者の利用目的
    ・共同して利用する個人情報の管理について責任を有する者の氏名又は名称
    ・取得方法
  • (7)第18条の但し書き(1)~(4)のいずれかに該当する場合
2.
但し書き(2)~(7)を適用する場合を含め個人情報を第3者に提供する場合は、個人情報取扱者が「個人情報に関する社内申請書」を作成・申請し、個人情報保護管理責任者の承認を得るものとする。
3.
但し書き(2)は原則として適用しないものとする。やむを得ず適用する場合の適用基準は、大量の個人情報を広く一般に提供することが公共的な有益性があること、本人の不利益が許容範囲と考えられること、当社の事業として是非とも必要であること、本人の同意を得ることが不可能又は時間的・コスト的に不可能であること、当該業務が社会通念上許容されるものであること、の全てを満たす場合のみとし、その判断は個人情報保護管理責任者が行うものとする。
4.
但し書き(2)、(3)、(6)を適用する場合、本人に通知する手段としては、個人情報取扱者が、書面の手渡し、郵送又は電子メールの送信を行うものとする。
5.
(3)、(6)の「容易に知り得る状態」に置く手順としては、ホームページ上への掲載、店頭掲示等のうち、一つ、又は、複数の方法によるものとする。
6.
本人の同意を得る手順は、第16条「本人から直接書面によって取得する場合の措置」によるが、通知事項は同条(1)~(4)のみでよいものとする。
7.
当社では但し書き(6)を適用することがない。但し書きの適用が必要になった場合は、共同利用者と下記の事項を明確にした取り決めをおこなう。(手順の詳細は取扱い「個人情報取扱ハンドブック」よる)
  • (1)共同して利用する個人情報の項目
  • (2)共同して利用する者の範囲
  • (3)共同して利用する者のすべての利用目的
  • (4)共同して利用する個人情報の管理について責任を有する者の氏名又は名称
  • (5)共同利用者の要件
  • (6)各共同利用者の個人情報取扱責任者、問合せ担当者及び連絡先
  • (7)共同利用する個人情報の取扱いに関する事項
  • (8)共同利用する個人情報の取扱いに関する取決めが遵守されなかった場合の措置
  • (9)共同利用する個人情報に関する事件・事故が発生した場合の報告・連絡に関する事項

第5章  個人情報の適正管理

(正確性の確保)

第21条
会社は、利用目的の達成に必要な範囲内において、個人情報を正確、かつ、最新の状態で管理するものとする。

(安全管理措置)

第22条
会社は、その取扱う個人情報のリスクに応じて、漏洩、滅失又はき損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講じるものとする。手順の詳細は、「個人情報取扱いハンドブック」によるものとする。

(社員等の監督)

第23条
会社は、社員等に個人情報を取扱わせるに当っては、当該個人情報の安全管理が図られるよう、当該社員等に対し次の必要、かつ、適切な監督を行うものとする。
  • (1)全ての社員等との雇用契約時、又は委託契約時に誓約書等の個人情報の非開示契約を締結すること
  • (2)雇用契約又は委託契約等を締結する場合、非開示条項は、契約終了後も一定期間有効であるようにすること
  • (3)個人情報保護マネジメントシステムに係わる諸規程に違反する行為を行った者は、就業規則の定めるところに従って、懲戒解雇を含む処分、損害賠償請求の対象になる場合があること

(委託先の監督)

第24条
会社は、個人情報の取扱いの全部又は一部を委託する場合は、十分な個人情報の保護水準を満たしている者を選定するものとする。
2.
会社は、個人情報の取扱いの全部又は一部を委託する場合は、委託する個人情報の安全管理が図られるよう、委託を受けたものに対する必要、かつ、適切な監督を行なう。又、次に示す事項によって規定し、十分な個人情報の保護水準を担保する。業務委託先の選定手順の詳細は「個人情報取扱いハンドブック」によるものとする。
  • (1)委託者及び受託者の責任の明確化
  • (2)個人情報の安全管理に関する事項
    ・盗用の禁止
    ・契約範囲外の加工・利用の禁止
    ・契約範囲外の複写・複製の禁止
    ・委託契約期間
    ・委託契約終了後の個人情報の返還・消去・廃棄に関する事項
  • (3)再委託に関する事項
  • (4)個人情報の取扱い状況に関する委託者への報告の内容及び頻度
  • (5)契約内容が遵守されていることを委託者が確認できる事項
  • (6)契約内容が遵守されなかった場合の措置
  • (7)事件・事故が発生した場合の報告・連絡に関する事項

第6章  個人情報に関する本人の権利

(個人情報に関する権利)

第25条
会社は、電子計算機を用いて検索することが出来るように体系的に構成した情報の集合物又は一定の規則に従って整理、分類し、目次、索引、符号などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であって、会社が、本人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の求めの全てに応じることができる権限を有する者(以下、第6章において「開示対象個人情報」という。)に関して、本人から利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者提供の停止(以下「開示等」という。)を求められた場合は、第28条の「開示対象個人情報の利用目的の通知」~第31条「開示対象個人情報の利用又は提供の拒否権」の規定によって、遅滞無くこれに応じるものとする。但し、次のいずれかに該当する場合は、開示対象個人情報ではないものとする。
  • (1)当該個人情報の存否が明らかになることによって、本人又は第三者の生命、身体又は財産に危害が及ぶおそれのあるもの
  • (2)当該個人情報の存否が明らかになることによって、違法又は不当な行為を助長し、又は誘発するおそれのあるもの
  • (3)当該個人情報の存否が明らかになることによって、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの
  • (4)当該個人情報の存否が明らかになることによって、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序維持に支障が及ぶおそれのあるもの
2.
但し書きを適用する場合は、「個人情報開示等依頼書」を用いて個人情報取扱者が対応状況を記載し、個人情報保護管理責任者の承認を得る。開示等の請求者には「個人情報開示等通知書」によって回答する。手順の詳細は「個人情報取扱いハンドブック」によるものとする。
3.
開示等の請求への対応は、苦情相談窓口が統括する。開示等の問合せ先は事務所内受付等の掲示によるものとする。

(開示等の求めに応じる手続き)

第26条
会社は、開示等の求めに応じる手続きとして次の事項を定めるものとする。
  • (1)開示等の求めの申し出先
  • (2)開示等の求めに際して提出すべき書類の様式、その他の開示等の求めの方式
  • (3)開示等の求めをする者が、本人又は代理人(以下、「本人等」という)であることの確認の方法
  • (4)第28条「開示対象個人情報の利用目的の通知」又は第29条「開示対象個人情報の開示」による場合の手数料(定めた場合に限る)の徴収方法
2.
会社は、本人等からの開示等の求めに応じる手続きを定めるに当たっては、本人等に過重な負担を課するものとならないよう配慮するものとする。会社は、第28条「開示対象個人情報の利用目的の通知」又は、第29条「開示対象個人情報の開示」によって本人等からの求めに応じる場合に、手数料を徴収するときは、実費を勘案して合理的であると認められる範囲内において、その額を定めるものとする。
3.
(1)の開示等の求めの申し出先は、苦情相談窓口とする
4.
(2)の開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式は、「個人情報開示等依頼書」、「個人情報取扱いハンドブック」による
5.
(3)の開示等の求めをする者が、本人又は代理人であることの確認方法は、「個人情報取扱いハンドブック」による
6.
(4)の手数料は、郵送で受け渡す場合のみ800円とし、徴収方法は郵便切手の同封による

(開示対象個人情報に関する事項の周知)

第27条
会社は、取得した個人情報が開示対象個人情報に該当する場合は、当該開示対象個人情報に関し、次の事項を本人等が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置くものとする。
  • (1)会社の名称
  • (2)個人情報保護管理責任者(若しくはその代理人)の氏名又は職名、所属及び連絡先
  • (3)すべての開示対象個人情報の利用目的(第17条の(1)~(3)までに該当する場合を除く)
  • (4)開示対象個人情報の取扱いに関する苦情の申し出先
  • (5)当該事業者が個人情報の保護に関する法律(平成15年法律第57号)第37条第1項の認定を受けた者(以下、「認定個人情報保護団体」という。)の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の申し出先
  • (6)第26条によって定めた手続き
2.
本人等の知り得る状態に置く方法としては、ホームページ上への掲載、店頭掲示等のうち、一つ、又は、複数の方法によるものとする。

(開示対象個人情報の利用目的の通知)

第28条
会社は、本人等から当該本人が識別される開示対象個人情報について、利用目的の通知を求められた場合には、遅滞なくこれに応じるものとする。但し、第17条「個人情報を第16条以外の方法によって取得した場合の措置」の但し書き(1)~(3)のいずれかに該当する場合、又は第27条「開示対象個人情報に関する事項の周知」の(3)によって当該本人が識別される開示対象個人情報の利用目的が明らかな場合は利用目的の通知を必要としないが、そのときは、本人等に遅滞なくその旨を通知するとともに、理由を説明するものとする。
2.
但し書きを適用する場合を含めて、「個人情報開示等通知書」を用いて、個人情報取扱者が対応状況を記載し、個人情報保護管理責任者の承認を得る。利用目的の通知の請求者には、電話等により回答する。手順の詳細は、「個人情報取扱いハンドブック」による。

(開示対象個人情報の開示)

第29条
会社は、本人等から、当該本人が識別される開示対象個人情報の開示(当該本人が識別される開示対象個人情報が存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、法令の規定によって特別の手続きが定められている場合を除き、本人等に対し、遅滞なく、当該開示対象個人情報を書面(開示の求めを行った者が同意した方法があるときは、当該方法)によって開示するものとする。但し、開示することによって次の(1)~(3)のいずれかに該当する場合は、その全部又は一部を開示する必要はないが、そのときは、本人等に遅滞なくその旨を通知するとともに、理由を説明するものとする。
  • (1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれのある場合
  • (2)当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  • (3)法令に違反することとなる場合
    回答内容の承認及び但し書きを適用する場合を含めて、手順の詳細は、「個人情報取扱いハンドブック」による。

(開示対象個人情報の訂正、追加又は削除)

第30条
会社は、本人等から、当該本人が識別される開示対象個人情報の内容が事実でないという理由によって当該開示対象個人情報の訂正、追加又は削除(以下、この項において「訂正等」という。)を求められた場合は、法令の規定によって特別な手続きが定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該開示対象個人情報の訂正等を行うものとする。
2.
会社は、前項に基づき訂正等を行ったときは、その旨及びその内容を、本人等に対し、遅滞なく通知し、訂正等を行わない旨を決定したときは、その旨及びその理由を、本人等に対し遅滞なく通知するものとする。
3.
訂正等を行わない場合を含めて、「個人情報開示等通知書」を用いて、個人情報取扱者が対応状況を記載し、個人情報保護管理責任者の承認を得る。訂正等の請求者には、電話等により回答する。手順の詳細は、「個人情報取扱いハンドブック」による。

(開示対象個人情報の利用又は提供の拒否権)

第31条
会社が、本人等から当該本人が識別される開示対象個人情報の利用の停止、消去又は第三者への提供の停止(以下、この項において「利用停止等」という。)を求められた場合は、これに応じものとする。又、措置を講じた後は、遅滞なくその旨を本人等に通知するものとする。
2.
但し、第29条「開示対象個人情報の開示」の但し書き(1)~(3)のいずれかに該当する場合は、利用停止等を行う必要はないが、そのときは、本人等に遅滞なくその旨を通知するとともに、理由を説明するものとする。
3.
但し書きを適用する場合を含めて、「個人情報開示等通知書」を用いて個人情報取扱者が対応状況を記載し、個人情報保護管理責任者の承認を得る。利用停止等の請求者には「個人情報開示等通知書」によって回答する。手順の詳細は「個人情報取扱いハンドブック」による。

第7章  教育

(教育)

第32条
会社は、社員等に定期的に適切な教育を行うものとする。
2.
会社は、社員等に関連する各部門及び階層における、次の事項を理解させる手順を確立し、かつ、維持するものとする。
  • (1)個人情報保護マネジメントシステムに適合することの重要性及び利点
  • (2)個人情報保護マネジメントシステムに適合するための役割及び責任
  • (3)個人情報保護マネジメントシステムに違反した際に予想される結果
3.
会社は、教育の計画及び実施、結果の報告及びそのレビュー、計画の見直し並びにこれらに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施し、かつ、維持するものとする。
4.
前項の手順としては、個人情報保護管理責任者が、年度毎に教育計画書を作成し、教育を実施し、その効果を評価し、教育実施結果の報告書を作成するものとする。代表者は教育計画書を承認するものとする。詳細は、「個人情報取扱いハンドブック」による。

第8章  文書管理

(文書の範囲)

第33条
会社は、次の個人情報保護マネジメントシステムの基本となる要素を、書面で記述するものとする。
  • (1)個人情報保護方針
  • (2)内部規程
  • (3)計画書
  • (4)JISQ15001:2006が要求する記録、及び、会社が個人情報保護マネジメントシステムを実施する上で必要と判断した記録

(文書管理)

第34条
会社は、JISQ15001:2006が要求する全ての文書(記録を除く)を管理する手順を確立し、実施し、かつ、維持するものとする。文書管理の手順には、次の事項が含まれるものとする。
  • (1)文書の発行及び改訂に関すること
  • (2)文書の改訂の内容と版数との関連付けを明確にすること
  • (3)必要な文書が必要なときに容易に参照できること

(記録の管理)

第35条
会社は、個人情報保護マネジメントシステム及びJISQ15001:2006の要求事項への適合を実証するために必要な記録を作成し、かつ、維持しなければならない。
2.
会社は、記録の管理についての手順を確立し、実施し、かつ、維持するものとする。なお詳細は、「個人情報取扱いハンドブック」による。

第9章  苦情及び相談

(苦情及び相談への対応)

第36条
会社は、個人情報の取扱い、及び、個人情報保護マネジメントシステムに関して、本人からの苦情及び相談を受け付けて、適切、かつ、迅速な対応を行う手順を確立し、かつ、維持するものとする。会社は、上記の目的を達成するために必要な体制の整備を行うものとする。
2.
苦情及び相談に対しては、苦情相談窓口が統括する。苦情及び相談の問合せ先はホームページ上への掲載、店頭掲示等のうち、一つ、又は、複数の方法によるものとする。「苦情相談報告書」を用いて、個人情報取扱者が対応状況を記載し、個人情報保護管理責任者の承認を得る。個人情報保護管理責任者は、苦情及び相談の内容及び対応結果を代表者に報告する。手順の詳細は「個人情報取扱いハンドブック」による。

第10章  点検及び見直し

(運用の確認)

第37条
会社は、個人情報保護マネジメントシステムが適切に運用されていることが社内の各部門及び階層において定期的に確認されるための手順を確立し、実施し、かつ、維持するものとする。
2.
運用の確認の手順としては、個人情報保護管理責任者が個人情報管理部署に「個人情報運用確認チェックリスト」を配布する。個人情報管理部署は、3ヶ月に1回以上の頻度で定期的に自箇所の運用状況を確認し、当該チェックリストに記入して、個人情報保護管理責任者に提出する。

(監査)

第38条
会社は、自ら定めた個人情報保護マネジメントシステムにJISQ15001:2006への適合状況及び個人情報保護マネジメントシステムの運用状況を、年1回以上定期的に監査するものとする。
2.
代表者は、公平、かつ、客観的な立場にある個人情報保護監査責任者を当社の内部の者から指名し、監査の実施及び報告を行う責任及び権限を他の責任に係わりなく与え、業務を行わせるものとする。
3.
個人情報保護監査責任者は、監査を指揮し、内部監査報告書を作成し、会社の代表者に報告するものとする。
4.
監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保するため、自身の所属部門の監査は行わないものとする。
5.
会社は、監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任と権限を定める手順を確立し、実施し、かつ、維持するものとする。
6.
手順の詳細は、「個人情報取扱いハンドブック」によるものとする。

(是正処置及び予防処置)

第39条
会社は、不適合に対する是正処置及び予防処置を確実にするための責任及び権限を定める手順を確立し、実施し、かつ、維持するものとする。その手順には次の事項を含めるものとする。
  • (1)不適合の内容を確認する
  • (2)不適合の原因を特定し、是正処置及び予防処置を立案する
  • (3)期限を定め、立案された適切な処置を実施する
  • (4)実施された是正処置及び予防処置の結果を記録する
  • (5)実施された是正処置及び予防処置の有効性をレビューする
2.
手順の詳細は、「個人情報取扱いハンドブック」によるものとする。

(会社の代表者による見直し)

第40条
会社の代表者は、個人情報の適切な保護を維持するために、少なくとも年1回定期的に個人情報保護マネジメントシステムを見直すものとする。会社の代表者による見直しにおいては、次の事項を考慮するものとする。
  • (1)監査及び個人情報保護マネジメントシステムの運用状況に関する報告
  • (2)苦情を含む外部からの意見
  • (3)前回までの見直し結果に対するフォローアップ
  • (4)個人情報の取扱いに関する法令、国の定める指針及びその他の規範の改正状況
  • (5)社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
  • (6)事業者の事業領域の変化
  • (7)内外から寄せられた改善のための提案
2.
手順の詳細は、「個人情報取扱いハンドブック」によるものとする。

第11章  罰則

(罰則)

第41条
個人情報保護に関連する法令及び本規程等に違反する行為を行った者に対しては、就業規則等社内の基準に従い懲戒処分を行うものとする。

附   則

本規程の制定は、制定平成17年1月1日より実施する。
改正平成26年6月1日
改正平成28年8月1日