個人情報保護規定200907版

Size: px

Start display at page:

Download "個人情報保護規定200907版"

もえりくぬぎ
5 years ago
Views:

1 個人情報保護規程第 1.0 版株式会社甲南堂印刷許可無く複写持出を禁ずる

2 改訂履歴発行日版数改訂内容作成承認 2010 年 9 月 30 日第 1.0 版初版発行 ( 制定 ) 水落社長年月日年月日年月日年月日 1

3 目項次目ページ１総則４１１目的４１２適用範囲４２用語及び定義４３要求事項６３１一般要求事項６３２個人情報保護方針６３３計画６３３１個人情報の特定６３３２法令国が定める指針その他の規範６３３３リスクなどの認識分析及び対策７３３４資源役割責任及び権限７３３５内部規程９３３６計画書１０３３７緊急事態への準備１０３３８個人情報保護委員会１１３４実施及び運用１２３４１運用手順１２３４２取得利用及び提供に関する原則１２３４２１利用目的の特定１２３４２２適正な取得１２３４２３特定の機微な個人情報の取得利用および提供の制限１２３４２４本人から直接書面によって取得する場合の措置１３３４２５個人情報を３４２４以外の方法によって取得した場合の措置１３３４２６利用に関する措置１４３４２７本人にアクセスする場合の措置１５３４２８提供に関する措置１６３４３適正管理１７３４３１正確性の確保１７３４３２安全管理措置１７３４３３従業者の監督１７３４３４委託先の監督１８３４４個人情報に関する本人の権利１９３４４１個人情報に関する権利１９３４４２開示等の求めに応じる手続１９３４４３開示対象個人情報に関する事項の周知など２０ 2

4 ３４４４開示対象個人情報の利用目的の通知２０３４４５開示対象個人情報の開示２１３４４６開示対象個人情報の訂正追加又は削除２１３４４７開示対象個人情報の利用又は提供の拒否権２１３４５３５教育２２個人情報保護マネジメントシステム文書２３３５１文書の範囲２３３５２文書管理２３３５３記録の管理２３３６苦情及び相談への対応２４３７点検２４３７１運用の確認２４３７２監査２４３８是正処置及び予防処置２５３９代表者による見直し２５ 3

5 1. 総則 1.1. 目的本個人情報保護規程 ( 以下本規程 ) は株式会社甲南堂印刷が事業の用に供する個人情報に関して JIS 規格 (JIS Q 15001:2006) に従い適切に取扱うために必要な事項を定めることを目的とする 1.2. 適用範囲本規程は当社が事業の用に供する個人情報についてその保存する媒体に関わらず全ての個人情報を対象とする又本規程は当社の全組織を適用範囲とし当社の全ての役員及び正社員契約社員アルバイトなど雇用形態の区別なく当社事業に従事する全従業者及び協力会社従業者に適用する 2. 用語及び定義本規程で用いる主な用語及び定義は次の通りとする (1) 個人情報個人に関する情報であって当該情報に含まれる氏名生年月日その他の記述などによって特定の個人を識別できるもの ( 他の情報と容易に照合することができそれによって特定の個人を識別することができることとなるものを含む ) (2) 本人個人情報によって識別される特定の個人 (3) 事業者事業を営む法人その他の団体又は個人本規程においては当社という (4) 個人情報保護管理者当社の代表者によって内部から指名された者であり個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者 (5) 個人情報保護監査責任者当社の代表者によって内部から指名された者であり公平かつ客観的な立場にあり監査の実施及び報告を行う責任及び権限をもつ者 (6) 本人の同意本人が個人情報の取扱いに関する情報を与えられた上で自己に関する個人情報の取扱いについて承諾する意思表示本人が子ども又は事理を弁職する能力を欠く者の場合は法定代理人等の同意も得なければならない (7) 個人情報保護マネジメントシステム当社が自らの事業の用に供する個人情報についてその有用性配慮しつつ個人の権利利益を保護するための方針体制計画実施点検及び見直しを含むマネジメントシステム (8) 不適合 JIS Q 15001:2006 の要求事項を満たしていないこと及び当社の個人情報保護マネジメントシステムの規程を遵守していないこと 4

6 (9) 開示等利用目的の通知開示内容の訂正追加又は削除利用の停止消去及び第三者への提供の停止 (10) 目的外利用特定した利用目的の達成に必要な範囲を超えて個人情報を利用すること (11)( 個人情報の ) リスク個人情報の漏えい滅失又はき損関連する法令国が定める指針その他規範に対する違反想定される経済的な不利益及び社会的な信用の失墜本人への影響などのおそれをいう (12) 個人情報の取り扱いの局面個人情報の取得入力移送送信利用加工保管バックアップ消去廃棄に至る取り扱いの一連の流れの各局面をいう (13) 文書化本規程において文書化と言う場合は紙に印刷されたもののみならず電子的方式磁気的方式など人の知覚によっては認識できない方式で作られる記録を含むものとする (14) 書面本規程において書面と言う場合は紙に印刷されたもののみならず電子的方式磁気的方式など人の知覚によっては認識できない方式で作られる記録を含むものとする (15) 委託先当社が個人情報の取り扱いの全部又は一部を委託する場合その委託する先の事業者を委託先と呼ぶ 5

7 3. 要求事項 3.1 一般要求事項当社は JIS Q15001:2006 の要求事項に従い個人情報保護マネジメントシステムを確立し実施し維持しかつ改善する 3.2 個人情報保護方針 (1) 代表取締役は当社の個人情報保護の理念を明確にした上で次の a) から g) の事項を含む個人情報保護方針を定めると共にこれを実行しかつ維持しなければならない (2) 代表取締役は個人情報保護方針を文書化し社内掲示配布イントラネットへの掲載などにより当社の全役員及び従業員に周知させるとともに一般の方が入手可能な措置として当社ホームページ ( 以下 HP という ) 上に掲載し公表しなければならない < 個人情報保護方針に規定すべき事項 > a) 事業の内容及び規模を考慮した適切な個人情報の取得利用及び提供に関すること ( 特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い ( 以下目的外利用という ) を行わないこと及びそのための措置を講じることを含む ) b) 個人情報の漏えい滅失又はき損の防止及び是正に関すること c) 苦情及び相談への対応に関すること d) 個人情報の取扱いに関する法令国が定める指針その他の規範を遵守すること e) 個人情報保護マネジメントシステムの継続的改善に関すること f) 代表者の氏名 g) 制定年月日及び最終改訂年月日 >> 参照文書個人情報保護方針 3.3 計画個人情報の特定 (1) 当社は当社の事業の用に供するすべての個人情報を特定するための手順を確立し維持する (2) 個人情報の特定維持更新承認の手順についてはマネジメントシステム運用手順書 : 個人情報の特定手順に定める (3) 特定した個人情報は毎年 9 月に見直す >> 参照文書マネジメントシステム運用手順書: 個人情報の特定手順個人情報保護マネジメントシステム年間計画書法令国が定める指針その他の規範 (1) 当社は個人情報の取り扱いに関する法令国が定める指針その他の規範を特定し参照できる手順を確立し維持する (2) 特定維持の手順についてはマネジメントシステム運用手順書 : 法令等の特定手順に定める (3) 特定した法令等の改訂の有無について毎年 4 月に見直す 6

8 >> 参照文書マネジメントシステム運用手順書: 法令等の特定手順個人情報保護マネジメントシステム年間計画書リスクなどの認識分析及び対策 (1) 当社は本規程個人情報の特定によって特定した個人情報について目的外利用を行わないため必要な対策を講じる手順を本規程利用に関する措置に定めかつ維持する (2) 当社は本規程個人情報の特定によって特定した個人情報についてその取扱いの各局面におけるリスクを認識し分析し必要な対策を講じる手順をマネジメントシステム運用手順書 : リスク管理手順に定め維持する (3) 個人情報のリスクは事業の用に供する個人情報に変動が生じた場合や事務所組織事業内容などの環境に変化が生じた場合などリスクが変化することが想定される場合は随時見直しを実施しなければならない (4) また個人情報のリスクは毎年 9 月に見直す ( 注 ) リスクを認識するとは個人情報の取り扱いの各局面において適正な保護措置を講じない場合に顕在化することが想定されるリスクを洗い出すことを言うリスクを分析するとは認識したリスクについて当社の事業への影響度発生の頻度などを評価することを言う >> 参照文書マネジメントシステム運用手順書: リスク管理手順個人情報保護マネジメントシステム年間計画書資源役割責任及び権限 (1) 代表取締役は個人情報保護マネジメントシステムを確立し実施し維持しかつ改善するために不可欠な資源を用意しなければならない (2) 代表取締役は個人情報保護マネジメントシステムを効果的に実施するためのマネジメントシステム体制を定め個人情報保護体制図に記載し従業者に周知しなければならない (3) 当社の個人情報保護マネジメントシステムにおける役割責任及び権限は以下の通り ⅰ) 代表取締役代表取締役は当社の代表者として JIS 規格の要求事項において事業者の代表者が果たすべき役割として定められた責任を果たすと共に当社の個人情報保護マネジメントシステムが適切に運用維持改善される為に必要な責任及び権限を行使しなければならない個人情報保護方針について本規程 3.2に定める事項を実施しなければならない内部規程計画書など本規程で定める個人情報保護マネジメントシステム文書についてその作成を指示し当社にとって適切なものであることを確認し承認しなければならない個人情報保護マネジメントシステムの運用状況内部監査苦情相談の処置などについて本規程及び運用手順書に定めるとおり責任者から報告を受け承認行為を実施しなければならない是正処置及び予防処置についてその状況や再発防止策について審査し再発防止策の実施について指示しなければならないマネジメントレビューにおいて当社の個人情報保護マネジメントシステムが適切な状態に維持されるよう見直しを行わなければならない 7

9 ⅱ) 個人情報保護管理者個人情報保護管理者は JIS Q15001:2006 規格の内容を理解し実践する能力のある者で代表取締役により当社内から指名された者が就任する個人情報保護管理者は個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任に関わりなく与えられ業務を行わなければならない個人情報保護管理者は個人情報保護マネジメントシステムの見直し及び改善の基礎として個人情報保護マネジメントシステムの運用状況及び個人情報保護委員会の議事事項を代表取締役に報告しなければならない ⅲ) 個人情報保護監査責任者個人情報保護監査責任者は JIS Q15001:2006 規格の内容を理解し公平かつ客観的な立場にある者で代表取締役により当社内から指名された者が就任する個人情報保護監査責任者は個人情報保護マネジメントシステムの監査責任と権限を他の責任に関わりなく与えられ業務を行わなければならない個人情報保護監査責任者は会社法による監査役又はそれに相当する者を指名してはならない又個人情報保護監査責任者は個人情報保護管理者と同一人物であってはならない ⅳ) 教育責任者教育責任者は JIS Q15001:2006 規格の内容を理解し代表取締役によって任命されたものが就任する教育責任者は各部門及び階層における従業員に対して実施する個人情報保護マネジメントシステムの教育に関する責任と権限を他の責任に関わりなく与えられ業務を行わなければならない ⅴ) 個人情報保護窓口責任者個人情報保護窓口責任者は JIS Q15001:2006 規格の内容を理解し代表取締役によって任命された者が就任する個人情報保護窓口責任者は個人情報に関する対外的な窓口を運営する責任者として苦情相談及び開示等の対応に関する責任と権限を他の責任に関わりなく与えられ業務を行わなければならない ⅵ) 部門管理者部門管理者は代表取締役によって任命された者で当社の個人情報保護マネジメントシステムの実施について部門毎に指名しなければならない部門管理者は自部門における個人情報の適切な取扱いについて管理監督を行うと共に個人情報保護に関する社員の意識向上に努めなければならない ⅶ) 情報システム管理者情報システム管理者は代表取締役によって任命された者で当社の個人情報保護マネジメントシステムに関連して実施すべき情報システムに関する安全対策の統括責任者として情報システムの管理業務を行わなければならない >> 参照文書個人情報保護体制図 8

10 3.3.5 内部規程 (1) 当社は下記の内部規程を文書化し維持する a) 個人情報を特定する手順に関する規定本規程個人情報の特定及びマネジメントシステム運用手順書 : 個人情報の特定手順に定める b) 法令国が定める指針その他の規範の特定参照及び維持に関する規定本規程法令国が定める指針その他の規範及びマネジメントシステム運用手順書 : 法令等の特定手順に定める c) 個人情報に関するリスクの認識分析及び対策の手順に関する規定本規程リスクなどの認識分析及び対策及びマネジメントシステム運用手順書 : リスク管理手順に定める d) 当社の各部門及び階層における個人情報を保護するための権限及び責任に関する規定本規程資源役割責任及び権限に定める e) 緊急事態 ( 個人情報が漏えい滅失又はき損をした場合 ) への準備及び対応に関する規定本規程緊急事態への準備及びマネジメントシステム運用手順書 : 緊急事態対応手順に定める f) 個人情報の取得利用及び提供に関する規定本規程取得利用及び提供に関する原則及びマネジメントシステム運用手順書 : 個人情報取扱手順に定める g) 個人情報の適正管理に関する規定本規程適正管理及び個人情報安全管理規程マネジメントシステム運用手順書 : 委託先管理手順に定める h) 本人からの開示等の求めへの対応に関する規定本規程個人情報に関する本人の権利及びマネジメントシステム運用手順書 : 開示等対応手順に定める i) 教育に関する規定本規程教育及びマネジメントシステム運用手順書 : 教育実施手順に定める j) 個人情報保護マネジメントシステム文書の管理に関する規定本規程 3.5 個人情報保護マネジメントシステム文書及びマネジメントシステム運用手順書 : 文書管理手順に定める k) 苦情及び相談への対応に関する規定本規程 3.6 苦情及び相談への対応及びマネジメントシステム運用手順書 : 苦情相談対応手順に定める l) 点検に関する規定本規程 3.7 点検マネジメントシステム運用手順書 : 運用確認手順及びマネジメントシステム運用手順書 : 内部監査実施手順に定める m) 是正処置及び予防処置に関する規定本規程 3.8 是正処置及び予防処置及びマネジメントシステム運用手順書 : 是正処置予防処置実施手順に定める n) 代表者による見直しに関する規定本規程 3.9 当社の代表者による見直し及びマネジメントシステム運用手順書 : マネジメントレビュー実施手順に定める o) 内部規程の違反に関する罰則の規定本規程従業者の監督に定める 9

11 (2) 当社は事業の内容に応じて個人情報保護マネジメントシステムが確実に適用されるように必要に応じて内部規程を改定する計画書 (1) 当社は個人情報保護マネジメントシステムを確実に実施するために必要な計画を立案し文書化し維持する (2) 当社が文書化する計画書は当社の個人情報保護マネジメントシステム全体を俯瞰する個人情報保護マネジメントシステム年間計画書教育に関する教育年間計画書及び監査に関する内部監査年間計画書とする (3) 計画書の作成責任者は個人情報保護マネジメントシステム年間計画書は個人情報保護管理者教育年間計画書は教育責任者内部監査年間計画書は個人情報保護監査責任者とする (4) 個人情報保護管理者は個人情報保護マネジメントシステム年間計画書を必要とあらば毎年 3 月に作成し代表取締役の承認を得なければならない >> 参照文書個人情報保護マネジメントシステム年間計画書教育年間計画書内部監査年間計画書緊急事態への準備 (1) 当社は緊急事態を特定するための手順又それらにどのように対応するのかの手順をマネジメントシステム運用手順書: 緊急事態対応手順に定めかつ維持する (2) 緊急事態対応手順には個人情報が漏えい滅失又はき損をした場合に想定される経済的な不利益及び社会的な信用の失墜本人への影響などのおそれを考慮しその影響を最小限とするための手順について定める (3) 緊急事態対応手順には個人情報の漏えい滅失又はき損が発生した場合に備え次の事項を含まなければならない < 緊急事態対応手順に含むべき事項 > a) 当該漏えい滅失又はき損が発生した個人情報の内容を本人に速やかに通知し又は本人が容易に知りえる状態に置くこと b) 二次被害の防止類似事案の発生回避など観点から可能な限り事実関係発生原因及び対応策を遅延なく公表すること c) 事実関係発生原因及び対応策を関係機関に直ちに報告すること >> 参照文書マネジメントシステム運用手順書 : 緊急事態対応手順個人情報保護委員会 ( 以下 PMS 委員会という ) (1) 当社は当社の個人情報保護マネジメントシステムを円滑に運用するために本規程資源役割責任及び権限に定めた責任者及び個人情報保護に関与するメンバーにより構成される PMS 委員会を設置する (2)PMS 委員会は個人情報保護管理者が主催し定期的に開催する 10

12 (3) 個人情報保護管理者は委員会の議事を PMS 委員会議事録に記録し代表取締役に報告しなければならない ⅰ)PMS 委員会構成メンバーメンバー : 個人情報保護管理者教育責任者個人情報保護窓口責任者情報システム管理者部門管理者オブザーバー : 代表取締役個人情報保護監査責任者監査員 ⅱ) 開催頻度 4ヶ月ごとまたは事務局が必要とするときに開催する ⅲ) 議題本規程運用の確認で規定されている個人情報保護マネジメントシステムの運用状況の確認個人情報保護マネジメントシステム年間計画の各イベント準備状況実施状況確認改善すべき項目及び問題点の確認個人情報保護に関する情報交換 >> 参照文書 PMS 委員会議事録 11

13 3.4 実施及び運用運用手順当社は個人情報保護マネジメントシステムを確実に実施するために運用の手順を本規程マネジメントシステム運用手順書個人情報安全管理規程その他文書に規定する取得利用及び提供に関する原則利用目的の特定 (1) 当社は個人情報を取得するに当たってはその利用目的を出来る限り特定しその目的の達成に必要な限度において取得するよう徹底する (2) なお新規で個人情報を取り扱う場合はマネジメントシステム運用手順書 : 個人情報取扱手順に記載した手順に従い新規に個人情報を取得する時点で利用目的を特定しなければならない >> 参照文書マネジメントシステム運用手順書 : 個人情報取扱手順適正な取得当社は個人情報の取得を適法かつ公正な手段によってのみ行わなければならない特定の機微な個人情報の取得利用及び提供の制限 (1) 当社は下記に示す特定の機微な個人情報を含む個人情報の取得利用又は提供を行わない (2) ただし本規程本人から直接書面によって取得する場合の措置などで定める本人の同意を得る時に提示する書面に当該特定の機微な個人情報を取得する旨及び当該特定の機微な個人情報名を明記しそれに対して本人が同意した場合は同意を得た範囲で取得利用及び提供を行なうことが出来る (3) 又本規程利用に関する措置のただし書き a)~d) のいずれかに該当する場合はこの限りでないこのただし書きによる例外規定を適用しようとする場合はマネジメントシステム運用手順書 : 個人情報取扱手順に従って個人情報の取得に関する申請時にあらかじめ個人情報保護管理者の承認を得なければならない < 取得を制限する特定の機微な個人情報の種類 > a) 思想信条及び宗教に関する事項 b) 人種民族門地本籍地身体精神障害犯罪歴その他社会的差別の原因となる事項 ( 本籍地については所在都道府県に関する情報を除く ) c) 勤労者の団結権団体交渉及びその他団体行動の行為に関する事項 d) 集団示威行為への参加請願権の行使その他の政治的権利の行使に関する事項 e) 保健医療又は性生活に関する事項 >> 参照文書マネジメントシステム運用手順書 : 個人情報取扱手順 12

14 本人から直接書面によって取得する場合の措置 (1) 当社においては本人から書面に記載された個人情報を直接に取得する場合には少なくとも次に示す事項又はそれと同等以上の内容の事項をあらかじめ書面によって本人に明示し本人の同意を得なければならない (2) ただし人の生命身体又は財産の保護のために緊急に必要がある場合本規程個人情報を以外の方法によって取得した場合の措置のただし書き a)~d) のいずれかに該当する場合及び本規程利用に関する措置のただし書き a)~d) のいずれかに該当する場合はこの限りではないこのただし書きによる例外を適用しようとする場合は新規に個人情報を取得する際の申請時点で個人情報取得申請書に明記しあらかじめ個人情報保護管理者の承認を得なければならない (3) 新規の個人情報を取得しようとする場合はあらかじめマネジメントシステム運用手順書 : 個人情報取扱手順に定められた手順に従い承認を得なければならないこの時上記の同意を取得する場合に本人に提示する書面の内容も合わせて承認を得なければならない (4) 承認を得た同意取得の方法と提示する書面の内容は直接書面によって取得する場合の同意文書一覧に追加し管理しなければならない < 個人情報を直接書面によって取得する時に本人に明示し同意を得る事項 > a) 当社の名称 b) 個人情報保護管理者 ( 若しくはその代理人 ) の氏名又は職名所属及び連絡先 c) 利用目的 d) 個人情報を第三者に提供することが予定される場合の事項 - 第三者に提供する目的 - 提供する個人情報の項目 - 提供の手段又は方法 - 当該情報の提供を受ける者又は提供を受ける者の組織の種類及び属性 - 個人情報の取扱いに関する契約がある場合はその旨 e) 個人情報の取扱いの委託を行うことが予定される場合にはその旨 f) 本規程開示対象個人情報の利用目的の通知開示対象個人情報の開示開示対象個人情報の訂正追加又は削除開示対象個人情報の利用又は提供の拒否権に該当する場合にはその求めに応じる旨及び問合せ窓口 g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果 h) 本人が容易に認識できない方法によって個人情報を取得する場合にはその旨 >> 参照文書マネジメントシステム運用手順書 : 個人情報取扱手順個人情報を以外の方法によって取得した場合の措置 (1) 当社においては個人情報を本規程本人から直接書面によって取得する場合の措置以外の方法によって取得した場合はあらかじめその利用目的を公表している場合を除き速やかにその利用目的を本人に通知し又は公表しなければならない (2) ただし次に示すいずれかに該当する場合はこの限りではないこのただし書きを適用しようとする場合は新規に取得する際の申請の時点で個人情報取 13

15 得申請書に明記しあらかじめ個人情報保護管理者の承認を得なければならない (3) 新規の個人情報を取得しようとする場合はあらかじめマネジメントシステム運用手順書 : 個人情報取扱手順に定められた手順に従い承認を得なければならないこの時利用目的を本人に通知又は公表する必要がある場合は速やかに当社 HP 上で公表しなければならない < 利用目的の通知公表を行わなくて良い場合 > a) 利用目的を本人に通知し又は公表することによって本人又は第三者の生命身体財産その他の権利利益を害するおそれがある場合 b) 利用目的を本人に通知し又は公表することによって当該事業者の権利又は正当な利益を害するおそれがある場合 c) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって利用目的を本人に通知し又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき d) 取得の状況からみて利用目的が明らかであると認められる場合 (4) なお個人情報に関する業務委託を受ける場合は委託元に対して利用目的を確認しなければならない利用目的の確認方法は契約書への明記業務指示書等への記載など委託元と協議の上決定する又この確認と同時に委託元が個人情報保護法及びガイドライン等に沿って適切に個人情報を取扱っていることも確認しなければならない >> 参照文書マネジメントシステム運用手順書 : 個人情報取扱手順利用に関する措置 (1) 当社においては特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならない (2) 特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合はあらかじめ少なくとも本規程本人から直接書面によって取得する場合の措置の a)~f) に示す事項又はそれと同等以上の内容の事項をあらかじめ書面によって本人に明示し本人の同意を得なければならない (3) 前項の措置を実施する場合には本人への同意取得より前にあらかじめマネジメントシステム運用手順書 : 個人情報取扱手順に定める手順に従い当該部門管理者が個人情報保護管理者に本人の同意を得る方法や関連する担当者への通知方法などについて承認を得なければならない又利用目的の範囲内であるかどうか判断に迷う場合は勝手に判断せず必ず個人情報保護管理者の承認を得なければならない (4) ただし次に示すいずれかに該当する場合はこの限りではない < 本人の同意が不要な場合 > a) 法令に基づく場合 b) 人の生命身体又は財産の保護のために必要がある場合であって本人の同意を得ることが困難であるとき c) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって本 14

16 人の同意を得ることが困難であるとき d) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるときこのただし書きを適用しようとする場合はマネジメントシステム運用手順書 : 個人情報取扱手順に従って申請しあらかじめ個人情報保護管理者の承認を得なければならない >> 参照文書マネジメントシステム運用手順書 : 個人情報取扱手順本人にアクセスする場合の措置 (1) 当社においては個人情報を利用して本人にアクセスする場合には本人に対して本規程本人から直接書面によって取得する場合の措置の a)~f) に示す事項又はそれと同等以上の内容の事項及び取得方法を通知し本人の同意を得なければならない (2) 前項の措置を実施する場合には本人への同意取得より前にあらかじめマネジメントシステム運用手順書 : 個人情報取扱手順に定める手順に従い当該部門管理者が個人情報保護管理者に本人の同意を得る方法や関連する担当者への通知方法などについて承認を得なければならない (3) ただし次に示すいずれかに該当する場合はこの限りではないこのただし書きを適用しようとする場合はマネジメントシステム運用手順書 : 個人情報取扱手順に従って申請しあらかじめ個人情報保護管理者の承認を得なければならない又ただし書きの c) を適用する場合は定められた措置を行わなければならない < 本人にアクセスする時に本人の同意が不要な場合 > a) 個人情報の取得時に既に本規程本人から直接書面によって取得する場合の措置の a)~f) に示す事項又はそれと同等以上の内容の事項を明示又は通知し本人の同意を得ているとき b) 個人情報の取扱いの全部又は一部を委託された場合であって当該個人情報をその利用目的の達成に必要な範囲内で取り扱うとき c) 合併その他の事由による事業の承継に伴って個人情報が提供され個人情報を提供する事業者が既に本規程の a)~f) に示す事項又はそれと同等以上の内容の事項を明示又は通知し本人の同意を得ている場合であって承継前の利用目的の範囲内で当該個人情報を取り扱うとき d) 個人情報が特定の者との間で共同して利用され共同利用者が既に本規程の a)~f) に示す事項又はそれと同等以上の内容の事項を明示又は通知し本人の同意を得ている場合であって次に示す事項又はそれと同等以上の内容の事項をあらかじめ本人に通知し又は本人が容易に知りえる状態に置いているとき - 共同して利用すること - 共同して利用される個人情報の項目 - 共同して利用する者の範囲 - 共同して利用する者の利用目的 - 共同して利用する個人情報の管理について責任を有する者の氏名又は名称 - 取得方法 e) 本規程個人情報を ( 直接書面によって取得 ) 以外の方法によって取 15

17 得した場合の措置のただし書き d) に該当するため利用目的などを本人に明示通知又は公表することなく取得した個人情報を利用して本人にアクセスするとき f) 本規程利用に関する措置のただし書き a)~d) のいずれかに該当する場合 >> 参照文書マネジメントシステム運用手順書 : 個人情報取扱手順提供に関する措置 (1) 当社においては個人情報を第三者に提供する場合にはあらかじめ本人に対して取得方法及び本規程本人から直接書面によって取得する場合の措置の a)~d) の事項又はそれと同等以上の内容の事項を通知し本人の同意を得なければならない (2) 前項の措置を実施する場合には本人への同意取得より前にあらかじめマネジメントシステム運用手順書 : 個人情報取扱手順に定める手順に従い当該部門管理者が個人情報保護管理者に本人の同意を得る方法や関連する担当者への通知方法などについて承認を得なければならない (3) ただし次に示すいずれかに該当する場合はこの限りではない (4) このただし書きの b) から g) を適用しようとする場合はマネジメントシステム運用手順書 : 個人情報取扱手順に従って申請しあらかじめ個人情報保護管理者の承認を得なければならない又ただし書きの b) c) f) を適用する場合は定められた措置を行わなければならない (5) 当社では原則としてただし書きb) は適用しない < 個人情報を提供する場合に本人の同意が不要な場合 > a) 本規程本人から直接書面によって取得する場合の措置又は本規程本人にアクセスする場合の措置の規定によって既に本規程の a)~d) の事項又はそれと同等以上の内容の事項を本人に明示又は通知し本人の同意を得ているとき b) 大量の個人情報を広く一般に提供するため本人の同意を得ることが困難な場合であって次に示す事項又はそれと同等以上の内容の事項をあらかじめ本人に通知し又はそれに代わる同等の措置を講じているとき - 第三者への提供を利用目的とすること - 第三者に提供される個人情報の項目 - 第三者への提供の手段又は方法 - 本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること - 取得方法 c) 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であってかつ法令に基づき又は本人若しくは当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって b) で示す事項又はそれと同等以上の内容の事項をあらかじめ本人に通知し又は本人が容易に知りえる状態に置いているとき d) 特定した利用目的の達成に必要な範囲内において個人情報の取扱いの全部又は一部を委託するとき e) 合併その他の事由による事業の承継に伴って個人情報を提供する場合であって承継前の利用目的の範囲内で当該個人情報を取り扱うとき f) 個人情報を特定の者との間で共同して利用する場合であって次に示す事項又はそれと 16

18 同等以上の内容の事項をあらかじめ本人に通知し又は本人が容易に知りえる状態に置いているとき - 共同して利用すること - 共同して利用される個人情報の項目 - 共同して利用する者の範囲 - 共同して利用する者の利用目的 - 共同して利用する個人情報の管理について責任を有する者の氏名又は名称 - 取得方法 g) 本規程利用に関する措置のただし書き a)~d) のいずれかに該当する場合 >> 参照文書マネジメントシステム運用手順書 : 個人情報取扱手順適正管理正確性の確保当社は利用目的の達成に必要な範囲内において個人情報を正確かつ最新の状態で管理するよう管理策を策定し個人情報安全管理規程に規定する >> 参照文書個人情報安全管理規程安全管理措置当社は本規程リスクなどの認識分析及び対策の定めにより個人情報に対するリスクを認識し分析しそのリスクに応じて漏えい滅失又はき損の防止その他の個人情報の安全管理のために必要かつ適切な予防対策及び発生時の対応措置を個人情報安全管理規程に定め実施する >> 参照文書個人情報安全管理規程従業者の監督当社は従業者に個人情報を取扱わせるに当たっては当該個人情報の安全管理が図られるように当該従業者に対し必要かつ適切な監督を行う (1) 部門単位の指導と監督各部門の管理者は自部門の従業者が個人情報を安全に取扱う様指導監督を行う部門内の個人情報保護マネジメントシステムに関わる記録を定められた間隔で確認する各部門における運用状況を定期的に確認するこの運用の確認については本規程運用の確認に定める (2) 監督状況の報告全社的な指導と監督各部門の管理者は PMS 委員会において各部門における安全管理の実施状況を報告する個人情報保護管理者はこの報告により各部門の運用状況を把握し必要に応じて指導監督を行う (3) 個人情報の非開示契約の締結当社はその従業者に対して当社が事業の用に供する個人情報の非開示条項を含んだ機 17

19 密保持誓約書を締結させなければならないこの際非開示条項は雇用契約の終了後も必要な期間有効であるように明記しなければならない (4) 個人情報保護マネジメントシステムに違反した場合の措置従業者が個人情報保護マネジメントシステムに違反した場合当社の就業規則に基づいて処罰を行うこのことは前項の機密保持誓約書に明記する >> 参照文書機密保持誓約書委託先の監督 (1) 当社は十分な個人情報の保護水準を満たしている者を委託先に選定しなければならないこのため当社は委託先を選定する基準を定める (2) 委託先を選定する基準は委託する個人情報の特性 ( 重要性分量期間など ) 及び個人情報の取り扱い内容 ( 委託する業務 IT 環境の有無など ) を考慮し過不足のない適切な基準となるように設定しなければならない (3) 選定するための基準は個人情報保護マネジメントシステム年間計画書に規定する時期に定期的に見直さなければならないまた同じく選定した委託先についての評価の見直しも定期的に行わなければならない (4) 委託する個人情報の安全管理対策が確実に図られるよう個人情報の取扱い状況に関する委託先からの報告内容を当該部門管理者が確認すると共に委託先の安全管理状況及び個人情報の取扱い状況について委託先管理シート ( ビジネスパートナー台帳 ) に基づいて定期的に委託を受けた者に対する必要かつ適切な監督を行う (5) 以上の手順についてはマネジメントシステム運用手順書 : 委託先管理手順に定める (6) 当社は次に示す事項を委託先との契約によって規定し十分な個人情報の保護水準を担保する a) 委託者及び受託者の責任の明確化 b) 個人情報の安全管理に関する事項 c) 再委託に関する事項 d) 個人情報の取扱状況に関する委託者への報告の内容及び頻度 e) 契約内容が遵守されていることを委託者が確認できる事項 f) 契約内容が遵守されなかった場合の措置 g) 事件事故が発生した場合の報告連絡に関する事項当社は当該契約書などの書面を個人情報の保有期間にわたって保存する >> 参照文書マネジメントシステム運用手順書: 委託先管理手順個人情報の取り扱いに関する契約書委託先管理シート( ビジネスパートナー台帳 ) 18

20 3.4.4 個人情報に関する本人の権利個人情報に関する権利 (1) 当社は電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理分類し目次索引符合などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であって当社が本人から求められる開示内容の訂正追加又は削除利用の停止消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの ( 以下開示対象個人情報という ) に関して本人から利用目的の通知開示内容の訂正追加又は削除利用の停止消去及び第三者への提供の停止 ( 以下開示等という ) を求められた場合は本規程開示対象個人情報の利用目的の通知開示対象個人情報の開示開示対象個人情報の訂正追加又は削除開示対象個人情報の利用又は提供の拒否権の規定によって遅滞なくこれに応じなければならない (2) ただし次のいずれかに該当する場合は開示対象個人情報とはならない < 開示対象個人情報とならないもの > a) 当該個人情報の存否が明らかになることによって本人又は第三者の生命身体又は財産に危害が及ぶおそれのあるもの b) 当該個人情報の存否が明らかになることによって違法又は不当な行為を助長し又は誘発するおそれのあるもの c) 当該個人情報の存否が明らかになることによって国の安全が害されるおそれ他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの d) 当該個人情報の存否が明らかになることによって犯罪の予防鎮圧又は捜査その他の公共の安全と秩序維持に支障が及ぶおそれのあるものこのただし書きを適用しようとする場合はマネジメントシステム運用手順書 : 開示等対応手順に従って開示等の請求を受け付けた時に申請された個人情報がただし書きに該当しないかどうかを確認しあらかじめ個人情報保護管理者の承認を得なければならない >> 参照文書マネジメントシステム運用手順書 : 開示等対応手順開示などの求めに応じる手続 (1) 当社は開示等の求めに応じる手続として次の事項を定めなければならない < 開示等の求めに応じる手続きとして定めるべき事項 > a) 開示等の求めの申し出先 b) 開示等の求めに際して提出すべき書面の様式その他開示等の求めの方式 c) 開示等の求めをする者が本人又は代理人であることの確認の方法 d) 本規程開示対象個人情報の利用目的の通知又は本規程開示対象個人情報の開示による場合の手数料 ( 手数料を定める場合のみ ) の徴収方法 19

21 (2) 本人からの開示等の求めに応じる手続を定めるに当たっては本人に過重な負担を課すものとならないよう配慮しなければならない (3) 本人からの求めに応じて開示対象個人情報の利用目的の通知や開示を行う際手数料を徴収するときは実費を勘案して合理的であると認められる範囲内においてその額を定めなければならない (4) なお開示等の求めに応じる手続きについては文書個人情報の開示等の手続きについてに定める >> 参照文書個人情報の開示等の手続きについて開示対象個人情報に関する周知など (1) 当社は取得した個人情報が開示対象個人情報に該当する場合は当該開示対象個人情報に関し次の事項を本人の知り得る状態 ( 本人の求めに応じて遅延なく回答する場合を含む ) に置くために次の事項を個人情報の開示等の手続きについてとして HP 上に公開し周知する (2) 当社の従業員に対しては社内文書にて周知する < 開示対象個人情報に関して本人の知り得る状態に置くべき事項 > a) 当社の名称 b) 個人情報保護管理者 ( 若しくはその代理人 ) の氏名又は役職名所属及び連絡先 c) すべての開示対象個人情報の利用目的 ( 本規程個人情報を ( 直接書面によって取得 ) 以外の方法によって取得した場合の措置の a)~c) までに該当する場合を除く ) d) 開示対象個人情報の取扱いに関する苦情の申し出先 e) 当社が個人情報の保護に関する法律に定められた認定個人情報保護団体の対象事業である場合は当該認定個人情報保護団体の名称及び苦情の解決の申し出先 f) 本規程開示等の求めに応じる手続きに定めた開示等の求めに応じる手続 >> 参照文書個人情報の開示等の手続きについて開示対象個人情報の利用目的の通知 (1) 当社は本人から当該本人が識別される開示対象個人情報について利用目的の通知を求められた場合にはマネジメントシステム運用手順書 : 開示等対応手順に従い遅延なくこれに応じる (2) ただし本規程個人情報を ( 直接書面によって取得 ) 以外の方法によって取得した場合の措置のただし書き a)~c) のいずれかに該当する場合又は本規程開示対象個人情報に関する周知など c) により当該本人が識別される開示対象個人情報の利用目的が明らかな場合は利用目的の通知を必要としないがそのときは本人に遅滞なくその旨を通知するとともに理由を説明するこのただし書きを適用しようとする場合はマネジメントシステム運用手順書 : 開示等対応手順に従ってその事についてもあらかじめ個人情報保護管理者の承認を得なければならない 20

22 >> 参照文書マネジメントシステム運用手順書 : 開示等対応手順開示対象個人情報の開示 (1) 当社は本人から当該本人が識別される開示対象個人情報の開示 ( 当該本人が識別される開示対象個人情報が存在しないときにその旨を知らせることを含む ) を求められたときは法令の規定により特別の手続が定められている場合を除きマネジメントシステム運用手順書 : 開示等対応手順に従い本人に対し遅滞なく当該開示対象個人情報を書面 ( 開示の求めを行なった者が同意した方法があるときは当該方法 ) によって開示しなければならない (2) ただし開示することによって次の a)~c) のいずれかに該当する場合はその全部又は一部を開示する必要はないがそのときは本人に遅滞なくその旨を通知するとともに理由を説明しなければならない < 開示の求めの全部又は一部に応じなくてよい場合 > a) 本人又は第三者の生命身体財産その他の権利利益を害するおそれがある場合 b) 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合 c) 法令に違反することとなる場合このただし書きを適用しようとする場合はマネジメントシステム運用手順書 : 開示等対応手順に従ってその事についてもあらかじめ個人情報保護管理者の承認を得なければならない >> 参照文書マネジメントシステム運用手順書 : 開示等対応手順開示対象個人情報の訂正追加又は削除 (1) 当社は本人から当該本人が識別される開示対象個人情報の内容が事実でないという理由によって当該開示対象個人情報の訂正追加又は削除 ( 以下この項において訂正等という ) を求められた場合はマネジメントシステム運用手順書 : 開示等対応手順に従い法令の規定により特別の手続が定められている場合を除き利用目的の達成に必要な範囲内において遅延なく必要な調査を行いその結果に基づいて当該開示対象個人情報の訂正等を行わなければならない (2) 当社は訂正等を行なったときはその旨及びその内容を本人に対し遅滞なく通知し訂正等を行わない旨の決定をしたときはその旨及びその理由を本人に対し遅延なく通知しなければならない >> 参照文書マネジメントシステム運用手順書 : 開示等対応手順開示対象個人情報の利用又は提供の拒否権 (1) 当社が本人から当該本人が識別される開示対象個人情報の利用の停止消去又は第三者への提供の停止 ( 以下この項において利用停止等という ) を求められた場合はマ 21

23 ネジメントシステム運用手順書 : 開示等対応手順に従いこれに応じなければならない (2) 当社は措置を講じた後は遅滞なくその旨を本人に通知しなければならない (3) ただし本規程開示対象個人情報の開示のただし書き a)~c) のいずれかに該当する場合は利用停止等を行う必要はないがそのときは本人に遅延なくその旨を通知するとともに理由を説明しなければならないこのただし書きを適用しようとする場合はマネジメントシステム運用手順書 : 開示等対応手順に従ってその事についてもあらかじめ個人情報保護管理者の承認を得なければならない >> 参照文書マネジメントシステム運用手順書 : 開示等対応手順教育 (1) 当社は役員及び従業員 ( 契約社員アルバイトなどを含む ) の全員へ個人情報保護マネジメントシステム年間計画書及び教育年間計画書に基づき定期的に適切な教育を行い関連する各部門及び階層において次の事項を自覚させる手順を確立し維持する < 教育で理解させる事項 > a) 個人情報保護マネジメントシステムに適合することの重要性及び利点 b) 個人情報保護マネジメントシステムに適合するための役割及び責任 c) 個人情報保護マネジメントシステムに違反した際に予想される結果 (2) 当社は教育の計画及び実施結果の報告及びそのレビュー計画の見直し並びにこれらに伴う記録の保持に関する責任及び権限を定める手順をマネジメントシステム運用手順書 : 教育実施手順およびマネジメントシステム運用手順書 : 文書管理手順に規定しかつ維持する (3) 新入社員については入社時に教育責任者が当社の個人情報保護マネジメントシステムにかかわる教育を実施する >> 参照文書教育年間計画書マネジメントシステム運用手順書 : 教育実施手順 22

24 3.5 個人情報保護マネジメントシステム文書文書の範囲当社は下記の個人情報保護マネジメントシステムの基本となる要素を書面で記述する a) 個人情報保護方針本規程 3.2 個人情報保護方針の定めに従って制定公表する b) 内部規定本規程内部規程の定めに従って本規程及びマネジメントシステム運用手順書安全管理規程として制定し従業員に周知する c) 計画書本規程計画書の定めに従って個人情報保護マネジメントシステム年間計画書教育年間計画書内部監査年間計画書を作成し従業員に周知する d) JIS Q 規格が要求する記録及び当社が個人情報保護マネジメントシステムを実施する上で必要と判断した記録該当する記録は本規程などの内部規程においてその内容及び様式を規定しマネジメントシステム文書一覧に記載する >> 参照文書マネジメントシステム文書一覧文書管理 (1) 当社は JIS Q が要求する全ての文書 ( 記録の様式を含む ) を管理する手順をマネジメントシステム運用手順書 : 文書管理手順に定め実施しかつ維持する (2) 文書管理の手順には次の事項が含まれなければならない < 文書管理の手順に規定すべき事項 > a) 文書の発行及び改訂に関すること b) 文書の改訂の内容と版数の関連付けを明確にすること c) 必要な文書が必要なときに容易に参照できること >> 参照文書マネジメントシステム運用手順書 : 文書管理手順記録の管理 (1) 当社は個人情報保護マネジメントシステム及び JIS Q の要求事項への適合を実証するために必要な記録を作成し維持する (2) 作成する記録の一覧はマネジメントシステム記録一覧に記載する (3) 当社は記録の管理についての手順をマネジメントシステム運用手順書 : 文書管理手順に定め実施しかつ維持する >> 参照文書マネジメントシステム記録一覧マネジメントシステム運用手順書: 文書管理手順 23

25 3.6 苦情及び相談への対応 (1) 当社は個人情報の取扱い及び個人情報保護マネジメントシステムに関して本人からの苦情及び相談を受け付けて適切かつ迅速な対応を行う手順をマネジメントシステム運用手順書 : 苦情相談対応手順に定めかつ維持する (2) 当社は上記の目的を達成するために必要な体制として本規程資源役割責任及び権限に定められた個人情報保護窓口責任者の指揮の下窓口担当者を含めた個人情報保護窓口を設置する >> 参照文書マネジメントシステム運用手順書 : 苦情相談対応手順 3.7 点検運用の確認 (1) 当社は当社の個人情報保護マネジメントシステムが適切に運用されていることを各部門及び階層において定期的に確認するための手順をマネジメントシステム運用手順書 : 運用確認手順に定め実施し維持する >> 参照文書マネジメントシステム運用手順書 : 運用確認手順監査 (1) 当社は当社の個人情報保護マネジメントシステムが JIS Q 15001:2006 規格の要求事項に適合していること及び当社の個人情報保護マネジメントシステムが適切に運用されていることを確認するため全部門を対象とした監査を実施する (2) 定期的に実施する監査の時期については個人情報保護マネジメントシステム年間計画書に規定する (3) 個人情報保護監査責任者が必要と判断した場合は随時監査を行わなければならない (4) 代表取締役は JIS Q 15001:2006 規格の内容を理解し公平かつ客観的な立場にある個人情報保護監査責任者を当社の社内から指名し監査の実施及び報告を行う責任と権限を他の責任にかかわりなく与え業務を行わせなければならない (5) 個人情報保護監査責任者は監査を指揮し監査報告書を作成し代表取締役に報告しなければならない (6) 個人情報保護監査責任者は監査を実施する監査担当者を選定しなければならない (7) 監査の実施においては監査の客観性及び公平性を確保するため監査担当者は監査担当者自身が所属する部門を監査してはならない (8) 監査の計画及び実施結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順をマネジメントシステム運用手順書 : 内部監査実施手順およびマネジメントシステム運用手順書 : 文書管理手順に定め実施しかつ維持する >> 参照文書マネジメントシステム運用手順書 : 内部監査実施手順 24

26 3.8 是正処置及び予防処置 (1) 当社は不適合に対する是正処置及び予防処置を確実に実施するための責任及び権限を定める手順をマネジメントシステム運用手順書 : 是正処置予防処置実施手順に定め実施しかつ維持する (2) 是正処置及び予防処置の手順には次の事項が含まれなければならない < 是正処置及び予防処置の手順に規定すべき事項 > a) 不適合の内容を確認する b) 不適合の原因を特定し是正処置及び予防処置を立案する c) 期限を定め立案された処置を実施する d) 実施された是正処置及び予防処置の結果を記録する e) 実施された是正処置及び予防処置の有効性をレビューする >> 参照文書マネジメントシステム運用手順書 : 是正処置予防処置実施手順 3.9 代表者による見直し (1) 代表取締役は個人情報の適切な保護を維持するために次の事項を考慮して当社の個人情報保護マネジメントシステムを見直さなければならない (2) 定期的に実施する見直しの時期は毎年 3 月とする (3) 代表取締役が必要と判断した場合には随時見直しを実施しなければならない < マネジメントシステムの見直しで考慮すべき事項 > a) 監査及び個人情報保護マネジメントシステムの運用状況に関する報告 b) 苦情を含む外部からの意見 c) 前回までの見直しの結果に対するフォローアップ d) 個人情報の取扱いに関する法令国の定める指針その他の規範の改正状況 e) 社会情勢の変化一般の認識の変化技術の進歩などの諸環境の変化 f) 事業領域の変化 g) 改善のための提案 (4) 見直しの手順はマネジメントシステム運用手順書 : マネジメントレビュー実施手順に定め実施しかつ維持する >> 参照文書マネジメントシステム運用手順書 : マネジメントレビュー実施手順 25

< F2D8EE888F882AB C8CC2906C>

< F2D8EE888F882AB C8CC2906C> 社会福祉法人個人情報保護規程 ( 例 ) 注 : 本例文は, 全国社会福祉協議会が作成した社会福祉協議会における個人情報保護規程の例を参考に作成したものです本例文は参考ですので, 作成にあたっては, 理事会で十分検討してください第 1 章総則 ( 目的 ) 第 1 条この規程は, 個人情報が個人の人格尊重の理念のもとに慎重に取り扱われるべきものであることから, 社会福祉法人 ( 以下法人