個人情報の取扱いに関する規程 第 1 条 ( 目的 ) 第 1 章総則 この規程は 東レ福祉会 ( 以下 本会 という ) における福祉事業に係わる個人情報の適法かつ適正な取扱いの確保に関する基本的事項を定めることにより 個人の権利 利益を保護することを目的とする 第 2 条 ( 定義 ) この規程における各用語の定義は 個人情報の保護に関する法律 ( 以下 個人情報保護法 という ) および個人情報保護委員会の個人情報保護に関するガイドラインによるものとする なお この規程では 個人情報のうち データベース化しているものを 個人データ という 第 3 条 ( 適用範囲 ) この規程は 本会のすべての業務従事者に適用する なお 本会における業務従事者とは 本会組織内にあって直接間接に本会の指揮監督を受けて本会の業務に従事している者をいい 次の分類のいずれかに属するものとする (1) 個人データ管理責任者 (2) 個人データ管理者 (3) 個人データ取扱者 第 4 条 ( 個人情報の安全管理に係わる基本方針 ) 本会は 個人情報の適法かつ適正な取扱いを確保するため 次の事項を含む個人情報の安全管理に係る基本方針として 東レ福祉会プライバシーポリシー ( 以下 プライバシーポリシー という ) を定めるものとする (1) 関係法令遵守の宣言 (2) 個人データの安全管理に関する宣言 (3) 基本方針の継続的改善の宣言 (4) 安全管理措置に関する質問および苦情処理の窓口 2. 本会は プライバシーポリシーを本会の業務従事者に周知 徹底するとともに 本会のホームページへの掲載等にて公表する 3. 本会は プライバシーポリシーを補完するため 特定個人情報等の取扱いについて を別に定める 14-1
第 5 条 ( 個人データ管理責任者 ) 第 2 章安全管理措置 本会は 業務執行理事 ( 専務理事 ) を個人情報の安全管理に係る業務遂行の総責任者 ( 個人データ管理責任者 ) とする 2. 個人データ管理責任者は 次に掲げる業務を所管する (1) 個人データの安全管理に関する事務取扱方法の周知 徹底 (2) 個人データ管理者の任命 (3) 個人データ管理者からの報告徴収 (4) 個人データ管理者への助言 指導 (5) 個人データの安全管理に関する教育 研修の企画 (6) その他個人データの安全管理に関する重要事項 第 6 条 ( 個人データ管理者 ) 本会は 本部 支部および支部に属する本会加入会社における個人データ管理者を次のとおり定める (1) 本部の個人データ管理者は 専務理事が担うものとする (2) 支部の個人データ管理者は 支部理事が担うものとする (3) 支部に属する本会加入会社の個人データ管理者は 個人データ取扱者を監督する者が担うものとする 2. 個人データ管理者は 次に掲げる業務を所管する (1) 個人データ取扱者の指定および変更等の管理 (2) 個人データの利用申請の承認および記録等の管理 (3) 個人データを取り扱う保管媒体の設置場所の指定および変更の管理 (4) 個人データの管理区分および権限についての設定および変更の管理 (5) 個人データ管理システムへのアクセス権等の管理 (6) 個人データの取扱い状況の把握 (7) 個人データの共同利用に関する運営管理 (8) 委託先における個人データの取扱い状況等の監督 (9) 個人データの安全管理に関する教育 研修の実施 (10) 個人データ管理責任者に対する報告 (11) その他個人データの安全管理に関する事項 第 7 条 ( 個人データ取扱者 ) 本会における個人データ取扱者とは 本会内において 個人データを取り扱う事務に従事する者をいい 個人データ取扱者は 個人データ管理者の指示に従い 個人データの保護に十分な注意を払って業務を行うものとする 14-2
第 8 条 ( 自主点検の実施および体制の見直し ) 個人データ管理責任者は 個人情報の取扱いに関する法令および諸規程の遵守状況を踏まえ 必要に応じて本部 支部および支部に属する本会加入会社における自主点検を立案 実施する 2. 自主点検を実施する場合の実施責任者は個人データ管理者とし 点検結果を個人データ管理責任者へ報告する 3. 個人データ管理責任者は 前項の自主点検の結果に照らし 必要に応じて個人情報の取扱いに関する安全対策 諸施策を改善しなければならない 第 9 条 ( 管理原則 ) 第 3 章運用 本会は 個人情報をこの規程に基づき適切に管理し その重要度に応じて取得 利用 移送 保管 廃棄する 第 10 条 ( 利用目的 ) 本会は 個人情報の利用目的をできる限り特定するものとする 2. 本会は あらかじめ本人の同意を得ずに 特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱わないものとする 3. 本会は 利用目的を変更する場合には 変更前の利用目的と関連性を有すると認められる範囲を超えて行わないものとし 変更された利用目的は遅滞なく本人に通知または公表を行う 第 11 条 ( 利用目的の通知 公表 明示 ) 本会は 個人情報の取得に際し あらかじめその利用目的を公表している場合を除き 速やかにその利用目的を本人に通知するものとする 2. 本会は 前項の規定にかかわらず 書面等により個人情報を取得する場合には あらかじめ本人に対しその利用目的を明示するものとする ただし 人の生命 身体または財産の保護のために緊急に必要がある場合は この限りでない 第 12 条 ( 適正な取得 ) 本会は 偽りその他不正の手段により個人情報を取得しないものとする 14-3
2. 本会は あらかじめ本人の同意を得ることなく 要配慮個人情報を取得しないものとする ただし 個人情報保護法に定められている場合を除く 3. 本会は 要配慮個人情報を取り扱う場合には 本人に対する不当な差別 偏見その他の不利益が生じないよう その取扱いにできる限り配慮するものとする 第 13 条 ( 個人データの正確性の確保 ) 本会は 利用目的の達成に必要な範囲内において 個人データを正確かつ最新の内容に保つものとする 第 14 条 ( 個人情報等の確認手段 ) 個人データ管理責任者は 個人情報等の取扱い状況を確認できる手段として以下の事項を含む台帳等を整備するとともに 適宜見直しを行うものとする (1) 取得項目 (2) 利用目的 (3) 保管場所 保管方法 保管期限 (4) 管理部署 (5) アクセス制限の状況 第 15 条 ( 安全管理措置 ) 本会は 取り扱う個人データの漏えい 滅失またはき損 ( 以下 漏えい等 という ) の防止その他の個人データの安全管理のため 組織的 人的 技術的に適切な措置 ( 以下 安全管理措置 という ) を講じるものとする 2. 本会は 個人データの 取得 入力 利用 加工 保管 保存 移送 送信 消去 廃棄 の管理段階に応じて安全管理措置を講じるものとする 3. 前項の安全管理措置に関する事項は 各管理段階の事務処理実施において定める事務取扱方法によるものとする 第 16 条 ( 情報漏えい事案等への対応 ) 業務従事者は 個人情報の漏えい等の事故または違反の発生あるいはその兆候を把握した場合には 直ちにその旨を個人データ管理責任者に報告し その指示を求めなければならない 第 17 条 ( 業務従事者の監督 ) 本会は 業務従事者が個人情報等を取り扱うにあたり 必要かつ適切な監督を行う 14-4
第 18 条 ( 業務従事者の教育 ) 業務従事者に対する個人情報の保護および適正な取扱いに関する教育方針は 個人データ管理責任者が計画 決定する 2. 業務従事者は 個人データ管理責任者が指定する個人情報の適正な管理に関する研修を受講しなければならない 第 19 条 ( 共同利用の管理 ) 本会は 個人データを特定の者との間で共同して利用する場合には その旨および以下の事項について あらかじめ本人に通知し または本人が容易に知り得る状態に置くとともに 適法かつ適正に管理するものとする (1) 共同して利用される個人データの項目 (2) 共同して利用する者の範囲 (3) 共同して利用する者の利用目的 (4) 当該個人データの管理について責任を有する者の氏名または名称 第 20 条 ( 委託先の監督 ) 個人データ管理責任者は 個人データの取扱いの全部または一部を委託する場合は その個人データの安全管理が図られるように 委託先に対する必要かつ適切な監督を行わなければならない 2. 前項の委託を行う個人データ管理責任者は 委託先に対し以下の各号の事項を実施しなければならない (1) 委託先の個人情報保護体制が十分であることを確認した上で委託先を選定すること (2) 委託先との間で 次の事項を含む契約書等を締結すること 1 委託者の監督 監査 報告徴収に関する権限 2 委託先における個人データの漏えい 盗用 改ざんおよび目的外利用の禁止 3 再委託における条件 4 漏えい事案等が発生した際の委託先の責任 第 21 条 ( 第三者提供の制限および確認 記録 ) 本会は 個人情報保護法で定められた場合を除き あらかじめ本人の同意なく個人データを第三者へ提供しないものとする 2. 本会は 個人データを第三者に提供したときは 個人情報保護法に基づき 記録の作成および保存を行うものとする 3. 本会は 第三者から個人データの提供を受けるに際しては 個人情報保護法に基づき 確認ならびに記録の作成および保存を行うものとする 14-5
第 22 条 ( 保有個人データの開示 訂正 利用停止 ) 本会は 本会業務に係る保有個人データに関し 個人情報保護法に基づき 本人または代理人 ( 以下 本人等 という ) から開示 訂正 利用停止等の求めを受けた場合は 本人確認等を行った上で 適切に対応するものとする 2. 本会は 本会業務に係る個人データに関し 本人等から個人情報保護法に基づかない一般的な照会等を受けた場合は 本人確認等を行った上で 回答することができるものとする 第 23 条 ( 苦情の処理 ) 本会における個人情報の取扱いに関する苦情の窓口は 本部が担うものとする 2. 業務従事者が 個人情報の取扱いに関する苦情を受付けた場合は 速やかに個人データ管理責任者に報告を行わなければならない 第 24 条 ( 罰則 ) 本会は この規程に違反した業務従事者に対して 必要があれば東レ福祉会規程に基づき処分することができるものとする 第 25 条 ( 改廃 ) この規程の改廃は 代議員総会の決議において行うものとする 付則 1. この規程は平成 21 年 4 月 1 日より実施する 2. この規程は平成 29 年 5 月 30 日より改定施行する 14-6