個人情報保護方針
個人情報に関する基本規程
(令和5年3月1日 個人情報規程第1号)
合同会社TSC
第1章 総則
(目的)
第1条 この個人情報取扱規程(以下「本規程」という)は、会社が、個人情報の保護に関する法律(平成15年法律第57号)(以下「個人情報保護法」といい、個人情報保護法に基づき制定された政令、規則等を含むものとする)及び行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)(以下「マイナンバー法」といい、マイナンバー法に基づき制定された政令、規則等を含むものとする)に基づき、会社の取り扱う個人情報の適正な取扱いを確保するために定めるものである。
(解釈上の疑義)
第2条 本規程の解釈について疑義が生じた場合は、関係部署の長及び外部の専門家の意見を勘案し、会社がこれを決定する。
(改廃)
第3条 本規程は、社員の過半数を代表する者の意見を聴取の上、取締役会の決議により、改廃する。
(定義)
第4条 本規程において、次に掲げる用語の意義は、個人情報保護法の定義に従うものとする。
(1)個人情報
(2)個人識別符号
(3)要配慮個人情報
(4)個人情報データベース等
(5)個人データ
(6)保有個人データ
(7)本人
(8)仮名加工情報
(9)仮名加工情報データベース等
(10)匿名加工情報
(11)匿名加工情報データベース等
(12)削除情報等
(13)個人関連情報
(14)個人関連情報データベース等
2 本規程において、次に掲げる用語の意義は、マイナンバー法の定義に従うものとする。
(1)個人番号
(2)特定個人情報
(3)特定個人情報ファイル
3 「従業者」とは、会社の業務に従事している者をいい、雇用関係にある社員、取締役、執行役員、監査役、派遣社員を含むものとする。
4 「事務取扱担当者」とは、会社において個人データを取り扱う事務に従事する者をいう。
5 「管理区域」とは、個人情報データベース等を取り扱う情報システムを管理する区域をいう。
6 「取扱区域」とは、個人データを取り扱う事務を実施する区域をいう。
7 本規程において、本条に定めるもののほか、以下の各条で必要に応じて用語を定義する。
第2章 安全管理措置
第1節 組織的安全管理措置
(個人情報統括責任者)
第5条 会社は、会社全体の個人データの管理に関する総責任者(以下「個人情報統括責任者」という)を任命するものとする。
2 個人情報統括責任者は、本規程に従い、会社における個人情報の取得及び個人データの保護管理に関する業務を統括するとともに、本規程を従業者に遵守させるための教育訓練、安全対策等の措置を実施する責任を負う。
3 個人情報統括責任者は、次の業務を所掌する。
(1)個人データの安全管理に関する従業者の教育の実施
(2)個人データの利用及び記録等の管理
(3)管理区域及び取扱区域の設定
(4)委託先における個人データの取扱いの監督
(5)その他会社における個人データの管理に関する業務
(部署責任者)
第6条 会社は、会社の各部署における個人データの管理に関する責任者(以下「部署責任者」という)として、取締役を任命するものとする。
2 部署責任者である取締役は、本規程及び個人情報統括責任者の指示に従い、当該部署における個人情報の取得及び個人データの保護管理に関する業務を統括し、そのために必要な措置を講じ、個人データの安全確保に努める。
(事務取扱担当者)
第7条 事務取扱担当者は、本規程、部署責任者及び個人情報統括責任者の指示に従い、個人データを適切に管理しつつ業務を行うものとする。
2 事務取扱担当者その他の会社の従業者は、個人情報の漏えい、滅失及び既存(以下「漏えい等」という)の事実、本規程の違反の事実、又はそのおそれを把握した場合、速やかに部署責任者及び個人情報統括責任者に報告するものとする。
(個人情報管理台帳等)
第8条 事務取扱担当者は、「個人情報管理台帳」に以下の事項を記録するものとする。
(1)個人情報データベース等の種類、名称
(2)利用目的
(3)記録媒体
(4)管理区域
(5)部署責任者
(6)取扱部署
(7)保存期間
(8)削除・廃棄方法
(9)削除・廃棄の状況
2 個人データを利用する場合、事務取扱担当者は、「利用・移動記録簿」に以下の事項を記録するものとする。
(1)個人情報データベース等の種類、名称
(2)機器、媒体、書類
(3)利用開始日
(4)利用終了日
(5)利用目的
(6)利用場所
(7)事務取扱担当者
(情報漏えい等への対応)
第9条 個人データの漏えい等の事実が発生した場合、会社は本規程その他会社の定める規則に従い、以下の措置を講ずるものとする。
(1)必要な場合、個人情報保護委員会への報告
(2)必要な場合、漏えい等により影響を受ける可能性のある本人への連絡
(3)漏えい等による被害の拡大防止措置
(4)事実関係の調査、原因の究明
(5)影響範囲の特定
(6)再発防止策の検討・実施
(7)必要な場合、事実関係及び再発防止策等の公表
(苦情への対応)
第10条 事務取扱担当者は、本人から苦情の申出を受けた場合、その旨を部署責任者に報告する。報告を受けた部署責任者は、個人情報統括責任者に報告するとともに、適切に対応するものとする。
(取扱状況の確認並びに安全管理措置の見直し)
第11条 個人情報統括責任者は、年に一度、個人情報管理台帳に基づき、個人情報データベース等の取扱状況を確認するものとする。
2 個人情報統括責任者は、第1項の確認の結果に基づき、安全管理措置の評価、見直し及び改善を行う。
第2節 人的安全管理措置
(教育・研修)
第12条 個人情報統括責任者は、事務取扱担当者を含む従業者に本規程に定められた事項を理解させ、遵守させるための教育訓練を企画・運営するものとする。
2 従業者は、個人情報統括責任者が主催する教育訓練を受けなければならない。
3 会社は、個人情報の秘密保持に関する事項を就業規則に盛り込むものとする。
第3節 物理的安全管理措置
(個人データを取り扱う区域の管理)
第13条 会社は管理区域及び取扱区域について、それぞれ次の各号に記載の措置を講じる。
(1)管理区域
①入退室管理を実施する。
②個人データの複製を防止するため、管理区域へ持ち込む機器、媒体、書類等を制限する。
(2)取扱区域
①個人データの取扱権限を有しない者による個人データの閲覧等を防止するための物理的措置を講ずる。
(機器及び媒体等の盗難等の防止)
第14条 会社は個人データを取扱う機器、書類等の盗難又は紛失等を防止するために、次に記載の措置を講じる。
(1)個人データを取扱う機器、媒体、書類等を、施錠ないし固定して保管する。
(媒体等を持ち運ぶ場合の漏えい等の防止)
第15条 個人データが記録された機器、媒体、書類等の移動(会社内での移動も含まれる)は、次の各号に記載の場合を除き禁止する。
(1)個人データに係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
(2)利用目的の範囲で個人データを利用する場合
2 第1項により個人データが記録された機器、媒体、書類等の移動を行う場合、以下の安全策を講じるものとする。
(1)機器、媒体等の場合
①データの暗号化
②データのパスワードによる保護
(2)書類等の場合
①封緘(ふうかん)
3 第1項により個人データが記録された機器、媒体、書類等の移動を行う場合、事務取扱担当者は、「利用・移動記録簿」に以下の事項を記録するものとする。
(1)個人情報データベース等の種類、名称
(2)機器、媒体、書類
(3)持出日
(4)返却日
(5)移動目的
(6)移動場所
(7)事務取扱担当者
(個人データの削除及び機器、電子媒体等の廃棄)
第16条 事務取扱担当者は、個人データを廃棄する場合、可能な限り容易に復元できない手段を用いるものとする。
第4節 技術的安全管理措置
(アクセス制御)
第17条 会社は、個人情報データベース等を取り扱うことができる情報システムを限定する。
2 会社は、個人情報データベース等を取り扱う情報システムに対するアクセス権限を、事務取扱担当者に限って付与するものとする。
3 個人データ又は個人情報データベース等を取り扱う情報システムは、ユーザーID、パスワードの識別方法により、正当なアクセス権限を有することを認証できるように構成する。
(外部からの不正アクセス等の防止)
第18条 会社は、個人データ又は個人情報データベース等を取り扱う情報システム及び機器を、外部からの不正アクセス又は不正ソフトウェアから保護するため、次の各号に記載の措置を講ずる。
(1)情報システム及び機器にセキュリティ対策ソフトウェア等を導入する。
(2)情報システム及び機器のオペレーティングシステムを常に最新状態に保つ。
(3)情報システム及び機器に業務上不要なアプリケーションを導入せず、不要なウェブサイト等にアクセスしない。
(情報システムの使用に伴う漏えい等の防止)
第19条 会社は、個人データの漏えい等を防止するために、次の各号に記載の措置を講ずる。
(1)個人データを含む通信の経路又は内容を暗号化する。
(2)個人データを送信する際、パスワード等による保護を行う。
第3章 個人情報の取扱い
第1節 個人情報の取得・保有等
(利用目的の特定)
第20条 会社は、業務を遂行するため必要な場合に限り、かつ目的の達成に必要な範囲に限って個人情報を取得するものとし、その利用の目的(以下「利用目的」という)をできる限り特定するものとする。
2 会社は、個人情報の利用目的を変更する場合、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて変更しないものとする。
(利用目的による制限等)
第21条 会社は、予め本人の同意を得ないで、第20条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱わないものとする。
2 第1項の規定は、次の各号に記載の場合には適用しない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
3 会社は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用しないものとする。
(利用目的の通知等)
第22条 会社は、個人情報を取得した場合は、速やかに、その利用目的を本人に通知又は公表するものとする。
2 会社は、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下本項において同じ)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、予め、本人に対し、その利用目的を明示するものとする。
3 会社は、個人情報の利用目的を変更した場合は、変更された利用目的について、本人に通知又は公表するものとする。
4 第1項、第2項及び第3項の規定は、次の各号に記載の場合には適用しない。
(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)利用目的を本人に通知し、又は公表することにより会社の権利又は正当な利益を害するおそれがある場合
(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(4)取得の状況からみて利用目的が明らかであると認められる場合
(適正な取得)
第23条 会社は、不正な手段により個人情報を取得しないものとする。
2 会社は、次の各号に記載の場合を除くほか、予め本人の同意を得ないで、要配慮個人情報を取得しないものとする。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(5)要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関、報道機関、著述を業として行う者、宗教団体若しくは政治団体、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国における学術研究機関、報道機関、著述を業として行う者、宗教団体若しくは政治団体に相当する者により個人情報保護法において認められる範囲内で公開されている場合
(6)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
(7)第25条第6項の規定により、会社が要配慮個人情報の提供を受ける第三者に該当しない場合
(データ内容の正確性の確保等)
第24条 会社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、個人データ及び個人情報データベース等を遅滞なく消去・廃棄するものとする。
第2節 個人データの第三者提供の制限
(第三者提供の制限)
第25条 会社は、次の各号に記載の場合を除くほか、予め本人の同意を得ないで、個人データを第三者に提供しないものとする。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
2 会社は、個人データについて、次の各号に記載の事項について予め本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、第1項の規定にかかわらず、個人データを第三者に提供することができるものとする。ただし、他の事業者から本項と同様の規定により会社に提供された個人情報については、本項の規定により第三者提供を行わないものとする。
(1)会社の名称及び住所、並びに代表者氏名
(2)第三者への提供を利用目的とすること
(3)第三者に提供される個人データの項目
(4)第三者に提供される個人データの取得の方法
(5)第三者への提供の方法
(6)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
(7)本人の求めを受け付ける方法
(8)第三者に提供される個人データの更新の方法
(9)第三者への提供日
3 会社は、第2項第1号に記載の事項に変更があったとき、又は第2項の規定による個人データの提供をやめたときは遅滞なく、第3号から第5号、第7号から第9号に記載の事項を変更しようとするときは予め、変更内容を本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出るものとする。
4 会社は、第2項第6号及び第7号の規定により、本人から個人データにつき第三者提供の停止の請求を受けた場合、速やかに個人データの第三者提供を停止するものとする。
5 第4項の規定の適用にあたっては、第33条第4項及び第34条を準用するものとする。
6 第1項及び第2項の規定にかかわらず、会社は、次の各号に記載の場合、各号に記載の者が第三者に該当しないものとみなす。
(1)利用目的の達成に必要な範囲内において、個人データの取扱いの委託に伴って当該個人データを提供する場合:委託先
(2)特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、当該特定の者の名称、利用目的、並びに当該個人データの管理責任者の氏名及び住所(法人の場合には代表者氏名)について、予め本人に通知し、又は容易に知り得る状態に置いているとき:特定の者
7 会社は、第6項第2号の管理責任者の氏名又は住所(法人の場合には代表者氏名)を変更する場合、及び同号の利用目的を変更する場合には、予め本人に通知し、又は容易に知り得る状態におくものとする。
(外国にある第三者への提供の制限)
第26条 会社は、外国にある第三者に個人データを提供する場合、第25条第1項各号に該当する場合を除き、予め本人に対し次の各号に記載の情報を提供し、同意を得るものとする。
(1)外国の名称
(2)外国における個人情報の保護制度に関する情報
(3)第三者が講ずる個人情報の保護のための措置に関する情報
2 会社は、個人情報保護に関し、日本と同等の水準にあると認められる制度を有している外国として個人情報保護法で定められている外国にある第三者に個人データを提供する場合、第1項を適用せず、第25条を適用するものとする。
3 会社は、外国にある第三者が適切かつ合理的な方法により個人データの取扱いについて個人情報保護法第4章第1節の規定により講ずべきこととされている措置に相当する措置(以下「相当措置」という)を講じている場合、当該第三者による相当措置の継続的な実施を確保するために、次の各号に記載の措置を講じた上で(以下「確認措置」という)、第1項を適用せず、第25条を適用することができるものとする。
(1)第三者による相当措置の実施状況並びに相当措置の実施に影響を及ぼすおそれのある外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること
(2)第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの第三者への提供を停止すること
4 会社は、確認措置について本人から情報提供を求められた場合、個人情報保護法の定めるところにより、遅滞なく、次の各号に記載の事項を本人に提供するものとする。ただし、提供することにより会社の業務の適正な実施に著しい支障を及ぼすおそれがある場合、その全部又は一部を提供しないことができるものとする。
(1)第三者による相当措置を継続的に講ずるための体制の整備の方法
(2)第三者が実施する相当措置の概要
(3)第3項第1号の確認の頻度及び方法
(4)外国の名称
(5)第三者による相当措置の実施に影響を及ぼすおそれのある外国の制度の有無及びその概要
(6)第三者による相当措置の実施に関する支障の有無及びその概要
(7)前号の支障に関して第3項第2号の規定により会社が講ずる措置の概要
5 第4項の規定の適用にあたっては、第31条第1項及び第5項、並びに第34条を準用するものとする。
(第三者提供をする際の記録)
第27条 会社は、個人データを第三者に提供したときは、次の各号に記載の事項について、第三者提供に係る記録を速やかに作成するものとする。
(1)第25条第1項又は第26条第1項の場合
①本人の同意を得ている旨
②第三者の氏名及び住所(法人の場合には代表者氏名)
③提供した個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
④提供した個人データの項目
(2)第25条第2項の場合
①個人データの提供年月日
②第三者の氏名及び住所(法人の場合には代表者氏名)
③提供した個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
④提供した個人データの項目
2 会社は、第1項の規定により作成した記録を、当該記録を作成した日から3年間保存するものとする。
(第三者提供を受ける際の確認及び記録)
第28条 会社は、第三者から個人データの提供を受ける場合、次の各号に記載の事項を確認するものとする。
(1)第三者の提供方法が第25条第1項に該当する場合
①第三者の氏名及び住所(法人の場合には代表者氏名)
②第三者による個人データの取得の経緯
③本人の同意を得ている旨
④提供される個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
⑤提供される個人データの項目
(2)第三者の提供方法が第25条第2項に該当する場合
①第三者の氏名及び住所(法人の場合には代表者氏名)
②第三者による個人データの取得の経緯
③個人データの提供年月日
④提供される個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
⑤提供される個人データの項目
⑥個人情報保護法の規定により公表されている旨
2 会社は、第1項に基づく確認を行ったときは、確認された事項について、第三者提供に係る記録を速やかに作成するものとする。
3 会社は、第2項の規定により作成した記録を、当該記録を作成した日から3年間保存するものとする。
第4章 保有個人データの開示等の請求等及び苦情処理
(個人情報保護窓口の設置等)
第29条 会社は、保有個人データの開示請求、訂正請求、利用停止請求その他相談等に対応する窓口(以下「相談窓口」という)を設け、個人情報の取扱い等に係る事務を行うものとする。
(保有個人データに関する事項の公表等)
第30条 会社は、保有個人データに関し、次の各号に記載の事項について、会社ウェブサイトにて掲載を行うこと、又は会社事業所の窓口等での掲示・備付け等を行うものとする。
(1)会社の名称、住所及び代表者氏名
(2)保有個人データの利用目的(第22条第4項第1号から第3号までに該当する場合を除く)
(3)利用目的の通知、保有個人データの開示、訂正等、利用停止等、及び第三者提供の停止に係る請求、その他本規程により会社に対してなすことが可能な請求に応じる手続(手数料の額を含む)
(4)保有個人データの安全管理のために講じた措置(本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く)
(5)会社が行う保有個人データの取扱いに関する苦情の申出先
2 会社は、本人から、保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なくこれを通知するものとする。ただし、次の各号の記載に該当する場合は、この限りでない。
(1)第1項の規定により保有個人データの利用目的が明らかな場合
(2)第22条第4項第1号から第3号までに該当する場合
3 会社は、第2項の規定に基づき、保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
(保有個人データの開示)
第31条 会社は、本人から、保有個人データの開示請求を受けた場合、次の各号の記載のうち、当該本人が請求した方法により、遅滞なく保有個人データを開示するものとする。
(1)電磁的記録の提供による方法
(2)書面の郵送による方法
2 第1項の規定にかかわらず、会社は、本人から、保有個人データの開示請求を受けた場合であっても、開示することにより次の各号の記載のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)会社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
3 会社は、本人から、第27条及び第28条の記録について開示請求を受けた場合も、本条第1項の規定により遅滞なく開示するものとする。
4 第3項の規定にかかわらず、次の各号の記載のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1)記録の存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
(2)記録の存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
(3)記録の存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
(4)記録の存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
5 会社は、第2項又は第4項の規定に基づき、保有個人データ又は第27条及び第28条の記録の全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なくその旨及び理由を通知するものとする。
(保有個人データの訂正等)
第32条 会社は、本人から、保有個人データの内容が事実でないことを理由に訂正、追加又は削除(「訂正等」という)の請求を受けた場合、遅滞なく必要な調査を行い、理由がある場合には、利用目的の達成に必要な範囲において、当該保有個人データの内容の訂正等を行うものとする。
2 会社は、保有個人データの内容の全部又は一部について訂正等を行ったとき、又は訂正等を行わない旨を決定したときは、本人に対し、遅滞なく、その旨及び訂正等の内容を通知するものとする。
(保有個人データの利用停止等)
第33条 会社は、本人から、保有個人データが本規程、個人情報保護法又はマイナンバー法に規定される利用目的の制限に違反し、不適正な利用がなされ、又は適正に取得されたものでないことを理由として、当該保有個人データの利用の停止、消去(「利用停止等」という)の請求を受けた場合、遅滞なく必要な調査を行い、理由がある場合には、違反を是正するために必要な限度で保有個人データの利用停止等を行うものとする。
2 会社は、本人から、当該本人が識別される保有個人データが本規程、個人情報保護法又はマイナンバー法に規定される第三者提供の規定に違反して第三者に提供されていることを理由として、当該保有個人データの第三者提供の停止の請求を受けた場合、遅滞なく必要な調査を行い、理由がある場合には当該保有個人データの第三者提供を停止するものとする。
3 会社は、本人から、保有個人データの利用停止等又は第三者提供の停止の請求があった場合であって、次の各号の記載のいずれかに該当する場合には、これに応ずるものとする。
(1)保有個人データを会社が利用する必要がなくなったとき
(2)保有個人データの漏えい等が生じた場合
(3)保有個人データの取扱いにより本人の権利又は正当な利益が害されるおそれがある場合
4 会社は、第1項、第2項又は第3項の規定に基づき、保有個人データの利用停止等若しくは第三者提供を停止したとき、又は利用停止等又は第三者提供の停止を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨及び理由を通知するものとする。
(開示等の請求等に応じる手続)
第34条 会社は、利用目的の通知、保有個人データの開示、訂正等、利用停止等及び第三者提供の停止に係る請求(以下「開示等の請求等」という)に関して、以下の手続のとおり応ずるものとする。
(1)相談窓口への連絡
本人に対して、以下のものを相談窓口に郵送又は電子メールにて送付することを求める。
①「保有個人データ開示等請求書」
②本人確認書類
③代理人による請求の場合には、代理権を証する書類
(2)手数料等
本人から開示等の請求等があった場合、1つの請求につき、次の手数料等を収受する。なお、開示等の請求等に応じられない場合も手数料等は返金しないものとする。
①開示、利用目的の通知 500円
②訂正等、利用停止等、第三者提供の停止 無料
2 会社は、開示等の請求等を受理したときは、受理日から起算して2週間以内に、請求に係る可否について決定し、通知するよう努めるものとする。
(苦情処理)
第35条 会社は、会社における保有個人データの取扱いに関する苦情の適切かつ迅速な処理に努めるものとする。
第5章 個人データの委託の取扱い
(委託先における安全管理措置)
第36条 会社は、個人データの全部又は一部を委託する場合、委託先(再委託先を含む。以下本条において同じ)において会社と同等の安全管理措置が適切に講じられるよう、必要かつ適切な監督を行うものとする。
2 会社は、次の各号に記載の事項について監督を行う。
(1)委託先の適切な選定
(2)委託先に安全管理措置を遵守させるために必要な契約の締結
(3)委託先における個人データの取扱状況の把握
3 第2項第1号に関しては、以下の事項について委託先における個人データの保護水準を確認するものとする。
(1)設備
(2)従業者に対する監督・教育の状況
(3)経営環境
4 第2項第2号に関しては、契約の内容として以下の事項を規定するものとする。
(1)秘密保持義務
(2)事業所内からの個人データの持出しの禁止
(3)個人データの目的外利用の禁止
(4)再委託における条件
(5)漏えい等が発生した場合の委託先の責任
(6)契約終了後の個人データの返却又は廃棄
(7)従業者に対する監督・教育
(8)契約内容の遵守状況について報告を求める旨
(9)個人データを取り扱う従業者の明確化
(10)会社が委託先に対して監査を行うことができる旨
(11)会社の許諾を得た場合に限り、委託を受けた個人データの全部又は一部を再委託することができる旨
5 会社は、委託先において個人データの安全管理が適切に行われていることについて、年に一度モニタリングをするものとする。
6 会社は、委託先において漏えい等が発生した場合に、適切な対応がなされ、速やかに会社に報告される体制になっていることを確認するものとする。
第6章 仮名加工情報の取扱い
第1節 仮名加工情報の取得・保有等
(仮名加工情報の作成)
第37条 会社は、仮名加工情報を作成する場合、以下の基準により作成するものとする。
(1)個人情報に含まれる個人を識別できる記述の少なくとも一部を削除ないし置換する。
(2)個人情報に含まれる個人識別符号の全部を削除ないし置換する。
(3)個人情報に含まれる、不正に利用された場合に個人に財産的被害が生ずるおそれのある記述を削除ないし置換する。
(利用目的による制限等)
第38条 会社は、法令に基づく場合を除くほか、利用目的の達成に必要な範囲を超えて、仮名加工情報を取り扱わないものとする。
2 会社は、仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、第三者から削除情報等を取得し、又は仮名加工情報を他の情報と照合しないものとする。
3 会社は、電話、郵便、信書、電報、ファクシミリ、又は電子メールその他の電磁的方法による送付又は送信、及び住居訪問等の目的で、仮名加工情報に含まれる連絡先その他の情報を利用しないものとする。
4 会社は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により仮名加工情報を利用しないものとする。
(利用目的の通知等)
第39条 会社は、仮名加工情報を取得した場合は、速やかに、その利用目的を公表するものとする。
2 会社は、仮名加工情報の利用目的を変更した場合は、変更された利用目的について、公表するものとする。
3 前2項の規定は、次の各号に記載の場合には適用しない。
(1)利用目的を公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)利用目的を公表することにより会社の権利又は正当な利益を害するおそれがある場合
(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(4)取得の状況からみて利用目的が明らかであると認められる場合
(データ内容の消去等)
第40条 会社は、仮名加工情報である個人データを利用する必要がなくなったときは、個人データ及び個人情報データベース等(仮名加工情報データベース等を含む)、並びに削除データ及び削除情報等データベース等を遅滞なく消去・廃棄するものとする。
第2節 仮名加工情報の第三者提供の制限
(第三者提供の制限)
第41条 会社は、法令に基づく場合を除くほか、仮名加工情報を第三者に提供しないものとする。
2 会社は、次の各号に記載の場合、第1項の第三者に該当しないものとみなすものとする。
(1)利用目的の達成に必要な範囲内において、仮名加工情報の取扱いの委託に伴って当該仮名加工情報を提供する場合
(2)特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される仮名加工情報の項目、当該特定の者の名称、利用目的、並びに当該仮名加工情報の管理責任者の氏名及び住所(法人の場合には代表者氏名)について、予め公表しているとき
3 会社は、第2項第2号の管理責任者の氏名又は住所(法人の場合には代表者氏名)を変更する場合、及び同号の利用目的を変更する場合には、予め公表するものとする。
第3節 規定の準用
(規定の準用)
第42条 会社は、仮名加工情報の作成により生じた削除情報等について、削除情報等を含む情報の集合物を「削除情報等データベース等」、削除情報等データベース等を構成する削除情報等を「削除データ」として、第2章の安全管理措置の規定を準用するものとする。この場合において、第2章の規定中「個人情報」とあるのは「削除情報等」と、「個人データ」とあるのは「削除データ」と、「個人情報データベース等」とあるのは「削除情報等データベース等」と読み替えるものとする。また、第8条第1項各号は以下のとおり読み替えるものとする。
(1)削除情報等データベース等の種類、名称
(2)加工元個人情報データベース等の種類・名称
(3)記録媒体
(4)管理区域
(5)部署責任者
(6)取扱部署
(7)保存期間
(8)削除・廃棄方法
(9)削除・廃棄の状況
2 会社は、仮名加工情報について、仮名加工情報データベース等を構成する仮名加工情報を「仮名加工データ」として、第2章の安全管理措置の規定を準用するものとする。この場合において、第2章の規定中「個人情報」とあるのは「仮名加工情報」と、「個人データ」とあるのは「仮名加工データ」と、「個人情報データベース等」とあるのは「仮名加工情報データベース等」と読み替えるものとする。
3 会社は、仮名加工情報である個人データ及び保有個人データについて、第4章の開示等の請求等及び苦情処理の規定のうち、第29条及び第35条を準用するものとする。この場合において、第29条及び第35条中「保有個人データ」とあるのは、「仮名加工情報である保有個人データ」と読み替えるものとする。
4 会社は、仮名加工情報である個人データについて、第5章の委託先の監督に係る規定を準用するものとする。この場合において、第5章の規定中「個人データ」とあるのは、「仮名加工情報である個人データ」と読み替えるものとする。
第7章 匿名加工情報の取扱い
第1節 匿名加工情報の取得・保有等
(匿名加工情報の作成)
第43条 会社は、匿名加工情報を作成する場合、以下の基準により作成するものとする。
(1)個人情報に含まれる個人を識別できる記述の少なくとも一部を削除ないし置換する。
(2)個人情報に含まれる個人識別符号の全部を削除ないし置換する。
(3)個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号を削除ないし置換する。
(4)特異な記述等を削除ないし置換する。
(5)前各号のほか、個人情報に含まれる記述と、当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述との差異その他当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずる。
(利用の制限等)
第44条 会社は、匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、第三者から加工方法等情報を取得し、又は匿名加工情報を他の情報と照合しないものとする。
2 会社は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により匿名加工情報を利用しないものとする。
(個人に関する情報の項目の公表)
第45条 会社は、匿名加工情報を取得した場合は、速やかに、匿名加工情報に含まれる個人に関する情報の項目を公表するものとする。
第2節 匿名加工情報の第三者提供の制限
(第三者提供時の公表等)
第46条 会社は、匿名加工情報を第三者提供する場合、予め、次の各号に記載の事項を公表するものとする。
(1)匿名加工情報に含まれる個人に関する情報の項目
(2)提供の方法
(3)当該情報が匿名加工情報である旨
2 会社は、第1項各号に記載の事項を、予め匿名加工情報を提供する第三者に明示するものとする。
第3節 規定の準用
(規定の準用)
第47条 会社は、匿名加工情報の作成に用いた個人情報から削除した記述及び個人識別符号並びに加工方法に関する情報であって、その情報を用いて個人情報を復元可能な情報(以下「加工方法等情報」という)について、加工方法等情報を含む情報の集合物を「加工方法等情報データベース等」、加工方法等情報データベース等を構成する加工方法等情報を「加工方法等データ」として、第2章の安全管理措置の規定を準用するものとする。この場合において、第2章の規定中「個人情報」とあるのは「加工方法等情報」と、「個人データ」とあるのは「加工方法等データ」と、「個人情報データベース等」とあるのは「加工方法等情報データベース等」と読み替えるものとする。また、第8条第1項各号は以下のとおり読み替えるものとする。
(1)加工方法情報等データベース等の種類、名称
(2)加工元個人情報データベース等の種類・名称
(3)記録媒体
(4)管理区域
(5)部署責任者
(6)取扱部署
(7)保存期間
(8)削除・廃棄方法
(9)削除・廃棄の状況
2 会社は、匿名加工情報について、匿名加工情報データベース等を構成する匿名加工情報を「匿名加工データ」として、第2章の安全管理措置の規定を準用するものとする。この場合において、第2章の規定中「個人情報」とあるのは「匿名加工情報」と、「個人データ」とあるのは「匿名加工データ」と、「個人情報データベース等」とあるのは「匿名加工情報データベース等」と読み替えるものとする。なお、第2章の規定を適用するにあたり、匿名加工情報の利用目的には制限がないものとする。
3 会社は、匿名加工情報について、第4章の開示等の請求等及び苦情処理の規定のうち、第35条を準用するものとする。この場合において、第35条中「保有個人データ」とあるのは、「匿名加工情報」と読み替えるものとする。
第8章 個人関連情報の取扱い
(個人関連情報の取得)
第48条 会社は、第三者から個人関連情報を個人データとして取得することが想定される場合、第25条第1項各号に該当する場合を除き、当該個人データの本人から、個人関連情報の提供を受けて個人データとして取得することを認める旨の同意を取得するものとする。
2 会社は、不正な手段により個人関連情報を取得しないものとする。
3 会社は、個人関連情報の提供元である第三者から第1項の同意を取得したことの確認を求められた場合、当該提供元に対して適切にこれを報告するものとする。
4 会社は、第三者から個人関連情報の提供を受けて個人データとして取得する場合、次の各号に記載の事項を確認するものとする。
(1)本人から、会社が個人関連情報を個人データとして取得することを認める旨の同意を得ていること
(2)第三者の氏名及び住所(法人の場合には代表者氏名)
(3)提供される個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
(4)個人関連情報の項目
5 会社は、第4項の規定により確認を行ったときは、確認された事項について、第三者提供に係る記録を速やかに作成するものとする。
6 会社は、第5項の規定により作成した記録を、当該記録を作成した日から3年間保存するものとする。
(個人関連情報の第三者提供)
第49条 会社は、第三者が会社の提供する個人関連情報を個人データとして取得することが想定される場合、第25条第1項各号に該当する場合を除き、当該第三者を通じて、次の各号に記載の内容について書面で確認するものとする。
(1)本人から、第三者が個人関連情報を個人データとして取得することを認める旨の同意を得ていること
(2)個人関連情報を外国にある第三者に提供する場合、第26条第1項各号の情報が本人に提供されていること
2 会社は、第三者に個人関連情報を個人データとして提供する場合、次の各号に記載の事項について、第三者提供に係る記録を速やかに作成するものとする。
(1)第1項各号の事項を確認した旨
(2)個人関連情報の提供年月日
(3)第三者の氏名及び住所(法人の場合には代表者氏名)
(4)個人関連情報の項目
3 会社は、第2項の規定により作成した記録を、当該記録を作成した日から3年間保存するものとする。
第9章 特定個人情報の取扱い
第1節 特定個人情報の取得・保有等
(利用目的の特定)
第50条 会社は、次の各号に記載の事務を遂行するため必要な限度で、できる限り具体的に特定個人情報の利用目的を定めるものとする。
(1)従業者に係る個人番号関係事務
①給与所得・退職所得の源泉徴収票作成事務
②扶養控除等(異動)申告書及び給与所得者の保険料控除申告書兼給与所得者の配偶者特別控除申告書の取扱事務
③退職所得の受給に関する申告書の取扱事務
④雇用保険法に基づく被保険者資格に係る届出事務、並びに雇用継続給付に係る賃金月額証明書作成及び支給申請事務
⑤労働者災害補償保険法に基づく保険給付請求に係る事務
⑥健康保険法及び厚生年金保険法に基づく被保険者資格に係る届出事務
⑦健康保険法に基づく被扶養者異動に係る届出事務
⑧健康保険法に基づく保険給付の支給申請事務
(2)従業者の被扶養者に係る個人番号関係事務
①国民年金第3号被保険者届出事務
(3)従業者以外の個人に係る個人番号関係事務
①従業者の被扶養者に係る個人番号関係事務
②報酬・料金等の支払調書作成事務
③配当、剰余金の分配及び基金利息の支払調書作成事務
2 会社は、特定個人情報の利用目的を変更する場合、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて変更しないものとする。
(取り扱う特定個人情報の範囲)
第51条 会社が取り扱う特定個人情報は、個人番号に加えて以下の範囲に限るものとする。
(1)従業者の氏名、生年月日、性別、住所、基礎年金番号、雇用保険被保険者番号、収入額
(2)従業者の扶養家族の氏名、生年月日、性別、住所、基礎年金番号、収入額、続柄
(3)従業者以外の個人の氏名、住所
(4)その他、第50条に定める事務を行うために必要とされる特定個人情報
(利用目的による制限等)
第52条 会社は、第50条の規定により特定された利用目的の達成に必要な範囲を超えて、特定個人情報及び特定個人情報ファイルを利用せず、収集せず、保管せず、提供を要求せず、その他取り扱わないものとする。
2 第1項の規定は、次に記載の場合には適用しない。
(1)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるとき
3 会社は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により特定個人情報を利用しないものとする。
(利用目的の通知等)
第53条 会社は、特定個人情報を取得した場合は、速やかに、その利用目的を本人に通知又は公表するものとする。
2 会社は、特定個人情報の利用目的を変更した1場合は、変更された利用目的について、本人に通知又は公表するものとする。
3 第1項及び第2項の規定は、次の各号に記載の場合には適用しない。
(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)利用目的を本人に通知し、又は公表することにより会社の権利又は正当な利益を害するおそれがある場合
(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(4)取得の状況からみて利用目的が明らかであると認められる場合
(個人番号の取得)
第54条 会社は、不正な手段により特定個人情報を取得しないものとする。
2 会社は、第50条の規定により特定された利用目的に係る事務を処理するために必要がある場合に限り、特定個人情報を取得し、必要な範囲を超えて特定個人情報を取得しないものとする。
3 会社は、本人から特定個人情報を取得する場合、以下のものを提出させることにより、個人番号及び本人の身元確認を行うものとする。
(1)個人番号が記載された書類(以下のいずれかの書類)
①個人番号カード
②通知カード(2020年5月25日以降、記載事項に変更のないものに限る)
③個人番号の記載された住民票
(2)写真付き本人確認書類(以下のいずれかの書類)
①運転免許証
②運転経歴証明書
③パスポート
④身体障害者手帳、精神障害者保健福祉手帳、療育手帳
⑤在留カード又は特別永住者証明書
⑥その他、法令により許可された写真付き確認書類
4 会社は、本人の代理人から特定個人情報を取得する場合、以下のものを提出させることにより、個人番号、代理人の身元確認及び代理権の確認を行うものとする。
(1)本人の個人番号が記載された書類(以下のいずれかの書類)
①個人番号カード
②通知カード(2020年5月25日以降、記載事項に変更のないものに限る)
③個人番号の記載された住民票
(2)代理人の写真付き本人確認書類(以下のいずれかの書類)
①代理人の個人番号カード
②運転免許証
③運転経歴証明書
④パスポート
⑤身体障害者手帳、精神障害者保健福祉手帳、療育手帳
⑥在留カード又は特別永住者証明書
⑦その他、法令により許可された写真付き確認書類
(3)代理権を証する書類
①法定代理人である場合、戸籍謄本その他の資格を証明する書類
②任意代理人である場合、委任状
(データ内容の正確性の確保等)
第55条 会社は、利用目的の達成に必要な範囲内において、特定個人情報を正確かつ最新の内容に保つものとする。
2 会社は、特定個人情報を利用する必要がなくなり、かつマイナンバー法その他の関係法令において定められている保存期間を経過した場合、特定個人情報及び特定個人情報ファイルを遅滞なく消去・廃棄するものとする。
第2節 特定個人情報の第三者提供の制限
(第三者提供の制限)
第56条 会社は、次の各号に記載の場合を除くほか、特定個人情報を第三者に提供しないものとする。
(1)第50条の規定により特定された利用目的に係る事務を行うために必要があるとき
(2)特定個人情報の取扱いの全部又は一部を第三者に委託するとき
(3)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるとき
(4)その他、法令により第三者への提供が求められる場合
第3節 規定の準用
(規定の準用)
第57条 会社は、特定個人情報について、特定個人情報ファイルを構成する特定個人情報を「特定個人データ」として、第2章の安全管理措置の規定を準用するものとする。この場合において、第2章の規定中「個人情報」とあるのは「特定個人情報」と、「個人データ」とあるのは「特定個人データ」と、「個人情報データベース等」とあるのは「特定個人情報ファイル」と読み替えるものとする。また、第8条第1項各号は以下のとおり読み替えるものとする。
(1)特定個人情報ファイルの種類、名称
(2)個人番号の有無
(3)利用目的
(4)記録媒体
(5)管理区域
(6)部署責任者
(7)取扱部署
(8)保存期間
(9)削除・廃棄方法
(10)削除・廃棄の状況
2 会社は、特定個人情報について、第4章の開示等の請求等及び苦情処理の規定を適用するものとする。この場合において、第4章の規定中「保有個人データ」とあるのは、「特定個人情報」と読み替えるものとする。また第34条第1項第1号「イ 本人確認書類」及び「ウ 代理人による請求の場合には、代理権を証する書類」については、第54条第3項及び第4項の規定に準ずるものとする。
3 会社は、特定個人情報について、第5章の委託先の監督に係る規定を準用するものとする。この場合において、第5章の規定中「個人データ」とあるのは、「特定個人情報」と読み替えるものとする。
第10章 個人情報保護委員会への報告
(報告)
第58条 会社は、個人データにつき、次の各号に記載の場合、個人情報保護委員会に報告するものとする。
(1)要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがあるとき
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがあるとき
(3)不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがあるとき
(4)個人データに係る本人の人数が1,000人を超える漏えい等が発生し、又は発生したおそれがあるとき
2 会社は、特定個人情報につき、次の各号に記載の場合、個人情報保護委員会に報告するものとする。
(1)情報システム又はこれに接続された機器に記録された特定個人情報の漏えい等が発生し、又は発生したおそれがあるとき
(2)不正の目的をもって、特定個人情報が利用若しくは提供され、又はそのおそれがあるとき
(3)特定個人情報ファイルに記録された特定個人情報が電磁的方法により不特定多数の者に閲覧可能となり、かつその特定個人情報が閲覧され、又はそのおそれがあるとき
(4)次に掲げる特定個人情報に係る本人の数が100人を超えるとき
①漏えい等が発生し、又は発生したおそれがある特定個人情報
②マイナンバー法第9条の規定に反して利用され、又は利用されたおそれがある個人番号を含む特定個人情報
③マイナンバー法第19条の規定に反して提供され、又は提供後に漏えいし、又は漏えいが生じたおそれがある特定個人情報
3 第1項及び第2項の規定は、個人データ又は特定個人情報に高度な暗号化その他の個人の権利利益を保護するために必要な措置が講じられている場合、適用しないものとする。
4 会社は、第1項各号又は第2項各号の事象が発生した場合、次の各号に記載の事項のうち、その時点で把握している事項を、発生から5日以内に個人情報保護委員会に報告するものとする。
(1)概要
(2)個人データ又は特定個人情報の項目
(3)個人データ又は特定個人情報に係る本人の数
(4)原因
(5)二次被害又はそのおそれの有無及びその内容
(6)本人への対応の実施状況
(7)公表の実施状況
(8)再発防止のための措置
(9)その他参考となる事項
5 会社は、第1項各号又は第2項各号の事象が発生した場合、第4項各号に記載の事項を、発生から30日以内に個人情報保護委員会に報告するものとする。
(本人への通知)
第59条 会社は、第58条第1項各号又は第2項各号の事象が発生した場合であって、第58条第3項の措置が講じられていない場合、状況に応じて速やかに、次の各号に記載の事項を本人に通知するものとする。
(1)概要
(2)漏えい等が発生し、又はそのおそれがある個人データ又は特定個人情報の項目
(3)原因
(4)二次被害又はそのおそれの有無及びその内容
(5)その他参考となる事項
2 第1項にかかわらず、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとる場合には本人への通知を要しない。
(附 則)
第1条 本規程は、令和5年3月1日から実施する。