第一ビル管理(株) 個人情報保護規程
第1章 総則
【定義】
第2条 本規程における用語の定義は、次の各号に定めるところによる。
(1)個人情報 生存する個人に関する情報であって、次のア又はイのいずれかに該当するもの
ア 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
イ 個人識別符号(個人情報の保護に関する法律(以下「個人情報保護法」という。)第2条第2項が定めるもの)が含まれるもの
(2)要配慮個人情報 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報
(3)個人情報データベース等 個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
(4)個人データ 個人情報データベース等を構成する個人情報
(5)保有個人データ 当社が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして関係政令で定められるもの又は6月以内の政令で定める期間以内に消去することとなるもの以外のもの
(6)匿名加工情報 次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一 本条(1)アに該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 本条(1)イに該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(7)加工方法等情報 匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに個人情報保護法第36条第1項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)
(8)本人 個人情報によって識別される特定の個人
(9)従業者 当社の組織内でその指揮監督を受け、個人情報の取扱いに従事する者(社員、役員、派遣社員等を含む)
(10)個人情報保護コンプライアンス・プログラム 当社が保有する個人情報及び匿名加工情報を保護するための方針、諸規程を含む当社内のしくみのすべて
(11)個人情報保護管理者 代表取締役より任命され、個人情報保護コンプライアンス・プログラムの実施及び運用に関する責任と権限を有する者
(12)監査責任者 代表取締役より任命された者であって、公平かつ客観的な立場にあり、監査の実施及び報告を行う責任と権限を有する者
【適用範囲】
第3条 本規程は、当社の従業者に対して適用する。
2 個人情報及び匿名加工情報を取扱う業務を外部に委託する場合も、この規程の趣旨に従って、個人情報の適正な保護を図るものとする。
第2章 個人情報の取得
【個人情報取得の原則】
第4条 個人情報の取得は、利用目的を明確に定め、その目的の達成のために必要な限度においてのみ行うものとする。
2 個人情報の取得は、適法かつ公正な方法により行うものとする。
【要配慮個人情報の取得の禁止】
第5条 要配慮個人情報を取得してはならない。ただし、これらの取得について、本人の同意がある場合、及び次の各号に掲げる場合は、この限りでない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5)当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報保護法第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
(6)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
(7)委託、事業承継又は共同利用に伴って個人データの提供を受ける場合において、要配慮個人情報の提供を受ける場合
【取得の手続】
第6条 業務において新たに個人情報を取得する場合には、あらかじめ、個人情報保護管理者に利用目的及び実施方法を届け出、承認を得るものとする。
【本人から直接に個人情報を取得する場合の措置】
第7条 本人から直接に個人情報を取得する場合は、本人に対して、次の各号に掲げる事項を書面又はこれに準ずる方法によって通知又は公表するものとする。
(1)個人情報保護管理者又はその代理人の氏名又は職名、所属及び連絡先
(2)個人情報の取得及び利用目的
(3)個人情報の提供を行うことが予定されている場合は、その目的、当該情報の受領者又は受領者の組織の種類、属性及び個人情報の取扱いに関する契約の有無
(4)個人情報を与えることは本人の任意であること
(5)個人情報の開示を求める権利、及び開示の結果、当該情報が誤っている場合に訂正又は削除を要求する権利の存在、並びに当該権利を行使するための具体的な手続き
【本人以外から間接的に個人情報を取得する場合の措置】
第8条 本人以外から間接に個人情報を取得する場合は、前条第1号ないし第3号及び 第5号に掲げる事項を書面又はこれに準ずる方法によって通知又は公表するものとする。ただし、次の各号に該当する場合は、この限りでない。
(1)前条第3号に掲げる事項を書面又はこれに準ずる方法によって通知した上、本人の同意を得ている者から取得する場合
(2)個人情報の取扱いを委託される場合
(3)本人の保護に値する利益が侵害されるおそれのない場合
【第三者提供を受ける場合の記録の作成等】
第9条 第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行う。ただし、当該個人データの提供が第5条第1号ないし第4号のいずれかに該当する場合、または委託、事業承継又は共同利用に伴って行われる場合は、この限りでない。
(1)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
(2)当該第三者による当該個人データの取得の経緯
2 前項に定める確認により当該個人情報が適法に取得されたことが確認できない場合は、その取得を自粛する。
3 第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成する。
4 前項の記録は、当該記録を作成した日から個人情報保護委員会規則で定める期間保存する。
第3章 個人情報の移送・送信
【個人情報の移送・送信の原則】
第10条 個人情報及び匿名加工情報の移送・送信は、具体的な権限を与えられた者のみが、外部流出の危険を防止するために必要かつ適切な方法により、業務の遂行上必要な限りにおいてなし得るものとする。
第4章 個人情報の利用
【個人情報の利用の原則】
第11条 個人情報は、利用目的の範囲内で、具体的な権限を与えられた者のみが、業務の遂行上必要な限りにおいて利用できるものとする。
2 合併その他の事由により他の法人等から事業を継承することに伴って個人情報を取得した場合は、継承前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わないものとする。
【個人情報の目的外の利用】
第12条 利用目的の範囲を超えて個人情報を利用する場合は、第7条第1号ないし第3 号及び第5号に掲げる事項を書面又はこれに準ずる方法によって本人に通知し、事前の本人の同意を得るものとする。
2 利用目的の範囲を超えて個人情報を利用するために本人の同意を求める場合は、個人情報保護管理者の承認を得るものとする。
【個人情報の共同利用】
第13条 個人情報を第三者との間で共同利用する場合は、個人情報保護管理者の承認を得るものとする。
【個人情報の取扱いの委託】
第14条 個人情報の取扱いを第三者に委託する場合は、「外部委託管理規程」に定める手続きに従う。
第5章 個人情報の第三者提供
【個人情報の第三者提供の原則】
第15条 個人情報は、法令に基づく場合を除き、事前に本人の同意を得ることなく、第三者(外国にある第三者を含む。)に提供してはならない。
2 個人情報を第三者に提供する場合には、その利用目的並びに第7条第1号ないし第3号及び第5号に掲げる事項を書面又はこれに準ずる方法によって通知し、本人の同意を得るものとする。
3 前項に基づき個人情報を第三者に提供する場合は、個人情報保護管理者の承認を得るものとする。
【第三者提供に係る記録の作成等】
第16条 個人データを第三者(個人情報保護法2条5項各号に掲げる国の機関等を除く。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成する。ただし、当該個人データの提供が法令に基づいて行われた場合は、この限りでない。
2 前項の記録は、個人情報保護委員会規則で定める期間保存する。
第6章 個人情報の管理
【個人情報の管理の原則】
第17条 個人情報は、利用目的の達成に必要な範囲内において、正確かつ最新の状態で管理するとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するものとする。
【個人情報の安全管理対策】
第18条 個人情報保護管理者は、個人情報及び匿名加工情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど)に対して、必要かつ適切な安全管理対策を講じるものとする。
第7章 個人情報の開示・訂正・利用停止・消去
【自己情報の開示等】
第19条 本人から、当該本人が識別される個人情報に係る保有個人データについて、書面又は口頭により、その開示(当該本人が識別される個人情報に係る保有個人データを保有していないときにその旨を知らせることを含む。以下同じ。)の申出があったときは、合理的な期間内に、身分証明書等により本人であることを確認の上、開示をするものとする。 ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)事業の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
2 開示は、書面により行うものとする。ただし、開示の申出をした者の同意があるときは、書面以外の方法により開示をすることができる。
3 個人情報に係る保有個人データの開示又は不開示の決定の通知は、本人に対し、遅滞なく行うものとする。
【自己情報の訂正等】
第20条 本人から、当該本人が識別される個人情報に係る保有個人データの内容が事実でないという理由によって当該個人情報に係る保有個人データの内容の訂正、追加又は削除(以下「訂正等」という。)を求められた場合は、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該個人情報に係る保有個人データの内容の訂正等を行うものとする。
2 前項の規定に基づき求められた個人情報に係る保有個人データの内容の訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知するものとする。
3 前項の通知を受けた者から、再度申出があったときは、前項と同様の処理を行うものとする。
4 第2項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めるものとする。
【自己情報の利用又は提供の拒否】
第21条 本人から当該本人が識別される個人情報に係る保有個人データが第11条の規定に違反して取り扱われているという理由又は第5条の規定に違反して取得されたものであるという理由によって、当該個人情報に係る保有個人データの利用の停止又は消去(以下「利用停止等」という。)を求められた場合、又は第15条の規定に違反して第三者に提供されているという理由によって、当該個人情報に係る保有個人データの第三者への提供の停止(以下「第三者提供の停止」という。)を求められた場合で、その求めに理由があることが判明したときは、遅滞なく、当該個人情報に係る保有個人データの利用停止等又は第三者提供の停止を行うものとする。ただし、当該個人情報に係る保有個人データの利用停止等又は第三者提供の停止に多額の費用を要する場合その他の利用停止等又は第三者提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2 当社は、前項の規定に基づき求められた個人情報に係る保有個人データについて、利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三者提供の停止を行ったとき若しくは第三者提供の停止を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
3 前条第3項及び第4項は本条に準用する。
第8章 個人情報の消去・廃棄
【消去・廃棄の手続き】
第22条 個人情報及び匿名加工情報の消去及び廃棄は、具体的な権限を与えられた者のみが、外部流出等の危険を防止するために必要かつ適切な方法により、業務の遂行上必要な限りにおいてなし得るものとする。
第9章 組織及び体制
【個人情報保護管理者】
第23条 代表取締役は、役員社員の中から個人情報保護管理者を任命し、当社内における個人情報及び匿名加工情報の管理業務を行わせるものとする。
2 個人情報保護管理者は、代表取締役の指示及び本規程に定めるところに基づき、個人情報保護に関する内部規程の整備、安全対策の実施、教育訓練、作業責任者からの報告徴収及び助言・指導等を推進するための個人情報保護コンプライアンス・プログラムを策定し、周知徹底の措置を実践する責任を負うものとする。
3 個人情報保護管理者は、個人情報保護コンプライアンス・プログラムの策定及びその実施のために、補佐を行う者を任命できるものとする。
【教育】
第24条 個人情報保護管理者は、個人情報保護コンプライアンス・プログラムの重要性を理解させ、確実な実施を図るため、所要の教育計画及び教育資料に従い、継続かつ定期的に教育・訓練を行うものとする。
【作業責任者】
第25条 個人情報保護管理者は、個人情報並びに匿名加工情報及び加工方法等情報を取扱う作業が行われるに際し、当該作業に関する責任者を任命するものとする。
【監査】
第26条 代表取締役は、監査責任者を任命し、当社内における個人情報並びに匿名加工情報及び加工方法等情報の管理が個人情報保護コンプライアンス・プログラムに従い適正に実施されているかにつき定期的に監査を行わせるものとする。
2 監査責任者は、内部監査規程に従い、監査計画を作成し実施するものとする。
3 監査責任者は、監査の結果につき監査報告書を作成し、代表取締役に対して報告を行うものとする。
4 代表取締役は、当社内における個人情報の管理につき個人情報保護コンプライアンス・プログラムに違反する行為があった場合には、個人情報保護管理者及び関係者に対し、改善指示を行うものとする。
5 前項に基づき改善指示を受けた者は、速やかに適正な改善措置を講じ、その内容を監査責任者に報告するものとする。
6 監査責任者は、前項によりなされた改善措置を評価し、代表取締役及び個人情報保護管理者に対して報告するものとする。
【報告義務及び罰則】
第27条 個人情報保護コンプライアンス・プログラムに違反する事実又は違反するおそれがあることを発見した者は、その旨を個人情報保護管理者に報告するものとする。
2 個人情報保護管理者は、前項による報告の内容を調査し、違反の事実が判明した場合には、遅滞なく、代表取締役に報告し、かつ、関係部門に適切な処置を行うよう指示するものとする。
3 個人情報保護コンプライアンス・プログラムに違反した従業者は、就業規則の定めるところにより懲戒に処するものとする。
【苦情及び相談】
第28条 代表取締役は、相談窓口を設置し、個人情報及び匿名加工情報並びに個人情報保護コンプライアンス・プログラムに関して、本人からの苦情及び相談を受け付けて対応するものとする。
第10章 匿名加工情報
【匿名加工情報の作成】
第29条 匿名加工情報を作成するときには、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工するものとする。
2 当社は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表するものとする。
【匿名加工情報と加工方法等情報の保存】
第30条 匿名加工情報を作成したときには、別途定めるところに従い、加工方法等情報を匿名加工情報と異なる場所に保存しなければならない。
【照合の禁止】
第31条 匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たって、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
2 第三者が作成した匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは個人情報保護法36条1項の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
【第三者に提供する際の措置】
第32条 匿名加工情報を第三者に提供するときは、施行規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するものとする。
2 匿名加工情報を第三者に提供するときは、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
3 匿名加工情報の取扱いの全部又は一部を当社以外の者に委託するときは、当社と同等の措置が委託先において適切に講じられるよう、必要かつ適切な監督を行うものとする。
第11章 雑則
【見直し】
第33条 代表取締役は、監査報告書及びその他の事業環境などに照らして、適切な個人情報の保護を維持するために、定期的に、本規程の改廃を含む個人情報保護コンプライアンス・プログラムの見直しを、個人情報保護管理者に指示するものとする。
附 則
1.本規程は、平成17年4月1日よりこれを実施する。
1.【目的】第1条【定義】第2条【適用範囲】第3条【要配慮個人情報の取得の禁止】第5条【第三者提供を受ける場合の記録の作成等】第9条【個人情報の移送・送信の原則】第10条【個人情報の利用の原則】第11条【個人情報の第三者提供の原則】第15条【第三者提供に係る記録の作成等】第16条【個人情報の管理の原則】第17条【個人情報の安全管理対策】第18条【事故情報の開示等】第19条【事故情報の訂正等】第20条【事故情報の利用又は提供の拒否】第21条【消去・廃棄の手続き】第22条【個人情報保護管理者】第23条【作業責任者】第25条【監査】第26条【苦情及び相談】第28条【匿名加工情報の作成】第29条【匿名加工情報と加工方法等情報の保存】第30条【照合の禁止】第31条【第三者に提供する際の措置】第32条について、平成29年5月22日全部及び一部改定 1.条文の全部及び一部改定に伴う条数の変更を平成29年5月22日実施
第一ビル管理(株) 特定個人情報保護規程
第1章 総則
(目的)
第1条 この規程は、第一ビル管理(株)(以下「当社」という。)が有するマイナンバーおよび特定個人情報(以下、単に「特定個人情報」という。)につき、特定個人情報を含む個人情報保護方針に基づく適正な保護を実現することを目的とする基本規程である。
(定義)
第2条 本規程における用語の定義は、次の各号に定めるところによる。
(1) 個人情報 生存する個人に関する情報であって、次の各号のいずれかに該当するもの 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別できることとなるものを含む。) 二 個人識別符号(個人情報の保護に関する法律(以下「個人情報保護法」という。)第2条第2項が定めるもの)が含まれるもの
(2) 個人番号(マイナンバー) 行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「マイナンバー法」という。)第2条5項が定める住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるもの
(3) 特定個人情報 マイナンバー(マイナンバーに対応し、当該マイナンバーに代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。)をその内容に含む個人情報
(4) 要配慮個人情報 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報
(5) 個人情報ファイル 個人情報を含む情報の集合物であって、特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして「個人情報の保護に関する法律施行令」で定めるもの
(6) 特定個人情報ファイル マイナンバーをその内容に含む個人情報ファイル
(7) 個人番号関係事務 マイナンバー法第9条第3項の規定により個人番号利用事務(行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が同条第1項または第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、および管理するために必要な限度でマイナンバーを利用して処理する事務)に関して行われる他人のマイナンバーを必要な限度で利用して行う事務
(8) 本人 マイナンバーによって識別され、または識別され得る特定の個人
(9) 従業者 当社の組織内でその指揮監督を受け、個人情報または特定個人情報の取扱いに従事する者(社員、役員、派遣社員等を含む)
(10) 個人情報保護コンプライアンス・プログラム 当社が保有する個人情報を保護するための方針、諸規程を含む当社内のしくみのすべて
(11) 個人情報保護管理者 代表取締役より任命され、個人情報保護コンプライアンス・プログラムの実施および運用に関する責任と権限を有する者
(12) 監査責任者 代表取締役より任命された者であって、公平かつ客観的な立場にあり、監査の実施および報告を行う責任と権限を有する者
(適用範囲)
第3条 本規程は、当社の従業者に対して適用する。
2 特定個人情報を取扱う業務を外部に委託する場合も、この規程の趣旨に従って、特定個人情報の適正な保護を図るものとする。
第2章 特定個人情報の取得
(特定個人情報取得の原則)
第4条 特定個人情報の取得は、利用目的を明確に定め、その目的の達成のために必要な限度においてのみ行うものとする。
2 特定個人情報の取得は、適法かつ公正な方法により行うものとする。
3 マイナンバー法第19条各号のいずれかに該当する場合を除き、他人に対し特定個人情報の提供を求め、または他人の特定個人情報を取得若しくは収集しないものとする。
4 次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得しない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報保護法第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
(6) 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
(7) 委託、事業承継又は共同利用に伴って個人データの提供を受ける場合において、要配慮個人情報の提供を受ける場合
(取得の手続)
第5条 業務において新たに特定個人情報を取得する場合には、あらかじめ、個人情報保護管理者に利用目的および実施方法を届け出、承認を得るものとする。
(本人から直接に特定個人情報を取得する場合の措置)
第6条 本人から直接に特定個人情報を取得する場合は、本人に対して、次の各号に掲げる事項を書面またはこれに準ずる方法によって通知または公表するものとする。
(1)個人情報保護管理者またはその代理人の氏名または職名、所属および連絡先
(2)特定個人情報の取得および利用目的
(3)特定個人情報の提供を行うことが予定されている場合は、その目的、当該情報の受領者または受領者の組織の種類、属性および特定個人情報の取扱いに関する契約の有無
(4)特定個人情報の開示を求める権利、および開示の結果、当該情報が誤っている場合に訂正または削除を要求する権利の存在、並びに当該権利を行使するための具体的な手続き
(本人以外から間接的に特定個人情報を取得する場合の措置)
第7条 本人以外から間接に特定個人情報を取得する場合は、前条第1号ないし第4号に掲げる事項を書面またはこれに準ずる方法によって通知または公表するものとする。ただし、次の各号に該当する場合は、この限りでない。
(1)前条第3号に掲げる事項を書面またはこれに準ずる方法によって通知した上、本人の同意を得ている者から取得する場合
(2)特定個人情報の取扱いを委託される場合
(本人確認)
第8条 本人またはその代理人からマイナンバーの提供を受けるときは、マイナンバー法第16条の規定に従い、本人確認を行うものとする。
(安全管理措置)
第9条 特定個人情報の取得に際し、第29条(特定個人情報の取扱状況の記録)、第30条(本規程に基づく運用状況の記録)、第32条(従業者の監督・教育)、第33条(委託先の監督)、および第38条(技術的安全管理措置)に定める安全管理措置を講じるものとする。
第3章 特定個人情報の利用
(特定個人情報の利用の原則)
第10条 特定個人情報は、利用目的の範囲内で、具体的な権限を与えられた者のみが、業務の遂行上必要な限りにおいて利用できるものとする。
(特定個人情報の目的外の利用)
第11条 前条の規定にかかわらず、人の生命、身体または財産の保護のために必要がある場合であって、本人の同意があり、または本人の同意を得ることが困難であるときは、必要な限度で特定個人情報を利用することができるものとする。
(特定個人情報の取扱いの委託)
第12条 特定個人情報の取扱いを第三者に委託する場合は、「外部委託管理規程」に定める手続きに従う。
(特定個人情報ファイルの作成の原則)
第13条 マイナンバー法第19条11号から14号までのいずれかに該当して特定個人情報を提供し、またはその提供を受けることができる場合を除き、個人番号関係事務を処理するために必要な範囲を超えて特定個人情報ファイルを作成しないものとする。
(安全管理措置)
第14条 特定個人情報の利用に関し、第29条(特定個人情報の取扱状況の記録)、第30条(本規程に基づく運用状況の記録)、第32条(従業者の監督・教育)、第33条(委託先の監督)、第34条(特定個人情報を取り扱う区域の管理)、第35条(機器および電子媒体等の盗難等の防止)、第36条(電子媒体等を持ち出す場合の漏えい等の防止)、および第38条(技術的安全管理措置)に定める安全管理措置を講じるものとする。
第4章 特定個人情報の保存
(特定個人情報の管理の原則)
第15条 特定個人情報は、利用目的の達成に必要な範囲内において、正確かつ最新の状態で管理するものとする。
2 特定個人情報は、第17条に該当する場合に限り、保管することができる。
(安全管理措置)
第16条 特定個人情報の保存に関し、第29条(特定個人情報の取扱状況の記録)、第30条(本規程に基づく運用状況の記録)、第32条(従業者の監督・教育)、第33条(委託先の監督)、第34条(特定個人情報を取り扱う区域の管理)、第35条(機器および電子媒体等の盗難等の防止)、第36条(電子媒体等を持ち出す場合の漏えい等の防止)、および第38条(技術的安全管理措置)に定める安全管理措置を講じるものとする。
第5章 特定個人情報の提供
(特定個人情報の提供の原則)
第17条 特定個人情報は、個人番号関係事務を処理するために必要がある場合、その他法令に定める場合を除き、本人または第三者(外国にある第三者)に提供してはならない。
2 特定個人情報を第三者に提供する場合には、第6条第1号ないし第4号に掲げる事項を書面またはこれに準ずる方法によって通知し、本人の同意を得るものとする。 3 前項に基づき特定個人情報を第三者に提供する場合は、個人情報保護管理者の承認を得るものとする。
(安全管理措置)
第18条 特定個人情報の提供に関し、第29条(特定個人情報の取扱状況の記録)、第30条(本規程に基づく運用状況の記録)、第32条(従業者の監督・教育)、第33条(委託先の監督)、第34条(特定個人情報を取り扱う区域の管理)、第35条(機器および電子媒体等の盗難等の防止)、第36条(電子媒体等を持ち出す場合の漏えい等の防止)、および第38条(技術的安全管理措置)に定める安全管理措置を講じるものとする。
第6章 特定個人情報の削除・廃棄
(削除・廃棄の手続き)
第19条 個人番号関係事務を処理する必要がなくなった場合で、かつ、所管法令において定められている保存期間を経過した場合には、マイナンバーをできるだけ速やかに削除または廃棄するものとする。ただし、そのマイナンバー部分を復元できない程度にマスキングした場合には、その他の個人情報の保管を継続することができるものとする。
2 マイナンバーの削除および廃棄は、具体的な権限を与えられた者のみが、外部流出等の危険を防止するために復元できない程度に行うものとする。
(特定個人情報を誤って収集した場合の措置)
第20条 従業者は、誤って特定個人情報の提供を受けた場合、自らマイナンバーを削除または廃棄してはならず、速やかに所属長、第24条に定める事務取扱責任者、または第22条に定める個人情報保護管理者に報告しなければならない。
2 前項の報告を受けた際、第37条に従って、当該マイナンバーをできるだけ速やかに削除または廃棄した上で、その記録を保存するものとする。
(安全管理措置)
第21条 特定個人情報の削除・廃棄に関し、第29条(特定個人情報の取扱状況の記録)、第30条(本規程に基づく運用状況の記録)、第32条(従業者の監督・教育)、第33条(委託先の監督)、第34条(特定個人情報を取り扱う区域の管理)、第36条(電子媒体等を持ち出す場合の漏えい等の防止)、第37条(マイナンバーの削除、機器および電子媒体等の廃棄)、および第38条(技術的安全管理措置)に定める安全管理措置を講じるものとする。
第7章 組織および体制
(個人情報保護管理者)
第22条 代表取締役は、役員社員の中から個人情報保護管理者を任命し、当社内における個人情報の管理業務を行わせるものとする。
2 個人情報保護管理者は、代表取締役の指示および本規程に定めるところに基づき、特定個人情報保護に関する内部規程の整備、安全対策の実施、教育訓練等を推進するための個人情報保護コンプライアンス・プログラムを策定し、周知徹底の措置を実践する責任を負うものとする。
3 個人情報保護管理者は、個人情報保護コンプライアンス・プログラムの策定およびその実施のために、補佐を行う者を任命できるものとする。
(教育)
第23条 個人情報保護管理者は、個人情報保護コンプライアンス・プログラムの重要性を理解させ、確実な実施を図るため、所要の教育計画および教育資料に従い、継続かつ定期的に教育・訓練を行うものとする。
(事務取扱担当者・責任者)
第24条 別表により、特定個人情報を取り扱う事務の範囲を明確化し、明確化した事務において取り扱う特定個人情報の範囲を明確にした上で、当該事務に従事する従業者(以下「事務取扱担当者」という。)を明確にするものとする。
2 個人情報保護管理者は、前項により定められた各事務における事務取扱責任者を任命するものとする。
3 事務取扱責任者は、次に掲げる業務を所管する。
(1) 特定個人情報の利用申請の承認および記録等の管理
(2) 特定個人情報を取り扱う保管媒体の設置場所の指定および変更の管理
(3) 特定個人情報の管理区分および権限についての設定および変更の管理
(4) 特定個人情報の取扱状況の把握
(5) 委託先における特定個人情報の取扱状況等の監督
(6) 特定個人情報の安全管理に関する教育・研修の実施
(7) 個人情報保護管理者に対する報告
(8) その他所管部署における特定個人情報の安全管理に関する事項
(監査)
第25条 代表取締役は、監査責任者を任命し、当社内における特定個人情報の管理が個人情報保護コンプライアンス・プログラムに従い適正に実施されているかにつき定期的に監査を行わせるものとする。
2 監査責任者は、内部監査規程に従い、監査計画を作成し実施するものとする。
3 監査責任者は、監査の結果につき監査報告書を作成し、代表取締役に対して報告を行うものとする。
4 代表取締役は、当社内における特定個人情報の管理につき個人情報保護コンプライアンス・プログラムに違反する行為があった場合には、個人情報保護管理者および関係者に対し、改善指示を行うものとする。
5 前項に基づき改善指示を受けた者は、速やかに適正な改善措置を講じ、その内容を監査責任者に報告するものとする。
6 監査責任者は、前項によりなされた改善措置を評価し、代表取締役および個人情報保護管理者に対して報告するものとする。
(報告義務および罰則)
第26条 個人情報保護コンプライアンス・プログラムに違反する事実または違反するおそれがあることを発見した者は、その旨を個人情報保護管理者に報告するものとする。
2 特定個人情報の漏えい、滅失若しくは毀損の発生またはその兆候を把握した者は、その旨を個人情報保護管理者に報告するものとする。
3 個人情報保護管理者は、前2項による報告の内容を調査し、違反の事実、または特定個人情報の漏えい、滅失若しくは毀損の発生またはその兆候が判明した場合には、遅滞なく、代表取締役に報告し、かつ、関係部門に適切な処置を行うよう指示するものとする。
4 個人情報保護コンプライアンス・プログラムに違反した従業者は、就業規則の定めるところにより懲戒に処するものとする。
(苦情および相談)
第27条 代表取締役は、相談窓口を設置し、特定個人情報および個人情報保護コンプライアンス・プログラムに関して、本人からの苦情および相談を受け付けて対応するものとする。
第8章 安全管理措置 第1節 総則
(特定個人情報の安全管理)
第28条 特定個人情報の漏えい、滅失または毀損の防止その他の特定個人情報の安全管理のために、第2節ないし第5節に定める措置を講ずるものとする。 第2節 組織的安全管理措置
(特定個人情報の取扱状況の記録)
第29条 別途定める様式「特定個人情報管理台帳」を用いて、以下を記録する。
(1)特定個人情報ファイルの種類、名称
(2)責任者、取扱部署
(3)利用目的
(4)削除・廃棄状況
(5)アクセス権を有する者 なお、「特定個人情報管理台帳」には特定個人情報は記載しない。
(本規程に基づく運用状況の記録)
第30条 本規程に基づく運用状況を確認するため、別途定めるところに従い、以下の項目をシステムログまたは利用実績として記録する。
(1)特定個人情報ファイルの利用・出力状況の記録
(2)書類・媒体等の持出しの記録
(3)特定個人情報ファイルの削除・廃棄記録
(4)削除・廃棄を委託した場合、これを証明する記録等
(5)特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
(情報漏えい等事案への対応)
第31条 情報漏えい等の事案の発生または兆候を把握した場合には、個人情報保護管理者は、速やかに代表取締役、役員、総務部長で構成される「特定個人情報漏えい等事故調査委員会」を招集し、必要に応じて、適切かつ迅速に以下の対応を行う。
(1)事実関係の調査および原因の究明
(2)影響を受ける可能性のある本人への連絡
(3)特定個人情報保護委員会および主務大臣等への報告
(4)再発防止策の検討および決定
(5)事実関係および再発防止策等の公表
第3節 人的安全管理措置
(従業者の監督・教育)
第32条 特定個人情報の安全管理のために、従業者に対する必要かつ適切な監督・教育を行うものとする。
(委託先の監督)
第33条 特定個人情報の取扱いを第三者に委託する場合は、「外部委託管理規程」に定める手続きに従い、必要かつ適切な監督を行うものとする。
第4節 物理的安全管理措置
(特定個人情報を取り扱う区域の管理)
第34条 特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)および特定個人情報を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、それぞれ以下のとおりの安全管理措置を講ずる。
(1)管理区域 入退室管理および管理区域へ持ち込む機器等の制限
(2) 取扱区域 壁または間仕切り等の設置、事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等に努める。
(機器および電子媒体等の盗難等の防止)
第35条 管理区域および取扱区域における特定個人情報を取り扱う機器、電子媒体および書類等の盗難または紛失等を防止するために、以下の安全管理措置を講ずる。
(1)特定個人情報を取り扱う電子媒体または書類等は、施錠できるキャビネット・書庫等に保管する。
(2)特定個人情報ファイルを取り扱う機器は、セキュリティワイヤー等により固定する。
(電子媒体等を持ち出す場合の漏えい等の防止)
第36条 特定個人情報が記録された電子媒体または書類等を管理区域または取扱区域の外に持ち出す場合、以下の措置を講じる。
(1)持出しデータの暗号化、パスワードによる保護、または施錠できる搬送容器を使用する。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従う。
(2)特定個人情報が記載された書類等は、封緘して持ち出す。
(マイナンバーの削除、機器および電子媒体等の廃棄)
第37条 マイナンバーを削除または廃棄する際には、以下に従って、復元できない手段で削除または廃棄する。
(1)特定個人情報が記載された書類を廃棄する場合、焼却、溶解、復元不可能な程度に細断可能なシュレッダーの利用またはマイナンバー部分を復元できない程度のマスキングを行う。
(2)特定個人情報が記録された機器または電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアを利用するか、または物理的な破壊を行う。
(3)特定個人情報ファイル中のマイナンバーまたは一部の特定個人情報を削除する場合、データ復元用の専用ソフトウェア、プログラム、装置等を用いなければ復元できない手段で削除する。
2 マイナンバー若しくは特定個人情報ファイルを削除した場合、または電子媒体等を廃棄した場合には、削除または廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除または廃棄したことについて、証明書等により確認する。 第5節 技術的安全管理措置
(技術的安全管理措置)
第38条 事務取扱担当者および当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。
2 特定個人情報を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証するものとする。
3 情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護するため、以下の措置を講じる。
(1)情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。
(2)情報システムおよび機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。
(3)機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
(4)ログ等の分析を定期的に行い、不正アクセス等を検知する。
4 特定個人情報をインターネット等により外部に送信する場合、通信経路の暗号化を行うよう努める。
第9章 特定個人情報の開示・訂正・利用停止・消去
(自己情報に関する権利)
第39条 本人から自己の特定個人情報について開示を求められた場合は、合理的な期間内にこれに応じるものとする。
2 前項に基づく開示の結果、誤った情報があり、訂正または削除を求められた場合は、原則として合理的な期間内にこれに応ずるとともに、訂正または削除を行った場合は、可能な範囲内で当該特定個人情報の受領者に対して通知を行うものとする。
(自己情報の利用または提供の拒否)
第40条 本人から自己の特定個人情報について利用または第三者の提供を拒否された場合は、これに応じなければならない。ただし、法令に基づく場合は、この限りでない。
第10章 雑 則
(見直し)
第41条 代表取締役は、監査報告書およびその他の事業環境などに照らして、適切な特定個人情報の保護を維持するために、定期的に、本規程の改廃を含む個人情報保護コンプライアンス・プログラムの見直しを、個人情報保護管理者に指示するものとする。
付 則 この規則は、平成29年 4月 1日から施行する。