第1章 総則
(目的)
第1条 本規程は、当社業務に係わる個人情報の適法かつ適正な取扱の確保に関する基本的事項を定めることにより、個人の権利・利益を保護することを目的とする。
(定義)
第2条 本規程における各用語の定義は、「個人情報の保護に関する法律(以下、「個人情報保護法」という。)」および関係各省庁の個人情報保護に関するガイドラインによるものとする。
(適用)
第3条 本規程は、当社の従業者に適用する。
(個人情報の安全管理に係わる基本方針)
第4条 当代理店における個人情報の適法かつ適正な取扱を確保するため、次の事項を含む個人情報の安全管理に係わる基本方針を定める。
(1)個人情報取扱事業者の名称
(2) 安全管理措置に関する質問および苦情処理の窓口
(3) 個人データの安全管理に関する宣言
(4) 基本方針の継続的改善の宣言
(5) 関係法令遵守の宣言
2.個人情報の安全管理に係わる基本方針は、当代理店の従業者に周知するとともに、当代理店のホームページへの掲載、事務所への掲示等にて公表する。
第2章 管理体制
(個人データ管理責任者)
第5条 当社は、代表取締役を個人情報の安全管理に係る業務遂行の総責任者(個人データ管理責任者)とする。
2.個人データ管理責任者は、次に掲げる業務を所管する。
① 個人データの安全管理に関する規程及び委託先の選定基準の承認及び周知
② 個人データを取扱う部署毎の個人データ管理者の任命及び本人確認に関する情報の管理者の任命
③ 個人データ管理者からの報告徴収及び助言・指導
④ 個人データの安全管理に関する教育・研修の企画
⑤ その他個人データの安全管理に関する事項
3.前項②に定める個人データ管理者は、個人データ管理責任者が兼務することができる。
4.第2項②に定める本人確認に関する情報の管理者は、個人データ管理者が兼務することができる。
(個人データ管理者)
第6条 個人データ管理者は、次に掲げる業務を所管する。
① 個人データの取扱者の指定及び変更等の管理
② 個人データの利用申請の承認及び記録等の管理
③ 個人データを取り扱う保管媒体の設置場所の指定及び変更の管理
④ 個人データの管理区分及び権限についての設定及び変更の管理
⑤ 個人データの取扱状況の把握
⑥ 委託先における個人データの取扱状況等の監督
⑦ 個人データの安全管理に関する教育・研修の実施
⑧ 個人データ管理責任者に対する報告
⑨ その他所管部署における個人データの安全管理に関すること
(自主点検・監査の実施)
第7条 個人データ管理責任者は、別に定める「個人データの取扱状況の点検及び監査に係る規程」に従い、個人情報の取扱に関する法令および諸規程の遵守状況に関する自主点検または監査の実施計画を立案し、個人情報取扱部署毎に自主点検または監査を定例的に実施する。
2.自主点検の実施責任者は当該取扱部署の個人データ管理者とし、点検結果を個人データ管理責任者へ報告する。
3.監査の実施責任者は当該取扱部署以外の個人データ管理者とし、点検結果を個人データ管理責任者へ報告する。
(体制の見直し)
第8条 個人データ管理責任者は、前条の自主点検または監査の結果に照らし、必要に応じて個人情報の取扱に関する安全対策、諸施策を改善しなければならない。
第3章 運用
(管理原則)
第9条 個人情報は、本規程に従い適切に管理し、その重要度に応じて取得、利用、移送、保管、廃棄する。
(利用目的)
第10条 当社は、個人情報の利用目的をできる限り特定する。
2.個人情報は、あらかじめ本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて取扱ってはならない。
3.利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると認められる範囲を超えて行ってはならず、変更された利用目的は遅滞なく本人に通知または公表を行う。
(適正な取得)
第11条 個人情報は、偽りその他不正の手段により取得してはならない。
(利用目的の通知・公表・明示)
第12条 当社は、個人情報の取得に際し、当代理店の利用目的をあらかじめ公表している場合を除きその利用目的を本人に通知する。
2.当社は、書面により個人情報を取得する場合には、あらかじめ本人に対し当社の利用目的を明示する。但し、個人情報保護法第18条2項に定められている場合を除く。
(センシティブ情報)
第13条 センシティブ情報については、法令・諸規則に定められた場合のほか、原則として取得、利用または第三者提供を行わない。
2.適切な業務運営を確保する必要からセンシティブ情報を取得、利用または第三者提供する場合は、本人から同意を得ることとする。
(個人データの正確性の確保)
第14条 当社は、利用目的の達成に必要な範囲内において個人データを正確かつ最新の内容に保つものとする。
(個人情報等の取扱台帳)
第15条 個人データ管理責任者は、取扱う個人情報等の取扱い状況を確認できる手段として以下の事項を含む台帳等を整備するとともに、適宜に見直しを行うものとする。
① 取得項目
② 利用目的
③ 保管場所・保管方法・保管期限
④ 管理部署
⑤ アクセス制限の状況
2.個人情報等の取扱部署の個人データ管理者は、本条第1項に定める台帳に関する事項を個人データ管理者に報告しなければならない。
(安全管理措置)
第16条 当代理店は、取扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のため、組織的、人的、技術的に適切な措置(以下「安全管理措置」という。)を講じるものとする。
2.安全管理措置は、「取得・入力」「利用・加工」「保管・保存」「移送・送信」「消去・廃棄」の個人データの管理段階に応じて各取扱規程に定めるものとする。
(漏えい時の対応)
第17条 従業者は、自らの部署において個人情報の漏えい等の事故または違反の発生あるいはそのおそれのある場合は別に定める「個人データの安全管理に係る取扱規程(6.漏えい事案等への対応の段階)」に従い、直ちにその旨を個人データ管理責任者に報告し、その指示を求めなければならない。
(従業者の監督)
第18条 当社は、従業者が個人情報等を取扱うにあたり、必要かつ適切な監督を行う。
2.当社は、従業者に対して個人情報の保護および適正な取扱いに関する誓約書等の提出を命じることができる。
(社内教育)
第19条 従業者に対する個人情報の保護および適正な取扱いに関する教育方針は、個人データ管理責任者が計画、決定する。
2.従業者は、個人データ管理責任者が指定する個人情報の適正な管理に関する研修を受講しなければならない。
(委託先の監督)
第20条 個人データ管理責任者は、個人データの取扱いの全部または一部を委託する場合は、取扱いを委託した個人データの安全管理が図られるように、別に定める「個人データの外部委託に係る規程」に従い、委託先に対する必要かつ適切な監督を行わなければならない。
2.前項の委託を行う個人データ管理責任者は、委託先に対し以下の各号の事項を実施しなければならない。
(1) 委託先の個人情報保護体制が十分であることを確認した上で委託先を選定すること
(2) 委託先との間で、次の事項を含む契約書等を締結すること
① 委託者の監督・監査・報告徴収に関する権限
② 委託先における個人データの漏えい、盗用、改ざん及び目的外利用の禁止
③ 再委託における条件
④ 漏えい事案等が発生した際の委託先の責任
(第三者提供の制限)
第21条 当社は、法令で定められた場合を除き、あらかじめ本人の同意なく個人データの第三者への提供を行わない。
(開示・訂正・利用停止)
第22条 当社業務に係わる保有個人データに関し、個人情報保護法に基づく開示・訂正・利用停止等の求めを受けた場合は、法律の定める方法により関係各所にその旨を連絡するものとする。
2.業務に係わる個人データに関し、個人情報保護法に基づかない一般的な問い合わせ等の場合は、本人確認を適切に行ったうえ回答を行うことができる。
(苦情の処理)
第23条 当社における個人情報の取扱いに関する苦情の窓口は、個人データ管理責任者とする。
2.従業者が、個人情報の取扱いに関する苦情を受付けた場合は、速やかに個人データ管理責任者に報告を行わなければならない。
(罰則)
第24条 当社は、本規程に違反した従業員に対して就業規則等に基づき処分を行う。また、その他の従業者に対しては、契約または法令に照らして決定する。
(改廃)
第25条 本規程の改廃は、代表取締役の決裁において行うものとする。
<附則>
第1条 本規程は平成19年7月1日より実施する。