CSR規定

CSR文書管理規程

(目的)

1 この規程は、主として、株式会社コーケン(以下、当社という)の取得若しくは保有する業務等に関する企業情報、個人データに係る文書の登録(入力)、保管(保存)又は廃棄(消去)等の管理について必要な事項を定めるものとする。

(定義)

2-1 本規程において「文書」とは、当社の業務上作成し、又は取得した文書、図画及び電磁的記録であって、組織的に用いるものとして、当社が保有しているものをいう。
2-2 本規程において「部署」とは、次に掲げる部、課等をいう。
業務部
第一営業部
第二営業部
工事部
なお、上記部署担当が繁忙期等において他の部署を兼任することがある。

(総括文書管理者)

3-1 文書管理に関する事務を統括し、文書管理に関する事務の指導監督及び研修等を行うため、総括文書管理者1人を置く。
3-2 総括文書管理者は、総務部CSR担当責任者をもって充てる。
3-3 総括文書管理者は、当社が取得又は保有する文書について、業務若しくは事務の性質・内容等に応じた以下の分類基準を作成・確認する。

(分類基準)

※企業情報 個人データ共通
電子媒体であいうえお順に顧客毎の、フォルダを作成したうえで、文書の作成、入力をする。入力後の資料はプリント・アウトの上添付資料等の外部資料と共に書庫に施錠保管する。
※企業情報の保管と検索について
企業情報については、申請書類・添付資料の控えはファイルに保管する。また、取引記録の検索については、会社名簿→取引履歴→見積・請求書綴の順で確認。
※個人データの保管と検索について
個人データについては、契約関係書類・添付資料の控えはファイルに綴って保管する。また、個別手続記録の検索については、個人名簿→取引履歴→見積・請求書綴の順で確認。

(文書の登録(入力))

4-1 各部署が取得した文書を文書ファイル(個人情報の検索可能なもの)若しくはデータベースに登録(編綴することを含む)又は入力する場合においては、部署担当者が登録又は入力に係る作業責任者となる。
4-2 前項の登録又は入力は、作業担当者のみが作業可能な場所において行うことができる。ただし、総括文書管理者が特に承認を与えた者については、この限りでない。  
4-3 総括文書管理者は、登録又は入力に係る作業を行う場所の鍵又はセキュリティシステム等を管理する。
4-4 登録又は入力に係る作業が行われる前において、総括文書管理者および作業担当者は、必ずID及びパスワードによる認証システムに基づき、作業をする権限を有すること確認するものとする。

(文書の保管(保存))

5 文書ファイル若しくはデータベースに登録(編綴することを含む)又は入力された文書は、各部署において、以下の方法で保管又は保存する。
(1) 電子記録になっていない書面等  
申請書類・添付資料の控えはブラックファイルに保管する。手続記録については、会社履歴・事件表・請求書綴に保管する。
(2) 電子記録になっているデータ
フロッピーディスク、メモリーなどの媒体により保存する。

(保管(保存)期間)

6 文書保管(保存)期間は、次のとおりとする。
(1)永久保存  当社内規程の改廃に関する文書、訴訟関係文書、従業員の人事に関する重要文書、効力が長期に及ぶ契約書及びこれらに準ずるもの
(2)7年   予算、決算及び会計に関する諸帳簿、伝票類、領収書、職務上請求書、書類送付書、事件簿、満了した重要な契約書及びこれらに準ずるもの
(3)5年   重要な会議の議事録、満了又は解約となった契約書及びこれらに準ずるもの
(4)3年   業務上定型的な事務に関する文書及びこれに準ずるもの
(5)1年   業務上の軽易な事項に関する文書、文書の写し・控え及びこれらに準ずるもの
(6)(1)ないし(5)に属さない簡易な文書は、事務処理上必要な1年未満の期間

(保管(保存)作業)

7-1 各部署が取得した文書の保管又は保存については、作業担当者が、保管又は保存に係る作業を行う作業責任者となる。
7-2 総括文書管理者は、保管若しくは保存する部屋又は保管庫等の鍵又はセキュリティシステム等を管理する。
7-3 保管又は保存に係る作業は、原則として総括文書管理者及び作業担当者のみが行うことができる。ただし、総括文書管理者が特に承認を与えた者については、この限りでない。
7-4 総括文書管理者又は作業担当者以外の者は、文書の保管又は保存について、原則としてその作業を作業担当者に任せなければならない。
7-5 保管又は保存に係る作業は、3-3で作成した文書分類基準に基づき分類された文書ごとに、作業担当者が行い、総括文書管理者がこれを監督する。

(文書の廃棄(消去))

8-1 保管又は保存期間の経過した文書については、各部署が廃棄する。
8-2 総括文書管理者は、保管又は保存期間の経過した文書について業務の遂行上必要があると認めるときは、一定の期間を定めて保管又は保存期間を延長することができる。

(廃棄(消去)作業)

9-1 各部署の文書の廃棄又は消去については、各部署が、廃棄又は消去に係る作業を行う作業責任者となる。
9-2 廃棄又は消去に係る作業は、原則として総括文書管理者及び作業担当者のみが行うことができる。ただし、総括文書管理者が特に承認を与えた者については、この限りでない。
9-3 廃棄又は消去は、7に定める方法で保管若しくは保存された書面又は媒体等をシュレッダー、メディアシュレッダー等で破壊し、又は焼却、若しくは融解するなど復元できない方法により行うものとする。
9-4 前項の方法は、7に定める方法で保管又は保存された媒体等のデータを消去する方法で行うこともできる。ただし、消去されたデータが決して復元されることのない方法で行わなければならない。

(文書管理)

10 総括文書管理者は、各部書に文書管理の内容を定期的に(四半期ごとに)確認させ、期限管理とともに刷新するものとする。また、最新情報の識別ならびに過去情報の検索については3の会社履歴と履歴検索によって確認し、過去の情報との誤用がないものとする。
以上

情報管理について

私ども株式会社コーケンは、業務において取り扱うステークホルダーに関する情報(特に個人情報・プライバシー・企業秘密)の重要性から、様々な情報セキュリティに関する対策に取り組んできました。
近代のインターネットの市民レベルでの普及・コンピューターウイルスの高度化や企業内部からの情報漏洩等の、IT社会における事故は日々多発・多様化しております。また、人的犯罪におけるハード面(施設・機器類)の防犯対策もより重要であります。
以下これまでの私どもの取り組みと今後の戦略を明示します。

施設面における、人的防犯対策について
  • 事務所では警備会社と契約をする。(セコム)
  • 事務所の机・書棚は(重要文書・管理文書保管の場合のみ)施錠。
IT機器における、防犯対策について
  • 全パソコンに、最新ウイルス対策ソフトを導入。
  • 全パソコンに暗証番号によるアクセス制御を導入。
  • パソコンは持出禁止。
情報媒体の管理について(但し、電子・紙媒体を含む。)
  • 情報媒体は施錠管理すると共に、持出禁止。
  • 顧客名簿は、業務部が保管するが、顧客訪問時以外は持出禁止。
  • 破損した媒体はシュレッダーにて物理的に破壊する。
情報管理に関する、具体的取り組み。
  • 各担当が保有する情報は、業務受注と終了後、その都度個別受注契約書類及び業務全体の進行記録ファイルに記載することによって業務部で、一元管理をしている。
破棄すべき、情報の見極めについて。(開業以来)
  • アフターサービスについて、過去10年以前のものは破棄。
  • 個人情報は、6月以前のものは破棄。※但し、証拠保全の必要があるものは除く。
緊急時の対応(情報媒体に関する漏洩、ウィルス感染等の事故への対応)
  • 媒体の対象である本人に告知。2次被害を防止すると共に、管轄官庁へ報告し、指示を求める。
  • 当方に法的責任がある場合は損害保険の適用を検討する。
緊急時の対応(施設への人的侵入、機器の破損等)(天災、流行病等避けざるを得ない事由)
  • 防犯スプレーの使用。
  • 警備会社への通報。(自動を含む。)
  • 警察、消防への通報。
  • 天災の場合は安全が確認できるまで業務休止。管轄官庁の指示を求める。
  • 流行病(新型インフルエンザ)の感染がパンデミックに達した場合は、事態が収拾する迄、業務休止する。また感染予防策としてN95,9211レベルのマスクを事務所全員に配布する。
  • 感染の恐れがある者については、自宅で待機させる。
潜在的不祥事への対応
  • 顧客情報の漏洩等において、 当方に法的責任がある場合は損害保険の適用を検討する。
  • 雇用契約書及び誓約書において職員に顧客、従業員の個人情報ならびに企業秘密の守秘義務を課している。
  • 違反への損害賠償請求を担保している。

平成26年7月11日 改訂

個人情報保護方針・基本規程

個人情報保護に対する基本方針

株式会社コーケン(以下、「当社」といいます)は、当社業務に関連し、その活動を行うために多くの個人情報を保有するものであるところ、個人情報の保護が重大な責務と考え、情報主体をはじめ広く社会からの信頼を得るために、以下のとおり個人情報保護方針を定め、個人情報の保護に努めます。
なお、本基本方針については、当社ホームページ、会社案内等に掲載することにより、いつでも閲覧可能な状態にするものとします。


当社は、個人情報について、個人情報保護に関する法律および関係法令その他の規範及び当社策定にかかる各種規程等の定めるところに従い、当社において業務に従事する全ての者に対してその周知・徹底を図り、適切にこれを取り扱います。

  1. 個人情報の適切な収集、利用、提供、委託
    一 個人情報の収集にあたっては、利用目的を明示した上で、必要な範囲の情報を収集し、利用目的を通知または公表し、その範囲内で利用します。
    二 収集した個人情報は、次の場合を除き、第三者に提供または開示することはしません。
    (1)あらかじめ本人の同意を得た場合
    (2)個人情報保護の保護に関する法律第23条第2項(オプトアウト)ないし同第3項(共同利用)の方法による場合
    (3)法令等の規定に従い、提供または開示する場合
    三 個人情報を第三者に委託して利用する場合は、当該第三者における安全管理措置の状況等に照らし、委託を行うことの適切性を検討すると共に、当該第三者との間で秘密保持契約を締結した上で提供するなどし、委託先への適切な監督をします。
  2. 個人情報の安全管理措置
    個人情報への不正アクセス、個人情報の漏えい、滅失、またはき損の予防及び是正のため、当社内において規程を整備し安全対策に努めます。
  3. 改善措置
    個人情報の取扱いに関する社会環境の変化に的確に対応するよう努めます。また必要に応じて本方針をはじめ各種規程等につき、変更、修正、または追加を行うなど、改善をするよう努めます。
  4. 開示、訂正請求等への対応
    当社が本個人情報保護方針を遵守していないと思われる場合、及び本人の個人情報の開示、訂正、追加または削除、利用停止などを希望される場合には、個人情報保護担当室窓口係(電話045-778-3771)までお問い合わせください。合理的な期間、妥当な範囲内でこれに対応いたします。
  5. 苦情の処理
    当社は、個人情報取扱に関する苦情に対し、適切かつ迅速な処理に努めます。

2015年11月1日
株式会社 コーケン
代表取締役 増田 聖史

個人情報法保護基本規程

第1章 総 則

(目的)
第1条 本規程は、株式会社コーケン(以下「当社」 という。)が保有する個人情報につき、個人情報の保護に関する法律(以下「個人情報保護法」という。)その他関連法規の趣旨の下、これを適正に取扱い、個人の権利利益を保護するための基本となる事項を定めることを目的とする。

(定義)
第2条 本規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
一 個人情報 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの及び他の情報と容易に照合することができ、それにより特定の個人を識別できるものをいう。
二 個人情報データベース等 個人情報を含む情報の集合物であって、次に掲げるものをいう。
イ 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
ロ イに掲げるもののほか個人情報を一定の規程に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの
三 個人データ 個人情報データベース等を構成する個人情報をいう。
四 保有個人データ当社が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、個人情報保護法第2条第5項の「保有個人データ」をいう。
五 本人 個人情報によって識別される特定の個人をいう。

(基本理念)
第3条 当社は、個人情報が、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いを図るものとする。

(適用範囲)
第4条 本規程は、コンピュータ処理をなされているか否か、及び書面に記録されているか否かを問わず、会社において処理される全ての個人情報、個人データ及び保有個人データ(以下「個人情報等」という。)の取扱いにつき定めるものとし、当社の業務に従事する全ての役員及び従業者(正社員のほかアルバイト職員、パート職員、契約社員等も含む、以下同じ。)に対しこれを適用するものとする。

第2章 個人情報等の取扱いについて

第1節 個人情報等の利用について
(利用目的の特定)
第5条 当社は、個人情報を取扱うに当たっては、利用の目的(以下「利用目的」という。)をできる限り特定する。
2 当社は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行わない。

(利用目的による制限)
第6条 当社は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱わない。
2 当社は、他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わない。

(適正な取得)
第7条  当社は、偽りその他不正の手段により個人情報を取得しない。

(取得に際しての利用目的の通知等)
第8条 当社は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合及び取得の状況からみて利用目的が明らかであると認められる場合を除き、速やかに、その利用目的を本人に通知し、又は公表する。
2 当社は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示し、同意を得る。
3 当社は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表する。

(第三者提供の制限)
第9条 当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供しない。
(1) 個人情報保護の保護に関する法律第23条第2項(オプトアウト)ないし同第3項(共同利用)の方法による場合
(2) 法令等の規定に従い、提供または開示する場合

第2節 個人情報等の登録・保管・廃棄について

(データ内容の正確性の確保)
第10条 当社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つように努める。

(安全管理措置)
第11条 当社は、取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じる。

(文書管理に関する規程の整備)
第12条 当社は、文書の登録・保管・廃棄に関し、前二条の趣旨に照らし必要な事項について規程を別途定め、これに基づき必要な措置を行うものとする。

第3節 従業者及び委託先の監督

(従業者に対する指導・監督)
第13条 当社は、本章第1節及び第2節の各規定にかかる各事項を具体的に実践するために必要な事項について規程を別途定め、全ての従業者にこれを遵守させるものとする。
2 当社は、従業者が個人情報等を取り扱わせるに当たり、これが適切に行われるよう監督を行う。

(委託先の監督)
第14条 当社は、個人データの取扱いの全部又は一部を委託する場合は、当該第三者における個人情報保護へ向けた対応の状況等に照らし、委託を行うことの適切性を検討するとともに、当該第三者との間で秘密保持契約を締結した上で提供を行うものとし、かつ、委託先に対しては適切な監督を行うものとする。
2 前項の適切性の判断に当たっては、当社の従業者規程の水準を基にこれを行うものとする。

第4節 本人からの開示等の請求に対する対応

(本人からの請求に対する対応)
第15条 当社は、保有個人データにつき個人情報保護法25条ないし27条の規定に基づき、請求が行われた場合は、これが個人情報に関する本人の権利に基づくものであることを十分に理解した上で、合理的な期間、妥当な範囲でこれに応ずるものとする。

(規定の整備)
第16条 当社は、前条の規定にかかる義務を適切に履行するため必要な事項について規程を別途定め、これに基づき必要な措置を行うものとする。

第5節 当社に対する苦情への対応

(当社による苦情の処理)
第17条 当社は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努める。
2 当社は、前項の目的を達成するために、苦情処理窓口を設け、その他必要な体制の整備に努める。

第3章 個人情報保護へ向けた体制

(個人情報保護管理者)
第18条 当社に個人情報保護管理者を置く。(CSR責任担当者兼)
2 個人情報保護管理者は、個人情報の保護に関し、内部規程の整備、安全対策及び教育・訓練を推進し、かつ、周知徹底することを任務とする。
3 個人情報保護管理者は、この規程に定められた事項を遵守するとともに、個人情報の収集、利用、提供又は委託処理につき、全ての役員及び従業者にこれを理解させ、遵守させなければならない。

(教 育)
第19条 個人情報保護管理者は、当社の業務に従事する全ての役員及び従業者に対し、個人情報にかかる個人の権利保護の重要性を理解させ、かつ、個人情報保護の確実な実施を図るため、教育担当者を指名し、継続的かつ定期的に教育・訓練を行うように努める。

(監 査)
第20条 個人情報保護管理者は、当社における個人情報の管理の状況について監査させるため、監査責任者を指名し、年1回監査を行う。
2 監査責任者の指名に当たっては被監査部門からの独立性に配慮しなければならない。
3 監査責任者は、監査計画を作成し、かつ、実施する。
4 監査責任者は、監査結果につき、監査報告書を作成して個人情報保護管理者に報告しなければならない。
5 個人情報保護管理者は、前項の報告により、個人情報の管理について改善すべき事項があると思料するときは、関係する役員あるいは従業者に対し、改善のため必要な指示を行わなければならない。
6 前項の指示を受けた者は、速やかに、改善のため必要な措置を講じ、かつ、その内容を個人情報保護管理者に報告しなければならない。