CSR文書管理規程
(目的)
1 この規程は、主として、株式会社コーケン(以下、当社という)の取得若しくは保有する業務等に関する企業情報、個人データに係る文書の登録(入力)、保管(保存)又は廃棄(消去)等の管理について必要な事項を定めるものとする。
(定義)
2-1 本規程において「文書」とは、当社の業務上作成し、又は取得した文書、図画及び電磁的記録であって、組織的に用いるものとして、当社が保有しているものをいう。
2-2 本規程において「部署」とは、次に掲げる部、課等をいう。
業務部
第一営業部
第二営業部
工事部
なお、上記部署担当が繁忙期等において他の部署を兼任することがある。
(総括文書管理者)
3-1 文書管理に関する事務を統括し、文書管理に関する事務の指導監督及び研修等を行うため、総括文書管理者1人を置く。
3-2 総括文書管理者は、総務部CSR担当責任者をもって充てる。
3-3 総括文書管理者は、当社が取得又は保有する文書について、業務若しくは事務の性質・内容等に応じた以下の分類基準を作成・確認する。
(分類基準)
※企業情報 個人データ共通
電子媒体であいうえお順に顧客毎の、フォルダを作成したうえで、文書の作成、入力をする。入力後の資料はプリント・アウトの上添付資料等の外部資料と共に書庫に施錠保管する。
※企業情報の保管と検索について
企業情報については、申請書類・添付資料の控えはファイルに保管する。また、取引記録の検索については、会社名簿→取引履歴→見積・請求書綴の順で確認。
※個人データの保管と検索について
個人データについては、契約関係書類・添付資料の控えはファイルに綴って保管する。また、個別手続記録の検索については、個人名簿→取引履歴→見積・請求書綴の順で確認。
(文書の登録(入力))
4-1 各部署が取得した文書を文書ファイル(個人情報の検索可能なもの)若しくはデータベースに登録(編綴することを含む)又は入力する場合においては、部署担当者が登録又は入力に係る作業責任者となる。
4-2 前項の登録又は入力は、作業担当者のみが作業可能な場所において行うことができる。ただし、総括文書管理者が特に承認を与えた者については、この限りでない。
4-3 総括文書管理者は、登録又は入力に係る作業を行う場所の鍵又はセキュリティシステム等を管理する。
4-4 登録又は入力に係る作業が行われる前において、総括文書管理者および作業担当者は、必ずID及びパスワードによる認証システムに基づき、作業をする権限を有すること確認するものとする。
(文書の保管(保存))
5 文書ファイル若しくはデータベースに登録(編綴することを含む)又は入力された文書は、各部署において、以下の方法で保管又は保存する。
(1) 電子記録になっていない書面等
申請書類・添付資料の控えはブラックファイルに保管する。手続記録については、会社履歴・事件表・請求書綴に保管する。
(2) 電子記録になっているデータ
USBメモリー、CD-R、DVD-Rなどの媒体により保存する。
(保管(保存)期間)
6 文書保管(保存)期間は、次のとおりとする。
(1)永久保存 当社内規程の改廃に関する文書、訴訟関係文書、従業員の人事に関する重要文書、効力が長期に及ぶ契約書及びこれらに準ずるもの
(2)7年 予算、決算及び会計に関する諸帳簿、伝票類、領収書、職務上請求書、書類送付書、事件簿、満了した重要な契約書及びこれらに準ずるもの
(3)5年 重要な会議の議事録、満了又は解約となった契約書及びこれらに準ずるもの
(4)3年 業務上定型的な事務に関する文書及びこれに準ずるもの
(5)1年 業務上の軽易な事項に関する文書、文書の写し・控え及びこれらに準ずるもの
(6)(1)ないし(5)に属さない簡易な文書は、事務処理上必要な1年未満の期間
(保管(保存)作業)
7-1 各部署が取得した文書の保管又は保存については、作業担当者が、保管又は保存に係る作業を行う作業責任者となる。
7-2 総括文書管理者は、保管若しくは保存する部屋又は保管庫等の鍵又はセキュリティシステム等を管理する。
7-3 保管又は保存に係る作業は、原則として総括文書管理者及び作業担当者のみが行うことができる。ただし、総括文書管理者が特に承認を与えた者については、この限りでない。
7-4 総括文書管理者又は作業担当者以外の者は、文書の保管又は保存について、原則としてその作業を作業担当者に任せなければならない。
7-5 保管又は保存に係る作業は、3-3で作成した文書分類基準に基づき分類された文書ごとに、作業担当者が行い、総括文書管理者がこれを監督する。
(文書の廃棄(消去))
8-1 保管又は保存期間の経過した文書については、各部署が廃棄する。
8-2 総括文書管理者は、保管又は保存期間の経過した文書について業務の遂行上必要があると認めるときは、一定の期間を定めて保管又は保存期間を延長することができる。
(廃棄(消去)作業)
9-1 各部署の文書の廃棄又は消去については、各部署が、廃棄又は消去に係る作業を行う作業責任者となる。
9-2 廃棄又は消去に係る作業は、原則として総括文書管理者及び作業担当者のみが行うことができる。ただし、総括文書管理者が特に承認を与えた者については、この限りでない。
9-3 廃棄又は消去は、7に定める方法で保管若しくは保存された書面又は媒体等をシュレッダー、メディアシュレッダー等で破壊し、又は焼却、若しくは融解するなど復元できない方法により行うものとする。
9-4 前項の方法は、7に定める方法で保管又は保存された媒体等のデータを消去する方法で行うこともできる。ただし、消去されたデータが決して復元されることのない方法で行わなければならない。
(文書管理)
10 総括文書管理者は、各部書に文書管理の内容を定期的に(四半期ごとに)確認させ、期限管理とともに刷新するものとする。また、最新情報の識別ならびに過去情報の検索については3の会社履歴と履歴検索によって確認し、過去の情報との誤用がないものとする。
以上
情報管理について
私ども株式会社コーケンは、業務において取り扱うステークホルダーに関する情報(特に個人情報・プライバシー・企業秘密)の重要性から、様々な情報セキュリティに関する対策に取り組んできました。
近代のインターネットの市民レベルでの普及・コンピューターウイルスの高度化や企業内部からの情報漏洩等の、IT社会における事故は日々多発・多様化しております。また、人的犯罪におけるハード面(施設・機器類)の防犯対策もより重要であります。
以下これまでの私どもの取り組みと今後の戦略を明示します。
| 施設面における、人的防犯対策について |
|
| IT機器における、防犯対策について |
|
| 情報媒体の管理について(但し、電子・紙媒体を含む。) |
|
| 情報管理に関する、具体的取り組み。 |
|
| 破棄すべき、情報の見極めについて。(開業以来) |
|
| 緊急時の対応(情報媒体に関する漏洩、ウィルス感染等の事故への対応) |
|
| 緊急時の対応(施設への人的侵入、機器の破損等)(天災、流行病等避けざるを得ない事由) |
|
| 潜在的不祥事への対応 |
|
平成26年7月11日 改訂
個人情報保護方針・基本規程
個人情報保護に対する基本方針
株式会社コーケン(以下、「当社」といいます)は、当社業務に関連し、その活動を行うために多くの個人情報を保有するものであるところ、個人情報の保護が重大な責務と考え、情報主体をはじめ広く社会からの信頼を得るために、以下のとおり個人情報保護方針を定め、個人情報の保護に努めます。
なお、本基本方針については、当社ホームページ、会社案内等に掲載することにより、いつでも閲覧可能な状態にするものとします。
記
当社は、個人情報について、個人情報保護に関する法律および関係法令その他の規範及び当社策定にかかる各種規程等の定めるところに従い、当社において業務に従事する全ての者に対してその周知・徹底を図り、適切にこれを取り扱います。
- 個人情報の適切な収集、利用、提供、委託
一 個人情報の収集にあたっては、利用目的を明示した上で、必要な範囲の情報を収集し、利用目的を通知または公表し、その範囲内で利用します。
二 収集した個人情報は、次の場合を除き、第三者に提供または開示することはしません。
(1)あらかじめ本人の同意を得た場合
(2)個人情報保護の保護に関する法律第23条第2項(オプトアウト)ないし同第3項(共同利用)の方法による場合
(3)法令等の規定に従い、提供または開示する場合
三 個人情報を第三者に委託して利用する場合は、当該第三者における安全管理措置の状況等に照らし、委託を行うことの適切性を検討すると共に、当該第三者との間で秘密保持契約を締結した上で提供するなどし、委託先への適切な監督をします。 - 個人情報の安全管理措置
個人情報への不正アクセス、個人情報の漏えい、滅失、またはき損の予防及び是正のため、当社内において規程を整備し安全対策に努めます。 - 改善措置
個人情報の取扱いに関する社会環境の変化に的確に対応するよう努めます。また必要に応じて本方針をはじめ各種規程等につき、変更、修正、または追加を行うなど、改善をするよう努めます。 - 開示、訂正請求等への対応
当社が本個人情報保護方針を遵守していないと思われる場合、及び本人の個人情報の開示、訂正、追加または削除、利用停止などを希望される場合には、個人情報保護担当室窓口係(電話045-778-3771)までお問い合わせください。合理的な期間、妥当な範囲内でこれに対応いたします。 - 苦情の処理
当社は、個人情報取扱に関する苦情に対し、適切かつ迅速な処理に努めます。
2015年11月1日
株式会社 コーケン
代表取締役 増田 聖史
個人情報法保護基本規程
第1章 総 則
(目的)
第1条 本規程は、個人情報の取扱いについて、当社従業者が遵守すべき事項を定め、個人情報の保護が安全かつ適正に行われることを目的とする
2 法に基づく仮名加工情報及び匿名加工情報の取扱いについては、個人情報保護委員会が告示する「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編) 」に従うものとする。
(定義)
第2条 本規程において、各用語の定義は次の通りとする。
(1) 個人情報保護法
個人情報の保護に関する法律
(2) マイナンバー法
行政手続における特定の個人を識別するための番号の利用等に関する法律
(3) 個人情報
個人情報保護法第2条第1項及びマイナンバー法第2条第3項に定義される個人情報をいい、次の各号のいずれかに該当するものをいう。
① 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録 (電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識できない方式をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて評された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
② 個人識別符号が含まれるものをいう。
(4) 個人識別符号
次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、以下に定めるものをいう 。
① 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるものをいう。
② 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方法により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるものをいう。
(5) 要配慮個人情報
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する個人情報をいう。
なお、EU域内から十分性認定に基づき提供を受けた個人情報については、GDPRにおいて特別な種類の個人データと定義されている性生活、性的指向又は労働組合に関する情報が含まれる場合には、当該情報について個人情報保護法第2条第3項における要配慮個人情報と同様に取り扱うこととする。
(6) 個人情報データベース等
個人情報を含む情報の集合物であって、次に掲げるものをいう。
① 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物をいう。
② コンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当する。
(7) 個人情報取扱事業者
個人情報データベース等を事業の用に供している者をいう。
ただし、次に掲げる者を除く。
① 国の機関
② 地方公共団体
③ 独立行政法人等(独立行政法人通則法第2条第1項に規定する独立行政法人その他の法に定める独立行政法人等をいう。)
④ 地方独立行政法人(地方独立行政法人法 (平成15年法律第118号)第2条第1項 に規定する地方独立行政法人をいう。)
(8) 個人データ
個人情報データベース等を構成する個人情報をいう。
(9) 保有個人データ
開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことができる権限を有する個人データをいう。ただし、以下に掲げるものは除く。
① 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの。
② 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれのあるもの。
③ 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの。
④ 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの。
(10)個人関連情報
「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報(法に規定する仮名加工情報をいう。)及び匿名加工情報(法に規定する匿名加工情報をいう。)のいずれにも該当しないものをいう。
(11)個人関連情報データベース等
①「個人関連情報」を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したもの、または
②これに含まれる「個人関連情報」を一定の規則に従って整理することにより特定の個人関連情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。
(12)個人関連情報取扱事業者
「個人関連情報取扱事業者」とは、「個人関連情報データベース等」を事業の用に供している者で、国、地方公共団体、独立行政法人等、地方独立行政法人を除いたものをいう。
(13) 本人
個人情報又は個人番号によって識別される特定の個人をいう。
(14) 従業者
当社の組織内にあって、直接又は間接に当社の指揮監督を受けて、当社の業務に従事している者をいい、当社と雇用関係にある従業員(正社員、嘱託社員、契約社員)のみならず、取締役、監査役、執行役員及び派遣社員も含まれる。
(15)仮名加工情報
他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報。
(16)匿名加工情報
個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたもの。
(17) 個人番号
マイナンバー法第2条第5項に定義される個人情報をいい、同法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係わる者を識別するために指定されるものをいう。
(18) 特定個人情報
個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号、その他の符号であって、住民票コード以外のものを含む。以下同じ。)をその内容に含む個人情報をいう。
(19) 特定個人情報ファイル
個人番号をその内容に含む個人情報ファイルをいう。
(20) 個人番号利用事務
行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者がマイナンバー法の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。
(21) 個人番号関係事務
マイナンバー法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。当社が行う個人番号関係事務は、 別表1「個人番号関係事務一覧」で特定する。
(22) 個人番号利用事務実施者
個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう。
(23) 個人番号関係事務実施者
個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。
(24) 個人情報保護委員会
「個人情報の保護に関する法律」(平成27年9月9日公布 改正条文)第59条に基づき設置された内閣府外局の行政委員会をいう。
(25) 内部監査担当
エクシオグループ株式会社から提供する内部監査担当をさす。
(26)オプトアウト方式
個人情報保護法27条2項に定める第三者提供の手続きをさす。法で定められた事項を本人に通知又は本人が容易に知り得る状態におくと共に、個人情報保護委員会に届出る事で、本人の同意なしで第三者提供を可能とする方式。
第2章 安全管理措置
第1節 総則
(安全管理措置)
第3条 個人情報統括責任者は、当社の取り扱う個人情報及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために必要な安全管理措置を講ずる。
2.安全管理措置の実施は、別に定める「個人情報取扱規則」(以下「取扱規則」という。)の取扱いに従う。
第2節 組織的安全管理措置及び人的安全管理措置
(個人情報統括責任者)
第4条 当社代表者は、個人情報及び特定個人情報の安全管理措置の実施に関する責任者として、個人情報統括責任者を1名置くものとし、代表取締役社長に任命されたCISOがこれにあた
る。
2.個人情報統括責任者は、次の各号の権限と責任を有する。
(1) 個人情報及び特定個人情報の取扱いの統括
(2) 個人情報及び特定個人情報が当社諸規程に基づき適正に取り扱われるよう、従業者に対する必要かつ適切な監督を行うこと
(3) 個人情報及び特定個人情報の保護に関する意識を高めるための従業者に対する啓発その他の教育研修の実施
(4) 個人情報及び特定個人情報の取扱いに関し、不正なアクセス、データの紛失・破壊・改ざん・漏えい等の事故又は法令若しくは当社諸規程に違反する行為の発生又はその兆候を把握した場合の対応
(5) 第4章に規定する保有個人データに関する事項の通知等の手続の決定
(6) 第5章に規定する苦情処理のために必要な体制の整備
3.個人情報統括責任者は、従業者より個人情報統括責任者の業務を補佐する者を選任し、個人情報及び特定個人情報の取扱いを監督する管理委員会(情報セキュリティ委員会)を設置る。
(個人情報取扱責任者)
第5条 個人情報統括責任者は、個人情報及び特定個人情報の適切な取扱管理の為、個人情報取扱責任者(以下「取扱責任者」という。)を置く。
2.取扱責任者は、次の各号の権限と責任を有する。
(1) 事務取扱担当者及び個人情報の取得、利用、保存、提供又は消去・廃棄等の作業を担当する従業者に対する必要かつ適切な監督
(2) 個人情報及び特定個人情報の取扱状況の記録及びその管理
(3) 個人情報の取扱い又は個人番号関係事務を外部に委託する場合の委託先の選定、委託契約締結の承認、委託先における個人情報又は特定個人情報の取扱状況の把握
3.取扱責任者は、個人情報及び特定個人情報の取扱いに関し、不正なアクセス、データの紛失・破壊・改ざん・漏えい等の事故又は法令若しくは当社諸規程に違反する行為の発生又はその兆候を把握した場合、個人情報統括責任者に報告しなければならない。
(個人情報取扱担当者)
第6条 取扱責任者は、特定個人情報を除く個人情報の管理を行う担当者として「個人情報取扱担当者」を定める。
2.個人情報取扱担当者は、個人情報及び特定個人情報の取扱いに関する留意事項について、定期的に教育研修を受ける。
3.個人情報取扱担当者は、当社の個人情報関係事務を処理するために必要な限度で、次の各号の事務を行う。
(1) 個人情報の取得・利用、保存、提供及び消去・廃棄等の作業
4.個人情報取扱担当者は、個人情報の取扱いに関し、不正なアクセス、データの紛失・破壊・改ざん・漏えい等の事故又は法令若しくは当社諸規程に違反する行為の発生又はその兆候を把握した場合は、直ちに取扱責任者又は個人情報統括責任者に報告しなければならない。
5.個人情報取扱担当者が変更となった場合は、確実な引継ぎを行い、取扱責任者が引継ぎの完了を確認しなければならない。
(個人番号事務取扱担当者)
第7条 個人番号関係事務の主管部署の取扱責任者は、個人番号関係事務に従事する者を特定し、個人番号事務取扱担当者(以下「事務取扱担当者」という。)に任命し、事務取扱担当者を台帳にて管理する。事務取扱担当者は、個人情報取扱担当者を兼ねる事ができる。
2.事務取扱担当者は、個人情報及び特定個人情報の取扱いに関する留意事項について、定期的に教育研修を受ける。
3.事務取扱担当者は、当社の個人番号関係事務を処理するために必要な限度で、次の各号の事務を行う。
(1) 特定個人情報の取得・利用、保存、提供及び消去・廃棄等の作業
(2) 個人番号が記載された書類等を作成し、行政機関等の個人番号利用事務実施者に提出し、本人に交付する作業
4.事務取扱担当者は、個人情報及び特定個人情報の取扱いに関し、不正なアクセス、データの紛失・破壊・改ざん・漏えい等の事故又は法令若しくは当社諸規程に違反する行為の発生又はその兆候を把握した場合は、直ちに取扱責任者又は個人情報統括責任者に報告しなければならない。
5.事務取扱担当者が変更となった場合は、確実な引継ぎを行い、取扱責任者が引継ぎの完了を確認しなければならない。
6.前1項の「事務取扱担当者」の管理手続については、取扱規則に従う。
(従業者の責務)
第8条 従業者は、個人情報及び特定個人情報に関連する法令及び当社諸規程並びに個人情報統括責任者その他の上長の指示に従って、個人情報及び特定個人情報を取り扱わなければならない。
2.事務取扱担当者以外の従業者は、当社の個人番号関係事務に従事してはならない。また、他の者に対し、個人番号が記載された書面の提示又は提供を求めてはならず、メモ、コピー、データコピーその他手段を問わず、他の者の個人番号を保管してはならない。
3.従業者は、当社が管理する個人情報及び特定個人情報について、当社の業務に従事している間だけでなく、退職後も、他の従業者又は当社外の者その他の第三者に開示漏えいしてはならず、自己のため又は第三者のために使用してはならない。
4.当社は、従業者に対して、個人情報及び特定個人情報の保護及び適正な取扱いに関する誓約書の提出を命じることができる。
5.従業者は、当社が決定した方針に基づく研修を受けなければならない。
6.従業者は、個人番号が変更された場合は、変更の手続きをとる。
7.従業者は、個人情報及び特定個人情報の取扱いに関し、不正なアクセス、データの紛失・破壊・改ざん・漏えい等の事故又は法令若しくは当社諸規程に違反する行為の発生又はその兆候を把握した場合、直ちに個人情報取扱担当者又は取扱責任者に報告しなければならない。取扱責任者は個人情報統括責任者に報告しなければならない。
(事故等への対処)
第9条 個人情報統括責任者は、個人情報及び特定個人情報の取扱いに関し、不正なアクセス、データの紛失・破壊・改ざん・漏えい等の事故又は法令若しくは当社諸規程に違反する行為の発生を確認した場合は、当該情報の性質及び被害の程度を勘案し、以下の対処を実施しなければならない。
(1) 事実調査及び原因の究明
(2) 影響範囲の特定
(3) 再発防止策の検討・実施
(4) 影響を受ける可能性のある本人への連絡
(5) 個人情報保護委員会及び関係省庁等への報告
(6) 事実関係及び再発防止策等の公表
(監督及び教育研修)
第10条 個人情報統括責任者は、個人情報及び特定個人情報が当社諸規程に基づき適正に取り扱われるよう、取得、利用、保存、提供又は消去・廃棄等の作業を担当する従業者に対する必要かつ適切な監督を行う。
2.個人情報統括責任者は、個人情報及び特定個人情報の取扱いに関する当社諸規程を従業者に遵守させ、また適正な取扱いに関する従業者の意識を高めるため、啓発その他の教育研修を実施する。
第3節 物理的安全管理措置
(物理的安全管理措置)
第11条 取扱責任者は、取扱規則に従い、入退館等の管理並びに個人情報及び特定個人情報の盗難の防止等の為、物理的な安全管理措置を講ずる。
第4節 技術的安全管理措置
(技術的安全管理措置)
第12条 取扱責任者は、取扱規則に従い、個人情報及び特定個人情報並びにこれらを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等の技術的な安全管理措置を講ずる。
第5節 委託先の監督
(委託先業者の監督)
第13条 取扱責任者が、個人情報の取扱い又は個人番号関係事務を外部に委託する場合は、当該委託において取扱う個人情報又は特定個人情報の安全管理が図られるよう、委託先業者に(以下「委託先」という。)対する必要かつ適切な監督を行う。
2.前項の委託先に対する必要かつ適切な監督の実施は、取扱規則に従う。
第3章 個人情報及び特定個人情報等の管理
第1節 取得
(個人情報の特定)
第14条 取扱責任者は、個人情報を取扱う業務にあたり個人情報を特定し、保管状況を管理する。
2. 前項による個人情報の特定および管理手続きについては取扱規則に従う。
(個人情報の利用目的の特定)
第15条 取扱責任者は、個人情報を取り扱うにあたっては、その利用目的をできる限り特定しなければならない。
2.個人情報を第三者に提供する場合は、前項により特定する利用目的においてその旨を特定しなければならない。
3.第1項により特定した利用目的を変更する場合には、変更前の利用目的との関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(個人番号関係事務の特定)
第16条 前条の規定にかかわらず、個人番号は、別表1「個人番号関係事務一覧」により特定した利用目的の範囲内で取り扱わなければならない。
2.個人番号を取り扱う必要が生じた場合は、追加する事務を特定し、別表1の記載の変更を行う。
(個人情報の適正な取得)
第17条 個人情報は、偽りその他不正の手段により取得してはならない。
2.前項の個人情報の取得に関する手続については取扱規則に従う。
(要配慮個人情報の取得の制限)
第18条 次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
(1) 法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
(6) 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合。
(7) 個人情報保護法第27条第1項各号において、個人データである要配慮個人情報の提供を受けるとき。
(個人情報の利用目的の通知・公表)
第19条 個人情報を取得する場合は、あらかじめ、第15条(個人情報の利用目的の特定)又は第16条(個人番号関係事務の特定)により特定した利用目的を公表し、あらかじめ公表できない場合は、取得後速やかに、その利用目的を本人に通知し、又は公表しなければならない。
2.前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3.第15条(個人情報の利用目的の特定)第3項又は第16条(個人番号関係事務の特定)第2項の規定により利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4.前3項の規定は、下記各号に該当する場合は、適用しない。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(4) 取得の状況に照らし、利用目的が明らかであると認められる場合
(個人情報を本人から直接取得する際の利用目的の明示)
第20条 契約書・申込書・アンケートその他の書面(電磁的記録も含む)により本人から直接個人情報を取得する場合は、個人情報を取得する前に、本人に対して、書面(従業者に対する社内LAN通知のように電磁的記録も含む)により、第15条(個人情報の利用目的の特定)又は第16条(個人番号関係事務の特定)により特定した利用目的を明示しなければならない。
2.前項の規定は、第19条(個人情報の利用目的の通知・公表)第3項第1号乃至第4号に該当する場合は、適用しない。
(保有個人データに関する事項の公表等)
第21条 保有個人データに関し、次に掲げる事項について、「プライバシーポリシー」と一体としてインターネットの社外ホームページでの常時掲載を行うこととする。
(1)当社の名称、住所及び代表者の氏名
(2)全ての保有個人データの利用目的
(3)利用通知の求め又は開示請求、利用停止等の請求に応じる手続(手数料の額を含む。)
(4)保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
(5)当社が行う保有個人データの取扱いに関する苦情の申出先
2. 本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知するものとする
3. 前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
(個人番号の提供の要求)
第22条 事務取扱担当者は、個人番号関係事務を処理するために必要があるときは、本人又は他の個人番号利用事務実施者に対し個人番号の提供を求めることができる。
(個人番号の提供の求めの制限)
第23条 事務取扱担当者は、他人に対し、個人番号の提供を求めてはならない。
2.前号に係わらず、下記各号のいずれかに該当する場合またはその他法令の定める場合は特定個人情報の提供を受けることができる。
(1) 個人番号関係事務実施者が、個人番号関係事務を処理するために必要な限度で当社に特定個人情報を提供するとき。なお、従業員、役員、パート及びアルバイト等(以下「従業員等」という。)が、その扶養親族の個人番号を扶養控除等(異動)申告書に記載して当社に提出する場合は、本号に該当する。
(2) 本人又はその代理人が当社に対し、当該本人の個人番号を含む特定個人情報を提供するとき。なお、国民年金法の第3号被保険者(第2号被保険者である従業員等の配偶者)に関する届出のために、従業員等がその配偶者の個人番号を記載した国民年金第3号被保険者関係届を当社に提出する場合は、従業員等が当該配偶者の代理人として、当社に対し当該配偶者の個人番号を提供するものとする。
(3) 特定個人情報の取扱いの全部若しくは一部の委託に伴い特定個人情報を提供するとき。
(4) 合併その他の事由による事業の承継に伴い特定個人情報を提供するとき。
(5) 人の生命、身体又は財産の保護のために必要がある場合において、本人の同意があり、又は本人の同意を得ることが困難であるとき。
(特定個人情報の収集の制限)
第24条 事務取扱担当者は、第18条(要配慮個人情報の取得の制限)の第1項第1号乃至第4号のいずれかに該当する場合を除き、特定個人情報を収集してはならない。
(個人番号の提供を受ける際の本人確認措置)
第25条 事務取扱担当者が、第22条(個人番号の提供の要求)により本人又はその代理人から個人番号の提供を受けるときは、マイナンバー法その他の法令に従い、本人確認の措置として、個人番号の確認を行うとともに、本人又は代理人の身元確認を行わなければならない。
2.従業員等からその扶養親族の個人番号の提供を受けるとき(第23条(個人番号提供の求めの制限)第1号の場合)は、当該従業員等が個人番号関係事務実施者として扶養親族の本人確認の措置を行う。
第2節 利用及び保存
(不適正な利用の禁止)
第26条 違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないものとする。
(個人情報の正確性の確保等)
第27条 個人情報は、利用目的の達成に必要な範囲内において、正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。削除については第40条(個人情報及び特定個人情報の削除・廃棄)による。
(個人情報の利用目的による制限)
第28条 第15条(個人情報の利用目的の特定)により特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2.利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合は、あらかじめ、本人の同意を得なければならない。
3.前2項の規定は、第18条(要配慮個人情報の取得の制限)第1項第1号乃至第4号に該当する場合は、適用しない。
4.特定個人情報に関しては、第1項の規程は、第29条(個人番号及び特定個人情報の利用範囲の制限)第3項に該当する場合は、適用しない。
5.特定個人情報に関しては、第2項及び第3項の規定は、適用しない。
6. EU域内から十分性認定に基づき提供を受けた個人データについては、消去することとしている期間にかかわらず、保有個人データとして取り扱う。なお、EU域内から十分性認定に基づき提供を受けた個人データであっても、「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」は、「保有個人データ」から除くこととする。
(個人番号及び特定個人情報の利用範囲の制限)
第29条 事務取扱担当者は、個人番号関係事務を行うために必要な限度で個人番号を利用することができる。
2.事務取扱担当者が個人番号関係事務の全部又は一部の委託を受けた場合も、前項と同とする。
3.人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるときに、特定個人情報の提供を受けた場合は、その提供を受けた目的を達成するために必要な限度で個人番号を利用することができる。
4.事務取扱担当者が個人番号を取り扱う場合は、個人番号を提出した本人の同意があったとしても、個人番号関係事務を処理するために必要な範囲を超えて、特定個人情報を取り扱ってはならない。
5.前項の規定は、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難である場合は、適用しない。
(特定個人情報ファイルの作成の制限)
第30条 事務取扱担当者は、法令に基づく場合を除き、個人番号関係事務を処理するために必要な範囲を超えて特定個人情報ファイルを作成してはならない。
2.前項の規定は、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難である場合は、適用しない。
(特定個人情報の保管の制限)
第31条 従業者は、第38条(特定個人情報の提供の制限)第2項各号のいずれかに該当する場合又は法令に基づく場合を除き、特定個人情報を保管してはならない。
(共同利用)
第32条 個人情報をグループ会社等で共同して利用する場合は、共同利用する事実、共同利用する個人情報の項目、共同利用者の範囲(本人からみて対象範囲が明確に特定されることが必要)、共同の利用目的、共同利用する取扱責任者、取得方法等について、あらかじめ本人に通知するか又はウェブサイトへの継続掲載や事務所の窓口等への継続掲示等本人が容易に知り得る状態にしておく。
2.前項の利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容についてあらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
3.特定個人情報については、本人の同意があっても共同利用する事はできない。
(本人へのアクセス)
第33条 取得した個人情報の利用目的達成にあたり、個人情報を利用して本人に対し、郵便、電話、メール等で連絡又は接触する場合は、取得した個人情報、利用目的、第三者提供や委託の有無を本人へ通知し同意を得る。
2. 前項の本人への連絡に係わる手続については取扱規則に従う。
第3節 提供
(個人情報の第三者提供の制限)
第34条 次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人情報は、原則として
第三者に提供してはならない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
2.特定個人情報については、第38条(特定個人情報の提供の制限)による。
3.個人情報を第三者に提供する場合は、あらかじめ本人の同意を得なければならない。本人の同意をとる手続については、取扱規則による。
4.前3項の規定は、第18条(要配慮個人情報の取得の制限)第1項第1号乃至第4号に該当する場合は、適用しない。
5. 次に掲げる場合において、当該個人データの提供を受ける者は、第1項の規定の適用については、第三者に該当しないものとする。
(1)利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2)合併その他の事由による事業の承継に伴って個人データが提供される場合
(3)第32条(共同利用)に該当する場合
(個人情報を第三者提供する際の記録)
第35条 個人データを第三者に提供したときは、第三者提供に係る記録を作成しなければなない。ただし当該個人データの提供が第18条第1項第1号乃至第4号に該当する場合、あるいは第34条(第三者提供の制限)第5項のいずれかに該当する場合は適用しない。
2. 前項の記録作成の手続については取扱規則に従う。
(第三者提供を受ける際の確認及び記録)
第36条 第三者から個人データの提供を受けるに際しては、当該第三者の氏名又は名称及び住所等ならびに個人情報の取得の経緯を確認し、当該第三者から提供を受けた記録を作成しなければならない。ただし当該個人データの提供が第18条(要配慮個人情報の取得の制限)第1項第1号乃至第4号に該当する場合、あるいは以下のいずれかに該当する場合は適用しない。
(1) 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2) 合併その他の事由による事業の承継に伴って個人データが提供される場合
(3) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
2. EU域内から十分性認定に基づき個人データの提供を受ける場合、個人情報保護法第30条第1項及び第3項の規定に基づき、EU域内から当該個人データの提供を受ける際に特定された目的を含め、その取得の経緯を確認し、記録する。同様に、EU域内から十分性認定に基づき移転された個人データの提供を受けた他の個人情報取扱事業者から、当該個人データの提供を受ける場合、当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録する。上記のいずれの場合においても、確認し、記録した当該個人データを当初又はその後提供を受ける際に特定された利用目的の範囲内で利用目的を特定し、その範囲内で当該個人データを利用することとする。
3. 前項の確認及び記録の手続については取扱規則に従う。
(特定個人情報の提供の制限)
第37条 特定個人情報の提供をしてはならない。
2.前号に係わらず、下記各号に該当する場合またはその他法令に基づく場合は、特定個人情報を提供することができる。
(1) 個人番号関係事務を処理するために必要な限度で特定個人情報を提供するとき。
(2) 特定個人情報の取扱いの全部若しくは一部の委託に伴い特定個人情報を提供するとき。
(3) 合併その他の事由による事業の承継に伴い特定個人情報を提供するとき。
(4) 個人情報保護委員会の求めにより、特定個人情報を個人情報保護委員会に提供するとき。
(5) 訴訟手続その他の裁判所における手続、裁判の執行、刑事事件の捜査、租税に関する犯則事件の調査、その他法令で定める公益上の必要があるとき。
(6) 人の生命、身体又は財産の保護のために必要がある場合において、本人の同意があり、又は本人の同意を得ることが困難であるとき。
(7) 個人情報保護法第33条に基づく開示の請求、同法第34条に基づく訂正等の請求又は同法第35条に基づく利用停止等の請求において、本人から個人番号を付して請求が行われた場合や本人に対しその特定個人情報を提供する場合
(個人関連情報取扱事業者から個人関連情報を個人データとして取得することが想定される場合)
第38条 個人関連情報取扱事業者から提供を受ける個人関連情報を個人データとして取得することが想定される場合は、第34条(個人情報の第三者提供の制限)第1項各号に掲げる場合を除き、当該個人データに関して識別される本人から、当該個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の同意を取得するものとする。
2.偽りその他不正の手段により、個人関連情報を個人データとして取得してはならない。
3. 前項の手続等については取扱規則に従う。
第4節 削除・廃棄
(個人情報及び特定個人情報の削除・廃棄)
第39条 個人情報は、第15条(個人情報の利用目的の特定)により特定した利用目的の達成等により利用する必要がなくなった場合は、取扱規則に定める方法により、速やかに削除又は廃棄するよう努めるものとする。
2.事務取扱担当者が個人番号を利用する必要がなくなったときは、当該個人番号をできるだけ速やかに削除又は廃棄しなければならない。
3.個人情報又は特定個人情報が記載された書類等について、所管法令により一定期間の保存が義務付けられている場合は、前2項の規定にかかわらず、その期間は当該個人情報又は当該特定個人情報を保管することができる。
第4章 保有個人データに関する事項の通知等
(保有個人データの本人からの請求への対応)
第40条 当社が保有する個人データについて、本人から以下の請求を受けた際は速やかに対応する。
(1)保有個人データの利用目的の通知
(2)保有個人データの開示
(3)保有個人データの訂正等
(4)保有個人データの利用停止
(5)特定個人情報の利用停止
2. 前項第2号乃至第4号に関する調査の結果、当該個人情報が存在しない場合は、問合せを受けた部店の取扱責任者承認の上、本人に対しその旨を通知する。
3. 前第1項乃至第2項に係わる手続については、取扱規則に従う。
第5章 苦情処理
(苦情の処理)
第41条 個人情報及び特定個人情報の取扱いに関する苦情・相談の窓口業務は、業務部が担当するものとする。
2.個人情報統括責任者は、前項の目的を達成するために必要な体制の整備を行う。
3.本社または支店の総務部の責任者は、適宜、個人情報統括責任者に苦情の内容を報告するものとする。
4.個人情報及び特定個人情報の取扱いについて、本人から苦情又は相談を受けたときは、確実に記録し、対応する。記録の手続きについては取扱規則に従う。
5.個人情報及び特定個人情報に関するお問い合わせ窓口の連絡先は、社内ホームページ及び社外向けホームページで明示する。
第6章 点検・監査・見直し
(点検)
第42条 個人情報取扱担当者は、各部門における保有個人データの管理及び利用の状況について、定期的に点検を行い、個人情報取扱責任者に報告する。
2.個人情報取扱責任者は、点検結果の確認を行い、確認結果を個人情報統括責任者に報告する。
(監査)
第43条 内部監査担当は、保有個人データの適切な管理について検証するため、第42条(点検)に定める措置の状況を含む保有個人データ等の管理及び利用の状況について、定期的に監査を行い、その結果を個人情報統括責任者に報告する。
(見直し)
第44条 個人情報統括責任者は、個人情報及び特定個人情報の取扱いに関する法令の制定・改正及び社会情勢の変化等に応じて、定期的に安全管理措置の見直しを行う。
2. 個人情報統括責任者は、前条の点検または監査の結果を踏まえ、必要に応じて安全管理措置の見直しを行う。
第7章 その他
(罰則)
第45条 本規程に違反した従業員に対して就業規則に基づき処分を行い、その他の従業者に対しては、契約又は法令に照らして決定する。
以 上
令和5年3月1日 改訂