個人情報保護規程
第1章 総則
- 第1条(目的)
- この規程は、当法人が有する個人情報につき、当法人プライバシー・ポリシー(個人情報保護方針)に基づく適正な保護を実現することを目的とする基本規程である。
- 第2条(定義)
- 本規程における用語の定義は、次の各号に定めるところによる。
- (1)個人情報
- 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
- (2)本人
- 個人情報によって識別される特定の個人
- (3)従業者
- 当法人の組織内で指揮監督を受け、個人情報の取扱いに従事する者(理事、評議員、監事、職員、臨時職員等を含む)
- (4)個人情報保護コンプライアンス・プログラム
- 当法人が所有する個人情報を保護するための方針、組織、計画、監査及び見直しを含む当法人内のしくみのすべて
- (5)個人情報保護管理者
- 理事長より任命され、個人情報保護コンプライアンス・プログラムの実施及び運用に関する責任と権限を有する者
- (6)監査責任者
- 理事長より任命された者であって、公平かつ客観的な立場にあり、監査の実施及び報告を行う責任と権限を有する者
- (7)利用
- 当法人内において個人情報を処理すること
- (8)提供
- 当法人以外の者に、当法人の保有する個人情報を利用可能にすること
- 第3条(適用範囲)
-
- 本規程は、当法人の従業者に対して適用する。
- 個人情報を取り扱う業務を外部に委託する場合も、この規程の趣旨に従って、個人情報の適正な保護を図るものとする。
第2章 個人情報の取得
- 第4条(個人情報の取得の原則)
-
- 個人情報の取得は、利用目的を明確に定め、その目的の達成のために必要な限度においてのみ行うものとする。
- 個人情報の取得は、適法かつ公正な方法により行うものとする。
- 第5条(特定の機微な個人情報の取得の禁止)
- 特定の機微な個人情報を取得してはならない。
- 第6条(取得の手続き)
- 業務において新たに個人情報を取得する場合には、あらかじめ、個人情報保護管理者に利用目的及び実施方法を届け出、承認を得るものとする。
- 第7条(本人から直接に個人情報を取得する場合の措置)
- 本人から直接に個人情報を取得する場合は、本人に対して、次の各号に掲げる事項を書面またはこれに準ずる方法によって通知し、本人の同意を得るものとする。
- 個人情報保護管理者またはその代理人の氏名または職名、所属及び連絡先
- 個人情報の取得及び利用の目的
- 個人情報の提供を行うことが予定されている場合は、その目的、当該情報の受領者または受領者の組織の種類、所属及び個人情報の取扱いに関する契約の有無
- 個人情報の取扱いを委託することが予定されている場合には、その旨
- 個人情報を与えることは、本人の任意であること、及び当該情報を与えなかった場合に本人に生じる結果
- 個人情報の開示を求める権利、及び開示の結果、当該情報が誤っている場合に訂正又は消去を要求する権利の存在、並びに当該権利を行使するための具体的な手続き
- 第8条(本人以外から間接的に個人情報を取得する場合の措置)
- 本人以外から間接に個人情報を取得する場合は、前条第1号ないし第4号及び第6号に掲げる事項を書面又はこれに準ずる方法によって通知し、本人の同意を得るものとする。ただし、次の各号に該当する場合は、この限りでない。
- 個人情報の取扱いを委託される場合
- 本人の保護に値する利益が侵害されるおそれのない場合
- 名簿等の書籍の作成・販売にかかる事業については個人情報の保護に関する法律第23条2項に基づきオプトアウトの方式を採用する場合。
第3章 個人情報の移送・送信
- 第9条(個人情報の移送・送信の原則)
- 個人情報の移送・送信は、具体的な権限を与えられた者のみが、外部流出等の危険を防止するために必要かつ適切な方法により、業務の遂行上必要な限りにおいてなし得るものとする。
第4章 個人情報の利用
- 第10条(個人情報の利用の原則)
- 個人情報は、原則として、利用目的の範囲内で、具体的な権限を与えられた者のみが、業務の遂行上必要な限りにおいて利用できるものとする。
- 第11条(個人情報の目的外利用)
-
- 利用目的の範囲を超えて個人情報を利用する場合は、第7条第1号ないし第4号及び第6号に掲げる事項を書面又はこれに準ずる方法によって本人に通知し、事前の本人の同意を得るものとする。
- 利用目的の範囲を超えて個人情報を利用するために本人の同意を求める場合は、個人情報保護管理者の承認を得るものとする。
- 第12条(個人情報の共同利用)
- 個人情報を第三者との間で共同利用する場合は、個人情報保護管理者の承認を得るものとする。
- 第13条(個人情報の取扱いの委託)
-
- 個人情報の取扱いを第三者に委託する場合は、個人情報保護管理者の承認を得るものとする。
- 前項に基づき、個人情報の取扱いを第三者に委託する場合は、「外部委託管理規程」に定める手続きに従う。
第5章 個人情報の第三者提供
- 第14条(個人情報の第三者提供の原則)
-
- 個人情報は、事前に本人の同意を得ることなく、第三者に提供してはならない。ただし、次の3号に該当する場合は、この限りでない。
- 個人情報を第三者に提供する場合は、第7条第1号ないし第4号及び第6号に掲げる事項及び第8条3項の場合、書面又はこれに準ずる方法によって通知し、本人の同意を得るものとする。
- 当法人の事業として、各名簿の作成・販売等については、個人情報の保護に関する法律第23条2項に基づきオプトアウト方式とする。
- 前項に基づき個人情報を第三者に提供する場合は、個人情報保護管理者の承認を得るものとする。
第6章 個人情報の管理
- 第15条(個人情報の管理の原則)
- 個人情報は、利用目的の達成に必要な範囲内において、正確かつ最新の状態で管理するものとする。
- 第16条(個人情報の安全管理対策)
-
- 個人情報保護管理者は、個人情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど)に対して、必要かつ適切な安全管理対策を講じるものとする。
- 個人情報は、施錠の可能な場所に保管し、鍵は、個人情報保護管理者又は当該個人情報の利用を許された者が保管するものとする。
- 個人情報の保存させている情報システム、情報機器については、外部媒体の接続及びネットワークへの接続を制限するものとする。
- 個人情報の保存されている情報システムへのアクセス記録は、合理的な期間これを保存するものとする。
第7章 個人情報の開示・訂正・利用停止・消去
- 第17条(自己情報に関する権利)
-
- 本人から自己の情報について開示を求められた場合は、合理的な期間内にこれに応じるものとする。
- 前項に基づく開示の結果、誤った情報があり、訂正又は消去を求められた場合は、原則として合理的な期間内にこれに応ずるとともに、訂正又は消去を行った場合は、可能な範囲内で当該個人情報の受領者に対して通知を行うものとする。
- 前項に基づき訂正又は削除を行う場合には、事前に、所定の「個人情報訂正等届出書」に、本人、個人情報の内容、訂正の内容等を記載のうえ、個人情報保護管理者の承認を得るものとする。
- 個人情報保護管理者は、前項に基づく個人情報の訂正等の記録を合理的な期間保管するものとする。
- 第18条(自己情報の利用又は提供の拒否)
-
- 本人から自己の情報について利用又は第三者の提供を拒否された場合は、これに応じるものとする。ただし、法令に基づく場合は、この限りではない。
- 前項に基づき利用又は第三者提供を停止する場合には、事前に、所定の「個人情報利用停止等届出書」に、本人、個人情報の内容、利用の停止等の内容を記載のうえ、個人情報保護管理者の承認を得るものとする。
- 個人情報保護管理者は、前項に基づく個人情報の利用停止等の記録を合理的な期間保管するものとする。
第8章 個人情報の消去・廃棄
- 第19条(消去・廃棄の手続)
- 個人情報の消去及び廃棄は、具体的な権限を与えられた者のみが、外部流出等の危険を防止するために必要かつ適切な方法により、業務の遂行上必要な限りにおいてなし得るものとする。
第9章 組織及び体制
- 第20条(個人情報保護管理者)
-
- 理事長は、理事の中から個人情報保護管理者1名を任命し、当法人内における個人情報の管理業務を行わせるものとする。
- 個人情報保護管理者は、理事長の指示及び本規程に定めるところに基づき、個人情報保護に関する内部規程の整備、安全対策の実施、教育訓練等を推進するための個人情報保護コンプライアンス・プログラムを策定し、周知徹底等の措置を実践する責任を負うものとする。
- 個人情報保護管理者は、個人情報保護コンプライアンス・プログラムの策定及びその実施のために、補佐を行う者を任命することができるものとする。
- 第21条(教育)
- 個人情報保護管理者は、個人情報コンプライアンス・プログラムの重要性を理解させ、確実な実施を図るため、所要の教育計画及び教育資料に従い、継続的かつ定期的に教育・訓練を行うものとする。
- 第22条(作業責任者)
- 個人情報保護管理者は、個人情報を取り扱う作業が行われるに際し、当該作業に関する責任者を任命するものとする。
- 第23条(監査)
-
- 理事長は、監査責任者を任命し、当法人内における個人情報の管理が個人情報保護コンプライアンス・プログラムに従い適正に実施されているかにつき定期的に監査を行わせるものとする。
- 監査責任者は、内部監査規程に従い、監査計画を作成し実施するものとする。
- 監査責任者は、監査の結果につき監査報告書を作成し、理事長に対して報告を行うものとする。
- 理事長は、当法人内における個人情報の管理につき個人情報コンプライアンス・プログラムに違反する行為があった場合には、個人情報保護管理者及び関係者に対し、改善指示を行うものとする。
- 前項に基づき改善指示を受けた者は、速やかに適正な改善処置を講じ、その内容を監査責任者に報告するものとする。
- 監査責任者は、前項によりなされた改善措置を評価し、理事長及び個人情報保護管理者に対して報告するものとする。
- 第24条(報告義務及び罰則)
-
- 個人情報保護コンプライアンス・プログラムに違反する事実又は違反するおそれがあることを発見した者は、その旨を個人情報保護管理者に報告するものとする。
- 個人情報保護管理者は、前項による報告の内容を調査し、違反の事実が判明した場合には、遅滞なく、理事長に報告し、かつ、関係部門に適切な処置を行うよう指示するものとする
- 個人情報保護コンプライアンス・プログラムに違反した従業者は、就業規則の定めるところにより懲戒に処するものとする。
- 第25条(苦情及び相談)
- 理事長は、相談口を設置し、個人情報及び個人情報保護コンプライアンス・プログラムに関して、本人からの苦情及び相談を受け付けて対応するものとする。
第10章 雑則
- 第26条(見直し)
- 理事長は、監査報告書及びその他の経営環境などに照らして、適切な個人情報の保護を維持するために、定期的に、本規程の改廃を含む個人情報保護コンプライアンス・プログラムの見直しを、個人情報保護管理者に指示するものとする。
- 第27条(運用細則)
- 個人情報保護管理者は、本規程の運用のために必要な細則を定めるものとする。