- 個人情報保護規定 -
第1章 総則
(目的)
第1条 本規程は、当事務所における個人情報の適法かつ適正な取扱いの確保に関する基本的事項を定めることにより、個人の権利・利益を保護することを目的とする。
(定義)
第2条 本規程において、各用語の定義は次の通りとする。
(1)個人情報
生存する「個人に関する情報」であって、特定の個人を識別することができるもの、又は他の情報と容易に照合することができ、それにより特定の個人を識別することができるものをいう。 「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身 体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情 報、公刊物等によって公にされている情報や、映像、音声も含まれ、暗号化されているかどうかを問わない。
なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報である場合には、当該生存する個人に関する情報となる。
また、「生存する個人」は日本国民に限られず、外国人も含まれるが、法人その他の団体は「個人」に該当しないため、法人などの団体に関する情報は含まれない。
(2) 個人情報データベース
特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人 情報を含む情報の集合物、又はコンピュータを用いていない場合であっても、ファイルやカルテ、 お客様台帳など個人情報を一定の規則(例えば、五十音順、生年月日順、作成日順等)に従って 整理・分類し、他人によっても容易に検索可能な状態においているものをいう。
(3) 個人データ
当社が管理する「個人情報データベース等」を構成する個人情報をいう。
(4) 保有個人データ
当社が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の全てを行うことができる権限を有する「個人データ」をいう。ただし、以下に該当するものは除く。
i. 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に 危害が及ぶおそれがあるもの。
ii. 当該個人データの存否が明らかになることにより、違法又は不法な行為を助長し、又は誘発するおそれのあるもの。
iii. 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国もしく は国際機関との信頼関係が損なわれるおそれ又は他国もしくは国際機関との交渉上不利益を被るおそれのあるもの。
iv. 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの。
v. 6ヶ月以内に消去する(更新することは除く)こととなるもの。
(5) 本人
個人情報によって識別される特定の個人をいう。
(6)個人情報保護責任者
個人情報を取扱う責任者をいう。
(7)従業者
当社にあって、直接間接に当社の指揮監督を受けて、当社の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員も含まれる。
(8)利用目的
一連の個人情報の取扱いにより達成しようとする目的をいう。
(9)個人情報の取扱い
個人情報の取得、整理、分類、照合、処理、複製、委託、第三者提供、共同利用その他一切の 利用、保有及び個人情報の廃棄、消去、破壊をいう。
(10)本人の同意 本人の個人情報が、当社によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう。 具体的には本人による署名・捺印、同意する旨のメールの受信、同意する旨の確認欄へのチェック、同意する旨のボタンのクリック、音声入力やタッチパネルによる承諾を得ること等が挙げられる。
(11) 明示
本人に対し明確に示すことをいい、本人の同意は要しない。 本人に提示した契約書約款・アンケート用紙、または本人が閲覧できる掲示物・冊子等に明記すること、情報ネットワーク上においては自社ホームページもしくは本人の端末装置上に表示すること等をいう。
(12) 通知
直接知らしめることをいう。具体的には、面談、電話にて口頭で説明すること、電子メール、 ファックスにて送信すること、文書を郵便で送付することなどが挙げられる。
(13) 公表
広く一般に自己の意思を知らしめること(不特定多数の人々が知ることができるように発表す ること)をいう。具体的には、ホームページへの掲載をすること、店舗・事務所等に掲示あるい は備付けること、商品・パンフレット等に掲載すること、新聞・雑誌等に掲載すること等が挙げ られる。
(14) 本人が容易に知り得る状態
本人が知ろうとすれば、時間的にも、その手段においても、容易に知ることができる状態に置 くことをいう。具体的には、ホームページへの掲載をすること、店舗・事務所等に掲示あるいは 備え付けすること、新聞・雑誌等に掲載すること等による公表が継続的に行われていること、当 該事項を知るための方法をあらかじめ通知しておくこと等が挙げられる。
(15) 本人が知り得る状態
問合せ窓口を設けるなど、本人の求めに応じて遅滞なく回答を行うこと等、本人が知ろうとす れば、知ることができる状態に置くことをいう。
(適用)
第 3 条 本規程は、従業者に適用する。
2.本規程は、当社が現に保有している個人情報(その取扱いを委託されている個人情報を含む。)、及びその取扱いを委託している個人情報を対象とする。
(個人情報保護方針)
第 4 条 当社における個人情報の適法かつ適正な取扱いを確保するため、次の事項を含む個人情報保護方針を定める。
(1) 個人情報に関する法令を遵守するとともに、当社の事業内容に照らし適切に個人情報を取扱う旨の宣言文
(2) 「個人情報の保護に関する法律」により「公表」すること、「容易に知り得る状態」にするこ と、または「本人の知り得る状態」に置くことを義務付けられている下記各号に関する事項
① 第11条により特定した利用目的
② 第三者提供に関する次の事項
・第三者提供を利用目的とすること
・第三者へ提供される個人データの項目
・第三者への提供の手段または方法
・本人の求めに応じて、当該本人が識別される個人データを第三者に提供することを停止すること
③ 共同利用に関する次の事項
・特定の者との間で共同利用する旨
・共同して利用される個人データの項目
・共同して利用する者の範囲
・利用する者の利用目的 ・共同利用される個人データの管理について責任を有する者の氏名または名称
④ 問合せ窓口に関する事項
・当社が対象事業者となる認定個人情報保護団体がある場合は、その名称及び申し出先を含む
(3) 個人情報の安全管理措置及び個人情報管理技術に関する事項
(4) 個人情報保護の社内体制に関する事項
(5) 評価・見直しに関する事項
2.個人情報保護方針は、従業者に周知せしめるとともに、ホームページに掲載する等の措置を講じるものとする。
3.個人情報保護方針は、社外に対して、プライバシーポリシーと称することができる。
第2章 管理体制
(個人情報保護責任者)
第 5 条 個人情報の取扱いに関して総括的な責任を有する個人情報保護責任者を設置する。
2.個人情報保護責任者は当事務所に所属する従業者の個人情報の一切の取扱いにつき、責任を有するものとする。
3.本規程に基づき個人情報の取扱いを管理する上で必要とされる細則の策定
4.個人情報保護責任者は本規程及び個人情報取扱い細則に従い、各部門に存在する個人情報の所在、内容、 利用者、規模等を把握し、個人情報の適正な取扱いを維持・管理しなければならない。
5.従業員は、自らの部門において個人情報の漏洩等の事故または違反の発生またはその疑いが生じた場合は、直ちにその旨個人情報保護責任者に報告し、指示を求めなければならない。
(個人情報の取扱いの決定)
第 6 条 第 4 章に定める個人情報の基本的取扱いに関しては、個人情報保護責任者が その適否を判断する。
第3章 計画
(計画)
第 7 条 個人情報保護責任者は、個人情報の適正な取扱いを維持・推進するため、定期に教育・訓練計画を策定する。
2.個人情報保護責任者は、定期に個人情報の取扱いに関する監査の計画を策定する。
第4章 運用
第 1 節 個人情報の取扱いの原則
(管理原則)
第 8 条 個人情報は、本規定に従い適切に分類・管理し、その重要度に応じて適切に取得、移送、 利用、保管、廃棄されなければならない。
(利用目的)
第 9 条 当社は、個人情報の利用目的をできる限り特定する。
2.個人情報は、あらかじめ本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて 取扱ってはならない。利用目的の範囲内か否かが不明な場合は、都度、個人情報保護責任者に判断を求めなければならない。
3.利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると認められる範囲を超えて行ってはならず、変更された利用目的は遅滞なく本人に通知または公表しなければならない。
第 2 節 個人情報の取得
(適正な取得)
第 10 条 個人情報は、偽りその他不正の手段により取得してはならない。
(特定の個人情報の取得の禁止)
第 11 条 原則として、下記各号に示す内容を含む個人情報は、これを取得し、または第三者に提供してはならない。但し、業務上必要であり、かつ、本人に対し当該情報の利用目的及びその必要性等について適切な情報を明示した上で明確に本人の同意を得た場合、または法令に特別の規定がある場合、あるいは司法手続上必要不可欠な場合はこの限りでない。
(1) 思想、信条及び信教に関する事項
(2) 人種、民族、家柄、本籍地、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
(3) 勤労者の団結権の行使、団体交渉及びその他団体行動に関する事項
(4) 集団示威行為(デモ等)への参加、国または地方公共団体に対する請願権の行使及びその他の政 治的権利の行使に関する事項
(5) 保健医療に関する事項
(6) その他個人情報保護責任者の定める事項
(本人から直接個人情報を取得する際の措置)
第 12 条 申込書・アンケート・契約書等、書面(電子メール、自社ホームページへの記入等電磁的方法も含む)により本人から直接個人情報を取得する場合は、本人に対してあらかじめ利用目的を明示しなければならない。但し、下記各号に該当する場合はこの限りでない。
(1) 人の生命、身体または財産その他の権利利益を保護するため必要な場合
(2) 当社の権利または正当な利益を害するおそれがある場合
(3) 国または地方公共団体の法令に定める事務の遂行に支障を及ぼすおそれがある場合
(4) 取得の状況に照らし、利用目的が明らかであると認められる場合
(間接的に個人情報を取得する際の措置)
第 13 条 本人以外の第三者から個人情報を取得する場合は、当該個人情報が当該第三者において適法、適正に取得されたものでなければならず、かつ、当該第三者において、当社への個人情報の提 供につき、適法な措置が講じられていなければならない。
第 3 節 個人情報の管理
(個人データの正確性の確保)
第 14 条 個人データは、利用目的の達成に必要な範囲内において、正確かつ最新の内容に保つよう努めなければならない。
(個人データ取扱台帳)
第 15 条 個人情報保護責任者は、当社の全ての「個人データ」の種類・内容・保管場所等を記載(データベースへの入力を含む)した台帳を作成しなければならない。
2.個人情報保護責任者は、前項の台帳を定期に見直し、最新の状態を維持するよう努めなければならない。
3.各責任者は、自らの部門における「個人データ」の種類・内容・保管場所等を、個人情報保護責任者の求めに応じ、定期に報告しなければならない。また、各責任者は自らの部門における「保有個人データ」の種類・内容・保管場所等を変更する場合には、事前に個人情報保護責任者に報告し、承認を得なければならない。
(安全管理措置)
第 16 条 当社においては、取扱う個人情報の漏洩、滅失または毀損の防止その他の安全管理のために、人的、物理的、技術的に適切な措置を講じるものとする。
2.各部門においては、下記各号に従って適切に個人情報を取り扱わなければならない。
(1) 各部門において保管する個人情報を含む文書(磁気媒体を含む)は、施錠できる場所への保管、 パスワード管理等により、散逸、紛失、漏洩の防止に努めなければならない。
(2) 情報機器は適切に管理し、正式な利用権限のない者には使用させてはならない。
(3) 個人情報を含む文書であって、保管の必要のないものは、速やかに廃棄しなければならない。
(4) 個人情報を含む文書の廃棄は、シュレッダー裁断、焼却、溶解等により、完全に抹消しなければならない。
(5) 個人情報を含む文書を他部門に伝達するときは、適切な方法・手順によることとし、必要な範囲を超えて控えを残さないよう扱うものとする。
(6) 個人情報を含む文書は、みだりに複写してはならない。
(7) その他個人情報の取扱いについて必要な事項は細則に定めるものとする。
(従業者の監督)
第 17 条 個人情報保護責任者は、従業者が個人データを取扱うにあたり、必要かつ適切な監督を行わなければならない。
2.個人情報保護責任者は、従業者に対し、個人データの取扱いに関して必要かつ適切な監督 を行わなければならない。
3.個人情報保護管理者は、従業者に対して個人情報の保護及び適正な取扱いに関する誓約書の提出 を命じることができる。
(社内教育)
第 18 条 従業者に対する個人情報の保護及び適正な取扱いに関する教育方針は、個人情報保護責任者が決定する。
2.従業者は、個人情報保護責任者の指名した部門が主催し、または個人情報保護責任者が決定した方針に基づく研修を受けなければならない。
(委託先の監督)
第 19 条 個人情報保護責任者は、 個人データの取扱いの全部または一部を委託する場合(労働者派遣契約または業務委託等契約により派遣労働者を受け入れる場合を含む)は、その取扱いを委託した個人データの安全管理が図られるよう、委託を受けた者(以下「委託先」という)に対する必要かつ適切な監督を行わなければならない。
2.前項の委託を行う責任者は、委託先に対して下記各号の事項を実施しなければならない。
(1) 委託先における個人情報の保護体制が十分であることを確認した上で委託先を選定すること
(2) 委託先との間で次の事項を含む契約を締結すること
①個人情報の適法かつ適切な取扱い(個人データに対する人的、物理的、技術的な安全管理措置を 委託先が講じることを含む)
②個人情報に関する秘密保持
③委託した業務以外の個人情報の使用禁止
④個人情報を取扱う上での安全対策
再委託は原則として禁止し、再委託がやむを得ない場合は事前に書面による当社の同意を要し、委託先が再委託先と連帯して責任を負うことの確認
⑤再委託に関する事項
⑥契約内容が遵守されていることの確認
⑦個人情報に関する事故が生じた際の責任
⑧契約終了時の個人情報の返却及び抹消
(3) 個人情報の取得を委託する場合は、当社が取得の主体であること並びに当社の指定する利用目的を明示するよう義務付けること
(第三者提供の制限)
第 20 条 あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。但し、下記各号に該当する場合、本人の同意なく第三者提供ができる。
(1) 個人情報保護方針に定めた範囲内で第三者提供、共同利用するとき
(2) 人の生命、身体または財産の保護のために必要があり、かつ、本人の同意を得ることが困難であるとき
(3) その他法令に基づく場合
2.第三者提供もしくは共同利用する場合、個人情報保護責任者の承認を得ること。 3.雇用管理に関する個人データを第三者に提供する場合には、本条第 1 項第 2 号乃至第 3 号に該当する場合を除き、下記各号に従わなければならない。
(1) 提供先において、その従業者に対し、当社が提供した個人データの取扱いを通じて知りえた個人情報を漏洩してはならず、かつ、盗用してはならないこととされていること。
(2) 当社が提供した個人データを提供先が他の第三者に提供する場合には、書面による当社の事前同意を要件とすること。但し、当該再提供が本条第 1 項各号に該当する場合を除く。
(3) 当社が提供した個人データの提供先における保有期間を明確化すること。
(4) 当社から提供を受ける目的達成後の個人データの返却または提供先における破棄または削除が適切かつ確実に行われること。
(5) 提供先における当社が提供した個人データの複写及び複製(安全管理上必要なバックアップを除く)を禁止すること。
第 4 節 開示・変更・利用停止等の請求の対応
(開示)
第 21 条 当社は、当該本人が識別される「保有個人データ」の開示(保有の有無を含む)請求には、本人のプライバシー保護のため、本人(代理人を含み、以下本条及び次条において本人という)から 開示等請求窓口に対し、原則として本人確認書類を添付した開示請求書により請求があった場合に のみ応じるものとする。
(1) 開示請求窓口は、個人情報保護責任者とする。
(2) 開示請求書の様式は、個人情報保護責任者が定めるものとする。
(3) 本人確認書類は、個人情報保護責任者が定めるものとする。但し、開示請求者が本人であることが明らかな場合には、本人確認書類の提出を求めないことができる。
2.前項により本人による開示請求であることを確認した場合は、本人に対して書面または本人が同 意した他の方法により、遅滞なく当該「保有個人データ」を開示するものとする。また、開示する書面の様式は、個人情報保護責任者が定めるものとする。
3.前項にかかわらず、開示することにより次の各号のいずれかに該当する場合は、個人情報保護責任者の決定により、その全部または一部を開示しないことができる。
(1) 本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 当社の業務の適正な実施に著しい支障を及ぼすおそれのある場合
(3) 法令に違反することとなる場合
4.前項の定めに基づき「保有個人データ」の全部または一部を開示しない旨の決定をしたときは、 遅滞なく、本人に対しその旨通知するものとする。この場合、その理由を説明するよう努めなければならない。
5.他の法令により、本人に対し当該本人が識別される「保有個人データ」を開示することとされて いる場合には、第 3 項は適用しない。
6.本人に対し「保有個人データ」を開示する場合には、手数料を請求できるものとする。この手数料は、実費を勘案して、合理的な範囲で個人情報保護責任者が定めるものとする。
(訂正等)
第 22 条 本人から、当該本人が識別される「保有個人データ」の内容が事実でないという理由によって、当該「保有個人データ」の訂正、追加または削除(以下「訂正等」という)を求められた場合 には、遅滞なく必要な調査を行い、その結果に基づき当該「保有個人データ」の内容の訂正等を行 うものとする。但し、以下の場合には訂正等の求めに応じないことができる。
(1) 利用目的の達成に必要な範囲を超えている場合。
(2) 他の法令の規定により、特別の手続が定められている場合。 2.当該本人が識別される「保有個人データ」の訂正等の請求に対しては、本人のプライバシー保護のため、本人から訂正等請求窓口に対し、原則として本人確認書類を添付した訂正等請求書により請求があった場合にのみ応じるものとする。
(1) 訂正等請求窓口は、個人情報保護責任者とする。
(2) 訂正等請求書の様式は、個人情報保護責任者が定めるものとする。
(3) 本人確認書類は、個人情報保護責任者が定めるものとする。但し、訂正等請求者が本人であることが明らかな場合には、本人確認書類の提出を求めないことができる。
3.前 2 項により、「保有個人データ」の訂正等を行ったとき、または訂正等を行わない旨の決定を したときは、本人に対し、遅滞なくその旨(訂正等を行ったときはその内容を含む)を通知するものとする。
4.第 1 項ただし書により訂正等の求めに応じない場合は、その理由を説明するよう努めなければならない。
(利用停止等)
第 23 条 本人から、当該本人が識別される「保有個人データ」が、第 11 条第 3 項(同意のない利用目的外の利用)及び第 12 条(適正な取得)に違反しているという理由によって、当該「保有個人デー タ」の利用の停止または消去が求められた場合、及び、第 23 条(第三者提供の制限)に違反してい るという理由によって、当該「保有個人データ」の第三者提供の停止が求められた場合で、その求めに理由があることが判明した場合には、遅滞なく、当該求めに応じて当該措置(以下「利用停止等」という)を講じなければならない。但し、以下の場合には当該措置を講じないことができる。
(1) 違反を是正するために必要な範囲を超えている場合。
(2) 指摘された違反がなされていない場合。
2.前条第 2 項乃至第 4 項は本条に準用する。但し、同各項における「訂正等」を「利用停止等」に 改める。
第5節 苦情処理
(苦情の処理)
第 24 条 個人情報の取扱いに関する苦情の窓口業務は、個人情報保護責任者が担当し、必要に応じて法務関連部門が対応するものとする。
2.個人情報保護責任者は、前項の目的を達成するために必要な体制の整備を行う。
第5章 その他
(所管官庁への報告)
第 27 条 個人情報保護責任者は、個人データの漏洩の事実または漏洩のおそれを把握した場合には、 直ちに所管官庁に報告しなければならない。
(罰則)
第 28 条 当事務所は、本規定に違反した従業員に対して就業規則に基づき処分を行い、その他の従業者に対しては、契約または法令に照らして決定する。
