|
第1章 総則
(目 的)
第1条 この規程は、当生協個人情報保護方針に基づく当生協が取り扱う当生協従業者以外の個人情報の適切な保護のための基本規程であり、本規程に基づき各「各個人情報取扱い規程やマニュアル」を策定し、実施、評価、改善を行っていくとともに、当生協従業者はこの規程に従って個人情報を保護していかなければならない。当生協従業者の個人情報の取扱いについては別に定める。
(本規程の対象)
第2条 この規程は、当生協において、その全部又は一部がコンピュータ等の自動的手段により処理されている個人情報及び手作業により処理されている個人情報であって、組織的に保有するファイリングシステムの全部又は一部をなすものを対象とする。
(定 義)
第3条 この規程おいて、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1) 個人情報
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(2) 本人
一定の情報によって識別される、又は識別され得る個人をいう。
(3) 個人情報管理責任者
当生協役員のなかから代表者によって選任された者であって、個人情報保護計画の策定、実施、評価、改善等の個人情報保護のための業務について、統括的責任と権限を有する者をいう。
(4) 個人情報管理者
個人情報管理責任者によって選任され、各部及び各事業所において個人情報保護計画等に基づく個人情報保護のための業務について、統括的責任と権限を有する者をいう。
(5) 個人情報取扱担当者
個人情報のコンピュータへの入力・出力、台帳・申込書等の個人情報を記載した帳票・帳表を保管・管理等する担当者をいう。
(6) 担当者
日常業務上、個人情報を取り扱う担当者をいう。
(7) 個人情報保護監査責任者
当生協代表者から選任され、個人情報管理責任者から独立した公平かつ客観的な立場にあり、監査の実施及び報告を行う権限を有する者をいう。
(8) 個人情報保護計画
個人情報を保護するための方針、組織、計画、実施、監査及び見直しを含むマネジメントシステムをいう。
(9) 預託
当生協以外の者にデータ処理等の委託のために当生協が保有する個人情報を預けることをいう。
(10) 当生協従業者
当生協の役員及び当生協の指揮・監督のもとで業務に従事するすべての者並びに当生協の指揮・監督下にある派遣労働者をいう。
第2章 個人情報の収集
(収集の原則)
第4条 個人情報の収集は、収集目的を明確に定め、その目的の達成に必要な限度において行わなければならない。
2 新しい目的で個人情報を収集するときは、担当者は個人情報管理者に届け出なければならない。
3 前項の届け出を受けた個人情報管理者は、直ちに個人情報管理責任者と協議して、個人情報管理責任者の承諾を得なければならない。
4 新しい目的での個人情報の収集は、個人情報管理責任者の承諾を得て、個人情報管理責任者が必要な措置を講じた後でなければならない。
(収集方法の制限)
第5条 個人情報の収集は、適法、かつ公正な手段によって行わなければならない。
2 新しい方法又は間接的に個人情報を収集するときは、担当者は個人情報管理者に届け出なければならない。
3 前項の届け出を受けた個人情報管理者は、直ちに個人情報管理責任者と協議して、個人情報管理責任者の承諾を得なければならない。
4 新しい方法又は間接的な個人情報の収集は、個人情報管理責任者の承諾を得て、個人情報管理責任者が必要な措置を講じた後でなければならない。
(特定の機微な個人情報の収集の禁止)
第6条 次に示す内容を含む個人情報の収集、利用又は提供を行ってはならない。
(1) 思想、信条及び宗教に関する事項
(2) 人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項
(3) 勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項
(4) 集団示威行為への参加、請願権の行使及びその他の政治的権利の行使に関する事項
(5) 保健医療及び性生活に関する事項
(本人から対面で個人情報を直接収集する場合の措置)
第7条 本人から対面で直接に個人情報を収集する場合、担当者は本人に対して、次に示す事項を記載した書面を交付し、本人の同意を得なければならない。
(1) 個人情報に関する問合せ部署名及び連絡先
(2) 収集目的
(3) 個人情報を第三者に提供することが予定される場合には、その目的、当該情報の受領者及び個人情報の取扱いに関する契約の有無
(4) 個人情報をデータ処理等のために第三者に預託することが予定される場合には、その旨
(5) 個人情報の開示を求める権利及び開示の結果、当該情報が誤っている場合に訂正、追加、削除を要求する権利の存在並びに情報主体が当該権利を行使するための具体的な方法
(6) 個人情報の収集後における利用を拒絶する権利の存在及び本人からの当該個人情報の消去、利用停止等の具体的な方法
(7) 本人が個人情報を与えることの任意性
(8) 本人が当該情報を与えなかった場合及び本人が当該個人情報の消去・利用停止措置をとった場合に本人に生じる結果
(9) 個人情報を第三者と共同で使用する場合は、その旨
(10) 廃棄する場合の基準と廃棄方法
(11) その他個人情報保護法が定める事項
(本人から対面ではなくて個人情報を直接収集する場合の措置)
第8条 個人情報管理責任者は、担当者が本人から直接に個人情報を収集する場合で、第7条に定めた方法での同意がとれなかったときのために、当生協個人情報保護方針及び第7条各号に掲げる事項を当生協インターネットホームページに掲示しなければならない。
(間接的に個人情報を収集する場合の措置)
第9条 本人以外から間接的に個人情報を収集する場合、個人情報管理責任者は、以下の措置を講じなければならない。
(1) 当生協インターネットホームページに第7条各号に掲げる事項を掲示すること。
(2) 個人情報の提供者が適法かつ公正な手段によって当該個人情報を収集し、第三者へ提供するために必要な情報主体の同意若しくは必要な措置を講じていることを確認すること。
(3) 個人情報の提供者より当該個人情報が適法かつ公正な手段により収集されたことを記した書面の交付を受けること。
第3章 個人情報の利用
(利用範囲の制限)
第10条 個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ権限を与えられた者のみが、業務の遂行上必要な限りにおいて行うものとする。
2 個人情報管理責任者の承諾を得ないで、個人情報の目的外利用、第三者への提供・預託、通常の利用場所からの持ち出し、外部への送信等の個人情報の漏えい行為をしてはならない。
3 当生協従業者は、業務上知り得た個人情報の内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退いた後も、同様とする。
(目的内の利用の場合の措置)
第11条 収集目的の範囲内で行う当生協の個人情報の利用は、次の(1)号から(5)号までに掲げるいずれかの場合にのみこれを行うことができる。
(1) 本人が同意を与えた場合若しくは同等の措置を講じた場合
(2) 本人が当事者である契約の準備又は履行のために必要な場合
(3) 当生協が従うべき法的義務の履行のために必要な場合
(4) 本人の生命、健康、財産等の重大な利益を保護するために必要な場合
(5) 警察、税務署、裁判所等の公的機関からの法令に基づく権限の行使による開示請求等があった場合
(目的外の利用の場合の措置)
第12条 収集目的の範囲を超えて個人情報の利用を行う場合又は前条(1)号から(5)号までに掲げるいずれの場合にも当たらない個人情報の利用を行う場合においては、個人情報管理責任者は第7条各号に掲げる事項を書面により通知し、あらかじめ本人の同意を得るか、又はその旨を事前に当生協インターネットホームページに掲示して本人に拒絶の機会を与えなければならない。
(個人情報の入出力、保管等)
第13条 個人情報のコンピュータへの入力・出力、台帳・申込書等の個人情報を記載した帳票・帳表の保管・管理等は、個人情報取扱担当者が行わなければならない。
第4章 個人情報の適正管理
(個人情報の正確性の確保)
第14条 個人情報管理責任者は、個人情報を利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しなければならない。
2 定期的に本人に通知等をしている場合、担当者は、通知の中に次の事項を記した届け出様式等を入れて通知しなければならない。
(1) 個人情報の開示を求める権利及び開示の結果、当該情報が誤っている場合に訂正、追加、削除を要求する権利の存在並びに本人が当該権利を行使するための具体的な方法
(2) 個人情報の収集後における利用を拒絶する権利の存在及び本人からの当該個人情報の消去、利用停止等の具体的な方法
(個人情報の安全性の確保)
第15条 個人情報管理責任者は、個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏えい等の危険に対して、「セキュリティ管理計画」を策定し、実施、普及、評価、改善をしなければならない。
(個人情報の委託処理等に関する措置)
第16条 情報処理や作業を第三者に委託するために、個人情報を第三者に預託する場合においては、担当者は事前に個人情報管理者に届け出なければならない。
2 個人情報管理者は、以下の各号の措置を講じ個人情報管理責任者の承諾を得てから基本契約を締結しなければならない。基本契約締結後に個別契約を締結し、当該個人情報の預託は、個別契約締結後にしなければならない。
(1) 個人情報の預託先について預託先責任者との面接、預託先の情報処理施設の現場視察を実施し、個人情報保護及びセキュリティ管理の水準が当生協と同等以上であることを確認すること。
(2) 個人情報の預託先について財務的な安全性を確認すること。
(3) 次の事項を入れた基本契約書案を作成すること。
@ 守秘義務の存在、取り扱うことのできる者の範囲に関する事項
A 預託先における個人情報の秘密保持方法、管理方法ついての事項
B 預託先の個人情報の取扱担当者に対する個人情報保護のための教育・訓練に関する事項
C 契約終了時の個人情報の返却及び消去に関する事項
D 個人情報が漏えい、その他事故の場合の措置、責任分担についての事項
E 再委託に関する事項
F 当社からの監査の受け入れについての事項
3 個別契約に基づき個人情報を預託先に提供するときは、担当者は前項(3)号の事項を記した書面を預託先に交付して、注意を促さなければならない。
4 委託中、担当者は、預託先が当社との契約を遵守しているかどうかを確認し、万一、契約に抵触する事項を発見したときは、その旨を個人情報管理者に通知しなければならない。
5 前項の通知を受けた個人情報管理者は、直ちに個人情報管理責任者と協議して個人情報の預託先に対して必要な措置を講じなければならない。
6 個人情報管理者は、年に一度以上、個人情報の預託先責任者との面接、預託先の情報処理施設の現場視察を実施し、監査しなければならない。
7 個人情報管理責任者は、本条に基づき作成された基本契約、個別契約、監査報告書、通知書等の文書(電磁的記録を含む)を当該個人情報の預託先との個別契約終了後7年間保存しなければならない。
(個人情報の第三者への提供)
第17条 個人情報の第三者への提供を禁止する。ただし、業務上、担当者が第三者への提供の必要性を認めた場合、個人情報管理者に届け出るものとする。
2 前項の通知を受けた個人情報管理者は、直ちに個人情報管理責任者と協議して、個人情報管理責任者の承諾を得なければならない。
3 第三者への提供は、個人情報管理責任者の承諾を得て、個人情報管理責任者が必要な措置を講じた後でなければならない。
(個人情報の共同利用)
第18条 個人情報を第三者との間で共同利用する場合、担当者は個人情報管理者に届け出なければならない。
2 前項の通知を受けた個人情報管理者は、直ちに個人情報管理責任者と協議して、個人情報管理責任者の承諾を得なければならない。
3 個人情報の共同利用は、個人情報管理責任者の承諾を得て、個人情報管理責任者が必要な措置を講じた後でなければならない。
第5章 自己情報に関する本人からの諸請求に対する対応
(自己情報に関する権利)
第19条 当生協が保有している個人情報について、本人から自己の情報について開示を求められた場合、個人情報管理責任者は、遅滞なく当該本人に対して当生協が保有している当該本人の個人情報(当該個人情報が存在しない場合はその旨)を、当該本人の希望する方法で開示しなければならない。
2 開示した結果、誤った情報があった場合で、訂正、追加又は削除を求められたときは、個人情報管理責任者は、遅滞なく訂正等を行い、訂正等の後、遅滞なく情報主体に対して通知をしなければならない。
(自己情報の利用又は提供の拒否権)
第20条 当生協が保有している個人情報について、本人から自己情報についての利用又は第三者への提供を拒まれた場合、これに応じなければならない。ただし、警察、税務署、裁判所等の公的機関からの法令に基づく権限の行使による開示請求等又は当生協の法令に定められている義務の履行のために必要な場合については、この限りでない。
第6章 管理組織・体制
(個人情報管理責任者)
第21条 個人情報管理責任者は、個人情報の保護についての統括的責任と権限を有する責任者であって、当生協代表者から選任された当生協情報処理責任者が就任して「情報セキュリティ管理責任者」を兼務し、次項に定める業務を行わなければならない。
2 個人情報管理責任者は、各部及び各事業所に1名以上の個人情報管理者を選任し、自己に代わり必要な個人情報保護についての業務を行わせ、これを管理・監督しなければならない。
3 個人情報管理者は部及び事業所に所属する者のなかから、必要な人数の個人情報取扱担当者を選任しなければならない。
(個人情報保護監査責任者)
第22条 個人情報保護監査責任者は、個人情報管理責任者から独立した公平かつ客観的な立場にあり、監査の実施及び報告を行う権限を有し、代表者が選任する。ただし、生協外の第三者に監査業務を委託することを妨げない。
2 個人情報保護監査責任者は、年1回、個人情報保護計画に従い、監査を実施し、監査結果を理事会に報告しなければならない。
(個人情報保護苦情・相談窓口の設置)
第23条 個人情報管理責任者は、個人情報及び個人情報保護計画に関しての苦情・相談を受け付けて対応する窓口を常設し、この連絡先を情報主体に告知しなければならない。
第7章 個人情報管理責任者の職務
(個人情報の特定とリスク調査)
第24条 個人情報管理責任者は、当生協が保有するすべての個人情報を特定し、危機を調査・分析するための手順・方法を確立し、維持しなければならない。
2 個人情報管理責任者は、各事業所に前項の手順に従って各事業所における個人情報を特定して、特定した個人情報に関する危機(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えい等)を調査・分析の上、適切な保護措置を講じない場合の影響を認識し、必要な対策を策定し、維持しなければならない。
(法令及びその他の規範)
第25条 個人情報管理責任者は、個人情報に関する法令及びその他の規範を特定し、参照できる手順を確立し、維持しなければならない。
(個人情報保護計画の策定)
第26条 個人情報管理責任者は、個人情報管理者の協力を得て個人情報を保護するために必要な個人情報保護計画を年1回立案して文書化し、かつ実施、評価、改善をしなければならない。
2 個人情報保護計画には次の事項を入れなければならない。
(1) 個人情報の特定と危機対策
@ 個人情報を記録したシステム、媒体の特定
A 個人情報に対する危機の識別
B 危機の調査・分析に基づく対応策の策定、実施、評価、改善
(2) 個人情報保護のための責任者、管理者、担当者の業務と業務方法
@ 個人情報管理責任者
A 個人情報管理者
B 個人情報取扱担当者
C 個人情報保護苦情及び相談窓口
D 担当者
E 個人情報保護監査責任者
(3) 研修実施計画
@ 個人情報管理者、個人情報取扱担当者、苦情及び相談窓口、個人情報保護監査責任者に対する研修実施計画(研修項目、時間割、講師、日程、予算)
A 一般社員に対する研修実施計画(研修項目、時間割、講師、日程、予算)
(4) 委託先に対する監査計画及び必要な場合の研修計画
@ 監査体制、日程、監査方法、監査報告様式
(本規定等の見直し)
第27条 個人情報管理責任者は、監査報告書及びその他の経営環境等に照らして、適切な個人情報の保護を維持するために、少なくとも年1回本規定及び本規定に基づく個人情報保護計画を見直し、理事会の承認を得なければならない。
(文書の管理)
第28条 個人情報管理責任者は、この規程に基づき作成される文書(電磁的記録を含む)を管理しなければならない。
(研修実施)
第29条 個人情報管理責任者は、当生協従業者に対して、個人情報保護計画に基づき次のような研修を行い、評価しなければならない。
(1) 個人情報保護法の内容
(2) 個人情報保護方針、本規定の内容
(3) 個人情報保護計画の内容と役割分担
(4) セキュリティ教育
2 個人情報管理責任者は、個人情報管理者に対して下記のような研修を行い、評価しなければならない。
(1) 個人情報保護法の内容
(2) 個人情報保護方針、本規定の内容と個人情報管理者の役割
(3) 個人情報保護計画の内容と個人情報管理者の役割
(4) セキュリティ管理教育
(5) 個人情報の預託先の調査と監査
(6) 個人情報の漏えい事故等が発生した場合の対応
3 個人情報管理責任者は、第1項、前項の研修を効果的に行い、個人情報の重要性を自覚させる手順・方法を確立し維持しなければならない。
第8章 監査
(監査計画)
第30条 個人情報保護監査責任者は、年1回個人情報保護のための監査計画を立案し、理事会の承認を得なければならない。
2 監査計画には次の事項を入れなければならない。
(1) 監査体制
(2) 日程
(3) 監査方法
(4) 監査報告様式
(監査の実施)
第31条 個人情報保護監査責任者は、本規定及び個人情報保護計画が、日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項」(JIS Q 15001)の要求事項と合致していること、及びその運用状況を監査しなければならない。
2 個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、当生協理事会に報告しなければならない。
3 個人情報管理責任者は、監査報告書を管理し、保管しなければならない。
第9章 廃棄
(個人情報の廃棄)
第32条 個人情報を廃棄する場合は、シュレッダーにかけて読み取り不能にした上で、廃棄するか必要な場合は信頼できる廃棄物処理業者に廃棄を委託する。
2 個人情報を記録したコンピュータ、記憶媒体を廃棄するときは、特別のソフトウェアを使用して個人情報を完全に消去するか記憶媒体を物理的に破壊してから廃棄する。
3 個人情報を記録したコンピュータを他に転用するときは、特別のソフトウェアを使用して個人情報を完全に消去してから転用する。
4 個人情報の廃棄作業は個人情報管理者または個人情報取扱担当者が行う。
5 廃棄の基準について、情報主体に告知しなければならない。
第10章 罰則
(罰則)
第33条 当生協は、本規程に違反した従業員に対して就業規則に基づき懲戒を行わなければならない。
第11章 規程の改廃
(規定の改廃)
第34条 この規程の改廃は、当生協理事会がおこなう。
附則
(施行期日)
この規程は、平成17年4月1日より施行する。 |
