個人情報取扱規程
(目的)
第1条 本規程は、当社(当社の役員、従業者を含む。以下同じ。)が、「法」(第2条第18号に定義する法をいう。)、「政令」(第2条第19号に定義する政令をいう。)、「規則」(第2条第20号に定義する規則をいう。)及び「ガイドライン」(第2条第21号に規定するガイドラインをいう。)に基づき、当社の取り扱う個人データ(第2条第6号に定義する個人データをいう。)の適正な取扱いを確保するために定めるものである。
第2条 この規程において、次に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
一 「個人情報」とは、生存する個人に関する情報であって、次のいずれかに該当するものをいう。
① 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
② 個人識別符号が含まれるもの
二 「個人識別符号」とは、次のいずれかに該当する文字、番号、記号その他の符号のうち、法(法が委任する政令及び規則を含む。)において定めるものをいう。
① 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
② 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
三 「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法(法が委任する政令及び規則を含む。)で定める記述等が含まれる個人情報をいう。
四 「個人情報データベース等」とは、(ⅰ)特定の個人情報をコンピュータ等を用いて検索できるように体系的に構成したもの及び(ⅱ)これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいい、利用方法からみて個人の権利利益を害するおそれが少ないものとして次のいずれにも該当するものを除く。
① 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
② 不特定かつ多数の者により随時に購入することができ、又はできたものであること。
③ 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
五 「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
① 国の機関
② 地方公共団体
③ 独立行政法人等(独立行政法人通則法第2条第1項に規定する独立行政法人その他の法に定める独立行政法人等をいう。)
④ 地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。)
六 「個人データ」とは、個人情報のうち、個人情報データベース等を構成するものをいう。
七 「保有個人データ」とは、当社が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことができる権限を有する個人データであって、以下のものを除く。
① 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
② 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
③ 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
④ 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
八 「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報(法に規定する仮名加工情報をいう。)及び匿名加工情報(法に規定する匿名加工情報をいう。)のいずれにも該当しないものをいう。
九 「個人関連情報データベース等」とは、①「個人関連情報」を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したもの、または、②これに含まれる「個人関連情報」を一定の規則に従って整理することにより特定の個人関連情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものをいう。
十 「個人関連情報取扱事業者」とは、「個人関連情報データベース等」を事業の用に供している者で、国、地方公共団体、独立行政法人等、地方独立行政法人を除いたものをいう。
十一 個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
十二 「従業者」とは、当社の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。
十三 「事務取扱責任者」とは、当社の個人データの管理に関する責任を担う者をいう。
十四 「部門責任者」とは、各部門における個人データの管理に関する責任を負う者をいう。
十五 「事務取扱担当者」とは、当社内において、個人データを取り扱う事務に従事する者をいう。
十六 「管理区域」とは、個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域をいう。
十七 「取扱区域」とは、個人データを取り扱う事務を実施する区域をいう。
十八 「法」とは、個人情報の保護に関する法律(平成15年法律第57号)をいう。
十九 「政令」とは、個人情報の保護に関する法律施行令(平成15年政令第507号)をいう。
二十 「規則」とは、個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)をいう。
二十一 「ガイドライン」とは、「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年個人情報保護委員会告示第6号)、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成28年個人情報保護委員会告示第7号)及び「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成28年個人情報保護委員会告示第8号)を総称したものをいう。
第2章 安全管理措置
第1節 組織的安全管理措置
(事務取扱責任者等)
第3条 【総務部】を当社における個人データの取扱いに関する責任部署とする。
2 当社に、事務取扱責任者1人を置く。
3 事務取扱責任者には、【総務部長】をもってこれに充てるものとする。
4 部門責任者には、個人データを取り扱う各部における部長がその任にあたる。
(事務取扱責任者等の任務)
第4条 事務取扱責任者は、当社における個人情報の取得及び個人データの保護管理に関する業務を統括するとともに、本規程に定められた事項を理解し、遵守するとともに、事務取扱担当者にこれを理解させ、遵守させるための教育訓練、安全対策の実施並びに周知徹底等の措置を実施する責任を負う。
2 事務取扱責任者は、次の業務を所掌する。
① 本規程及び委託先の選定基準の承認及び周知
② 個人データの安全管理に関する教育・研修の企画・実施
③ 個人データの利用申請の承認及び記録等の管理
④ 管理区域及び取扱区域の設定
⑤ 個人データの取扱区分及び権限についての設定及び変更の管理
⑥ 個人データの取扱状況の把握
⑦ 委託先における個人データの取扱状況等の監督
⑧ その他当社における個人データの安全管理に関すること
3 部門責任者である各部門における部長は、当該門における個人情報の取得及び個人データを適切に管理する任に当たり、個人データの適切な管理のために必要な措置を講じ、個人データの安全確保に努める責任を負う。
4 事務取扱責任者は、法令遵守の観点から、各部門の部門責任者に対して指導、助言する。
(事務取扱担当者等の監督)
第5条 事務取扱責任者は、個人データが本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。
2 各部門の部門責任者は、当該各部門の事務取扱担当者に対して必要かつ適切な監督を行い、事務取扱責任者に対して必要な報告を行う。
(事務取扱担当者の責務)
第6条 事務取扱担当者は、当社の個人データの取扱い又は委託処理等、個人データを取扱う業務に従事する際、法、政令及び規則並びにその他の関連法令、ガイドライン、本規程及びその他の社内規程並びに事務取扱責任者の指示した事項に従い、個人データの保護に十分な注意を払ってその業務を行うものとする。
2 事務取扱担当者は、個人情報の漏えい等、法、政令及び規則又はその他の関連法令、ガイドライン、本規程又はその他の社内規程に違反している事実又は兆候を把握した場合、速やかに所属部門の部門責任者又は事務取扱責任者に報告するものとする。所属部門の事務取扱担当者から、当該報告を受けた部門責任者は速やかに事務取扱責任者に報告するものとする。
(本規程に基づく運用状況の記録)
第7条 事務取扱担当者は、本規程に基づく運用状況を確認するため、以下の項目につき、項目①・②・④については、「個人データの運用状況記録票」(別紙1)により、項目③については、「個人データ持ち運び記録簿」(別紙5)により記録するものとする。項目⑤については、委託先から受領した証明書等により、項目⑥については別途情報システムのログにより、確認するものとする。
① 個人情報の取得及び個人情報データベース等ファイルへの入力状況
② 個人情報データベース等の利用・出力状況の記録
③ 個人データが記載又は記録された書類・媒体等の持ち運び等の状況
④ 個人情報データベース等の削除・廃棄記録
⑤ 削除・廃棄を委託した場合、これを証明する記録等
⑥ 個人情報データベース等を情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)
事務取扱担当者は、本規程に基づく運用状況を確認するため、システム上で下記の事項をログとして記録する。(ただし、項目⑤については、委託先から受領した証明書等により確認するものとする。)
① 個人情報の取得及び個人情報データベース等への入力状況
② 個人情報データベース等の利用・出力状況の記録
③ 個人データが記載又は記録された書類・媒体等の持ち運び等の状況
④ 個人データ等の削除・廃棄記録
⑤ 削除・廃棄を委託した場合、これを証明する記録等
⑥ 個人情報データベース等を情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)
(取扱状況の確認手段)
第8条 事務取扱担当者は、個人情報データベース等の取扱状況を確認するための手段として、「個人情報管理台帳」(別紙2)に以下の事項を記録するものとする。なお、個人情報管理台帳には、個人データ自体は記載しないものとする。
① 個人情報データベース等の種類、名称
② 個人データの範囲
③ 利用目的
④ 記録媒体
⑤ 保管場所(管理区域)
⑥ 責任者
⑦ 取扱部署
⑧ 事務取扱担当者(アクセス権者)
⑨ 保存期間
⑩ 削除・廃棄方法
(情報漏えい事態への対応)
第9条 個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の事態が発生した場合の対応は、法に基づき、別途定める「情報漏えい事案等対応手続」に定めるところによる。
(苦情への対応)
第10条 事務取扱担当者は、法、ガイドライン又は本規程に関し、本人から苦情の申出を受けた場合には、その旨を部門責任者に報告する。報告を受けた部門責任者は、適切に対応するものとする。
(取扱状況の確認並びに安全管理措置の見直し)
第11条 事務取扱責任者は、【1年に1回以上の頻度で】又は臨時に第7条に規定する個人データの運用状況の記録及び第8条に規定する個人情報データベース等の取扱状況の確認を実施しなければならない。
2 事務取扱責任者は、前項の確認の結果及び次条の監査の結果に基づき、安全管理措置の評価、見直し及び改善に取り組むものとする。
(監査)
第12条 【監査部長】は、別紙3に定めるモニタリングシートに基づき、当社の個人データの適正な取扱いその他法令及び本規程の遵守状況について検証し、その改善を事務取扱責任者及び各部の部門責任者に促す。
【2 外部監査人は、当社の個人データの適正な取扱いその他法令及び本規程の遵守状況について定期的に監査する。】
第2節 人的安全管理措置
(教育・研修)
第13条 事務取扱責任者は、本規程に定められた事項を理解し、遵守するとともに、従業者に本規程を遵守させるための教育訓練を企画・運営する責任を負う。
2 従業者は、事務取扱責任者が主催する本規程を遵守させるための教育を受けなければならない。研修の内容及びスケジュールは、事業年度毎に事務取扱責任者が定める。
3 当社は、個人データについての秘密保持に関する事項を就業規則に盛り込むものとする。
第3節 物理的安全管理措置
(個人データを取り扱う区域の管理)
第14条 当社は管理区域及び取扱区域を明確にし、それぞれの区域に対し、次の各号に従い以下の措置を講じる。
① 管理区域
入退室管理及び管理区域へ持ち込む機器及び電子媒体等の制限を行うものとする。なお、入退室管理については、【各部の執務室の入口への】ICカードシステムの設置による。
【なお、入退室管理については、別紙4に定める入退室管理簿への記録による。】
【なお、入退室管理については、別紙4に定める鍵貸出管理台帳への記録による。】
② 取扱区域
可能な限り壁又は間仕切り等の設置をしたり、事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等をするなど座席配置を工夫等をすることにより、権限を有しない者による個人データの閲覧等を防止する。
(機器及び電子媒体等の盗難等の防止)
第15条 当社は管理区域及び取扱区域における個人データを取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。
① 個人データを取扱う機器、電子媒体又は書類等を、施錠できるキャビネット・書庫等に保管する。
② 個人データを取扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。
当社において個人データを取り扱う情報システムは、外部ネットワークから遮断された専用のノートパソコンに限り、業務において使用しない際には、施錠できるキャビネットに保管する。
(電子媒体等を持ち運ぶ場合の漏えい等の防止)
第16条 当社は個人データが記録された電子媒体又は書類等の持ち運び(個人データを、管理区域又は取扱区域の外へ移動させることをいい、事業所内での移動等も含まれる。)は、次に掲げる場合を除き禁止する。なお、「持ち運ぶ」とは、個人データを、管理区域又は取扱区域の外へ移動させること又は当該区域の外から当該区域へ移動させることをいい、事業所内での移動等であっても持ち運びに該当するものとする。
① 個人データに係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
② 利用目的の範囲で個人データを利用する場合
2 前項により個人データが記録された電子媒体又は書類等の持ち運びを行う場合には、「個人データ持ち運び記録簿」(別紙5)に記録するとともに、以下の安全策を講じるものとする。
(1)個人データが記録された電子媒体を安全に持ち運ぶ方法
① 持ち運びデータの暗号化
② 持ち運びデータのパスワードによる保護
③ 施錠できる搬送容器の使用
④ 追跡可能な移送手段の利用
(2)個人データが記載された書類等を安全に持ち運ぶ方法
① 封緘、目隠しシールの貼付(各部署の事務取扱担当者から他の部署の事務取扱担当者に個人データが記載された書類等を移送する場合を含む。)
(個人データの削除及び機器、電子媒体等の廃棄)
第17条 個人データの廃棄・削除段階における記録媒体等の管理は次のとおりとする。
① 事務取扱担当者は、個人データが記録された書類等を廃棄する場合、シュレッダー等による記載内容が復元不能までの裁断、自社又は外部の焼却場での焼却・溶解等の復元不可能な手段を用いるものとする。
② 事務取扱担当者は、個人データが記録された機器及び電子媒体等を廃棄する場合、専用データ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を用いるものとする。
③ 事務取扱担当者は、個人情報データベース等中の個人データを削除する場合、容易に復元できない手段を用いるものとする。
④ 個人データを取り扱う情報システムにおいては、法令及び当社が別途定める保存期間経過後の毎年度末に個人データを削除するよう情報システムを構築するものとする。
⑤ 個人データが記載された書類等については、当該関連する書類等について当社が別途定める保存期間経過後の毎年度末に廃棄をするものとする。
2 事務取扱担当者は、個人データ若しくは個人情報データベース等を削除した場合、又は電子媒体等を廃棄した場合には、別紙1の「個人データの運用状況記録票」に記録するものとする。削除・廃棄の記録としては、削除、廃棄日、対象となる書類、個人情報データベース等、廃棄方法を記録するものとし、当該個人データ自体は含めないものとする。
第4節 技術的安全管理措置
(アクセス制御)
第18条 個人データへのアクセス制御は以下のとおりとする。
① 個人情報データベース等を取り扱うことができる情報システムを限定する。
② 個人データと紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
③ ユーザーIDに付与するアクセス権により、個人情報データベース等を取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
(アクセス者の識別と認証)
第19条 個人データを取り扱う情報システムは、ユーザーID、パスワード、磁気・ICカード等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づく認証するものとする。
(外部からの不正アクセス等の防止)
第20条 当社は、以下の各方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。【なお、当事務所において個人データを取り扱う情報システムは、外部ネットワークから遮断された専用のノートパソコンに限り、業務において使用しない際には、施錠できるキャビネットに保管する。】
① 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する方法。
② 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する方法。
③ 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する方法。
④ 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする方法。
⑤ ログ等の分析を定期的に行い、不正アクセス等を検知する方法。
(情報システムの使用に伴う漏えい等の防止)
第21条 当社は、情報システムの使用に伴う個人データの漏えい等を防止するために以下の措置を講じ、適切に運用するものとする。
① 情報システムの設計時に安全性を確保し、継続的に見直す(情報システムのぜい弱性を突いた攻撃への対策を講じることも含む。)。
② 個人データを含む通信の経路又は内容を暗号化する。
③ 移送する個人データについて、パスワード等による保護を行う。
第3章 個人情報の取扱い
第1節 個人情報の取得・保有等
(利用目的の特定)
第22条 当社は、個人情報の保有に当たっては、業務を遂行するため必要な場合に限り、かつ、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 当社は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的による制限)
第23条 当社は、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を保有してはならない。
2 当社は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(利用目的の通知等)
第24条 当社は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表するものとする。
2 前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 当社は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
四 取得の状況からみて利用目的が明らかであると認められる場合
【学術研究機関等(大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者)である場合/学術研究機関等に個人データを提供する場合には令和3年改正法の施行後に以下の例外を追加する
五 【学術研究機関等である場合】当該個人情報を学術研究の用に供する目的(以下「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
六 【個人データの提供先が学術研究機関等である場合】学術研究機関等に個人データを提供する場合であって、当該学術研究機関等(大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。以下同じ。)が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利履歴を不当に侵害するおそれがある場合を除く。)】
(不適正な利用の禁止)
第25条 当社は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないものとする。
(適正な取得)
第26条 当社は、偽りその他不正な手段により個人情報を取得しないものとする。
2 当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
【個人情報取扱事業者が学術研究機関等又は学術研究機関から要配慮個人情報を取得する場合には以下の規定を追加】
〇 【学術研究機関等である場合】要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
〇 【学術研究機関等から要配慮個人情報を取得する場合】学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)】
五 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関、報道機関、著述を業として行う者、宗教団体若しくは政治団体、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国における学術研究機関、報道機関、著述を業として行う者、宗教団体若しくは政治団体に相当する者により法において認められる範囲内で公開されている場合
六 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
七 法第23条第5項各号において、個人データである要配慮個人情報の提供を受けるとき
(データ内容の正確性の確保等)
第27条 当社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
第2節 第三者提供の制限
(第三者提供の制限)
第28条 当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
【個人情報取扱事業者が学術研究機関等である場合又は提供先の第三者が学術研究機関等である場合は以下の規定を追加。】
五 【個人情報取扱事業者が学術研究機関等である場合】当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)
六 【個人情報取扱事業者が学術研究機関等である場合】当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)】
七 【提供先の第三者が学術研究機関等である場合】当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
2 当社は、第三者に提供される個人データ(要配慮個人情報、第26条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者から法に基づき本項の方法により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、規則に定める所定の方法により、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 当社の名称、住所及び代表者の氏名
二 第三者への提供を利用目的とすること
三 第三者に提供される個人データの項目
四 第三者に提供される個人データの取得方法
五 第三者への提供の方法
六 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
七 本人の求めを受け付ける方法
八 第三者に提供される個人データの更新の方法
九 当該届出に係る個人データの第三者への提供を開始する予定日
3 当社は、前項第1号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第3号から第5号まで、第7号乃至第9号に掲げる事項を変更しようとするときはあらかじめ、その旨について、規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4 次に掲げる場合において、当該個人データの提供を受ける者は、第1項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
5 当社は、前項第3号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する者の利用目的又は当該責任を有する者を変更しようとするときあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(外国にある第三者への提供の制限)
第29条 前条にかかわらず、当社が外国(本邦の域外にある国又は地域をいう。以下同じ。)にある第三者に個人データを提供する場合は、前条第1項各号に該当する場合を除き、あらかじめ当該外国の第三者への提供を認める旨の本人同意を得なければならない。この場合、あらかじめ本人に対し、①当該外国の名称、②適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報、及び③当該第三者が講ずる個人情報の保護のための措置に関する情報を提供しなければならない。
2 前項にかかわらず、当社が個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として規則で定める外国にある第三者に個人データを提供する場合には、前条を適用するものとする。
3 第1項及び前項にかかわらず、外国にある事業者が適切かつ合理的な方法により、法第4章第1節【第2節】の規定の趣旨に沿った措置(以下「相当措置」という。)を講じている場合であって、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供することとされている場合には、前条を適用するものとする。
4 前項における「適切かつ合理的な方法」、「相当措置」、「第三者による相当措置の継続的な実施を確保するために必要な措置」、及び「本人の求めに応じて当該必要な措置に関する情報」は、別紙6に規定するところに従う。
(第三者提供をする際の記録)
第30条 当社は、個人データを第三者に提供したときは、第三者提供に係る記録を作成しなければならない。ただし、当該個人データの提供が第28条第1項各号に該当する場合又は同条4項各号のいずれかに該当する場合は、この限りでない。
2 第三者に個人データの提供をする場合の記録の作成方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法によるものとする。
3 前項の記録は、次項又は第5項に該当する場合を除き、第三者に個人データの提供をした都度、速やかに作成しなければならない。
4 第2項の記録は、当該第三者に対し継続的に若しくは反復して個人データの提供(第28条第2項の規定により個人データの提供を受けた場合を除く。)をしたとき、又は当該第三者に対し継続的に若しくは反復して個人データを提供することが確実であると見込まれるときの記録は、一括して作成することができる。
5 第2項の記録は、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者から個人データの提供を受けたときの記録に代えることができる。
6 第28条第2項から第4項までに基づき個人データを第三者に提供した場合は以下の事項を記録するものとする。
① 当該個人データを提供した年月日
② 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
④ 当該個人データの項目
7 第28条第1項又は前条に基づく本人の同意を得て個人データを第三者に提供した場合は以下の事項を記録するものとする。
① 本人の同意を得ている旨
② 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
④ 当該個人データの項目
8 第6項及び前項の記載事項のうち、第2項から第5項までの方法により作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
9 当社は、第6項から前項までの規定により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。
場合 |
保存期間 |
① 本人を当事者とする契約書等に基づく個人データの提供の場合 |
最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 |
② 個人データを継続的に若しくは反復して提供する場合 |
最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間 |
③ 上記①又は②以外の場合 |
当該記録を作成した日から3年間 |
(第三者提供を受ける際の確認及び記録)
第31条 当社は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第28条第1項各号に該当する場合又は同条4項各号のいずれかに該当する場合は、この限りでない。
① 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
② 当該第三者による当該個人データの取得の経緯
2 当社が、第三者から個人データの提供を受ける際の確認を行う方法は、確認を行う事項の区分に応じて、それぞれ次のとおりとする。
場合 |
方法 |
① 前項1号に該当する事項 |
個人データの提供を受ける第三者から申告を受ける方法 その他の適切な方法 |
② 前項2号に該当する事項 |
個人データの提供を受ける第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法 |
3 前項にかかわらず、第三者から他の個人データの提供を受けるに際して前項の方法による確認(当該確認について記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う場合は、当該事項の内容と当該提供に係る確認事項の内容が同一であることの確認を行う方法によるものとする。
4 当社は、前3項に基づく確認を行ったときは、以下の区分に応じて以下の事項を記録しなければならない。
一 第28条第2項から第4項までの方法により個人データの提供を受けた場合
① 個人データの提供を受けた年月日
② 当該第三者の氏名又は名称
③ 当該第三者の住所
④ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
⑤ 当該第三者による当該個人データの取得の経緯
⑥ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
⑦ 当該個人データの項目
⑧ 法に基づき個人情報保護委員会による公表がされている旨
二 第28条第1項又は第29条第1項に基づく本人の同意を得て個人データの提供を受けた場合
① 本人の同意を得ている旨
② 当該第三者の氏名又は名称
③ 当該第三者の住所
④ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
⑤ 当該第三者による当該個人データの取得の経緯
⑥ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
⑦ 当該個人データの項目
三 個人情報取扱事業者ではない第三者から提供を受けた場合
① 当該第三者の氏名又は名称
② 当該第三者の住所
③ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
④ 当該第三者による当該個人データの取得の経緯
⑤ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
⑥ 当該個人データの項目
5 第1項各号の記載事項のうち、既に作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
6 第4項の記録は、次項又は第8項に該当する場合を除き、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。
7 第4項の記録は、当該第三者から継続的に若しくは反復して個人データの提供(第28条第2項の規定により個人データの提供を受けた場合を除く。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
8 第4項の記録は、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者から個人データの提供を受けたときの記録に代えることができる。
9 当社は、第4項又第5項により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。
場合 |
保存期間 |
① 本人を当事者とする契約書等に基づく個人データの提供の場合 |
最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 |
② 個人データを継続的に若しくは反復して提供する場合 |
最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間 |
③ 上記①又は②以外の場合 |
当該記録を作成した日から3年間 |
(個人関連情報取扱事業者から個人関連情報を個人データとして取得することが想定される場合)
第32条 当社は、個人関連情報取扱事業者から提供を受ける個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定される場合は、第28条第1項各号に掲げる場合を除き、当該個人データに関して識別される本人から、当該個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の同意を取得するものとする。
2 当社は、偽りその他不正の手段により、個人関連情報を個人データとして取得してはならない。
3 第1項の本人の同意の取得は、本人から同意する旨を示した書面や電子メールを受領する方法、確認欄へのチェックを求める方法によるものとする。ウェブサイト上で同意を取得する場合は、単にウェブサイト上に本人に示すべき事項を記載するのみでは足りず、それらの事項を示した上でウェブサイト上のボタンのクリックを求める方法等によるものとする。
4 当社は、個人関連情報の提供元である個人関連情報取扱事業者から第1項の同意を取得したことの確認が求められた場合は、口頭、書面その他適切な方法で申告するものとする。この場合、当社は、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならないものとする。
5 当社は、個人関連情報の提供を受けて個人データとして取得する際は、「当該第三者(提供元の個人関連情報取扱事業者)の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名」を確認しなければならない。確認方法は、提供元の個人関連情報取扱事業者から申告を受ける方法その他の適切な方法によるものとする。既に当該確認方法により確認を行い、次項に規定する方法により作成し、かつ、その時点において記録している記録に記録された事項と同一であるものについては、当該事項の確認を省略することができる。
6 個人情報取扱事業者である提供先の第三者は、第1項の規定による個人関連情報の提供(第28条第1項各号に該当する場合を除く。)を受けて個人データとして取得する場合は、以下のとおり記録するものとする。
(1)記録をする媒体
個人情報取扱事業者である提供先の第三者は、記録を、文書、電磁的記録又はマイクロフィルムを用いて作成しなければならない。
(2)記録を作成する方法
ア.原則
原則として、個人関連情報の提供を受けて個人データとして取得する都度、速やかに、記録を作成しなければならない。
イ.一括して記録を作成する場合
一定の期間内に特定の事業者から継続的に又は反復して個人関連情報の提供を受けて個人データとして取得する場合は、個々の提供に係る記録を作成する代わりに、一括して記録を作成することができる。
ウ.契約書等の代替手段による方法
本人に対する物品又は役務の提供に係る契約を締結し、かかる契約の履行に伴って、当該本人に係る個人関連情報の提供を受けて個人データとして取得する場合は、当該契約書その他の書面をもって記録とすることができる。
(3)記録事項
① 本人の同意が得られている旨
② 当該第三者の氏名又は名称及び住所並びに法人の場合は、その代表者の氏名
③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
④ 当該個人関連情報の項目
(4)記録事項の省略
上記(2)の方法により作成した記録(現に保存している場合に限る。)に記録された事項と内容が同一であるものについては、当該事項の記録を省略することができる。
7 前項により作成した記録の保存期間は以下のとおりとする。
場合 |
記録の保存期間 |
①本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合(契約書等の代替手段の方法により記録を作成した場合) |
最後に当該記録に係る個人データの提供を受けた日から起算して1年を経過する日までの間 |
②当該第三者から継続的に若しくは反復して個人データの提供(オプトアウトの方法による提供を除く。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれる場合(一括して記録を作成する方法により記録を作成した場合) |
最後に当該記録に係る個人データの提供を受けた日から起算して3年を経過する日までの間 |
上記①・②以外の場合 |
3年 |
第4章 保有個人データの開示等の請求等及び苦情処理
(個人情報保護窓口の設置等)
第33条 保有個人データの開示請求、訂正請求、利用停止請求及びその他相談等に対応する窓口として、個人情報保護相談窓口(以下「相談窓口」という。)を【総務部】に置き、当社における個人情報の取扱い等に係る相談等の受付及び事務を行うものとする。
2 相談窓口の住所、電話番号、受付時間は以下のとおりとする。
① 住所
個人情報保護相談窓口
② 電話番号 〇〇-〇〇〇〇-〇〇〇〇
③ 受付時間 月曜~金曜(祝日、年末年始は除く)
9時30分~12時、13時~16時30分
(保有個人データに関する事項の公表等)
第34条 当社は、保有個人データに関し、次に掲げる事項について、「個人情報保護基本方針」と一体としてインターネットのホームページでの常時掲載を行うこと(第3号については、「保有個人データの開示等の請求手続」としてホームページに掲載する。)、又は事務所の窓口等での掲示・備付け等を行うこととする。
一 当社の名称、住所及び代表者の氏名
二 全ての保有個人データの利用目的(第24条第4項第1号から第3号までに該当する場合を除く。)
三 利用通知の求め(次項)又は開示請求(次条第1項、同条第5項において準用する場合を含む。)、訂正等の請求(第36条1項)、利用停止等の請求(第36条第1項、第2項)に応じる手続(手数料の額を含む。)
四 保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
五 当社が行う保有個人データの取扱いに関する苦情の申出先
【六 当社が加盟する認定個人情報保護団体の名称及び苦情の解決の申出先】
2 当社は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知するものとする。ただし、次の各号のいずれかに該当する場合は、この限りでない。
一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
二 第24条第4項第1号から第3号までに該当する場合
3 当社は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
(保有個人データの開示)
第35条 本人からの当該本人が識別される保有個人データ開示の請求の方法は、①電磁的記録の提供による方法、②書面の交付による方法、③その他当社が定める方法とする。
2 当社は、本人から、当該本人が識別される保有個人データの開示に係る請求を受けたときは、当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示するものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 他の法令に違反することとなる場合
3 当社は、前項の規定に基づき求められた保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、又は第1項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知するものとする。この場合、当社は本人に対して、当該通知においてその理由を説明するものとする。
4 他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は、適用しない。
5 第1項から第3項までの規定は、当該本人が識別される個人データに係る第30条第1項及び第31条第4項の記録(次の各号に掲げるものを除く。以下「第三者提供記録」という。)について準用する。
一 当該記録の存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
二 当該記録の存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
三 当該記録の存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
四 当該記録の存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
(保有個人データの訂正等)
第36条 当社は、当該本人が識別される保有個人データの内容が事実でないことを理由に当該本人から訂正、追加又は削除(以下「訂正等」という。)に係る請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行うものとする。
2 当社は、前項の請求に係る保有個人データの内容の全部又は一部について訂正等を行ったとき、又は訂正等を行わない旨を決定したときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知するものとする。この場合、当社は本人に対して、当該通知においてその理由を説明するものとする。
(保有個人データの利用停止等)
第37条 当社は、本人から、当該本人が識別される保有個人データが、第23条の規定(利用目的による制限)に違反して取得されているという理由、第25条の規定(不適正な利用の禁止)、第26条(適正な取得)の規定に違反して取り扱われたものであるという理由によって、当該保有個人データの利用の停止、消去(以下、本条において「利用停止等」という。)に係る請求を受けた場合であって、利用停止等に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、保有個人データの利用停止等を行うものとする。ただし、利用停止等を行うことに多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、当該本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではない。
2 当社は、本人から、当該本人が識別される保有個人データが第28条第1項又は第29条の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止に係る請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの提供を停止するものとする。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3 当社は、第一項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。この場合、当社は本人に対して、当該通知においてその理由を説明するものとする。
4 ①当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、②当該が識別される保有個人データに係る第9条(情報漏えい事態への対応)に規定する事態のうち、法の規定に違反する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合であって、本人から当該保有個人データの利用停止等又は第三者への提供の停止に係る請求があった場合、これに応じるものとする。
5 当社は、本人から前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行うものとする。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
(開示等の請求等に応じる手続)
第38条 当社は、利用通知の求め又は開示請求(第35条)、訂正等の請求(第36条1項)、利用停止等の請求(第37条第1項、第2項、第4項)(以下「開示等の請求等」という。)に関して、以下の手続のとおり応ずるものとする。
一 相談窓口への郵送
本人に対して、以下のものを相談窓口宛に郵送することを求める。
① 「保有個人データ開示等請求書」(別紙7)
② 本人確認書類
③ 手数料等相当分の郵便切手
二 本人確認手続・本人確認書類
本人確認は以下の本人確認書類の写しを確認することによる。
① 運転免許証、パスポート、在留カード、特別永住者証明書、個人番号カード(個人番号の記載された面は送付しないことを求める。)等の官公庁が発行した顔写真付き本人確認書類の写し・・・1点の送付を求める
② 健康保険被保険者証、年金手帳等の官公庁が発行した顔写真のない本人確認書類の写し・・・2点の送付を求める
三 手数料等
本人から開示等の請求等があった場合、1つの請求につき、次の手数料等を郵便切手により収受する(複数の請求が同時にある場合はその合計金額に相当する郵便切手を収受する。)。なお、開示等の請求等に応じられない場合も手数料等は返金しないものとする。郵便制度が変更された場合、下記の手数料等を変更するものとする。
① 開示請求(郵便による回答)
(ア)事務手数料(1件)……【 】円
(イ)郵便料金 ……84円
(ウ)簡易書留料金 ……320円
合計【 】円
② 利用目的の通知、訂正等、利用停止等請求(郵便による回答)
(ア)郵便料金 ……84円
(イ)簡易書留料金 ……320円
合計404円
四 代理人による開示等の請求等の場合
開示等の請求等をする者が、未成年、成年被後見人等の本人の法定代理人、本人から委任を受けた本人が指定した任意代理人である場合、第2号に掲げる書類のほか、次の書類を郵送させるものとする。
① 代理権を確認するための書類
ア 法定代理人の場合
(ア)未成年の場合
本人の戸籍抄本又は扶養家族が記入された保険証(写)
(イ)成年被後見人の場合
後見登記等に関する法律第10条に規定する登記証明事項
イ 任意代理人の場合
委任状(別紙8)及び本人の印鑑登録証明書
② 代理人の本人確認をするための本人確認書類
代理人について第2号に掲げる本人確認書類を求める。
2 当社は、開示等の請求等を受け付けたときは、当該受け付けをした日から起算して1週間以内に、請求に係る可否について決定する。
3 当社は、開示等の請求等のあった保有個人データの利用目的の通知をする旨決定したとき又は全部又はその一部を除いた部分について開示、訂正等若しくは利用停止等若しくは第三者提供の停止をする旨決定したときは、請求者である本人又は代理人に対し、「保有個人データ開示等決定通知書」(別紙9)の送付により通知する。
4 当社は、開示等の請求等のあった保有個人データの利用目的の通知をしない旨決定したとき又は全部について、開示、訂正等若しくは利用停止等若しくは第三者提供の停止をしない旨決定したときは、請求者である本人又は代理人に対し、「保有個人データ不開示等決定通知書」(別紙10)の送付により通知する。
5 当社は、第3項の「保有個人データ開示等決定通知書」(別紙9)及び前項の「保有個人データ不開示等決定通知書」(別紙10)が請求者である本人又は代理人に対して2週間以内に送付するよう努めるものとする。【これらの通知が諸事情により、請求者である本人又は代理人に2週間以内に送付することが困難である場合は、事前に当該請求者である本人又は代理人に連絡をするよう努めるものとする。】
(苦情処理)
第39条 当社は、当社における保有個人データの取扱いに関する苦情の適切かつ迅速な処理に努めるものとする。
2 苦情処理に関する当社の体制整備は、第10条に定めるところに従う。
第5章 個人データの委託の取扱い
(委託先における安全管理措置)
第40条 当社は、個人データの全部又は一部の委託する場合には、当社自らが果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう、必要かつ適切な監督を行うものとする。
2 前項の「必要かつ適切な監督」には次に掲げる事項が含まれる。
(1)委託先の適切な選定
(2)委託先に安全管理措置を遵守させるために必要な契約の締結
(3)委託先における個人データの取扱状況の把握
3 前項(1)の「委託先の適切な選定」に当たっては、委託先の安全管理措置が、少なくとも法第20条及び「個人情報の保護に関する法律についてのガイドライン(通則編)」で委託元に求められるものと同等であることを確認するため、同ガイドライン「8((別添)講ずべき安全管理措置の内容)」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。
4 第2項(3)の「委託先における個人データの取扱状況の把握」については、委託契約の内容として、以下の規定等を盛り込むものとする。なお、外国にある第三者に委託をする場合には、別紙6(「適切かつ合理的な方法」及び「法第4章第1節【第2節】の規定の趣旨に沿った措置」)に定める規定等も盛り込むものとする。
① 秘密保持義務に関する規定
② 事業所内からの個人データの持出しの禁止
③ 個人データの目的外利用の禁止
④ 再委託における条件
⑤ 漏えい事案等が発生した場合の委託先の責任に関する規定
⑥ 委託契約終了後の個人データの返却又は廃棄に関する規定
⑦ 従業者に対する監督・教育に関する規定
⑧ 契約内容の遵守状況について報告を求める規定
⑨ 個人データを取り扱う従業者の明確化に関する規定
⑩ 委託者が委託先に対して実地の調査を行うことができる規定
5 当社は、委託先の管理については、【総務部】を責任部署とする。
6 当社は、委託先において個人データの安全管理が適切に行われていることについて、【1年に1回以上の頻度で】及び必要に応じてモニタリングをするものとする。
7 当社は、委託先において情報漏えい事故等が発生した場合に、適切な対応がなされ、速やかに当社に報告される体制になっていることを確認するものとする。
8 委託先は、当社の許諾を得た場合に限り、委託を受けた個人データの全部又は一部を再委託することができるものとする。再委託先が更に再委託する場合も同様とする。
9 当社は、再委託先の適否の判断のみならず、委託先が再委託先に対しても必要かつ適切な監督を行っているかどうかについても監督する。
10 当社は、委託先が再委託をする場合、当該再委託契約の内容として、第4項と同等の規定等を盛り込ませるものとする。
第6章 雑則
(規程の細目及び運用)
第41条 この規程の実施に必要な事項は、別に定める。
附 則
この規程は、令和〇年〇月〇日から施行する。
令和〇年〇月〇日制定
別 紙
別紙1 個人データの運用状況記録票
管理番号 |
姓 |
名 |
生年月日 |
個人情報取得日 |
取得をした 事務取扱 担当者 |
情報システムへの入力日 |
情報システムへの入力担当者 |
利用・出力状況 (日付・具体的な内容・事務取扱担当者) |
書類や情報システムの個人情報データベース等の削除・廃棄の状況(削除・廃棄日、対象となる書類・個人情報データベース等、廃棄方法) |
備考 |
別紙2 個人情報管理台帳
No. |
種類・名称 |
個人データの範囲 |
利用目的 |
記録媒体 |
保管場所 |
責任者 |
取扱部署 |
事務取扱担当者(アクセス権者) |
保存期間 |
削除・廃棄方法 |
1 |
別紙3 モニタリングシート
モニタリング事項 |
当社の対応状況 |
改善の求め |
改善要求に対する対応 |
【基本方針の策定】 基本方針を策定しているか。基本方針はガイドラインが求める事項を満たしているか。 * 事業者の名称 * 関係法令・ガイドライン等の遵守 * 安全管理措置に関する事項 * 質問及び苦情処理の窓口 等 |
|||
過去1年間、基本方針の改訂を行ったことがあるか。ある場合、どのような点を改訂したか。 |
|||
【個人情報取扱規程の策定】 個人情報取扱規程を策定しているか。個人情報取扱規程はガイドラインが求める事項を満たしているか。 * 取得、利用、保管、廃棄の各段階に安全管理措置を規定しているか。 * 事務フローは定められているか。 |
|||
過去1年間、個人情報取扱規程の改訂を行ったことがあるか。ある場合、どのような点を改訂したか。 |
|||
組織的安全管理措置 |
|||
モニタリング事項 |
当社の対応状況 |
改善の求め |
改善要求に対する対応 |
【組織体制の整備】 組織体制として以下の事項が定められているか。 * 事務における責任者の設置及び責任の明確化 * 事務取扱担当者の明確化及びその役割の明確化 * 事務取扱担当者が取り扱う個人データの範囲の明確化 * 事務取扱担当者が個人情報取扱規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制 * 情報漏えい等事案の発生又は兆候を把握した場合の従業者から責任者等への報告連絡体制 * 個人データを複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化 |
|||
過去1年間、組織体制の変更を行ったことがあるか。ある場合、どのような点を見直したか。 |
|||
【個人情報取扱規程に基づく運用】 個人情報取扱規程に基づく運用状況を確認するため、以下の事項に関して、システムログ又は利用実績を記録しているか。 * 個人情報データベース等の利用・出力状況の記録 * 書類・媒体等の持出しの記録 * 個人情報データベース等の削除・廃棄記録 * 削除・廃棄を委託した場合、これを証明する記録等 * 個人情報データベース等を情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録 |
|||
過去1年間、取扱状況の確認の記録事項を変更したことはあるか、ある場合どのような点を変更したか。 |
|||
【取扱状況を確認する手段の整備】 個人情報データベース等の取扱状況を確認するため、以下の事項を記録する手段を整備しているか。当該個人情報データベース等には、個人情報が記載されていないか。 * 個人情報データベース等の種類、名称 * 責任者、取扱部署 * 利用目的 * 削除・廃棄状況 * アクセス権を有する者 |
|||
過去1年間、取扱状況を確認する手段を変更したことはあるか。 ある場合、どのような点を変更したか。 |
|||
【情報漏えい等事案に対応する体制の整備】 情報漏えい等の事案の発生又は兆候を把握した場合に、適切かつ迅速に対応するため、以下に掲げる体制が整備されているか。 (1) 事業者内部における報告、被害の拡大防止 (2) 事実関係の調査、原因の究明 (3) 影響範囲の特定 (4) 再発防止策の検討・実施 (5) 影響を受ける可能性のある本人への連絡等 (6) 事実関係、再発防止策等の公表 (7) 個人情報保護委員会への報告 |
|||
過去1年間において、情報漏えい等の事案があった場合(委託先、再委託先等の情報漏えい等を含む。)、どのように対応したか。 |
|||
【取扱状況の把握及び安全管理措置の見直し】 個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善のためにどのような体制を整備しているか。 ・個人データの取扱状況について、定期的に自ら行う点検又は他部署等による監査を実施しているか。 ・外部の主体による監査も実施しているか。 |
|||
過去1年間において、監査やモニタリングの体制に変更がある場合、どのような点が変更されたか。 |
|||
人的安全管理措置 |
|||
モニタリング事項 |
当社の対応状況 |
改善の求め |
改善要求に対する対応 |
【事務取扱担当者の監督】 過去1年間、事務取扱責任者は、個人データが個人情報取扱規程に基づき適正に取り扱われるよう、事務取扱担当者に対してどのような監督を行ってきたか。 |
|||
【事務取扱担当者の教育】 * 事務取扱責任者は、過去1年間、事務取扱担当者その他の役職員に対して、個人データの適正な取扱いに関してどのような研修・教育を行ってきたか。 * 就業規則等に個人データについての秘密保持に関する事項が盛り込まれているか。 |
|||
物理的安全管理措置 |
|||
モニタリング事項 |
当社の対応状況 |
改善の求め |
改善要求に対する対応 |
【個人データを取り扱う区域の管理】 個人データの情報漏えい等を防止するために、個人情報データ ベース等を取り扱う情報システムを管理する区域(「管理区域」)及び個人データを取り扱う事務を実施する区域(「取扱区域」)は設定されているか。 ・「管理区域」に関する物理的安全管理措置として、入退室管理及び管理区域へ持ち込む機器等の制限等がなされているか。 ・「管理区域」の入退室管理方法としては、ICカード、ナンバーキー等による入退室管理システムの設置等はなされているか。 ・「取扱区域」に関する物理的安全管理措置として、壁又は間仕切り等の設置及び座席配置の工夫等がなされているか。 |
|||
過去1年間、「管理区域」及び「取扱区域」の管理に関して問題となる事項はなかったか。 |
|||
【機器及び電子媒体等の盗難等の防止】 「管理区域」及び「取扱区域」における個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、物理的な安全管理措置としてどのような措置を講じているか。 (具体例) ・個人データを取り扱う機器、電子媒体又は書類等を、施錠できるキャビネット・書庫等に保管する。 ・個人情報データベース等を取り扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。 |
|||
【電子媒体等を持ち出す場合の漏えい等の防止】 個人データが記録された電子媒体又は書類等を取扱区域又は管理区域から持ち出す場合、容易に個人情報が判明しない措置の実施、追跡可能な移送手段の利用等、安全な方策を講じられているか。 (具体例) * 個人データが記録された電子媒体を安全に持ち出す方法としては、持出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用等が考えられる。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従う。 * 個人データが記載された書類等を安全に持ち出す方法としては、封緘、 目隠しシールの貼付を行う。 |
|||
過去1年間、どのような場合に取扱区域又は管理区域の措置に持ち出したか。 |
|||
【個人データの削除、機器及び電子媒体等の廃棄】 個人データの委託業務を行う必要がなくなった場合で、所管法令等において定められている保存期間等を経過した場合には、個人データをできるだけ速やかに復元できない手段で削除又は廃棄することになっているか。 (具体例) * 個人データが記載された書類等を廃棄する場合、焼却又は溶解等の復元不可能な手段を採用する。 * 個人データが記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用する。 * 個人情報データベース等中の個人データを削除する場合、容易に復元できない手段(記録媒体の物理的破壊等)を採用する。 * 個人データを取り扱う情報システムにおいては、保存期間経過後における個人データの削除を前提とした情報システムを構築する。 |
|||
個人データ若しくは個人情報データベース等を削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することになっているか。過去1年分の削除又は廃棄した記録は適切に記録されているか。 |
|||
個人データの削除・廃棄等の作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認することになっているか。過去1年分の委託先による削除・廃棄の証明書を受領しているか。 |
|||
技術的安全管理措置 |
|||
モニタリング事項 |
当社の対応状況 |
改善の求め |
改善要求に対する対応 |
【アクセス制御】 情報システムを使用してデータを行う場合、事務取扱担当者及び当該事務で取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行うこととされているか。 (具体例) * 個人データと紐付けてアクセスできる情報の範囲をアクセス制御により限定する。 * 個人情報データベース等を取り扱う情報システムを、アクセス制御により限定する。 * ユーザーIDに付与するアクセス権により、個人情報データベース等を取り扱う情報システムを使用できる者を事務取扱担当者に限定する。 |
|||
【アクセス者の識別と認証】 個人データを取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証することができるか。 (具体例) * 事務取扱担当者の識別方法としては、ユーザーID、パスワード、磁気・ICカード等が考えられる。 |
|||
【外部からの不正アクセス等の防止】 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用されているか。 (具体例) * 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。 * 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。 * 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する。 * 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。 * ログ等の分析を定期的に行い、不正アクセス等を検知する。 |
|||
過去1年間、不正アクセスがあった場合にどのように対応したか。 |
|||
【情報漏えい等の防止】 個人データをインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するための措置を講じているか。 (具体例) * 通信経路における情報漏えい等の防止策としては、通信経路の暗号化等が考えられる。 * 情報システム内に保存されている個人データの情報漏えい等の防止策としては、データの暗号化又はパスワードによる保護等が考えられる。 |
|||
委託先管理 |
|||
モニタリング事項 |
当社の対応状況 |
改善の求め |
改善要求に対する対応 |
【委託先の選定】 委託先の選定にあたっては、どのような基準に基づいて選定しているか。 (具体例) * 委託先の設備 * 技術水準 * 従業者に対する監督・教育の状況 * その他委託先の経営環境等 |
|||
過去1年間、上記の基準に基づき、どのような委託先を選定したか。 |
|||
【委託契約の内容】 委託契約や覚書には、以下の事項が規定されているか。 ①秘密保持義務 ②事業所内からの個人データの持出しの禁止 ③個人データの目的外利用の禁止 ④再委託における条件 ⑤漏えい事案等が発生した場合の委託先の責任 ⑥委託契約終了後の個人データの返却又は廃棄 ⑦従業者に対する監督・教育 ⑧契約内容の遵守状況について報告を求める規定 ⑨個人データを取り扱う従業者の明確化 ⑩委託者が委託先に対して実地の調査を行うことができる規定 ⑪漏えい事案等が発生した場合の報告に関する規定 |
|||
過去1年間に締結した委託契約や覚書は上記の要件を満たしているか。 |
|||
再委託先としてどのような先があるか。 |
|||
再委託先に情報の漏えいその他の個人情報保護法違反の事由がある場合、どのように報告を求めることとされているか。 |
|||
過去1年間、委託先又は再委託先等で情報の漏えいがあった場合、どのような対応をしたか。 |
別紙4 (本規程第14条関連)
入退室管理簿
氏名 |
目的 |
入室時刻 |
退出時刻 |
鍵貸出管理台帳
鍵の番号 |
貸 出 |
返 却 |
||||
氏 名 |
時間 |
貸出者 |
氏名 |
時間 |
受取者 |
|
別紙5 (本規程第7条・第16条2項関連)
個人データ持ち運び記録簿
No |
書類・ファイル名 |
持出日 |
返却日 |
理由 |
持出者 |
備考 |
確認者印 |
確認者印 |
|||||
別紙6 「 適切かつ合理的な方法」、「相当措置」、「第三者による相当措置の継続的な実施を確保するために必要な措置」、及び「本人の求めに応じて当該必要な措置に関する情報」
個人情報取扱規程第29条に定める「適切かつ合理的な方法」及び「法第4章第1節【第2節】の規定の趣旨に沿った措置」は以下のとおりとする。
1 適切かつ合理的な方法
「外国にある事業者に個人データの取扱いを委託する場合」及び「同一の企業グループ内で個人データを移転する場合」ついて、それぞれ以下に定めるとおりとする。
(1)外国にある事業者に個人データの取扱いを委託する場合
提供元及び提供先間の契約、確認書、覚書等において定める。
(2)同一の企業グループ内で個人データを移転する場合
提供元及び提供先に共通して適用される内規、プライバシーポリシー等において定める。
2 相当措置(法第4章第1節【第2節】の規定の趣旨に沿った措置)
当社が、外国にある事業者に顧客データの入力業務を委託する場合についての具体的な措置は、以下に定める事項のとおりとする。
法第15 条【17条】 |
利用目的の特定 |
委託契約において、外国にある事業者による利用目的を特定する。 |
法第16 条【18条】 |
利用目的による制限 |
委託契約において、委託の内容として、外国にある事業者による利用目的の範囲内での事務処理を規定する。 |
法第16条の2【第19条】 |
不適正な利用の禁止 |
委託契約により外国にある事業者による違法又は不当な行為を助長し、又は誘発するおそれがある方法による利用を禁止する。 |
法第17 条【20条】 |
適正な取得 |
外国にある事業者が委託契約に基づいて適切に個人データを取得していることが自明であれば、不正の手段による取得ではない。 |
法第18 条【21条】 |
取得に際しての利用目的の通知等 |
日本にある個人情報取扱事業者から顧客に対して利用目的の通知等をする。 |
法第19 条【22条】 |
データ内容の正確性の確保等 |
委託契約によりデータ内容の正確性の確保等について規定するか、又は、データ内容の正確性の確保等に係る責任を個人データの提供元たる個人情報取扱事業者が負うことになる。 |
法第20 条【23条】 |
安全管理措置 |
委託契約により外国にある事業者が安全管理措置を講ずる旨を規定する。GL(通則編)「(別添)講ずべき安全管理措置の内容」を参照。 |
法第21 条【24条】 |
従業者の監督 |
委託契約により外国にある事業者の従業者の監督に係る措置を規定する。 |
法第22 条【25条】 |
委託先の監督 |
委託契約により外国にある事業者の再委託先の監督に係る措置を規定する。 ①適切な委託先の選定 ②委託契約の締結 ③委託先における個人データ取扱状況の把握 |
法第22条の2【第 26条】 |
漏えい等の報告等 |
委託契約により、外国にある事業者において法第22条の2【第26条】第1項に定める報告義務の対象となる個人データの漏えい、滅失又は毀損その他の個人データの安全の確保に係る事態(以下「報告対象事態」という。)が発生した場合に、日本にある個人情報取扱事業者が個人情報保護委員会への報告及び本人通知に係る措置を講ずることについて明確にする。 |
法第23 条【27条】 |
第三者提供の制限 |
委託契約により外国にある事業者からの個人データの第三者提供を禁止する。 |
法第24 条【28条】 |
外国にある第三者への提供の制限 |
委託契約により外国にある事業者からの個人データの第三者提供を禁止する。 外国の事業者から更に外国にある第三者に個人データの取扱いを再委託する場合には、法22条【25条】の委託先の監督義務のほか、法第4章第1節【第2節】の規定の趣旨に沿った措置の実施を確保する。 |
法第27条~第33条、第35条 |
保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、手数料、苦情の処理 |
提供する個人データが外国にある事業者にとって「保有個人データ」に該当する場合には、委託契約により、日本にある個人情報取扱事業者が保有個人データに関する事項の公表等、開示、訂正等、利用停止等、理由の説明、開示等の請求等に応じる手続、手数料、苦情の処理に係る義務を履行することについて明確にする。 なお、提供する個人データが外国にある事業者にとって「保有個人データ」に該当しない場合には、結果として「措置」としての対応は不要である。 |
3 第三者による相当措置の継続的な実施を確保するために必要な措置
「第三者による相当措置の継続的な実施を確保するために必要な措置」は以下の(1)及び(2)のとおりとする。
(1)当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること
【相当措置の実施状況の確認に該当する事例】
事例1)外国にある事業者に個人データの取扱いを委託する場合において、提供元及び提供先間の契約を締結することにより、当該提供先の基準適合体制を整備している場合は、当該契約の履行状況を確認すること
事例2)同一の企業グループ内で個人データを移転する場合において、提供元及び提供先に共通して適用されるプライバシーポリシーにより、当該提供先の基準適合体制を整備している場合は、当該プライバシーポリシーの履行状況を確認すること
【相当措置の実施に影響を及ぼすおそれのある外国の制度に該当する事例】
事例1)事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度
事例2)事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度
(2)当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ(法第26条の2第2項において読み替えて準用する場合にあっては、個人関連情報)の当該第三者への提供を停止すること
【支障発生時の必要かつ適切な措置に該当する事例】
事例)日本にある個人情報取扱事業者が提供先である外国にある事業者との間で委託契約を締結することにより、当該提供先の基準適合体制を整備している場合で、当該提供先が当該委託契約上の義務の一部に違反して個人データを取り扱っている場合に、これを是正するよう要請すること
【相当措置の継続的な実施の確保が困難となった場合に該当する事例】
事例1)日本にある個人情報取扱事業者が提供先である外国にある事業者との間で委託契約を締結することにより、当該提供先の基準適合体制を整備している場合で、当該提供先が当該委託契約上の義務の一部に違反して個人データを取り扱っている場合に、これを是正するよう要請したにもかかわらず、当該提供先が合理的な期間内にこれを是正しない場合
事例2)外国にある事業者において日本にある個人情報取扱事業者から提供を受けた個人データに係る重大な漏えい等が発生した後、同様の漏えい等の発生を防止するための必要かつ適切な再発防止策が講じられていない場合
4 相当措置の継続的な実施を確保するために必要な措置に関する情報提供
(1)情報提供の方法
本人に対する情報提供は、下記(2)で本人への提供が求められる情報を本人が確実に認識できると考えられる適切な方法で行う必要がある。なお、提供する情報は本人にとって分かりやすいものであることが重要である。
【適切な方法に該当する事例】
事例1) 必要な情報を電子メールにより本人に送付する方法
事例2) 必要な情報を記載した書面を本人に直接交付する方法
事例3) 必要な情報を本人に口頭で説明する方法
事例4) 必要な情報をホームページに掲載し、本人に閲覧させる方法
(2)提供すべき情報
個人情報取扱事業者は、本人の求めを受けた場合には、遅滞なく、次の①から⑦までの情報を本人に提供しなければならない。
① 当該第三者による相当措置の整備の方法
② 当該第三者が実施する相当措置の概要
③ 「当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること」の頻度及び方法
④ 当該外国の名称
⑤ 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要
⑥ 当該第三者による相当措置の実施に関する支障の有無及びその概要
⑦ 上記⑥の支障に関して上記3(2)により個人データの当該第三者への提供を停止することの概要(必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供を停止すること。)
① 当該第三者による相当措置の整備の方法
【基準適合体制を整備する方法についての情報提供に該当する事例】
日本にある個人情報取扱事業者が外国にある事業者に個人データの取扱いを委託する場合において、提供元及び提供先間の契約を締結することにより、当該提供先の基準適合体制を整備している場合
事例)「提供先との契約」である旨の情報提供を行うこと
② 当該第三者が実施する相当措置の概要
【相当措置の概要についての情報提供に該当する事例】
事例)「契約において、特定した利用目的の範囲内で個人データを取り扱う旨、不適正利用の禁止、必要かつ適切な安全管理措置を講ずる旨、従業者に対する必要かつ適切な監督を行う旨、再委託の禁止、漏えい等が発生した場合には提供元が個人情報保護委員会への報告及び本人通知を行う旨、個人データの第三者提供の禁止等を定めている」旨の情報提供を行うこと
③ 「当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること」の頻度及び方法
【確認の方法及び頻度についての情報提供に該当する事例】
事例)
(ⅰ)外国にある第三者による相当措置の実施状況についての確認の方法及び頻度
「毎年、書面による報告を受ける形で確認している」旨の情報提供を行うこと
(ⅱ)当該相当措置の実施に影響を及ぼすおそれのある制度の有無及びその内容の確認の方法及び頻度
「毎年、我が国の行政機関等が公表している情報を確認している」旨の情報提供を行うこと
④ 当該外国の名称
「外国の名称」の情報提供においては、提供先の第三者が所在する外国の名称が示されていれば足り、それに加えて、当該第三者が所在する州等の名称を示すことまでは求められない。もっとも、本人が外国にある第三者における自己の個人データの取扱状況等について把握できるようにするという制度趣旨を踏まえると、例えば、州法において外国にある第三者による相当措置の実施に影響を及ぼすおそれのある制度が存在する等、州法に関する情報提供が本人による当該第三者における個人データの取扱状況等の把握に資する場合には、当該第三者が所在する州を示した上で、当該制度についても情報提供を行うことが望ましい。
⑤ 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要
【相当措置の実施に影響を及ぼすおそれのある外国の制度の概要についての情報提供に該当する事例】
事例1)「事業者に対し政府の情報収集活動への広範な協力義務を課すことにより、事業者が保有する個人情報について政府による広範な情報収集が可能となる制度が存在する」旨の情報提供を行うこと
事例2)「事業者が本人からの消去等の請求に対応できないおそれがある個人情報の国内保存義務に係る制度が存在する」旨の情報提供を行うこと
⑥ 当該第三者による相当措置の実施に関する支障の有無及びその概要
事例)「提供先が契約において特定された利用目的の範囲を超えて個人データの取扱いを行っていた」旨の情報提供を行うこと
⑦ 上記⑥の支障に関して上記3(2)により個人データの当該第三者への提供を停止することの概要(必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供を停止すること。)
【相当措置の実施に関する支障に関して個人情報取扱事業者が講ずる措置の概要についての情報提供に該当する事例】
日本にある個人情報取扱事業者が外国にある事業者に個人データの取扱いを委託する場合において、提供元及び提供先間の契約を締結することにより、当該提供先の基準適合体制を整備しているものの、当該提供先が当該契約において特定された利用目的の範囲を超えて、当該個人データを取り扱っていた場合
事例1)「提供先が契約において特定された利用目的の範囲を超えて個人データの取扱いを行っていたため、速やかに当該取扱いを是正するように要請した」旨の情報提供を行うこと
事例2)「提供先が契約において特定された利用目的の範囲を超えて個人データの取扱いを行っていたため、速やかに当該取扱いを是正するように要請したものの、これが合理的期間内に是正されず、相当措置の継続的な実施の確保が困難であるため、個人データの提供を停止した」旨の情報提供を行うこと
(3)情報提供に支障が生ずる場合
情報提供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができる。
【情報提供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当する事例】
事例) 同一の本人から複雑な対応を要する同一内容について繰り返し情報提供の求めがあり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合
(4)情報提供しない旨の決定を行った際の通知等
本人の求めに係る情報の全部又は一部について情報提供しない旨の決定をしたときは、遅滞なく、その旨を本人に通知しなければならない。
この場合、個人情報取扱事業者は、本人に対し、情報提供をしない理由を説明するよう努めなければならない。
別紙7 保有個人データ開示等請求書
保有個人データ開示等請求書
年 月 日
株式会社〇〇〇〇 総務部 個人情報保護相談窓口 御中
1 請求者(該当する□にはレ印を記入してください。)
□本人 □未成年者の法定代理人 □成年被後見人の法定代理人 □本人が委任した代理人 |
住所 |
氏名 |
請求者が代理人の場合は本人の氏名・住所も記載してください。
住所 |
氏名 |
2 保有個人データの開示等の請求等に関する事項
請求の目的 (該当する□にはレ印を記入してください(複数可)) |
□保有個人データの利用目的の通知 □保有個人データの開示 □保有個人データの内容の訂正・追加・削除 □保有個人データの利用停止、消去 □保有個人データの第三者提供の停止 |
請求の対象となる保有個人データの名称、内容、その他請求に係る保有個人データを特定するに足りる事項 |
|
決定のご連絡の方法 |
「保有個人データ開示等決定通知書」又は「保有個人データ不開示等決定通知書」でご連絡いたします。 |
*************************************************
(会社使用欄)(ご請求者は記載しないでください。)
本人の本人確認書類(*) |
□運転免許証 □パスポート □個人番号カード □在留カード □特別永住者証明書 □健康保険被保険者証 □年金手帳 □その他( ) |
代理人による場合、代理人の本人確認書類(*) |
□運転免許証 □パスポート □個人番号カード □在留カード □特別永住者証明書 □健康保険被保険者証 □年金手帳 □その他( ) |
代理権の確認書類 |
□委任状+印鑑登録証明書 □戸籍抄本 □扶養家族が記入された保険証 □登記事項証明書 □その他( ) |
担当者 |
(内線) |
備考 |
(*)顔写真なしのものは2点確認
別紙8 保有個人データ開示等請求書委任状
年 月 日
保有個人データ 開示等請求書 委任状
株式会社〇〇〇〇 総務部 個人情報保護相談窓口 御中
私(委任者)は以下の者を代理人と定め、株式会社〇〇〇〇が保有する、私(委任者)の保有個人データに関して以下の請求をいたします。
1 委任者(住所と氏名を記載した上、実印を押印してください。)
(住所) |
ふりがな (氏名) ㊞ |
2 代理人(住所と氏名を記載してください。)
(住所) |
ふりがな (氏名) |
3 委任に関する事項(該当する□にはレ印を記入してください。複数可)
□保有個人データの利用目的の通知
□保有個人データの開示
□保有個人データの内容の訂正・追加・削除
□保有個人データの利用停止、消去
□保有個人データの第三者提供の停止
*代理人の確認につきましては、本委任状のほか、下記の本人確認書類及び実印の印鑑登録証明書が必要になります。
(本人確認書類)
〇顔写真付きの本人確認書類(運転免許証、パスポート、個人番号カード、在留カード、特別永住者証明書 等)・・・1点のみで可。
〇顔写真のない本人確認書類(健康保険被保険者証、年金手帳等)・・・2点必要。
別紙9 保有個人データ開示等決定通知書
年 月 日
保有個人データ開示等決定通知書
(ご請求者) 様
株式会社〇〇〇〇
年 月 日付けで請求のありました保有個人データの【利用目的通知、開示、訂正、追加、削除、利用停止、消去、第三者への提供停止】について、下記のとおり(一部)【利用目的通知、開示、訂正、追加、削除、利用停止、消去、第三者への提供停止】することとしましたので通知します。
1 ご請求のあった保有個人データの名称等
2 (一部)【利用目的通知、開示、訂正、追加、削除、利用停止、消去、第三者への提供停止】する保有個人データの内容
3 一部【利用目的通知、開示、訂正、追加、削除、利用停止、消去、第三者への提供停止】しないこととした理由
別紙10 保有個人データ不開示等決定通知書
年 月 日
保有個人データ不開示等決定通知書
(ご請求者) 様
株式会社〇〇〇〇
年 月 日付けで請求のありました保有個人データの【利用目的通知、開示、訂正、追加、削除、利用停止、消去、第三者への提供停止】について、下記のとおりその全部を【利用目的通知、開示、訂正、追加、削除、利用停止、消去、第三者への提供停止】しないことと決定いたしましたので通知します。
1 ご請求のあった保有個人データの名称等
2 【利用目的通知、開示、訂正、追加、削除、利用停止、消去、第三者への提供停止】しない理由