コンプライアンス・プログラム
個人情報保護基本規程
平成18年 8月 1日制定
平成18年 月 日改訂
第1章 総則
(目的)
第1条 弊社における個人情報の取り扱いについて定める。
(適用範囲)
第2条 社内外を問わず、従業者が業務として個人情報を取り扱う場合に適用される。
(定義)
第3条 この規程で用いる用語は下記のとおりとする。
(1)個人情報
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等に
より特定の個人を識別することができるもの(他の情報と容易に照合することができ、
それにより特定の個人を識別することができることとなるものを含む)。
(2)個人データ
個人情報の内、特定の個人情報を電子計算機を用いて検索することができるように
体系的に構成したもの。ただし、個人情報保護管理責任者により除外されたものを除く。
(3)保有個人データ
個人データの内、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者へ
の提供の停止を行うことのできる権限を有する個人データ。
ただし、個人情報保護管理責任者により除外されたものを除く。
(4)情報主体
一定の情報によって識別される、又は識別されうる本人。
(5)収集
取得。
(6)最高経営会議
取締役会議や理事会など代表者を含む組織の最高意志決定会議。
(7)個人情報保護管理責任者
最高経営層会議で指名された者であって、コンプライアンス・プログラムの実施及び
運用に関する責任と権限を持つ者。
(8)コンプライアンス・プログラム
方針、体制、規程、計画書、手順書、マニュアル、記録など自社で保有する個人情報
を保護するための社内の仕組みすべて。
(罰則)
第4条 コンプライアンス・プログラムに違反した場合には、就業規則50条の懲戒規定
を準用する。ただし、罰則の適用は平成18年8月1日以降とする。
(改訂)
第5条 本規程の改訂は、最高経営会議の承認を得なければならない。
第2章 体制及び責任
(最高経営会議)
第6条 最高経営会議では、その中から個人情報保護管理責任者と個人情報保護監査責任
者を指名しなければならない。
2.最高経営会議では、個人情報保護に関してコンプライアンス・プログラムの全体像を
把握し、以下の項目を含む基本方針を定めなければならない。
(1)個人情報保護管理責任者名及び苦情相談先を含む個人情報保護の体制に関すること。
(2)個人情報の取得に関すること。
(3)個人情報の利用に関すること。
(4)個人情報の委託に関すること。
(5)個人情報の第三者への提供に関すること。
(6)個人情報の安全管理に関すること。
(7)個人情報保護に関する問い合わせ、個人情報の開示、訂正、削除及び利用停止に
関すること。
(8)個人情報に関する事故が発生した場合の対処に関すること。
(9)個人情報に関する法令及びその他の規範の遵守に関することと、事業者に関連の
深い代表例。
(10)監視、監査、見直しなどコンプライアンス・プログラムの継続的改善に関すること。
3.最高経営会議では、必要に応じて、業務毎又は業態毎に個別方針を定めなければならない。
その際、個別方針は基本方針と整合性を保たなければならない。
4.最高経営会議では、個人情報保護管理者及び個人情報保護監査責任者からの報告及び
経営環境などに照らして、コンプライアンス・プログラムを最低年1回以上見直さなけ
ればならない。
(個人情報保護管理責任者)
第7条 個人情報保護管理責任者は、コンプライアンス・プログラムを実施するにあたっ
て、個人情報保護管理者、個人情報保護教育責任者、個人情報苦情処理責任者を
指名しなければならない。
2.個人情報保護管理責任者は、責任及び権限を定めなければならない。
3.個人情報保護管理責任者は、コンプライアンス・プログラムの基本となる要素を規程
管理規程に従って文章化なければならない。
4.個人情報保護管理責任者は、コンプライアンス・プログラムのすべての要素を体系的
に整理し、従業者が容易に閲覧できるようにしなければならない。
5.個人情報保護管理責任者は、年2回以上実施状況を確認し、速やかに最高経営会議で
報告しなければならない。
6.個人情報保護管理責任者は、事故発生時の対応手順を定めなければならない。
(個人情報保護監査責任者)
第8条 個人情報保護監査責任者は、事業年度毎に個人情報保護に関する監査を年1回
以上行う計画書を作成しなければならない。
2.個人情報保護監査責任者は、個人情報保護に関する監査を実施するために監査チーム
を編成しなければならない。その際、自らの業務を監査させる編成をしてはならない。
3.個人情報保護監査責任者は、監査終了後、監査報告書を作成し、速やかに最高経営
会議に報告しなければならない。
4.個人情報保護監査責任者は、監査報告書を保管し、管理しなければならない。
5.個人情報保護監査責任者は、監査方法及び監査チェックリストについて、別途細則で
定めなければならない。
(個人情報保護教育責任者)
第9条 個人情報保護教育責任者は、事業年度毎に個人情報保護に関する教育を年1回
以上従業者全員に行う計画書を作成しなければならない。
2.個人情報保護教育責任者は、コンプライアンス・プログラムの全体像の教育及び役割
と責任に応じた訓練のカリキュラムを定めなければならない。
3.個人情報保護教育責任者は、個人情報に関する教育が円滑に行えるように体制を整備
しなければならない。
4.個人情報保護教育責任者は、教育方法及び自覚させる手順について、別途細則で定め
なければならない。
(個人情報苦情処理責任者)
第10条 個人情報苦情処理責任者は、情報主体本人からの苦情及び相談について対処
しなければならない。
2.個人情報苦情処理責任者は、個人情報保護に関する苦情処理が円滑に行えるように
体制を整備しなければならない。
3.個人情報苦情処理責任者は、苦情処理の手順を定めなければならない。
(従業者)
第11条 コンプライアンス・プログラムを遵守すると共に、事故及びコンプライアンス
・プログラム違反を見つけた場合には、速やかに個人情報保護管理者へ報告しな
ければならない。
第3章 実施及び運用
(原則)
第12条 個人情報の取得にあたっては、利用目的を明確に定め、その目的の達成に必要
な限度において行わなければならない。
2.個人情報の取得は、適法かつ公正な手段によって行わなければならない。
3.社会的差別を受けうる機微(センシティブ)な個人情報を取得、利用及び提供してはな
らない。
4.個人データの利用及び提供は、情報主体本人から同意を得た利用目的の範囲内で行わ
なければならない。
5.個人情報のリスクに対して、合理的な安全対策を講じなければならない。
6.個人データは、利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理し
なければならない。
(例外事項)
第13条 原則に反し以下の措置をとる場合には、個人情報管理者の承認を得なければな
らない。
(1)取得の際に、情報主体本人に同意を得ない場合。
(2)情報主体本人から開示、訂正、削除及び利用停止の要求を受け付けない場合。
(3)目的外の利用をする際に、情報主体本人の同意を得ない場合。
(4)第三者に提供する際に、情報主体本人の同意を得ない場合。
2.機微な個人情報を取得、利用及び提供する場合には、情報主体本人から明確な同意を
得る手順を定め、個人情報保護管理責任者の承認を得なければならない。
3.個人情報保護管理責任者は、例外事項の承認の手順を定めなければならない。
(法令及びその他の規範)
第14条 個人情報保護管理者は、コンプライアンス・プログラムの実施に必要な法令
及びその他の規範を特定し、別表1で管理しなければならない。
(個人情報の特定)
第15条 個人情報保護責任者は、個人情報の種類を特定し、別表2で管理しなければな
らない。
2.個人情報保護責任者は、機微情報として扱う個人情報の種類を特定し、別表2で管理
しなければならない。
3.業務責任者は、別表2で示された個人情報を特定する手順を確立し、別表3に示す
様式で管理しなけければならない。
4.業務責任者は、特定した個人情報のリスクうぃ認識しなければならない。
5.業務責任者は、特定した個人情報について、利用目的毎に管理しなければならない。
6.業務責任者は、個人情報の所在を把握できるようにしなければならない。
(取得する場合の措置)
第16条 個人情報を取得する際には、情報主体本人から以下の項目について事前に通知
し、同意を取らなければならない。
(1)問い合わせ、開示、訂正、削除及び利用停止に必要な連絡先と責任の所在。
(2)利用目的。
(3)個人情報を第三者に提供を行うことが予定される場合には、その目的、提供先及び
個人情報の取り扱いに関する契約の有無。
(4)個人情報の預託を行うことが予定される場合には、その旨。
(5)情報主体が個人情報を与えることの任意性及び当該情報を与えなかった場合に、情報
主体本人に生じる結果。
(6)個人情報の開示を求める権利及び開示の結果、当該情報が誤っている場合に訂正又は
削除を要求する権利の存在、対応期間の目安、ならびに当該権利を行使するための
具体的な方法。
2.上項を実施するために、個人情報を扱う事業の業務責任者は、手順を定め、個人情報
保護責任者の承認を得なければならない。
3.取得の際、事前に同意を得ない場合には、個人情報保護責任者の承認を得なければな
らない。
(保管及び利用)
第17条 個人データを保管及び利用する際には、関係者以外のものが容易にアクセスが
できない措置をとらなければならない。
2.上項を実施するために、個人情報保護責任者は、安全に保管及び利用ができる仕組み
を確保しなければならない。
3.業務責任者は、特定した個人データのリスクについて、対策の実施状況を定期的に
確認しなければならない。
4.業務責任者は個人データの保管及び利用の手順を定めなければならない。
(委託)
第18条 個人データを委託する際には、委託先選定基準により事業者を選定し、以下の
項目を含んだ契約内容をもって、保護水準を担保しなければならない。
(1)個人データの利用の制限。
(2)個人データに関する秘密保持。
(3)個人データの安全管理に関する事項。
(4)個人データの再委託に関する事項。
(5)事故時の責任担保。
(6)契約終了時の個人データの返却及び消去
2.上項を実施するために、業務責任者は委託内容毎に委託先選定基準を定め、個人情報
保護責任者の承認を得なければならない。
3.個人情報保護責任者は、委託契約書の雛型を定めなければならない。
4.業務責任者は、委託先管理の手順を定めなければならない。
(目的外利用)
第19条 情報主体本人から同意を得た利用目的以外に利用する際、事前に情報主体本人
に利用目的を通知し、同意を得なければならない。
2.上項を実施するために、個人情報保護責任者は通知の内容を承認しなければならない。
3.目的外利用の際、情報主体本人の同意を得ない場合は、個人情報保護責任者の承認を
得なければならない。
4.個人情報保護責任者は、緊急時における承認の手順を定めなければならない。
(第三者提供)
第20条 個人情報を扱う事業の責任者は、第三者への提供する際、事前に情報主体本人
に提供先、利用目的、個人データの項目及び提供手段を通知し、同意を得なけれ
ばならない。
2.上項を実施するために、個人情報保護責任者は通知の内容を承認しなければならない。
3.第三者提供の際、情報主体本人の同意を得ない場合は、個人情報保護責任者の承認を
得なければならない。
4.個人情報保護責任者は、緊急時における承認の手順を定めなければならない。
(情報主体本人からの要求に対する措置)
第21条 情報主体本人から個人データについて、開示、訂正、削除及び利用停止の要求
がある場合には、合理的な期間で応じなければならない。
2.上項を実施するために、業務責任者は、本人確認方法、料金及び対応の期限を含んだ
手順を定めなければならない。
3.情報主体本人からの開示、訂正、削除、利用停止に応じない場合には、個人情報保護
責任者の承認を得なければならない。
(削除及び消去)
第22条 削除及び消去にあたっては、目的外利用又は第三者に利用されないような措置
をとらなければならない。
2.上項を実施するために、個人情報保護責任者は、安全に削除及び消去が行える仕組み
を確保しなければならない。
3.業務責任者は、削除及び消去する個人データのリスクについて、対策の実施状況を
定期的に確認しなければならない。
4.業務責任者は、個人データの削除及び消去の手順を定めなければならない。
別表1:法令及びその他の規範一覧
|
|
|
||||||
|
No. |
|
法 令
名 |
|
備考(該当条項など) |
|
||
1. |
個人情報の保護に関する法律(平成15年法律
第57号) |
|
||||||
2. |
個人情報の保護に関する法律の政令 |
|||||||
3. |
OO県個人情報保護条例 |
|||||||
4. |
|
|||||||
5. |
||||||||
|
||||||||
別表2:個人情報として扱う情報一覧
|
|
|
|||||||
|
No. |
種 類 |
|
機微 |
|
備考 |
|
||
1. |
氏名 |
× |
|
||||||
2. |
住所 |
× |
|||||||
3. |
電話番号 |
|
|||||||
4. |
電子メールアドレス |
||||||||
5. |
ユーザID |
||||||||
6. |
Cookieなどのセッションキー |
||||||||
7. |
|
||||||||
|
|||||||||
別表3:個人データ一覧
OO業務
|
|
||||||||||||||||
|
No. |
|
利用目的の種類 |
|
個人データの種類 |
|
件数 |
|
機微 |
|
同意 |
|
保有個人データ |
|
リスク |
|
|
1. |
OOに関するアンケート |
|
無 |
有 |
該当 |
|
|||||||||||
2. |
|
含 |
無 |
非該当 |
|||||||||||||
3. |
|
||||||||||||||||
|