特定個人情報取扱規程
特定個人情報取扱規程のテキスト
特定個人情報取扱規程
第1章 総則
(目的)
第1条 本規程は,令和平成株式会社(以下「会社」という。)の従業者が業務を遂行するにあたり,行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「番号法」という。)及びこれに関連する法令等を遵守し,特定個人情報の適切な保護を図ることを目的とする。
(定義)
第2条 本規程等において,各用語の定義は次のとおりとする。
①個人情報
生存する個人に関する情報であって,特定の個人を識別することができるもの,又は他の情報と容易に照合することができ,それにより特定の個人を識別することができるものをいう。
②個人番号
番号法第7条第1項又は第2項の規定により,住民票コードを変換して得られる番号であって,当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう(番号法第2条第6項及び第7項,第8条並びに第48条並びに附則第3条第1項から第3項まで及び第5項における個人番号)。
③特定個人情報
『個人番号(個人番号に対応し,当該個人番号に代わって用いられる番号記号その他の符号であって,住民票コード以外のものを含む。番号法第7条第1項及び第2項,第8条並びに第48条並びに附則第3条第1項から第3項まで及び第5項を除く。)をその内容に含む個人情報をいう。
④個人情報ファイル
個人情報を含む情報の集合物であって,特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの,又はコンピュータを用いない場合であっても,ファイルやカルテ等,個人情報を一定の規則に従って整理·分類することによって,特定の個人情報を容易に検索することができるように体系的に構成したものをいう。
⑤特定個人情報ファイル
個人番号をその内容に含む個人情報ファイルをいう。
⑥個人データ
個人情報ファイルを構成する個人情報(個人番号を含む。)をいう。
⑦保有個人データ
会社が,開示,内容の訂正,追加又は削除,利用の停止,消去及び第三者への提供の停止のすべてを行うことができる権限を有する「個人データ」をいう。ただし,以下のいずれかに該当するものは除く。
(1)当該個人データの存否が明らかになることにより,本人又は第三者の生命,身体又は財産に危害が及ぶおそれがあるもの
(2)当該個人データの存否が明らかになることにより,違法又は不当な行為を助長し,又は誘発するおそれのあるもの
(3)当該個人データの存否が明らかになることにより,国の安全が害されるおそれ,他国もしくは国際機関との信頼関係が損なわれるおそれ又は他国もしくは国際機関との交渉上不利益を被るおそれのあるもの
(4)当該個人データの存否が明らかになることにより,犯罪の予防,鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれのあるもの
⑧管理区域
特定個人情報ファイルを取り扱う情報システムを管理する区域をいう。
⑨取扱区域
特定個人情報を取り扱う事務を実施する区域をいう。
⑩ 本人
特定個人情報によって識別される特定の個人をいう。
⑪部門長
特定個人情報を取り扱う部門の長をいう。
⑫従業員
会社の業務に従事している者をいい,雇用関係にある従業員(正社員,有期フルタイマー,無期フルタイマー,有期パートタイマー,無期パートタイマー,定年後嘱託者,契約社員,その他の特殊雇用形態者)のみならず,取締役,執行役,理事,監査役,監事も含まれる。
⑬事務取扱担当者
会社内において,個人番号を取り扱う事務に従事する従業者をいう。
⑭取得·入力
「取得」とは,本人又は第三者から特定個人情報を物理的及び電子的手段により取得することなどをいう(会社内の他部門からの取得は含まない。)。
「入力」とは,取得した特定個人情報をデータベース等の情報システムに物理的又は電子的に入力することなどをいう。
⑮利用·加工
「利用」とは,個人データを利用目的の範囲内で取り扱うことなどをいう。
「加工」とは,個人データの更新を行うこと,又は個人データを利用し,新たなデータベースを作成することなどをいう。
⑯保管·保存
「保管」とは,個人データを加工せず,オフィスフロア内に置き管理することなどをいう。
「保存」とは,個人データを加工せず,オフィスフロア外(書庫等)に置き廃棄に至るまで管理すること,又はパソコンや電子媒体等に電子デー
タを格納し消去に至るまで管理すること(個人データのバックアップを含む。)などをいう。
⑰ 移送·送信
「移送」とは,物理的な手段により個人データを異なる場所や人に移すことなどをいう。
「送信」とは,電子的な手段により個人データを異なる場所や人に移すことなどをいう。
⑱消去·廃棄
「消去」とは,個人データが保存されている媒体の個人データを電子的な方法その他の方法により削除することなどをいう。
「廃棄」とは,個人データが保存されている媒体を物理的に廃棄することなどをいう。
⑲漏洩事案等
「漏洩事案等」とは,特定個人情報が記載·収録された帳票や電子記録媒体(USBメモリ,CD-R等)の盗難又は紛失,郵便物の誤送付,電子メールやファックスの誤送信等の事故により,特定個人情報の漏洩,滅失又は毀損が生じ,又は生じるおそれが高い場合をいう。
ことなどをいう。
第2章 組織的安全管理措置
第1節 組織体制
(特定個人情報管理者等)
第3条 会社は,取締役又は執行役員の中から特定個人情報管理者を選任し,特定個人情報の管理のための措置に関する業務を統括させるものとする。
2 特定個人情報管理者は,特定個人情報管理担当者を選任し,特定個人情報の管理に関する業務を分担させることができる。
3 特定個人情報等の管理については,〇○部を責任部署とする。
(部門長の責任)
第4条 部門長は,自らが取り扱う部門に係る従業者の一切の特定個人情報の取扱いに関し,責任を有するものとする。
(特定個人情報の取扱いの決定)
第5条 次章に定める特定個人情報の取扱いに関しては,各部門長がその適否を判断し,例外的取扱いに関しては,特定個人情報管理者にその適否の判断を求めるものとする。
(事務取扱担当者の責務)
第6条 事務取扱担当者は,部門長の指示に従って特定個人情報の取扱いをすることとし,特定個人情報の取扱いに際しては,本規程等を遵守しなければならない。
(監査責任者)
第7条 会社は,取締役又は執行役員の中から監査責任者を任命し,会社内の特定個人情報を取り扱う業務において,本規程等が遵守され,特定個人情報の取扱いが適法かつ適切に行われているかについて,公平かつ客観的な立場で調査·確認·評価する責務を負い,その結果を特定個人情報管理者に報告する義務を負う。
2 監査責任者は,特定個人情報の取扱いに関する監査に必要な調査権限を有する。
3 監査責任者は,特定個人情報の取扱いに関する監査に必要な監査担当者を選仟することができる。
第2節 特定個人情報の取扱状況の記録
(取扱状況の確認体制の整備)
第8条 特定個人情報管理者は,本規程に基づく特定個人情報の取扱状況を確認するため,次に掲げる取扱状況を記録する体制を整備しなければならない。
①特定個人情報ファイルの利用·出力の状況
②書類·媒体等の持出しの記録
③特定個人情報ファイルの削除·廃棄記録
④削除·廃棄を委託した場合の,削除·廃棄を証明する記録等
⑤事務取扱担当者の情報システムの利用状況(ログイン実績·アクセスログ等)
【中小規模事業者の場合】
会社は,特定個人情報の取扱状況が分かる記録を保存しなければならない。
(取扱状況の記録)
第9条 事務取扱担当者は,特定個人情報を「取得·入力」する場合,個人データを「利用·加工」,「保管·保存」,「移送·送信」,「消去·廃棄」する場合には,次の事項について,記録しなければならない。
①特定個人情報ファイルの種類,名称
②責任者,取扱部署
③利用目的
④利用日時
⑤削除·廃棄の状況
⑥当該取扱者の氏名
2 特定個人情報管理者は,特定個人情報の漏洩等の防止のため,必要に応じ,記録された状況を確認するものとする。
(個人データへのアクセス記録の保管及び分析)
第10条 特定個人情報管理者は,個人データの「利用·加工」,「保管·保存」,「移送·送信」の各段階におけるアクセス記録を取得し,必要な期間保管するとともに,個人データの漏洩等の防止のため,必要に応じてこれを確認しなければならない。
第3節 取扱状況の把握等
(点検の実施)
第11条 特定個人情報管理者は,個人データの取扱状況の点検に関する計画を立案し,特定個人情報管理担当者に対し,少なくとも年1回点検を実施するよう指示しなければならない。
2 特定個人情報管理担当者は,特定個人情報管理者の指示に基づき,事務取扱担当者(以下「点検担当者」という。)に自ら点検を実施させなければならない。
(点検担当者の役割·責任)
第12条 点検担当者は,特定個人情報管理担当者の指示に基づいて確実に点検を実施しなければならない。
2 点検担当者は,点検により個人データの取扱いが不適切であった事案を発見した場合には,特定個人情報管理担当者に報告しなければならない。
3 特定個人情報管理担当者は,規程に違反する事項について,特定個人情報管理者に報告するとともに特定個人情報管理者の指示を踏まえ,改善のための措置を講じなければならない。
(点検に関する手続)
第13条 点検担当者は,次の各号に掲げる点検に関する手続を実施しなければならない。
①番号法第9条第4項で定める範囲内で利用目的を特定のうえ,本人に明示しているかの書面確認
②保有個人データと各書類の内容確認
③保有個人データの紛失はないかの確認
④取得した個人データの保管媒体(電子情報,紙情報など)の確認
⑤特定個人情報の漏洩や滅失等がないかの確認
⑥個人データの事務取扱担当者以外がデータを取り扱った形跡がないかの確認
⑦苦情があった場合の内容と対応の確認
2 点検の結果,是正が必要であるときは,点検担当者は,特定個人情報管理担当者に報告し,その見直しの措置を講じなければならない。
3 点検担当者は,点検の都度に「点検報告書」を作成しなければならない。
(監査)
第14条 特定個人情報管理者は,個人データの取扱状況の監査に関する計画を立案し,監査責任者に対し,定期的及び臨時の監査を実施するよう指示しなければならない。
2 監査担当者は、 監査責任者の指示に基づいて確実に監査を実施しなければならない。監査に関する手続は,前条に準ずる。
3 監査担当者は,監査により個人データの取扱いに関する規程に違反する事項などを発見した場合には,監査責任者に報告しなければならない。
4 監査責任者は,規程に違反する事項について,特定個人情報管理者に報告するとともに特定個人情報管理者の指示に従い,改善のための措置を講じなければならない。
(個人データを取り扱う情報システムの監視及び監査)
第15条 会社は,個人データを取り扱う情報システムの利用状況及び個人データへのアクセス状況の監視状況についての点検及び監査を行う。
【中小規模事業者の場合】
会社は,特定個人情報の取扱状況について,責任ある立場の者に定期的に点検を行わせなければならない。
第3章 特定個人情報の適正な取得·保管·利用·提供
(取得の原則)
第16条 会社は,特定個人情報の取得については,偽りその他不正な手段によって行ってはならない。
2 会社は,原則として次条に定める事務を処理するために必要があるときに,個人番号の提供を求めることとする。
3 会社は,次条に定める事務を処理するために必要な場合を除き,他人に対し,個人番号の提供を求めることはない。
(利用目的の特定及び明示)
第17条 従業者又は従業者以外の個人から取得する特定個人情報の利用目的は,次の表に掲げる事務の範囲内とする。
利用目的 利用事務
従業者に係る個人番号関係事務を処理するため
給与·退職所得の源泉徴収票作成事務
雇用保険届出事務
健康保険·厚生年金保険届出事務
従業者以外の個人に係る個人番号関係事務を処理するため 報酬·料金等の支払調書作成事務
配当,剰余金の分配及び基金利息の支払調書作成事務
不動産の使用料等の支払調書作成事務
不動産等の譲受けの対価の支払調書作成事務
国民年金第三号被保険者に係る届出事務
(注)上記例示以外の利用事務がある場合もあるため,自社の利用事務を特定する必要があります。
2 特定個人情報を取得する場合,本人に対してあらかじめ前項に定める利用目的を明示しなければならない。
(本人確認)
第18条 従業者又は従業者以外の個人から個人番号の提供を受けるときは,番号法に定める方法により,従業者又は従業者以外の個人の個人番号の確認及び当該人の身元確認(以下「本人確認」という。)を行わなければならない。
2 前項の本人確認において代理人が介在する場合は,当該代理人の身元確認,代理権の存在確認及び本人の番号確認により行わなければならない。
(目的外利用の禁止)
第19条 特定個人情報は,第17条により特定された利用目的の達成に必要な範囲を超えて取り扱ってはならない。ただし,人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意があり,又は本人の同意を得ることが困難である場合はその限りでない。
2 特定個人情報の取扱いにあたって利用目的の範囲内か否かが不明な場合は,その都度,特定個人情報管理者に判断を求めなければならない。
(特定個人情報ファイル作成の制限)
第20条 第17条に定める事務を処理するために必要な範囲を超えて,特定個人情報ファイルを作成してはならない。
(収集·保管制限)
第21条 第17条に定める事務を処理するために必要な範囲を超えて,特定個人情報を収集又は保管してはならない。
(提供の制限)
第22条 第17条に定める事務を処理する場合を除き,原則として特定個人情報を第三者に提供することはない。なお,提供とは,法的な人格を超える特定個人情報の移動を意味し,同一法人の内部等の法的な人格を超えない特定個人情報の移動は該当しない。
(正確性の確保)
第23条 個人データは,第17条により特定された利用目的の達成に必要な範囲内において,正確かつ最新の内容に保つよう努めなければならない。
第4章 人的安全管理措置
(従業者の監督)
第24条 特定個人情報管理者は,事務取扱担当者が特定個人情報を取り扱うにあたり,必要かつ適切な監督を行わなければならない。
2 部門長は,自らが管理する部門等に係る事務取扱担当者に対し,特定個人情報の取扱いに関して必要かつ適切な監督を行わなければならない。
3 特定個人情報管理者は,従業者に対して特定個人情報の保護及び取扱いに関する誓約書の提出を命じることができる。
(教育·研修)
第25条 従業者に対する特定個人情報の保護及び適正な取扱いに関する教育方針は,特定個人情報管理者が決定する。
2 従業者は,特定個人情報管理者が決定した方針に基づく研修を受けなければならない。
(守秘義務)
第26条 事務取扱担当者は,特定個人情報の取扱いの際に知り得た事項に関しては,在職中はもちろんのこと,出向,転籍,退職後においても,他に漏洩しない守秘義務を負うものとする。
第5章 物理的安全管理措置
(機器·記録媒体·書類等の管理)
第27条 特定個人情報管理者は,取得·入力した特定個人情報,利用·加工された個人データ又は消去·廃棄する個人データが保存·記載された機器·記録媒体·書類等の設置場所を管理区域として,特定個人情報等を取り扱う場所として指定し,以下の措置を講じなければならない。
①管理区域への出入りの限定及び管理
·ICカード又はナンバーキーによる入退室管理システムを設置する。
·ビデオカメラを設置し,管理区域への出入りを録画する。
·管理区域への出入りの際は,入退室管理簿に日時,氏名,用件等を記載させる。
②取扱区域の設定場所の工夫
·壁又は間仕切り等を設置し,及び座席を往来が少ない場所又は覗き見される可能性が低い場所に配置する。
③機器及び記録媒体等の持込制限
·管理区域及び取扱区域には,撮影等の記録が可能な機器及び携帯が容易な記録媒体等を持ち込ませない。
④機器及び電子媒体等の盗難又は紛失の防止
·特定個人情報が保存·記載された機器,記録媒体又は書類等については,人会管理区域又は取扱区域において施錠可能なキャビネット又は書庫に保管する。
·特定個人情報が保存された機器については,管理区域においてセキュリティワイヤーにより固定する。
2 事務取扱担当者は,特定個人情報が保存·記載された機器·記録媒体·書類等を適切に保管しなければならない。
(管理区域外·取扱区域外への持出しに関する措置)
第28条 特定個人情報管理者は,個人データの管理区域外又は取扱区域外への持出しに関する取扱者を必要最小限に限定しなければならない。
2 特定個人情報管理者は,管理区域外又は取扱区域外に持ち出すことが可能な個人データを業務上必要最小限の範囲に限定しなければならない。
3 特定個人情報管理者は,個人データの管理区域外又は取扱区域外への持出しに際し,個人データを持ち出す者が第1項で限定された取扱者本人であること,及び持ち出す個人データが第2項により持ち出すことを限定した個人データの範囲内であることを確認しなければならない。
4 事務取扱担当者は,次項に定める場合を除き,個人データを管理区域外又は取扱区域外に持ち出してはならない。
5 事務取扱担当者は,個人データを管理区域外又は取扱区域外に持ち出す場合には,部門長を経由して特定個人情報管理者に申請し,承認を得たうえで行わなければならない。
6 事務取扱担当者は,個人データを管理区域外又は取扱区域外に持ち出す場合には,以下の措置を講じ,電子媒体又は書類等を常時携行するなど適切に管理しなければならない。
①特定個人情報等が記録された電子媒体
·持出しデータの暗号化もしくはパスワードによる保護,施錠できる搬送容器の使用,又は追跡可能な移送手段の利用
② 特定個人情報等が記載された書類等
·封緘又は目隠しシールの貼付
【中小規模事業者の場合】
事務取扱担当者は,特定個人情報等が記録された電子媒体又は書類等を管理区域外又は取扱区域外に持ち出す場合には,パスワードの設定,封筒に封入し鞄に入れて搬送するなど,紛失又は盗難等を防ぐための措置を講じなければならない。
(個人番号の削除·機器及び電子媒体等の廃棄)
第29条 特定個人情報管理者は,所管法令で定められた個人番号を記載する書類等の保存期間等を経過した場合の当該書類に記載された個人番号を,以下に掲げる復元不可能な手段により,すみやかに削除又は廃棄しなければならない。
①書類等を廃棄する場合 焼却又は熔解等
②機器及び電子媒体等を廃棄する場合 専用のデータ削除ソフトの利用又は物理的な破壊
③特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合 容易に復元できない手段
2 特定個人情報管理者は,個人番号を削除した場合又は機器及び記録媒体等を廃棄した場合には,削除又は廃棄した記録を保存しなければならない。
3 部門長は,個人番号の削除又は機器及び記録媒体等の廃棄を委託する場合は,委託先が確実に削除又は廃棄したことの証明書を取得しなければならない。
【中小規模事業者の場合】
特定個人情報管理者は,特定個人情報を適切に削除·廃棄したことを確認しなければならない。
第6章 技術的安全管理措置
(個人データへのアクセス制御)
第30条 特定個人情報管理者は,取得·入力した特定個人情報,利用·加工,保管·保存,移送·送信,消去·廃棄する個人データへのアクセスを制御するために,個人データが保存された機器·記録媒体等に関して,以下に定める技術的安全管理措置を講じなければならない。
·個人データへのアクセスに必要なユーザーID及びパスワードの設定及び管理の徹底(事務取扱担当者への限定)
·特定個人情報ファイルを取り扱う情報システムの限定人都色
·個人番号と紐づけてアクセスできる情報の範囲の限定目対文熱性
【中小規模事業者の場合】
·会社は,特定個人情報を取り扱う機器を特定し、できる限りその機器を取り扱う事務取扱担当者を限定するものとする。
·会社は,ユーザーアカウント制御により,できる限り情報システムを取り扱う事務取扱担当者を限定するものとする。
(個人データの利用者の識別及び認証)
第31条 特定個人情報管理者は,特定個人情報を取り扱う情報システムに,個人データを利用·加工,保管·保存,又は移送·送信する取扱者について,ユーザーID,パスワード,磁気·ICカード等により,それぞれ識別及び認証する機能を設けなければならない。
【中小規模事業者の場合】
·会社は,特定個人情報を取り扱う機器を特定し,できる限りその機器を取り扱う事務取扱担当者を限定するものとする。
·会社は,ユーザーアカウント制御により,できる限り情報システムを取り扱う事務取扱担当者を限定するものとする。
(外部からの不正アクセスの防止)
第32条 特定個人情報管理者は,情報システムを外部からの不止アクセス又は不正ソフトウェアから保護するために,以下に定める仕組みを導入し,適切に運用しなければならない。
·情報システムと外部ネットワークとの接続箇所へのファイアウォール等の設置
·情報システム及び機器へのセキュリティ対策ソフトウェアの導入
·セキュリティ対策ソフトウェアによる不正ソフトウェアの有無の確認
·自動更新機能等の活用によるソフトウェアの適切な更新
·定期的なログ等の分析による不正アクセス等の検知
(個人データの漏洩等の防止)
第33条 特定個人情報管理者は,個人データの利用·加工,保管·保存,及び移送·送信の各段階における個人データの漏洩等の防止策として,以下に定める措置を講じなければならない。
・インターネット等により外部に送信する場合 通信経路の暗号化及び添付ファイルの暗号化
·情報システム内に特定個人情報等を保存する場合 データの暗号化又はパスワードによる保護
第7章 個人データの委託
(個人データの委託)
第34条 部門長は,あらかじめ特定個人情報管理者の承認を得て,第17条に定める事務の処理の達成に必要な範囲内において,個人データの取扱いの全部又は一部を委託することができる。なお,「委託」とは,契約の形態や種類を問わず,会社が他の者に個人データの取扱いの全部又は一部を行わせること,「委託先」とは,会社が,個人データの取扱いの全部又は一部を第三者に委託する場合の当該第三者のことをいう。
2 部門長は,前項に基づき個人データの取扱いの全部又は一部を委託する場合は,その取扱いを委託した個人データの安全管理が図られるよう,委託先(再委託先も含む。)に対する必要かつ適切な監督を行わなければならない。
(委託にあたっての管理者への申請及び承認)
第35条 従業者は,個人データの委託にあたって,部門長を経由して特定個人情報管理者に申請し,承認を得なければならない。ただし,特定個人情報管理者が別に定める場合はこの限りではない。
(委託先選定の基準)
第36条 特定個人情報管理者は,委託先を選定するにあたって,「委託先選定チェックリスト」を別に定め,これに基づき委託先を選定するとともに,「委託先選定チェックリスト」を定期的に見直さなければならない。
2 特定個人情報管理者は,「委託先選定チェックリスト」の策定及び見直しにあたっては取締役会の承認を得なければならない。
3 特定個人情報管理者は,前項により承認された「委託先選定チェックリスト」を組織内に周知しなければならない。
(委託先における選定基準の遵守状況の確認)
第37条 部門長は,委託契約後に「委託先選定チェックリスト」に定められた事項の委託先における遵守状況を定期的又は随時に確認するとともに,委託先が当該基準を満たしていない場合には,委託先に対して改善を求めるか,当該委託先との委託契約を解消しなければならない。
(委託契約)
第38条 部門長は,選定した委託先との間で,以下の安全管理に関する事項を盛り込んだ委託契約の締結等をしなければならない。
①会社の委託先に対する監督(実地調査を含む。)及び監査報告(契約内容の遵守状況についての報告を含む。)の徴収に関する権限
②委託先における個人データの漏洩,事業所外への持出し,盗用,改ざん及び目的外利用の禁止
③再委託における条件
④漏洩等が発生した際の委託先の責任
⑤委託契約終了後の特定個人情報の返却又は廃棄
⑥委託先における従業者に対する監督·教育
⑦委託先において特定個人情報を取り扱う部署の明確化
2 特定個人情報管理者は,定期的に委託契約等に盛り込む安全管理に関する事項を見直さなければならない。
(委託先における委託契約上の安全管理措置の遵守状況の確認)
第39条 部門長は,定期的又は随時に委託先における委託契約上の安全管理の遵守状況を確認するとともに,委託先が遵守していない場合には,委託先に対して改善を求めなければならない。
第8章 情報漏洩時の対応
(情報漏洩発生時の報告)
第40条 従業者は,業務遂行にあたり,特定個人情報の漏洩·盗難·紛失等が生じたか,生じるおそれが高いと判断された場合には,すみやかに特定個人情報管理者に報告しなければならない。
2 特定個人情報管理者は,漏洩·盗難·紛失等の範囲の拡大防止等必要な措置をとるとともに,本人への通知·再発防止策等の対策を講じなければならない。
(対応者の役割·責任及び対応者の限定)
第41条 特定個人情報管理者は,漏洩事案等への対応者の役割·責任を定め,組織内に周知しなければならない。
2 特定個人情報管理者は,業務上必要な者に限り漏洩事案等への対応が行われるよう,対応者を限定しなければならない。
(事実関係の調査及び原因の究明)
第42条 特定個人情報管理者は,特定個人情報管理担当者及び漏洩事案等への対応者と連携のうえ漏洩した個人データの取扱状況の記録内容の分析を行い,漏洩した個人データの量,質,事故の原因,態様,被害の程度等漏洩事案等の内容及び影響の調査を行うこととする。
(再発防止策の検討及び決定)
第43条 特定個人情報管理担当者は,漏洩事案等への対応者と協議のうえ,漏洩した個人データの取扱状況の記録内容の分析を踏まえた再発防止策を検討し,特定個人情報管理者へ報告しなければならない。
2 特定個人情報管理者は,前項の報告を考慮し,再発防止策を決定することとする。
(報告に関する手続)
第44条 漏洩事案等が発生した場合,発見者は,漏洩範囲の拡大防止等必要な措置をとるとともに,直ちに特定個人情報管理者又は特定個人情報管理担当者に報告しなければならない。る
2 特定個人情報管理者は,所外への報告等(警察への届出,本人への通知,二次被害の防止·類似事案の発生回避の観点からの漏洩事案等の事実関係,再発防止策の公表及び委員会·主務大臣への報告など)の要否及びその方法について決定しなければならない。
(漏洩事案等への対応記録及び確認)
第45条 特定個人情報管理担当者は,漏洩事案等に対応する場合,データの種類や形態等に応じて,必要に応じ,かつ適切に漏洩事案等への対応状況について記録を行わなければならない。
2 特定個人情報管理者は,個人データの漏洩等の防止のため,必要に応じ,記録された状況を確認する。
(個人の権利利益を害するおそれが大きい個人データの漏洩等への対応)
第46条 特定個人情報ファイルに記録された特定個人情報の漏洩,滅失,毀損その他の特定個人情報の安全の確保に係る事態であって,個人の権利利益を害するおそれが大きいものとして次の各号で定めるもののいずれかが生じたときは,当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし,他の個人番号利用事務等実施者から当該個人番号利用事務等の全部又は一部の委託を受けた場合であって,当該事態が生じた旨を当該他の個人番号利用事務等実施者に通知したときは,この限りでない。
①次に掲げる特定個人情報(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下同じ。)の漏洩,滅失若しくは毀損(以下「漏洩等」という。)が発生し,又は発生したおそれがある事態
イ 情報提供ネットワークシステム及びこれに接続された電子計算機に記録された特定個人情報
ロ 個人番号利用事務実施者が個人番号利用事務を処理するために使用する情報システムにおいて管理される特定個人情報
ハ 行政機関,地方公共団体,独立行政法人等及び地方独立行政法人が個人番号関係事務を処理するために使用する情報システム並びに行政機関,地方公共団体,独立行政法人等及び地方独立行政法人から個人番号関係事務の全部又は一部の委託を受けた者が当該個人番号関係事務を処理するために使用する情報システムにおいて管理される特定個人情報要配慮個人情報が含まれる個人データの漏洩,滅失若しくは毀損(以下この条において「漏洩等」という。)が発生し,又は発生したおそれがある事態
②次に掲げる事態轉划又善聖、
イ 不正の目的をもって行われたおそれがある特定個人情報の漏洩等が発生し,又は発生したおそれがある事態
ロ 不正の目的をもって,特定個人情報が利用され,又は利用されたおそれがある事態
ハ 不正の目的をもって,特定個人情報が提供され,又は提供されたおそれがある事態
③個人番号利用事務実施者又は個人番号関係事務実施者の保有する特定個人情報ファイルに記録された特定個人情報が電磁的方法により不特定多数の者に閲覧され,又は閲覧されるおそれがある事態
④次に掲げる特定個人情報に係る本人の数が100人を超える事態
イ 漏洩等が発生し,又は発生したおそれがある特定個人情報
ロ 番号法第9条の規定に反して利用され,又は利用されたおそれがある個人番号を含む特定個人情報
ハ 番号法第19条の規定に反して提供され,又は提供されたおそれがある特定個人情報
2 前項により報告をする場合には,前項各号に定める事態を知った後,すみやかに,当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。次項において同じ。)を報告しなければならない。
① 概要
② 特定個人情報の項目
③ 特定個人情報に係る本人の数
④ 原因
⑤ 二次被害又はそのおそれの有無及びその内容
⑥ 本人への対応の実施状況
⑦ 公表の実施状況
⑧ 再発防止のための措置
⑨ その他参考となる事項
3 第1項の報告は,当該事態を知った日から30日以内(当該事態が前条第2号に定めるものである場合にあっては,60日以内)に行わなければならない。
4 第1項ただし書の規定による通知をする場合には,第1項各号に定める事態を知った後,すみやかに,第2項各号に定める事項を通知しなければならない。
5 第1項に規定する場合には,同項ただし書の規定による通知をした場合を除き,本人に対し,第1項各号に定める事態を知った後,当該事態の状況に応じてすみやかに,当該本人の権利利益を保護するために必要な範囲において,第2項第1号,第2号,第4号,第5号及び第9号に定める事項を通知しなければならない。ただし,本人への通知が困難な場合であって,本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは,この限りでない。
【中小規模事業者の場合】
会社は,情報漏洩等の事案の発生等に備え,従業者から責任者に対する報告連絡体制をあらかじめ確認しておかなければならない。
2 特定個人情報ファイルに記録された特定個人情報の漏洩,滅失,毀損その他の特定個人情報の安全の確保に係る事態であって,個人の権利利益を害するおそれが大きいものとして平成27年特定個人情報保護委員会規則で定めるものが生じたときは,同規則で定めるところにより,当該事態が生じた旨を委員会へ報告し,本人への通知を行わなければならない。
第9章 保有個人データに関する事項の公表·開示請求等への対応
(保有個人データに関する事項の公表等)
第47条 会社は,保有個人データに関し,次の各号に掲げる事項を,本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くものとする。
①当社の名称及び住所並びに代表者の氏名
②全ての保有個人データの利用目的(個人情報取扱規程2第17条第1号から第3号までに該当する場合を除く。)
③第49条から第51条の規定による求め又は請求に応じる手続
④保有個人データの安全管理のために講じた措置(ただし,本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
⑤保有個人データの取扱いに関する苦情の申出先
2 本人から,当該本人が識別される保有個人データの利用目的の通知を求められたときは,本人に対し,遅滞なく,これを通知しなければならない。ただし,次の各号のいずれかに該当する場合は,この限りでない。
1 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
2 個人情報取扱規程2第17条第1号から第3号までに該当する場合
3 前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは,本人に対し,遅滞なく,その旨を通知する。
(苦情·相談窓口)
第48条 特定個人情報の取扱いに関する苦情·相談の窓口業務は,○○部が担当
2 会社は,委託を受けて取得した特定個人情報又は個人データの取扱いに関する苦情について,委託者の指示に従わなければならない。
(開示)
第49条 当該本人が識別される保有個人データの開示(保有の有無を含む。)請求がなされた場合,本人のプライバシー保護のため,本人及び代理人(以下,本条及び次条において「本人等」という。)から開示等請求窓口に対し,原則として本人確認書類を添付した開示請求書により請求があった場合にのみ応じるものとする。
2 開示窓口は,○〇部とする。
3 第1項により,本人等による開示請求であることを確認した場合は,本人等に対して書面等の方法により,遅滞なく当該保有個人データを開示するものとする。
4 開示の方法は,電磁的記録の提供による方法,書面の交付による方法その他会社が定める方法のうち,当該本人が請求した方法による。ただし,当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては,書面の交付による方法による。
5 第3項の規定にかかわらず,開示することにより次の各号のいずれかに該当する場合は,特定個人情報管理者の決定により,その全部又は一部を開示しないことができる。
①本人又は第三者の生命,身体,財産その他の権利利益を害するおそれがある場合
②会社の業務の適正な実施に著しい支障を及ぼすおそれのある場合
③法令に違反することとなる場合
6 前項の定めにより保有個人データの全部又は一部を開示しない旨の決定をしたとき又は当該保有個人データが存在しないとき若しくは本人が請求した方法による開示が困難であるときは,遅滞なく,本人等に対しその旨通知するものとする。
7 本人等に対し保有個人データを開示する場合には,手数料を請求できるものとする。この手数料は,実費を勘案して,合理的な範囲で特定個人情報管理者が定めるものとする。
(訂正等)
第50条 本人等から,当該本人が識別される保有個人データの内容が事実でないという理由によって,当該「保有個人データ」の訂正,追加又は削除(以下「訂正等」という。)を求められた場合には,遅滞なく必要な調査を行い,その結果に基づき当該保有個人データの内容の訂正等を行うものとする。ただし,以下の場合には訂正等の求めに応じないことができる。
①利用目的の達成に必要な範囲を超えている場合
②他の法令の規定により,特別の手続が定められている場合
2 当該本人が識別される保有個人データの訂正等の請求に対しては,本人のプライバシー保護のため,本人等から訂正等請求窓口に対し,原則として本人確認書類を添付した訂正等請求書により請求があった場合にのみ応じるものとする。
3 訂正等請求窓口は,〇〇部とする。
4 第1項及び第2項の規定により,保有個人データの訂正等を行ったとき,又は行わない旨の決定をしたときは,本人に対し,遅滞なくその旨(訂正等を行ったときはその内容を含む。)を通知するものとする。
(利用停止等)
第51条 本人から,当該本人が識別される保有個人データが,第16条第1項又は第17条に違反しているという理由によって,当該保有個人データの利用の停止又は消去が求められた場合,及び番号法第19条各号に違反しているという理由によって,当該保有個人データの第三者提供の停止が求められた場合で,その求めに理由があることが判明した場合には,違反を是正するために必要な限度で,遅滞なく,当該求めに応じて当該措置(以下「利用停止等」という。)を講じなければならない。ただし,利用停止等を行うことが困難な場合であって,本人の権利利益を保護するため必要なこれに代わるべき措置をとる場合には当該措置を講じないことができる。
2 本人から,当該本人が識別される保有個人データを利用する必要がなくなったこと,当該本人が識別される保有個人データに係る個人情報取扱規程第48条第1項に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがあることを理由に,当該保有個人データの利用停止等又は第三者への提供の停止を請求された場合で,理由があることが判明したときは,本人の権利利益の侵害を防止するために必要な限度で,遅滞なく,当該保有個人データの利用停止等又は第三者への提供の停止を行う。ただし,当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって,本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは,この限りでない。
3 前条第2項ないし第4項は本条に準用する。ただし,各項における「訂正等」を「利用停止等」に読み替える。
第10章 その他
(懲戒)
第52条 会社は,本規程に違反した従業者に対して,就業規則に基づき懲戒処分を行う。
(損害賠償)
第53条 従業者が本規程に違反し,会社に損害を与えたときは,会社の被った損害を賠償するものとする。
2 従業者は,前条の規定により懲戒されたことによって,損害賠償の責任を免れることはできない。
(附則)
第54条 本規程は,令和〇年〇月〇日から施行する。
