個人情報保護基本規程(大会社・全業種)
個人情報保護基本規程(大会社・全業種) のテキスト
個人情報保護基本規程
第1章 総 則
(目 的)
第1条 本規程は、□□株式会社(以下「当社」という。)が取扱う個人情報の取得、利用または提供方法などを定めることにより、個人情報を適切に保護することを目的とする。
(適用範囲)
第2条 本規程は、当社において、コンピュータシステムにより処理されているか否か、および書面に記録されているか否か等を問わず、事業の用に供しているすべての個人情報を対象とする。
2 当社の役員、社員、臨時社員、派遣社員および協力会社社員等の個人情報についても本規程の対象とする。
(用語および定義)
第3条 本規程で用いる主な用語の定義は次のとおりとする。
(1)個人情報:個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む)。
(2)本人:個人情報によって識別される特定の個人。
(3)個人情報保護管理責任者:代表者によって当社の内部から指名された者であって、個人情報保護マネジメントシステムの実施および運用に関する責任および権限を持つ者。
(4)個人情報保護担当者:当社の各部門において、個人情報保護マネジメントシステムの実施および運用に関する責任および権限を持つ者。
(5)個人情報保護監査責任者:代表者によって当社の内部の者から指名された者であって、公平、かつ、客観的な立場にあり、監査の実施および報告を行う責任および権限を持つ者。
(6)教育研修責任者:個人情報保護管理責任者が任命し、「個人情報保護教育規程」に従い、全従業者に対するPMS教育を計画、実行する責任および権限を持つ者。
(7)苦情・相談窓口責任者:個人情報に関する開示、訂正、削除、利用または提供の拒否、および苦情・相談への対応について責任と権限を持つ者。
(8)従業者:当社の役員、社員、臨時社員、派遣社員、協力会社社員等。
(9)本人の同意:本人が、個人情報の取扱いに関する情報を与えられたうえで、自己に関する個人情報の取扱いについて承諾する意思表示。本人が15歳以下の子供等の場合は、保護者の同意も得るものとする。
(10)個人情報保護マネジメントシステム(以下、「PMS」と略して使用することもある。):当社が、自らの事業の用に供する個人情報について、その有用性に配慮しつつ、個人の権利利益を保護するための方針、体制、計画、実施、監査および見直しを含むマネジメントシステム。
(11)不適合:要求事項を満たしていないこと。
(12)是正処置:検出された不適合の原因を除去するための処置。
(13)予防処置:検出されていない不適合を未然に防止すること。
(14)目的外利用:特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い。
(15)本人にアクセスする:個人情報の利用目的の達成にあたり、本人に対し、郵便、電話またはメールなどで連絡するまたは接触すること。
(16)開示対象個人情報:電子計算機を用いて検索することができるように体系的に構成した情報の集合物または一定の規則に従って整理、分類し、目次、索引、符合などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であって、当社が、本人から求められる開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止の求めの全てに応じることができる権限を有するもの。
(個人情報保護方針)
第4条 代表者は、個人情報保護の理念を明確にした上で、次の事項を含む個人情報保護方針を定めるとともに、これを実行し維持しなければならない。
(1)事業の内容および規模を考慮した適切な個人情報の取得、利用および提供に関すること(目的外利用を行わないことおよびそのための措置を講じることを含む。)
(2)個人情報の取扱いに関する法令、国が定める指針およびその他の規範を遵守すること
(3)個人情報の漏えい、滅失またはき損の防止および是正に関すること
(4)苦情および相談への対応に関すること
(5)個人情報保護マネジメントシステムの継続的改善に関すること
(6)代表者の氏名
2 代表者は、この方針を文書化し、従業者に周知させるとともに、一般の人が入手可能な措置を講じなければならない。
第2章 計 画
(個人情報の特定)
第5条 個人情報保護管理責任者は、当社が自らの事業の用に供する全ての個人情報を特定するための手順を確立し、維持しなければならない。
2 個人情報の特定についての詳細は、「個人情報保護管理規則」および「個人情報特定手順書」に定める。
(法令、国が定める指針およびその他の規範)
第6条 個人情報保護管理責任者は、個人情報の取扱に関する法令、国が定める指針その他の規範を特定して参照できる手順を確立し、維持しなければならない。
(リスクなどの認識、分析および対策)
第7条 個人情報保護管理責任者は、第5条において特定した個人情報について、目的外利用を行わないため、必要な対策を講じる手順を確立し、維持しなければならない。
2 リスクの認識、分析、対策についての詳細は「個人情報リスク分析手順書」に定める。
(資源、役割、責任および権限)
第8条 代表者は、個人情報保護マネジメントシステムを確立し、実施し、維持し、改善するために不可欠な資源を用意しなければならない。
2 個人情報保護に関する組織の詳細については、「個人情報保護組織規程」に定める。
3 個人情報保護管理責任者は個人情報保護マネジメントシステムの見直しおよび改善の基礎として、代表者に個人情報保護マネジメントシステムの運用状況を報告しなければならない。
(内部規程)
第9条 代表者は、必要な内部規程を文書化し、維持するとともに、個人情報保護マネジメントシステムが確実に適用されるように内部規程を改訂しなければならない。
2 内部規程の取扱いは、「個人情報保護文書管理規則」に詳細を定める。
(計画書)
第10条 個人情報保護管理責任者は、個人情報保護マネジメントシステムを確実に実施するために必要な教育、監査などの計画を立案し、文書化し、かつ、維持しなければならない。
2 教育計画についての詳細は「個人情報保護教育規程」に定める。
3 監査計画についての詳細は「個人情報保護監査規程」に定める。
(緊急事態への準備)
第11条 個人情報保護管理責任者は、緊急事態を特定するための手順、また、それらにどのように対応するのかの手順を確立し、実施し、維持しなければならない。
2 緊急事態への準備の詳細については「個人情報緊急事態対応規則」に定める。
第3章 取得・利用および提供に関する原則
(利用目的の特定)
第12条 個人情報の取得は、当社の正当な事業の範囲内で、利用目的をできる限り特定し、その目的の達成に必要な限度においてこれを行うものとする。
(適正な取得)
第13条 個人情報の取得は、適法かつ公正な手段によって行うものとする。
(特定の機微な個人情報の取得の制限)
第14条 次に掲げる種類の内容を含む個人情報については、これを取得、利用または提供してはならない。ただし、当該情報の取得、利用または提供について、明示的な本人の同意、法令に特段の規定がある場合、または司法手続上必要不可欠である場合については、この限りではない。
(1)思想、信条および宗教に関する事項
(2)人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項
(3)勤労者の団結権、団体交渉およびその他団体行動の行為に関する事項
(4)集団示威行為への参加、請願権の行使およびその他の政治的権利の行使に関する事項
(5)保健医療および性生活に関する事項
(本人から直接書面によって取得する場合の措置)
第15条 本人から直接に、書面(電磁的方式などで作られた記録を含む。)に記載された個人情報を取得する際は、本人に対して、少なくとも、次に掲げる事項またはそれと同等以上の内容の事項を、あらかじめ書面によって明示し、当該個人情報の取得、利用または提供に関する同意を得るものとする。
(1)当社の各称
(2)個人情報保護管理責任者の氏名または職名、所属および連絡先
(3)利用目的
(4)個人情報の提供を行うことが予定される場合には、その目的、当該情報の個人情報受領者または個人情報受領者の組織の種類、属性および個人情報の取扱いに関する契約の有無
(5)個人情報の委託を行うことが予定される場合には、その旨
(6)開示対象個人情報に該当する場合、本人からの開示、訂正、追加または削除、利用または提供の拒否の求めに応じる旨および問合せ窓口
(7)本人が個人情報を与えることの任意性および当該情報を与えなかった場合に生じる結果
(8)本人が容易に認識できない方法によって個人情報を取得する場合にはその旨
(第15条以外の方法によって取得する場合の措置)
第16条 個人情報を第15条以外の方法によって取得する場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知し、または公表しなければならない。ただし、次のいずれかに該当する場合は、通知または公表を必要としない。
(1)利用目的を本人に通知し、または公表することによって本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)利用目的を本人に通知し、または公表することによって当社の権利または正当な利益を害するおそれがある場合
(3)国の機関または地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、または公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき
(4)取得の状況から見て、利用目的が明らかであると認められる場合
第4章 個人情報の利用に関する措置
(利用範囲の制限)
第17条 個人情報の利用は、特定した利用目的の達成に必要な範囲内で行わなければならない。
(目的内利用の場合の措置)
第18条 次に示すいずれかに該当する場合は、前条に定める本人の同意を必要としないものとする。
(1)法令の規定による場合
(2)本人または公衆の生命、健康、財産等の重大な利益を保護するために必要な場合
(3)国の機関等が、法令の定める事務を遂行する場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
(目的外利用の場合の措置)
第19条 特定した利用目的の達成に必要な範囲を超えて個人情報の利用を行う場合または前条(1)から(3)に掲げるいずれの場合にも当たらない個人情報の利用を行う場合においては、少なくとも、第15条(1)から(6)に掲げる事項を書面またはこれに代わる方法によって本人に通知し、事前の本人の同意を得、または利用より前の時点で本人に拒絶の機会を与える等、本人による事前の了解の下に行うものとする。
第5章 個人情報の提供に関する措置
(提供範囲の制限)
第20条 個人情報の提供は、本人が同意を与えた利用目的の範囲内で行うものとする。
(目的内提供の場合の措置)
第21条 利用目的の範囲内で行う個人情報の提供は、少なくとも、第15条(1)から(6)に掲げる事項を書面またはこれに代わる方法によって本人に通知し、事前の本人の同意を得、または提供より前の時点で本人に拒絶の機会を与える等、本人による事前の了解の下に行うものとする。ただし、次に掲げるいずれかの場合においてはこの限りではない。
(1)本人からの個人情報の取得時に、あらかじめ当該情報の提供を予定している旨、第15条(4)に従い本人の同意を得ている個人情報受領者に対して提供を行う場合
(2)第18条(1)または(2)に該当する場合
(目的外提供の場合の措置)
第22条 利用目的の範囲を超えて個人情報の提供を行う場合または第18条(1)および(2)に掲げるいずれの場合にも当たらない個人情報の提供を行う場合においては、少なくとも、個人情報の個人情報受領者に関する次の(1)から(6)までに相当する事項を書面またはこれに代わる方法によって本人に通知し、事前の本人の同意を得るものとする。ただし、既に本人が、当該事項の通知を受け包括的な同意を与えていることが明白な場合は、この限りではない。
(1)個人情報受領者の個人情報に関する管理者またはその代理人の氏名または職名、所属および連絡先
(2)利用目的
(3)個人情報の再提供を行うことが予定される場合には、その目的、当該情報の個人情報受領者または個人情報受領者の組織の種類、属性および個人情報の取扱いに関する契約の有無
(4)個人情報の委託を行うことが予定される場合には、その旨
(5)個人情報を提供することの任意性および当該情報を提供しなかった場合に本人に生じる結果
(6)個人情報の開示を求める権利および開示の結果、当該情報が誤っている場合に訂正または削除を要求する権利の存在ならびに当該権利を行使するための具体的方法
第6章 個人情報の適正管理
(正確性の確保)
第23条 個人情報は、利用目的に応じ必要な範囲内において、正確、かつ最新の状態で管理するものとする。
(安全管理措置)
第24条 個人情報への不正アクセス、個人情報の紛失、破壊、改ざんおよび漏洩など個人情報に関するリスクに対して、技術面および組織面において合理的な安全対策を講ずるものとする。
(個人情報の秘密保持に関する従事者の責務)
第25条 当社において個人情報の取得、利用および提供に従事する者は、法令の規定または本規程もしくは個人情報保護管理責任者および個人情報保護担当者の指示に従い、個人情報の秘密の保持に十分な注意を払いつつその業務を行うものとする。
(個人情報を委託する場合の措置)
第26条 情報処理を委託するなどのために個人情報を委託する場合は、別途定める基準を満たしている者を選定するとともに、契約によって、次に掲げる内容を規定し、その保護水準を担保するものとする。
(1)個人情報に関する秘密保持に関する事項
(2)再委託に関する事項
(3)事故時の責任分担に関する事項
(4)契約終了時の個人情報の返却および消去に関する事項
2 前項の契約などの書面またはこれに代わる記録は、個人情報の保有期間にわたって保存しなければならないものとする。
第7章 自己情報に関する本人の権利
(自己情報に関する権利)
第27条 本人から自己の情報について開示を求められた場合は、原則として合理的な期間内にこれに応じるものとする。また開示の結果、誤った情報があり、訂正または削除を求められた場合は、原則として合理的な期間内にこれに応ずるとともに、訂正または削除を行った場合は、可能な範囲内で当該個人情報の受領者に対して通知を行うものとする。
(個人情報の利用または提供の拒否権)
第28条 当社が既に保有している個人情報について、本人から自己の情報についての利用または第三者への提供を拒まれた場合は、これに応ずるものとする。ただし、次に掲げるいずれかに該当する場合は、この限りではない。
(1)法令の規定による場合
(2)本人または公衆の生命、健康、財産などの重大な利益を保護するために必要な場合
第8章 組織および実施責任
(個人情報保護管理責任者および個人情報保護監査責任者の選任)
第29条 社長は、本規程の内容を理解し実践する能力のある者を、個人情報保護管理責任者として1名指名するものとする。
2 社長は、本規程の内容を理解し公平かつ客観的な立場にある者を、個人情報保護監査責任者として1名指名するものとする。
(個人情報保護管理責任者の責務)
第30条 個人情報保護管理責任者は、本規程に定められた事項を理解し、および遵守するとともに、個人情報の取得、利用、または提供に従事する者にこれを理解させ、および遵守させるための教育訓練、安全対策の実施ならびに周知徹底等の措置を実施する責任を負うものとする
(個人情報保護管理責任者による個人情報保護担当者の選任)
第31条 個人情報保護管理責任者は、各部署ごとに個人情報保護担当者を1名ずつ指名するものとする。
2 個人情報保護管理責任者は、教育研修責任者を1名および苦情・相談窓口責任者を1名指名するものとする。
(個人情報保護担当者の責務)
第32条 個人情報保護担当者は、個人情報保護管理責任者から指定された組織単位で取扱う個人情報の管理に関して責任を負うものとする。
(教育研修責任者の責務)
第33条 教育研修責任者は、本規程に定められた事項を理解し、および遵守するとともに、役員、社員および派遣社員に本規程を遵守させるための教育訓練を企画・運営する責任を負うものとする。
(個人情報保護監査責任者の責務)
第34条 個人情報保護監査責任者は、本規程に定められた事項を理解し、および遵守するとともに、定期的に本規程が適切かつ有効に実施されているかを監査する責任を負うものとする。
(苦情・相談窓口責任者の責務)
第35条 苦情・相談窓口責任者は、本規程に定められた事項を理解し、および遵守するとともに、本人からの個人情報に係る問い合わせ・苦情等を受け付けて対応するとともに、相談内容を分析し、再発防止等を検討して本規程の運営に反映させる責任を負うものとする。
第9章 教 育
(教育の実施)
第36条 役員および社員は、教育研修責任者が主催する本規程を遵守させるための教育を受けなければならない。教育の内容およびスケジュール等は、事業年度毎に教育研修責任者が定める。
第10章 点 検
(運用の確認)
第37条 個人情報保護管理責任者は、個人情報保護マネジメントシステムが適切に運用されていることが当社の各部門および階層において定期的に確認されるための手順を確立し、実施し、かつ、維持しなければならない。
2 運用の確認に関する詳細は「個人情報保護管理規則」に定める。
(監 査)
第38条 当社は、個人情報保護マネジメントシステムのJISQ15001への適合状況および個人情報保護マネジメントシステムの運用状況を定期的に監査するものとする。
2 監査に関する詳細については「個人情報保護監査規程」に定める。
第11章 是正処置および予防処置
(是正処置および予防処置)
第39条 個人情報保護管理責任者は、不適合に対する是正処置および予防処置を確実に実施するための責任および権限を定める手順を確立し、実施し、維持するものとし、その手順には、以下の事項を含めるものとする。
a)不適合の内容を確認する。
b)不適合の原因を特定し、是正処置および予防処置を立案する。
c)期限を定め、立案された適切な処置を実施する。
d)実施された是正処置および予防処置の結果を記録する。
e)実施された是正処置および予防処置の有効性をレビューする。
2 是正処置および予防処置の詳細については「是正・予防に関する規則」に定める。
第12章 代表者による見直し
(個人情報保護マネジメントシステムの見直し)
第40条 社長は、監査報告書およびその他の経営環境になどに照らして、適切な個人情報の保護を推進するために、少なくとも年1回(原則として毎年4月とし、その他必要に応じて随時)個人情報保護マネジメントシステムの見直しを行うものとする。
2 個人情報保護管理責任者は、社長の指示に基づき個人情報保護マネジメントシステムの見直し案を作成して社長の承認を得るほか、当該見直し案の中に規程・規則の制定・改廃が含まれる場合は、各規定に基づく制定・改廃手続を行うものとする。なお、個人情報保護監査の実施に関する部分の見直しについては、個人情報保護監査責任者が見直し案を作成して社長の承認を得るほか、当該見直し案の中に規程・規則の制定・改廃が含まれる場合は、各規程・規則に基づく制定・改廃手続を行うものとする。
3 個人情報保護管理責任者および個人情報保護監査責任者は、前項の手続により見直された部分につき社内への周知徹底を図るとともに、個人情報の取扱い方法等に変更が生じる場合は関係部門に対し書面によりこれを指示するものとする。また、関係部門の対応につきフォローアップを行うとともに、対応状況を社長に報告する。
第13章 文書管理
(個人情報保護マネジメントシステム文書の作成)
第41条 個人情報保護管理責任者は、書面またはこれに代わる方法で、個人情報保護マネジメントシステムの基本となる要素を記述するものとする。
(文書の管理)
第42条 個人情報保護管理責任者は、日本工業規格JISQ15001「個人情報保護マネジメントシステムの要求事項」が要求するすべての文書を管理するものとする。
第14章 罰 則
(本規程に違反した場合の措置)
第43条 個人情報の取扱いにつき本規程に違反した場合は、当社の就業規則に基づき懲戒に処す。
第15章 雑 則
(規則および細則)
第44条 本規程の運用に必要な規則および細則は別途定める。
付 則
本規程は、○年(平成○年)○月○日から施行する。