個人情報管理運用細則(中小会社・全業種)
個人情報管理運用細則(中小会社・全業種) のテキスト
個人情報管理運用細則
第1章 総 則
(目 的)
第1条 この細則は、個人情報管理規程に基づく個人情報の適切な保護を行うために必要な運用ルール等を定め、もって、その一層の徹底を図ることを目的とする。
(定 義)
第2条 この細則において、次に掲げる用語の定義は、個人情報管理規程第○条に定めるところによる。
(1)個人情報
(2)個人情報保護管理責任者
(3)個人情報事業本部管理者
(4)教育担当者
(5)監査責任者
(6)受 領 者
(7)本 人
(8)本人の同意
(9)収集目的
(10)利 用
(11)提 供
(12)預 託
(個人情報の特定)
第3条 個人情報管理規程の対象となる個人情報は、次に示すものとする。
(1)氏名が含まれる情報
(2)氏名は含まれていないものの当該情報に含まれる個人別に付された番号、記号、画像、音声その他の情報により当該情報主体を識別できる情報
(3)当該情報のみでは識別できないが、当該情報に含まれる番号、記号その他の情報と当社が保有する他の情報または公開された情報をコンピュータ等による処理で組み合わせることによって当該情報主体を識別できる情報
(4)役職員および社員情報
(5)労働者派遣法に基づいて派遣されたものの個人情報
(6)その他、個人情報保護管理責任者が特定した個人情報
2 次の情報は、この細則の「個人情報」には含まれない。
(1)法人に関して記録された情報に含まれる当該法人の役員に関する情報、および事業目的であることが明らかな取引きに関する情報
3 第1項に該当するか否かが定かでない場合は、個人情報保護管理責任者が判断する。
(細則の改廃)
第4条 この細則の改廃は、個人情報保護管理責任者が起案し、社長が決裁する。
第2章 組 織
(推進組織)
第5条 個人情報保護管理責任者の下に、問合せ窓口、個人情報事業本部管理者を置く。
(個人情報保護管理責任者)
第6条 個人情報保護管理責任者は、社長が指名する事業本部長がその任にあたる。
(監査責任者)
第7条 監査責任者は、専務がその任にあたる。
(教育担当者)
第8条 教育担当者は、個人情報保護管理責任者に指名された者がその任にあたる。
2 教育・訓練計画は、毎年教育担当者が原案を策定し、個人情報保護管理責任者の承諾を得る。
3 教育担当者は、教育・訓練計画に基づく役員および従業員に対する教育の実施、ならびに各事業部の部内教育に対する指導・助言を行う。
4 教育担当者は、教育・訓練計画の実施状況を個人情報保護管理責任者に報告する。
(個人情報問合せ窓口)
第9条 問合せ窓口は、○○係がその任にあたる。
2 お客さま問合せの対応は、「問合せ受付細則」に従い行う。
(運用・管理担当)
第10条 個人情報事業本部管理者は、事業本部長がその任にあたる。
2 個人情報事業本部管理者は、当該事業部の従事者が個人情報に関するスタンダード、細則等を遵守し、適切に業務が遂行されるように指導、管理する。
3 個人情報事業本部管理者は、四半期に1回以上の部内教育を実施し、その内容を所定の「教育研修参加報告書」をもって教育担当に報告する。
第3章 運用・管理
(機微情報の取扱い)
第11条 原則として機微な個人情報は、収集、利用および提供してはならない。
(本人から直接収集する場合の措置)
第12条 本人から直接に個人情報を収集する場合は、収集目的、収集方法、収集様式、記載事項等について、収集する前に所定の「個人情報収集申請書」をもって個人情報事業本部管理者の承認を受けなければならない。
(本人以外から間接収集する場合の措置)
第13条 本人以外から間接的に個人情報を収集する場合は、収集目的、記載事項等について、収集する前に所定の「個人情報収集申請書」をもって個人情報事業本部管理者の承認を受けなければならない。また、第14条の定めに従い提供者と個人情報提供に関する契約を締結する。また、契約締結の際には、次に掲げる事項についても取り決め、個人情報の的確な運用、管理に心掛けなければならない。
(1)個人情報の受渡しの方法
(2)受取・返却の書面またはそれに代わる方法による記録
(3)不要となった個人情報の処分方法
2 前第1項(2)の受取・返却の書面またはこれに代わる方法による記録には、次に掲げる事項の内容を記録し、1年以上保管しなければならない。
(1)受取り、返却取扱者
(2)受渡し日付
(3)受渡し物件名称とその数量
(4)返却の有無(返却不要時の廃棄方法)
(5)返却または廃棄した場合の日付、担当者
(契約書の締結)
第14条 当社の業務において、継続的に第三者(取引先等)から個人情報の提供を受ける場合(受託業務等)、当社から第三者(外注先等)へ収集目的の範囲内で預託をする場合、外注を当社に受け入れる場合には、契約書またはこれに準ずる文書を取り交わし、個人情報保護に関する必要事項を条項に明記する。
2 契約書等の作成は、「契約管理規程」に示している事項を考慮して作成する。
(誓約書の提出要請)
第15条 外注を受け入れる場合は、外注技術者に当社が定める個人情報管理規程の目的とするところに従う旨の所定の「誓約書」の提出を求め、提出を拒否した外注技術者は、受け入れてはならない。
2 役職員および社員についても「誓約書」の提出を求める。
3 「誓約書」は年1回以上、必要に応じて徴収する。
(委託先の選定)
第16条 当社が委託処理のために個人情報を社外へ委託する場合には、次に掲げる各号のいずれかを満たす委託先(受領者)を選定しなければならない。また、選定時に確認した内容を所定の「個人情報委託先選定確認書」に記載し、個人情報保護管理責任者の承認を得る。
(1)JIS Q15001に準拠した個人情報保護が実施され、付与機関(一般財団法人日本情報経済社会推進協会)の認定を受けている、もしくは認定を受ける見込みがある。
(2)当社の個人情報保護方針および個人情報管理規程の目的とするところを理解し、それに準じた適切な保護措置を講ずることが、契約書等の書面で約束されている。
(3)その他、個人情報の保護措置が適切に講じられていることが明かである。
(4)その他
(利用および提供の例外扱い)
第17条 個人情報管理規程第○条第○項第○号から第○号までに掲げる事項による利用および提供の例外扱いを必要とする場合は、利用および提供を行う前に所定の「個人情報目的外利用申請書」をもって個人情報保護管理責任者に申請し承諾を得る。
2 例外扱いの利用および提供は、前項の申請事業部の個人情報事業本部管理者の責任において行う。
(収集目的外の利用および提供)
第18条 間接収集により提供を受けた個人情報は、収集目的の範囲を超えて利用および提供をしてはならない。ただし、当該情報の提供者からの要請により収集目的の範囲を超えて利用および提供を必要とする場合は、利用および提供する前に提供者と第14条の定めに従い契約書または覚書を取り交わす。
2 直接収集した個人情報を収集目的の範囲を超えて利用および提供を必要とする場合は、所定の「個人情報目的外利用申請書」をもって個人情報保護管理責任者に申請し承諾を得た後、本人に通知し、あらかじめ本人の同意を得る。また、通知した結果を個人情報保護管理責任者へ報告する。
(自己情報に関する権利)
第19条 本人から自己の情報について開示または訂正および削除を求められた場合は、本人であることを確認のうえ、速やかに応ずる。
(個人情報の訂正処理手続)
第20条 個人情報の訂正は、個人情報を取り扱う業務ごとに、次に掲げる各号または同等以上の内容について事前に定め、その定めに従って行わなければならない。
(1)個人情報事業本部管理者は、個人情報の取扱者を特定し、その者以外の者に訂正作業を行わせてはならない。
(2)取扱者は、訂正作業を個人情報事業本部管理者の指示に従って行い、個人情報事業本部管理者が作業結果を確認する。
(3)更新理由、訂正申請者(情報主体)、訂正日付、管理責任者、取扱者および訂正内容を記録し一年間保管する。
(4)不要となった個人情報は、契約書等で定められている方法により、廃棄、返却、消去等を行い、その記録を一定期間保管する。
(個人情報の台帳管理)
第21条 第3条第1項各号に該当する個人情報は、当該個人情報を取り扱う各部署が、所定の「個人情報資産管理台帳」に遅滞なく記録し、管理する。
2 「個人情報資産管理台帳」は、当該個人情報が不要となった後、3年間保管する。
3 「個人情報資産管理台帳」は、個人情報保護管理責任者へ報告し、1年間保管する。
(保管場所)
第22条 個人情報は、キャビネットや金庫等の施錠可能な場所に保管する。
2 個人情報の未使用時は、保管場所に格納し施錠しなければならない。
(個人情報のアクセス制限)
第23条 コンピュータシステムに記録されている個人情報へのアクセスは、ユーザIDやパスワードによりアクセス可能な者を制限するほか、特に重要な情報には暗号化等による情報漏えいの防止策を講ずる。
2 漏えい防止については、フロッピー等の記録媒体の盗難防止のほか、容易に持ち出しが可能な機器(ノートパソコン等)には、個人情報を登録保管しないなどの措置をとる。
3 個人情報に対するアクセスについては、後日アクセス状況が確認できるように、アクセス日、アクセス者、アクセスファイル、アクセス内容(検索、変更、削除、登録)等を記録し、一年間保管する。
4 パスワードの漏えいのおそれがある場合は、随時変更する。少なくとも6カ月をめどとする有効期限を定め変更する。
(複写の禁止)
第24条 個人情報は、原則として複写してはならない。ただし、バックアップなどやむを得ない理由により複写を必要とする場合は、次に掲げる各号の内容について事前に定め、その定めに従わなければならない。
(1)申請者は、「秘密文書閲覧・複写等申請書」をもって個人情報事業本部管理者に申請し承諾を得る。
(2)個人情報事業本部管理者は、取扱者を特定し、その者以外の者に作業を行わせてはならない。
第4章 その他
(事故発生時の対応)
第25条 個人情報に関する事故が発生した場合には、速やかに当該情報を取り扱う個人情報事業本部管理者を通じて個人情報保護管理責任者および個人情報問合せ窓口に報告しなければならない。
2 個人情報保護管理責任者は、当該情報の関係者と対応を協議し、適切な処置を講ずるとともに社長に報告する。
3 事故発生時の対応は、「危機管理計画」による。
(監査の実施)
第26条 個人情報保護マネジメントシステムの運用状況の監査は、個人情報保護監査細則に基づいて実施する。
付 則
この細則は、○年(平成○年)○月○日より施行する。