個人情報管理規程
(目的)
- 第1条 本規程は、当施設が保有するすべての個人情報を適正に取得し、保管・管理し、取扱うことによって、それらの情報が不正に社外へ流出することのないように、保護管理の仕組みその他必要な事項を定めることを目的とする。
(法令の遵守)
- 第2条 本規程に定めのない事項については、個人情報の保護に関する法律、同施行令及びその関連法規の定めるところによる。
(用語の定義)
- 第3条 規程における用語の定義は、次のとおりとする。
① 弊所は、支払い情報や個人の与信情報管理のため、個人・法人の情報を交換することがありますが、その相手方は 信頼のおける信用情報機構等とします。
② 個人データとは、個人情報が検索可能な状態に整理されているものをいう。
③ 配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他本人に対する不当な差別・偏見その他の不利益が生じないように配慮を要する個人情報をいう。
(適用範囲)
- 第4条 本規程は、当施設におけるすべての職員に適用する。
2. 当施設が管理する個人情報あるいは個人データを利用して当施設の特定業務を代行する委託業者に対しては、その適正な情報の保護管理について、業務を委託する部署の個人情報管理責任者が責任を持たなければならない。
(管理体制)
- 第5条 個人情報の保護管理体制は、次のとおりとする。
① 個人情報総括管理責任者(以下「総括管理責任者」という。)を置き、担当役員がこれに当たる。
② 総括管理責任者の下に各部担当の個人情報管理責任者(以下「管理責任者」という。)を置き、各部長がこれに当たる。
③ 管理責任者の下に個人情報管理者(以下「管理者」という。)を置き、各課長がこれに当たる。
④ 監査人を置き、監査役がこれに当たる。
前項のほか、前項各号に定める総括管理責任者、管理責任者及び管理者をもって個人情報管理者会議を構成する。なお、監査人は、必要に応じて会議に出席することとする。
(総括管理責任者)
- 第6条 総括管理責任者は、当施設にかかわるすべての者に関する個人情報の適正な収集、個人デー タ化、保管管理 (利用 ・提供 ・開示 ・訂正 ・削除等)に関する総括的な責任と権限を有するとともに、全社的な個人情報保護管理体制の構築・改善・強化及び運営について、総括的な責任と権限を有する。また、定期又は必要と認めたときに個人情報管理者会議を招集し、その議長を務める。
2. 統括管理責任者は、監査人から改善指示を受けた場合には、速やかに指摘事項に関する改善を行い、その内容を監査人に報告しなければならない。
3. 総括管理責任者が必要と認めた場合には、管理責任者の中から1名を総括管理副責任者に任命することができる。
4. 総括管理副責任者は、常に総括管理責任者を補佐するとともに、総括管理責任者に事故あるときは、その業務を代行しなければならない。
(管理責任者)
- 第7条 管理責任者は、担当する部署にかかわるすべての個人情報に関し、その適正な収集・個人デー タ化 ・保管管理及び取扱責任者の指導管理、部員全員の個人情報保護に関する指導・教育についての責任と権限を有する。ただし、総括管理責任者に対する報告は密にし、特殊な事案が発生した場合には、他の管理責任者の意見を聞き総括管理責任者に相談して、その取扱方法を決定しなければならない。
2. 管理責任者が必要と認めた場合には、管理者の中から1名を管理副責任者に任命することができる
3. 管理副責任者は、常に管理責任者を補佐するとともに、管理責任者に事故あるときは、その業務を代行しなければならない。
(管理者)
- 第8条 管理者は、担当する業務に関連する個人情報の適正な収集・個人デー タ化 ・保管管理及び取扱担当者の指導管理、課員全員の個人情報保護に関する指導・教育について、責任と権限を有する。ただし、管理責任者に対する報告は密にし、特殊な事案が発生した場合には、他の管理者の意見を聞き管理責任者に相談して、その取扱方法を決定しなければならない。
2. 管理者が必要と認めた場合には、部下の中から1名を副管理者に任命することができる。
3. 副管理者は、常に管理者を補佐するとともに、管理者に事故あるときは、その業務を代行しなければならない。
(監査)
- 第9条 監査人による監査は、個人情報保護管理体制が円滑に機能しその保護管理が適正になされているかどうかについて、年2回定期に、その他必要に応じて臨時に行い、その結果は、監査報告書にまとめて総括管理責任者に報告しなければならない。
2. 監査の結果、改善すべき点、法令違反の疑いがある点等があった場合には、監査報告書にその旨を記載して総括管理責任者に改善指示を行い、あるいは個人情報管理者会議に出席して、それらの改善を求めなければならない
(個人情報管理者会議)
- 第10条 個人情報管理者会議においては、次の事項を審議し決定する。
① 個人情報の取得、管理の方法に関する事項
② 個人情報の利用、加工及び外注先への提供とその管理に関する事項
③ 個人情報を目的外に使用する場合の諸手続に関する事項
④ 個人情報に関する問合わせがあった場合の対応、取扱い等に関する事項
⑤ 個人情報の廃棄・消去等及びコンピューター等の廃棄等に関する事項
⑥ 個人情報が漏洩した場合の対応等に関する事項
⑦ その他個人情報の保護・管理に関する事項
(個人情報取得上の原則)
- 第11条 個人情報は、個人情報提供者に対し、その利用目的を具体的に示して取得しなければならない。
2. 利用目的外の不必要な個人情報及び要配慮個人情報は、本人の了解がない限り収集してはならない。
3. 不正な方法・手段で個人情報を取得している業者等から、個人情報を収集してはならない。
(個人情報利用上の原則)
- 第12条 個人情報は、その取得に際して個人情報提供者に示した利用目的の範囲内で利用
2. 個人情報の取得に際して個人情報提供者に示した利用目的以外の目的で、その個人情報を使用する場合には、あらためてその利用目的を個人情報提供者に通知し、同意を得なけれならない。
3. あらかじめ個人情報提供者の同意を得たうえでなければ、個人情報を第三者に提供してはならない。
(業務委託業者への個人情報の提供と指導等)
- 第13条 当施設の業務を他社に委託する際、当施設保有の個人情報をその委託業者に提供する場合は、提供した個人情報が第三者に淵れることのないように、責任を持って事前に委託業者に対し取扱い・保管上の細心の注意を求めるとともに、その管理のあり方について常に指導し、それを担保する意味で個人情報保護に関する誓約書を提出させなければならない。
(個人情報の廃棄)
- 第16条 個人情報を廃棄するときには、必ずシュレッダー を使 って、確実に行わなければならない。
2. 個人情報を取り扱った コ ンピュー ター 本体や F D · H D 等を廃棄する場合には、物理的に個人情報の記録が完全に消去されていることを確認した上で行わなければならない。
(個人情報保護に関する教育の実施)
- 第17条 当施設は、個人情報保護の重要性とそれが第三者に漏洩した場合の社会的責任の重大性を全社共通の認識とするために、定期的に個人情報保護に関する教育を行う。
2. 前項に定める教育計画は、総括管理責任者の責任で個人情報管理者会議において立案・検討し、毎年度の事業計画の発表に合わせて発表する。
3. 第1項の教育の受講は、従業者全員の義務とし、社会通念上やむを得ない事由がある場合を除き、この受講を拒むことはできない。
(懲戒)
- 第19条 職員が在職中又は退職後に本規程に違反し、当施設に多大な損害を与えた場合には、その全部又は一部を賠償させることがある。
(変更)
- 第20条 当施設は、業務上の必要がある都度、本規程を改正、廃止、追加等の変更をすることがある。
2. 本規程を変更するときは、職員代表の意見を聴く。
3. 変更された個人情報管理規程は、実施の日までに職員に周知する。
4. 変更された個人情報管理規程は、職員代表の意見書を添えて労働基準監督署長に届け出る。
附則
(施行日)
第1条 本規程は、令和2年1月1日より実施する。