第1章 総則
【目的】
第1条 本規程は、株式会社イシイ(以下「当社」という。)における個人情報の適法かつ適正な取扱いの確保に関する基本的事項を定めることにより、個人の権利・利益を保護することを目的とする。
【定義】
第2条 本規程において、各用語の定義は、次のとおりとする。
(1)個人情報
生存する「個人に関する情報」であって、特定の個人を識別することができるもの、または他の情報と容易に照合することができ、それにより特定の個人を識別することができるものをいう。なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報である場合には、当該生存する個人に関する情報となる。また、「生存する個人」には、外国人も含まれるが、法人などの団体に関する情報は含まれない。
(2)個人情報データベース
特定の個人情報を体系的に構成した、ファイルやお客様台帳など個人情報を一定の規則(たとえば五十音順等)に従って整理・分類し、他人によっても容易に検索可能な状態においているものをいう。
(3)個人データ
当社が管理する「個人情報データベース等」を構成する個人情報をいう。
(4)保有個人データ
当社が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の全てを行うことができる権限を有する「個人データ」をいう。ただし、次に該当するものは除く。
① 本人または第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
② 違法又は不法な行為を助長し、又は誘発するおそれがあるもの
③ 国の安全が害されるおそれ、他国もしくは国際機関との交渉上不利益を被るおそれのあるもの
④ 犯罪の予防、鎮圧又は操作その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
⑤ 6カ月以内に消去する(更新を除く)こととなるもの
(5)本人
個人情報によって識別される特定の個人をいう。
(6)個人情報管理責任者
個人情報保護対策の策定、実施、評価、改善等の個人情報保護のための業務について、統括的責任と権限を有する者をいう。
(7)個人情報管理者
各種個人情報の入力・出力を行う担当者を監督し、台帳・申込書等の個人情報を記載した帳票・帳表の保管・管理等をする者をいう。
(8)社員
当社にあって、直接間接に当社の指揮監督等を受けて、当社の業務に従事している者をいい、雇用関係にある従業員(月給者、日給者、嘱託社員、パート社員等)のみならず、取締役、監査役、顧問、派遣社員等も含まれる。
(9)利用目的
一連の個人情報の取扱いにより達成しようとする目的をいう。
(10)個人情報の取扱い
個人情報の取得、整理、分類、照合、処理、複製、委任、第三者提供、共同利用その他一切の利用、保有及び個人情報の廃棄、消去、破壊をいう。
【適用】
第3条 本規程は、社員に適用する。
2 本規程は、当社が現に保有している個人情報(その取扱いを委任されている個人情情報を含む。)、及びその取扱いを委託している個人情報を対象とする。
【個人情報保護方針】
第4条 当社における個人情報の適法かつ適正な取り扱いを確保するため、次の事項を含む「個人情報保護方針」を定める。
(1)個人情報に関する法令の遵守と、当社の事業内容に照らし適正に個人情報を取扱う
(2)「個人情報の保護に関する法律」により「公表」等を義務付けられている事項
(3)個人情報の安全管理措置及び個人情報管理技術に関する事項
(4)個人情報保護の社内体制に関する事項
(5)評価・見直しに関する事項
2 個人情報保護方針は、社員に周知せしめるものとする。
第2章 管理体制
【個人情報保護管理者】
第5条 当社は、個人情報の取扱いに関して総括的な責任を有する個人情報保護管理者を設置する。
(1)個人情報保護管理者は、取締役の中より任命される
(2)個人情報保護管理者の任期は、取締役議決によりその任命を解かれるまで、または、取締役でなくなった時まで
(3)個人情報保護管理者は、個人情報管理担当者を指名し、個人情報管理に関する業務を分担させることができる
2 個人情報保護管理者は、個人情報管理に関する監査を除き、当社における個人情報管理に関するすべての職責と権限を有する。
(1)本規程第4条に基づく個人情報保護方針の策定及び取締役会への上程、社員への周知、一般への公表
(2)本規程に基づき個人情報の取扱いを管理するうえで必要とされる細則の承認
(3)個人情報に関する安全対策の策定・推進
(4)個人情報の適正な取扱いの維持・推進を目的とした諸施策の策定・実施
(5)事故発生時の対応策の策定・実施
3 個人情報保護管理者は、監査責任者より監査報告を受け、個人情報管理体制の改善を行う。
【個人情報の取扱いの決定】
第6条 個人情報の基本的取扱いに関しては、個人情報管理責任者がその適否を判断し、例外的取扱いに関しては、個人情報保護管理者にその適否の判断を求めるものとする。
【監査責任者】
第7条 個人情報管理責任者は、当社内の個人情報を取扱う業務において、本規程が遵守され、個人情報の取扱いが適法かつ適切に行われているかについて、公平かつ客観的な立場で調査・確認・評価(以下「個人情報の取扱いに関する監査」という)する責務を負い、その結果を個人情報保護管理者に報告する義務を負う。
2 監査責任者は、個人情報の取扱いに関する監査に必要な調査権限を有する。
3 監査責任者は、個人情報の取扱いに関する監査に必要な監査担当者を選任することができる。
第3章 運用
第1節 個人情報の取扱いの原則
【管理原則】
第8条 個人情報は、本規程に従い適切に分類・管理し、その重要度に応じて適切に取得、移送、利用、保管、廃棄されなければならない。
【利用目的】
第9条 当社は、個人情報の利用目的をできる限り特定する。
2 個人情報は、あらかじめ本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて取り扱ってはならない。利用目的の範囲内か否かが不明な場合は、都度、個人情報保護管理者に判断を求めなければならない。
3 利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると認められる範囲を超えて行ってはならず、変更された利用目的は遅滞なく本人に通知又は公表しなければならない。
第2節 個人情報の取得
【適正な取得】
第10条 個人情報は、偽りその他不正の手段により取得してはならない。
【特定の個人情報の取得の禁止】
第11条 原則として、次の各号に示す内容を含む個人情報は、これを取得し、または第三者に提供してはならない。ただし、業務上必要であり、かつ、本人に対し当該情報の利用目的及びその必要性等について適切な情報を明示した上で明確に本人の同意を得た場合、または法令に特別の規定がある場合、あるいは司法手続上必要不可欠な場合はこの限りではない。
(1)思想、信条及び信教に関する事項
(2)家柄、本籍地、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
(3)勤労者の団体権の行使、団体交渉及びその他団体行動に関する事項
(4)集団示威行為(デモ等)への参加、及びその他の政治的権利の行使に関する事項
(5)保健医療に関する事項
(6)その他個人情報保護管理者の定める事項
【本人から直接個人情報を取得する際の措置】
第12条 申込書・アンケート・契約書等、書面(電子メール、自社ホームページへの記入等電磁的方法も含む)により本人から直接個人情報を取得する場合は、本人に対してあらかじめ利用目的を明示しなければならない。ただし、次の各号に該当する場合はこの限りでない。
(1)人の生命、身体または財産その他の権利利益を保護するため必要な場合
(2)当社の権利または正当な利益を害するおそれがある場合
(3)国または地方公共団体の法令に定める事務の遂行に支障を及ぼすおそれがある場合
(4)取得の状況に照らし、利用目的が明らかであると認められる場合
【間接的に個人情報を取得する際の措置】
第13条 本人以外の第三者から個人情報を取得する場合は、当該個人情報が当該第三者において適法、適正に取得されたものでなければならず、かつ、当該第三者において、当社への個人情報の提供につき、適法な措置が講じられていなければならない。
第3節 個人情報の管理
【個人データの正確性の確保】
第14条 個人データは、利用目的の達成に必要な範囲内において、正確かつ最新の内容を保つよう努めなければならない。
【安全管理措置】
第15条 個人情報保護管理者は、取扱う個人情報の漏えい、滅失または毀損の防止その他安全管理のために、人的、物理的、技術的に適切な措置を講じる。
2 個人情報は、次の各号により適切に取り扱わなければならない。
(1)保管する個人情報を含む文書(磁気媒体を含む)は、散逸、紛失、漏えいの防止に努めること
(2)情報機器は適切に管理し、正式な利用権限のない者には使用させない
(3)個人文書を含む文書の廃棄は、焼却、シュレダー裁断等により、完全に抹消すること
(4)個人情報を含む文書は、みだりに複写しないこと
(5)その他個人情報の取扱いについて必要な事項は細則を定める
【社員の監督】
第16条 個人情報保護管理者は、社員が個人データを取扱うに当たり、必要かつ適切な監督を行わなければならない。
【社内教育】
第17条 個人情報保護管理者並びに個人情報管理責任者は、個人情報の適正な取扱いを維持・推進するため、定期に教育・訓練を実施する。
2 社員は、個人情報保護管理者等が決定した方針に基づく研修を受けなければならない。
【委任先の監督】
第18条 個人情報管理責任者は、個人データの取扱いの全部または一部を委託する場合は、その取扱いを委託した個人データの安全管理が図られるよう、委託を受けた者(以下「委託先」という)に対する必要かつ適切な監督を行わなければならない。
2 前項の委託を行う場合は、委託先に対して次の各号の事項を実施する。
(1)個人情報の保護体制が十分であることを確認したうえで委託先を選定すること
(2)委託先との間で次の事項を含む契約を締結すること
① 個人情報の適法かつ適正な取扱い(個人データに対する人的、物理的、技術的な安全管理措置を委託先が講ずることを含む)
② 個人情報に関する秘密保持
③ 委託した業務以外の個人情報の使用禁止
④ 個人情報を取扱ううえでの安全対策
⑤ 再委託に関する事項 再委託は原則として禁止し、再委託がやむを得ない場合は事前に同意を要し、委託先が再委託先と連帯して責任を負うことの確認
⑥ 契約内容が遵守されていることの確認
⑦ 個人情報に関する事故が生じた際の責任
⑧ 契約終了時の個人情報の返却及び末梢
(3)個人情報の取得を委託する場合は、当社が取得の主体であること並びに当社の指定する利用目的を明示するよう義務付けること
【第三者提供の制限】
第19条 あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。ただし、次の各号に該当する場合、本人の同意なく第三者に提供できる。
(1)個人情報保護方針に定めた範囲内で第三者提供、共同利用するとき
(2)人の生命、身体または財産の保護のために必要があり、かつ、本人の同意を得ることが困難であるとき
(3)その他法令に基づく場合
2 第三者提供もしくは共同利用する場合、個人情報保護管理者の承認を得る。
3 雇用管理に関する個人データを第三者に提供する場合には、第 1 項各号に該当する場合を除き、次の各号に従わなければならない。
(1)提供先の従事者に対し、当社が提供して個人データの取扱いを通じて知り得た個人情報を漏えい、かつ、盗用してはならないこと
(2)提供先が他の第三者に提供する場合には、書面による当社の事前同意を要件とすること
(3)提供先における保有期間を明確化すること
(4)目的達成後の個人データの返却または提供先における破棄または削除が適切かつ確実に行われること
(5)提供先における複写及び複製(安全管理上必要なバックアップを除く)を禁止すること
第4節 開示・変更・利用停止等の請求の対応
【開示】
第20条 当社は、当該本人が識別される「保有個人データ」の開示(保有の有無を含む)請求には、本人のプライバシー保護のため、本人(代理人を含み、以下本条及び次条において本人という)から開示等請求窓口に対し、原則として本人確認書類を添付した開示請求書により請求があった場合にのみ応じる。
(1)開示請求窓口は、総務部とする
(2)開示請求書の様式は、個人情報保護管理者が定める
(3)本人確認書類は、個人情報保護管理者が定めるが、開示請求者が本人であることが明らかな場合には、本人確認書類の提出を求めない
2 前項により本人による開示請求であることを確認した場合は、本人に対して書面または本人が同意した他の方法により、遅滞なく当該「保有個人データ」を開示する。
3 前項にかかわらず、開示することにより次の各号のいずれかに該当する場合は、個人情報保護管理者の決定により、その全部または一部を開示しない。
(1)本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)当社の業務の適正な実施に著しい支障を及ぼすおそれのある場合
(3)法令に違反することとなる場合
4 前項の定めに基づき「保有個人データ」の全部または一部を開示しない旨決定したときは、遅滞なく、本人に対しその旨通知するものとする。この場合、その理由を説明するよう努める。
5 他の法令により、本人に対し当該本人が識別される「保有個人データ」を開示することとされている場合には、第3項は適用しない。
6 本人に対し「保有個人データ」を開示する場合には、手数料を請求できる。
この手数料は、実費を勘案して、合理的な範囲で個人情報保護管理者が定める。
【訂正等】
第21条 本人から、当該本人が識別される「保有個人データ」の内容が事実でないという理由によって、当該「保有個人データ」の訂正、追加または削除(以下「訂正等」という)を求められた場合には、遅滞なく調査を行い、その結果に基づき「保有個人データ」の内容の訂正等を行う。ただし、次の場合には訂正等の求めに応じない。
(1)利用目的の達成に必要な範囲を超えている場合
(2)他の法令により、特別の手続が定められている場合
2 当該本人が識別される「保有個人データ」の訂正等の請求に対しては、本人のプライバシー保護のため、本人から訂正等請求窓口に対し、原則として本人確認書類を添付した訂正等請求書のより請求があった場合にのみ応じる。
(1)訂正等請求窓口は、総務部とする
(2)訂正等請求書の様式は、個人情報保護管理者が定める
(3)本人確認書類は、個人情報保護管理者が定めるが、訂正等請求者が本人であることが明らかな場合には、本人確認書類の提出を求めない
3 前2項により、「保有個人データ」の訂正等行ったとき、または訂正等行わない旨の決定をしたときは、本人に対し、遅滞なくその旨(訂正等を行ったときはその内容を含む)を通知する。
4 第1項ただし書きにより訂正等の求めに応じない場合は、その理由を説明するよう努めなければならない。
【利用停止等】
第22条 本人から、当該本人が識別される「保有個人データ」が、第9条第3項及び第10条違反として利用の停止または消去が求められた場合及び第19条違反として第三者提供の停止が求められた場合で、その求めに理由があることが判明した場合には、遅滞なく、当該求めに応じて必要な措置を講じなければならない。ただし、次の場合には当該措置を講じないことができる。
(1)違反を是正するために必要な範囲を超えている場合
(2)指摘された違反がない場合
第5節 苦情処理
【苦情の処理】
第23条 個人情報の取扱いに関する苦情の窓口業務は、総務部が担当する。
2 総務部長は、適宜、個人情報保護管理者に苦情の内容を報告する。
第6節 監査
【監査の実施】
第24条 監査責任者は、当社における個人情報の取扱いが法令、本規程、その他の規範と合致していることを定期に監査し、個人情報の取扱いに関する監査報告書を作成し、代表取締役及び個人情報保護管理者に報告する。
【体制の見直し】
第25条 個人情報保護管理者は、前条の監査結果に照らし、必要に応じて個人情報の取扱いに関する安全対策、諸施策を見直し、改善する。
第4章 その他
【所管官庁への報告】
第26条 個人情報保護管理者は、個人データの漏えいの事実または漏えいのおそれを把握した場合には、直ちに所管官庁に報告しなければならない。
【罰則】
第27条 当社は、本規程に違反した社員に対して就業規則に基づき処分を行う。
附 則
【改廃】
第28条 本規程の改廃は、取締役会において行う。
【施行】
第29条 本規程は、平成25年1月16日から実施する。