本規程は、事業者が取り扱う個人情報について、個人情報の保護に関する法律(以下「個人情報保護法」という)その他関係法令に基づき、適正かつ安全な取扱いを行うための基本的事項を定めることを目的とする。
1 本規程における「個人情報」「個人データ」「保有個人データ」等の用語の意義は、個人情報保護法その他関係法令に定めるところによる。
2 本規程において使用する用語のうち、次の各号に掲げるものの定義は、各号に定めるところによる。
(1) 事業者
本事業を行う法人または個人事業主をいう。
(2) 事業従事者
事業者が行う業務に従事する者であって、事業者本人のほか、アルバイト、パートタイムスタッフ、業務委託先、協力会社の担当者等を含む。
(3) 個人情報取扱業務
個人情報の取得、利用、保存、提供、訂正・削除、廃棄等、個人情報の取扱いに関する一切の業務をいう。
1 事業者は、個人情報取扱業務を統括し、その適正な管理を行う者として、個人情報管理責任者(以下「管理責任者」という)を置く。
2 管理責任者は、事業者が個人事業主である場合は事業者本人がこれを兼ねるものとし、事業者が法人である場合は、その代表者等が指名する者とする。
3 管理責任者は、次の各号に掲げる業務を行う。
(1) 本規程および個人情報の取扱いに関する各種手順書の策定・見直し
(2) 個人情報取扱状況の把握およびリスクの確認
(3) 安全管理措置(組織的、人的、物理的、技術的)の整備および点検
(4) 個人情報に関する苦情・相談への対応方針の決定
(5) 個人情報の取扱いを委託する場合の委託先の選定・監督
1 事業者は、個人情報の取得、利用、保存、提供、訂正・削除、廃棄等の各段階について、具体的な手順(ワークフロー)を定め、必要に応じて文書化または電子的に記録しておくものとする。
2 前項の手順には、少なくとも次の事項を含める。
(1) 個人情報の取得方法および取得時に明示すべき事項(利用目的等)
(2) 個人情報を利用する際の確認事項およびアクセス権限
(3) 保存期間および保存場所(紙媒体・電子媒体)の管理方法
(4) 第三者提供の有無および提供方法の管理
(5) 保存期間経過後または不要となった個人情報の廃棄方法
3 事業者は、事業従事者がいる場合には、これらの手順をわかりやすく説明し、遵守させるものとする。
1 事業者は、個人情報を取得する場合には、利用目的をできる限り特定し、あらかじめ本人に対して明示または公表した上で、適正かつ公正な手段により取得するものとする。
2 個人情報を契約書、申込書、ウェブフォーム、メール等により取得する場合、事業者は、当該媒体またはウェブページ等に利用目的、問い合わせ窓口等を明示するよう努める。
3 事業者は、偽りその他不正の手段により個人情報を取得してはならない。
1 事業者は、取得した個人情報を、原則としてあらかじめ本人に示した利用目的の範囲内でのみ利用する。
2 利用目的の範囲を超えて個人情報を利用する必要が生じた場合、事業者は、法令に定める場合を除き、あらかじめ本人の同意を得るものとする。
3 事業者は、個人情報を業務処理以外の目的(私的利用、第三者への提供等)に使用してはならない。事業従事者にも同様の義務を課し、これに反する行為を禁止する。
1 事業者は、個人情報の取扱い状況を把握するため、個人情報台帳またはこれに準ずる記録を作成し、次の事項を整理・管理する。
(1) 保有する個人データの種類および項目
(2) 利用目的
(3) 保存場所および管理方法
(4) アクセス権限を有する者
(5) 保存期間および廃棄予定時期
2 事業者は、定期的に個人情報の取扱状況について自己点検を行い、必要に応じて運用の見直しまたは是正措置を講じる。
3 事業者は、漏えい等のインシデントが発生した場合の対応手順をあらかじめ定め、第6章に従って対応する。
1 事業者は、自ら個人情報保護法その他関係法令の内容および本規程の趣旨・内容を理解し、適切な取扱いを行うよう日頃から留意する。
2 事業従事者がいる場合、事業者は、個人情報保護に関する教育・訓練を行い、個人情報の守秘義務および不正利用の禁止等について十分に周知させるものとする。
3 事業者は、事業従事者との間の雇用契約、業務委託契約等において、個人情報に関する守秘義務条項等を設けるものとする。
4 事業者は、事業従事者が退職・契約終了した後も守秘義務が継続することを周知するものとする。
1 事業者は、個人情報を記載した書類、名簿等を保管する場合には、施錠可能なキャビネット等に保管し、第三者が容易に閲覧できないよう管理する。
2 個人情報を記録したUSBメモリ、外付けハードディスク等の記録媒体は、盗難・紛失防止の観点から所在を把握し、持ち出しの必要性を慎重に判断する。
3 不要となった書面は、シュレッダー等により復元不能な方法で廃棄するものとする。
4 在宅での作業等においては、家族その他の第三者に個人情報が見えないよう、画面の向きや書類の置き場所等に配慮する。
1 事業者は、個人情報を管理する端末やクラウドサービスに対し、ID・パスワード等によるアクセス制御を行い、不必要な者からのアクセスを防止する。
2 事業者は、パスワードを適切な長さ・複雑さで設定し、定期的に変更するよう努めるとともに、他サービスとの使い回しを避ける。
3 事業者は、可能な範囲でアクセスログ、操作ログ等を取得し、不審なアクセスがないか確認するよう努める。
4 事業者は、業務で使用する端末にウイルス対策・マルウェア対策ソフトを導入し、定義ファイル等を最新の状態に保つものとする。
5 個人情報をインターネット経由で送受信する場合には、原則として暗号化通信(HTTPS等)を利用する。
1 事業者は、個人情報の取扱いの全部または一部を外部事業者に委託する場合には、個人情報の安全管理措置および秘密保持に関する条項を含む契約を締結するものとする。
2 前項の契約には、少なくとも次の事項を含めるよう努める。
(1) 個人情報の利用目的および取扱範囲
(2) 再委託の可否および条件
(3) 安全管理措置の内容
(4) 事故発生時の報告義務および対応方法
(5) 契約終了時の個人情報の返却または廃棄方法
(6) 守秘義務および違反時の責任
1 事業者は、委託先の選定にあたり、個人情報保護体制、安全管理措置の状況等を確認し、適切な委託先を選定する。
2 事業者は、必要に応じて委託先の個人情報取扱状況について報告を求める等の方法により、その安全管理措置の状況を把握し、継続的に評価するよう努める。
3 委託先において個人情報の漏えい等の事故が発生した場合、事業者は、委託先に対し原因究明および再発防止策の実施を求めるとともに、第6章に定める措置を行う。
1 事業者または事業従事者は、個人情報の漏えい、紛失、き損、不正アクセスその他の事故(以下「漏えい等」という)が発生したこと、またはそのおそれがあることを認識した場合、速やかに事業者(管理責任者)に報告しなければならない。
2 事業者は、漏えい等が発生した場合には、次の各号に掲げる事項を中心に迅速な対応を行う。
(1) 事実関係の確認および漏えい等の有無の判断
(2) 漏えい等が確認された場合の影響範囲(件数、内容等)の特定
(3) 被害拡大防止のための措置(システムの一時停止等)
(4) 原因の調査および再発防止策の検討
1 漏えい等が顧客その他の本人の権利利益に重大な影響を及ぼすおそれがある場合、事業者は、状況に応じて本人に対し速やかに連絡し、事実関係および事業者の対応内容等を説明するものとする。
2 法令その他の規定により、監督官庁等への報告・届出が求められる場合、事業者は、所要の手続を適切な期限内に行うものとする。
3 必要に応じて、事業者はウェブサイト等における公表その他の適切な手段により事案の概要および再発防止策を通知するよう努める。
1 事業者は、保有個人データについて、本人から開示、訂正、追加または削除、利用停止、第三者提供の停止等(以下「開示等」という)の請求があった場合には、個人情報保護法その他関係法令の定めに従い、適切に対応する。
2 前項の請求に際し、事業者は、本人確認のため、身分証明書の提示その他合理的な方法による確認を求めることができる。
3 事業者は、開示等の請求手続き、必要書類、受付窓口等について、ウェブサイトその他適切な方法により明示するよう努める。
4 事業者は、法令により開示等に応じる義務がない場合、または請求に応じることが困難である合理的理由がある場合には、その旨および理由を本人に説明するものとする。