個人情報の取扱について

Privacy Policy

個人情報保護方針を定めた文書化
春日倉庫株式会社(以下当社といいます)は、本サイト(http://kasuga-soko.co.jp/)において、ご提供いただいたお客様の個人情報につきましては、十分な配慮を行い、安全な保管・管理に努めております。

ここでご案内する当社のプライバシーポリシー(個人情報保護方針)は、本サイトを安心してご利用いただくために、お客様の個人情報の取扱いについてご説明しております。
当社が収集する個人情報とは、個人の氏名、生年月日、住所など特定の個人を識別できる情報(行政手続における特定の個人を識別するための番号の利用等に関する法律{以下「番号法」といいます。}に定める特定個人情報を含む。又、ほかの情報と容易に照合することで、それにより特定の個人を識別できることも含みます)をいいます。

個人情報が個人の人格と密接に関連を有するため慎重に取り扱われるべきことを十分認識し、当社行動基準

「わが社は、企業活動を通じ、適正な利潤の確保と会社の安定した成長を図り、社員及び株主に報いるとともに、豊かで持続可能な社会の実現に貢献する。

1、わが社は、法令及びルールを順守し、社会規範にもとることのないように誠実かつ公正に企業活動を遂行する。

2、わが社は、適時適切に開示し、広く社会とのコミュニケーションを図る。

3、わが社は、市民社会の秩序安全に脅威を与える反社会勢力とは、引き続き一切の関係を持たない。

4、わが社は、環境問題の重要性を認識し、環境保全の活動に協力する。

5、わが社は、安全、良質で社会的に有用なサービスを提供するとともに、地域社会、国際社会との調和を念頭に「良き企業市民」として社会貢献活動に努める。」

により個人情報保護に関する法令その他の規範を遵守するとともに、次の方針に基づき個人情報の適正な管理と保護に努めます。

以下の内容をご一読いただき、ご理解を賜りますよう宜しくお願いいたします。

個人情報の収集について

当社は、下記の場合に個人情報を収集する事があります。お客様にお知らせした収集目的以外に、お客様の個人情報を利用することはありません。また、収集にあたっては、適法かつ公正な手段をもって行います。

(1)
商品・サービスの申込受付のため
(2)
商品・サービスの提供のため
(3)
商品・サービスをご利用いただく資格やご本人様確認のため
(4)
新商品・サービスの研究や開発を目的とする市場調査やデータ分析のため
(5)
商品・サービスの発送等、当社や提携会社等の商品・サービスに関するご案内のため
(6)
業務担当者間の円滑な連絡を行うため
(7)
人事労務管理に関わる諸手続きを行うため
(8)
その他お客様とのお取引を適切かつ円滑に履行するため

(9)

採用情報のお申し込み

個人情報の利用目的について

(1)
新商品・サービスの研究や開発を目的とする市場調査やデータ分析のため
(2)
ダイレクトメールの発送等、商品・サービスに関するご案内のため
(3)
本社及び各営業所の提供する商品・サービスについて、お客様からお問い合わせ、ご利用申込、その他お申し出があった場合に担当者へ伝達・引き継ぎを行うため
(4)
その他お客様とのお取引を適切かつ円滑に履行するため
(5)
業務担当者間の円滑な連絡を行うため
(6)
人事労務管理に関わる諸手続きを行うため

個人情報の第三者への提供について

当社が取得したお客様の個人データは、原則としていかなる第三者にも開示することはありません。
但し、下記の場合は除きます。

  • お客様ご本人の同意を頂いている場合
  • お客様からご依頼のあった業務を遂行するために必要な場合
  • 法令により、提供が必要と判断される場合

個人情報の処理を外部に委託する場合には、漏えいや目的外利用を行わないように契約を義務付け、厳重な管理、指導を行います。

個人情報の開示・訂正・利用停止等

当社では、お客様の個人情報の開示・訂正・利用停止等のお申出があった場合、 請求者がお客様ご本人であることを確認させて戴いた上で、適切に対応いたします。

個人情報保護方針の改正について

当社は個人情報保護方針を適宜見直し、全部または一部を改訂することがあります。
改訂された個人情報保護方針、すみやかに本サイトにて公表いたします。
当社の個人情報保護方針に関するお問い合わせは、下記までお願いいたします。

制定日  平成29年10月25日

お問い合わせ窓口

本社 総務部

072-643-5371

Step2  PMS策定のための組織を作る

1、組織
代表者    代表取締役 松本 修
保護管理者  統括    岡野 祥代
副     内田 美穂 五日市(営)
副     松村 知永(営)
副     武田 幸子 本社(総務)
監査責任者  単独    江崎 研介
申請担当者  統括    松本 修
副     出田 和博

Step3  作業計画

期間  10月       11月        12月       1月
準備  個人情報保護方針策定
PMS策定の組織及び作業計画を作る
保護方針を組織に周知
構築           個人情報の特定
法令、指針、その他の規範の特定
リスク分析、対策の検討
資源の確保
PMSの内部規定策定
運用
PMSの教育訓練実施
PMSの運用開始
PMSの運用状況の点検、改善
PMSの見直し
申請
PMSの申成

Step4  個人情報保護方針を組織内に周知

・代表者が定めた個人情報保護方針を組織の全従業者に周知する。
・周知に当たっては、個人情報を保護する重要性、利点、個人情報が漏洩した際の予想される結果を理解させる。

Step5  個人情報を特定個人情報管理台帳 更新 作成 承認

個人情報管理台帳 更新 作成 承認
作成日  年  月  日 年月日 年月日 年月日
氏名 氏名 氏名
分類 個人情報名 類型 入手方法 件数 利用目的 個人情報の項目 記録媒体 保管場所 保管期間 保管部所 アクセス権限者 開示対象 対象外 廃棄方法 備考
1 社員情報 履歴書、職務経歴書 K1 本人から直接入手 50件/累計 社員管理 氏名、住所、本人履歴、賞罰、資格等 人事保管庫 本人退職後1ヶ月 総務 総務担当 シュレッダー
2 社員情報 社員基礎情報 K1 本人から直接入手 100件/累計 社員管理 銀行口座、通勤経路、扶養家族情報等 人事保管庫 本人退職後7年間 総務 総務 シュレッダー
3 社員情報 各種申請書・届書(事務用品・切手払出票、勤怠届) K1 本人から直接入手 100件/月 社員管理 申請内容 人事保管庫 申請処理後1年 総務 総務 シュレッダー
4 社員情報 給与情報(給与・賞与明細、給与計算書、勤怠表) K2 総務にて作成 50件/月 社員管理 給与関連 人事保管庫 本人退職後7年間 総務 総務担当 シュレッダー
5 社員情報 給与情報(データ) D1 総務にて作成 50件/月 社員管理 給与関連 データ 総務PC 本人退職後7年間 総務 総務担当 削除
6 社員情報 社会保険関係書類 K2 総務にて作成 50件/累計 社員管理 社会保険関連 人事保管庫 人退職後7年間 総務 総務 シュレッダー
社員情報 扶養控除等申告書 K2 本人が作成 50件/累計 税務処理 個人番号.扶養控除関連 人事保管庫 1年間 総務 総務 シュレッダー
7 社員情報 ID発行申請書(異動、廃棄含む) K3 部門長が申請 70件/累計 社員管理 氏名 人事保管庫 本人退職後1ヶ月 総務 総務.情シス シュレッダー
8 社員情報 情報(出張・購入各種申請書) D1 就職サイトからの記入情報(データ) 30件/月 社員管理 申請内容 データ ファイルサ-バ 本人退職後1ヶ月 総務 総務.情シス 削除
9 社員情報 社員誓約書 K1 本人から直接入手 50件/累計 契約確認 氏名 人事保管庫 本人退職後5年 総務 総務. シュレッダー
10 社員情報 社員同意書 K1 本人から直接入手 50件/累計 同意確認 氏名 人事保管庫 本人退職後5年 総務 総務 シュレッダー
社員情報 社員個人番号 D1 本人が入力 80件/累積 社員管理 氏名.個人番号.本人確認書類 データ ファイルサ-バ 本人退職後11ヶ月 総務 事務取扱担当者 削除
11 社員情報 業務管理関係文書(行動予定表・売り上げ計画書・進捗表) D1 本人、管理者が入力 約100件/月 業務管理 予定.売上等 データ ファイルサ-バ 永年 各(営) 企画 消去しない
12 社員情報 業務管理関係文書(行動予定表、売上計画・進捗表等)の印刷物 N データから入手 約100件/月 業務管理 予定.売上等 各自 各自 各自 各自 シュレッダー
13 採用情報 就職サイトからの記入情報(データ) D2 就職サイトWebから入手 100件/年 採用選考 氏名.住所年齢電話 データ 総務PC 本人連絡後1週間 総務 総務担当 削除
14 採用情報 履歴書・職務経歴書 K4 本人から直接入手 25件/年 社員管理 氏名住所本人履歴.賞罰.資格等 人事保管庫 採否決定まで 総務 総務担当 シュレッダー
15 採用情報 応募者同意書 K4 本人から直接入手 25件/年 同意確認 氏名 人事保管庫 採否決定まで 総務 総務 シュレッダー
16 情報システム関連情報 バックアップデータ D3 自動取得 5世代 復旧 デ-タ全般 データ ファイルサ-バ 定めなし 総務 情シス × 消去ソフトによる消去
17 情報システム関連情報 バックアップデータHDD D3 バックアップ作業による取得 2台 復旧 デ-タ全般 HDD媒体 情シス保管庫 定めなし 総務 情シス × 破壊
18 情報システム関連情報 アクセスログ D4 サーバーから取得 膨大(数値化不能) 異常発見時追跡 サ-バアクセス操作記録 データ ログ取得サ-バ内 1年間 総務 情シス × 削除
19 情報システム関連情報 各種設定一覧(ID利用者、PC利用者、アクセス権、媒体利用者、携帯利用者) D1 担当者が作成 約20件/累積 PCネットワ-ク保守管理 氏名.設定情報 データ ファイルサ-バ 永年 総務 情シス.総務 × 消去しない
20 業務関連情報 取引先情報(名刺等) N 本人から直接入手 10枚/累積 取引業務遂行 氏名.勤務先.所属.電話.メ-ル 個人管理 入力まで 各(営) 営業.総務 シュレッダー
21 業務関連情報 取引先情報(データ) D5 名刺などから入力 300件/累計 取引業務遂行 氏名.勤務先.所属.電話.メ-ル データ ファイルサ-バ 削除要求があるまで 総務 営業.情シス 削除
27 業務関連情報 受託情報(ソフト開発・データ入力) D6 電子メール又は電子媒体で顧客から 約50000件/月 配送.設定.テスト 氏名.勤務先.所属.電話.メ-ル データ ファイルサ-バ 受託業務完了後1ヶ月 五日市(営) 開発担当 × 削除
29 業務関連情報 配送ラベル、控(配送) D6 発注データから印刷 約50000件/月 配送 氏名.住所.電話 業務課保管庫 発想業務完了後1ヶ月 五日市(営) 業務 × シュレッダー
31 業務関連情報 公開された情報から入手した法人所属の見込み客情報 N 書籍、名簿、インターネット等 100件/累計 見込み顧客情報として利用 氏名.勤務先.所属.電話.メ-ル 紙.デ-タ 個人管理 取引開始まで 各(営) 営業 × シュレッダー
32 PMSの関連情報 入退室記録 K1 本人から直接入手 5枚/月 社員管理 入退出時間等 人事保管庫 1年間 総務 総務 シュレッダー
33 PMSの関連情報 入退受付票 K5 本人から直接入手 40枚/月 来訪者確認 氏名.勤務先 個人情報保管庫 1年間 総務 総務 シュレッダー
34 PMSの関連情報 教育研修受講者名簿(理解度確認テスト) K1 本人から直接入手 60件/累計 教育確認 氏名.理解度 人事保管庫 3年間 総務 企画 シュレッダー
35 PMSの関連情報 問合せ、苦情、相談、開示要求等で取得する個人情報 K4 本人から直接入手 0件/累計 各種案内問い合わせ等の対応 氏名.勤務先.所属.電話.メ-ル 個人情報保管庫 永年 総務 企画

 

Step6    法令、国が定める指針その他の規範を特定

国の指針

全面施行の日(平成29年5月30日)時点
1

人情報の保護に関する法律(平成15年法律第57号)
目次
第1章 総則(第1条―第3条)
第2章 国及び地方公共団体の責務等(第4条―第6条)
第3章 個人情報の保護に関する施策等
第1節 個人情報の保護に関する基本方針(第7条)
第2節 国の施策(第8条―第10条)
第3節 地方公共団体の施策(第11条―第13条)
第4節 国及び地方公共団体の協力(第14条)
第4章 個人情報取扱事業者の義務等
第1節 個人情報取扱事業者の義務(第15条―第35条)
第2節 匿名加工情報取扱事業者等の義務(第36条―第39条)
第3節 監督(第40条―第46条)
第4節 民間団体による個人情報の保護の推進(第47条―第58条)
第5章 個人情報保護委員会(第59条―第74条)
第6章 雑則(第75条―第81条)
第7章 罰則(第82条―第88条)
附則
第1章 総則
(目的)
第1条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
(定義)
第2条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記
全面施行の日(平成29年5月30日)時点
2

をいう。第
18条第2項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
4 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
5 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)第2条第1項に規定する独立行政法人等をいう。以下同じ。)
四 地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1
全面施行の日(平成29年5月30日)時点
3

に規定する地方独立行政法人をいう。以下同じ。)
6 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
7 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は1年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
8 この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
10 この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第36条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第5項各号に掲げる者を除く。
(基本理念)
第3条 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。
第2章 国及び地方公共団体の責務等
(国の責務)
第4条 国は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有する。
(地方公共団体の責務)
第5条 地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、
全面施行の日(平成29年5月30日)時点
4

びこれを実施する責務を有する。
(法制上の措置等)
第6条 政府は、個人情報の性質及び利用方法に鑑み、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるとともに、国際機関その他の国際的な枠組みへの協力を通じて、各国政府と共同して国際的に整合のとれた個人情報に係る制度を構築するために必要な措置を講ずるものとする。
第3章 個人情報の保護に関する施策等
第1節 個人情報の保護に関する基本方針
第7条 政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針(以下「基本方針」という。)を定めなければならない。
2 基本方針は、次に掲げる事項について定めるものとする。
一 個人情報の保護に関する施策の推進に関する基本的な方向
二 国が講ずべき個人情報の保護のための措置に関する事項
三 地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項
四 独立行政法人等が講ずべき個人情報の保護のための措置に関する基本的な事項
五 地方独立行政法人が講ずべき個人情報の保護のための措置に関する基本的な事項
六 個人情報取扱事業者及び匿名加工情報取扱事業者並びに第50条第1項に規定する認定個人情報保護団体が講ずべき個人情報の保護のための措置に関する基本的な事項
七 個人情報の取扱いに関する苦情の円滑な処理に関する事項
八 その他個人情報の保護に関する施策の推進に関する重要事項
3 内閣総理大臣は、個人情報保護委員会が作成した基本方針の案について閣議の決定を求めなければならない。
4 内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなければならない。
5 前二項の規定は、基本方針の変更について準用する。
第2節 国の施策
(地方公共団体等への支援)
第8条 国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るた
全面施行の日(平成29年5月30日)時点
5

の指針の策定その他の必要な措置を講ずるものとする。
(苦情処理のための措置)
第9条 国は、個人情報の取扱いに関し事業者と本人との間に生じた苦情の適切かつ迅速な処理を図るために必要な措置を講ずるものとする。
(個人情報の適正な取扱いを確保するための措置)
第10条 国は、地方公共団体との適切な役割分担を通じ、次章に規定する個人情報取扱事業者による個人情報の適正な取扱いを確保するために必要な措置を講ずるものとする。
第3節 地方公共団体の施策
(地方公共団体等が保有する個人情報の保護)
第11条 地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。
2 地方公共団体は、その設立に係る地方独立行政法人について、その性格及び業務内容に応じ、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。
(区域内の事業者等への支援)
第12条 地方公共団体は、個人情報の適正な取扱いを確保するため、その区域内の事業者及び住民に対する支援に必要な措置を講ずるよう努めなければならない。
(苦情の処理のあっせん等)
第13条 地方公共団体は、個人情報の取扱いに関し事業者と本人との間に生じた苦情が適切かつ迅速に処理されるようにするため、苦情の処理のあっせんその他必要な措置を講ずるよう努めなければならない。
第4節 国及び地方公共団体の協力
第14条 国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとする。
第4章 個人情報取扱事業者の義務等
第1節 個人情報取扱事業者の義務
(利用目的の特定)
第15条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的による制限)
第16条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱っては
全面施行の日(平成29年5月30日)時点
6

らない。
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(適正な取得)
第17条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
六 その他前各号に掲げる場合に準ずるものとして政令で定める場合
(取得に際しての利用目的の通知等)
第18条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結す
全面施行の日(平成29年5月30日)時点
7

ことに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合
(データ内容の正確性の確保等)
第19条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
(安全管理措置)
第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(従業者の監督)
第21条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
(委託先の監督)
第22条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
(第三者提供の制限)
第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
全面施行の日(平成29年5月30日)時点
8

人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
五 本人の求めを受け付ける方法
3 個人情報取扱事業者は、前項第2号、第3号又は第5号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4 個人情報保護委員会は、第2項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理につい
全面施行の日(平成29年5月30日)時点
9

責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
6 個人情報取扱事業者は、前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(外国にある第三者への提供の制限)
第24条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
(第三者提供に係る記録の作成等)
第25条 個人情報取扱事業者は、個人データを第三者(第2条第5項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第23条第1項各号又は第5項各号のいずれか(前条の規定による個人データの提供にあっては、第23条第1項各号のいずれか)に該当する場合は、この限りでない。
2 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
(第三者提供を受ける際の確認等)
第26条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第23条第1項各号又は第5項各号のいずれかに該当する場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
二 当該第三者による当該個人データの取得の経緯
全面施行の日(平成29年5月30日)時点
10

前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
3 個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
4 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
(保有個人データに関する事項の公表等)
第27条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称
二 全ての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。)
三 次項の規定による求め又は次条第1項、第29条第1項若しくは第30条第1項若しくは第3項の規定による請求に応じる手続(第33条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
二 第18条第4項第1号から第3号までに該当する場合
3 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(開示)
第28条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。
2 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その
全面施行の日(平成29年5月30日)時点
11

部又は一部を開示しないことができる。
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 他の法令に違反することとなる場合
3 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければならない。
4 他の法令の規定により、本人に対し第2項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第1項及び第2項の規定は、適用しない。
(訂正等)
第29条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。
2 個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
3 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。
(利用停止等)
第30条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第16条の規定に違反して取り扱われているとき又は第17条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
2 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
全面施行の日(平成29年5月30日)時点
12

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第23条第1項又は第24条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
4 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
5 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第3項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(理由の説明)
第31条 個人情報取扱事業者は、第27条第3項、第28条第3項、第29条第3項又は前条第5項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。
(開示等の請求等に応じる手続)
第32条 個人情報取扱事業者は、第27条第2項の規定による求め又は第28条第1項、第29条第1項若しくは第30条第1項若しくは第3項の規定による請求(以下この条及び第53条第1項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。
2 個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
3 開示等の請求等は、政令で定めるところにより、代理人によってすることができる。
4 個人情報取扱事業者は、前三項の規定に基づき開示等の請求等に応じる手続を
全面施行の日(平成29年5月30日)時点
13

めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
(手数料)
第33条 個人情報取扱事業者は、第27条第2項の規定による利用目的の通知を求められたとき又は第28条第1項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。
2 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
(事前の請求)
第34条 本人は、第28条第1項、第29条第1項又は第30条第1項若しくは第3項の規定による請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から2週間を経過した後でなければ、その訴えを提起することができない。ただし、当該訴えの被告となるべき者がその請求を拒んだときは、この限りでない。
2 前項の請求は、その請求が通常到達すべきであった時に、到達したものとみなす。
3 前二項の規定は、第28条第1項、第29条第1項又は第30条第1項若しくは第3項の規定による請求に係る仮処分命令の申立てについて準用する。
(個人情報取扱事業者による苦情の処理)
第35条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
第2節 匿名加工情報取扱事業者等の義務
(匿名加工情報の作成等)
第36条 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。
2 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。
全面施行の日(平成29年5月30日)時点
14

個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
4 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
5 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
6 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
(匿名加工情報の提供)
第37条 匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節において同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
(識別行為の禁止)
第38条 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第36条第1項の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。(※1)
(安全管理措置等)
第39条 匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適
1 第38条は、行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活用ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律の施行の日以降、「匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第36条第1項、行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)第44条の10第1項(同条第2項において準用する場合を含む。)若しくは独立行政法人等の保有する個人情報の保護に関する法律第44条の10第1項(同条第2項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。」となります(下線部分が改正部分)。
全面施行の日(平成29年5月30日)時点
15

な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
第3節 監督
(報告及び立入検査)
第40条 個人情報保護委員会は、前二節及びこの節の規定の施行に必要な限度において、個人情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)に対し、個人情報又は匿名加工情報(以下「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。
2 前項の規定により立入検査をする職員は、その身分を示す証明書を携帯し、関係人の請求があったときは、これを提示しなければならない。
3 第1項の規定による立入検査の権限は、犯罪捜査のために認められたものと解釈してはならない。
(指導及び助言)
第41条 個人情報保護委員会は、前二節の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができる。
(勧告及び命令)
第42条 個人情報保護委員会は、個人情報取扱事業者が第16条から第18条まで、第20条から第22条まで、第23条(第4項を除く。)、第24条、第25条、第26条(第2項を除く。)、第27条、第28条(第1項を除く。)、第29条第2項若しくは第3項、第30条第2項、第4項若しくは第5項、第33条第2項若しくは第36条(第6項を除く。)の規定に違反した場合又は匿名加工情報取扱事業者が第37条若しくは第38条の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
2 個人情報保護委員会は、前項の規定による勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができる。
3 個人情報保護委員会は、前二項の規定にかかわらず、個人情報取扱事業者が第16条、第17条、第20条から第22条まで、第23条第1項、第24条若しくは第36条第1項、第2項若しくは第5項の規定に違反した場合又は匿名加工情報取扱事業者
全面施行の日(平成29年5月30日)時点
16


38条の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
(個人情報保護委員会の権限の行使の制限)
第43条 個人情報保護委員会は、前三条の規定により個人情報取扱事業者等に対し報告若しくは資料の提出の要求、立入検査、指導、助言、勧告又は命令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。
2 前項の規定の趣旨に照らし、個人情報保護委員会は、個人情報取扱事業者等が第76条第1項各号に掲げる者(それぞれ当該各号に定める目的で個人情報等を取り扱う場合に限る。)に対して個人情報等を提供する行為については、その権限を行使しないものとする。
(権限の委任)
第44条 個人情報保護委員会は、緊急かつ重点的に個人情報等の適正な取扱いの確保を図る必要があることその他の政令で定める事情があるため、個人情報取扱事業者等に対し、第42条の規定による勧告又は命令を効果的に行う上で必要があると認めるときは、政令で定めるところにより、第40条第1項の規定による権限を事業所管大臣に委任することができる。
2 事業所管大臣は、前項の規定により委任された権限を行使したときは、政令で定めるところにより、その結果について個人情報保護委員会に報告するものとする。
3 事業所管大臣は、政令で定めるところにより、第1項の規定により委任された権限及び前項の規定による権限について、その全部又は一部を内閣府設置法(平成11年法律第89号)第43条の地方支分部局その他の政令で定める部局又は機関の長に委任することができる。
4 内閣総理大臣は、第1項の規定により委任された権限及び第2項の規定による権限(金融庁の所掌に係るものに限り、政令で定めるものを除く。)を金融庁長官に委任する。
5 金融庁長官は、政令で定めるところにより、前項の規定により委任された権限について、その一部を証券取引等監視委員会に委任することができる。
6 金融庁長官は、政令で定めるところにより、第4項の規定により委任された権限(前項の規定により証券取引等監視委員会に委任されたものを除く。)の一部を財務局長又は財務支局長に委任することができる。
7 証券取引等監視委員会は、政令で定めるところにより、第5項の規定により委任された権限の一部を財務局長又は財務支局長に委任することができる。
全面施行の日(平成29年5月30日)時点
17

前項の規定により財務局長又は財務支局長に委任された権限に係る事務に関しては、証券取引等監視委員会が財務局長又は財務支局長を指揮監督する。
9 第5項の場合において、証券取引等監視委員会が行う報告又は資料の提出の要求(第7項の規定により財務局長又は財務支局長が行う場合を含む。)についての審査請求は、証券取引等監視委員会に対してのみ行うことができる。
(事業所管大臣の請求)
第45条 事業所管大臣は、個人情報取扱事業者等に前二節の規定に違反する行為があると認めるときその他個人情報取扱事業者等による個人情報等の適正な取扱いを確保するために必要があると認めるときは、個人情報保護委員会に対し、この法律の規定に従い適当な措置をとるべきことを求めることができる。
(事業所管大臣)
第46条 この節の規定における事業所管大臣は、次のとおりとする。
一 個人情報取扱事業者等が行う個人情報等の取扱いのうち雇用管理に関するものについては、厚生労働大臣(船員の雇用管理に関するものについては、国土交通大臣)及び当該個人情報取扱事業者等が行う事業を所管する大臣又は国家公安委員会(次号において「大臣等」という。)
二 個人情報取扱事業者等が行う個人情報等の取扱いのうち前号に掲げるもの以外のものについては、当該個人情報取扱事業者等が行う事業を所管する大臣等
第4節 民間団体による個人情報の保護の推進
(認定)
第47条 個人情報取扱事業者等の個人情報等の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第3号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
一 業務の対象となる個人情報取扱事業者等(以下「対象事業者」という。)の個人情報等の取扱いに関する第52条の規定による苦情の処理
二 個人情報等の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
三 前二号に掲げるもののほか、対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務
2 前項の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。
3 個人情報保護委員会は、第1項の認定をしたときは、その旨を公示しなければならない。
(欠格条項)
第48条 次の各号のいずれかに該当する者は、前条第1項の認定を受けることがで
全面施行の日(平成29年5月30日)時点
18

ない。
一 この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から2年を経過しない者
二 第58条第1項の規定により認定を取り消され、その取消しの日から2年を経過しない者
三 その業務を行う役員(法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含む。以下この条において同じ。)のうちに、次のいずれかに該当する者があるもの
イ 禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から2年を経過しない者
ロ 第58条第1項の規定により認定を取り消された法人において、その取消しの日前30日以内にその役員であった者でその取消しの日から2年を経過しない者
(認定の基準)
第49条 個人情報保護委員会は、第47条第1項の認定の申請が次の各号のいずれにも適合していると認めるときでなければ、その認定をしてはならない。
一 第47条第1項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の方法が定められているものであること。
二 第47条第1項各号に掲げる業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎を有するものであること。
三 第47条第1項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによって同項各号に掲げる業務が不公正になるおそれがないものであること。
(廃止の届出)
第50条 第47条第1項の認定を受けた者(以下「認定個人情報保護団体」という。)は、その認定に係る業務(以下「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を個人情報保護委員会に届け出なければならない。
2 個人情報保護委員会は、前項の規定による届出があったときは、その旨を公示しなければならない。
(対象事業者)
第51条 認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者等又は認定業務の対象となることについて同意を得た個人情報取扱事業者等を対象事業者としなければならない。
2 認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならな
全面施行の日(平成29年5月30日)時点
19


(苦情の処理)
第52条 認定個人情報保護団体は、本人その他の関係者から対象事業者の個人情報等の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。
2 認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。
3 対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないのに、これを拒んではならない。
(個人情報保護指針)
第53条 認定個人情報保護団体は、対象事業者の個人情報等の適正な取扱いの確保のために、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続その他の事項又は匿名加工情報に係る作成の方法、その情報の安全管理のための措置その他の事項に関し、消費者の意見を代表する者その他の関係者の意見を聴いて、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成するよう努めなければならない。
2 認定個人情報保護団体は、前項の規定により個人情報保護指針を作成したときは、個人情報保護委員会規則で定めるところにより、遅滞なく、当該個人情報保護指針を個人情報保護委員会に届け出なければならない。これを変更したときも、同様とする。
3 個人情報保護委員会は、前項の規定による個人情報保護指針の届出があったときは、個人情報保護委員会規則で定めるところにより、当該個人情報保護指針を公表しなければならない。
4 認定個人情報保護団体は、前項の規定により個人情報保護指針が公表されたときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとらなければならない。
(目的外利用の禁止)
第54条 認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用してはならない。
(名称の使用制限)
第55条 認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない。
(報告の徴収)
全面施行の日(平成29年5月30日)時点
20

56条 個人情報保護委員会は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。
(命令)
第57条 個人情報保護委員会は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることができる。
(認定の取消し)
第58条 個人情報保護委員会は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取り消すことができる。
一 第48条第1号又は第3号に該当するに至ったとき。
二 第49条各号のいずれかに適合しなくなったとき。
三 第54条の規定に違反したとき。
四 前条の命令に従わないとき。
五 不正の手段により第47条第1項の認定を受けたとき。
2 個人情報保護委員会は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。
第5章 個人情報保護委員会
(設置)
第59条 内閣府設置法第49条第3項の規定に基づいて、個人情報保護委員会(以下「委員会」という。)を置く。
2 委員会は、内閣総理大臣の所轄に属する。
(任務)
第60条 委員会は、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取扱いの確保を図ること(個人番号利用事務等実施者(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号利用法」という。)第12条に規定する個人番号利用事務等実施者をいう。)に対する指導及び助言その他の措置を講ずることを含む。)を任務とする。
(所掌事務)
第61条 委員会は、前条の任務を達成するため、次に掲げる事務をつかさどる。
一 基本方針の策定及び推進に関すること。
二 個人情報及び匿名加工情報の取扱いに関する監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること(第4号に
全面施行の日(平成29年5月30日)時点
21

げるものを除く。)。(※
2)
三 認定個人情報保護団体に関すること。
四 特定個人情報(番号利用法第2条第8項に規定する特定個人情報をいう。第63条第4項において同じ。)の取扱いに関する監視又は監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること。
五 特定個人情報保護評価(番号利用法第27条第1項に規定する特定個人情報保護評価をいう。)に関すること。
六 個人情報の保護及び適正かつ効果的な活用についての広報及び啓発に関すること。
七 前各号に掲げる事務を行うために必要な調査及び研究に関すること。
八 所掌事務に係る国際協力に関すること。
九 前各号に掲げるもののほか、法律(法律に基づく命令を含む。)に基づき委員会に属させられた事務
(職権行使の独立性)
第62条 委員会の委員長及び委員は、独立してその職権を行う。
(組織等)
第63条 委員会は、委員長及び委員8人をもって組織する。
2 委員のうち4人は、非常勤とする。
3 委員長及び委員は、人格が高潔で識見の高い者のうちから、両議院の同意を得て、内閣総理大臣が任命する。
4 委員長及び委員には、個人情報の保護及び適正かつ効果的な活用に関する学識経験のある者、消費者の保護に関して十分な知識と経験を有する者、情報処理技術に関する学識経験のある者、特定個人情報が利用される行政分野に関する学識経験のある者、民間企業の実務に関して十分な知識と経験を有する者並びに連合組織(地方自治法(昭和22年法律第67号)第263条の3第1項の連合組織で同項の規定による届出をしたものをいう。)の推薦する者が含まれるものとする。
(任期等)
第64条 委員長及び委員の任期は、5年とする。ただし、補欠の委員長又は委員の任期は、前任者の残任期間とする。
2 委員長及び委員は、再任されることができる。
2 第61条第2号は、行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活用ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律の施行の日以降、「個人情報取扱事業者における個人情報の取扱い並びに個人情報取扱事業者及び匿名加工情報取扱事業者における匿名加工情報の取扱いに関する監督、行政機関の保有する個人情報の保護に関する法律第2条第1項に規定する行政機関における同条第9項に規定する行政機関非識別加工情報(同条第10項に規定する行政機関非識別加工情報ファイルを構成するものに限る。)の取扱いに関する監視、独立行政法人等における独立行政法人等の保有する個人情報の保護に関する法律第2条第9項に規定する独立行政法人等非識別加工情報(同条第10項に規定する独立行政法人等非識別加工情報ファイルを構成するものに限る。)の取扱いに関する監督並びに個人情報及び匿名加工情報の取扱いに関する苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること(第4号に掲げるものを除く。)。」となります(下線部分が改正部分)。
全面施行の日(平成29年5月30日)時点
22

委員長及び委員の任期が満了したときは、当該委員長及び委員は、後任者が任命されるまで引き続きその職務を行うものとする。
4 委員長又は委員の任期が満了し、又は欠員を生じた場合において、国会の閉会又は衆議院の解散のために両議院の同意を得ることができないときは、内閣総理大臣は、前条第3項の規定にかかわらず、同項に定める資格を有する者のうちから、委員長又は委員を任命することができる。
5 前項の場合においては、任命後最初の国会において両議院の事後の承認を得なければならない。この場合において、両議院の事後の承認が得られないときは、内閣総理大臣は、直ちに、その委員長又は委員を罷免しなければならない。
(身分保障)
第65条 委員長及び委員は、次の各号のいずれかに該当する場合を除いては、在任中、その意に反して罷免されることがない。
一 破産手続開始の決定を受けたとき。
二 この法律又は番号利用法の規定に違反して刑に処せられたとき。
三 禁錮以上の刑に処せられたとき。
四 委員会により、心身の故障のため職務を執行することができないと認められたとき、又は職務上の義務違反その他委員長若しくは委員たるに適しない非行があると認められたとき。
(罷免)
第66条 内閣総理大臣は、委員長又は委員が前条各号のいずれかに該当するときは、その委員長又は委員を罷免しなければならない。
(委員長)
第67条 委員長は、委員会の会務を総理し、委員会を代表する。
2 委員会は、あらかじめ常勤の委員のうちから、委員長に事故がある場合に委員長を代理する者を定めておかなければならない。
(会議)
第68条 委員会の会議は、委員長が招集する。
2 委員会は、委員長及び4人以上の委員の出席がなければ、会議を開き、議決をすることができない。
3 委員会の議事は、出席者の過半数でこれを決し、可否同数のときは、委員長の決するところによる。
4 第65条第4号の規定による認定をするには、前項の規定にかかわらず、本人を除く全員の一致がなければならない。
5 委員長に事故がある場合の第2項の規定の適用については、前条第2項に規定する委員長を代理する者は、委員長とみなす。
(専門委員)
全面施行の日(平成29年5月30日)時点
23

69条 委員会に、専門の事項を調査させるため、専門委員を置くことができる。
2 専門委員は、委員会の申出に基づいて内閣総理大臣が任命する。
3 専門委員は、当該専門の事項に関する調査が終了したときは、解任されるものとする。
4 専門委員は、非常勤とする。
(事務局)
第70条 委員会の事務を処理させるため、委員会に事務局を置く。
2 事務局に、事務局長その他の職員を置く。
3 事務局長は、委員長の命を受けて、局務を掌理する。
(政治運動等の禁止)
第71条 委員長及び委員は、在任中、政党その他の政治団体の役員となり、又は積極的に政治運動をしてはならない。
2 委員長及び常勤の委員は、在任中、内閣総理大臣の許可のある場合を除くほか、報酬を得て他の職務に従事し、又は営利事業を営み、その他金銭上の利益を目的とする業務を行ってはならない。
(秘密保持義務)
第72条 委員長、委員、専門委員及び事務局の職員は、職務上知ることのできた秘密を漏らし、又は盗用してはならない。その職務を退いた後も、同様とする。
(給与)
第73条 委員長及び委員の給与は、別に法律で定める。
(規則の制定)
第74条 委員会は、その所掌事務について、法律若しくは政令を実施するため、又は法律若しくは政令の特別の委任に基づいて、個人情報保護委員会規則を制定することができる。
第6章 雑則
(適用範囲)
第75条 第15条、第16条、第18条(第2項を除く。)、第19条から第25条まで、第27条から第36条まで、第41条、第42条第1項、第43条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。
(適用除外)
第76条 個人情報取扱事業者等のうち次の各号に掲げる者については、その個人情報等を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、第4章の規定は、適用しない。
一 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含
全面施行の日(平成29年5月30日)時点
24

。) 報道の用に供する目的
二 著述を業として行う者 著述の用に供する目的
三 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者 学術研究の用に供する目的
四 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的
五 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的
2 前項第1号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。
3 第1項各号に掲げる個人情報取扱事業者等は、個人データ又は匿名加工情報の安全管理のために必要かつ適切な措置、個人情報等の取扱いに関する苦情の処理その他の個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
(地方公共団体が処理する事務)
第77条 この法律に規定する委員会の権限及び第44条第1項又は第4項の規定により事業所管大臣又は金融庁長官に委任された権限に属する事務は、政令で定めるところにより、地方公共団体の長その他の執行機関が行うこととすることができる。
(外国執行当局への情報提供)
第78条 委員会は、この法律に相当する外国の法令を執行する外国の当局(以下この条において「外国執行当局」という。)に対し、その職務(この法律に規定する委員会の職務に相当するものに限る。次項において同じ。)の遂行に資すると認める情報の提供を行うことができる。
2 前項の規定による情報の提供については、当該情報が当該外国執行当局の職務の遂行以外に使用されず、かつ、次項の規定による同意がなければ外国の刑事事件の捜査(その対象たる犯罪事実が特定された後のものに限る。)又は審判(同項において「捜査等」という。)に使用されないよう適切な措置がとられなければならない。
3 委員会は、外国執行当局からの要請があったときは、次の各号のいずれかに該当する場合を除き、第1項の規定により提供した情報を当該要請に係る外国の刑事事件の捜査等に使用することについて同意をすることができる。
一 当該要請に係る刑事事件の捜査等の対象とされている犯罪が政治犯罪であるとき、又は当該要請が政治犯罪について捜査等を行う目的で行われたものと認められるとき。
二 当該要請に係る刑事事件の捜査等の対象とされている犯罪に係る行為が日本国内において行われたとした場合において、その行為が日本国の法令によれば
全面施行の日(平成29年5月30日)時点
25

に当たるものでないとき。
三 日本国が行う同種の要請に応ずる旨の要請国の保証がないとき。
4 委員会は、前項の同意をする場合においては、あらかじめ、同項第1号及び第2号に該当しないことについて法務大臣の確認を、同項第3号に該当しないことについて外務大臣の確認を、それぞれ受けなければならない。
(国会に対する報告)
第79条 委員会は、毎年、内閣総理大臣を経由して国会に対し所掌事務の処理状況を報告するとともに、その概要を公表しなければならない。
(連絡及び協力)
第80条 内閣総理大臣及びこの法律の施行に関係する行政機関(法律の規定に基づき内閣に置かれる機関(内閣府を除く。)及び内閣の所轄の下に置かれる機関、内閣府、宮内庁、内閣府設置法第49条第1項及び第2項に規定する機関並びに国家行政組織法(昭和23年法律第120号)第3条第2項に規定する機関をいう。)の長は、相互に緊密に連絡し、及び協力しなければならない。
(政令への委任)
第81条 この法律に定めるもののほか、この法律の実施のため必要な事項は、政令で定める。
第7章 罰則
第82条 第72条の規定に違反して秘密を漏らし、又は盗用した者は、2年以下の懲役又は100万円以下の罰金に処する。
第83条 個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第87条第1項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処する。
第84条 第42条第2項又は第3項の規定による命令に違反した者は、6月以下の懲役又は30万円以下の罰金に処する。
第85条 次の各号のいずれかに該当する者は、30万円以下の罰金に処する。
一 第40条第1項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避した者
二 第56条の規定による報告をせず、又は虚偽の報告をした者
第86条 第82条及び第83条の規定は、日本国外においてこれらの条の罪を犯した者
全面施行の日(平成29年5月30日)時点
26

も適用する。
第87条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、第83条から第85条までの違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。
2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
第88条 次の各号のいずれかに該当する者は、10万円以下の過料に処する。
一 第26条第2項又は第55条の規定に違反した者
二 第50条第1項の規定による届出をせず、又は虚偽の届出をした者

 

個人情報のリスクを認識し、分析し対策を検討する。

  1. 取得・入力
  2. (1) 作業責任者の明確化
    1. 個人情報を取得する際の作業責任者の明確化保険組合荷札は、保護管理者が同様に取得する。
    2.  履歴書、職務経歴書、自分史、小テストは保護管理者が取得する。健康
    3.  取得した個人情報を情報システムに入力する際の作業責任者の明確化。
    4. 本社、総務部、保護管理者が入力する。

(2)手続きの明確化と手順に従った実施

① 取得・入力する際の手続きの明確化

直接手渡しで取得する。総務部で直接入力する。

    1.  定められた手続きによる取得・入力の実施社、総務部において入力する。
    2.  本人から直接取得する。又、権限が与えられていない人物が入れない本

④  個人情報を入力する端末は総務部のPCのみとする。

セキュリティ対策ソフトウェア、アバストAVGを導入する。また、パス

ワード設定する。

(3)作業担当者の識別、認証、権限付与

① 個人情報を取得・入力できる作業担当者は各部署の保護管理者のみで、IDと

パスワードで識別する。個人情報は入力・保存のみで複製や持出しは、許可

しない。又、アクセスの記録、保管と権限外業務の有無を日報で報告、保存

する。

(4)作業担当者及びその権限の確認

① アクセスの記録、保管と権限外業務の有無を日報で報告、保存の確認をする。

  1. 移送・送信
  1. 作業責任者の明確化
  2. 手続きの明確化と手順に従った実施
  3. 作業担当者の識別、認証、権限付与
  4. 作業担当者及びその権限の確認
  1. 利用・加工
  1. 作業責任者の明確化
  2. 手続きの明確化と手順に従った実施
  3. 作業担当者の識別、認証、権限付与

(4)作業担当者及びその権限の確認

 

  1. 保管・バックアップ
  1. 作業責任者の明確化
  2. 手続きの明確化と手順に従った実施
  3. 作業担当者の識別、認証、権限付与

(4)作業担当者及びその権限の確認

 

  1. 消去・廃棄
  1. 作業責任者の明確化
  2. 手続きの明確化と手順に従った実施
  3. 作業担当者の識別、認証、権限付与
  4. 作業担当者及びその権限の確認

 

内部規定の策定

① 個人情報の特定する手順
個人情報保護管理者が特定個人情報管理台帳のアクセス権限者に直接依頼し、調査項目、記載方法
個人情報特定調査シートを使用する。
この調査は1年毎に定期的に行い、また新規の事業や業務の受注時には各部門責任者が個人情報
保護管理者に追加申請する。

② 法令、国が定める指針その他の規範の特定、参照及び維持
法令等に違反するリスクを回避するために、以下の手順で当社が遵守すべき法令、国が定める指針、その他のガイドライン(以下、法令・ガイドラインという)を特定する。
(1) 個人情報保護管理者は、個人情報に関する法令・ガイドラインを特定し、法令・ガイドライン一覧に登録し、必要な関係者が参照できる手順を確立し、維持しなければならない。
ホームページ上で参照できる場合には、参照URLを個人情報保護管理者より全従業員へ書面等にて通知する。
ホームページ上で参照できない場合には、紙等の媒体で保管し、その保管場所を法令・ガイドライン一覧に記載
し全従業員が参照できるようにする。
(2) 個人情報保護管理者、又は個人情報保護管理者が任命した者は、年に1回以上の頻度で特定したURLを参照し、当社が参照すべき個人情報に関する法令・ガイドラインの改正の有無を確認し、その結果を法令・ガイドライン一覧に記録する。
(3) 個人情報保護管理責任者は、当社が参照すべき個人情報に関する法令・ガイドラインが改正または新規に成立・発表された場合、全従業員にその旨を周知しなければならない。
(4) 前項に関わらず、情報システム管理責任者、各部門の業務担当者は自らの業務・事業に特有の法令・ガイドラインが改正または新規に成立・発表されたことを知った場合には個人情報保護管理責任者を通じて法令・ガイドライン一覧に登録するとともに、関係する全従業員に周知しなければならない。

個人情報保護管理責任者は,法令・ガイドラインが改正された場合には,当社の個人情報保護マネジメントシステムに影響があるかどうかを確認する。当社の個人情報保護マネジメントシステムに影響があると判断された場合には,すみやかに個人情報保護マネジメントシステムに反映させる。

③ 個人情報に関するリスクの認識、分析及び対策の手順
個人情報保護管理者は、①で特定した個人情報について、リスク管理表を作成するとともにその取扱いの各局面(収集から保管、利用、委託、提供、送付、搬送、廃棄・消去までの全プロセス)におけるリスクを認識し、分析し、必要な対策を講じる手順を確立し、維持する。また、年1回の見直しを行い、顕在化したリスクがある場合、部署間ではなく全社に通達し見直しを実施する。

④ 事業者の各部門及び階層における個人情報を保護するための権限及び責任
社長はPMSを効果的に実施するため、PMSを確立し、実施し、維持し、かつ改善するために必要な資源(人員、予算など)を用意する。
また、個人情報保護管理者を指名し、PMSの実施・運用に関する責任と権限を与える。
さらに、個人情報保護監査責任者を内部から指名し、PMSのJISQ15001:2006および法令・ガイドラインへの適合状況(文書監査)及びPMSの運用状況(実地監査)について他の責任に関わりなく監査させ、報告させる。
その他個人情報保護マネジメントシステムを円滑に運用するために必要と思われる体制を構築する。

⑤ 緊急事態(個人情報が漏洩、滅失又は毀損をした場合)への準備及び対応
社長は、事故対応体制を組織(本人対応、渉外対応、原因調査)し、事故対応の陣頭指揮を執る。
個人情報保護管理者は、社長が決定した事故対応方針に基づいて、事故対応手順を遂行しなければならない。
全従業員は、事故対応発生時には、社長または個人情報保護管理者の指示に基づいて適切な対応を行わなければならない。

手順としては以下の順に対応を行わなければならない。
⑴ 事故対応方針の決定。
⑵ 原因究明及び事故内容の検証を行い情報漏洩が発生した可能性のある対象者(本人)へ事実を通知し、謝罪を行う。
また、想定される被害について注意を呼びかける。(個人情報が悪用される可能性のあること等)
盗難等の犯罪の可能性がある場合には、警察へ届出を行う。
⑶ ホームページに事故発生の事実、および対応経過、被害防止策について公表する。
⑷ 情報漏洩対象者(本人)へ状況報告を行う。情報漏洩の可能性があるかないかも併せて報告する。
⑸ 対応方法を検討し、公表・実施する。
⑹ 再発防止策を検討し、公表・実施する。
⑺ 責任の取り方を決定し、実施する。(本人への賠償、関係者の処罰、企業責任の取り方等)

⑥ 個人情報の取得、利用及び提供
(利用目的の特定)
当社は、業務上の目的で個人情報を取得する場合、利用目的を明確に特定し、その目的の達成に必要な範囲で個人情報の取得を行うものとする。
利用目的の特定については個人情報特定調査シートおいて行う。
(適正な取得)
当社は、適法かつ公正な手段によって個人情報を取得する。全従業員は、個人情報の取得においては、利用目的を偽るなど不公平な手段によってはならず、適法、かつ、公正な手段によって行わなければならない。
(特定の機微な個人情報の取得、利用及び提供の制限)
当社は、次に示す内容を含む個人情報の取得、利用は行わない。ただし、これらの取得、利用又は提供につ
いて、明示的な本人の同意がある場合およびa~dのいずれかに該当する場合はこの限りではない。
a)思想、信条、及び、宗教に関する事項
b)人種、民族、門地、本籍地(所在都道府県に関する情報を除く)、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項。
c)勤労者の団体権、団体交渉、及び、その他団体行動の行為に関する事項。
d)集団示威行為への参加、請願権の行使、及び、その他の政治的権利の行使に関する事項。
e)保健医療及び性生活に関する事項。
当社は特定の機微な個人情報の取得、利用及び提供を原則禁止するが、例外的に上記情報を取得、利用、提供する場合は、例外事項取扱い申請書により社長及び個人情報保護管理責任者の承認を得なければ実施してはならない。

(本人から直接書面によって取得する場合の処置)
(1)当社は、本人から、書面(電子的方式、磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む)に記載された個人情報を直接に取得する場合には、少なくとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、本人の同意を得る。
a) 事業者の氏名又は名称
b) 個人情報保護管理責任者(若しくはその代理人)の氏名又は職名、所属及び連絡先
c) 利用目的
d) 個人情報を第三者に提供することが予定される場合の事項
① 第三者に提供する目的(提供先における利用目的)
② 提供する個人情報の項目(氏名、携帯電話番号、メールアドレス、など)
③ 提供の手段又は方法
(電子ファイルを媒体で提供、宛名ラベルにして提供、出版、インターネットで公開、など)
④ 当該情報の提供を受ける者又は提供を受ける組織の種類、及び属性
⑤ 個人情報の取扱いに関する契約がある場合はその旨
(機密保持、目的外利用および再提供の禁止、本人の求めによる利用停止など)
e) 個人情報の取扱いの委託を行うことが予定される場合には、その旨
f) (開示・訂正・利用停止の各請求)に該当する場合には、その求めに応じる旨及び問合せ窓口
g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
h) 本人が容易に認識できない方法によって個人情報を取得する場合には、その旨
(クッキーの取得、WEBへのアクセスログ、監視カメラ、音声通話記録など)
(2) 前項に関わらず、人の生命、身体又は財産の保護のために緊急に必要がある場合、および次の各号のいずれかに該当する場合は、利用目的を明示しない。
a)利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
b)利用目的を本人に通知し、又は公表することによって当該事業者の権利又は正当な利益を害するおそれがある場合
c)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき
d)取得の状況からみて利用目的が明らかであると認められる場合(通常のビジネス慣行としての名刺交換、会議出席者名の議事録への記載、納品書・請求書・送り状などの担当者名の記載があった場合、など。ただし名刺交換で取得した名刺情報をDMや同報メールの送付に利用する場合を除く)
(3)前2項に関わらず次の各号のいずれかに該当する場合は、第1項の手続きを必要としない。
a)法令に基づく場合
b)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
c)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
d)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき

(個人情報を本人から直接書面によって取得する以外の方法によって取得した場合の処置)
個人情報保護管理者は、各部門での個人情報の取扱いにおいて、個人情報を本人から直接書面によって取得する以外の方法によって取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を、本人に通知し、又は公表しなければならない。ただし、次に示すいずれかに該当する場合は、この限りではない。
a)利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
b)利用目的を本人に通知し、又は公表することによって当社の権利又は正当な利益を害するおそれがある場合
c)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき
d)取得の状況からみて利用目的が明らかであると認められる場合

個人情報管理者は前項に該当する利用目的をホームページに掲載するよう情報システム担当者に指示し、
情報システム担当者は実行後、個人情報管理者に報告する。
個人情報管理者は報告を受けた後、ホームページを確認に問題がある場合は、関係者に指導し正常化せる。

(利用に関する処置)
個人情報保護管理者は、各部門での個人情報の取扱いにおいて、特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならない。目的外利用に該当するか判断に迷う場合は、個人情報保護管理者に相談し、判断を求めること。
また、特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、個人情報の利用目的を再設定したうえで、その取扱い方法を定め、個人情報保護管理者の承認を得たうえで、あらためて、(本人から直接書面によって取得する場合の処置)のa)~f)に示す事項等を本人に通知し、同意を得なければならない。

(本人にアクセスする場合の処置)
個人情報保護管理者は、各部門での個人情報の取扱いにおいて、例外的に個人情報を利用して本人にアクセスする場合には、例外事項取扱い申請書により社長及び個人情報保護管理責任者の承認を得なければ実施してはならない。
ただし、次に示すいずれかに該当する場合は、この限りではない。
a)(本人から直接書面によって取得する場合の処置)に示す事項又はそれと同等以上の内容の事項を口頭で通知し、既に本人の同意を得ているとき
b)個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報を、その利用目的の達成に必要な範囲内で取り扱うとき
c)合併その他の事由による事業の承継に伴って個人情報が提供され、個人情報を提供する事業者が、既に(本人から直接書面によって取得する場合の処置)に示す事項又はそれと同等以上の内容の事項を明示又 は通知し、本人の同意を得ている場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき
d)個人情報が特定の者との間で共同して利用され、共同利用者が、既に(本人から直接書面によって取得する場合の処置)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知しているとき
① 共同して利用すること
② 共同して利用される個人情報の項目
③ 共同して利用する者の範囲
④ 共同して利用する者の利用目的
⑤ 共同して利用する個人情報の管理について責任を有する者の氏名又は名称
⑥ 取得方法
e)(本人から直接書面によって取得する場合の処置)の(2)のd)に該当するため、利用目的などを本人 に明示、通知又は公表することなく取得した個人情報を利用して、本人にアクセスするとき
f) (本人から直接書面によって取得する場合の処置)の(3)のa)~d)のいずれかに該当する場合

(提供に関する措置)
個人情報を第三者に提供する場合には、あらかじめ、本人に対して、取得方法及び(本人から直接書面によって取得する場合の処置)のa)~d)の事項又はそれと同等以上の内容の事項を通知し、本人の同意を得なければならない。ただし、次に示すいずれかに該当する場合は、この限りではない。
a) (本人から直接書面によって取得する場合の処置)又は(本人にアクセスする場合の処置)の規定にて
既に(本人から直接書面によって取得する場合の処置)の事項又はそれと同等以上の内容の事項を本人に口頭で通知し、本人の同意を得ているとき
b) 大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難な場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又はそれに代わる同等の措置を講じているとき。

① 第三者への提供を利用目的とすること
② 第三者に提供される個人情報の項目
③ 第三者への提供の手段又は方法
④ 本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること
⑤ 取得方法
c) 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であって、かつ、法令に基づき又は本人若しくは当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって、b)で示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
d) 特定した利用目的の達成に必要な範囲内において、個人情報の取扱いの全部又は一部を委託するとき
e) 合併その他の事由による事業の承継に伴って個人情報を提供する場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき
f) 個人情報を特定の者との間で共同して利用する場合であって、(本人にアクセスする場合の処置)のd)の①~⑥の事項又はそれと同等以上の内容の事項をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているとき。
g) (本人から直接書面によって取得する場合の処置)の(3)のa)~d)のいずれかに該当する場合

⑦個人情報の適正管理に関する規定
(正確性の確保)
個人情報保護管理者は、利用目的の達成に必要な範囲内において、正確、かつ最新の状態で管理しなければならない。
個人情報を入力する際は、各営業所の事務担当者、社内個人情報は総務担当者が行い、入力後個人情報保護管理者に報告する。報告後、個人情報管理者は誤りや不整合がないかを確認し、特定個人情報管理台帳と照合し保存期間を確定する。(誤りや不整合がある場合は入力担当者に訂正の指示を行う)

(安全管理措置)
個人情報保護管理責任者は、個人データを取り扱う場合には、個人データの安全性を以下に定め、確保しなければならない。
「入退室管理」
・会社施設への入退室時は、社員証を目に付く位置に携帯する。
・施錠された施設へ最初に入室、または最後に退出するものは入退出する場合、入退出表に日時、氏名を記入し、入退出を行う。
・私物のパソコン、USBメモリー、デジタルカメラ、タブレット等の外部記憶媒体は施設内に持ち込みは禁止するものとする。
・外来者受付場所は各営業所の事務所とし受付表に入退室の日時・氏名を記入してもらう。
・施設内を案内する場合は、来訪者であることが一目でわかるように入館表を着用してもらい、必ず従業員が帯同するものとする。
・事務担当者は受付表を随時チェックし不審者の出入りがないか確認する。
「PC管理」
・社内のPCは業務目的にのみ使用する。
・いかなるソフトウエアも、社長から提供または指示、許可されたものだけを使用する。
・ネットワークアクセス(インターネットアクセス、Eメール送受信)は、業務上の目的にのみ使用する。
・外部ネットワークアクセスにおける情報のアクセスやダウンロード、情報発信は必要な範囲に限定し、ウイルスチェックを行い、悪意あるプログラムの侵入や送付を防止する。
またEメールの送信については、送信前に宛先を再度確認し、間違えのないように十分注意する
・PCや情報機器の紛失や盗難の防止に努める。
・ID、パスワードは、他人から推測されないものを使う。また、パスワードは定期的に変更する。ID、パスワードを設定していないPCは個人情報を登録しない。
・個人情報を取り扱うPC操作において離席時は、ログオフやパスワード付スクリーセーバーの起動を行う。
・社外から持ち込み媒体や、社外に提供する媒体は、ウイルスチェックを行う。
・ウイルスの検出や感染があった場合、使用を中止し、ネットワークから切断(LANケーブルを引き抜く)して、それから社長に連絡して指示に従う。
・PC、情報機器、記憶媒体を廃棄する場合は、可能な範囲の情報を消去した後、社長に引き渡し、復活不可能になるように完全な消去を依頼しなければならない。
・機密情報は、原則として共有のディスク・共有ホルダに登録しない。
・自分のIDやパスワードを開示したり、漏洩してはならない。また、他人のIDやパスワードを知ろうとしたり、調べたりしてはならない。
・社内の情報機器に、私的な情報の蓄積、私的なPC、情報機器の接続はしてはならない。
・個人情報を取り扱うPCに関しては、少なくとも3ヶ月毎にはバックアップを行い。バックアップした媒体は施錠保管するものとする。

(従業者の監督)
当社は、従業者に個人情報を取り扱わせるに当たっては、当該個人情報の安全管理が図られるよう、当該従業者に対し必要、かつ、適切な監督を行う。その為に、以下の事項を実施する。
・従業者の採用担当者は、従業者の採用に際し、本人から個人情報の適切な取扱いと当社のPMS遵守についての誓約書を徴収すること。
・派遣社員については派遣会社との契約において、派遣会社が派遣スタッフから当社の個人情報の適切な取扱いと当社のPMS遵守についての誓約書を徴収する旨の規定があることを確認する。
・個人情報保護管理者は、各部門の日常業務、朝礼、会議などを通じて、所管する従業者が個人情報を適切に取扱うよう指導すること。
(委託先の監督)
個人情報保護管理者は、取扱う個人情報の取扱いの一部又は全部を外部に委託する場合には、委託する個人情報の安全管理が図られるよう、委託を受けた者に対する必要、かつ、適切な監督を行わなければならない。
当社は次に示す事項を契約によって規定し、十分な個人情報の保護水準を担保しなければならない。
a) 委託者及び受託者の責任の明確化
b) 個人情報の安全管理に関する事項
c) 再委託に関する事項
d) 個人情報の取扱状況に関する委託者への報告の内容及び頻度
e) 契約内容が遵守されていることを委託者が確認できる事項
f) 契約内容が遵守されなかった場合の措置
g) 事件・事故が発生した場合の報告・連絡に関する事項
当該契約書などの書面を個人情報の保有期間にわたって保存しなければならない。

また 個人情報を扱う業務の外部委託、当社施設内での請負作業を発注しようとする場合、個人情報保護マ
ネジメントの要求に対する発注先の対応能力についての評価基準はプライバシーマーク認証取得済と定め、
その基準に従って候補の発注先を評価して、発注先を選定しなければならない
さらに個人情報を扱う業務の外部委託、当社施設内での請負作業を発注する場合、外部委託先と正式
約書を取り交わし、契約書に上記a)~g)の要求事項を記述する。また、委託する個人情報の安全管理が図られように、委託先に対する監督を適宜行わなければならない。

⑧本人からの開示等の求めへの対応

個人情報に関する権利)

当社は、電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理、分類し、目次、索引、符号などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であって、当社が本人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの(以下、「開示対象個人情報」という)に関して、本人から利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止(以下、「開示等」という。)を求められた場合は、(開示対象個人情報の利用目的の通知)~開示対象個人情報の利用又は提供の拒否権)の規定によって、遅滞なくこれに応じる。ただし、次のいずれかに該当する場合は、開示対象個人情報ではない。

  1. 当該個人情報の存否が明らかになることによって、本人又は第三者の生命、身体又は財産に危害が及ぶおそれのあるもの
  2. 当該個人情報の存否が明らかになることによって、違法又は不当な行為を助長し、又は誘発するおそれのあるもの
  3. 当該個人情報の存否が明らかになることによって、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの
  4. 当該個人情報の存否が明らかになることによって、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序維持に支障が及ぶおそれのあるもの

(開示等の求めに応じる手続)

・当社における本人からの開示等の求めに対する対応は、本社(郡営業所)の個人情報保護管理責任者が行う。

・開示等の求めの申し出先は本社(郡営業所、茨木市郡4-6-21、honsya-matsu@kasuga-soko.co.jp)において電話、書面、メールの申し出のみ受け付けるものとする。

・開示の求めがあった場合は個人情報変更申請書を本人に郵送し対応する。

・本人確認の手順は、本人からの問合せの場合には、登録電話番号またはメールアドレスへのコールバックにより本人確認する。代理人からの請求受付は個人情報変更申請書、委任状、本人及び代理人の身分証明書の提出を受付条件とする。

・請求に対する回答は書面で行う。(本人の同意が得られた場合にのみ口頭でも可)

・代理人からの申請であっても回答は本人に行う。

・開示に関わる手数料は、書面による通知をする場合は1000円(消費税別)とし、個人情報保護管理者は、受付前に請求者に通知しなければならない。

 

(開示対象個人情報に関する事項の周知など)

当社は、取得した個人情報が開示対象個人情報に該当する場合は、当該開示対象個人情報に関し、次の事項を当社のホームページで本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

  1. 事業者の氏名又は名称
  2. 個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
  3. すべての開示対象個人情報の利用目的{(個人情報を本人から直接書面によって取得する以外の方法によって取得した場合の処置)のa)~c)までに該当する場合を除く。}
  4. 開示対象個人情報の取扱いに関する苦情の申し出先
  5. (開示等の求めに応じる手続)によって定めた手続(開示手続き、手数料)

 

(開示対象個人情報の利用目的の通知)

個人情報保護責任者は、本人から、当該本人についての保有個人データについて、利用目的の通知を求められた場合には、公表している利用目的を参照いただくよう通知しなければならない。回答内容(求めに応じない場合を含む)については、個人情報変更申請書により事前に社長の承認を得なければならない。

 

(開示対象個人情報の開示)

個人情報保護管理者は、本人から、当該本人が識別される個人情報の開示(当該本人が識別される個人情報が存在しないときにその旨を知らせることを含む。)を求められたときは、法令の規定によって特別の手続が定められている場合を除き、本人に対し、遅滞なく、当該開示対象個人情報を書面(開示の求めを行った者が同意した方法があるときは、当該方法)によって開示しなければならない。ただし、開示することによって次のa)~c)のいずれかに該当する場合は、その全部又は一部を開示する必要はないがそのときは、本人に遅滞なくその旨を通知するとともに、理由を説明しなければならない。

a)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

b)当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

c)法令に違反することとなる場合

回答内容(求めに応じない場合を含む)については、個人情報変更申請書により事前に社長及び個人情報保護管理者の承認を得なければならない。

 

(開示対象個人情報の訂正、追加又は削除)

個人情報管理者は、本人から、当該本人が識別される開示対象個人情報の内容が事実でないという理由によって当該開示対象個人情報の訂正、追加又は削除(以下、この項において「訂正等」という。)を求められた場合は、法令の規定によって特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該開示対象個人情報の訂正等を行わなければならない。また、個人情報管理者は、訂正等を行ったときは、その旨及びその内容を、本人に対し、遅滞なく通知し、訂正等を行わない旨の決定をしたときは、その旨及びその理由を、本人に対し、遅滞なく通知しなければならない。

回答内容(求めに応じない場合及び訂正等を実施しない場合を含む)については、個人情報変更申請書により事前に社長の承認を得なければならない。

 

(開示対象個人情報の利用又は提供の拒否権)

個人情報管理者は、本人から当該本人が識別される開示対象個人情報の利用の停止、消去又は第三者への提供の停止(以下、この項において”利用停止等”という。)を求められた場合は、これに応じなければならない。また、措置を講じた後は、遅滞なくその旨を本人に通知しなければならない。

ただし、(開示対象個人情報の開示)のただし書きa)~c)のいずれかに該当する場合は、利用停止等を行う必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明しなければならない。回答内容(求めに応じない場合を含む)については、個人情報変更申請書により事前に社長の承認を得なければならない。

 

⑨教育

個人情報保護管理者は、全従業員に対して、年1回以上の教育を行い次の事項を理解させる。

  1. 個人情報保護マネジメントシステムに適合する事の重要性及び利点
  2. 個人情報保護マネジメントシステムに適合するための役割及び責任
  3. 個人情報保護マネジメントシステムに違反した際に予想される結果

個人情報保護管理者は教育を行う為に、教育計画を策定し、個人情報保護教育計画書を作成し社長に報告する。

また、教育実施後に必ず質疑応答などにより受講者の理解度を確認し、理解度が不十分と思われる受講者に対して

は1週間以内に再教育を行うものとする。

教育終了後は、教育実施報告書を作成し社長に提出しなければならない。

新たに従業員となる者については、所属の個人情報保護管理者が教育を行う

 

⑩個人情報保護マネジメントシステム文書管理

(文書の範囲)

個人情報保護管理者は、次の個人情報保護マネジメントシステムの基本となる要素を、文書化しなければならない。

  1. 個人情報保護方針
  2. 内部規程
  3. 計画書
  4. 当社が個人情報保護マネジメントシステムを実施する上で必要と判断した記録

(文書管理)

個人情報保護管理責任者は、当社の要求するすべての文書(記録を除く)を管理する手順を確立し、実施し、かつ、維持しなければならない。文書管理の手順には、次の事項が含まれなければならない。

  1. 文書の発行及び改訂に関すること
  2. 文書の改訂の内容と版数との関連付けを明確にすること
  3. 必要な文書が必要なときに容易に参照できること

 

個人情報保護管理者は、個人情報保護マネジメントシステムの継続的な改善のために、定期的にまたは必要時は随時、個人情報保護マネジメントシステムを見直し、改善、規定の改定をする。

個人情報保護マネジメントシステムの規定を改訂した場合、個人情報保護管理者は、改訂内容を役員、全従業員および関係者に周知する。必要があれば、教育・訓練をする。

文書が改訂された場合、古い版は消去し、新しい版は必ずホームページに反映させる。

個人情報保護管理責任者は、個人情報保護マネジメントシステムの文書を文書一覧表で管理する。

文書一覧表では、文書最新版が分かるように、文書の最新版の版識別、改定日を記載する。

 

(記録の管理)

個人情報保護管理責任者は、個人情報保護マネジメントシステム及びJISQ15001:2006への適合を実証するために必要な記録(少なくとも以下の記録を含む)を作成し、かつ、維持しなければならない。

  1. 個人情報の特定に関する記録
  2. 法令、国が定める指針及びその他の規範の特定に関する記録
  3. 個人情報のリスクの認識、分析及び対策に関する記録
  4. 計画書
  5. 利用目的の特定に関する記録
  6. 開示対象個人情報に関する開示等(利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止又は消去、第三者提供の停止)の求めへの対応記録
  7. 教育実施記録
  8. 苦情及び相談への対応記録
  9. 運用の確認の記録
  10. 是正処置及び予防処置の記録
  11. 代表者による見直しの記録

 

個人情報保護管理責任者は、個人情報保護マネジメントシステムの文書を文書・記録一覧表で管理する。

文書・記録一覧表では、文書最新版が分かるように、文書の最新版の版識別、改定日を記載する。

教育テキストも文書・記録一覧表に登録する。

記録も文書・記録一覧表に登録する。

文書類が廃棄された場合は、文書・記録一覧表から削除又は削除記録が分かるように記載する。

 

⑪苦情及び相談への対応

当社は、個人情報の取扱い及び個人情報保護マネジメントシステムに関して、本人からの苦情及び相談を受け付ける窓口を郡営業所とし、その窓口をホームページで告知した上で、苦情及び相談に対応する。

苦情及び相談の受付は、個人情報管理者が対応する。

全従業員は、個人情報に関する苦情または相談があった場合には、独自の判断で対応してはならず、必ず個人情報管理者に転送するか、もしくは個人情報管理者への連絡方法を通知しなければならない。

回答内容(求めに応じない場合を含む)については、個人情報変更申請書により事前に社長の承認を得なければならない。

個人情報管理者は、苦情・相談の受付においては相談内容、根拠(背景・事実)、氏名及び連絡先の情報を確認

した上で、調査・処理を行わなければならない。

個人情報管理者は、苦情・相談の受付を行ってから調査、本人通知まで7営業日までに完了させるよう努め

3日に1度は進捗状況を本人に通知する。

個人情報相談窓口責任者は、苦情及び開示の請求と対応結果について、苦情・開示請求記録に記録する。

苦情・開示請求記録及び個人情報変更申請書は個人情報保護管理者が施錠保管しなければならない。

⑫点検

(運用の確認)

当社は、個人情報保護マネジメントシステムが適切に運用されていることが事業者の各部門及び階層において定期的に確認されるための手順を確立し、実施し、かつ、維持しなければならない。運用の点検(受付表、入退出表、アクセスログ確認表)は毎月月初に前月分において各営業所個人情報管理者において確認する。

(監査)

当社は個人情報マネジメントシステムがJISQ15001及び法令・ガイドラインへの適合状況、運用状況

を定期的に監査しなければならない。監査は少なくとも年1回行うものとする。

・社長は公平、かつ、客観的な立場にある個人情報保護監査責任者を事業所内から指名し、監査の実施及          び報告を行う責任及び権限を他の責任にかかわりなく与え、業務を行わせる。

・個人情報保護監査責任者は監査計画書 を作成し社長に報告する。

・監査員は「リスク管理表」及び「個人情報保護マネジメントシステム」JIS Q 15001の要求事項との合致を監

査する。尚、自分の業務を監査する事のないように配慮する。

・監査実施後に発覚した問題点については、必要であれば是正、予防処置を要求し報告させる。

・個人情報保護監査責任者は監査報告書を作成し、社長に提出、承認を得る。

 

⑬是正処置及び予防処置

個人情報保護監査責任者及び個人情報保護管理者は不適合に対する是正処置及び予防処置を確実に実施し、かつ、維持しなければならない。その手順には次の事項を含めなければならない。

  1. 不適合の内容を確認する。
  2. 不適合の原因を特定し、是正処置及び予防処置を立案する。
  3. 期限を定め、立案された処置を実施する。
  4. 実施された是正処置及び予防処置の結果を記録する。
  5. 実施された是正処置及び予防処置の有効性をレビューする。

是正・予防処置報告書により社長の承認を得なければならない。

 

⑭代表者による見直し

社長は個人情報の適切な保護を維持する為に年1回、個人情報保護マネジメントシステムを見直さなければならない。

見直しにおいては次の事項を考慮する。

  1. 内部監査及び個人情報保護マネジメントシステムの運用状況に関する報告
  2. 苦情を含む外部からの意見
  3. 前回までの見直しの結果に対するフォローアップ
  4. 個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
  5. 社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
  6. 事業者の事業領域の変化
  7. 内外から寄せられた改善のための提案

個人情報保護管理者は、年1回のマネジメントレビューの年間計画を策定して、個人情報保護教育計画書に記載する。内部監査後の2ヶ月以内に実施するように設定する。

個人情報保護管理責任者は、マネジメントレビューへのインプットを用意し社長は提示されたインプットを元に、個人情報保護マネジメントシステムの見直しを実施し、必要な改善指示を行う。

個人情報保護管理者は、マネジメントレビューの実施結果をマネジメントレビュー報告書に記録し、個人情報保護管理者がこれを保管する