個人情報管理規程

第1章 総則

第1条 (目的)

1. 本規程は、〔会社名〕（以下「会社」という）における個人情報の適法かつ適正な取扱いの確保に関する基本的事項を定めることにより、個人の権利・利益を保護することを目的とする。

第2条 (定義)

1. 本規程における用語の定義は次のとおり。
   1. 個人情報: 生存する個人に関する情報であって、特定の個人を識別することができるもの、又は他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの。
   2. 個人情報データベース: 特定の個人情報をコンピュータを用いて、又は紙媒体において、体系的に構成し検索可能な状態とした情報の集合物。
   3. 個人データ: 会社が管理する個人情報データベース等を構成する個人情報。
   4. 保有個人データ: 会社が、開示・内容の訂正・追加又は削除・利用の停止・消去及び第三者への提供の全てを行うことができる権限を有する個人データ（生命・身体・財産への危害が及ぶおそれや国の安全を害するおそれ等の例外を除く）。
   5. 本人: 個人情報によって識別される特定の個人。
   6. 部署の長: 個人情報を取扱う部門の長。
   7. 従業者: 会社の業務に従事する者（雇用関係にある正社員・契約社員・パート・アルバイト、代表取締役・取締役・執行役員を含む）。
   8. 利用目的: 一連の個人情報の取扱いにより達成しようとする目的。
   9. 個人情報の取扱い: 個人情報の取得・整理・分類・照合・処理・複製・委託・第三者提供・共同利用その他一切の利用、保有及び廃棄・消去・破壊。
   10. 本人の同意: 本人の個人情報が会社によって示された取扱方法で取り扱われることを承諾する旨の意思表示。
   11. 明示・通知・公表・本人が容易に知り得る状態・本人が知り得る状態: 個人情報保護法令に定義された各状態。

第3条 (適用)

1. 本規程は、役員及び従業者に適用する。
2. 本規程は、会社が現に保有している個人情報（取扱いを委託されている個人情報を含む）、及びその取扱いを委託している個人情報を対象とする。

第4条 (個人情報保護方針)

1. 会社における個人情報の適法かつ適正な取扱いを確保するため、個人情報保護方針（プライバシーポリシー）を定め、次の事項を含めるものとする。
   • 個人情報に関する法令を遵守し、適切に個人情報を取扱う旨の宣言
   • 利用目的の特定
   • 第三者提供・共同利用に関する事項
   • 問合せ窓口に関する事項
   • 開示・訂正等・利用停止等の手続き、本人確認方法、手数料
   • 安全管理措置及び個人情報管理技術
   • 社内体制、評価・見直し
2. 個人情報保護方針は、従業者に周知するとともに、ホームページに掲載する等の措置を講じる。

第2章 管理体制

第5条 (個人情報保護管理者)

1. 会社は、個人情報の取扱いに関して総括的な責任を有する個人情報保護管理者を設置する。
2. 個人情報保護管理者は管理グループのマネージャーとする。
3. 個人情報保護管理者の任期は、取締役会によりその任命を解かれるまでとする。
4. 個人情報保護管理者は、個人情報管理担当者を指名し、個人情報管理に関する業務を分担させることができる。
5. 個人情報保護管理者は、次の職責と権限を有する。
   • 個人情報保護方針の策定及び取締役会への上程、従業者への周知、一般への公表
   • 個人情報の取扱いを管理する上で必要な細則の承認
   • 安全対策の策定・推進
   • 適正な取扱いの維持・推進を目的とした諸施策の策定・実施
   • 事故発生時の対応策の策定・実施
6. 個人情報保護管理者は、監査責任者より監査報告を受け、逐次個人情報管理体制の改善を行う。

第6条 (部署長の責任)

1. 部署長は、自らの部門に所属する従業者の個人情報の一切の取扱いにつき、責任を有する。
2. 部署長は、自らの部署内に存在する個人情報の所在、内容、利用者、規模等を把握し、個人情報の適正な取扱いを維持・管理しなければならない。
3. 部署長は、自らの部署において個人情報の漏洩等の事故又は違反の発生若しくはその疑いが生じた場合は、直ちに個人情報保護管理者に報告し、指示を求めなければならない。

第7条 (個人情報の取扱いの決定)

1. 個人情報の基本的取扱いに関しては、各部署長がその適否を判断し、例外的取扱いに関しては、個人情報保護管理者にその適否の判断を求めるものとする。

第8条 (監査責任者)

1. 監査責任者は、内部監査責任者とし、個人情報の取扱いが法令・本規程・細則に従い適法かつ適切に行われているかについて、公平かつ客観的な立場で調査・確認・評価し、その結果を個人情報保護管理者に報告する。
2. 監査責任者は、必要な調査権限を有し、必要な監査担当者を選任することができる。

第9条 (計画)

1. 個人情報保護管理者及び個人情報管理担当者は、個人情報の適正な取扱いを維持・推進するため、定期に教育・訓練計画を策定する。
2. 監査責任者は、定期に個人情報の取扱いに関する監査計画を策定する。

第3章 個人情報の取扱い

第10条 (管理原則)

1. 個人情報は、本規程に従い適切に分類・管理し、その重要度に応じて適切に取得、移送、利用、保管、廃棄されなければならない。

第11条 (利用目的)

1. 会社は、個人情報の利用目的をできる限り特定する。
2. 個人情報は、あらかじめ本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて取扱ってはならない。利用目的の範囲内か否かが不明な場合は、都度、個人情報保護管理者に判断を求める。
3. 利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると認められる範囲を超えて行ってはならず、変更された利用目的は遅滞なく本人に通知又は公表しなければならない。

第12条 (適正な取得)

1. 個人情報は、偽りその他不正の手段により取得してはならない。

第13条 (特定の個人情報の取得の禁止)

1. 原則として、下記各号に示す内容を含む個人情報は、これを取得し、又は第三者に提供してはならない。ただし、業務上必要であり本人に明示の上で明確な同意を得た場合、法令に特別の規定がある場合、司法手続上必要不可欠な場合はこの限りでない。
   • 思想、信条及び信教に関する事項
   • 人種、民族、家柄、本籍地、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
   • 勤労者の団結権の行使、団体交渉、その他団体行動に関する事項
   • 政治的権利の行使に関する事項
   • 保健医療に関する事項
   • その他個人情報保護管理者の定める事項

第14条 (本人から直接取得する際の措置)

1. 申込書・アンケート・契約書等（電子メール、ホームページへの記入等の電磁的方法を含む）により本人から直接個人情報を取得する場合は、本人に対してあらかじめ利用目的を明示しなければならない。ただし次に該当する場合はこの限りでない。
   • 人の生命、身体又は財産その他の権利利益を保護するため必要な場合
   • 会社の権利又は正当な利益を害するおそれがある場合
   • 国又は地方公共団体の法令に定める事務の遂行に支障を及ぼすおそれがある場合
   • 取得の状況に照らし、利用目的が明らかであると認められる場合

第15条 (間接的に取得する際の措置)

1. 本人以外の第三者から個人情報を取得する場合は、当該個人情報が当該第三者において適法・適正に取得されたものでなければならず、かつ、当該第三者において、会社への提供につき適法な措置が講じられていなければならない。

第16条 (個人データの正確性の確保)

1. 個人データは、利用目的の達成に必要な範囲内において、正確かつ最新の内容に保つよう努めなければならない。

第17条 (個人データ取扱台帳)

1. 個人情報保護管理者は、会社の全ての個人データの種類・内容・保管場所等を記載（データベースへの入力を含む）した台帳を作成し、定期に見直し、最新の状態を維持する。
2. 部署の長は、自らの部門における個人データの種類・内容・保管場所等を、個人情報保護管理者の求めに応じ定期に報告し、保有個人データの種類・内容・保管場所等を変更する場合は事前に承認を得る。

第18条 (安全管理措置)

1. 会社においては、取扱う個人情報の漏洩、滅失又は毀損の防止その他の安全管理のために、人的、物理的、技術的に適切な措置を講じる。
2. 各部門は次の事項を遵守して個人情報を取り扱う。
   • 個人情報を含む文書（磁気媒体を含む）は、施錠できる場所への保管、パスワード管理等により、散逸・紛失・漏洩の防止に努める
   • 情報機器は適切に管理し、正式な利用権限のない者には使用させない
   • 保管の必要のないものは、速やかに廃棄する
   • 廃棄は、シュレッダー裁断・焼却・溶解等により完全に抹消する
   • 他部門に伝達するときは、適切な方法・手順による
   • みだりに複写しない

第19条 (従業者の監督)

1. 個人情報保護管理者及び部署の長は、従業者が個人データを取扱うにあたり、必要かつ適切な監督を行う。
2. 個人情報保護管理者は、従業者に対して個人情報の保護及び適正な取扱いに関する誓約書の提出を命じることができる。

第20条 (社内教育)

1. 従業者に対する個人情報の保護及び適正な取扱いに関する教育方針は、個人情報保護管理者が決定する。
2. 従業者は、個人情報保護管理者の指名した部門が主催し、又は個人情報保護管理者が決定した方針に基づく研修を受けなければならない。

第21条 (委託先の監督)

1. 部署の長は、個人データの取扱いの全部又は一部を委託する場合は、委託先に対する必要かつ適切な監督を行う。
2. 委託に当たっては、委託先における個人情報保護体制を確認のうえ選定し、安全管理措置・秘密保持・委託業務以外の使用禁止・再委託の制限・契約遵守の確認・事故時の責任・契約終了時の返却及び抹消等を含む契約を締結する。

第22条 (第三者提供の制限)

1. あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。ただし、次に該当する場合は、本人の同意なく第三者提供ができる。
   • 個人情報保護方針に定めた範囲内で第三者提供・共同利用するとき
   • 人の生命、身体又は財産の保護のために必要があり、本人の同意を得ることが困難であるとき
   • その他法令に基づく場合
2. 第三者提供又は共同利用する場合、個人情報保護管理者の承認を得る。
3. 雇用管理に関する個人データを第三者に提供する場合には、提供先における漏洩・盗用の禁止、再提供への事前同意、保有期間の明確化、目的達成後の返却・破棄、複写・複製の禁止等の取り扱いを義務付ける。

第4章 開示・訂正・利用停止

第23条 (開示)

1. 本人が識別される保有個人データの開示請求には、原則として本人確認書類を添付した開示請求書により請求があった場合にのみ応じる。
2. 開示請求窓口は管理グループ総務人事チームとし、請求書の様式・本人確認書類は個人情報保護管理者が定める。
3. 開示することにより本人又は第三者の権利利益を害するおそれ、業務の適正な実施に著しい支障、法令違反となる場合は、その全部又は一部を開示しないことができ、その旨を本人に通知し理由を説明するよう努める。
4. 本人に対し保有個人データを開示する場合は、実費を勘案した合理的な範囲で手数料を請求できる。

第24条 (訂正等)

1. 本人から、保有個人データの内容が事実でないという理由により訂正・追加又は削除を求められた場合は、遅滞なく必要な調査を行い、その結果に基づき訂正等を行う。
2. 利用目的の達成に必要な範囲を超えている場合、又は他の法令の規定により特別の手続きが定められている場合は、訂正等の求めに応じないことができる。
3. 訂正等請求窓口は管理グループ総務人事チームとし、本人確認書類及び請求書様式は個人情報保護管理者が定める。
4. 訂正等を行ったとき、又は行わない旨の決定をしたときは、本人に対し遅滞なく通知し、訂正等を行わない場合はその理由を説明するよう努める。

第25条 (利用停止等)

1. 本人から、保有個人データが利用目的の変更又は適正な取得に違反、又は第三者提供の制限に違反しているという理由により、利用停止・消去・第三者提供の停止が求められた場合で、その求めに理由があることが判明した場合には、遅滞なく当該措置を講じる。違反を是正するために必要な範囲を超えている場合、又は指摘された違反がなされていない場合は、当該措置を講じないことができる。

第26条 (苦情の処理)

1. 個人情報の取扱いに関する苦情の窓口業務は、管理グループ総務人事チームが担当し、必要に応じて弁護士に相談する。
2. 個人情報保護管理者は、苦情処理の体制の整備を行う。

第5章 監査・改善

第27条 (監査の実施)

1. 監査責任者は、会社における個人情報の取扱いが法令、本規程（細則を含む）、その他の規範と合致していることを定期に監査する。
2. 監査責任者は、監査を指揮し、監査報告書を作成し、代表取締役及び個人情報保護管理者に報告する。

第28条 (体制の見直し)

1. 個人情報保護管理者は、監査結果に照らし、必要に応じて個人情報の取扱いに関する安全対策、諸施策を見直し、改善しなければならない。

第29条 (廃棄)

1. 個人情報の廃棄は、情報取得後適切な期間を経過した後、外部への漏洩・紛失等の危険を防止するために必要かつ適切な方法で行う。

第30条 (所管官庁への報告)

1. 個人情報保護管理者は、個人データの漏洩の事実又は漏洩のおそれを把握した場合には、直ちに所管官庁に報告しなければならない。

第31条 (罰則)

1. 会社は、本規程に違反した従業員に対して就業規則に基づき処分を行い、その他の従業者に対しては、契約又は法令に照らして決定する。

第32条 (所管・改廃)

1. この規程は、管理グループが所管し、代表取締役の決議により改廃する。
2. 主旨の変更が伴わない改定については代表取締役の決裁で行う。

第33条 (施行日)

1. 本規程は、〔施行日〕より施行する。