個人情報管理規程

 

1. （目的）

本規程は、当社（以下「会社」という。）における個人情報の適正な取扱いを確保するため、個人情報の取扱いに関する基本的な事項を定める。

2. （定義）

1. 本規程において、次に掲げる用語の定義は、以下の各号に定めるところによる。

1. 「従業者」とは、会社の組織内にあって直接間接に会社の指揮監督を受けて会社の業務に従事している者をいい、会社の従業員（正社員、契約社員、臨時社員、嘱託、パートタイマー、第三者から派遣された派遣社員、会社への出向社員及び会社からの出向社員、その他会社と雇用契約又はそれに準ずる関係にある者）と会社の取締役、監査役、執行役員、理事、監事及び顧問等をいう。

2. 「個人情報保護管理者」とは、会社の個人情報保護対策に関する責任者として代表取締役により任命された者をいう。

3. 「顧客対応窓口責任者」とは、個人情報の取扱いに関する問合せ及び苦情処理の責任者として代表取締役により任命された者をいう。

2. 前項に定めるもののほか、本規程において用いられる用語は「個人情報の保護に関する法律」（以下「個人情報保護法」という。）に定めるところによる。

3. （適用範囲）

本規程は、従業者が会社の業務の遂行において取り扱うすべての個人情報に適用される。

4. （プライバシーポリシー）

1. 会社は、個人情報保護を推進する上での基本方針を策定し、プライバシーポリシーとして公表するとともに、これを実行し維持する。

2. 個人情報保護管理者は、従業者にプライバシーポリシーの内容を周知徹底するとともに、ホームページに掲載する等、一般人が閲覧可能な措置を講じる。

5. （責任体制）

個人情報保護の取組みを推進するために以下の体制を定め、責任と権限を付与する。

1. 代表取締役

　　　   個人情報保護管理者及び顧客対応窓口責任者の任命等を行い、個人情報保護に関する責任体制の確立、運用及び改善のために必要な資源を用意する。

2. 個人情報保護管理者

　　　   会社における個人情報の取扱いが個人情報を取り扱うに当たり適用のある個人情報保護法その他の法令、ガイドライン、プライバシーポリシー、本規程及び関連する社内規程に従って行われることを確保するため、全社的な対策を講じる。

3. 顧客対応窓口責任者

　       会社の個人情報の取扱いにかかる問合せ及び苦情等を受け付けて対応するとともに、当該問合せ及び苦情等の内容を分析し、事実関係の調査及び原因の究明並びに再発防止策の検討及び実施等を行い、本規程の内容及び運用に反映させる。

6. （法令等の遵守）

従業者は、個人情報を取り扱うに当たり適用のある個人情報保護法その他の法令、ガイドライン、プライバシーポリシー、本規程及び関連する社内規程を理解し、遵守しなければならない。

7. （利用目的の特定等）

1. 個人情報保護管理者は、会社が取り扱う個人情報の利用目的をできる限り特定しなければならない。

2. 個人情報保護管理者は、会社が特定した利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

3. 従業者は、あらかじめ本人の同意を得ないで利用目的を変更し、変更前の利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

4. 会社が合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、従業者は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

5. 前２項の規定は、第15条第1項第1号から第4号又は次に掲げる場合については、適用しない。

1. 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）

8. （個人情報の取得）

1. 従業者は、個人情報を取得する場合、適法かつ公正な手段により行わなければならず、偽りその他不正な手段により個人情報を取得してはならない。従業者は、個人情報の取得の適法性又は公正性について疑問をもった場合、事前に個人情報保護管理者に確認しなければならない。

2. 従業者は、第15条第1項第1号から第4号又は次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

1. 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき（当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）（当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。）。

2. 当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報保護法に掲げる者により公開されている場合

3. 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合

4. 委託、事業承継又は共同利用に伴って個人データの提供を受ける場合において、要配慮個人情報の提供を受けるとき

9. （利用目的の公表等）

1. 個人情報保護管理者は、第7条の規定により特定された個人情報の利用目的をプライバシーポリシーで公表しなければならない。

2. 個人情報保護管理者は、利用目的を変更した場合は、変更された利用目的について、プライバシーポリシーで公表しなければならない。

3. 従業者は、本人から直接書面（電磁的記録を含む。）に記載された当該本人の個人情報を取得する場合、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

4. 前３項の規定は、以下の場合には適用しない。

1. 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

2. 利用目的を本人に通知し、又は公表することにより会社の権利又は正当な利益を害する恐れがある場合

3. 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき

4. 取得の状況からみて利用目的が明らかであると認められる場合

10. （第三者提供を受ける場合の記録の作成等）

1. 会社は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行う。ただし、当該個人データの提供が第15条第1項各号又は第2項各号のいずれかに該当する場合は、この限りでない。

1. 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人）の氏名

2. 当該第三者による当該個人データの取得の経緯

2. 前項に基づく確認を行ったときは、次の事項を記録しなければならない。

1. 本人の同意を得ている旨

2. 第三者の氏名又は名称

3. 第三者の住所

4. 第三者が法人である場合は、その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人）の氏名

5. 第三者による当該個人データの取得の経緯

6. 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項

7. 当該個人データの項目

11. （データ内容の正確性の確保等）

従業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

12. （安全管理措置）

従業者は、プライバシーポリシーに従い、取扱う個人データのリスクに応じて、漏えい、滅失又はき損の防止その他の安全管理のために必要かつ適切な措置を講じる。

13. （従業者の監督）

個人情報保護管理者は、自らが管掌する部門の従業者に個人データを取り扱わせるにあたっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

14. （委託先の監督）

個人情報保護管理者は、個人データの取扱いの全部又は一部を委託する場合、適切な委託先を選定するとともに、委託された個人データの安全管理措置を遵守させるために必要な契約を委託先と締結しなければならない。

15. （第三者提供の制限）

1. 従業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

1. 法令に基づく場合

2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

4. 国の機関等が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

5. 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。

2. 次に掲げる場合において当該個人データの提供を受ける者は、前項及び次条の規定の適用については、第三者に該当しない。

1. 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

2. 合併その他の事由による事業の承継に伴って個人データが提供される場合

3. 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき

3. 会社は、前項第３号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

16. （第三者提供に係る記録の作成等）

1. 従業者は、個人データを第三者に提供したときは、次の事項を記録しなければならない。ただし、当該個人データの提供が第15条第１項各号又は第２項各号のいずれかに該当する場合は、この限りでない。

1. 本人の同意を得ている旨

2. 第三者の氏名又は名称その他の当該第三者を特定するに足りる事項（不特定かつ多数の者に対して提供したときは、その旨）

3. 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項

4. 当該個人データの項目

17. （外国にある第三者への提供の制限）

1. 会社は、法令などの定めに基づき、外国にある第三者に個人データを提供する場合には、次に示すいずれかを満たさなければならない。ただし、当該個人データの提供が第15条第１項各号のいずれかに該当する場合は、この限りでない。

1. あらかじめ外国にある第三者への提供を認める旨の本人同意がある場合

2. 個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供をする場合

3. 個人の権利利益を保護する上で日本国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域にある第三者への提供をする場合

2. 前項第２号 によって外国にある第三者に個人データを提供する場合は、あらかじめ、法令等の定めるところによって、次に掲げる事項について、必要な措置を講じる。

1. 当該第三者による相当措置の実施状況並びに相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無およびその内容について、適切かつ合理的な方法による定期的な確認

2. 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供の停止

3. 本人の求めを受けた場合には、情報提供することにより当該組織の業務の適正な実施に著しい支障を及ぼすおそれがある場合を除き、遅滞なく、情報の提供

18. （個人関連情報の第三者提供の制限など）

1. 従業者は、第三者が個人関連情報を個人データとして取得することが想定される場合、当該個人関連情報を当該第三者に提供するに際しては、第15条第１項第1号から第4号又は次に掲げる場合を除き、あらかじめ、第三者が会社から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること又はそれと同等以上の内容の事項について、法令等の定めるところによって、確認を行わなければならない。

1. 第三者が学術研究機関等である場合であって、第三者が個人関連情報を学術研究目的で取り扱う必要があるとき（個人関連情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く

2. 法令等の定めるところによって、次の事項について、確認の記録を作成、保管する。

1. 前項第１号で本人の同意を得ている旨

2. 個人関連情報を提供した（提供を受けた）年月日

3. 当該第三者の氏名又は名称および住所並びに法人にあっては、そのトップマネジメントの氏名

4. 当該個人関連情報の項目

5. 当該個人関連情報によって識別される本人の氏名その他の当該本人を特定するに足りる事項

6. （第三者への提供にあっては）当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項（不特定かつ多数の者に対して提供したときは、その旨）

7. （提供を受ける場合は）当該第三者による当該個人関連情報の取得の経緯

19. （仮名加工情報・匿名加工情報）

1. 会社は、仮名加工情報・匿名加工情報の作成、利用、提供を行う場合は、法令・ガイドライン等に則った適切な措置を講ずる。

2. 仮名加工情報・匿名加工情報の作成および取扱いに係る詳細手順は、取扱いが発生する際、事前に定めるものとする。

20. （開示等の求めに応じる手続き）

顧客対応窓口責任者は、本人から、保有個人データの利用目的の通知、開示、訂正、追加、削除、利用停止、消去もしくは第三者への提供の停止、又は第三者提供記録の開示を求められた場合であって、その請求に理由があることが判明したときは、必要な限度で、遅滞なく、適切な対応をしなければならない。

21. （苦情の処理）

顧客対応窓口責任者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。

22. （個人情報の漏えい事故等の対応）

1. 従業者は、個人情報の漏えい等の事故が発生し、又は発生の可能性が高いと判断した

場合、ただちに上長及び個人情報保護管理者に対しその旨を報告しなければならな

い。

2. 個人情報保護管理者は、個人情報の漏えい等の事故・事件が発生した場合、ただちに

適切な対応を取る。

付　則

本規程は、2023年8月10日より施行する。