特定個人情報取扱規程
第1章 総 則
(目 的)
第1条 本規程は、特定費用準備資金および特定の資産の取得または改良に充てるために保有する資金の取扱いに関し必要な事項を定めることを目的とする。
(定 義)
第2条 本規程において、次の各号に掲げる用語の意義は、その各号に定めるところによる。
- ① 個人情報
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等
により特定の個人を識別することができるもの(他の情報と容易に照合することができ、
それにより特定の個人を識別することができることとなるものを含む。)をいう。 - ② 個人番号
住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に
係る者を識別するために指定されるものをいう。 - ③ 特定個人情報
個人番号をその内容に含む個人情報をいう。 - ④ 個人情報データベース等
個人情報を含む情報の集合体であって、特定の個人情報について電子計算機を用いて検索
することができるように体系的に構成したもののほか、特定の個人情報を容易に検索する
ことができるように体系的に構成したものとして個人情報保護法施行令で定めるものをいう。 - ⑤ 個人情報ファイル
個人情報データベース等であって、行政機関及び独立行政法人等以外の者が保有するものをいう。 - ⑥ 特定個人情報ファイル
個人番号をその内容に含む個人情報ファイルをいう。 - ⑦ 個人番号利用事務
行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が、その保有する
特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で
個人番号を利用して処理する事務をいう。 - ⑧ 個人番号関係事務
個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。 - ⑨ 個人番号利用事務実施者
個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう。 - ⑩ 個人番号関係事務実施者
個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。 - ⑪ 従業者
当社において、雇用関係の有無を問わず、個人番号関係事務に従事する全ての者をいう。
従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)、取締役、執行役、
派遣社員を含む。
(適用)
第3条 本規程は従業者に適用する。
2.本規程は、当社が取り扱う特定個人情報等を対象とする。
(特定個人情報基本方針)
第4条 当社における特定個人情報等の適正な取扱いを確保するため、次の事項を含む特定個人情報等の適正な取扱いに関する基本方針(以下、「基本方針」という。)を定める。
- ① 番号法及び関連法令、ガイドラインの遵守
- ② 特定個人情報の安全管理措置に関する事項
- ③ 質問および苦情処理の窓口に関する事項
2.基本方針は、従業者に社内LANへの掲載を通じて周知するものとする。
3.基本方針は第6条に定める特定個人情報等取扱総責任者が必要と認める場合に改定するものとする。改定を行った場合はすみやかに従業者に周知する。
第2章 安全管理措置
第1節 組織的安全管理措置・人的安全管理措置
(個人番号を取り扱う事務の範囲)
第5条 当社において個人番号を取り扱う事務は、次に掲げる範囲のみとする。
従業員に係る個人番号事務 (番号法 第9条第3項) | 社会保険関係事務及び労働保険関係事務 |
年末調整事務及び法定調書作成事務 | |
給与所得・退職所得に係る源泉徴収票作成事務 | |
従業員以外の個人に係る個人番号関係事務 | 国民年金第 3 号被保険者届出事務 |
報酬・料金等の支払に関して必要な書類に記載して提出する事務 | |
配当、剰余金の分配及び基金利息の支払に関して必要な書類に記載して提出する事務 | |
不動産の使用料等の支払に関して必要な書類に記載して提出する事務 | |
不動産等の譲受けの対価の支払いに関して必要な書類に記載して提出する事務 |
(特定個人情報等取扱総責任者)
第6条 当社は、特定個人情報等の取扱いに関しての総責任者(以下「総責任者」)を下記の通り定める。
特定個人情報等取扱総責任者:専務理事
2.総責任者は、次の各号に掲げる事項その他当社における特定個人情報等に関する全ての権限と責務を有する。
- ① 基本方針及び取扱規程の策定、改定、従業者への周知
- ② 特定個人情報等の取扱いを管理する上で必要な事案の承認・決裁
- ③ 特定個人情報等に関する安全管理措置の策定・推進・監督
- ④ 従業者の管理・監督
- ⑤ 情報漏えい事故発生時の対応策の策定・実施・当社代表への報告
(事務取扱担当部門)
第7条 当社は、事務局に特定個人情報等に関する事務を行うものとし、特定個人情報等取扱責任者(以下「取扱責任者」)を定めるものとする。
(事務取扱担当者)
第8条 当社における個人番号関係事務については、取扱責任者の承認を得るものとする。
2.事務取扱担当者は、番号法、ガイドライン、本規程、その他これに類する定めに従い、特定個人情報等を取り扱わなければならない。
3.事務取扱担当者は、特定個人情報等を取り扱う情報システム及び機器等を利用権限のない者に使用させたり、利用権限のない者が容易に操作可能な状態にしてはならない。
4.事務取扱担当者は、特定個人情報等の取扱状況を明確にするため、下記事項等につき記録しなければならない。また、以下の詳細手順は、「特定個人情報取扱マニュアル」に定める。
- ① 特定個人情報ファイルの種類、名称
- ② 責任者
- ③ 利用目的
- ④ 削除、廃棄状況
- ⑤ アクセス権の付与状況
5.事務取扱担当者は、特定個人情報等の取扱いに関する誓約書を記載の上、総責任者へ提出し、その内容を遵守しなければならない。
(従業者の教育)
第9条 当社は、従業者に対して定期的な研修の実施を行い、特定個人情報等の適正な取り扱いを徹底するものとする。
2.総責任者は、本規程に定められた事項を理解し、遵守するとともに事務取扱担当者に本規程を遵守させるための教育訓練を企画・運営する責任を負う。
(1)教育の目的 特定個人情報等の取扱いに関する留意事項の伝達
(2)教育及び教育効果の確認に関する以下の詳細手順は、「特定個人情報取扱マニュアル」に定める。
① 教育手順(計画・実施・記録)
② 教育効果の確認手順(手段・記録)
3.事務取扱担当者は、総責任者が主催する本規程を遵守させるための教育をうけなければならない。
(運用状況の確認)
第10条 当社は、本規程に基づく運用状況を確認するため、以下の項目につき、システムログ及び利用実績を記録するものとする。また、以下の詳細手順は、「特定個人情報取扱マニュアル」に定める。
① 特定個人情報ファイルの利用・出力・削除・廃棄記録
② 削除、廃棄を委託した場合、その証明記録
③ 特定個人情報を含む書類、電子媒体等の持出し状況の記録
④ 情報システムを使用して個人番号を取り扱う事務を処理する場合、その情報システムへのアクセスログの記録
2.前項の情報については7年間保存するものとする。
(従業者の監督)
第11条 当社は、従業者が特定個人情報等を取り扱うに当たり、番号法、ガイドライン、本規程、その他これに類する定めに則った運用をしているか、定期的な監査の実施をはじめとした監督を行う。
2.監査についての詳細手順は内部監査規程による。
3.運用につき問題が確認された場合は、総責任者又は部門責任者は速やかに対策を検討し、改善に努めるものとする。
(体制の見直し)
第12条 総責任者は年1回以上の頻度で又は臨時に特定個人情報の運用状況の記録及び特定個人情報ファイルの取扱状況の確認を実施しなければならない。
2.総責任者は、前項の確認の結果及び前条の監査の結果に基づき、安全管理措置の評価、見直し及び改善に取り組むものとする。
(苦情等への対応)
第13条 当社における特定個人情報等の取扱いに関する質問・苦情等があったときは、総責任者の指示に従い適切に対応する。
2.質問・苦情の等の内容及びその対応状況については記録をし、これを5年間保存するものとする。
第2節 物理的安全管理措置
(管理区域及び取扱区域)
第14条 当社は、特定個人情報等の情報漏えい等を防止するため、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下、「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下、「取扱区域」という。)を明確にし、社内LAN等を通じて従業者へ周知する
2.管理区域とは、特定個人情報等を取り扱う機器等及び特定個人情報ファイルを管理するキャビネット等のある区域とし、他の区域との間仕切りの設置及びキャビネット等の施錠等の安全管理措置を講じることとする。
3.取扱区域とは、事務取扱担当者の机周辺とし、他の区域との間仕切りの設置及び座席配置等による安全管理措置を講じることとする。
4.管理区域及び取扱区域には部門責任者の承認を得た者以外の出入りを禁止する。
5.管理区域及び取扱区域には総責任者の許可なく電子機器(PC、携帯電話、スマートフォン、カメラ等)、記録媒体(USBメモリ、DVD等)およびその他これに類する私物を持ち込むことを禁止する。
(盗難等の防止)
第15条 特定個人情報等を取り扱う機器、電子媒体等及び書類等の盗難または紛失等を防止するため、次に掲げる措置を実施する。
① 特定個人情報等を取り扱う機器は、施錠できるキャビネット等に保管するか、又は盗難防止用のセキュリティワイヤー等により持ち出せないように固定する。
② 特定個人情報等を含む書類及び電子媒体等は、施錠できるキャビネット等に保管する。
③ 特定個人情報ファイルは、パスワードを付与する等の保護措置を講じたうえでこれを保存し、当該パスワードについては部門責任者が認める者にしか通知しない。
(特定個人情報等を持出す場合の措置)
第16条 当社において保有する特定個人情報等を管理区域及び取扱区域以外に持ち出すときは、次に掲げる方法により管理する。
① 特定個人情報等を含む書類を持ち出すときは、外部から容易に閲覧されないよう封筒に入れ封緘する。
② 特定個人情報等を含む書類を郵送等により発送する時は、簡易書留等の追跡可能な移送手段等を利用する。
③ 特定個人情報ファイルを電子媒体等又は機器にて持ち出すときは、ファイルへのパスワードの付与等又はパスワードを付与できる機器の利用等の措置を講じる。
2.前項の定めに関わらず、行政機関等に法定調書等をデータで提出する場合は、行政機関等が指定する提出方法に従うものとする。
3.部門責任者の許可がない場合は特定個人情報等を持出してはならない。
第3節 技術的安全管理措置
(アクセス制御)
第17条 当社において使用する情報システムにおいて特定個人情報等を取り扱うときは、次に掲げる方法により管理する。
① 部門責任者は、情報システムを使用して個人番号を取り扱う事務を処理するときは、ユーザーIDに付与されるアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
② 事務取扱担当者は、情報システムを取り扱う上で、正当なアクセス権を有する者であることを確認するため、ユーザーID、パスワード等により認証する。また、このパスワードは定期的に変更を行う。
(不正アクセス等の防止)
第18条 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するため、情報システム及び機器にファイアウォールの設置やセキュリティ対策ソフトウェアの導入等を実施する。
2.ソフトウェア等は更新を行い、常に最新の状態に保つものとする。
3.ログ等の分析を最低でも月に1回の頻度で実施し、不正アクセス等を検知できるような措置をとるものとする。
(通信による情報漏えいの防止)
第19条 特定個人情報等をインターネット等により外部に送信するときは、通信経路における情報漏えい等を防止するため、通信経路の暗号化等の措置を講じる。
2.送信する特定個人情報等は、暗号化又はパスワードによる保護を行う。
第3章 個人番号の取得
(個人番号の取得)
第20条 当社は、第5条に規定する事務を処理するために必要がある場合に限り、本人又は他の個人番号関係事務実施者若しくは個人番号利用事務実施者に対して個人番号の提供を求めることができるものとする。
2.個人番号の提供を求める時期は、原則として個人番号を取り扱う事務が発生したときとする。ただし、個人番号を取り扱う事務が発生することが明らかなときは、契約等の締結時または雇用の内定時に個人番号の提供を求めることができるものとする。
3.本人に個人番号の提供を求める際は書面にて利用目的を通知するか、利用目的が掲載された社内LAN等を明示するものとする。
4.前項で本人に通知した利用目的を超えて個人番号を利用する必要が生じた場合は、当初の利用目的と相当の関係性を有すると合理的に認められる範囲内に限り、利用目的を変更して本人へ通知を行った上で、変更後の利用目的の範囲内で個人番号を利用することができる。
(本人確認)
第21条 当社は、本人又は代理人から個人番号の提供を受けたときは、関係法令等に基づき本人確認を行うこととする。この詳細手順は、「特定個人情報取扱マニュアル」に定める。
2.書面の送付により個人番号の提供を受けるときは、併せて本人確認に必要な書面又はその写しの提出を求めるものとする。
(本人確認書類の保存)
第22条 提出された本人確認書類は、当該個人番号を利用する事務が終了するまでの間又はその事務における書類の法定保存期間が終了するまでの間、施錠できるキャビネットにて保管するものとする。
第4章 個人番号の利用
(個人番号の利用)
第23条 当社は、第5条に規定する事務を処理するために必要な場合に限り、個人番号を利用するものとする。なお、たとえ本人の同意があったとしても、利用目的を超えて個人番号を利用してはならない。
2.人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるときは、前項の規定にかかわらず当社が保有している個人番号を利用することができる。
(特定個人情報ファイルの作成の制限)
第24条 当社は、第5条に規定する事務を処理するために必要な場合に限り、特定個人情報ファイルを作成するものとする。
2.特定個人情報ファイルには、パスワードを付与する等の保護措置を講じたうえで部門責任者指定の場所に保存するものとする。指定の場所以外に特定個人情報ファイルを保存してはならない。
第5章 特定個人情報等の保管
(保管)
第25条 当社は、第5条に規定する事務が終了するまでの間、特定個人情報等を保管する。ただし、所管法令等により書類の保存期間が定められているものについては、当該期間を経過するまでの間、特定個人情報等を保管する。
2.特定個人情報等を含む書類であって、法定保存期間を有するものは、その法定保存期間が明確にわかるようにファイルにラベルを付ける等の措置をしたうえで、施錠できるキャビネット等に保管する。第6章 特定個人情報等の提供
(特定個人情報等の提供)
第26条 当社にて保有する特定個人情報等の提供は、本規程第5条に規定する事務又は番号法第19条に規定される内容に限るものとする。
2.提供にあたっては部門責任者指定の様式へ記録し、承認を得るものとする(開示、訂正)
第27条 当社にて保有する特定個人情報等については、適法かつ合理的な範囲に限り開示することとし、開示の結果、特定個人情報等の本人又は代理人より情報の訂正の申出があったときは、速やかに対応する。
(第三者提供の停止)
第28条 特定個人情報等が違法に第三者に提供されていることを知った本人からその提供の停止が求められた場合であって、その求めに理由があることが判明したときは、第三者への提供を停止する。
第7章 個人情報の削除・廃棄
(特定個人情報等の廃棄、消去)
第29条 当社は、第25条第1項に規定する保管期間を経過した書類等について、下記の手段により、事業年度末を目処に速やかに廃棄する。
(廃棄の記録)
第13条 本規程の改正は、理事会の決議に基づきこれを行うものとする。
(細 則)
第30条 当社は、特定個人情報等を廃棄又は消去したときは、廃棄等を証明する記録等を7年間保存する。
第8章 委託と再委託
(委託先の監督)
第31条 当社は、個人番号関係事務又は個人番号利用事務の全部又は一部の委託する場合には、当社自らが果たすべき安全管理措置と同様の措置が委託先において適切に講じられるよう、必要かつ適切な監督を行うものとする。
2.前項の「必要かつ適切な監督」には次に掲げる事項が含まれる。
3.前項第1号の「委託先の適切な選定」としては、以下の事項について特定個人情報の保護に関して当社が求める水準を満たしているかについて、あらかじめ確認する。
4.当社は委託先における特定個人情報等の保護体制について、最低でも1年に1度は確認を行い、委託先の対応が不十分と判明した場合はすみやかに契約に基づき是正を求めるか、委託先の変更を行う。
5.当社の従業員等に係る個人番号関係事務の全部又は一部を他者に委託するときは総責任者の承認を必要とする。
(再委託)
第32条 委託先が当社の許諾を得て再委託するときには、再委託先の監督については、前条の規定を準用する。
第9章 情報漏えい事案等への対応
(情報漏えい事案対応)
第33条 総責任者は、特定個人情報の漏えい、滅失又は毀損による事故(以下「漏えい事案等」という)が発生したことを知った場合又はその可能性が高いと判断した場合は、本規程に基づき、適切に対処するものとする。
2.総責任者は、会長と連携して漏えい事案等に対応する。
3.総責任者は、漏えい事案等が発生したと判断した場合は、その旨及び調査結果を代表取締役に報告し、当該漏えい事案等の対象となった情報主体に対して、事実関係の通知、謝意の表明、原因関係の説明等を速やかに行うものとする。
4.総責任者は、漏えい事案等が発生した場合、委員会及び主務大臣等に対して必要な報告を速やかに行う。
5.総責任者は、漏えい事案等が発生したと判断した場合は、情報漏えい等が発生した原因を分析し、再発防止に向けた対策を講じるものとする。
6.総責任者は、漏えい事案等が発生したと判断した場合は、その事実を本人に通知するとともに、必要に応じて公表する。
7.総責任者は、他社における漏えい事故等を踏まえ、類似事例の再発防止のために必要な措置の検討を行うものとする。
8.総責任者は、漏えい事案等への対応状況の記録を年に一回以上の頻度にて分析するものとする。
第10章 罰則、その他
(罰則)
第34条 本規程に違反した従業員に対しては就業規則に基づき処分を行い、その他の従業者に対しては、契約又は法令に照らして処分を決定する。
(改定)
第35条 本規程は、総責任者が規程を改定する必要を認めた場合は、当該規程を改定する旨を案件とする稟議を発議するものとする
附則
1.本規程は、平成28年3月12日より実施する。