個人情報保護規程

総則 #

(目的) #

株式会社プルーブマインドにおける個人情報の取り扱いについて定める。

(適用範囲) #

社内外を問わず、従業者が業務として個人情報を取り扱う場合に適用される。

(定義) #

  1. この規程で用いる用語は以下の通りとする。

    1. 個人情報
      個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)。

    2. 個人データ 個人情報の内、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの、及び特定の個人情報を容易に検索することができるように体系的に構成したもの。ただし、個人情報保護管理責任者により除外されたものを除く。

    3. 保有個人データ 個人データの内、開示、内容の訂正、追加又は削除、利用の停止、 消去及び第三者への提供の停止を行うことのできる権限を有する個人データ。ただし、個人情報保護管理責任者により除外されたものを除く。

    4. 情報主体 一定の情報によって識別される、又は識別されうる本人。

    5. 収集 取得。

    6. 最高経営会議 取締役会議や理事会など代表者を含む組織の最高意志決定会議。

    7. 個人情報保護管理責任者 最高経営層会議で指名された者であって、コンプライアンス・プログラムの実施及び運用に関する責任と権限を持つ者。

    8. コンプライアンス・プログラム 方針、体制、規程、計画書、手順書、マニュアル、記録など、自社で保有する個人情報を保護するための社内の仕組みすべて。

(罰則) #

コンプライアンスプログラムに違反した場合には、就業規則○○条の懲戒規定を準用する。

(改訂) #

本規程の改訂は、最高経営会議の承認を得なければならない。

体制及び責任 #

(最高経営会議) #

  1. 最高経営会議では、その中から個人情報保護管理責任者と個人情報保護監査責任者を指名しなければならない。
  2. 最高経営会議では、個人情報保護に関して、コンプライアンス・プログラムの全体像を把握し、以下の項目を含む基本方針を定めなければならない。
    1. 個人情報保護管理責任者名及び苦情相談先を含む個人情報保護の体制に関すること。
    2. 個人情報の取得に関すること。
    3. 個人情報の利用に関すること。
    4. 個人情報の委託に関すること。
    5. 個人情報の第三者への提供に関すること。
    6. 個人情報の安全管理に関すること。
    7. 個人情報保護に関する問い合わせ、個人情報の開示、訂正、削除及び利用停止に関すること。
    8. 個人情報に関する事故が発生した場合の対処に関すること。
    9. 個人情報保護に関する法令及びその他の規範の遵守に関することと、事業者に関連の深い代表例。
    10. 監視、監査、見直しなど、コンプライアンス・プログラムの継続的改善に関すること。
  3. 最高経営会議では、必要に応じて、業務毎又は業態毎に個別方針を定めなければならない。その際、個別方針は基本方針と整合性を保たなければならない。
  4. 最高経営会議では、個人情報保護管理者及び個人情報保護監査責任者からの報告及び経営環境などに照らして、コンプライアンス・プログラムを最低年1回以上見直さなければならない。

(個人情報保護管理責任者) #

  1. 個人情報保護管理責任者は、コンプライアンス・プログラムを実施するにあたって、個人情報保護管理者、個人情報保護教育責任者、個人情報苦情処理責任者を指名しなければならない。
  2. 個人情報保護管理責任者は、責任及び権限を定めなければならない。
  3. 個人情報保護管理責任者は、コンプライアンス・プログラムの基本となる要素を規程管理規程に従って文書化なければならない。
  4. 個人情報保護管理責任者は、コンプライアンス・プログラムのすべての要素を体系的に整理し、従業者が容易に閲覧できるようにしなければならない。
  5. 個人情報保護管理責任者は、年2回以上実施状況を確認し、速やかに最高経営会議で報告しなければならない。
  6. 個人情報保護管理責任者は、事故発生時の対応手順を定めなければならない。

(個人情報保護監査責任者) #

  1. 個人情報保護監査責任者は、事業年度毎に、個人情報保護に関する監査を年1回以上行う計画書を作成しなければならない。
  2. 個人情報保護監査責任者は、個人情報保護に関する監査を実施するために、監査チームを編成しなければならない。その際、自らの業務を監査させる編成をしてはならない。
  3. 個人情報保護監査責任者は、監査終了後、監査報告書を作成し、速やかに最高経営会議に報告しなければならない。
  4. 個人情報保護監査責任者は、監査報告書を保管し、管理しなければならない。
  5. 個人情報保護監査責任者は、監査方法及び監査チェックリストについて、別途細則で定めなければならない。

(個人情報保護教育責任者) #

  1. 個人情報保護教育責任者は、事業年度毎に、個人情報保護に関する教育を年1回以上従業者全員に行う計画書を作成しなければならない。
  2. 個人情報保護教育責任者は、コンプライアンス・プログラムの全体像の教育、及び役割と責任に応じた訓練のカリキュラムを定めなければならない。
  3. 個人情報保護教育責任者は、個人情報に関する教育が円滑に行えるように体制を整備しなければならない。
  4. 個人情報保護教育責任者は、教育方法及び自覚させる手順について、別途細則で定めなければならない。

(個人情報苦情処理責任者) #

  1. 個人情報苦情処理責任者は、情報主体本人からの苦情及び相談について対処しなければならない。
  2. 個人情報苦情処理責任者は、個人情報保護に関する苦情処理が円滑に行えるように体制を整備しなければならない。
  3. 個人情報苦情処理責任者は、苦情処理の手順を定めなければならない。

(従業者) #

コンプライアンス・プログラムを遵守すると共に、事故及びコンプライアンス・プログラム違反を見つけた場合には、速やかに個人情報保護管理者へ報告しなければならない。

実施及び運用 #

(原則) #

  1. 個人情報の取得に当たっては、利用目的を明確に定め、その目的の達成に必要な限度において行わなわなければならない。
  2. 個人情報の取得は、適法かつ公正な手段によって行わなければならない。
  3. 社会的差別を受けうる機微(センシティブ)な個人情報を取得、利用及び提供してはならない。
  4. 個人データの利用及び提供は、情報主体本人から同意を得た利用目的の範囲内で行わなければならない。
  5. 個人情報のリスクに対して、合理的な安全対策を講じなければならない。
  6. 個人データは、利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しなければならない。

(例外事項) #

  1. 原則に反し以下の措置をとる場合には、個人情報保護管理者の承認を得なければならない。
    1. 取得の際に、情報主体本人に同意を得ない場合。
    2. 情報主体本人から開示、訂正、削除及び利用停止の要求を受け付けない場合。
    3. 目的外の利用をする際に、情報主体本人の同意を得ない場合。
    4. 第三者に提供する際に、情報主体本人の同意を得ない場合。
  2. 機微な個人情報を取得、利用及び提供する場合には、情報主体本人から明確な同意を得る手順を定め、個人情報保護管理責任者の承認を得なければならない。
  3. 個人情報保護管理責任者は、例外事項の承認の手順を定めなければならない。

(法令及びその他の規範) #

個人情報保護管理者は、コンプライアンス・プログラムの実施に必要な法令及びその他の規範を特定し、別表1で管理しなければならない。

(個人情報の特定) #

  1. 個人情報保護責任者は、個人情報の種類を特定し、別表2で管理しなければならない。
  2. 個人情報保護責任者は、機微情報として扱う個人情報の種類を特定し、別表2で管理しなければならない。
  3. 業務責任者は、別表2で示された個人情報を特定する手順を確立し、別表3に示す様式で管理しなければならない。
  4. 業務責任者は、特定した個人情報のリスクを認識しなければならない。
  5. 業務責任者は、特定した個人情報について、利用目的毎に管理しなければならない。
  6. 業務責任者は、個人情報の所在を把握できるようにしなければならない。

(取得する場合の措置) #

  1. 個人情報を取得する際には、情報主体本人から以下の項目について事前に通知し、同意を取らなければならない。
    1. 問い合わせ、開示、訂正、削除及び利用停止に必要な連絡先と責任の所在。
    2. 利用目的。
    3. 個人情報を第三者に提供を行なうことが予定される場合には、その目的、提供先及び個人情報の取り扱いに関する契約の有無。
    4. 個人情報の預託を行なうことが予定される場合には、その旨。
    5. 情報主体が個人情報を与えることの任意性及び当該情報を与えなかった場合に情報主体本人に生じる結果。
    6. 個人情報の開示を求める権利、及び開示の結果、当該情報が誤っている場合に訂正又は削除を要求する権利の存在、対応期間の目安、並びに当該権利を行使するための具体的な方法。
  2. 上項を実施するために、個人情報を扱う事業の業務責任者は、手順を定め、個人情報保護責任者の承認をなければならない。
  3. 取得の際、事前に同意を得ない場合には、個人情報保護責任者の承認を得なければならない。

(保管及び利用) #

  1. 個人データを保管及び利用する際には、関係者以外のものが容易にアクセスができない措置をとらなければならない。
  2. 上項を実施するために、個人情報保護管理者は、安全に保管及び利用ができる仕組みを確保しなければならない。
  3. 業務責任者は、特定した個人データのリスクについて、対策の実施状況を定期的に確認しなければならない。
  4. 業務責任者は個人データの保管及び利用の手順を定めなければならない。

(委託) #

  1. 個人データを委託する際には、委託先選定基準により事業者を選定し、以下の項目を含んだ契約内容を以って、保護水準を担保しなければならない。
    1. 個人データの利用の制限。
    2. 個人データに関する秘密保持。
    3. 個人データの安全管理に関する事項。
    4. 個人データの再委託に関する事項。
    5. 事故時の責任分担。
    6. 契約終了時の個人データの返却及び消去。
  2. 上項を実施するために、業務責任者は、委託内容毎に委託先選定基準を定め、個人情報保護管理者の承認を得なければならない。
  3. 個人情報保護管理責任者は、委託契約書の雛型を定めなければならない。
  4. 業務責任者は、委託先管理の手順を定めなければならない。

(目的外利用) #

  1. 情報主体本人から同意を得た利用目的以外に利用する際、事前に情報主体本人に利用目的を通知し、同意を得なければならない。
  2. 上項を実施するために、個人情報保護管理責任者は通知の内容を承認しなければならない。
  3. 目的外利用の際、情報主体本人の同意を得ない場合は、個人情報保護管理責任者の承認を得なければならない。
  4. 個人情報保護管理者は、緊急時における承認の手順を定めなければならない。

(第三者提供) #

  1. 個人情報を扱う事業の責任者は、第三者へ提供する際、事前に情報主体本人に提供先、利用目的、個人データの項目及び提供手段を通知し、同意を得なければならない。
  2. 上項を実施するために、個人情報保護管理責任者は通知の内容を承認しなければならない。
  3. 第三者提供の際、情報主体本人の同意を得ない場合は、個人情報保護管理責任者の承認を得なければならない。
  4. 個人情報保護管理者は、緊急時における承認の手順を定めなければならない。

(情報主体本人からの要求に対する措置) #

  1. 情報主体本人から個人データについて、開示、訂正、削除及び利用停止の要求がある場合には、合理的な期間で応じなければならない。
  2. 上項を実施するために、業務責任者は、本人確認方法、料金及び対応の期限を含んだ手順を定めなければならない。
  3. 情報主体本人からの開示、訂正、削除、利用停止に応じない場合には、個人情報保護管理責任者の承認を得なければならない。

(削除及び消去) #

  1. 削除及び消去にあたっては、目的外利用又は第三者に利用されないような措置をとらなければならない。
  2. 上項を実施するために、個人情報保護管理者は、安全に削除及び消去が行える仕組みを確保しなければならない。
  3. 業務責任者は、削除及び消去する個人データのリスクについて、対策の実施状況を定期的に確認しなければならない。
  4. 業務責任者は個人データの削除及び消去の手順を定めなければならない。

附則 #

(施行・改訂履歴) #

  1. この規程は、令和2年3月1日から施行する。
  2. この規程は、令和3年3月1日から改正施行する。









別表1:法令及びその他の規範一覧 No. 法令名 備考(該当条項など)

  1. 個人情報の保護に関する法律(平成15年法律 第57号)
  2. 個人情報の保護に関する法律の政令
  3. ○○県個人情報保護条例

別表2:個人情報として扱う情報一覧

No. 種類 機微 備考

  1. 氏名 ×
  2. 住所 ×
  3. 電話番号
  4. 電子メールアドレス
  5. ユーザID
  6. Cookie などのセッションキー

別表3:個人データ一覧

○○業務: No. 利用目的の種類 個人データの種類 件数 機微 同意 保有個人データ リスク

  1. ○○に関するアンケート 無 有 該当
  2. 含 無 非該当