個人情報保護規定

個人情報保護規定

第1条(目的)
本規程は個人情報保護基本方針を遵守し、個人情報保護を確実に遂行する為に定める。
第2条(個人情報の定義)
本規程の個人情報とは、個人に関する情報であって、当該情報に含まれる氏名、年齢、生年月日、住所等の記述、およびコードナンバー、パスワード等の記号、その他画像、音声、指紋等、照合により当該個人を識別出来るものすべてをいう。
2.紙に記載された情報、電子媒体に記録された情報等形態を問わない。
第3条(個人情報保護に関する権限と責任)
個人情報保護に関する権限と責任については別途定める。
第4条(個人情報の収集)
(1)収集する個人情報の項目については業務上の必要性が明確なもののみとする。
(2)前記業務上の必要性についての判断は、当該業務を担当する事業部の管理者(個人情報保護管理者(※前条参照))が行い、個人情報保護統括管理者(※前条参照)の承認を受けて、収集する個人情報項目を確定するものとする。
(3)前記(2)により確定した個人情報項目は、個人情報保護細則に従い関係者に周知徹底させる。
(4)個人情報を収集するにあたっては、個人情報保護管理者が、情報主体から同意を得る責任を負う。また、同意を得ない収集の是非については、担当部門長より提出された「様式MPG-45個人情報収集申請書」を基に、個人情報保護統括管理者が判断、承認する。
第5条(情報主体から直接書面によって収集する場合の措置)
情報主体から直接書面によって個人情報を収集する際は、事前に下記の各号を「様式MPG-22・23応募同意書および[配布説明資料]個人情報の取り扱いについて」を配布し本人捺印のうえで回収することで、必要な情報を本人に伝え、また、収集についての本人の明確な承認を受けるものとする。
個人情報保護マネジメントシステム3.4.2.3項で指定する特定の機微な個人情報を収集する際は必ず情報主体の明確な承諾を受けること。
第6条(第5条以外の方法によって取得した場合の措置)
第5条以外の方法によって取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知し、または公表する。ただし、次に示すいずれかに該当する場合は、この限りではない。
(1)利用目的を本人に通知し、または公表することによって本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合。
(2)利用目的を本人に通知し、または公表することによって当該事業者の権利または正当な利益を害するおそれがある場合。
(3)国の機関または地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、または公表することによって当該事務の遂行に支障を及ぼすおそれがある場合。
(4)取得の状況からみて利用目的が明らかであると認められる場合。通知または公表の手段や計画に関しては、「様式MPG-45個人情報収集申請書」を基に個人情報保護統括責任者が確認し、通知または公表を行うか、あるいは、あらかじめ計画された通知・公表の方法が適切であるかどうかを判断のうえ承認する。
第7条(情報主体の承認方法)
情報主体の承認を得る方法は原則として個別に承認を受けるものとするが、下記の各号の場合も認める。
(1)契約書等による事前一括承認を受けた場合。
(2)情報主体が予め業務内容および目的を知り、自発的に情報伝達をした場合。
(3)クライアント企業が予め情報主体の承認を受けた後、当社に情報収集業務を委託した場合。
第8条(個人情報の管理)
個人情報の管理に関しては当該業務のマネジャーレベルの個人情報保護管理者、および、個人情報保護責任者(個人情報保護マネジメントシステム3.3.5内部規程、様式MPG-11≪個人情報管理組織図≫を参照のこと)が管理する。
なお、その際には下記各号の事項を遵守する。
(1)ハードコピー形式の個人情報は使用後直ちに裁断もしくは焼却処分にする。
(2)ハードディスクの個人情報はパスワードによりアクセス制御する。パスワードは情報システム部個人情報保護管理者が「個人情報保護細則(MPC20002)」に従い管理する。
(3)MO(光磁気ディスク)およびフロッピーディスク(磁気ディスク)等の電子媒体化された個人情報は、当該業務の個人情報保護管理者が「個人情報保護細則(MPC20002)」に従い保管管理する。
第9条(個人情報の利用および提供)
個人情報の利用および提供の必要が生じた際は、個人情報利用提供願を、個人情報保護統括管理者の承認を受けた後、当該部門の個人情報保護管理者に提出し、利用および提供をする。なお、個人情報の利用および提供を行う際、事前に当該情報主体の承認を得ていなければならない。
第10条(個人情報の目的外利用)
収集した個人情報を、当初の目的以外で利用する必要が生じた場合、個人情報保護統括管理者による承認と必要な措置を講じたうえで行う。
第11条(個人情報の開示、訂正、削除等)
情報主体からの、個人情報の開示、訂正、削除の要求、および要望、意見、苦情等は、個人情報保護対外窓口が受付ける。
第12条(個人情報の正確性確保)
個人情報の正確性確保は業務責任者が下記に掲げる事項を遵守しこれを行う。
(1)情報主体と面談して個人情報の収集を行う際は、情報主体に直接確認し正確性を確保する。
(2)電話での個人情報の収集は、受信した内容を復唱することにより正確性を確保する。
(3)入力された個人情報について、当該部門の作業手順書に従って、作業時期、件数、内容等を確認し、バックアップコピーの作成等を実行する。
第13条(個人情報の安全性の確保)
個人情報への不正アクセス、個人情報の紛失、破壊、改竄、漏洩等に対しての具体的防止方法は個人情報保護細則に定める。
第14条(個人情報の委託処理に関する措置)
個人情報に関する業務処理を外部に委託する場合は、個人情報保護責任者が下記の各号の事項を事前に調査し、個人情報保護統括管理者に報告し、承認を受ける。
(1)経営状況について
(2)個人情報保護に関する取り組みの全体状況について
(3)入退室管理について
(4)セキュリティ管理について
(5)データ授受、保管、廃棄管理について
(6)再委託管理について
(7)個人情報保護に関する教育管理について

また、契約書等で約定を結ぶ際には、下記の事項についての条項を必ず記載し、契約締結前に個人情報保護統括管理者の確認を受ける。
(1)機密保持の条項。
(2)機密漏洩時における損害賠償請求に関する条項。
(3)再委託を行う際の事前確認の条項。
(4)契約終了時の個人情報の回収、破棄、消去に関する条項。
(5)相互の明確な責任範囲を定めた条項。
(6)個人情報の取扱状況に関する当社への報告の内容および頻度を定めた条項。
(7)事件・事故が発生した場合の報告・連絡に関する条項。
契約書等の保管期間は、その契約に係る個人情報の保有期間に準じるが、原則として、他の契約書全般と同様に永年保管とし、総務部が管理を行う。
第15条(緊急時の対応)
1.個人情報漏洩等重大なトラブルが発生した場合は、直ちに個人情報保護統括管理者が様式MPG-20≪緊急連絡体系≫に従い、各所に連絡する。また、代表取締役に報告し、指示を受ける。
2.夜間、休日等の連絡および報告体系は、様式MPG-20≪緊急連絡体系≫に従い実施するものとする。
第1条(是正予防の処置)
個人情報に関して、外部からの指摘、苦情や相談、監査による指摘等により不適合が見つかった場合は、直ちに次の手順に則り様式MPG-50<<是正予防処置報告書>>を用いて是正予防処置を実施する。
(1) 発見者もしくは指摘を受けた業務の担当者は、様式MPG-50<<是正予防処置報告書>>「①不適合の内容確認(識別)」欄を全て記入し、対象部門の部門長に提出する。部門長は記入内容に基づいて原因の特定、是正処置の実施計画及び処置の実施を行う担当者を指名する。
(2) 担当者は記入内容を確認した上で必要に応じてヒアリングを行う等して原因を特定した後に、是正予防処置の必要性の有無を判断する。是正予防処置の必要がないと判断した場合は、様式MPG-50<<是正予防処置報告書>>「②原因の特定」、「③是正処置の必要性」を記入し、部門長に提出する。是正予防処置が必要と判断した場合は、実施計画を立て、是正予防処置を実施する。結果を様式MPG-50<<是正予防処置報告書>>「②原因の特定」、「③是正処置の必要性」、「④是正処置の実施計画」、「⑤処置の実施結果」欄を全て記入し、部門長に提出する。
(3) 部門長は、担当者から提出された様式MPG-50<<是正予防処置報告書>>の「②原因の特定」、「③是正処置の必要性」、「④是正処置の実施計画」、「⑤処置の実施結果」の内容が現に実行されている事を業務現場の視察などで確認した後に代表者に実施結果報告を行い、代表者の承認を得る。代表者の承認を得た後、個人情報保護管理者に様式MPG-50<<是正予防処置報告書>>を提出する。
(4) 個人情報保護管理者は、部門長から提出された様式MPG-50<<是正予防処置報告書>>の「②原因の特定」、「③是正処置の必要性」、「④是正処置の実施計画」、「⑤処置の実施結果」の内容が現に実行されている事を業務現場の視察などで確認した後に様式MPG-50<<是正予防処置報告書>>「⑥処置の有効性」を記入し、経営者による個人情報に関する見直し会議への提出に備えて保管する。
(5) 実施された是正予防処置の有効性を経営者の見直し会議において、様式MPG-50<<是正予防処置報告書>>の全ての項目をレビューし承認する。
第17条(改廃)
本規程の改廃は、規程等管理規程によるものとする。
マスターピース・グループ株式会社

リスクマネジメント