個人情報保護細則
第1章 総則
(目的)
第1条 本細則は、「個人情報保護基本規程」(以下、「基本規程」という)の実施に関し必要な事項を定める。
(適用範囲)
第2条 本細則の適用範囲は、「基本規程」と同じとする。
(定義)
第3条 「基本規程」第3条の定義に次のとおり追加する。
個人情報保護 推進委員会 |
個人情報保護管理者を委員長、役員または個人情報責任者を委員とする重要事項を審議する組織体である。(以下、「推進委員会」という) |
個人情報取扱 担当者 |
当社が保有する個人情報を実務として取扱う担当者。(以下、「取扱担当者」という) |
個人情報取扱 管理者 |
取扱担当者を管理する者。(以下、「取扱管理者」という) |
個人情報の特定 | 当社が保有する個人情報を、「基本規程」に基づいて部門単位またはプロジェクト毎にリストアップすること。 |
個人情報の リスク認識 |
特定した各個人情報のリスク(個人情報への不正アクセス、個人情報の破壊、改ざん及び漏えい等に対する堅牢性、外部流出時の影響度など)を総合的に評価すること。また、特にリスクの大きいものを、当社では「重要個人情報」と位置づける。 |
コンプライアンス・プログラム文書 | コンプライアンス・プログラムの基本となる文書。個人情報保護方針、及び個人情報保護に関連する社内規程類で構成される。 |
第2章 個人情報保護方針
(個人情報保護方針)
第4条 基本規程第4条に定める、個人情報保護方針制定の実務担当部署は推進事務局として、次の業務を実施する。
1.個人情報保護方針を立案し社長の承認を得る。
2.個人情報保護方針に制定年月日、社長名を明記しホームページに掲載する。
3.個人情報保護方針を、社内の役員及び従業員に周知徹底させる。
4.年1回以上、または社長の指示により、方針の内容を見直し最新の状態を維持する。
5.社長の指示により、別途、従業員向けの個人情報保護方針を作成し周知徹底する。
6.社会の動向に注意を払い、個人情報保護方針の内容充実を図る。
第3章 組織及び体制
(個人情報取扱管理者)
第5条 個人情報責任者は、取扱う個人情報単位に個人情報を適切に管理する個人情報取扱管理者を任命する。
(個人情報取扱管理者の責務)
第6条 取扱管理者は、次の業務を実施する責任を負う。
1.取扱管理者は、取扱担当者に対して適切な個人情報の管理を実施させる。
2.個人情報の管理に関する見直し、改善内容を個人情報責任者に提案する。
3.個人情報の管理に不適合が生じた場合は、速やかに個人情報責任者に報告する。
(組織及び体制の周知)
第7条 推進事務局は、基本規程第5条乃至第13条に定めた社内の個人情報保護体制を、文書または社内イントラへの掲載等により、役員および従業員に周知徹底すること。
② 従業員の苦情及び相談窓口については、当該情報主体に対して対応責任者の個人名が判るように掲示すること。
③ 組織の改変及び人事異動による体制の変更には遅滞なく対応すること。
(緊急時の対応)
第8条 個人情報保護に関する緊急事態が発生した場合には、速やかに個人情報責任者及び個人情報保護管理者に連絡し指示を受けること。
② 個人情報保護管理者は、当社に与える影響度を勘案して社長に報告するとともに「危機管理規程」に従って対応する。
③ 対外的に影響の大きい事件を発生させた場合には、遅滞なくプライバシーマーク指定機関または付与機関に報告する。
(従業員の誓約書提出)
第9条 社員は、「基本規程」第14条第2項の定めに従い、入社時及び人事部門から指定された時に、「個人情報に関する誓約書」を当社に提出する。また、退職時には、「退職後の機密保持誓約書」を提出する。
② 協力会社社員は、業務開始に先立ち「個人情報に関する誓約書」を当社管理者に提出する。
③ 派遣会社社員は、業務開始に先立ち「個人情報に関する誓約書」を当社人事部門に提出する。
第4章 個人情報の特定等
(個人情報の適用区分)
第10条 社員の人事情報に関する個人情報に関し、別途、「社員情報管理規程」第4条に規定する人事情報(人事記録表、人事考課表、業績評価表、給与一覧表等)は、「基本規程」及び本「細則」の適用対象とはしない。人事情報は、「社員情報管理規程」及び「情報セキュリティ基本規程」に従い適正に管理する。
② 前項に定める人事情報を除くすべての個人情報は「基本規程」及び本「細則」の適用対象とする。
(個人情報の特定)
第11条 各部門の個人情報責任者は、「個人情報特定作業表」に従い、保有する個人情報の特定(リストアップ)をする。但し、前条の人事情報に関する個人情報は特定対象から除外する。
② 個人情報責任者は、個人情報担当者に指示して個人情報特定作業表を完成させ確認の後、推進事務局へ提出する。
③ 推進事務局は、必要に応じて部門ヒアリングを実施し、全部門の個人情報を特定し整理する。また、部門間に跨って取扱う個人情報については「個人情報取扱フロー図」を作成する。
(個人情報のリスク評価)
第12条 推進事務局は、前条で整理した個人情報の特定結果を書面にて個人情報責任者に通知する。
② 個人情報責任者は、前項の通知に基づき「個人情報のリスク評価表」を作成し、推進事務局へ提出する。
(個人情報のリスク区分)
第13条 個人情報漏えい時の影響度、リスクの発生確率及び個人情報の規模等を総合的に評価して、個人情報を重要度に応じて次のとおり3区分する。
1.重要個人情報。
2.一般個人情報。
3.その他個人情報(重要個人情報、一般個人情報以外の個人情報)。
② 漏えい等での対外的な影響が大きいものを重要個人情報とする。重要個人情報とは次に掲げるものとする。
1.一般消費者の個人情報。
2.顧客支給品に含まれる個人情報。
3.システムの運用・保守・サービスで取扱う個人情報で特にデータ量が多いもの。
4.社内の個人情報であって全社的規模に相当するもの。
5.社会的通念から影響の大きいもの(採用関連情報など)。
③ 漏えい等での対外的な影響が中程度以下のもので、個人情報の規模が比較的大きいものを一般個人情報とする。
(個人情報特定の承認)
第14条 推進事務局は、個人情報のリスク区分を記入した個人情報特定結果を推進委員会へ起案し、審議・承認を得なければならない。
(個人情報特定の見直し)
第15条 推進事務局は、毎年度始めに個人情報特定(リスク区分を含む)の定期的見直しを実施する。
(法令及びその他の規模)
第16条 基本規程第15条に定める法令その他規範として、当社が参照するのは次のとおりとする。
1.日本工業規格「個人情報に関するコンプライアンス・プログラムの要求事項」
2.財団法人財日本情報処理開発協会「プライバシーマーク制度」
3.社団法人情報サービス産業協会「個人情報保護ガイドライン(第3版)」
4.個人情報保護法及び関連法案
5.各都道府県制定の「個人情報保護条例」
② 推進事務局は、上記法令その他の規範を社内イントラの個人情報保護ページにリンクして従業員が常時閲覧可能とすること。
(個人情報保護の社内規程)
第17条 個人情報保護に関する社内規程は、次のとおりとする。
1.情報セキュリティ基本規程
2.個人情報保護基本規程
3.個人情報保護細則
4.機密管理規程
5.技術情報管理規程
6.危機管理規程
7.入退館管理規程
8.業務委託における個人情報保護規程
9.監査規程
10.教育規程
11.社員情報管理規程
12.就業規則「罰則」
13.コンピュータ不正アクセス対策基準
14.コンピュータウィルス対策基準
15.ネットワーク管理規程
② 推進事務局は、基本規程第34条に定められるコンプライアンス・プログラム見直しに際して、または個別チェックによりこれら社内規程を改定する。
第5章 個人情報の取扱
(個人情報の収集)
第18条 個人情報を収集する従業員は、「個人情報収集申請書」に収集目的、収集方法等の必要事項を記入し、個人情報責任者の承認を得るものとする。
② 個人情報責任者は、申請書の提出を必須とする収集(数量及び対象者等)を定めて収集状況を管理する。
③ 収集内容に特定の機微な個人情報が含まれる場合には、個人情報保護管理者の承認を得なければならない。
(個人情報の利用及び提供)
第19条 個人情報を利用及び提供する従業員は、「個人情報利用・提供申請書」に利用目的、利用方法等の必要事項を記入し、個人情報責任者の承認を得るものとする。
② 個人情報利用・提供申請書の提出は、一度に100件以上の個人情報を取り扱う場合及び目的範囲外での利用・提供の場合とする。これ以外の利用・提供については口頭での承認を認める。
③ 目的範囲外での利用・提供の場合には、個人情報保護管理者の承認を得なければならない。
(個人情報の管理)
第20条 個人情報責任者は、取扱管理者に対して、次条(第21条乃至第22条)のリスク区分毎に定められた管理方法に従い、点検結果を記入した「個人情報管理表」を提出するように指示する。
(重要個人情報の管理方法)
第21条 重要個人情報の点検頻度は年4回以上とし、重要個人情報毎に作成した「重要個人情報管理表」に記入する。
(一般個人情報の管理方法)
第22条 一般個人情報の点検頻度は年2回以上とし、「一般個人情報管理表」に記入する。
② 個人情報責任者は、個人情報毎に点検項目を規定する。多数の個人情報を保有する場合には、点検項目を定型化した管理方法を取り入れることを認める。
(個人情報の委託処理)
第23条 個人情報の取扱を外部に委託する場合は、「業務委託明細書」及び「業務委託先評価記録」を作成し、個人情報責任者の合否判定を得る。複数部門が関係する業務委託では、個人情報保護管理者の承認を得るものとする。
② 個人情報を外部に委託する部署の取扱管理者は、委託先との間で「業務委託における個人情報保護規程」に定められた項目を満たした業務委託契約書を締結する。
③ 個人情報の委託終了時には、個人情報の返却及び消去結果を確認する。
(個人情報の委託先管理)
第24条 取扱管理者は、年1回以上業務委託先を訪問し、個人情報が業務委託契約書に則り適正に管理されていることを確認して、その結果を記録した「業務委託先訪問記録」を個人情報責任者に提出する。
(個人情報の保管)
第25条 重要個人情報に特定したもの及び取扱管理者の指示のあった個人情報については、施錠した保管場所で保管する。保管場所には、個人情報が保管されている旨の表示等を明示してはならない。
② 個人情報を机上に放置すること禁止する。また、生データ類の表紙には白紙を添付するなどの最新の注意を払わなければならない。
③ 記録媒体には、記録内容が類推できるような名称またはファイル名の記載を避けること。
(個人情報の授受)
第26条 顧客先や委託先との間で個人情報の受け渡しをする場合、第三者に漏えいすることが無いように細心の注意を払い安全な方法で行うこと。
② 受け渡し結果は必ず記録に残し、一定期間保管すること。
(個人情報の廃棄)
第27条 個人情報の廃棄は、焼却、破砕及び完全消去などの再利用できない手段とし、個人情報管理表に廃棄日とともに記入し、その記録を最大点検周期(6ヶ月)以上保存する。
② 顧客先や委託先との間で授受した個人情報は、何れの側で処理するのかを書面で明らかにするとともに、当社が処理した場合は顧客先等に廃棄結果を書面で確実に報告する。また、顧客先等が処理をした場合、廃棄結果を書面で受領すること。
③ パソコン本体を廃棄する場合は、ハードディスクの内容を完全に消去するかディスク本体を破砕すること。
④ 個人情報の廃棄を外部に委託した場合には廃棄証明書を受領し保管すること。
(入退館の管理)
第28条 別途定める「入退館管理規程」に従い、社外からの入館者を記録する。社員には「社員証」、協力会社社員等には「協力会社名札」を発行し、入退管理業務を確実なものとする。
② 従業員の入退館、定時の最終退館者及び夜間・休日の入退館者についてはその記録を残すこと。
(持出品の管理)
第29条 情報資産を一定期間(3日間)以上社外に持ち出す場合には、「物品持出申請書」を作成し総務部の許可を得ること。
② 持出品には個人情報が含まれていないことを確認すること。
③ パソコン等の情報機器を、再搬入する場合はウィルスチェックを確実に実施すること。
(情報主体の権利)
第30条 個人情報の開示等を要求する従業員は、「個人情報(開示、訂正、削除)請求書」を作成し、個人情報保護管理者または当該個人情報取扱部門の個人情報責任者に提出すること。
② 社外からの開示等の要求に対しては、請求書提出の有無に関わらず対処すること。
③ 社員情報に関する情報主体の権利に関しては、「社員情報管理規程」第○条の適用を優先する。
(情報開示等請求への対応)
第31条 情報開示等の請求を受けた部門では、出来る限り速やかに内容を検討し、「個人情報(開示、訂正、削除)通知書」にて回答する。通知書では、請求に対する実施日または対応期限を明記すること。
② 請求に応じられない場合にはその理由を明記して通知すること。
第6章 教育・監査計画及び実施
(教育計画)
第32条 教育責任者は、新年度開始前に教育計画書を立案し、「推進委員会」で承認を得るものとする。
② 教育対象者は、(1)役員及び管理者、(2)一般社員、(3)中途採用社員、(4)新入社員、(5)協力会社社員及び派遣会社社員、の5分類で計画する。
(教育の実施)
第33条 教育の実施は、出席対象者の氏名を明確にして実施する。
② 教育の実施結果は、教育の評価(テスト成績等)を含めて記録する。
③ 教育の出席者は、自書サインにて出席したことを記録する。
④ 教育の欠席者を把握し、確実にフォロー教育を実施する。
(監査計画)
第34条 監査責任者は、新年度開始前に監査計画書を立案し、「推進委員会」で審議のうえ社長の承認を得ること。
(監査の実施)
第35条 個人情報保護基本規程第31条に定める監査は、通常監査と特別監査の2種類を実施する。
② 通常監査は、情報セキュリティ監査に含めてその1項目として実施する。
③ 特別監査は、本細則第13条第2項の重要個人情報を特定した部門・部署を対象として監査を実施し、その監査結果を社長に報告する。
第7章 苦情及び相談への対応
(苦情及び相談)
第36条 社外からの苦情及び相談を受けた者は、「苦情及び相談管理表」を作成し、個人情報責任者及び苦情及び相談対応責任者に報告する。
② 苦情及び相談対応責任者は、苦情の内容が緊急、かつ当社に与える影響が大きいと判断すれば、本細則第8条に従い、個人情報保護管理者または社長に報告して指示を受ける事。
③ 苦情及び相談に対する調査結果を情報主体に通知する場合は、通知内容について個人情報保護管理者または個人情報責任者の承認を得ること。
(苦情及び相談の管理)
第37条 従業員からの苦情及び相談を受けた場合は、「苦情及び相談管理表」を作成して、従業員を管理する個人情報責任者に報告する。
② 個人情報責任者は、苦情内容の重要度に応じて、個人情報保護管理者に報告する。
第8章 コンプライアンス・プログラムの見直し
(コンプライアンス・プログラム文書)
第38条 当社のコンプライアンス・プログラム文書は以下のとおりとする。
1.個人情報保護方針
2.コンプライアンス・プログラムを推進する組織体制表
3.情報セキュリティ基本規程
4.個人情報保護基本規程
5.個人情報保護細則
6.機密管理規程
7.技術情報管理規程
8.危機管理規程
9.入退館管理規程
10.業務委託における個人情報保護規程
11.監査規程
12.教育規程
13.社員情報管理規程
14.就業規則「罰則」
15.コンピュータ不正アクセス対策基準
16.コンピュータウィルス対策基準
17.ネットワーク管理規程
18.その他個人情報保護管理者が指定した文書
② 推進事務局は、コンプライアンス・プログラム文書の書面及び社内イントラに掲載した内容を管理する。
(文書管理)
第39条 推進事務局は、次に掲げる文書を管理する。
1.コンプライアンス・プログラム文書(本細則第38条)
2.個人情報保護の収集、利用及び提供に関連する同意を得るための書面
3.情報主体の権利請求及び通知書(本細則第30条及び第31条)
4.要求される計画書(教育計画書及び監査計画書)(本細則第32条及び第34条)
5.個人情報の委託に関わる契約書等(本細則第23条)
6.実施記録(教育記録、監査記録、個人情報管理の記録、入退館記録及びCP見直し記録等)
7.その他個人情報保護管理者が指定した文書
(コンプライアンス・プログラムの見直し)
第40条 推進事務局は、次に示す状況を的確に把握して、年1回以上「個人情報保護コンプライアンス・プログラム指示書」を起案し社長の決裁を得る。
1.監査報告書の内容
2.経営環境の変化
3.事業環境の変化
4.取扱う個人情報の質的変化
5.社会の個人情報に関する認識の変化
6.法令等の改正
附則
平成 年 月 日 施行