1.総則
1.1目的
本規程は、個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いの確保に関し必要な事項を定めることにより、当社の事業の適正かつ円滑な運営を図りつつ、個人の権利利益を保護することを目的とする。
1.2定義
本項における用語の定義は、次に定めるところによる。
個人情報:
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別できることとなるものを含む。)をいう。
個人番号:
行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「マイナンバー法」という。)第2条5項が定める住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
特定個人情報:
個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。)をその内容に含む個人情報をいう。
個人情報データベース等:
個人情報を含む情報の集合物であって、特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして「個人情報の保護に関する法律施行令」(平成15年政令第507号。以下「個人情報保護法施行令」という。)で定めるものをいう。
個人情報ファイル:
個人情報を含む情報の集合物であって、特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして「個人情報の保護に関する法律施行令」で定めるものをいう。
特定個人情報ファイル:
個人番号をその内容に含む個人情報ファイルをいう。
個人データ:
個人情報データベース等を構成する個人情報をいう。
保有個人データ:
個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして個人情報保護法施行令で定めるものをいう。
個人番号関係事務:
マイナンバー法第9条第3項の規定により個人番号利用事務(行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が同条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務)に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
個人情報取扱事業者:
個人情報データベース等を事業の用に供している者(国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除く。)をいう。
本人:
個人番号によって識別され、又は識別され得る特定の個人をいう。
従業員:
当社の組織内にあって直接間接に当社の指揮監督を受けて当社の業務に従事している者をいう。具体的には、従業員のほか、取締役、監査役、派遣社員等を含む。
1.3当社の責務
マイナンバー法その他の個人情報保護に関する法令及びガイドライン等を遵守するとともに、実施するあらゆる事業を通じて特定個人情報等の保護に努めるものとする。
2.特定個人情報等の取り扱い
2.1利用目的の特定
●特定個人情報等を利用できる事務の範囲を、社会保障、税及び災害対策に関する特定の事務に限定するものとする。
●利用に当たっては前項で定めた事務の範囲の中から、具体的な利用目的を特定した上で、利用するものとする。
●特定した利用目的を超えて利用する必要が生じた場合には、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人に通知を行い、変更後の利用目的の範囲内で利用するものとする。
2.2取得に際しての利用目的の通知等
●特定個人情報等を取得した場合は、あらかじめその利用目的を通知又は公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表するものとする。
●前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式等で作られる記録を含む。)に記載された当該本人の特定個人情報等を取得する場合その他本人から直接書面に記載された当該本人の特定個人情報等を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
●前2項の規定は、次に掲げる場合については、適用しない。
(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)利用目的を本人に通知し、又は公表することにより当社の権利又は正当な利益を害するおそれがある場合
(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(4)取得の状況からみて利用目的が明らかであると認められる場合
2.3取得の制限
●特定個人情報等を取得するときは、適法かつ適正な方法で行うものとする。
●マイナンバー法第19条各号のいずれかに該当する場合を除き、他人の特定個人情報等を収集しないものとする。
2.4個人番号の提供の求めの制限
マイナンバー法第19条各号に該当して特定個人情報の提供を受けることができる場合を除くほか、他人に対し、個人番号の提供を求めないものとする。
2.5本人確認
本人又はその代理人から個人番号の提供を受けるときは、マイナンバー法第16条の規定に従い、本人確認を行うものとする。
2.6利用目的外の利用の制限
●「2.1利用目的の特定」の規定により特定された利用目的の達成に必要な範囲を超えて、特定個人情報等を取り扱わないものとする。
●合併その他の事由により他の法人等から事業を継承することに伴って特定個人情報等を取得した場合は、継承前における当該特定個人情報等の利用目的の達成に必要な範囲を超えて、当該特定個人情報等を取り扱わないものとする。
●前2項の規定にかかわらず、次の各号のいずれかに該当する場合には、「2.1利用目的の特定」の規定により特定された利用目的の範囲を超えて特定個人情報等を取り扱うことができるものとする。
(1)マイナンバー法第9条第4項の規定に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるとき
2.7特定個人情報ファイルの作成の制限
マイナンバー法第19条11号から14号までのいずれかに該当して特定個人情報を提供し、又はその提供を受けることができる場合を除き、個人番号関係事務を処理するために必要な範囲を超えて特定個人情報ファイルを作成しないものとする。
2.8特定個人情報等の保管
マイナンバー法第19条各号に該当する場合を除くほか、特定個人情報等を保管しないものとする。
2.9データ内容の正確性の確保
「2.1利用目的の特定」により特定された利用目的の達成に必要な範囲内において、特定個人情報等を正確かつ最新の内容に保つよう努めるものとする。
2.10特定個人情報等の提供
マイナンバー法第19条各号に該当する場合を除くほか、特定個人情報等を提供しないものとする。
2.11特定個人情報等の削除・廃棄
個人番号関係事務を処理する必要がなくなった場合で、かつ、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除するものとする。ただし、その個人番号部分を復元できない程度にマスキング又は削除した場合には、保管を継続することができるものとする。
2.12特定個人情報等を誤って収集した場合の措置
●従業者は、誤って特定個人情報等の提供を受けた場合、自ら当該特定個人情報等を削除又は廃棄してはならず、速やかに、「3.1事務取扱担当者・責任者」に定める事務取扱責任者に報告しなければならない。
●前項の報告を受けた際、「5.3.4個人番号の削除、機器及び電子媒体等の廃棄」に従って、当該特定個人情報等をできるだけ速やかに削除又は廃棄したうえで、その記録を保存するものとする。
2.13安全管理措置
特定個人情報等の取り扱いに関し、「4.委託先の監督」及び「5.安全管理措置」に定める安全管理措置を講じるものとする。
3. 組織及び体制
3.1事務取扱担当者・責任者
●別途定めるとおり、特定個人情報等を取り扱う事務の範囲を明確化し、明確化した事務において取り扱う特定個人情報等の範囲を明確にしたうえで、当該事務に従事する従業員(以下「事務取扱担当者」という。)を明確にするものとする。
●別途定めるとおり、前項により定められた各事務における事務取扱責任者を明確にするものとする。
●事務取扱責任者は、次に掲げる業務を所管する。
(1)特定個人情報等の利用申請の承認及び記録等の管理
(2)特定個人情報等を取り扱う保管媒体の設置場所の指定及び変更の管理
(3)特定個人情報等の管理区分及び権限についての設定及び変更の管理
(4)特定個人情報等の取扱状況の把握
(5)委託先における特定個人情報等の取扱状況等の監督
(6)特定個人情報等の安全管理に関する教育・研修の実施
(7)特定個人情報等管理責任者に対する報告
(8)特定個人情報等の安全管理に関する規程の承認及び周知
(9)事務取扱責任者からの報告徴収及び助言・指導
(10)特定個人情報等の適正な取扱いに関する事務取扱担当者に対する教育・研修の企画
(11)その他特定個人情報等の安全管理に関する事項
3.2苦情対応
●特定個人情報等の取扱いに関する苦情(以下「苦情」という。)の対応について必要な体制整備を行い、苦情があったときは、適切かつ迅速な処理に努めるものとする。
●苦情対応の責任者は、代表取締役とする。
3.3従業員の義務
●当社の従業者又は従業員であった者は、業務上知り得た特定個人情報等の内容をみだりに他人に知らせたり、不当な目的に使用したりしてはならない。
●特定個人情報等の漏えい、滅失もしくは毀損の発生又は兆候を把握した従業員は、その旨を事務取扱責任者に報告するものとする。
●本規程に違反している事実又は兆候を把握した従業者は、その旨を事務取扱責任者に報告するものとする。
●事務取扱責任者は、前3項による報告の内容を調査し、本規程に違反する事実が判明した場合には遅滞なく代表取締役に報告するとともに、関係部門に適切な措置をとるよう指示するものとする。
4.委託の取扱い
4.1委託
特定個人情報等の取扱いの全部又は一部を当社以外の者に委託するときは、委託先において、マイナンバー法に基づき当社が果たすべき安全管理措置と同等の措置が講じられるか否かについてあらかじめ確認したうえで、原則として委託契約において、特定個人情報等の安全管理について委託先が講ずべき措置を明らかにし、委託先における特定個人情報の取扱状況を把握するものとする。
4.2再委託
委託先が特定個人情報等の取扱いの全部又は一部を再委託する場合には、当社の許諾を得るものとする。また、再委託が行われた場合、当社は、委託先が再委託先に対して必要かつ適切な監督を行っているかについて監督するものとする。
5.安全管理措置
特定個人情報等の漏えい、滅失又は毀損の防止その他の特定個人情報等の安全管理のために、以下に定める措置を講ずるものとする。
5.1組織的安全管理措置
特定個人情報等の適正な取扱いのために、次に掲げる組織的安全管理措置を講じる。
5.1.1組織体制の整備
安全管理措置を講ずるために、「3. 組織及び体制」に従い、組織体制を整備する。
5.1.2取扱規程等に基づく運用
「情報資産管理台帳」に、以下を登録する。
情報資産管理台帳の項目 登録内容
情報資産名称 特定個人情報ファイルの種類、名称
備考 対象者及び個人情報の項目
明示・公表等を行った利用目的
削除・廃棄状況
管理部署 責任者、取扱部署
利用者範囲 アクセス権を有する者
媒体・保存先 保管場所・保管方法
保存期限 保存期間
なお、「情報資産管理台帳」には個人番号は記載しない。
5.1.3取扱状況を確認する手段の整備
本規程に基づく運用状況を確認するため、以下の項目をシステムログ又は利用実績として記録する。
・特定個人情報ファイルの利用・出力状況の記録
・書類・媒体等の持出しの記録
・特定個人情報ファイルの削除・廃棄記録
・削除・廃棄を委託した場合、これを証明する記録等
・特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
5.1.4情報漏えい等事案に対応する体制の整備
情報漏えい等の事案の発生又は兆候を把握した場合には、事務取扱責任者は「情報セキュリティポリシー」に定める安全管理措置に従って対応を行う。
5.1.5取扱状況の把握及び安全管理措置の見直し
特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組むため、事務取扱責任者が、毎年12月、取扱状況を点検し、安全管理措置を見直す。
5.2人的安全管理措置
特定個人情報等の適正な取扱いのために、「情報セキュリティポリシー2 人的対策」に従い人的安全管理措置を講じる。
5.2.1従業者の監督・教育
特定個人情報等の安全管理のために、従業者に対する必要かつ適切な監督・教育を行うものとする。
5.3物理的安全管理措置
特定個人情報等の適正な取扱いのために、「情報セキュリティポリシー6 物理的対策」の物理的安全管理措置を講じる。
5.3.1特定個人情報等を取り扱う領域の管理
特定個人情報ファイルを取り扱う情報システムを管理するセキュリティ領域及び特定個人情報等を取り扱う事務を実施するセキュリティ領域を明確にし、「情報セキュリティポリシー6 物理的対策」に定める安全管理措置を講ずる。
5.3.2IT機器及び電子媒体等の盗難等の防止
管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、「情報セキュリティポリシー7 IT機器利用」に定める安全管理措置を講ずる。
5.3.3電子媒体等を持ち出す場合の漏えい等の防止
特定個人情報等が記録された電子媒体又は書類等を社外に持ち出す場合、「情報セキュリティポリシー7 IT機器利用」に定める安全管理措置を講じる。
5.3.4個人番号の削除、機器及び電子媒体等の廃棄
個人番号を削除又は廃棄する際には、「情報セキュリティポリシー7 IT機器利用」に定める安全管理措置に従って、復元できない手段で削除又は廃棄する。
5.4技術的安全管理措置
特定個人情報等の適正な取扱いのために、以下の技術的安全管理措置を講じる。
5.4.1アクセス制御
事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。
5.4.2アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証するものとする。
5.4.3外部の不正アクセス等の防止
情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するため、「情報セキュリティポリシー7.IT機器利用」「情報セキュリティポリシー8 IT基盤運用管理」に定める安全管理措置を講じる。
5.4.4情報漏えい等の防止
特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等を防止するため、「情報セキュリティポリシー7 IT機器利用」に定める安全管理措置を講じる。
6.特定個人情報等の開示、訂正等、利用停止等
6.1特定個人情報等の開示等
本人から、当該本人が識別される特定個人情報等に係る保有個人データについて、書面又は口頭により、その開示(当該本人が識別される特定個人情報等に係る保有個人データを保有していないときにその旨を知らせることを含む。以下同じ。)の申出があったときは、身分証明書等により本人であることを確認のうえ、開示をするものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)当社の事業の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
開示は、書面により行うものとする。ただし、開示の申出をした者の同意があるときは、書面以外の方法により開示をすることができる。
特定個人情報等に係る保有個人データの開示又は不開示の決定の通知は、本人に対し、遅滞なく行うものとする。
6.2特定個人情報等の訂正等
●本人から、当該本人が識別される特定個人情報等に係る保有個人データの内容が事実でないという理由によって当該特定個人情報等に係る保有個人データの内容の訂正、追加又は削除(以下「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該特定個人情報等に係る保有個人データの内容の訂正等を行うものとする。
●前項の規定に基づき求められた特定個人情報等に係る保有個人データの内容の訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知するものとする。
●前項の通知を受けた者から、再度申出があったときは、前項と同様の処理を行うものとする。
●前第2項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めるものとする。
6.3特定個人情報等の利用停止等
●本人から、当該本人が識別される特定個人情報等に係る保有個人データが「2.6利用目的外の利用の制限」の規定に違反して取り扱われているという理由又は「2.3取得の制限」の規定に違反して取得されたものであるという理由によって、当該特定個人情報等に係る保有個人データの利用の停止又は消去(以下「利用停止等」という。)を求められた場合、又は「2.10特定個人情報等の提供」の規定に違反して第三者に提供されているという理由によって、当該特定個人情報等に係る保有個人データの第三者への提供の停止(以下「第三者提供の停止」という。)を求められた場合で、その求めに理由があることが判明したときは、遅滞なく、当該特定個人情報等に係る保有個人データの利用停止等又は第三者提供の停止を行うものとする。ただし、当該特定個人情報等に係る保有個人データの利用停止等又は第三者提供の停止に多額の費用を要する場合その他の利用停止等又は第三者提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
●前項の規定に基づき求められた特定個人情報等に係る保有個人データについて、利用停止等を行ったときもしくは利用停止等を行わない旨の決定をしたとき、又は第三者提供の停止を行ったときもしくは第三者提供の停止を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
●前項第3項及び第4項は本項に準用する。