個人情報の取扱いに関する詳細規程
(目 的) | |
1 | 本規程は、当法人個人情報管理規程13条に基づき、当法人が個人情報保護法に基づく個人情報取扱事業者の義務を適正に履行するにあたって、 当法人の構成員がなすべき行為に関して必要な事項を定めるものとする。 |
(適用対象) | |
2 | 本規程は、当法人の業務に従事するすべての構成員(執行役・正社員・契約社員・嘱託社員・パート社員・アルバイト社員等の雇用関係にある従業員のほか、役員・派遣社員・顧問等を含む。以下同じ) に対しこれを適用するものとする。 |
(個人情報の取得) | |
3-1 | 当法人が収集取得し、利用する個人情報の利用目的は以下の通りである。 |
(1) |
当法人の構成員が、顧客をはじめ第三者から、業務を通じ取得した個人情報については、下記の目的のために必要な範囲内でこれを利用する。 ①顧客への支援・福祉サービス提供のため ②顧客に関係する機関との連携のため ③管理運営に関する事項のため |
(2) | 当法人が保有する当法人の構成員に関する個人情報については、給与の計算・支払等、人事管理のために利用する。 |
(3) | 当法人が採用に際して採用希望者より取得した個人情報については、採用の採否の決定及びその連絡等並びに採用後の人事・安全管理その他これに関連する事項のために利用する。 |
3-2 | 新たに個人情報を収集取得する場合であっても、前項の利用目的のためもしくは個人情報保護法をはじめ関係法令の規定の下で適切に変更された利用目的のためにのみ収集取得することができる。 |
3-3 | 各部署における業務遂行にあたって、新たな利用目的のために新たな個人情報を収集取得する必要が生じた場合、各部署の現場監理者は、 新しい利用目的や利用方法等を個人情報保護管理者に申し出、その承認を受けなければならない。 |
3-4 | 個人情報保護管理者が前項の承認をする場合において、新しい利用目的の通知又は公表の適否の判断については、各部署の現場監理者が個人情報保護管理者と協議して行うこととする。 |
3-5 | 業務遂行にあたって、既に存在する利用目的と利用の実態が一致しない場合、その他業務遂行にあたって、既に存在する利用目的を変更する必要が生じた場合は、各部署の現場監理者は、 変更を必要とする理由及び変更後の利用目的等を個人情報保護管理者に申し出、その承認を受けなければならない。 |
3-6 | 個人情報保護管理者は、前項の承認については、特に慎重に行わなければならない。 |
(個人情報の利用) | |
4-1 | 個人情報を目的外利用してはならない。 |
4-2 | 業務遂行にあたって、取得した個人情報を目的外利用する必要が生じた場合は、各部署の現場監理者は、目的外利用の必要性等を個人情報保護管理者に申し出、承認を受けなければならない。 |
(個人データの第三者提供) | |
5-1 | 個人データは、法令に特に定める場合のほかは、第三者に提供してはならない。 |
5-2 | 業務遂行にあたって、個人データの第三者提供の必要が生じた場合は、各部署の現場監理者は、第三者提供の必要性、 本人の同意を得る方法かオプトアウトの方法か等を個人情報保護管理者に申し出、承認を受けなければならない。 |
5-3 | 業務遂行にあたって、個人データを別の法人等と共同利用する必要が生じた場合は、各部署の現場監理者は、共同利用の相手方及びその必要性等を個人情報保護管理者に申し出なければならない。 |
5-4 | 共同利用を行うか否かについては、理事会においてこれを決するものとする。 |
5-5 | 個人データの第三者提供を行い、又はこれを受けた場合は、法令の定めに従い書式等を準備の上、適切に確認、記録義務を履行する。 |
(個人データの安全管理) | |
6-1 | 構成員が個人データの利用、保管、保存、廃棄又は消去に関する作業を行うに際しては、個人データの安全性に留意し、これを確保する上で必要な措置を講ずるものとする。 個人情報保護管理者は、個人データの安全性を確保するため、次項以降で定める事項のほか、保管場所の特定と取扱区域の管理、アクセスログの確保、メール通信の暗号化、 外部からの不正アクセス防止に向けたセキュリティソフトウェアの導入・更新など必要な技術上の措置を講ずるものとする。 |
6-2 | 個人情報の漏えいを防止するため、構成員は、個人データの記録された書類、ノートパソコン、ハードディスク、CD-R、USBメモリ、スマートフォンなどの記録媒体を所外に持ち出してはならない。 |
6-3 | 前項の場合に、構成員において社外に持ち出すやむを得ない理由がある場合には、個人情報保護管理者に、理由を申し出て、その承認を受けなければならない。 |
6-4 | 構成員が、業務上の必要から、個人データの記録された媒体のコピーを作成する場合は、個人情報保護管理者に、理由を申し出て、その承認を受けなければならない。 |
6-5 | 個人情報保護管理者が、6-3及び前項の承認をした場合は、承認した旨を記録しておかなければならない。 |
6-6 | 個人情報の漏えいを防止するため、当法人の構成員が、個人データの記録された書類、ノートパソコン並びにハードディスク、CD-R、USBメモリなどの記録媒体を所外に持ち出すに際しては、 万一これが紛失したとしても容易に第三者がこれを参照し得ないよう、ID管理・パスワード設定等の必要な技術上の措置を講ずるものとする。 |
6-7 | 個人情報の漏えいを防止するため、当法人の構成員が、業務上、個人データが記録された書面等をファクシミリや電子メール等で送信する場合は、宛先を確認した上で、 異なる宛先に送信されることのないように十分に注意しなければならない。 |
6-8 | 個人情報の漏えいを防止するため、当法人の構成員は、当法人の執務時間を除き、机上に個人データの記載された個人データの記録された書類、 ノートパソコン並びにハードディスク、CD-R、USBメモリなどの記録媒体を放置してはならず、これらのものを帰宅時にロッカー内に保管の上、ロッカーを施錠するものとする。 |
6-9 | 個人情報の漏えいを防止するため、当法人の構成員は、個人データの記録された書類、ノートパソコン並びにハードディスク、CD-R、USBメモリなどの記録媒体を廃棄するにあたり、 書類については焼却・溶解・適切なシュレッダーなど復元不可能な手段を採用し、ノートパソコン及び記録媒体に関しては、物理的破砕・データ削除のソフトウェアを採用するなど、 容易に個人データが復元できない手段を採用しなければならない。 |
6-10 | 構成員は、個人情報の漏えい等の事故発生を認識した場合、直ちに個人情報保護管理者に対し、これを報告しなければならない。 個人情報保護管理者が不在の場合、構成員は、直ちに個人情報保護管理担当役員に対し、報告を行わなければならない。 |
6-11 | 個人情報保護管理者は、前項に定める構成員からの漏えい事故に関する報告を受けた後、直ちに個人情報保護管理担当役員にこれを報告しなければならない。 |
6-12 | 個人情報保護管理者及び個人情報保護管理担当役員は、前2 項の報告を受けた後、当該事故による影響を最小限とする措置を講ずるとともに、 個人情報保護委員会への報告、情報主体たる本人への通知等必要な措置を行うべく、構成員に指示を行い、適切に対応するものとする。 |
6-13 | 個人情報保護管理者及び個人情報保護管理担当役員は、前項の措置と並行して、個人情報の漏えい等の事故が発生した原因に関する調査を直ちに行い、その結果を理事会に報告の上、再発防止策を講じる。 |
6-14 | 個人情報の保護が、当法人業務に与える重大な影響に鑑み、構成員が、個人情報の漏えい等の事故を発生させた場合については、当法人就業規則その他、関係規定を踏まえ、懲戒等の処分を行うことができる。 |
(保有個人データの開示請求等) | |
7 | 保有個人データの利用目的通知請求、開示請求、訂正等請求及び利用停止等請求に関する対応については、開示請求等に関する規程を遵守しなければならない。 |
(教育研修) | |
8 | 構成員は、当法人の定める個人情報保護に関する研修を受講しなければならない。 |
この詳細規程は 2022年4月1日から施行 |