特定個人情報取扱規程
2024年6月 1日 制 定
- 第1条 目的
- 本規程は、当社が、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(以下、「番号法」という。)「個人情報の保護に関する法律」(以下、「個人情報保護法」という。)および「特定個人情報の適正な取り扱いに関するガイドライン(事業者編)」に基づき、当社の取り扱う特定個人情報等の適正な取り扱いを確保するために定めるものとする。本規程は、特定個人情報等の「取得」、「保管」、「利用」、「提供」、「開示、訂正、利用停止」、「廃棄」の各段階における留意事項および安全管理措置について定めるものである。特定個人情報等に関しては、当社の個人情報保護に関する他の社内規程またはマニュアルに優先して本規程が適用される。本規程が当社内のその他の規程と矛盾抵触する場合は、本規程に定められた規定が優先的に適用される。
- 第2条 定義
-
本規程に掲げる用語の定義は、次のとおりとする。なお、本規程における用語は、他に特段定めのない限り番号法その他の関係法令の定めに従う。
- 「個人情報」
個人情報保護法に規定する個人情報であって、当該情報に含まれる氏名、生年月日、その他の記述により特定の個人を識別できるものをいう。 - 「個人番号」
番号法の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために市区町村より各住民に指定された番号をいう。 - 「特定個人情報」
個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第7条第1項および第2項、第8条ならびに第67条ならびに附則第3条第1項から第3項までおよび第5項を除く。)をその内容に含むものをいう。 - 「個人番号利用事務」
行政機関、地方公共団体、独立行政法人、民間を含めた健康保険組合等、行政事務を処理する者が番号法第9条第1項または第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索しおよび管理するために必要な限度で個人番号を利用して処理する事務をいう。また、この事務を行うものを、「個人番号利用事務実施者」という。 - 「個人番号関係事務」
個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。また、この事務を行うものを「個人番号関係事務実施者」という。 - 「従業員」
当社の組織内にあって直接または間接に当社の指揮監督を受けて当社の業務に従事しているものをいい、雇用関係にある従業者(社員、試用員、嘱託員、再雇用社員、臨時員、パート・アルバイト等)のみならず、当社との間の雇用関係にない者(取締役、派遣社員等)を含む。 - 「事務取扱担当者」
当社内において、個人番号を取り扱う事務に従事する者をいう。 - 「事務取扱責任者」
特定個人情報等の管理に関する責任を担う者をいう。 - 「管理区域」
特定個人情報を取り扱う情報システムを管理する区域をいう。 - 「取扱区域」
特定個人情報等を取り扱う事務を実施する区域をいう。
- 「個人情報」
- 第3条 個人番号を取り扱う事務の範囲
-
当社が個人番号を取り扱う事務の範囲を以下に示す。
従業者(扶養家族含む)に係る個人番号関係事務 給与所得・退職所得に係る源泉徴収票作成事務 住民税に関する届出事務 雇用保険の届出事務 健康保険・厚生年金保険の届出事務 従業者の配偶者に係る個人番号関係事務 国民年金の第3号被保険者の届出事務 従業者以外の個人番号に係る個人番号関係事務 報酬・料金等の支払調書作成事務 配当、剰余金の分配及び基金利息の支払調書作成事務 不動産の使用料等の支払調書作成事務 不動産等の譲受けの対価の支払調書作成事務
- 第4条 取り扱う特定個人情報等の範囲
-
前条において当社が個人番号を取り扱う事務において使用される個人番号および個人番号と関連付けて管理される特定個人情報は以下のとおりとする。
- 従業員または従業員以外の個人から、番号法に基づく本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、通知カード、身元確認書類等)およびこれらの写し。
- 当社が行政機関等に提出するために作成した届出書類およびこれらの控え。
- 当社が法定調書を作成する上で従業員または従業員以外の個人から受領する個人番号が記載された申告書等。
- その他個人番号と関連付けて保存される情報。
上記に、該当するか否かが定かでない場合は、事務取扱責任者が判断する。
- 第5条 特定個人情報の取得
-
- 特定個人情報の適正な取得
当社は、特定個人情報の取得を適法かつ公正な手段によって行うものとする。 - 特定個人情報の利用目的
当社が、従業員または第三者から取得する特定個人情報の利用目的は、第3条に掲げた個人番号を取り扱う事務の範囲内とする。 - 特定個人情報の取得時の利用目的の通知等
- 当社は、特定個人情報を取得する場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を情報主体に通知し、または公表しなければならない。この場合において、「通知」の方法については、原則として書面(電子的方式、磁気的方式、その他人の知覚によっては認識することができない方式で作られた記録を電子機器等で表示する場合を含む。以下に同じ。)によることとし、「公表」の方法については、当社の窓口等への書面の掲示・備付け、インターネット上のホームページ等での公表等適切な方法によるものとする。当社の従業員から特定個人情報を取得する場合には、社内LANにおける通知、利用目的を記載した書類の掲示、就業規則への明記等の方法による。
- 当社は、利用目的の変更を要する場合、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知、公表または明示を行うことにより、変更後の利用目的の範囲内で特定個人情報を利用することができる。
- 個人番号の提供の要求
- 当社は、第3条に掲げる事務を処理するために必要がある場合に限り、本人または他の個人番号関係事務実施者もしくは個人番号利用事務実施者に対して個人番号の提供を求めることができる。
- 従業員または第三者が個人番号および本人確認に必要な書類等の提供の要求に応じない場合は、番号法に基づくマイナンバー制度の意義について説明を行い、個人番号の提供および本人確認に応ずるように求めるものとする。それでもなお、提供の要求に応じない場合は、提供を求めた経緯等を記録、保存するものとする。
- 個人番号の提供を求める時期
- 当社は、第3条に定める事務を処理するために必要があるときに個人番号の提供を求めることができる。
- 前号にかかわらず、本人との法律関係等に基づき個人番号関係事務の発生が予想される場合には、契約を締結した時点等の当該事務の発生が予想できた時点で個人番号の提供を求めることが可能であるものとする。例えば、従業員等の給与の源泉徴収事務、健康保険、厚生年金保険届出事務等およびこれらに伴う給与所得の源泉徴収票、健康保険、厚生年金保険被保険者資格取得届等の作業事務の場合は、雇用契約の締結時点で、個人番号の提供を求めることも可能である。
- 特定個人情報の提供の求めの制限
- 特定個人情報の「提供」とは、法的な人格を超える特定個人情報の移動を意味するものであり、同一法人の内部等の法的な人格を超えない特定個人情報の移動は「提供」ではなく「利用」に該当し、個人番号の利用制限に従うものとする。
- 当社は、番号法により特定個人情報の提供を受けることが出来る場合を除き、特定個人情報の提供を求めてはならない。
- 特定個人情報の収集制限
当社は、第3条に定める事務の範囲を超えて、特定個人情報を収集しないものとする。 - 本人確認
当社は、番号法第16条の定める方法により、従業員または第三者の個人番号の確認および当該人の身元確認を行うものとする。また、代理人については、同条に定める各方法により、代理権の確認、当該代理人の身元確認および本人の個人番号の確認を行うものとする。 - 取得段階における組織的安全管理措置・人的安全管理措置
特定個人情報の取得段階における組織的安全管理措置および人的安全管理措置は、当規程の第6条「組織的安全管理措置」、「人的安全管理措置」に従うものとする。 - 取得段階における物理的安全管理措置
特定個人情報の取得段階における物理的安全管理措置は、当規程の第7条「物理的安全管理措置」に従うものとする。 - 取得段階における技術的安全管理措置
特定個人情報の取得段階における技術的安全管理措置は、当規程の第8条「技術的安全管理措置」に従うものとする。
- 特定個人情報の適正な取得
- 第6条 組織的安全管理措置・人的安全管理措置
-
- 組織体制
・特定個人情報等を管理する責任部署を業務部とする。
・事務取扱責任者は、業務部長とする。
・事務取扱担当者は、業務部の所属員とする。 - 事務取扱責任者の責務
- 事務取扱責任者は、本規程に定められた事項を理解し、遵守するとともに、事務取扱担当者にこれを理解させ、遵守させるための教育訓練、安全対策ならびに周知徹底等の措置を実施する責任を負う。
- 事務取扱責任者は、次の業務を所管する。
・本規程および委託先の選定基準の承認および周知。
・特定個人情報等の安全管理に関する教育または研修の企画。
・その他当社全体における特定個人情報等の安全管理に関すること。
・特定個人情報等の利用申請の承認および記録等の管理。
・管理区域および取扱区域の設定。
・特定個人情報等の取扱区分および権限についての設定および変更の管理。
・特定個人情報等の取扱状況の把握。
・委託先における特定個人情報等の取扱状況の監督。
・特定個人情報等の安全管理に関する教育または研修の実施。
・その他当社における特定個人情報等の安全管理に関すること。
- 事務取扱担当者の監督
事務取扱責任者は、特定個人情報等が本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。 - 事務取扱担当者の責務
- 事務取扱担当者は、特定個人情報の「取得」、「保管」、「利用」、「提供」、「開示、訂正、利用停止」、「廃棄」または委託処理等、特定個人情報等を取り扱う業務に従事する際、番号法および個人情報保護法ならびにその他関連法令、特定個人情報ガイドライン、本規程およびその他社内規程ならびに事務取扱責任者の指示した事項に従い、特定個人情報等の保護に十分な注意を払ってその業務を行うものとする。
- 事務取扱担当者は、特定個人情報等の漏えい等、番号法もしくは個人情報保護法またはその他の関連法令、特定個人情報ガイドライン、本規程またはその他社内規程に違反している事実または兆候を把握した場合、速やかに事務取扱責任者に報告するものとする。
- 各部署において個人番号が記載された書類等を受領する事務取扱担当者は、個人番号の確認等の必要な事務を行った後はできるだけ速やかにその書類を受け渡すこととし、自分の手元に個人番号を残してはならないものとする。
- 教育、研修
- 事務取扱責任者は、本規程に定められた事項を理解し、遵守するとともに、事務取扱担当者に本規程を遵守させるために教育訓練を企画・運営する責任を負う。
- 事務取扱担当者は、事務取扱責任者が主催する本規程を遵守させるための教育を受けなければならない。研修の内容およびスケジュールは、事業年度毎に事務取扱責任者が定める。
- 源泉徴収票、支払調書、社会保険関係の届出等の作成に係る業務フロー
源泉徴収票、支払調書、社会保険関係の届出等を作成する場合の事務フローは、別途、業務フローに定めるものとする。 - 本規程に基づく運用状況の記録
事務取扱担当者は、本規程に基づく運用状況を確認するため、以下の項目につき、システムログおよび利用実績を記録するものとする。- 特定個人情報等の取得および特定個人情報ファイルの入力状況。
- 特定個人情報ファイルの利用・出力状況の記録。
- 書類・媒体等の持ち出し記録。
- 特定個人情報ファイルの削除・廃棄記録。
- 削除・廃棄を委託した場合、これを証明する記録等。
- 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録。
- 取扱状況の確認手段
事務取扱担当者は、本規程に基づく運事務取扱担当者は、特定個人情報ファイルの取扱状況を確認するための手段として、特定個人情報台帳に以下の事項を記録するものとする。なお、特定個人情報台帳には、特定個人情報等は記載しないものとする。用状況を確認するため、以下の項目につき、システムログおよび利用実績を記録するものとする。- 特定個人情報ファイルの種類、名称
- 責任者、取扱部署
- 利用目的
- 削除・廃棄手法
- アクセス権を有する者
- 特定個人情報ファイルを取り扱う情報システムの「管理区域」の場所
- 特定個人情報等を取り扱う事務を実施する「取扱区域」の場所
- 情報漏えい事案等への対応
- 事務取扱責任者は、特定個人情報等の漏えい、滅失または減損による事故(以下「漏えい事案等」という)が発生したことを知った場合またはその可能性が高いと判断した場合は、本規程に基づき、適切に対処するものとする。
- 事務取扱責任者は、代表取締役および関係者と連携して漏えい事案等に対応する。
- 事務取扱責任者は、漏えい事案が発生したと判断した場合は、その旨および調査結果を代表取締役および関係者に報告し、当該漏えい事案等の対象となった情報主体に対して、事実関係の通知、謝意の表明、原因関係の説明等を速やかに行う。
- 事務取扱責任者は、漏えい事案等が発生したと判断した場合は、情報漏えい等が発生した原因を分析し、再発防止に向けた対策を講じるものとする。
- 事務取扱責任者は、漏えい事案等が発生したと判断した場合は、その事実を本人に通知するとともに、必要に応じて公表する。
- 事務取扱責任者は、他社における漏えい事故等を踏まえ、類似事例の再発防止のために必要な措置の検討を行うものとする。
- 事務取扱責任者は、漏えい事案等への対応状況の記録を年に1回以上の頻度で分析するものとする。
- 事務取扱責任者は、特定個人情報に係わる重大な事故が発生した場合は、「個人情報保護委員会」へ報告の要否を判断の上、第一報をFAXにて報告する。
個人情報保護委員会(特定個人情報の取り扱いに関する監視・監督権限を有する行政機関)
FAX:03-3593-7962
電話番号:03-6457-9680(代表)
- 苦情への対応
事務取扱担当者は、番号法、個人情報保護法、特定個人情報保護ガイドラインまたは本規程に関し、情報主体から苦情の申し出を受けた場合には、その旨を事務取扱責任者に報告する。報告を受けた事務取扱責任者は適切に対応するものとする。 - 監査
- 外部監査人は、当社の特定個人情報等の適正な取扱その他法令および本規程の遵守状況について検証し、その改善を事務取扱責任者に促す。
- 外部監査人は、当社の特定個人情報等の適正な取扱その他法令および本規程の遵守状況について定期的に監査する。
- 取扱状況の確認ならびに安全管理措置の見直し
- 事務取扱責任者は、月に1回または臨時に特定個人情報等の運用状況の記録および特定個人情報ファイルの取り扱い状況の確認を実施しなければならない。
- 事務取扱責任者は、前号の確認の結果および前項の監査の結果に基づき、安全管理措置の評価、見直しおよび改善に取り組むものとする。
- 組織体制
- 第7条 物理的安全管理措置
-
- 特定個人情報等を取り扱う区域の管理
当社は管理区域および取扱区域を明確にし、それぞれの区域に対し、次の各号に従い以下に措置を講じる。- 管理区域
入退室管理および管理区域へ持ち込む機器および電子媒体等の制限を行うものとする。 - 取扱区域
可能な限り壁または間仕切り等の設置や、事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性がない場所へ座席配置等をする。
- 管理区域
- 機器および電子媒体等の盗難等の防止
当社は管理区域および取扱区域における特定個人情報等を取り扱う機器、電子媒体および書類等の盗難または紛失等を防止するために、次に掲げる措置を講じる。- 特定個人情報等を取り扱う機器、電子媒体または書籍等を、施錠できるキャビネット・書庫等に保管する。
- 特定個人情報ファイルを取り扱う情報システムが機器のみ(無人)で運用されている場合は、セキュリティーワイヤー等により固定する。
- 電子媒体等を持ち出す場合の漏えい等防止
- 当社は特定個人情報等が記録された電子媒体または書類等の持ち出し(特定個人情報等を、管理区域または取扱区域の外へ移動させることをいい、事業所内での移動等も含まれる。)は、次に掲げる場合を除き禁止する。
Ⅰ. 個人番号関係事務に係る外部委託先に、委託業務を実施する上で必要と認められる範囲内でデータを提供する場合。
Ⅱ. 行政機関等への届出書類の提出等、当社が実施する個人番号関係事務に関して個人番号利用事務実施者に対してデータまたは書類を提出する場合。
- 前号により特定個人情報等が記録された電子媒体または書類等の持ち出しを行う場合は、以下の安全策を講じるものとする。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従うものとする。
Ⅰ. 特定個人情報等が記録された電子媒体を安全に持ち出す方法。
・持ち出しデータの暗号化
・持ち出しデータのパスワードによる保護
・施錠できる搬送容器の使用
・追跡可能な移送手段の利用(源泉徴収票等を従業員に交付するにあたっては、特定記録、書留郵便や本人確認郵便で送付する。)Ⅱ.特定個人情報等が記載された書類等を安全に持ち出す方法。
封緘、目隠しシールの貼付け(拠点の所属長から業務安全課の事務取扱担当者に特定個人情報等が記載された書類等を移送する場合を含む。)
- 当社は特定個人情報等が記録された電子媒体または書類等の持ち出し(特定個人情報等を、管理区域または取扱区域の外へ移動させることをいい、事業所内での移動等も含まれる。)は、次に掲げる場合を除き禁止する。
- 廃棄・削除段階における物理的安全管理措置
- 特定個人情報等の廃棄・削除段階における記録媒体等の管理は次のとおりとする。
Ⅰ. 事務取扱担当者は、特定個人情報等が記録された書類等を廃棄する場合、シュレッダー等による記載内容が復元不能までの裁断、自社または外部の焼却場での焼却・溶解等の復元不可能な手段を用いるものとする。
Ⅱ. 事務取扱担当者は、特定個人情報等が記録された機器および電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用または物理的な破壊等により、復元不可能な手段を用いるものとする。
Ⅲ. 事務取扱担当者は、特定個人情報ファイル中の個人番号または一部の特定個人情報等を削除する場合、容易に復元出来ない手段を用いるものとする。
Ⅳ. 特定個人情報等を取り扱う情報システムにおいては、当該関連する届出書類等の法定保存期間経過後、1年以内に個人番号を削除するよう情報システムの構築をするものとする。
Ⅴ. 個人番号が記載された書類等については、当該関連する届出書類等の法定保存期間経過後、毎年度末にまとめて廃棄するものとする。
- 事務取扱担当者は、個人番号もしくは特定個人情報ファイルを削除した場合、または電子媒体を廃棄した場合には、削除または廃棄した記録を保存するものとする。削除・廃棄の記録は、特定個人情報廃棄記録管理表に記録するものとし、個人番号自体は含めないものとする。
- 特定個人情報等の廃棄・削除段階における記録媒体等の管理は次のとおりとする。
- 特定個人情報等を取り扱う区域の管理
- 第8条 技術的安全管理措置
-
- アクセス制御
特定個人情報等へのアクセス制御は以下のとおりとする。- 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
- 特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。
- ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
- アクセス者の識別と認証
特定個人情報等を取り扱う情報システムは、ユーザーID、パスワード、磁気・ICカード等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づく認証をするものとする。 - 外部からの不正アクセス等の防止
当社は、以下の各方法により、情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護するものとする。- 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセス等を遮断する方法。
- 情報システムおよび機器に、セキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する方法。
- 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する方法。
- 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェアを最新状態とする方法。
- ログ等の分析を定期的に行い、不正アクセス等を検知する方法。
- 情報漏えい等の防止
当社は、特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等および情報システムに保存されている特定個人情報等の情報漏えい等を防止するものとする。- 通信経路における情報漏えい等の防止
通信経路の暗号化。 - 情報システムに保存されている特定個人情報等の情報漏えい等の防止策
データの暗号化またはパスワードによる保護。
- 通信経路における情報漏えい等の防止
- アクセス制御
- 第9条 特定個人情報の利用
-
- 個人番号の利用制限
- 当社は、当規程の第5条②(特定個人情報の利用目的)に掲げる利用目的の範囲内のみで利用するものとする。
- 当社は、人の生命、身体または財産の保護のために必要のある場合を除き、本人の同意があったとしても、利用目的を超えて特定個人情報を利用してはならない。
- 特定個人情報ファイルの作成の制限
当社が特定個人情報ファイルを作成するのは、第3条に定める事務を実施するために必要な範囲に限り、これらの場合を除き特定個人情報ファイルを作成しない。 - 利用段階における組織的安全管理措置・人的安全管理措置
特定個人情報の利用段階における組織的安全管理措置および人的安全管理措置は、当規程の第6条「組織的安全管理措置」、「人的安全管理措置」に従うものとする。 - 利用段階における物理的安全管理措置
特定個人情報の利用段階における物理的安全管理措置は、当規程の第7条「物理的安全管理措置」に従うものとする。 - 利用段階における技術的安全管理措置
特定個人情報の利用段階における技術的安全管理措置は、当規程の第8条「技術的安全管理措置」に従うものとする。
- 個人番号の利用制限
- 第10条 特定個人情報の保管
-
- 特定個人情報の正確性と完全性の確保
事務取扱担当者は特定個人情報を当規程の第5条②(特定個人情報の利用目的)に掲げる利用目的の範囲において、正確かつ最新の状態で管理するよう努める。 - 保有個人情報に関する事項の公表等
当社は、個人情報保護法第24条に基づき、特定個人情報に係る保有個人情報に関する事項を本人の知り得る状態に置くものとする。 - 特定個人情報の保管制限
- 当社は、第3条に定める事務の範囲を超えて、特定個人情報を保管してはならない。
- 当社は、所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、支払調書の作成等の個人番号関係事務を行う必要があると認められるため、当該書類だけでなく、届出書類を作成するシステム内においても保管することができる。
- 当社は、番号法上の本人確認の措置を実施する際に掲示を受けた本人確認書類(個人番号カード、通知カード、身分確認書類等)の写しや当社が行政機関等に提出する法定調書等の控えや当該法定調書を作成する上で当社が受領する個人番号が記載された申告書等を特定個人情報として保管する。これらの書類については、法定調書の再作成を行うなど個人番号関係事務の一環として利用する必要があると認められるため、関連する所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間保存する。
- 保管段階における組織的安全管理措置・人的安全管理措置
特定個人情報の保管段階における組織的安全管理措置および人的安全管理措置は、当規程の第6条「組織的安全管理措置」、「人的安全管理措置」に従うものとする。 - 保管段階における物理的安全管理措置
特定個人情報の保管段階における物理的安全管理措置は、当規程の第7条「物理的安全管理措置」に従うものとする。 - 保管段階における技術的安全管理措置
特定個人情報の保管段階における技術的安全管理措置は、当規程の第8条「技術的安全管理措置」に従うものとする。
- 特定個人情報の正確性と完全性の確保
- 第11条 特定個人情報の提供
-
- 特定個人情報の提供制限
当社は、番号法19条各号に掲げる場合を除き、本人の同意の有無にかかわらず、特定個人情報を第三者(法的な人格を超える特定個人情報の移動を意味し、同一法人内部等の法的な人格を超えない特定個人情報の移動は当該しない。)に提供しないものとする。なお、本人の事前同意があっても特定個人情報の第三者への提供ができないことに留意するものとする。 - 提供段階における組織的安全管理措置・人的安全管理措置
特定個人情報の提供段階における組織的安全管理措置および人的安全管理措置は、当規程の第6条「組織的安全管理措置」、「人的安全管理措置」に従うものとする。 - 提供段階における物理的安全管理措置
特定個人情報の提供段階における物理的安全管理措置は、当規程の第7条「物理的安全管理措置」に従うものとする。 - 提供段階における技術的安全管理措置
特定個人情報の提供段階における技術的安全管理措置は、当規程の第8条「技術的安全管理措置」に従うものとする。
- 特定個人情報の提供制限
- 第12条 特定個人情報の開示、訂正等、利用停止等
-
- 特定個人情報の開示
- 当社は、本人から当該本人が識別される特定個人情報に係る保有個人情報について開示を求められた場合は、次項に規定する手続きおよび方法により、遅滞なく、当該情報の情報主体であることを厳格に確認した上で、当該本人が開示を求めてきた範囲内でこれに応ずるものとする。なお、当該本人に法定調書の写し等を送付する際、法定調書の写し等に本人以外の個人番号が含まれている場合には、その部分についてはマスキング等をするものとする。
- 当社は、次の事由に該当する場合には、当該開示請求の全部または一部を不開示することができ、その場合には請求者に対してその旨および理由(根拠とした個人情報の保護に関する法律の条文および判断基準となる事実を示すこととする。)を説明する。
Ⅰ. 本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合。
Ⅱ. 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合。
Ⅲ. 他の法令に違反することとなる場合。
- 保有個人情報の開示請求処理手順
前項に基づき本人またはその代理人(未成年者もしくは成年被後見人の法定代理人、または本人が委任した任意代理人をいう。以下同じ。)から当該本人が識別される特定個人情報等に係る保有個人情報について開示請求を受けた場合は、次の手順で応ずる。- 受付時の確認
所定の様式の書面(請求者の氏名・住所・電話番号、請求年月日、請求に係わる個人情報の内容が記載されているもの)による請求であること。Ⅰ. あらかじめ定めた手数料の負担について請求者が応諾していること。
Ⅱ. 代理人による請求の場合は、所定の委任状によるものであること。
Ⅲ. 郵送による本人確認資料の受領などの場合は、事務取扱責任者が適宜判断する。
- 開示の可否の決定
事務取扱責任者は、次の各号に定める点について、各々検討の上、開示の可否を決定する。Ⅰ. 請求された個人情報が物理的に存在するか否か。
Ⅱ. 同号Ⅰに相当するものが、「保有個人情報」に該当するか否か。
- 不開示の場合の対応
Ⅰ. 前号に基づき保有個人情報の全部または一部を開示しない旨の決定をした時はその旨を通知し、その理由についても説明する。 - 請求者に対する通知時期
Ⅰ. 開示請求する回答(不開示の場合の通知も含む)は書面にて、遅滞なく郵送またはこれに代わる方法により通知する。
- 受付時の確認
- 保有個人情報の訂正等
当社は、当該本人が識別される保有個人情報の内容が事実でないことを理由に当該本人から訂正、追加または削除を求められた場合は、必要な調査を行い、その結果に基づき、遅滞なくこれに応じる。かかる訂正等を行ったとき、または訂正等を行わない旨の決定をしたときは、当該本人に対し、遅滞なくその旨(訂正等を行ったときは、その内容を含む。)を通知する。なお、訂正等を行わない場合または当該本人の求めと異なる措置を取る場合は、その判断の根拠およびその根拠となる事実を示し、その理由を説明する。 - 保有個人情報の訂正等処理手順
- 前項に基づき、開示の結果、特定個人情報等に係る保有個人情報が事実ではないとして、訂正、追加または削除(以下「訂正等」と総称する。)を求められた場合は、次の手順で応ずる。
Ⅰ. 当該請求者に対し、訂正等すべき内容が事実である旨を証明できる資料の提出を求める。
Ⅱ. 事務取扱責任者は、提出された資料に基づき、利用目的の達成に必要な範囲内において遅滞なく必要な調査を行い、訂正等を行うかどうかを決定する。
Ⅲ. 検討した結果については、遅滞なく当該請求者に対して書面にて郵送または、これに代わる方法により通知する。また訂正等の措置を取らない場合は、判断根拠および根拠となる事実を示し、その理由についても説明する。
- 特定個人情報に係る保有する個人情報の訂正等は、次に掲げる各号に従って行わなければならない。
Ⅰ. 事務取扱責任者は、当該保有個人情報を取り扱う事務取扱担当者を特定し、その者以外の者に訂正等作業をさせてはならない。
Ⅱ. 事務取扱担当者は、訂正等の作業を事務取扱責任者の指示に従って行い、事務取扱責任者が作業結果を確認する。
Ⅲ. 事務取扱責任者は、更新理由、訂正等の申請者、訂正等の日付、事務取扱担当者および訂正等の内容を記録し1年間保管する。
- 前項に基づき、開示の結果、特定個人情報等に係る保有個人情報が事実ではないとして、訂正、追加または削除(以下「訂正等」と総称する。)を求められた場合は、次の手順で応ずる。
- 保有個人情報の利用停止等
- 当社は、本人から、当該本人が識別される保有個人情報が、個人情報保護法第16条の規定に違反して取得されているという理由、同法第17条の規定に違反して取り扱われたものであるという理由または番号法第19条の規定に違反して第三者に提供されているという理由によって、当該保有個人情報の利用の停止、消去または第三者への提供の停止を求められた場合であって、利用停止等に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該特定個人情報の利用停止等を行う。ただし、利用停止等を行う事に多額の費用を要する場合その他利用停止等を行うことが困難な場合であって、当該本人の権利利益を保護するためにこれに代わるべき措置をとるときは、この限りではない。
- 前号の規定に基づき求められた利用停止等の全部または一部を行ったとき、もしくは行わない旨を決定したときは、本人に対し、遅滞なく、その旨を(当該本人から求められた措置と異なる措置を行う場合にはその措置の内容を含む)通知する。なお、利用停止を行わない場合、または本人の求めと異なる措置をとる場合は、その判断の根拠およびその根拠となる事実を示し、その理由を説明する。
- 開示等を求める手続きおよび手数料
- 当社は、特定個人情報等に関して、個人情報保護法第29条第1項の開示等の求めを受け付ける方法を定めた場合には、「特定個人情報基本方針」と一体としてインターネットのホームページ等での常時掲載を行う。
- 開示の求めをする者が本人または代理人であることの確認の方法を定めるにあたっては、十分かつ適切な確認手続きとするよう留意する。
- 個人情報保護法第30条に従い、手数料を徴収する場合には、同様の内容の開示等手続きの平均的実施の予測に基づき、合理的な手数料額を算定する等の方法により、実費を勘案して合理的であると認められる範囲において手数料の額を定める。
- 特定個人情報の開示
- 第13条 特定個人情報の廃棄・削除
-
- 特定個人情報の廃棄・削除
当社は、第3条に規定する事務処理をする必要がある範囲内に限り特定個人情報等を収集または保管し続ける事ができる。なお、書類等について所管法令によって一定期間保存が義務付けられているものについては、これらに記載された個人番号については、その期間保管し、それらの事務を処理する必要がなくなった場合で、所管法令において定められた保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄または削除する。 - 廃棄・削除段階における組織的安全管理措置・人的安全管理措置
特定個人情報の廃棄・削除段階における組織的安全管理措置および人的安全管理措置は、当規程の第6条「組織的安全管理措置」、「人的安全管理措置」に従うものとする。 - 廃棄・削除段階における物理的安全管理措置
特定個人情報の廃棄・削除段階における物理的安全管理措置は、当規程の第7条「物理的安全管理措置」④「廃棄・削除段階における物理的安全管理措置」に従うものとする。 - 廃棄・削除段階における技術的安全管理措置
特定個人情報の廃棄・削除段階における技術的安全管理措置は、当規程の第8条「技術的安全管理措置」に従うものとする。
- 特定個人情報の廃棄・削除
- 第14条 特定個人情報の委託の取扱い
-
委託先における安全管理措置
- 当社は、個人番号関係事務または個人番号利用事務の全部または一部の委託をする場合には、当社が自ら果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう、必要かつ適切な監督を行うものとする。
- 前項の「必要かつ適切な監督」には次に掲げる事項が含まれる。
- 委託先の適切な選定
- 委託先に安全管理措置を遵守させるために必要な契約の締結
- 委託先における特定個人情報の取り扱い状況の把握
- 「委託先の選定」としては、次の事項等について特定個人情報の保護に関して当社が定める水準を満たしているかについて、あらかじめ確認する。
- 設備
- 技術水準
- 従事者(事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務している者。)に対する監督・教育の状況
- 経営環境状況
- 特定個人情報の安全管理状況
- 「委託先に安全管理措置を遵守させるために必要な契約の締結」について、委託契約の内容として以下の規定等を盛り込む。
- 秘密保持義務に関する規定
- 事業者内から特定個人情報の持ち出し禁止
- 特定個人情報の目的外利用の禁止
- 再委託における条件
- 漏えい事案等が発生した場合の委託先の責任に関する規定
- 委託契約終了後の特定個人情報の返却または廃棄に関する規定
- 従業者に対する監督・教育に関する規定
- 契約内容の遵守状況について報告を求める規定に関する規定
- 特定個人情報を取り扱う従業者の明確化に関する規定
- 委託者が委託先に対して実地の調査を行うことができる規定
- 当社は、委託先の管理については、業務部を責任部署とする。
- 当社は、委託先において特定個人情報の安全管理が適切に行われていることについて年に1回および必要に応じてモニタリングする。
- 当社は、委託先において情報漏えい事故等が発生した場合に、適切な対応がなされ、速やかに当社に報告される体制になっていることを確認する。
- 委託先は、当社の許諾を得た場合に限り、委託を受けた個人番号関係事務または個人番号利用事務の全部または一部を再委託できる。
- 当社は、再委託先の適否の判断のみならず、委託先が再委託先に対しても必要かつ適切な監督を行っているかどうかについても監督する。
- 当社は、委託先が再委託する場合、当該再委託契約内容として、同条④と同等の規定内容等を盛り込ませる。
- 第15条 その他
-
- 改廃
必要に応じて、本規程を改廃するものとする。 - 附則
本規程は、2024年6月1日より施行する。
- 改廃
(制定、改正経過)
2024年6月 1日 制 定