個人情報管理規則
制定日 平成17年4月1日
改正日 平成31年3月31日
第1章 総則
第1条 (目的)
この規則は、当社が保有する個人情報の管理に関する基本的事項を定め、個人の権利利益を保護することを目的とする。
2、個人情報が、「行政手続における特定の個人を識別するための番号の利用等に関する法律」が定める特定個人情報に該当する場合は、特定個人情報取扱規則の定めるところによるものとし、同規則に定めがない事項については、この規則の定めるところによる。
3、個々の業務に係る個人情報の管理について、やむを得ない理由により、所要の手続きを経て格別の定めを設けた場合は、前2項の規定にかかわらず、当該業務に係る個人情報の管理については、この規則の定めるところによらないことができる。
第2条 (定義)
この規則における用語の意義は、次の各号のとおりとする。
1、「個人情報」とは、生存する個人に関する情報であって、次のaまたはbのいずれかに該当するものをいう。
a、当該情報に含まれる氏名、生年月日その他の記述等。(文書、図画もしくは電磁的記録に記載され、もしくは記録され、または音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
b、個人識別符号が含まれるもの。
2、「個人識別符号」とは、次のaまたはbのいずれかに該当する文字、番号、記号その他の符号をいう。
a、特定の個人の身体の一部の特徴をコンピュータで処理することができるように変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの。
b、旅券の番号、基礎年金番号、運転免許証の番号、住民票コード、個人番号(マイナンバー)、各種社会保険の被保険者証の記号、番号および保険者番号その他法令で定めるもの。
3、「要配慮個人番号」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法令で定める記述等が含まれる個人情報をいう。
4、「個人情報データベース等」とは、個人情報を含む情報の集合物であって、コンピュータ、目次、索引等により特定の個人情報を検索することができるように体系的に構成したもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして法令で定めるものを除く。)をいう。
5、「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、国の機関等、法令に定めるものを除く。
6、「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
7、「保有個人データ」とは、当社が開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データをいう。ただし、6カ月以内に消去するもの、およびその存否が明らかになることにより本人に危害が及ぶおそれがあるものや公益その他の利益が害されるものなど法令に定めるものを除く。
8、「本人」とは、個人情報によって識別される特定の個人をいう。
「匿名加工情報」とは、次のaまたはbに掲げる個人情報の区分に応じて当該aまたはbに定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
a、第1号aに該当する個人情報
当該個人情報に含まれる記述等の一部を削除すること (当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に書き換えることを含む。)
b、第1号bに該当する個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
第3条 (安全管理措置)
当社は、個人情報の漏洩、滅失または毀損の防止その他の個人情報の安全管理のために、組織的、人的、物理的および技術的な安全管理措置を講じるものとする。
第4条 (責任体制)
個人情報の適正な取扱いを確保しその漏洩等を防止するため、次の各号のとおり管理者および責任者を置く。
a、個人情報保護管理者 総務部担当役員
b、個人情報部門管理者 個人情報を保持する部門の部長
c、個人情報取扱責任者 個人情報を保持する部門の課長
d、監査責任者 防長交通株式会社 経理部長
e、この規則に定める個人情報に関する各種の請求等を受け付け、前項の管理者および責任者と連携してその取扱いを行う個人情報保護に関する事務局を、総務部に置く。
第5条 (管理者および責任者の任務)
個人情報保護管理者は、最高責任者として個人情報保護に関する事項を総括する。
2、個人情報部門管理者は、所属する部門の担当役員の指揮の下、個人情報の取得、利用、廃棄などの適否を判断するとともに、所属員および個人データ取扱委託先を監督することをその任務とする。
3、個人情報取扱責任者は、個人情報の漏洩、滅失または毀損の防止その他個人情報の安全な管理のため必要かつ適切な措置を講じるとともに、個人情報部門管理者を補佐して所属員および個人データ取扱委託先を監督することをその任務とする。
第2章 個人情報の取扱い
第6条 (個人情報の取扱い)
個人情報を取り扱うにあたっては、利用目的をできる限り具体的かつ個別的に定めなければならない。
第3章 個人情報の取得
第7条 (適正な取得)
個人情報の取得は、利用目的を達成するのに必要な範囲内で適切な方法によらなければならない。
2、法令に定める場合を除き、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
3、個人情報を取得する場合は、あらかじめその利用目的、情報の種別、取得の方法等につき個人情報部門管理者の承認を得なければならない。
第8条 (取得に際しての利用目的の通知等)
個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、すみやかにその利用目的を本人に通知し、または公表しなければならない。
2、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体または財産の保護のために緊急に必要がある場合は、この限りでない。
3、前2項の規定は、次の各号に掲げる場合については適用しない。
a、利用目的を本人に通知し、または公表することにより本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合。
b、利用目的を本人に通知し、または公表することにより当社の権利または正当な利益を害するおそれがある場合。
c、国の機関または地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、または公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
d、取得の状況からみて利用目的が明らかであると認められる場合。
第4章 個人情報の利用
第9条 (利用の制限)
あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3、前2項の規定は、次の各号に掲げる場合については、適用しない。
a、法令に基づく場合
b、人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
c、公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
d、国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
第10条 (利用目的の変更)
利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行てはならない。
2、利用目的を変更した場合は、変更された利用目的について、本人に通知し、または公表しなければならない。
3、前項の規定は、第8条第3項各号に掲げる場合については、適用しない。
第5章 個人データの管理
第11条 (データ内容の正確性の確保等)
個人データは、利用目的を達成するのに必要な範囲内において、正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。ただし法令の定めにより保存期間が定められている場合は、この限りでない。
第12条 (所属員の監督)
個人情報部門管理者および個人情報取扱責任者は、所属員に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう当該所属員に対する必要かつ適切な監督を行わなければならない。
第13条 (委託先の監督)
個人データの取扱いの全部または一部を社外に委託する場合は、信頼の置ける相手先を選定し、事前に個人情報部門管理者から委託に関する承認を得たうえで、委託先となる第三者と秘密保持契約を締結するなど情報漏洩の起こらないように十分な措置を講じなければならない。
2、個人情報部門管理者は、個人データの取扱いの全部または一部を社外に委託する場合は、その取扱いを委託した個人データの安全管理が図られるよう委託先に対する必要かつ適切な監督を行わなければならない。
第14条 (第三者提供の制限)
第9条第3項各号に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
2、次の各号に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。
a、利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託することに伴って当該個人データが提供される場合
b、合併その他の事由による事業の承継に伴って個人データが提供される場合
c、特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨ならびに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的および当該個人データの管理について責任を有する者の氏名または名称について、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置いているとき
3、前項第3号に規定する利用する者の利用目的または個人データの管理について責任を有する者の氏名もしくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置かなければならない。
4、第1項よりあらかじめ本人の同意を得て個人データを第三者に提供する場合は、当該個人データを提供した年月日、当該第三者の氏名または名称、住所等所定の事項を記録し、一定期間保存しなければならない。
第15条 (第三者提供を受ける際の制限)
第9条第3項各号に掲げる場合を除くほか、あらかじめ当社への提供に関する本人の同意を得ていない個人データについては、第三者からの提供を受けてはならない。
2、次の各号に掲げる場合において、当該個人データを提供する者は、前項の規定の適用については、第三者に該当しないものとする。
a、利用目的の達成に必要な範囲内において個人データの取扱いの全部または-部を委託することに伴って当該個人データを提供する場合
b、合併その他の事由による事業の承継に伴って個人データを提供する場合
c、当社との間で共同して利用される個人データを当社に提供する場合
3、第1項によりあらかじめ本人の同意を得ている個人データの提供を第三者から受ける場合は、当該第三者の氏名または名称などの事項の確認を行なければならない
4、前項の規定による確認を行ったときは、その記録を作成するともに一定期間保存しなければならない。
第6章 保有個人データの開示等
第16条 (保有個人データに関する事項の公表等)
個人情報部門管理者は、保有個人データに関し、次の各号に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
a、当社の名称
b、すべての保有個人データの利用目的(第8条第3項第1号ないし第3号に該当する場合を除く。)
c、利用目的の通知の求めまたは保有個人データの開示、訂正、追加、削除、利用停止、消去もしくは第三者提供の停止の請求に応じる手続(第24条の規定により徴収する手数料額を含む。)
d、当社が行う保有個人データの取扱いに関する苦情の申出先
2、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく
これを通知しなければならない。ただし、次の各号に掲げる場合は、この限りでない。
a、前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
b、第8条第3項第1号ないし第3号に該当する場合
3、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し遅滞
なくその旨を通知しなければならない。
第17条 (情報の開示)
本人から、当該本人が識別される保有個人データの開示の請求を受けたときは、本人に対し、書面(開示の請求を行った者が同意した方法があるときは当該方法)により遅滞なく当該保有個人データを開示しなければならない。
ただし、次の各号に掲げる場合は、この限りでない。
a、本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
b、当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
c、法令に違反することとなる場合
2、前項の規定による請求に係る保有個人データの全部または一部について開示しない旨の決定をしたときまたは当該保有個人データが存在しないときは、本人に対し遅滞なくその旨を通知しなければならない。
3、法令の規定により、本人に対し第1項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部または一部を開示することとされている場合には、当該全部または一部の保有個人データについては、同項の規定は適用しない。
第18条 (情報の訂正等)
本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって、当該保有個人データの内容の訂正、追加または削除(以下「訂正等」という。)の請求を受けた場合には、その内容の訂正等に関して法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
2、前項の規定による請求に係る保有個人データの内容の全部もしくは-部について訂正等を行ったとき、または訂正等を行わない旨の決定をしたときは、本人に対し遅滞なくその旨(訂正等を行ったときはその内容を含む。)を通知しなければならない。
第19条 (情報の利用停止等)
本人から、当該本人が識別される保有個人データが、利用目的の達成に必要な範囲を超えて取り扱われているという理由または偽りその他不正の手段によって取得されたという理由によって、当該保有個人データの利用停止または消去(以下「利用停止等」という。)の請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で遅滞なく当該保有個人データの利用停止等を行わなければならない。
2、本人から、当該本人が識別される保有個人データが第14条第1項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく当該保有個人データの第三者への提供を停止しなければならない。
3、前2項の規定にかかわらず、当該保有個人データの利用停止等または第三者提供の停止に多額の費用を要する場合など、利用停止等または第三者提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、前2項による本人の請求に応じないことができる。
4、第1項の規定による請求に係る保有個人データの全部もしくは一部について利用停止等を行ったときもしくは利用停止等を行わない旨の決定をしたとき、または第2項の規定による請求に係る保有個人データの全部もしくは一部について第三者への提供を停止したときもしくは第三者への提供を停止しない旨の決定をしたときは、本人に対し遅滞なくその旨を通知しなければならない。
第20条 (開示等の請求等に応じる手続)
保有個人データに関する利用目的の通知の求めまたは開示、訂正等、利用停止等もしくは第三者提供の停止の請求(以下「開示等の請求等」という。)に応じる手続については、別途定める。ただし、次の各号に掲げる項目を含むものとする。
a、開示等の請求などの申出先
b、開示等の請求等に際して提出すべき書面(電磁的記録を含む。)の様式その他の開示等の請求等の方式
c、本人または代理人であることの確認方法
d、第23条の規定により徴収する手数料の額および徴収方法
第21条 (代理人)
開示等の請求等は、次の各号に掲げる代理人もこれを行うことができる。
a、未成年者または成年被後見人の法定代理人
b、開示等の請求等をすることにつき本人が委任した代理人
第22条 (本人確認等)
本人または代理人から開示等の請求等があった場合、公的証明書等により本人または代理人であることを確認しなければならない。
第23条 (手数料)
当社は、保有個人データに関する利用目的の通知の求めまたは開示の請求を受け付ける場合には、別に定める額の手数料を、本人または代理人から徴収するものとする。
第7章 匿名加工情報
第24条 (匿名加工情報の取扱い)
匿名加工情報の取扱いについては、第25条ないし第29条による。
第25条 (適正な加工)
匿名加工情報を作成しようとするときは、あらかじめ、総務部にその旨を報告しなければならない。
2、匿名加工情報を作成するときは、特定の個人を識別することおよびその作成に用いる個人情報を復元することができないように加工しなければならない。
第26条 (安全管理措置)
匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等および個人識別符号ならびに加工の方法に関する情報の漏洩を防止するため、安全管理措置を講じなければならない。
第27条 (作成時の公表)
匿名加工情報を作成したときは、匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
第28条 (第三者提供)
匿名加工情報を第三者に提供するときは、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目およびその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
第29条 (識別行為の禁止)
匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等もしくは個人識別符号もしくは匿名加工情報の作成において行われた加工の方法に関する情報を取得し、または当該匿名加工情報を他の情報と照合してはならない。
第8章 個人情報管理者会議
第30条 (個人情報管理者会議の設置)
当社は、個人情報管理の徹底を図るため、個人情報管理者会議(以下「管理者会議」という。)を設置する。
2、管理者会議は、個人情報保護体制の整備計画および社員等への教育計画の策定など、当社の個人情報保護に係る基本的事項を決定する。
3、管理者会議は、個人情報保護管理者を議長、個人情報部門管理者を構成員とし、議長の招集により年1回以上開催する。
4、管理者会議の事務局は、総務部に置く。
5、議長は、必要に応じ、構成員以外の者を管理者会議に出席させることができる。
第9章 教育
第31条 (教育)
個人情報部門管理者および個人情報取扱責任者は、個人情報の保護の重要性を理解させ、その実践を徹底するため、所属員に対し継続的かつ定期的に教育を行うものとする。
第10章 監査
第32条 (監査の実施)
監査責任者は、個人情報保護の社内体制とその運用状況について、監査員を指揮して監査を実施する。
第11章 異例時の対応
第33条 (異例時の対応)
個人情報が漏洩した場合またはそのおそれが予見される場合など(以下「個人情報漏洩等」という。)当社の個人情報管理体制に問題が発生した場合には、個人情報保護管理者は、直ちに個人情報問題対策本部(以下「対策本部」という。)を設置する。
2、前項の対策本部は、次の各号に掲げる構成員でこれを構成することとし、個人情報漏洩等の原因究明調査の実施方法、再発防止の対策などを協議のうえ決定する。
a、個人情報保護管理者
b、個人情報漏洩等が発生した部門の担当役員および個人情報部門管理者
c、総務部長
d、営業部長など関係部長
3、本部長は、個人情報保護管理者がこれに当たこととし個人情報漏洩等に関し対外的な報道、調整が必要となる場合に、対策本部の最高責任者としてこれを行う。
4、個人情報漏洩等が発生した部門の担当役員は、本部長を補佐し、事態の早期解決および問題の再発防止を図るとともに、同部門の個人情報部門管理者に対し、必要に応じ指示を行う。
5、総務部長および第2項第4号の関係部長は対策本部の事務局を構成し、総務部長を事務局長として、対策本部の庶務に従事する。
6、個人情報漏洩等の発生した部門の個人情報部門管理者は、当該部門の担当役員の指示により、関係する個人情報取扱責任者と連携して個人情報漏洩等の原因究明調査を行い、その結果を担当役員に報告するほか、関係官庁または関係企業等への届出および報告を行う。
7、個人情報部門管理者は、他社における漏洩事案等を踏まえ、類似事例の発生防止のために必要な措置の検討を行う。