5 当法人の所有でない記録機能を有するスマートフォン、USBメモリ、ハードディスクドライブ等の機器は、当法人の機器に接続してはならない。
一般社団法人日本ボッチャ協会
個人番号(マイナンバー)及び個人情報保護規程
第1章 総則
(目的)
第1条 この規程は、一般社団法人日本ボッチャ協会(以下「当法人」という。)における個人番号及び個人情報の取り扱いを定めることを目的とする。
(定義)
第2条 この規程において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
(1)個人情報保護法 個人情報の保護に関する法律(平成15年5月30日法律第57号)をいう。
(2)番号法 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年5月31日法律第27号)をいう。
(3)個人情報 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(4)個人情報ファイル 個人情報を含む情報の集合物であって、次に揚げるものをいう。
ア 特定の個人情報を、電子計算機を用いて検索することができるように体系的に構成したもの。
イ 前号に揚げるもののほか、含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの。
(5)個人番号 番号法第2条第5号に規定する個人番号(番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるもの。)をいう。
(6)特定個人情報 個人番号をその内容に含む個人情報をいう。
(7)特定個人情報ファイル 特定個人情報を含む個人情報ファイルをいう。ただし、個人番号関係事務以外の事務において、個人番号にアクセスできないよう適切にアクセス制御を行うものは、これに該当しない。
(8)個人データ 個人情報ファイルを構成する個人情報をいう。
(9)保有個人データ 当法人が、開示、内容の訂正、追加及び削除、利用の停止、消去並びに第三者への提供停止の全てを行うことができる権限を有する個人データをいう。ただし、以下に揚げるものは除く。
ア 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
イ 当該個人データの存否が明らかになることにより、違法又は不法な行為を助長し、又は誘発するおそれのあるもの
ウ 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国もしくは国債期間との交渉上不利益を被るおそれのあるもの
エ 当該個人情報の存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
オ 6箇月以内に消去(更新を除く。)することとなるもの
(10)機微情報 次に揚げるものをいう。ア 思想、信条及び宗教に関する事項
イ 人種、民族、門地、本籍地(所在都道府県に関する情報のみの場合を除く。)、身体・精神障害、犯罪歴、犯罪により害を被った事実
ウ 勤労者の団結権、団体交渉その他団体行動の行為に関する事項
エ 集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項オ 病歴その他の保健医療又は性生活に関する事項
カ 収入、家族関係
キ その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱に特に配慮を要するものとして別に定める事項
(11)本人 個人番号によって識別される特定の個人をいう。
(12)職員 当法人の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいう。雇用関係にある従業員(常勤職員、契約職員、嘱託職員、パート職員、アルバイト職員等)のみならず、派遣職員、理事、監事のほか、請負契約又は委任契約に基づき当法人の業務を遂行する者のうち、当法人の事業所において業務に従事するものを含まれる。
(13)個人番号利用事務 行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第9条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的 に検索し、及び管理するために必要な限度で特定個人情報を利用して処理する事務をいう。
(14)個人番号関係事務 番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(15)本人の同意 本人の個人情報が、当法人によって示された取扱方法で取り扱われることを承諾する旨の当該本人(次に揚げる代理人を含む。)による意思表示をいう。
ア 未xx者又はxx被後見人の法定代理人
イ 同意をすることにつき本人が委任した代理人
第2章 安全管理措置第1節 総論
(安全管理措置)
第3条 当法人は、安全管理措置を講じなければならない。
2 前項に規定する安全管理措置は、本人の個人情報(特定個人情報を含む。以下この章において同じ。)が漏えい、滅失又はき損等をした場合に本人が被る権利の侵害の規模を考慮し、事業及び組織の性質、取り 扱う個人情報の性質等並びにこれらに起因するリスクに応じた、必要かつ適切な措置でなければならない。
(職員の監督)
第4条 取扱責任者は、その職員に個人情報を取り扱わせるに当たっては、当該個人情報の安全管理が図れるよう、当該職員に対する必要かつ適切な監督を行わなければならない。
(委託先の監督)
第5条 取扱責任者は、個人情報の取扱事務又は個人番号関係事務の全部又は一部を委託する場合は、その取扱いを委託された個人情報の安全管理が図れるよう、委託を受けた者(以下「委託先」という。)に対
する必要かつ適切な監督を行わなければならない。
2 前項の必要かつ適切な監督には、次に揚げる事項を含む。
(1)委託先の適切な選定
(2)委託先に安全管理措置を遵守させるために必要な契約の締結
(3)委託先における個人情報の取扱状況の把握
(4)受託者による再委託(再委託を受けた者が当該個人情報の取扱いの全部又は一部を委託する場合を含む。)先の安全管理に関する監督のために必要な措置
3 委託先の選定については、次に揚げる事項について当法人が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。
(1)委託先の設備
(2)技術水準
(3)職員に対する監督・教育の状況
4 第1項に規定する場合、委託先との間で次の事項を記載した契約を締結しなければならない。
(1)特定個人情報に関する秘密保持義務
(2)特定個人情報の目的外利用の禁止
(3)再委託の禁止
(4)漏洩事案等が発生した場合の委託先の責任
(5)委託契約終了後の特定個人情報の返却又は廃棄
(6)職員に対する監督・教育
(7)契約内容の遵守状況についての報告
5 個人番号関係事務を委託せず、個人情報の保管管理のみを委託する場合であって、契約によって委託先が個人番号をその内容に含む電子データを取り扱わない旨を定め、かつ適切にアクセス制御を行っているときは、第1項を適用しない。この場合、当法人は安全管理措置について直接これを行う責務を有する。
第2節 組織体制の整備
(代表理事の責務)
第6条 代表理事は、当法人における個人情報の保護に関して善良なる管理者としての注意義務及びxx義務を負い、信頼の原則のもと個人情報の取扱いの状況を把握し、講ずべき安全管理措置があると認めるときは、所管事項の決定又は理事会への提案その他所要の措置を講じなければならない。
(取扱責任者の責務)
第7条 事務局長をもって取扱責任者とする。
2 取扱責任者は、個人情報の取扱事務の管理に関する事項を行う。
(事務担当者の責務)
第8条 事務担当者は、取扱責任者が指名する。
2 事務担当者は、取扱責任者に指定された個人情報の取扱事務の範囲に限り、業務を行う。
3 事務担当者は、次に揚げる場合を除き、個人情報を何人(他の職員を含む。)に対しても提示、媒体の交付及び送信等その知り得る状態にしてはならない。
(1)監査のため必要があるとき
(2)取扱責任者から事務処理方法の指示を受けるために必要があるとき
(3)事故等の発生の兆候若しくは発生のため、取扱責任者が調査するため必要があるとき
4 事務担当者は、個人情報の取扱いに関する留意事項について、定期的に教育研修を受けなければならない。
5 事務担当者が変更(退職を含む。)となった場合は、確実な引継ぎを行い、取扱責任者が引継ぎの完了を確認しなければならない。
(職員の責務)
第9条 職員は、個人情報に関する法令及び当法人の規程等に並びに取扱責任者その他上長の指示に従って、個人情報を取り扱わなければならない。
2 取扱責任者及び事務担当者以外の職員は、個人番号関係事務に従事することができず、他の者に対し、個人番号が記載された書面の提示又は提供を求めてはならず、メモ、コピー、データコピーその他手段を問わず、他の者の個人番号を保管してはならない。
3 職員は、当法人が管理する個人情報について、この規程に基づき指定された業務として行う場合を除き、当法人の業務に従事している間だけでなく、退職後も、当法人の職員を含む他者に開示漏えいしてはならず、自己のため又は第三者のために使用してはならない。
4 当法人は、職員に対して、個人情報の保護及び適正な取扱いに関する誓約書の提出を命じることができる。
5 当法人に個人番号を提供した職員は、個人番号が変更になったときは、速やかに事務担当者に変更後の個人番号を提供しなければならない。
(利用実績等記録の保持)
第10条 取扱責任者は、個人情報の取扱状況の分かる記録が保存されるように管理する。
2 前項の記録について必要な事項は、取扱責任者が別に定める。
(点検)
第11条 取扱責任者は、個人情報の取扱状況について、その取扱が適法かつ適切に行われているかについて年に1回、点検を行う。ただし、監事が個人情報の取扱状況について監査を行った年については、この限りでない。
(見直し)
第12条 代表理事は、前条の点検又は監査の結果のほか、個人情報の取扱いに関する法令の制定・改正、社会通念の変化及び情報技術の進歩等の社会情勢の変化に応じて、定期的に安全管理措置の見直し及び改善(理事会の決議を要する場合は、理事会への提案を含む。)を行う。
2 理事会その他の決定権限を有するものは、前条の点検又は監査の報告、監事の意見及び前項の提案その他の判断材料に基づき必要と認める改善を決定しなければならない。
(事故等の発生の兆候の報告)
第13条 次に揚げる者は、事故等の発生の兆候を把握した場合は、当該各号に定める者に対し、直ちに直接その旨報告しなければならない。
(1)取扱責任者 代表理事
(2)事務担当者 取扱責任者
(3)職員 上長又は取扱責任者
(事故等の発生の報告)
第14条 次に揚げる者は、事故等の発生を把握した場合は、当該各号に定める者に対し、直ちに直接その旨報告しなければならない。
(1)代表理事 監事
(2)取扱責任者 代表理事
(3)事務担当者 取扱責任者
(4)職員 上長又は取扱責任者第3x x的安全管理措置
(人的安全管理措置)
第15条 取扱責任者は、個人情報が規程等に基づき適正に取り扱われるよう、事務担当者その他の職員に対して必要かつ適切な監督を行わなければならない。
2 取扱責任者は、事務担当者その他の職員に、個人情報の適正な取り扱いを周知徹底するとともに適切な教育を行わなければならない。
第4節 物理的安全管理措置
(物理的安全管理措置)
第16条 物理的安全管理措置として、次に揚げる事項を検討し、必要かつ適切な措置を講じる。
(1)特定個人情報ファイルを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)の明確化に基づく入退室管理等の安全管理措置
(2)個人情報の記録された機器、電子媒体及び書類等の盗難及び破損等の防止
(3)個人情報の記録された電子媒体等の持ち出しに係る漏えい等の防止
(4)個人情報ファイルの削除並びにこれらを記録した機器及び電子媒体等の廃棄についての確認措置
(5)その他必要と認める措置
(管理区域及び取扱区域の明確化に基づく入退室管理等の安全管理措置) 第17条 管理区域及び取扱区域については、取扱責任者が区画を指定する。
2 管理区域については、入退室管理を行うとともに、機器等の持ち込みを制限する。
3 取扱区域については、壁又は間仕切り等の設置及び座席配置の工夫等により個人情報の安全管理を図る。
(個人情報並びにその記録された機器、電子媒体及び書類等の盗難及び破損等の防止)
第18条 管理区域及び取扱区域に最初に入室し又は最後に退室する者は、それぞれ施錠を解除し又は施錠しなければならない。
2 個人情報を記載した電子媒体及び書類は、施錠できる保管場所に保管しなければならない。
3 情報機器は、セキュリティワイヤー等により固定し、又は施錠できる保管場所に保管しなければならない。
4 個人情報を記載した書類、媒体等を机上に放置してはならない。取扱区域である会議室において業務を行う際には、入退室の都度、施錠を行う。
5 当法人の所有でない記録機能を有するスマートフォン、USBメモリ、ハードディスクドライブ等の機器は、当法人の機器に接続してはならない。
6 取扱責任者による指定がある場合を除き、クラウドサービスに個人情報ファイルを保存してはならない。
7 個人情報に係る電子ファイルについては、定期的にバックアップを行う。
(情報機器及び電子媒体等の持ち出し)
第19条 個人情報を記録した電子媒体等及び情報機器は、これを取扱区域の外へ持ち出してはならない。
2 個人情報を記録した書類は、提出先の個人番号利用事務実施者へ提出するときに限り、これを取扱区域から持ち出すことができる。この場合において、当該書類は、封筒に封入し、鞄に入れて搬送するものとする。
(削除・廃棄の確認)
第20条 個人情報ファイルの削除並びにこれらを記録した機器及び電子媒体等の廃棄については、取扱責任者が確認を行う。
第5節 技術的安全管理措置
(技術的安全管理措置)
第21条 個人情報ファイルを扱う情報機器及び情報システムについては、次に揚げる適切な措置を講じる。
(1)取扱責任者は、当該情報機器及び情報システムを使用し又は使用させるときは、ユーザーID及びパスワードによるアクセス権を設定して、当該アクセス権を職員ごとに付与しなければならない。
(2)職員は、取扱責任者から付与されたアクセス権に基づき情報機器及び情報システムにアクセスし、他の職員にアクセス権を漏えいしたり、他の職員のアクセス権を盗用したりしてはならない。また職員は、認証情報であるパスワードを定期的に変更し、当該変更の都度取扱責任者に変更後のパスワードを通知しなければならない。
(3)取扱責任者及び職員は、外部からの不正ソフトウエア等から保護するため、当該情報機器にウイルス対策ソフトウエアを導入し1箇月ごとに更新しなければならない。
(4)取扱責任者は、外部からの不正アクセスを防止するため、所内通信回線と外部ネットワークとの間にファイアーウォールを設置しなければならない。
(5)取扱責任者及び職員は、外部へ個人情報ファイル(特定個人情報ファイルを除く。)を送信する場合には、情報漏洩の防止策として当該個人情報ファイルにパスワードを設定しなければならない。また取扱責任者及び職員は、外部へ特定個人情報ファイルを送信する場合には、情報漏洩の防止策として当該特定個人情報ファイルを暗号化しなければならない。
(6)取扱責任者及び職員は、前各号に掲げるもののほか必要と認める措置を講じなければならない。第3章 特定個人情報の取扱い
(個人番号を取り扱う事務の範囲)
第22条 当法人において個人番号を取り扱う事務は、職員及び取引先に係る源泉徴収事務及び労働社会保険関係事務に限定する。
(特定個人情報の範囲)
第23条 当法人において特定個人情報の範囲は、次に揚げる情報とする。
(1)個人の氏名、住所、生年月日、職業の有無、勤務先名、年間収入
(2)(1)に記載する事項の他、当該個人の給与所得者の扶養控除等(異動)申告書に記載される事項
(個人番号の取得)
第24条 当法人は、第22条に規定する事務を処理するために必要がある場合に限り、本人又は他の個人番号関 係事務実施者若しくは個人番号利用事務実施者に対して個人番号の提供を求めることができるものとする。
2 個人番号の提供を求める時期は、原則として個人番号を取り扱う事務が発生したときとする。ただし、個人番号を取り扱う事務が発生することが明らかなときは、契約等の締結時に個人番号の提供を求めることができるものとする。
3 当法人は、本人又は代理人から個人番号を受けたときは、関係法令等に基づき本人確認を行うこととする。
(特定個人情報ファイルの保存)
第25条 当法人は、第22条に規定する事務を処理するために必要な場合に限り、特定個人情報ファイルを作成する。
2 当法人は、第22条に規定する事務が終了するまでの間特定個人情報等を保管する。ただし、所管法令等により保存期間が定められているものについては、当該期間を経過するまでの間、特定個人情報等を保管する。
3 特定個人情報等を取り扱う機器、磁気媒体等及び書類等は、特定個人情報等の漏えい、滅失又は毀損の防止その他の安全管理の確保のため、次に揚げる方法により保管又は管理する。
(1)特定個人情報ファイルは、パスワードを付与する等の保護措置を講じたうえで保存し、当該パスワードを適切に管理する。
(2)特定個人情報等を含む磁気媒体及び書類は、第26条第1項の規定により個人番号利用事務実施者に提供し、又は第26条第2項に規定する場合のため作成するときを除いて、これを作成しない。
(特定個人情報等の提供)
第26条 当法人にて保有する特定個人情報等の提供は、第22条に規定する事務に限るものとする。
2 前項の規定にかかわらず、災害等の事由により生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるときは、前項の規定にかかわらず当法人で保有している特定個人情報等を提供することができる。
3 当法人にて保有する特定個人情報等については、適法かつ合理的な範囲に限り開示することとし、特定個人情報等の本人より訂正の申出があったときは、速やかに対応する。
4 特定個人情報等が違法に第三者に提供されていることを知った本人からその提供の停止が求められた場合であって、その求めに理由があることが判明したときは、第三者への提供を停止する。
(特定個人情報等の削除、廃棄)
第27条 当法人は、第30条第1項に規定する保管期間を経過した書類等について、次の通り速やかに廃棄する。
(1)特定個人情報等を含む書類の廃棄は、溶解等の復元不可能な手法により廃棄する。
(2)特定個人情報ファイルは、情報システムから消去されたことを確認する。
2 当法人は、特定個人情報ファイルが外部の委託先の所有する情報システムから消去されたことを確認したときは、当該消去したことを証明する記録等を受領して、これを保存する。
第4章 特定個人情報以外の個人情報の取扱い
(利用目的の特定)
第28条 特定個人情報以外の個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 特定個人情報以外の個人情報の利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(特定個人情報以外の個人情報の取り扱いの制限)
第29条 特定個人情報以外の個人情報の取扱いについては、前条の規定により特定された利用目的(前条第3項の変更をした後のものを含む。)の達成に必要な範囲を超えて、これを取り扱おうとするときは、あらかじめ本人の同意を得なければならない。
2 合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って特定個人情報以外の個人情報を取得した場合は、承継前における当該特定個人情報以外の個人情報の利用目的の達成に必要な範囲を超えて、当該特定個人情報以外の個人情報を取り扱おうとするときは、あらかじめ本人の同意を得なければならない。
3 前2項の規定は、次に揚げる場合には適用しない。
(1)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(2)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)国の期間若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4)その他法令に基づく場合
(適正な取得)
第30条 特定個人情報以外の個人情報は、偽りその他不正の手段により取得してはならない。
(取得に際しての利用目的の公表又は通知)
第31条 特定個人情報以外の個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の特定個人情報以外の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 特定個人情報以外の個人情報の利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前3項の規定は、次に揚げる場合については、適用しない。
(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利
利害を害するおそれがある場合
(2)利用目的を本人に通知し、又は公共することにより当法人の権利又は正当な利益を害するおそれがある場合
(3)国の期間又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4)取得の状況からみて利用目的が明らかであると認められる場合
(データ内容の正確性の確保)
第32条 特定個人情報以外の個人情報に係る個人データ(以下「個人データ」という。)は、利用目的の達成に必要な範囲内において、これを正確かつ最新の内容に保つよう努めなければならない。
(個人データの第三者提供)
第33条 個人データを第三者に提供しようとするときは、次に揚げる場合を除くほか、あらかじめ本人に同意を得なければならない。
(1)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(2)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)国の期間若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4)個人情報保護法第35条第2項に規定する場合
(5)その他法令に基づく場合
(第三者に提供する目的で収集した個人データの取り扱い)
第34条 前条の規定にかかわらず、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に揚げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、当該個人データを第三者に提供することができる。
(1)第三者への提供を利用目的とすること
(2)第三者に提供される個人データの項目
(3)第三者への提供の手段又は方法
(4)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
2 前項第2号又は第3号に揚げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(委託及び共同利用等)
第35条 次に揚げる場合において、当該個人データの提供を受ける者は、前2条の規定の適用については、第三者に該当しないものとする。
(1)利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
(2)合併その他の事由による事業の承継に伴って個人データが提供される場合
(3)個人データを特定の者との間で共同して利用する場合であって、次に揚げる事項をあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
ア 個人データを特定の者との間で共同して利用する旨イ 共同して利用される個人データの項目
ウ 共同して利用する事業者の範囲エ 利用する者の利用目的
オ 当該個人データの管理について責任を有する事業者の氏名又は名称
2 前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する事業者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(保有個人データに関する事項の公表等)
第36条 取扱責任者は、保有個人データに関し、次に揚げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
(1)当法人の名称
(2)すべての保有個人データの利用目的(第31条第4項第1号から第3号までに該当する場合を除く。)
(3)保有個人データの利用目的の通知の手続きその他次に揚げる事項ア 保有個人データの開示の手続き
イ 保有個人データの内容の訂正、追加又は削除の手続きウ 保有個人データの利用の停止又は消去の手続き
エ 保有個人データの第三者への提供の停止の手続き
オ 保有個人データの利用目的の通知及び保有個人データの開示に係る手数料の額を定めたときにあっては当該手数料の額
(4)保有個人データの取扱いに関する苦情及び問い合わせの申出先
(本人からの求めによる保有個人データに関する事項の通知)
第37条 本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、前条の措置により当該本人が識別される保有個人デ ータの利用目的が明らかな場合は、この限りでない。
2 前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(保有個人データの開示)
第38条 本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、書面の交付による方法(開示の求めを行った者が同意した方法があるときは、当該方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)当法人の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
2 前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたとき
は、本人に対し、遅滞なく、その旨を通知しなければならない。
3 法令により、本人に対し第1項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は、適用しない。
(保有個人データの訂正等)
第39条 本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって、当該保有個人データの内容の訂正、追加又は削除(以下「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
2 前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知するものとする。
(利用停止等)
第40条 本人から、当該本人が識別される保有個人データが本人の同意なく利用目的外で利用されているといる理由又は偽りその他不正の手段により取得したものであるという理由によって、当該保有個人データの利用の停止又は消去(「消去」には当該データから特定の個人を識別できないようにすることを含む。以下あわせて「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行うものとする。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2 本人から、当該本人が識別される保有個人データが第36条の規定に違反して第三者へ提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく当該保有個人データの第三者への提供を停止するものとする。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するために必要なこれに代わるべき措置をとるときは、この限りでない。
3 第1項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定したときは、本人に対し、遅滞なく、その旨を通知するものとする。
(理由の説明)
第41条 第37条第2項、第38条第2項、第39条第2項又は前条第3項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。
(開示等の求めに応じる手続)
第42条 取扱責任者は、第37条第1項、第38条第1項、第39条第1項又は第40条第1項若しくは第2項の規定によ
る求め(以下「開示等の求め」という。)に関し、その求めを受け付ける方法として次に揚げる事項その他の必要な事項を定めるものとする。
(1)開示等の求めの申出先
(2)開示等の求めに際して提出すべき書面(電子的方式、磁気的方式その他人の知覚によって認識することができない方式で作られる記録を含む。)の様式その他の開示等の求めの方式
(3)開示等の求めをする者が本人又は第3項に規定する代理人であることの確認の方法
(4)手数料を徴収することとした場合にあっては手数料の徴収方法
2 取扱責任者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特的するに足りる事項の提示を求めることができる。この場合において、取扱責任者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
3 開示等の求めをすることができる代理人は、次に揚げるものとする。
(1)未xx者又はxx被後見人の法定代理人
(2)開示等の求めをすることにつき本人が委任した代理人
4 前3項の規定に基づき開示等の求めに応じる手続きを定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
(個人情報の消去及び廃棄の義務)
第43条 個人情報は、目的とする事務を処理する必要がなくなった場合(関係法令において保存期間を定められているものについては、なおかつ、これを経過した場合)には、これをできるだけ速やかに廃棄又は削除しなければならない。
(苦情等の処理)
第44条 個人情報の取扱いに関する苦情・相談の対応業務は、取扱責任者がこれを行う。
2 前項の苦情・相談については、適切かつ迅速な対応に努めなければならない。第5章 補則
(罰則)
第48条 本規程に違反した職員に対しては、就業規則に基づき処分を行う。
(改廃)
第49条 この規程の改廃は、理事会の決議により行う。
附則
1 この規程は、令和3年7月20日から施行する。