Contract
京都社会福祉事業企業年金基金 特定個人情報取扱規程
第1章 総則
(目的)
第1条 本規程は、京都社会福祉事業企業年金基金(以下「当基金」という。)における個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いを確保するために必要な事項を定めることを目的とする。
(定義)
第2条 本規程において「個人情報」とは、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「個人情報保護法」という。)第2条第1項に規定する個人情報をいう。
2 本規程において「個人番号」とは、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成 25 年法律第 27 号。以下「番号法」という。)第2条第5項に規定する個人番号をいう。
3 本規程において「特定個人情報」とは、番号法第2条第8項に規定する特定個人情報をいう。
4 本規程において「特定個人情報ファイル」とは、番号法第2条第9項に規定する特定個人情報ファイルをいう。
5 本規程において「従業者」とは、当基金にあって、直接又は間接に当基金の指揮監督を受けて、当基金の業務に従事している者をいう。
(適用)
第3条 本規程は従業者に適用する。
2 本規程は、当基金が取り扱う特定個人情報等を対象とする。
3 本規程に定めのない当基金における個人情報の取扱いに関しては、別に定める個人情報保護管理規程の定めに従う。
第2章 管理体制及び安全管理措置
(個人番号を取り扱う事務の範囲)
第4条 当基金が個人番号を取り扱う事務は、次に掲げる事務に限るものとする。
一 当基金の年金又は一時金等の支給に関する事務(年金又は一時金等の支払いに伴い税務当局等に提出が必要な法定調書の作成に係る事務に限る。)
二 従業者に係る源泉徴収事務、社会保険関係事務及び労働保険関係事務三 前二号に付随して行う事務
2 前項第一号に規定する事務の流れは、別紙のとおりとする
(取り扱う特定個人情報等の範囲)
第5条 前条の規定により、当基金が個人番号を取り扱う事務において使用する個人番号及び個人番号と関連付けて管理される個人情報は、以下のとおりとする。
一 当基金の受給権者又は将来的な給付が見込まれる者(以下「受給権者等」という。)及び従業者の個人番号、氏名、性別、生年月日、住所
二 受給権者等の基礎年金番号
三 番号法第16条に基づく本人確認の措置を実施する際に、受給権者等又は従業者から提示を受けた本人確認書類及びこれらの写し
四 当基金が行政機関等に提出するために作成した法定調書及びその控え
五 当基金が法定調書を作成する上で受給権者等又は従業者から受領する個人番号が記載された申告書等
六 前各号に掲げるもののほか、個人番号と関連付けて保存される情報
(特定個人情報管理責任者)
第6条 当基金は、特定個人情報等の取扱いに関して総括的な責任を有する特定個人情報管理責任者を置き、常務理事をもってこれに充てる。
2 特定個人情報管理責任者は、特定個人情報管理を担当する事務取扱責任者を指名し、特定個人情報管理に関する業務を分担させることができる。
3 特定個人情報管理責任者は、特定個人情報等に関する監査を除き、次に掲げる事項その他当基金における特定個人情報等に関する権限と責務を有するものとする。
一 本規程に基づき特定個人情報等の取扱いを管理する上で必要とされる細則等の承認
二 特定個人情報等に関する安全対策の策定・実施
三 特定個人情報等の適正な取扱いの維持・推進等を目的とした諸施策の策定・実施四 事故発生時の対応策の策定・実施
(事務取扱責任者)
第7条 事務取扱責任者は、次に掲げる事項の権限と責務を有するものとする。
一 特定個人情報等が本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うこと
二 特定個人情報の利用申請の承認及び記録等の承認、管理を行うこと三 特定個人情報の取扱状況を把握すること
四 委託先における特定個人情報の取扱状況等を監督すること
五 特定個人情報の安全管理に関する教育及び研修を実施すること
六 前各号に掲げるもののほか、当基金における特定個人情報の安全管理に関する事項について、特定個人情報管理責任者を補佐すること
(事務取扱担当者)
第8条 当基金における特定個人情報等を取り扱う事務については、事務取扱担当者が行うこととし、当基金における事務取扱担当者は、当基金事務局の職員とする。
2 事務取扱担当者は、特定個人情報を取り扱う業務に従事する際、番号法及び個人情報保護法並びに関連法令、特定個人情報保護委員会が策定するガイドライン等(以下
「法令等」という。)、本規程等並びに事務取扱責任者の指示に従い、特定個人情報の保護に十分な注意を払うものとする。
(管理区域及び取扱区域)
第9条 当基金は、特定個人情報等の漏えい、滅失又は毀損(以下「漏えい等」という、)を防止するため、特定個人情報ファイルを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、次に掲げる方法により安全管理措置を講じるものとする。
一 管理区域については、入退室管理及び管理区域に持ち込む機器等を制限する等の安全管理措置を講じる。
二 取扱区域については、他の区域との間仕切りを設置する等の措置及び座席配置等による安全管理措置を講じる。
(従業者の教育)
第 10 条 当基金は、従業者に対して定期的な研修の実施又は情報提供等を行い、特定個人情報等の適正な取扱いを図るものとする。
(従業者の監督)
第 11 条 当基金は、特定個人情報等の適正な取扱いがなされるよう、従業者の監督を行う。
(取扱規程等に基づく運用)
第 12 条 当基金は、特定個人情報等の取扱状況を明確にするため、次の事項に係るシステムログ又は利用実績を記録する。
一 特定個人情報ファイルの利用・出力状況の記録
二 書類・媒体等の持出しの記録
三 特定個人情報ファイルの削除・廃棄記録
四 削除・廃棄を委託した場合、これを証明する記録等
五 特定個人情報ファイルに係る情報システムの利用状況(ログイン実績、アクセスログ等)の記録
(特定個人情報等の取扱状況の確認)
第 13 条 特定個人情報管理責任者は、当基金における特定個人情報の取扱いが法令等及び本規定等に基づき適正に運用されていることを定期的に確認する。
(監査の実施)
第 14 条 監査責任者又は監事は、当基金における特定個人情報等の取扱いが法令等及び本規程等と合致していることを定期的に確認する。
2 監査責任者又は監事は、特定個人情報等の取扱いに関する監査結果を特定個人情報管理責任者に報告する。
(情報漏えい等事案への対応)
第 15 条 特定個人情報管理責任者は、漏えい等の事案が発生したときは、速やかに、所管官庁等に報告する。
2 特定個人情報管理責任者は、漏えい等の事案が発生したと判断したときは、その事実を本人に通知するとともに、必要に応じて公表する。
3 特定個人情報管理責任者は、漏えい等の事案が発生したと判断したときは、漏えい等が発生した原因を分析し、再発防止に向けた対策を講じるものとする。
(苦情等への対応)
第 16 条 当基金は、当基金における特定個人情報等の取扱いに関する苦情等に対する窓口を設け、適切に対応する。
2 特定個人情報管理者は、前項の目的を達成するために必要な体制の整備を行うものとする。
(体制の見直し)
第 17 条 当基金は、必要に応じて特定個人情報等の取扱いに関する安全対策及び諸施策について見直しを行い、改善を図るものとする。
第3章 特定個人情報等の取得、利用等
(個人番号の取得、提供の求め)
第 18 条 当基金は、第4条に規定する事務を処理するために必要がある場合に限り、本人又は他の個人番号関係事務実施者若しくは個人番号利用事務実施者に対して個人番号の提供を求めることができる。
2 個人番号の提供を求める時期は、原則として個人番号を取り扱う事務が発生したときとする。ただし、本人との法律関係等に基づき、個人番号を取り扱う事務が発生することが明らかなときは、当該事務の発生が予想できた時点において、個人番号の提供を求めることができるものとする。
(利用目的の通知等)
第 19 条 当基金は、個人番号を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知又は公表するものとする。また、本人から直接書面に記載された当該本人の個人番号を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。
(本人確認)
第 20 条 当基金は、本人又は代理人から個人番号の提供を受けるときは、法令等に基づき本人確認を行うものとする。
(個人番号の利用)
第 21 条 当基金は、第4条に規定する事務を処理するために必要な場合に限り、個人番号を利用するものとする。
2 当基金は、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるときは、前項の規定にかかわらず、当基金が保有する個人番号を利用することができる。
(特定個人情報ファイルの作成の制限)
第 22 条 当基金は、第4条に規定する事務を処理するために必要な場合に限り、特定個人情報ファイルを作成するものとする。
第4章 特定個人情報の保管、管理等
(保管)
第 23 条 当基金は、第4条に規定する事務が終了するまでの間、特定個人情報等を保管する。ただし、所管法令等により保存期間が定められているものについては、当該期間を経過するまでの間、特定個人情報等を保管する。
2 特定個人情報を取り扱う機器、磁気媒体等又は書類等は、特定個人情報等の漏えい等の防止その他の安全管理の確保のため、次に掲げる方法により保管又は管理する。一 特定個人情報を取り扱う機器は、施錠できるキャビネット等に保管する又は盗難
防止用のセキュリティワイヤー等により固定する。
二 特定個人情報を含む書類又は磁気媒体等は、施錠できるキャビネット等に保管する。
3 特定個人情報等を含む書類又は特定個人情報ファイルを法定保存期間経過後も引 き続き保管するときは、個人番号に係る部分をマスキング又は消去した上で保管する。
(情報システムの管理)
第 24 条 当基金において使用する情報システムによって特定個人情報等を取り扱うときは、次に掲げる方法により管理する。
一 特定個人情報管理責任者は、情報システムを使用して個人番号を取り扱う事務を処理するときは、ユーザーIDに付与されるアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
二 事務取扱担当者は、情報システムを取り扱う上で、正当なアクセス権を有する者であることを確認するため、ユーザーID、パスワード等により認証する。
三 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するため、情報システム及び機器にセキュリティ対策ソフトウェア等を導入する。
四 特定個人情報等をインターネット等により外部に送信するときは、通信経路における情報漏えい等を防止するため、通信経路の暗号化等の措置を講じる。
(特定個人情報等の持出し等)
第 25 条 当基金において保有する特定個人情報等を持ち出すとき(郵送等により発送するときを含む。)は、次に掲げる方法により管理する。
一 特定個人情報を含む書類等を持ち出すときは、封緘・目隠しシールの貼付等の容易に個人番号が判明しない措置を講じる。
二 特定個人情報ファイルを磁気媒体等又は機器にて持ち出すときは、ファイルへのパスワードの付与等又はパスワードを付与できる機器の利用等の措置を講じる。
第5章 特定個人情報等の提供等
(特定個人情報等の提供)
第 26 条 当基金は、番号法第 19 条各号に掲げる場合を除き、本人の同意の有無にかかわらず、特定個人情報等を第三者(法的な人格を超える特定個人情報等の移動を意味し、同一法人の内部等の法的な人格を超えない特定個人情報等の移動は該当しないものとする。)に提供しないものとする。
(開示)
第 27 条 当基金は、本人から当基金が保有する当該本人の特定個人情報等について開示の求めがあったときは、特別な理由がない限り速やかに対処する。
(訂正)
第 28 条 当基金は、本人から当基金が保有する当該本人の特定個人情報等について訂正の求めがあったときは、速やかに対応する。
(第三者提供の停止)
第 29 条 当基金は、本人から当基金が保有する当該本人の特定個人情報等が違法に第三者に提供されているという理由によって、当該特定個人情報等の第三者への提供の停止が求められた場合であって、その求めに理由があることが判明したときは、第三者への提供を停止する。
第6章 削除、廃棄
(特定個人情報等の削除、廃棄)
第 30 条 当基金は、第4条に規定する事務を行う必要が無くなった場合で、所管法令等において定められている保存期間を経過したときは、個人番号をできるだけ速やかに復元できない手段で削除又は廃棄する。
2 当基金は、個人番号若しくは特定個人情報ファイルを削除した場合又は磁気媒体等を廃棄した場合には、削除又は廃棄した記録を保存するものとする。なお、当該削除又は廃棄を委託した場合は、委託先から受領した証明書等により記録を保存するものとする。
第7章 委託
(委託先の監督)
第 31 条 当基金は、当基金における特定個人情報等を取り扱う事務の全部又は一部を委託するときは、委託先と書面による委託契約の締結、または誓約書や合意書による合意をするとともに、委託先において安全管理が図られるよう、委託先に対する必要かつ適切な監督を行うこととする。
2 当基金は、委託先における特定個人情報等の保護体制が十分であることを確認した上で委託先を選定する。
3 第1項の委託契約又は合意においては、委託先に対する次の内容を盛り込むこととする。
一 秘密保持義務
二 事業所内からの特定個人情報等の持出しの禁止(P)三 特定個人情報の目的外利用の禁止
四 再委託における条件
五 漏えい事案等が発生した場合の委託先の責任 六 委託契約終了後の特定個人情報の返却又は廃棄七 特定個人情報を取り扱う従業者の明確化(P)八 従業者に対する監督・教育
九 契約内容の遵守状況についての報告
十 委託者が委託先に対して実地の調査を行うことができること(P)
(再委託)
第 32 条 委託先は、委託を受けた特定個人情報等を取り扱う事務の全部又は一部を再委託するときは、委託者である当基金の許諾を得なければならない。
2 委託先が当基金の許諾を得て再委託するときは、再委託先の監督について前条の規定を準用する。
3 当基金は、委託先による再委託先への必要かつ適切な監督の実施について監督する。
第8章 その他
(罰則)
第 33 条 当基金は、従業者が本規程に違反する行為を行ったときは、当基金の就業規則等に基づき処分する。
(実施規定)
第 34 条 この規程に定めるもののほか、当基金の特定個人情報等の取扱いに関し必要な事項は、理事長が別に定める。
附則
本規程は、2015 年 11 月 19 日より実施する。