Contract
株式会社スパイスアップ・ジャパン
(適用範囲)
第1章 総則
第 1 条 この基本規程は、株式会社スパイスアップ・ジャパン(以下当社という)の個人情報保護マネジメントシステムに関する要求事項について規定する。 (1)当社の事業の用に供している個人情報をこの個人情報保護マネジメントシステムの適用範囲とし、当社の従業者の個人情報は事業の用に供している個人情報とする。
(2)当社の全従業者をこの個人情報保護マネジメントシステムの人的適用範囲とする。
(定義)
第 2 条 この基本規程で用いる用語の定義は、次によるものとする。ただし、以下で定めがある場合を除き、個人情報保護法の第2条に定義があるものについては、当該定義を準用する。
(1) 個人情報
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述 などによって特定の個人を識別できるもの(他の情報と容易に照合することが でき、それによって特定の個人を識別することができることとなるものを含む。)をいう。
(2) 本人
個人情報によって識別される特定の個人をいう。
(3) 事業者
個人情報を事業の用に供する事業者(法人、その他団体又は個人)をいう。
(4) 従業者
当社内で、直接又は間接に当社の指揮監督を受けて当社の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、
アルバイト社員など)のみならず、取締役、執行役、理事、監査役、監事、派遣社員も含まれる。
(5) 個人情報保護管理者
代表取締役によって当社の内部の者から指名された者であって、個人情報保護 マネジメントシステムの実施及び運用に関する責任及び権限を有する者をいう。なお、個人情報保護管理者は、やむを得ない場合を除いて、当社の内部に権限、 影響力を有する役員レベルを任命すべきものとする。
(6) 個人情報保護監査責任者
代表取締役によって当社の内部の者から指名された者であって、個人情報保護管理者から独立したxx、かつ、客観的な立場にあり、監査の実施及び報告を行う責任及び権限を有する者をいう。
(7) 個人情報保護教育責任者
代表取締役又は個人情報保護管理者によって当社の内部の者から指名された者であって、個人情報保護管理者を補佐して、従業者及び取扱いの委託先の教育の実施並びに報告を行う責任及び権限を有する者をいう。
(8) 本人の同意
本人が、個人情報の取扱いに関する情報を与えられた上で、自己に関する個人情報の取扱いについて承諾する意思表示をいう。ただし、本人が子ども又は事理を弁識する能力を欠く者の場合は、法定代理人などの同意も得なければならない。
(子ども)とは、16歳未満の者をいう。
(事理を弁識する能力を欠く者)とは、3.4.2.4 (直接取得)の a)~h)の内容について、判断力に懸念があると考えられる成人を指し、xx被後見人[民法(明治 29 年法律第 89 号。以下同じ。)第7条]だけでなく、被補佐人(民
法第 11 条)及び被補助人(民法第 15 条第1項)等で、3.4.2.4 (直接取得)の a)~h)の内容について、判断力に懸念がある状態にある場合も含む。
(法定代理人)等の同意の必要性については、あらゆる場合に、本人が子ども又は事理を弁識する能力を欠く者に当たるか否かを確認することが求められるのではなく、事業者において、個人情報の取得時に、子ども又は事理を弁識する能力を欠く者であることが明らかな場合若しは合理的に知り得る状態にある場合、又は、取得後に知った場合に、法定代理人等の同意を得ることが求められる。
(9) 個人情報保護マネジメントシステム
当社が、自らの事業の用に供する個人情報について、その有用性を配慮しつつ、個人の権利利益を保護するための方針、体制、計画、実施、運用の確認及び見直しを含むマネジメントシステムをいう。
(10) 不適合
規格及び規格に準拠した当社規程等に規定した要求を満たしていないことをいう。
(一般要求事項)
第 3 条 当社は、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、改善するものとする。
(個人情報保護方針)
第 4 条 1. 当社の代表取締役は、個人情報保護の理念を明確にした上で、次の事項を含む個人情報保護方針を定めるとともに、これを実行し、かつ、維持するものとする。
(1)当社の主要事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下、「目的外利用」という。)を行わないこと及びそのための措置を講じることを含む。)
(2)個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること
(3)個人情報の漏えい、滅失又はき損の防止及び是正に関すること (4)苦情及び相談への対応に関すること
(5)個人情報保護マネジメントシステムの継続的改善に関すること (6)代表取締役の氏名
(7)当該方針の内容についての問合せに応じられる問合せ先 (8)制定年月日及び最終改訂年月日を表示
2. 当社の代表取締役は、この方針を文書(電子的方式、磁気的方式その他人の知覚によっては認識できない方式で作られる記録を含む。以下、同じ。)化し、従業者に周知させるとともに、一般の人が入手可能な措置を講じなければならない。
(資源、役割、責任及び権限)
第2章 体制及び責任
第 5 条 1. 当社の代表取締役は、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、改善するために不可欠な資源を用意するものとする。
2. 当社の代表取締役は、個人情報保護マネジメントシステムを効果的に実施するために役割、責任及び権限を定め、文書化し、かつ、従業者に周知するものとする。
(個人情報保護管理者、監査責任者、教育責任者及び対応窓口の指名)
第 6 条 1. 当社の代表取締役は、この規格の内容を理解し実践する能力のある個人情報保護管理者を当社の内部の者から指名し、個人情報保護マネジメントシステムの実施並びに運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせなければならない。
2. 個人情報保護管理者は、個人情報保護マネジメントシステムの見直し及び改善の基礎として、当社の代表取締役に個人情報保護マネジメントシステムの運用状況を報告するものとする。
3. 当社の代表取締役は、この基本規程の内容を理解し、個人情報保護に関する監査を行う能力のある個人情報保護監査責任者を当社の内部の者から指名し、個人情報保護マネジメントシステムの監査に関する責任及び権限を与え、監査を行わせなければならない。
4. 当社の代表取締役は、この基本規程の内容を理解し、個人情報保護に関する適切な教育を行う能力のある個人情報保護教育責任者を当社の内部の者から指名し、個人情報保護マネジメントシステムの教育に関する責任及び権限を与え、従業者及び委託先の教育を行わせなければならない。なお、個人情報保護管理者が自ら行っても良い。
5. 個人情報保護管理者は、個人情報の取扱い及び個人情報保護マネジメントシ ステムに関しての本人からの苦情及び相談を受け付けて対応する窓口を常設し、当該窓口の連絡先を本に告知するものとする。
(計画)
第3章 計 画
第 7 条 1. 当社は、個人情報保護管理者並びに監査責任者にて、個人情報の適
正な取扱いを維持・推進するため、定期に教育・訓練計画を策定する。
2. 監査責任者は、定期に個人情報の取扱いに関する監査の計画を策定する。
(管理原則)
第4章 実施及び運用
第1節 個人情報の取扱いの原則
第 8 条 当社は、個人情報を本規定に従い適切に分類・管理し、その重要度に応じて適切に取得、移送、利用、保管、廃棄されなければならない。
(利用目的の特定)
第 9 条 1. 当社は、個人情報の利用目的をできる限り特定する。
2. 個人情報は、あらかじめ本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて取扱ってはならない。利用目的の範囲内か否かが不明な場合は、都度、個人情報保護管理者に判断を求めなければならない。
3. 利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると認められる範囲を超えて行ってはならず、変更された利用目的は遅滞なく本人に通知または公表しなければならない。
(適正な取得)
第2節 個人情報の取得・利用及び提供に関する原則
第 10 条 当社は、個人情報を偽りその他不正の手段により取得してはならない。
(特定の個人情報の取得・利用及び提供の制限)
第 11 条 当社は、次に示す内容を含む個人情報の取得、利用又は提供を行ってはならない。ただし、これらの取得、利用又は提供について、明示的な本人の同意がある場合、及び第 14 条のただし書き(1)~(4)のいずれかに該当する場合は、この限りでない。
(1)思想、xxxx宗教に関する事項
(2)人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
(3)勤労者の団結権、団体交渉その他団体行動の行為に関する事項
(4)集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事
項
(5)保健医療又は性生活に関する事項
(本人から直接書面によって取得する場合の措置)
第 12 条 当社は、本人から、書面(電子的方式、磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下、同じ)に記載された個人情報を直接に取得する場合は、本人に対してあらかじめ利用目的を明示しなければならない。ただし、次に示すただし書き(1)~(4)に該当する場合はこの限りではない。
(1)人の生命、身体または財産その他の権利利益を保護するため必要な場合 (2)当社の権利または正当な利益を害するおそれがある場合
(3)国または地方公共団体の法令に定める事務の遂行に支障を及ぼすおそれがある場合
(4)取得の状況に照らし、利用目的が明らかであると認められる場合
(個人情報を直接書面以外の方法によって取得した場合の措置)
第 13 条 本人以外の第三者から個人情報を取得する場合は、当該個人情報が当該第三者において適法、適正に取得されたものでなければならず、かつ、当該第三者において、当社への個人情報の提供につき、適法な措置が講じられていなければならない。
第3節 個人情報の利用及び提供に関する措置
(利用に関する措置)
第 14 条 当社は、特定した利用目的の達成に必要な範囲内で個人情報を利用するものとする。特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、本人の同意を得なければならない。ただし、次に示すただし書き(1)~(4)のいずれかに該当する場合は、この限りではない。 また、従業者は目的外利用に該当するかどうか判断に迷う場合、管理者の判断を求めなくてはならない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
(本人にアクセスする場合の措置)
第 15 条 当社は、個人情報を利用して本人にアクセスする場合には、本人に対して、取得方法を通知し、本人の同意を得なければならない。ただし、次に示すただし書き(1)~(5)のいずれかに該当する場合は、この限りではない。ただし、ただし書き(2)の場合は委託元が個人情報保護法及び分野別ガイドライン、規格等に沿って適切に個人情報を取扱っていることを確認しなければならない。
(1)第 12 条に示す事項又はそれと同等以上の内容の事項を明示又は通知し、既に本人の同意を得ているとき
(2)個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報を、その利用目的の達成に必要な範囲内で取り扱うとき
(3)合併その他の事由による事業の承継に伴って個人情報が提供され、個人情報を提供する事業者が、既に第 12 条に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき
(4)個人情報が特定の者との間で共同して利用され、共同利用者が、既に第 12 条に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
①共同して利用すること
②共同して利用される個人情報の項目
③共同して利用する者の範囲
④共同して利用する者の利用目的
⑤共同して利用する個人情報の管理について責任を有する者の氏名又は名称
⑥取得方法
(5)第 14 条のただし書き(1)~(4)のいずれかに該当する場合
(提供に関する措置)
第 16 条 当社は、個人情報を第三者に提供する場合には、あらかじめ本人に対して、取得方法及び第 12 条(1)~(4)の事項又はそれと同等以上の内容の事項を通知し、本人の同意を得なければならない。ただし、次に示すいずれかに該当する場合は、この限りではない。
(1)第 12 条又は第 15 条の規定によって、既に第 12 条(1)~(4)の事項又はそれと同等以上の内容の事項を本人に明示又は通知し、本人の同意を得ているとき
(2)大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難な場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ本人に通知し、又はそれに代わる同等の措置を講じているとき
①第三者への提供を利用目的とすること
②第三者に提供される個人情報の項目
③第三者への提供の手段又は方法
④本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること
⑤取得方法
(3)法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であって、かつ、法令に基づき又は本人若しくは当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって、(2)で示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
(4)特定した利用目的の達成に必要な範囲内において、個人情報の取扱いの全部又は一部を委託するとき
(5)合併その他の事由による事業の承継に伴って個人情報を提供する場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき
(6)個人情報を特定の者との間で共同して利用する場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているとき
①共同して利用すること
②共同して利用される個人情報の項目
③共同して利用する者の範囲
④共同して利用する者の利用目的
⑤共同して利用する個人情報の管理について責任を有する者の氏名又は名称
⑥取得方法
(7)第 14 条のただし書き(1)~(4)のいずれかに該当する場合
第4節 個人情報の適正管理
(個人情報の正確性の確保)
第 17 条 当社は、利用目的の達成に必要な範囲内において、個人情報を、正確、かつ、最新の状態で管理するものとする。
(1)誤入力チェック
(2)個人情報の保存期間
(3)個人情報のバックアップの実施
(安全管理措置)
第 18 条 当社は、個人情報のリスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要かつ適切な措置を講じなければならない。
①組織的安全管理に関する規定
1)組織体制の整備
2)個人情報の取扱いに関する安全管理措置を定めた規定の整備と運用
‐取得・入力に関する規定
‐移送・送信に関する規定
‐利用・加工に関する規定
‐保管・バックアップに関する規定
‐消去・廃棄に関する規定
3)取扱い状況を一覧できる手段の整備
4)安全管理措置の見直し措置
5)事故又は違反への対処
②人的安全管理に関する規定
1)雇用契約時及び委託契約時における非開示契約の締結
2)従業者に対する教育の実施
③物理的安全管理に関する規定
1)入退室管理の実施
2)盗難、紛失等の防止
3)機器・装置等の物理的な保護
④技術的安全管理に関する規定
1)技術的安全管理措置
⑤情報システムの管理に関する規定
⑥委託管理に関する規定
(従業者の監督)
第 19 条 1. 当社は、従業者に個人情報を取扱わせるに当たっては、当該個人情報の安全管理が図られるよう、当該従業者に対し必要かつ適切な監督を行わなければならない。
2. 個人情報保護管理者は、従業員に対して個人情報の保護及び適正な取扱いに関する誓約書の提出を命じることができる。
(委託先の監督)
第 20 条 1. 当社は、個人情報の取扱いの全部又は一部を委託する場合は、十分な個人情報の保護水準を満たしている者を選定するものとする。このため、委託を受ける者を選定する基準を確立するものとする。
2. 当社は、個人情報の取扱いの全部又は一部を委託する場合は、委託する個人情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
3. 当社は、次に示す事項を契約によって規定し、十分な個人情報の保護水準を担保するものとする。
①委託者及び受託者の責任の明確化
②個人情報の安全管理に関する事項
③再委託に関する事項
④個人情報の取扱い状況に関する委託者への報告の内容及び頻度
⑤契約内容が遵守されていることを委託者が確認できる事項
⑥契約内容が遵守されなかった場合の措置
⑦事件・事故が発生した場合の報告・連絡に関する事項
4. 当社は、前項の当該契約書などの書面を、少なくとも個人情報の保有期間に
わたって保存するものとする。
(ウイルス対策)
第 21 条 1. 従業者は、個人情報保護管理者が設置したウイルス対策システムを利用し、改変を加えてはならない。
2. 前項のウイルス対策措置を講じたにもかかわらず、ウイルス感染が生じたり、その可能性があると判断された場合、それを発見した場合は、当該機器を速やかにネットワークから遮断し、個人情報保護管理者に連絡する。その際、従業者は個人情報保護管理者の対応を待ち、自らの判断で作業してはならない。個人情報保護管理者は、当該事例に対応する有効な情報を収集し、適切な対応に努めるものとする。
第5節 開示対象個人情報に関する本人の権利
(開示対象個人情報に関する権利)
第 22 条 1. 当社は、当該本人が識別される「保有個人データ」の開示(保有の有無を含む)請求には、本人のプライバシー保護のため、本人(代理人を含み、以下本条及び次条において本人という)から開示等請求窓口に対し、原則として本人確認書類を添付した開示請求書により請求があった場合にのみ応じるものとする。
2. 前項により本人による開示請求であることを確認した場合は、本人に対して書面または本人が同意した他の方法により、その全部または一部を開示しないことができる。
3. 前項にかかわらず、開示することにより次に示すただし書きのいずれかに該当する場合は、個人情報保護管理者の決定により、その全部または一部を開示しないことができる。
(1)本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)当社の業務の適正な実施に著しい支障を及ぼすおそれのある場合 (3)法令に違反することとなる場合
4. 前項の定めに基づき「保有個人データ」の全部または一部を開示しない旨の決定をしたときは、遅滞なく、本人に対しその旨通知するものとする。この場合、その理由を説明するよう努めなければならない。
5. 本人に対し「保有個人データ」を開示する場合には、手数料を請求できるものとする。この手数料は、実費を勘案して、合理的な範囲で個人情報保護管理者が定めるものとする。
(開示対象個人情報の訂正、追加又は削除)
第 23 条 当社は、本人から、当該本人が識別される開示対象個人情報の内容が事実でないという理由によって当該開示対象個人情報の訂正、追加又は削除(以下、本条において「訂正等」という。)を求められた場合は、法令の規定によって特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該開示対象個人情報の訂正等を行わなければならない。また、当社は、訂正等を行ったときは、その旨及びその内容を、本人に対し、遅滞なく通知し、訂正等を行わない旨の決定をしたときは、その旨及びその理由を、本人に対し、遅滞なく通知するものとする。
(開示対象個人情報の利用又は提供の拒否権)
第 24 条 当社が、本人から当該本人が識別される開示対象個人情報の利用の停止、消去又は第三者への提供の停止(以下、本条において「利用停止等」という。)を求められた場合、これに応じなければならない。また、措置を講じた後は、遅滞なくその旨を本人に通知するものとする。ただし、次の(1)~(3)のいずれかに該当する場合は、利用停止等を行う必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明するものとする。
(1)本人若しくは第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合 (3)法令に違反することとなる場合
(教育)
第6節 教 育
第 25 条 1. 当社は、全ての従業者に、少なくとも年 1 回以上適切な教育を行わなければならない。
2. 当社は、関連する各部門及び階層において、その従業者に次の事項を理解さ
せる手順を確立し、かつ、維持しなければならない。
(1)個人情報保護マネジメントシステムに適合することの重要性及び利点 (2)個人情報保護マネジメントシステムに適合するための役割及び責任 (3)個人情報保護マネジメントシステムに違反した際に予想される結果
3. 当社は、教育の計画及び実施、結果の報告及びそのレビュー、計画の見直し等の報告先、承認権者は代表取締役とする。
第 7 節 苦情及び相談
(苦情及び相談)
第 26 条 1. 当社は、個人情報の取扱い及び個人情報保護マネジメントシステムに関して、本人からの苦情及び相談を受け付けて、適切、かつ、迅速な対応を行う手順を確立し、かつ、維持するものとする。
2. 当社は、上記の目的を達成するために必要な体制の整備を行わなければならない。
第 8 節 運用の確認
(運用の確認)
第 27 条 当社は、個人情報保護マネジメントシステムが適切に運用されていることを当社の各部門及び階層において定期的に確認するための手順を確立し、実施し、かつ、維持するものとする。
(監査)
第5章 監 査
第 28 条 1. 監査責任者は、当社における個人情報の取扱いが法令、本規程(本 規程に基づく細則を含む)、その他の規範と合致していることを定期に監査する。
2. 監査責任者は、監査を指揮し、個人情報の取扱いに関する監査報告書を作成し、代表取締役及び個人情報保護管理者に報告するものとする。
3. 当社の代表取締役は、xx、かつ、客観的な立場にある個人情報保護監査責任者を当社の内部の者から指名し、監査の実施並びに報告を行う責任及び権限を他の責任にかかわりなく与え、業務を行なわせなければならない。
第6章 個人情報保護マネジメントシステムの見直し
(代表取締役による見直し)
第 29 条 1. 当社の代表取締役は、「個人情報保護マネジメントシステム見直し
規程」に基づいて、個人情報の適切な保護を維持するために、少なくとも年 1 回以上定期的に個人情報保護マネジメントシステムを見直さなければならない。
2. 当社の「個人情報保護マネジメントシステム見直し規程」において、代表取締役による見直しは次の事項を考慮するものとして規定する。
①監査及び個人情報保護マネジメントシステムの運用状況に関する報告
②苦情を含む外部からの意見
③前回までの見直しの結果に対するフォローアップ
④個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
⑤社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
⑥当社の事業領域の変化
⑦当社の内外から寄せられた改善のための提案
(罰則)
第7章 罰 則
第 30 条 当社は、本規程に違反した従業員に対して就業規則に基づき処分を行い、その他の従業者に対しては、契約または法令に照らして決定する。
(附則) この基本規程の改廃は、取締役会において決議を行い、代表取締役が承認するものとする。
制定 平成 27 年 2 月 18 日
最終改定 平成 27 年 6 月 29 日 第 2 版