Contract
個人情報取扱規程(特定個人情報以外)
令和4年1月22日 規第12号
第2条 この規程における用語の意義は、次の各号に掲げるとおりとする。
(2) 職員…この規程における「職員」とは、次の者を総称したものをいう。
(3) 個人情報…生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
② 個人情報の保護に関する法律施行令第1条で定める個人識別符号(指紋認識データ、顔認識データ、個人番号、旅券番号、免許証番号等が該当する。)が含まれるもの
(4) 個人情報保護管理者…代表者によってバンクの内部から指名された者であって、この規程に定める安全管理体制の構築及びその運用に関する責任及び権限を有する者をいう。
(5) 個人情報保護監査責任者…代表者によってバンクの内部から指名された者であって、xx、かつ、客観的な立場にあり、監査の実施及び報告を行う責任及び権限を有する者をいう。
(7) 個人情報処理担当者…事務取扱担当者のうち、個人情報のコンピュータへの入力・出力、修正・削除、台帳・申込書等の個人情報を記載した帳票等の保管・管理等を専門に行う担当者をいう。
(8) 個人情報データベース等…個人情報を含む情報の集合物であって、次に掲げるものをいう。ただし、利用方法からみて個人の権利利益を害するおそれが少ないものを除く。
① 特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの
② ①に掲げるもののほか、個人情報を一定の規則に従って整理、分類し、目次、索引、符号等を付すことによって特定の個人情報を容易に検索することができるように体系的に構成したもの
(9) 個人データ…個人情報データベース等を構成する個人情報をいう。
(10) 保有個人データ…事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データをいう。ただし、次に掲げるものを除くものとする。
① 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
② 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
③ 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
④ 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
(11) 本人…個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
ない。
(13) 仮名加工情報…次に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
① 第3号①に該当する個人情報…当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
② 第3号②に該当する個人情報…当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
① 第3号①に該当する個人情報…当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
② 第3号②に該当する個人情報…当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(15) 個人関連情報…生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
(16) 法令等…個人情報の取扱いに関する法令、国が定める指針その他の規範をいう。なお、国が定める指針とは、主に次のものをいう。
① 特定個人情報の適正な取扱いに関するガイドライン(事業者編)(個人情報保護委員会)
② 個人情報の保護に関する法律についてのガイドライン(通則編)(個人情報保護委員会)
③ 個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)(個人情報保護委員会)
④ 個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)(個人情報保護委員会)
⑤ 個人情報の保護に関する法律についてのガイドライン(仮名加工情報編)(個人情報保護委員会)
⑥ 個人情報の保護に関する法律についてのガイドライン(外国第三者提供編)(個人情報保護委員会)
第4条 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。
2 バンクは、この規程の定めを組織的に取り組むこと等を明らかにするため、個人情報保護方針(様式第1号)を定めるものとする。
第5条 職員は、バンクの事業に従事するに当たり、法令等を遵守するとともに、この規程、運用細則その他の個人情報に関連する内部規程を遵守しなければならない。
2 個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退いた後も同様とする。
4 職員が、第1項及び第2項に違反したときは、xxxは、職員就業規則に定めるところにより、当該職員に対して懲戒を行うことがある。
第6条 バンクは、法令の改正、運用方法の見直しその他業務上の必要に応じて、この規程を改定するものとする。
第7条 バンクは、個人情報の安全管理のための総責任者として、個人情報保護管理者を
1名選任し、次の各号に掲げる業務を行わせるものとする。
(1) この規程及び個人情報取扱手順書等の作成及び運用に関すること。
(2) 次条に定める事務取扱担当者への助言及び指導並びに個人情報処理担当者からの報告徴収に関すること。
(4) その他個人情報の安全管理に関する事項全般に関すること。
第8条 バンクは、個人情報の安全管理のための組織体制を定めるものとし、その権限及び責任は、この規程その他付属規程に定めるものとする。
第9条 バンクは、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
第10条 バンクは、バンクが管理する個人情報に関する漏えい、滅失又はき損等のリスクを回避するために、次に掲げる区分に応じて、適切な安全管理措置を講じなければならない。
2 安全管理措置の原則、職員の遵守事項等については、特定個人情報(マイナンバー)等取扱規程第9条、第10条に定めるところによる。
第11条 バンクは、その職員に個人情報を取り扱わせるに当たっては、当該個人情報の安全管理を図るために当該職員に対して必要かつ適切な監督を行わなければならない。
第12条 バンクは、職員に対し、継続的、かつ、定期的に個人情報に関する教育研修を実施するものとする。
3 個人情報保護管理者は、個人情報の取扱いを委託する場合の委託先選定基準及び個人情報の安全管理に関する報告徴収の結果等により委託先の選定の見直しを実施するものとする。
4 個人情報保護管理者は、職員が個人情報の取扱いを委託する場合において、委託する業務内容に対して必要のない個人データを提供しないよう必要かつ適切な監督を行うものとする。
第14条 前条の委託先選定基準(様式第2号)は、次の各号に掲げる事項について設定するものとし、委託契約に係る基本契約書に当該事項に関する規定を設け、バンクと委託先の責任を明確化するものとする。
(1) 個人データの漏えい防止、盗用禁止その他個人データの安全管理に関する事項
(4) 委託先における個人情報の秘密保持及び管理の方法に関する事項
(5) 委託先の個人情報の取扱担当者に対する個人情報保護のための教育・訓練に関する事項
(7) 個人情報の漏えいその他の事故が生じた場合の措置、責任分担に関する事項
2 前項の委託先選定基準に基づく委託先の評価は、その必要に応じて適宜実施するも
のとする。
第16条 個人情報の取得は、バンクが行う事業の範囲内に限り、かつ、あらかじめ利用目的を明確に定め、その目的の達成に必要な限度内において行うものとする。
第17条 個人情報の取得は適正な手段により行うものとし、窃取、脅迫、偽りその他不正な手段により個人情報を取得してはならない。
2 要配慮個人情報の取得等に関しては、第21条に定めるところによる。
第18条 バンクは、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
第19条 次条に定める場合を除き、個人情報を取得する場合は、利用目的をできる限り特定し、あらかじめその利用目的を公表しなければならない。
2 前項にかかわらず、あらかじめ利用目的を公表(ウェブサイト上の掲載、パンフレット等への記載、バンク内における掲示、備付けの方法等によるものとする。本条及
び第24条において同じ。)することが困難である場合は、個人情報を取得した後、速やかにその利用目的を本人に通知し、又は公表しなければならない。ただし、次の各号に掲げる場合を除く。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することによりバンクの権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4) 取得の状況からみて利用目的が明らかであると認められる場合
(1) 相手方に手交し、又は送付する契約書等にその利用目的を記載する方法
(2) ホームページ上の入力画面にその利用目的を明記する方法
(7) 身体障害、知的障害、精神障害(発達障害を含む。)等、次に掲げる心身の機能の障害があること。
③ 精神保健及び精神障害者福祉に関する法律における精神障害(発達障害者支援
法における発達障害を含み、②に掲げるものを除く。)
(9) 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
(10) 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
(11) 本人を少年法第3条第1項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。
2 前項ただし書のやむを得ない事情とは、次のいずれかに該当する場合とする。
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(6) 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
(7) 委託、事業承継又は共同利用により、個人データである要配慮個人情報の提供を受けるとき。
3 要配慮個人情報については、第26条(第三者提供のオプトアウト)の規定は適用しない。
第22条 個人情報の利用は、原則として、特定された利用目的の達成に必要な範囲内で、具体的な業務に応じ権限を与えられた者のみが、業務の遂行上必要な限りにおいて行うものとする。
第23条 バンクは、あらかじめ本人の同意を得ないで、バンクが特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
3 前二項の規定は、次の各号のいずれかに該当する場合については、適用しない。
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
4 特定個人情報については、本条は適用せず、本人の同意の有無にかかわらず、目的外の利用は、これを禁ずる。
第25条 バンクは、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を
得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
2 次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。以下、本章において同じとする。
(1) 委託の場合…バンクが利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
(2) 事業承継の場合…合併その他の事由による事業の承継に伴って個人データが提供される場合
3 特定個人情報の提供については、特定個人情報(マイナンバー)等取扱規程に定めるものとし、本条及び第26条(第三者提供のオプトアウト)の規定は適用しない。
(6) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止
すること。
(8) その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
(5) 個人データの管理について責任を有する者の氏名又は名称
(1) 当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報の保護に関する法律施行規則で定める国にある場合
(2) 当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合
(3) 第25条(第三者提供の制限)第1項各号に該当する場合
に、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供するものとする。
第29条 バンクは、個人データを第三者に提供したときは、次の各号の区分に応じ、当該各号に掲げる事項を記録しなければならない。ただし、当該個人データの提供が第2
5条第1項各号又は同条第2項各号のいずれか(前条の規定による個人データの提供にあっては、同条第1項各号のいずれか)に該当する場合は、この限りでない。
(1) オプトアウトにより個人情報を第三者に提供した場合(様式第4号)
② 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
(2) 本人の同意により個人情報を第三者に提供した場合及び海外に第三者提供した場合(様式第5号)
② 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
2 バンクは、前項各号の記録を、原則として、3年間保存しなければならない。
(1) オプトアウトによる個人データの第三者提供を受ける場合(様式第6号)
② 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
④ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
(2) 本人の同意に基づき第三者提供を受ける場合(様式第7号)
② 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
④ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
① 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
2 バンクは、前項各号の記録を、原則として、3年間保存しなければならない。
(1) 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
第32条 バンクは、利用目的の達成に必要な範囲内において、個人情報を、正確かつ最新の状態で管理するよう努めなければならない。
第33条 バンクは、保有個人データに関し、次に掲げる事項をホームページ上に掲載し、パンフレット等に記載し、又は本人の求めに応じて遅滞なく回答するようにしなければならない。
(2) すべての保有個人データの利用目的(次のいずれかに該当する場合を除く。)
① 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
② 利用目的を本人に通知し、又は公表することによりバンクの権利又は正当な利益を害するおそれがある場合
③ 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
④ 取得の状況からみて利用目的が明らかであると認められる場合
(4) 前号の手続に際して提出すべき「個人情報開示等請求書」(様式第9号)の様式、その他の開示等の求めの受付方法
(5) 保有個人データの取扱いに関する苦情の申出先及びxxxが認定個人情報保護団体に所属している場合は、その団体の名称及び苦情の申出先
(1) 本人又は第三者の生命、身体、財産その他の権利や利益を害するおそれがある場合
(2) バンクの業務の適正な実施に著しい障害を及ぼすおそれがある場合
(1) 保有個人データを本人の知り得る状態に置いていることにより保有個人データの利用目的が明らかな場合
(2) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(3) 利用目的を本人に通知し、又は公表することによりバンクの権利又は正当な利益を害するおそれがある場合
(4) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 前項各号に該当し、求められた保有個人データの利用目的を通知しない旨を決定したときは、遅滞なくその旨を通知しなければならない。
ればならない。
2 調査の結果、保有個人データの訂正等を行ったとき又は行わない旨を決定したときは、「個人情報の訂正等のご通知」(様式第12号)により、本人に対し、遅滞なくその旨を通知しなければならない。
第39条 バンクは、職員が個人情報保護法、この規程、その他個人情報に関する社内規程に違反するおそれ又は違反する事実を知った場合、その旨を個人情報保護管理者に報告しなければならない。
2 個人データ又は加工方法等情報の漏えい等の事案が発生したときは、直ちに次の各号に掲げる措置を講じると共に、安全管理体制全般、この規程及び取扱マニュアル等の見直しを図らなければならない。
(5) 実質的に外部への漏えいがない場合又は外部への漏えいが軽微な場合を除き、個人情報保護委員会又は主務大臣等への報告
第40条 職員は、個人情報の漏えいの事故が発生した場合及び個人情報保護法、この規程、その他個人情報に関する社内規程に違反する事実が生じた場合は、被害拡大防止のための措置を講ずる。
2 違反する事実が個人情報の漏えい、滅失又はき損であるときは、当該事実が生じた個人情報の内容を本人に速やかに通知し、又は本人が容易に知り得る状態に置かなければならない。
3 個人情報保護管理者は、速やかに事実関係を調査し、漏えいの対象となった本人に対する対応を行うとともに、被害拡大防止のための措置を講ずる。
4 バンクは、再発防止措置、社内処分を決定し、必要に応じて、関係機関への報告又は公表等の対応を行うものとする。
第41条 個人情報保護管理者は、個人情報の保護に関して苦情や相談を受け付け、対応する相談窓口を常設し、当該相談窓口の連絡先を本人に告知するものとする。
2 前項の相談窓口の運営責任者は、個人情報保護管理者とする。
附則 (令和4年1月22日 規第12号)
この規程は、令和4年1月22日から施行する。
様式第1号
個人情報保護方針
【基本理念】
一般財団法人日本財団母乳バンク(以下「バンク」)は、個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守し、お預かりした大切な個人情報を適切に取り扱うことで関係者並びに職員の信頼を得ることによって、高度情報社会の健全な発展に資するため、次のとおり個人情報保護方針を定め、これを実行いたします。
【個人情報保護方針】
1.バンクは、ご本人から直接HP上の登録フォーム及び書面で個人情報を取得するほか、お取引先企業の総務部門、市販の出版物の購入等によって間接的に個人情報を取得いたします。
2.バンクは、次の各号の種類の個人情報について、当該各号に掲げる利用目的のため用います。
① ドナー登録いただいた方の個人情報
・登録された母乳の適正チェックのため
・母乳に関連する情報の適正な活用と管理のため
・ドナー登録者の方へのご連絡
② バンクにお問合せ等をいただいた方の個人情報
・お問合せ、ご要望、苦情等への対応
3.2.①の個人情報は、一般財団法人日本財団母乳バンク及び一般社団法人日本母乳バンク協会と共同利用いたします。
4.バンクは、ドナー、レシピエント等の皆さまの個人情報を取り扱うため、個人情報の取得、利用及び提供を適正に行い、特に、個人情報の廃棄に関しては万全を期します。
5.バンクは、取得した個人情報の利用目的をご本人に明確にしたうえで、目的内で利用いたします。また、それに対する当組織内の管理体制を強化いたします。
6.xxxは、xxxx等のご案内をするに当たり、ご本人による事前の同意を得ることなく、その目的の範囲を超えて個人情報の取扱いを行う(「目的外利用」)ことはありません。
7.バンクは、必要、かつ、適切な安全対策を講ずることにより、個人情報の漏えい、滅失、又はき損の防止並びに是正に努めます。
8.バンクは、個人情報のご本人からの苦情及び相談に関しては、適切かつ迅速に対応いたします。
9.バンクは、個人情報のご本人から求めがあった場合には、メールマガジンの配信停止など個人情報の利用停止等に応じます。
10.バンクは、利用目的の達成に必要な範囲内で個人情報の取扱いを外部に業務委託することがあります。委託する業務は、データ入力及び名簿等の印刷であり、委託先における個人情報の安全管理については、xxxが責任をもって監督いたします。
11.バンクは、個人情報の取扱いに関する法令、国が定める指針及びその他の規範を、常に最新状態に維持するとともにこれを遵守いたします。
12.バンクは、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、継続的改善を行います。
【本方針に関する問合せ先】
一般財団法人日本財団母乳バンク 総務部
策定日:○○年○○月○○日最終改訂日:○○年○○月○○日一般財団法人日本財団母乳バンク
理事長 xx xx
・対応時間 / 平日 9:30~17:00(年末年始、その他当財団の定める休業日を除く)
・住所 : 〒103-0016 xxx中央区日本橋xx町 17 番 10 号 xx町スクエアビル 1 階
・電話:00-000-0000 / Fax:00-000-0000
・メールアドレス : xxxxx@xxxxxxxx.xx.xx
様式第2号
委託先選定基準チェックシート
委託先名: 作成日: 年 月 日( )
評価項目 | 評価 | コメント | |
1.組織・体制 | |||
1-1 | 個人情報(特定個人情報を含む。以下同じ。)に関する責任者が明確になっている | □ | |
1-2 | 組織の管理責任者が定められている | □ | |
1-3 | 個人情報保護に関する規程類が整備されている | □ | |
1-4 | 個人情報保護方針が定められている | □ | |
1-5 | 自己点検及び監査(内部監査又は外部監査)を定期的に実施している | □ | |
1-6 | すべての従業員(契約社員、パート、アルバイトを含む.)に対し、入社時及び退職時に個人情報保護に関する誓約書を提出させている | □ | |
1-7 | 情報の取扱いは必要最小限の者に限定している | □ | |
1-8 | 社員の職位、職務内容に応じた機密情報のアクセス権限の設定が行われている | □ | |
1-9 | セキュリティ保護区域(取扱区域)を定め、一般社員の入室を制限している | □ | |
1-10 | 個人情報保護に関する社員教育を実施し、実施記録を残している | □ | |
2.個人情報の授受保管 | |||
2-1 | 個人情報の授受は責任者の承認を得ている | □ | |
2-2 | 取得項目、利用目的、保管場所、保管方法、保管期限等を記録した個人情報管理台帳が整備されている | □ | |
2-3 | FAX による授受は電話確認を行っている | □ | |
2-4 | 業務に使用するパソコンに保存する情報は必要最小限に留めている | □ | |
2-5 | 電子メールは暗号化(又はパスワードロック)を実施している | □ | |
2-6 | 個人情報の無断複製をしていない | □ | |
2-7 | 個人情報を持ち出すことを禁止している | □ | |
2-8 | 個人情報を持ち出す場合のルールが定められている | □ | |
2-9 | 保管時は施錠管理を実施している | □ | |
2-10 | 外部記憶媒体は適正に管理している | □ | |
3.PC 及びネットワーク管理 | |||
3-1 | ID、パスワード等によりアクセス管理を行っている | □ | |
3-2 | ウイルス対策、セキュリティパッチの更新等を行っている | □ | |
3-3 | PC の盗難防止策を実施している | □ | |
3-4 | アクセスログを定期的に点検している | □ | |
3-5 | データのバックアップを定期的に取っている | □ | |
3-6 | 離席時のクリアスクリーンを実施している | □ | |
3-7 | パスワードの管理ルールを遵守している | □ | |
4.点検・廃棄・消去・返却 | |||
4-1 | 入力データのチェックは複数者で行っている | □ | |
4-2 | 個人情報の漏えい、滅失、き損を定期的に点検している | □ | |
4-3 | 返却すべき個人情報が明確になっている | □ | |
4-4 | 廃棄又は消去を適正に実施しその結果を記録している | □ | |
5.入退館・入退室管理 | |||
5-1 | 入退室者はバッジ等の着用や入退管理システム(磁気カード、生体認証等)で管理している | □ | |
5-2 | 最終退室者は火気、施錠等を確認しその結果を記録している | □ | |
6.再委託 | |||
6-1 | 再委託の場合には事前に承認を得ている | □ | |
6-2 | 委託先選定基準を定め、手順に則った委託先を選定している | □ | |
6-3 | 再委託先と秘密保持契約を締結するようにしている | □ | |
6-4 | 再再委託が行われていないことを確認している | □ | |
7.事故発生時の対応 | |||
7-1 | 事故対応マニュアルが策定されている | □ | |
7-2 | 緊急連絡先一覧表を作成するなど、事故発生時の連絡体制が整備されている | □ | |
7-3 | 過去 2 年間、個人情報に関する事故は発生していない | □ | |
8.契約内容の遵守 | |||
8-1 | 契約内容が遵守されなかった場合、適切な措置を採ることとしている | □ | |
様式第3号
個 人 情 報 x x 台 帳
No. | 個人情報データベース等の種類・名称 | 個人データの範囲 | 件数 | 利用目的 | 記録媒体 | 保管場所 (管理区域) | 管理責任者 | 取扱部署 | 事務取扱担当者 (アクセス権者) | 保存期間 | 削除・廃棄方法 | 摘 要 |
1 | 顧客データベース | 氏名、住所、会社、部 署 名 、 メ ー ル アドレス、電話番号、 フ ァ ッ ク ス 番 号 | 80 | 顧客管理 | HDD | 第 1 サーバールーム | ○○ | 情報管理部 | ○○ | 無期限 | ||
様式第4号
個人データ提供記録簿(オプトアウトによる第三者提供の場合)
① 当該個人データを提供した年月日 | 年 月 日 |
② 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨) | |
③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項 | |
④ 当該個人データの項目 例)氏名、住所、電話番号、年齢例)氏名、商品購入履歴 |
様式第5号
個人データ提供記録簿
(本人の同意を得ている場合及び海外に第三者提供した場合)
① 法第23条第1項又は法第24条の本人の同意を得ている旨 | |
② 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨) | |
③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項 | |
④ 当該個人データの項目 例)氏名、住所、電話番号、年齢例)氏名、商品購入履歴 |
様式第6号
個人データ受領記録簿(オプトアウトによる第三者提供の場合)
① 個人データの提供を受けた年月日 | 年 月 日 |
② 当該第三者の氏名又は名称 | |
③ 当該第三者の住所 | |
④ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者 又は管理人)の氏名 | |
⑤ 当該第三者による当該個人データの取得の経緯 例)書面による同意につき当該書面を確認した 例)提供者の WEB サイトに取得の経緯が記 載されているため、その記載内容を確認した | |
⑥ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項 | |
⑦ 当該個人データの項目 例)氏名、住所、電話番号、年齢例)氏名、商品購入履歴 | |
⑧ 法第23条第4項に基づき個人情報保 護委員会による公表がされている旨 | 年 月 日に 個人情報保護委員会より公表されている |
※:②から④までの事項については、本人から申告を受けるものとする。⑤の事項については個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法により確認をするものとする。
※:上記①から⑧の記録事項のうち、既に作成した「個人データ提供記録簿」において記録
(保存している場合に限る。)されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
様式第7号
個人データ受領記録簿(本人の同意を得ている場合)
① 本人の同意を得ている旨例)本人の書面による同意 例)申込みページの同意ボタンの押下 | |
② 当該第三者の氏名又は名称 | |
③ 当該第三者の住所 | |
④ 当該第三者が法人である場合は、その代表者 (法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表 者又は管理人)の氏名 | |
⑤ 当該第三者による当該個人データの取得の経緯 例)書面による同意につき当該書面を確認した 例)提供者の WEB サイトに取得の経緯が記載されているため、その記載内容を確認し た | |
⑥ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに 足りる事項 | |
⑦ 当該個人データの項目 例)氏名、住所、電話番号、年齢例)氏名、商品購入履歴 |
※:②から④までの事項については、本人から申告を受けるものとする。⑤の事項については、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法により確認をするものとする。
※:上記①から⑦の記録事項のうち、既に作成した「個人データ提供記録簿」において記録
(保存している場合に限る。)されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
様式第8号
個人データ受領記録簿(個人情報取扱事業者ではない第三者から提供を受けた場合)
① 当該第三者の氏名又は名称 | |
② 当該第三者の住所 | |
③ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者 又は管理人)の氏名 | |
④ 当該第三者による当該個人データの取得の経緯 例)書面による同意につき当該書面を確認した 例)提供者の WEB サイトに取得の経緯が記載されているため、その記載内容を確認し た | |
⑤ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項 | |
⑥ 当該個人データの項目 例)氏名、住所、電話番号、年齢例)氏名、商品購入履歴 |
※:①から③までの事項については、本人から申告を受けるものとする。④の事項については、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法により確認をするものとする。
※:上記①から⑥の記録事項のうち、既に作成した「個人データ提供記録簿」において記録
(保存している場合に限る。)されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
様式第9号
個人情報開示等請求書
年 月 日
一般財団法人日本財団母乳バンク理事長 ○○○○ 様
個人情報の保護に関する法律第25 条の規定に基づき、下記のとおり保有個人情報の開示を請求します。
(ふりがな) 氏 名 | (ふりがな) 会社名 | ||||||
住 | 所 | 〒 | Tel ( | ) | - | ||
メールアドレス | @ | ||||||
□運転免許証 □健康保険被保険者証 | |||||||
請求者本人の確認書類 | □個人番号カード又は住民基本台帳カード(住所記載のあるもの) □在留カード又は特別永住者証明書 □その他( ) | ||||||
※請求書を送付して請求をする場合には、加えて住民票の写しを添付してください。 | |||||||
代理人による申請の場合 | 代理人氏名 | ||||||
代理人住所 | |||||||
代理人電話番号 | |||||||
請求者本人の | 本人の状況等 | □未xx者( | 年 | 月 日生) | □xx被後見人 | ||
状況等 | □戸籍謄本(未xx者の場合) | ||||||
(法定代理人が請求す る場合にのみ記載して | 請求資格確認書類 | □登記事項証明書(xx被後見人の場合) | |||||
ください。) | □その他( ) | ||||||
請求区分 | □ ①個人情報の利用目的の通知 □ ②個人情報の内容の開示 □ ③個人情報の訂正・追加 □ ④個人情報の削除・利用停止 □ ⑤第三者への提供停止 | ||||||
開示等を請求する保有個人情報 | |||||||
請求内容 | |||||||
手数料 | 円 ※請求区分①②については、ご請求1件につき ▼▼▼円の手数料が必要です。 | ||||||
様式第10号
個人情報の開示請求に対するご通知
年 月 日
○○○○ 様
一般財団法人日本財団母乳バンク個人情報保護管理者 ○○○○
年 月 日に請求のあった個人情報開示につきまして、下記のとおりご通知申し上げます。
記
開示請求のあった保有個人情報は、下記のとおりとなります。
以上
様式第11号
個人情報の利用目的のご通知
年 月 日
○○○○ 様
一般財団法人日本財団母乳バンク個人情報保護管理者 ○○○○
年 月 日に請求のあった利用目的につきまして、下記のとおりご通知申し上げます。
記
通知請求のあった個人情報の利用目的は、下記のとおりとなります。
【対象個人情報】
【利用目的】
様式第12号
個人情報の訂正等のご通知
年 月 日
○○○○ 様
一般財団法人日本財団母乳バンク個人情報保護管理者 ○○○○
年 月 日に請求のあった個人情報の訂正につきまして、下記のとおりご通知申し上げます。
記
【訂正前】
↓
【訂正後】
【訂正を行わない場合】
様式第13号
個人情報の利用停止のご通知
年 月 日
○○○○ 様
一般財団法人日本財団母乳バンク個人情報保護管理者 ○○○○
年 月 日に請求のあった個人情報の利用停止につきまして、下記のとおりご通知申し上げます。
記
請求のあった個人情報は、下記のとおり利用を停止しました。
【対象個人情報】
【停止した利用目的】
【利用停止日】
【停止を行わない場合】