版 No. 年月日 内 容 第 1.0 版 2011/4/01 新規作成し、制定版として発行する。 第 2.0 版 2017/5/30 2017 年 5 月 30 日施行の改正個人情報保護法に対応して改訂する。
聖隷福祉事業x
x隷ヘルパーステーション藤沢
個人情報保護基本規程
第 2.0 版
改 版 履 歴
版 No. | 年月x | x x |
第 1.0 版 | 2011/4/01 | 新規作成し、制定版として発行する。 |
第 2.0 版 | 2017/5/30 | 2017 年 5 月 30 日施行の改正個人情報保護法に対応して改 訂する。 |
第1章 総則
(目的)
第1条 本規程は、社会福祉法人聖隷福祉事業x x隷ヘルパーステーション藤沢(以下「聖隷ヘルパーステーション藤沢」という)が、「法」(第 3 条第 16 項に定義する法をいう。)、
「政令」(第 3 条第 17 項に定義する政令をいう。)、「規則」(第 3 条第 18 項に定
義する規則をいう。)及び「ガイドライン」(第 3 条第 19 項に規定するガイドラインをいう。)に基づき、聖隷ヘルパーステーション藤沢の取扱う個人情報の適正な取扱いを確保するために定めるものである。
(適用範囲)
第2条 聖隷ヘルパーステーション藤沢内外を問わず、従業者が業務として個人情報を取り扱う場合に適用される。
(定義)
第3条 この規程で用いる用語は以下の通りとする。
(1)個人情報
「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
①当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式、電磁的方式その他の人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法 を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定 の個人を識別することができるもの(他の情報と容易に照合することができ、それにより 特定の個人を識別することができることとなるものを含む)
②個人識別符号が含まれるもの
(2)個人識別符号
「個人識別符号」とは、次の各号にいずれかに該当する文字、番号、記号その他の符号のうち、別紙 1 で定めるものをいう。
①特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
②個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録さ れた文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受け る者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されるこ とにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
(3)要配慮個人情報
「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪に
より害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして別紙2で定める記述等が含まれる個人情報をいう。
(4)個人情報データベース等
「個人情報データベース等」とは、(ⅰ)特定の個人情報をコンピュータ等を用いて検索できるように体系的に構成したもの及び(ⅱ)これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいい、利用方法からみて個人の権利利益を害するおそれが少ないものとして次のいずれにも該当するものを除く。
①不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
②不特定かつ多数の者により随時に購入することができ、又はできたものであること。
③生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
(5)個人データ
「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
(6)保有個人データ
「保有個人データ」とは、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、以下のものを除く。
①6 月以内に消去することとなるもの
②当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶ恐れがあるもの
③当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発する恐れがあるもの
④当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
⑤当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
(7)匿名加工情報
「匿名加工情報」とは個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいう。
(8)情報主体
一定の情報によって識別される、又は識別されうる本人。
(9)情報主体代理人
情報主体により、権限を委ねられた者。
(10)収集
取得。
(11)最高意思決定機関
聖隷xxxxxフェアタウン管理会議
(12)情報統括責任者
最高意思決定機関で指名された者であって、コンプライアンス・プログラムの実施及び運用に関する責任と権限を持つ者。
(13)コンプライアンス・プログラム
方針、体制、規程、計画書、手順書、マニュアル、記録など、事業所で保有する個人情報を保護するための院内の仕組みすべて。
(14)従業者
職員、派遣職員、xxxxx、xxxxxx、役員など、業務に携わる者。
(15)業務責任者
当該部門の職場長。小規模な事業所では、所長・施設長。
(16)「法」とは、個人情報の保護に関する法律(平成 15 年法律第 57 号)をいう。
(17)「政令」とは、個人情報の保護に関する法律施行令(平成 15 年政令第 507 号)をいう。
(18)「規則」とは、個人情報保護委員会が定める規則をいう。
(19)「ガイドライン」とは、「個人情報の保護に関する法律についてのガイドライン
(通則編)」(平成 28 年個人情報保護委員会告示第 6 号)、「個人情報の保護に関する
法律についてのガイドライン(外国にある第三者への提供編)」(平成 28 年個人情報
保護委員会告示第 7 号)、「個人情報の保護に関する法律についてのガイドライン(第
三者提供時の確認・記録義務編)」(平成 28 年個人情報保護委員会告示第 8 号)、「個
人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」(平成 28 年
個人情報保護委員会告示第 9 号)及び「医療・介護関係事業者における個人情報の適
切な取扱いのためのガイダンス」(平成 29 年 4 月 14 日個人情報保護委員会・厚生労働省)を総称したものをいう。
(罰則)
第4条 コンプライアンスプログラムに違反した場合には、就業規則第 8 章表彰懲戒第 50 条懲
戒の事由第1項(11)または(10)を準用する。ただし、罰則の適用は 2005 年 4 月 1 日以降とする。
(改訂)
第5条 本規程の改訂は、最高意思決定機関の承認を得なければならない。第2章 体制及び責任
(最高意思決定機関)
第6条 最高意思決定機関では、その中から情報統括責任者と監査責任者を指名しなければなら
ない。
2. 最高意思決定機関では、個人情報保護に関して、コンプライアンス・プログラムの全体像を把握し、以下の項目を含む基本方針を定めなければならない。
(1) 情報統括責任者名及び苦情相談先を含む個人情報保護の体制に関すること。
(2) 個人情報の取得に関すること。
(3) 個人情報の利用に関すること。
(4) 個人情報の委託に関すること。
(5) 個人情報の第三者への提供に関すること。
(6) 個人情報の安全管理に関すること。
(7) 個人情報保護に関する問い合わせ、個人情報の開示、訂正、削除及び利用停止に関すること。
(8) 個人情報に関する事故が発生した場合の対処に関すること。
(9) 個人情報保護に関する法令及びその他の規範の遵守に関することと、事業者に関連の深い代表例。
(10) 監視、監査、見直しなど、コンプライアンス・プログラムの継続的改善に関すること。 3.最高意思決定機関では、必要に応じて、業務毎又は業態毎に個別方針を定めなければならない。その際、個別方針は基本方針と整合性を保たなければならない。
4.最高意思決定機関では、情報管理者及び監査責任者からの報告及び経営環境などに照らして、コンプライアンス・プログラムを最低年1回以上見直さなければならない。
(情報統括責任者)
第7条 情報統括責任者は、コンプライアンス・プログラムを実施するにあたって、情報管理者を指名しなければならない。
2.情報統括責任者は、責任及び権限を定めなければならない。
3.情報統括責任者は、コンプライアンス・プログラムの基本となる要素を文書化しなければならない。
4.情報統括責任者は、コンプライアンス・プログラムのすべての要素を体系的に整理し、従業者が容易に閲覧できるようにしなければならない。
5.情報統括責任者は、年2回以上実施状況を確認し、速やかに最高意思決定機関で報告しなければならない。
6.情報統括責任者は、事故発生時の対応手順を定めなければならない。
(監査責任者)
第8条 監査責任者は、事業年度毎に、個人情報保護に関する監査を年1回以上行う計画書を作成しなければならない。
2. 監査責任者は、個人情報保護に関する監査を実施するために、監査チームを編成しなければならない。その際、自らの業務を監査させる編成をしてはならない。
3. 監査責任者は、監査終了後、監査報告書を作成し、速やかに最高意思決定機関に報告しなければならない。
4. 監査責任者は、監査報告書を保管し、管理しなければならない。
5. 監査責任者は、監査方法及び監査チェックリストについて、別途細則で定めなければならない。
(情報管理者)
第9条 情報管理者は、教育担当者及び苦情相談窓口担当者を指名しなければならない。
2 情報管理者は、当該事業所・部門における個人情報保護の責任者として、各担当責任者に分担させながら、各規程を遵守させる。
3 情報管理者は、教育担当者を指導し、従業者への教育を実施させる。
4 情報管理者は、業務責任者を指導し、各規程を遵守させる。
5 情報管理者は、苦情相談窓口担当者を指導し、利用者等からの問い合わせ、苦情等に対応させる。
6 情報管理者は、必要に応じて情報保護に関する委員会・会議を組織しなければならない。
7 情報管理者は、従業者または業務責任者から原則に反する対応に関する承認を求められた際には、情報保護に関する委員会・会議に諮らなければならない。ただし、緊急を要する対応が必要な場合は、この限りではない。
(教育担当者)
第 10 条 教育担当者は、事業年度毎に、個人情報保護に関する教育を年1回以上従業者全員に行う計画書を作成しなければならない。
2. 教育担当者は、コンプライアンス・プログラムの全体像の教育、及び役割と責任に応じた訓練のカリキュラムを定めなければならない。
3. 教育担当者は、個人情報に関する教育が円滑に行えるように体制を整備しなければならない。
4. 教育担当者は、教育方法及び自覚させる手順について、別途細則で定めなければならない。
(苦情相談窓口担当者)
第 11 条 苦情相談窓口担当者は、情報主体本人等からの苦情及び相談について対処しなければならない。
2. 苦情相談窓口担当者は、個人情報保護に関する苦情処理が円滑に行えるように体制を整備しなければならない。
3. 苦情相談窓口担当者は、苦情処理の手順を定めなければならない。
(従業者)
第 12 条 コンプライアンス・プログラムを遵守すると共に、事故及びコンプライアンス・プログラム違反を見つけた場合には、速やかに業務責任者を通じて情報管理者へ報告しなければならない。
(業務責任者)
第 13 条 業務責任者は、情報管理者の指導の下に、以下の任にあたる。
(1)業務上の個人情報の管理
(2)従業者の管理
(3)個人情報の管理方法個人情報のリスク認識
(4)個人情報の所在の把握
(5)個人情報の保管及び利用手順の決定
(6)委託先の管理手順の決定及び選定基準の決定
(7)個人情報の削除・消去・廃棄のリスクへの対応状況の確認
(8)個人情報の削除・消去・廃棄の手順の決定
2 従業者から、原則に反する対応の承認を求められた場合は、速やかに情報管理者に通知する。
第3章 実施及び運用
(原則)
第 14 条 個人情報の取得に当たっては、利用目的を明確に定め、その目的の達成に必要な限度において行わなわなければならない。
2 個人情報の取得は、適法かつxxな手段によって行わなければならない。
3 個人データの利用及び提供は、情報主体本人から同意を得た利用目的の範囲内で行わなければならない。
4 個人情報のリスクに対して、合理的な安全対策を講じなければならない。
5 個人データは、利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しなければならない。
(例外事項)
第 15 条 原則に反し以下の措置をとる場合には、情報管理者の承認を得なければならない。
(1) 取得の際に、情報主体本人に同意を得ない場合。ただし、情報主体本人の意思を明確に確認できない場合を除く。
(2) 情報主体本人等から開示、訂正、削除及び利用停止の要求を受け付けない場合。
(3) 目的外の利用をする際に、情報主体本人等の同意を得ない場合。
(4) 第三者に提供する際に、情報主体本人等の同意を得ない場合。
(法令及びその他の規範)
第 16 条 情報管理者は、コンプライアンス・プログラムの実施に必要な法令及びその他の規範を特定し、管理しなければならない。
(個人情報の特定)
第 17 条 情報管理者は、個人情報の種類を特定し、管理しなければならない。
2.業務責任者は、個人情報を特定する手順を確立し、管理しなければならない。
3.業務責任者は、特定した個人情報のリスクを認識しなければならない。
4.業務責任者は、特定した個人情報について、利用目的毎に管理しなければならない。
5.業務責任者は、個人情報の所在を把握できるようにしなければならない。
(取得する場合の措置)
第 18 条 個人情報の取得に関して、院内・ウェブサイト・文書等で以下を公表しなければならない。
(1) 問い合わせ、開示、訂正、削除及び利用停止に必要な連絡先と責任の所在。
(2) 利用目的。 利用目的を変更した際の情報主体への通知のルール。
(3) 個人情報を第三者に提供を行なうことが予定される場合には、その目的、提供先及び個人情報の取り扱いに関する契約の有無。
(4) 個人情報の預託を行うことが予定される場合には、その旨。
(5) 情報主体が個人情報を与えることの任意性及び当該情報を与えなかった場合に情報主体本人に生じる結果。
(6) 個人情報の開示を求める権利、及び開示の結果、当該情報が誤っている場合に訂正又は削除を要求する権利の存在、対応期間の目安、並びに当該権利を行使するための具体的な方法。
2. 上項を実施するために、個人情報を扱う事業の業務責任者は、手順を定め、情報管理者の承認をなければならない。
(保管及び利用)
第 19 条 個人データを保管及び利用する際には、関係者以外の者が、容易にアクセスができない措置をとらなければならない。
2. 上項を実施するために、情報管理者は、安全に保管及び利用ができる仕組みを確保しなければならない。
3. 業務責任者は、特定した個人データのリスクについて、対策の実施状況を定期的に確認しなければならない。
4. 業務責任者は個人データの保管及び利用の手順を定めなければならない。
(委託)
第 20 条 個人データを委託する際には、委託先選定基準により事業者を選定し、以下の項目を含んだ契約内容を以って、保護水準を担保しなければならない。
(1) 個人データの利用の制限。
(2) 個人データに関する秘密保持。
(3) 個人データの安全管理に関する事項。
(4) 個人データの再委託に関する事項。
(5) 事故時の責任分担。
(6) 契約終了時の個人データの返却及び消去。
2 上項を実施するために、業務責任者は、委託内容毎に委託先選定基準を定め、情報管理
者の承認を得なければならない。
3 業務責任者は、委託先管理の手順を定めなければならない。
(目的外利用)
第 21 条 情報主体本人等から同意を得た利用目的以外に利用する際、事前に情報主体本人等に利用目的を通知し、同意を得なければならない。
2. 上項を実施するために、情報統括責任者は通知の内容を承認しなければならない。
3. 目的外利用の際、情報主体本人の同意を得ない場合は、情報統括責任者の承認を得なければならない。
4. 情報管理者は、緊急時における承認の手順を定めなければならない。
(第三者提供)
第 22 条 施設長は、第三者へ提供する際、事前に情報主体本人等に提供先、利用目的、個人データの項目及び提供手段を通知し、同意を得なければならない。
2. 上項を実施するために、情報統括責任者は通知の内容を承認しなければならない。
3. 第三者提供の際、情報主体本人の同意を得ない場合は、情報統括責任者の承認を得なければならない。
4. 情報管理者は、緊急時における承認の手順を定めなければならない。
(外国にある第三者への提供の制限)
第 23 条 前条に関わらず、外国(本邦の域外にある国又は地域をいう。以下同じ。)にある第三者(個人情報取扱事業者に該当するものを除く)に個人データを提供する場合は、法 23 条
第 1 項各号に該当する場合を除き、あらかじめ当該外国の第三者への提供を認める旨の本人同意を得なければならない。ただし、外国にある事業者が「適切かつ合理的な方法」により、「法第 4 章第 1 節の規定の趣旨に沿った措置」を講じている場合は、前条を適用するものとする。
2 前項における「適切かつ合理的な方法」により、「法第 4 章第 1 節の規定の趣旨に沿った措置」は、個人情報の保護に関する法律ついてガイドライン(外国にある第三者への提供編 )の規定するところに従う。
(第三者提供をする際の記録)
第 24 条 個人データを第三者に提供したときは、第三者提供に係る記録を作成しなければならない。ただし、次の各号に該当する場合はこの限りではない。
①第三者が法第 2 条第 5 項各号に掲げる者である場合
②法第 23 条第 1 項各号に該当する場合
③法第 23 条第 5 項各号に該当する場合
④本人に代わって提供している場合
⑤本人と一体と評価できる関係にある者に提供する場合
2 第三者に個人データを提供する場合の記録の作成方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法によるものとする。
3 前項の記録は、次項又は第 5 項に該当する場合を除き、第三者から個人データの提供をした都度、速やかに作成しなければならない。
4 第 2 項の記録は、当該第三者に継続的に若しくは反復して個人データの提供をしたとき、又は当該第三者から継続的に若しくは反復して個人データの提供をすることが確実である と見込まれるときの記録は、一括して作成することができる。
5 第 2 項の記録は、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者に個人データの提供をしたときの記録に代えることができる。
6 第 22 条に基づく本人の同意を得て個人データを第三者に提供した場合は別紙 3 の「個人データ提供記録簿」に以下の事項を記録するものとする。
①本人の同意を得ている旨
②当該第三者の氏名または名称その他の当該第三者を特定するに足りる事項
③当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
④当該個人データの項目
7 前項の記載事項のうち、第 2 項から第 5 項までの方法により作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
8 第 6 項及び前項の規定により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。
記録の作成方法の別 | 保存期間 |
契約書等の代替手段による方法により記録を作成した場合 | 最後に当該記録に係る個人データの提供を行った日から起算して 1 年を経過する日までの 間 |
一括して記録を作成する方法により記録を作成した場合 | 最後に当該記録に係る個人データの提供を行った日から起算して 3 年を経過する日までの 間 |
上記以外の場合 | 当該記録を作成した日から 3 年 |
(第三者提供を受ける際の確認及び記録)
第 25 条 第三者から個人データの提供を受けるに際しては、次項に掲げる事項の確認及び記録の作成を行わなければならない。ただし、次の各号に該当する場合はこの限りではない。
①第三者が法第 2 条第 5 項各号に掲げる者である場合
②法第 23 条第 1 項各号に該当する場合
③法第 23 条第 5 項各号に該当する場合
④本人に代わって提供された個人データを受ける場合
⑤本人と一体と評価できる関係にある者に該当する場合
⑥受領者にとって個人データに該当しない場合
⑦受領者にとって個人情報に該当しない場合
2 第三者から個人データの提供を受ける際は、当該第三者に対して、次のとおり確認を行うものとする。
①当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
②当該第三者による当該個人データの取得の経緯
3 第三者から個人データの提供を受ける際の確認を行う方法は、確認を行う事項の区分に応じて、それぞれ次のとおりとする。
場合 | 方法 |
①前項 1 号に該当する事項 | 個人データを提供する第三者から申告を受け る方法その他の適切な方法 |
②前項 2 号に該当する事項 | 個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他 の適切な方法 |
4 前項にかかわらず、第三者から他の個人データの提供を受けるに際して前項の方法による確認を行い、次項による方法により作成し、かつその時点において保存している記録に記録された事項と内容が同一であるものについては、当該事項の確認を省略することができる。
5 第三者から個人データの提供を受けた場合の記録の作成方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法によるものとする。
6 前項の記録は、次項又は第8項に該当する場合を除き、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。
7 第 9 項の記録は、当該第三者から継続的に若しくは反復して個人データの提供を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
8 第 9 項の記録は、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者から個人データの提供を受けたときの記録に代えることができる。
9 本人の同意に基づき個人データの第三者提供を受ける場合は別紙 4 の「個人データ受領記録簿」に以下の事項を記録するものとする。
①本人の同意を得ている旨
②当該第三者の氏名または名称
③当該第三者の住所
④当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
⑤当該第三者による当該個人データの取得の経緯
⑥当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
⑦当該個人データの項目
10 前項の記載事項のうち、既に作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
11 前項の規定により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。
記録の作成方法の別 | 保存期間 |
契約書等の代替手段による方法により記録を作成した場合 | 最後に当該記録に係る個人データの提供を行った日から起算して 1 年を経過する日までの 間 |
一括して記録を作成する方法により記録を作成した場合 | 最後に当該記録に係る個人データの提供を行った日から起算して 3 年を経過する日までの 間 |
上記以外の場合 | 当該記録を作成した日から 3 年 |
(学術研究目的の利用)
第 26 条 個人情報を学術研究目的で利用する場合は、本人の同意を得るように努める。
2 学術研究の公表・発表等の場は、学術研究目的でなければならない。
3 公表・発表等を行う場合は、情報主体が特定されないようにしなければならない。
4 公表・発表等を行う場合は、その内容を上長に届け出なければならない。
(情報主体本人からの請求に対する措置)
第 27 条 情報主体本人から個人データについて、開示、訂正、削除及び利用停止の請求がある場合には、合理的な期間で応じなければならない。
2. 上項を実施するために、業務責任者は、本人確認方法、料金及び対応の期限、通知を含んだ手順を定めなければならない。
3. 情報主体本人からの開示、訂正、削除、利用停止に応じない場合には、情報統括責任者の承認を得なければならない。
(削除及び消去・廃棄)
第 28 条 削除及び消去・廃棄にあたっては、目的外利用又は第三者に利用されないような措置をとらなければならない。
2. 上項を実施するために、情報管理者は、安全に削除及び消去・廃棄が行える仕組みを確保しなければならない。
3. 業務責任者は、削除及び消去・廃棄する個人データのリスクについて、対策の実施状況を定期的に確認しなければならない。
4. 業務責任者は個人データの削除及び消去・廃棄の手順を定めなければならない。
【別紙1】個人識別符号
1 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの(第3条第2号①)
下記(1)から(7)に該当するもののうち、特定の個人を識別することができる水準が確保されるよう、適切な範囲を適切な手法により電子計算機の用に供するために変換されたもの。具体的には、下記(1)から(7)において具体的に説明するものである。
(1) 細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列
ゲノムデータ(細胞から採取されたデオキシリボ核酸(別名 DNA)を構成する塩基の配列を文字列で表記したもの)のうち、全核ゲノムシークエンスデータ、全エクソームシークエンスデータ、全ゲノム SNPデータ、互いに独立な 40 箇所以上の SNP から構成されるシークエンスデータ、9 座位以上の 4 塩基 STR等の遺伝型情報により本人を認証することができるようにしたもの
(2)顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌
顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状から抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
(3)虹彩の表面の起伏により形成される線状の模様
虹彩の表面の起伏により形成される線状の模様から、赤xxや可視光等を用い、抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
(4)発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化
音声から抽出した発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化に関する特徴情報を、話者認識システム等本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
(5)歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様
歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様から抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
(6)手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状
手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状等から、赤xxや可視光等を用い抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
ト 指紋又は掌紋
(指紋)指の表面の隆線等で形成された指紋から抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
(掌紋)手のひらの表面の隆線や皺等で形成された掌紋から抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
(7)組み合わせ
上記イからトまでに掲げるものから抽出した特徴情報を、組み合わせ、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
2 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方法により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの(第3条第2号②)
下記に該当するもの。
(1)旅券番号
(2)基礎年金番号
(3)運転免許証番号
(4)住民票コード
(5)個人番号
(6)国民健康保険の被保険者証の記号、番号及び保険者番号
(7)後期高齢者医療制度の被保険者証の番号及び保険者番号
(8)介護保険の被保険者証の番号及び保険者番号
(9)健康保険の被保険者証の記号、番号及び保険者番号
(10)高齢受給者証の記号、番号及び保険者番号
(11)船員保険の被保険者証の記号、番号及び保険者番号
(12)船員保険の高齢受給者証の記号、番号及び被保険者番号
(13)旅券番号(日本国政府が発行したもの以外)
(14)在留カードの番号
(15)私立学校教職員共済の加入者証の加入者番号
(16)私立学校教職員共済の高齢受給者証の加入者番号
(17)国民健康保険の高齢受給者証の記号、番号及び保険者番号
(18)国家公務員共済組合の組合員証の記号、番号及び保険者番号
(19)国家公務員共済組合の組合員被扶養者証の記号、番号及び保険者番号
(20)国家公務員共済組合の船員組合員証及び船員組合員被扶養者証の記号、番号及び保険者番号
(21)地方公務員等共済組合の組合員証の記号、番号及び保険者番号
(22)地方公務員等共済組合の組合員被扶養者証の記号、番号及び保険者番号
(23)地方公務員等共済組合の高齢受給者証の記号、番号及び保険者番号
(24)地方公務員等共済組合の船員組合員証及び船員組合員被扶養者証の記号、番号及び保険者番号
(25)雇用保険被保険者証の被保険者番号
(26)特別永住者証明書の番号
(27)診察券の番号
(28)施設で発行する利用者 ID カードの番号
【別紙2】要配慮個人情報
1 人種
2 信条
3 社会的身分
4 病歴
5 犯罪の経歴
6 犯罪により害を被った事実
7 身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。
① 身体障害者福祉法における身体上の障害
② 知的障害者福祉法における知的障害
③ 精神保健及び精神障害者福祉に関する法律における精神障害(発達障害者支援法における発達障害を含み、2に掲げるものを除く。)
④ 治療方法が確立していない疾病その他の特殊の疾病であって障害者の日常生活及び社会生活を総合的に支援するための法律4条1項の政令で定めるものによる障害の程度が同項の厚生労働大臣が定める程度であるもの
8 本人に対して医師その他医療に関連する職務に従事する者(「医師等」)により行われた疾病の予防及び早期発見のための健康診断その他の検査(「健康診断等」)の結果
9 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
10 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
11 本人を少年法に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。
【別紙3】
個人データ提供記録簿
① 法 23 条1項又は法 24 条✰本人✰同意を得ている旨 | |
② 当該第三者✰氏名又は名称そ✰他✰当該第三者を特定するに足りる事項 | |
③ 当該個人データによって識別される本人✰氏名そ✰他✰当該本人を特定するに足りる事項 例)本人ごとに番号・ID などを付して個人データ✰管理をしている場合において、当該番号・ID などにより本人を特定できると き✰当該番号・ID | |
④ 当該個人データ✰項目 例)氏名、住所、電話番号、年齢 |
※上記①から④✰記録事項✰うち、既に作成した「個人データ提供記録簿」において記録(保存している場合に限る。)に記録されている事項と内容が同一であるも✰については、当該事項✰記録を省略することができる。
【別紙4】
個人データ受領記録簿
① 本人✰同意を得ている旨 | |
② 当該第三者✰氏名又は名称 | |
③ 当該第三者✰住所 | |
④ 当該第三者が法人である場合は、そ✰代表者(法人でない団体で代表者又は管理人✰定め✰あるも✰にあっては、そ✰代表 者又は管理人)✰氏名 | |
⑤ 当該第三者による当該個人データ✰取 得✰経緯 | |
⑥ 当該個人データによって識別される本人✰氏名そ✰他✰当該本人を特定するに足りる事項 例)本人ごとに番号・ID などを付して個人データ✰管理をしている場合において、当該番号・ID などにより本人を特定できると き✰当該番号・ID | |
⑦ 当該個人データ✰項目 例)氏名、住所、電話番号、年齢 |
※②から④まで✰事項については、本人から申告を受けるも✰とする。⑤✰事項については、個人データを提供する第三者から当該第三者による当該個人データ✰取得✰経緯を示す契約書そ✰他✰書面✰提示を受ける方法そ✰他✰適切な方法により確認をするも✰とする。
※上記①から⑦✰記録事項✰うち、既に作成した「個人データ提供記録簿」において記録(保存している場合に限る。)に記録されている事項と内容が同一であるも✰については、当該事項✰記録を省略することができる。