Contract
■個人情報の保護に関する規程
(目 的)
第 1 条 この規程は、全国社会保険労務士国民年金基金規約第101条の規定に基づき、全国社会保険労務士国民年金基金(以下「基金」という。)における個人情報の取扱いについて定め、
個人情報を保護することを目的とする。
(定 義)
第 2 条 この規程において、「個人情報」とは、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第2条第1項に規定する個人情報をいう。
2 この規程において「個人データ」とは、法第2条第4項に規定する個人データをいう。
3 この規程において「保有個人データ」とは、法第2条第5項に規定する保有個人データをいう。
4 この規程において「本人」とは、法第2条第6項に規定する本人をいう。
(利用目的)
第 3 条 基金は、基金への加入、加入員等の状況の記録及び給付の支払並びに個人型確定拠出
年金制度への加入及び加入者等の状況の記録など、国民年金法(昭和34年法律第141号)及び確定拠出年金法(平成13年法律第88号)の実施のために個人情報を取り扱う。
2 法第16条第3項各号に掲げる場合を除き、基金は、あらかじめ本人の同意を得ないで、前項の利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
3 前項の本人の同意を得るに当たっては、あらかじめ、本人に利用目的を通知し、又は公表した上で、当該本人の口頭、書面等による承諾の意思表示を得なければならない。
4 前項の本人への利用目的の通知及び本人の意思表示の手続は、別に定める。
(適正な取得)
第 4 条 基金は、偽りその他不正の手段により個人情報を取得してはならない。
(データ内容の正確性の確保)
第 5 条 基金は、個人データについて、利用目的の達成に必要な範囲内において、正確かつ最新の内容に保つよう努めなければならない。
2 基金は、保存期間の定めがある個人データについては、当該保存期間が終了した場合においては、個人データを消去又は破棄しなければならない。
(個人情報の取扱いに関する役職員の責務等)
第 6 条 基金の役職員(代議員を含む。以下この条において同じ。)は、法その他の関係法令を遵守すると
ともに、本規程その他の個人情報保護関連の規程に従わなければならない。
2 基金は、その役職員との間に、業務上知り得た個人情報の内容をみだりに第三者に知らせ、又は不当な目的に使用してはならないこととする契約を締結しなければならない。
3 前項に規定する契約は、役職員がその業務に係る職を退いた後についても、効力を有するものでなければならない。
(個人データ管理責任者)
第 7 条 基金に個人データ管理責任者を置く。
2 個人データ管理責任者は、常務理事をもって充てる。
3 個人データ管理責任者は、基金における個人情報の保護のため、次に掲げる事務を行う。一 基金における個人情報の保護に関する総括
二 個人データの取扱いに関する国民年金基金連合会及び関係機関との調整三 個人データの取扱い状況の点検及び必要な指導
四 個人データの取扱いに関する研修の実施
五 前4号に掲げるもののほか、個人データの取扱いの管理に関すること。
(個人データの取扱者)
第 8 条 個人データ管理責任者は、所掌する業務に係る個人データを取り扱う者をあらかじめ指名する。
2 前項の指名を受けない者は、個人データ管理責任者の許可を受けなければ、個人データを取り扱ってはならない。
3 前2項の規定により個人データを取り扱う者は、第3条第1項に規定する利用目的を達成するために必要な範囲内において、個人情報を取り扱わなければならない。
4 第1項及び第2項の規定により個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退いた後も同様とする。
(電子計算機処理データの保護)
第 9 条 電子計算機により処理される個人情報を保護するための取扱いについては、この規程に定めるほか、別に定める。
(研修の実施)
第 10 条 個人データ管理責任者は、個人データを取り扱う者に対し、その責務の重要性を認識させ、かつ、個人情報保護のための個人データの取扱いを習熟させるため、第8条第1項の指名を行うときその他必要と認められるときに研修を行わなければならない。
(委託先の監督)
第 11 条 基金は、個人データの取扱業務の全部又は一部を委託する場合には、当該委託業務に係る個人データの安全管理が図られるよう、業務委託先の選定の基準を定めるものとする。
2 基金は、前項の委託を行う場合には、次に掲げる事項を内容とする委託契約を締結しなければならない。一 委託先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗
用してはならないこととされていること。
二 当該個人データの取扱いに係る業務の再委託を行うに当たっては、原則として、基金の承認を得ること。三 有期の委託契約を締結する場合にあっては、委託契約期間等を明記すること。
四 利用目的の達成後の個人データの返却又は委託先における破棄若しくは削除が適切かつ確実になされること。
五 委託先における個人データの加工(委託契約の範囲内のものを除く。)、改ざん等を禁止し、又は制限すること。
六 委託先における個人データの複写又は複製(安全管理上必要なバックアップを目的とするもの等委託契約範囲内のものを除く。第12条第3項第5号において同じ。)を禁止すること。
七 委託先が職員を基金に派遣して当該委託業務を行う場合にあっては、当該職員は、この規程を遵守するものであること。
八 基金は、委託先における個人情報の取扱い状況について調査及び報告の徴収ができること。
九 委託先において個人データの漏えい等の事故が発生した場合においては直ちに基金に報告させること。十 委託先において個人データの漏えい等の事故が発生した場合における委託先の責任が明確化されていること。
3 前項に掲げるもののほか、基金は、委託契約において、当該委託する業務の特性を十分勘案して、個人データの安全管理が図られるよう、必要な事項を定めるものとする。
(第三者提供の制限)
第 12 条 法第23条第1項各号、同条第2項又は同条第4項に掲げる場合を除き、基金は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
2 第3条第3項及び第4項の規定は、前項の本人の同意を得るための手続について準用する。
3 基金は、個人データの第三者への提供(法第23条第1項各号に掲げる場合を除く。)に当たって、次に掲げる事項に留意するものとする。
一 個人データの提供先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。
二 当該個人データの再提供を行うに当たっては、あらかじめ文書をもって基金の了承を得ること (ただし、当該再提供が、法第23条第1項各号に該当する場合を除く。)。
三 提供先における保管期間等を明確化すること。
四 利用目的の達成後の個人データの返却若しくは提供先における破棄または削除が適切かつ確実になされること。
五 提供先における個人データの複写及び複製を禁止すること。
(開示等の手続)
第 13 条 基金は、保有個人データに関し、法第24条第1項各号に掲げる事項について公表するものとする。
2 次の各号に掲げる事項(以下「保有個人データの開示等」という。)を請求する場合には、本人の氏名、請求の対象となる個人データ、請求する理由その他必要な事項を記載した文書をもって行わなければならない。
x x第23条第2項第4号に基づく個人データの提供の停止 二 法第24条第2項に基づく保有個人データの利用目的の通知三 法第25条第1項に基づく保有個人データの開示
四 法第26条第1項に基づく保有個人データの内容の訂正等五 法第27条第1項に基づく保有個人データの利用停止等
六 法第27条第2項に基づく保有個人データの第三者への提供の停止
3 前項の請求をする場合には、請求者は、本人又は法第29条第3項の代理人であることを証する書類を提示しなければならない。
4 第2項の請求において、請求者が個人情報の保護に関する法律施行令(平成15年政令第507号。以下
「令」という。)第8条第2号に規定する代理人である場合には、本人の委任状を第2項の文書に添付しなければならない。
5 基金は、保有個人データの開示等の決定を行ったときは、文書にて本人(令第8条第1号に掲げる法定代理人が請求した場合にあっては、本人又は当該法定代理人。以下、この条において同じ。)に通知するものとする。
6 基金は、本人から求められた保有個人データの開示等の措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、文書にてその理由を説明するものとする。
7 前各項に定めるもののほか、保有個人データの開示等の手続きについては、別に定める。
(手数料)
第 14 条 基金は、法第24条第2項の規定による利用目的の通知又は法第25条第1項の規定による保有個人データの開示を求められたときは、当該措置の実施に関し、理事長が別に定める手数料を徴収する。
(苦情等の処理)
第 15 条 基金に、その所掌する業務(基金から業務の委託を受けた事業者の当該受託業務を含む。)に係る個人情報の取扱いに関する苦情及び相談(以下「個人情報に関する苦情等」という。)を受け付けるための窓口を設けるものとする。
2 個人情報に関する苦情等は、口頭又は書面等にて行うものとする。
3 基金は、前項の規定による個人情報に関する苦情等があった場合には、適切かつ迅速に処理しなければならない。
4 基金は、前項の処理の経緯及び結果を記録しなければならない。
(漏えい等への対応)
第 16 条 基金は、個人情報の漏えい等の事故が発生した場合には、発生の事実について、直ちに厚生労働省に報告するものとする。
2 基金は、個人情報の漏えい等の事故が発生した場合には、発生の事実等について、速やかに本人に通知するものとする。
3 基金は、個人情報の漏えい等の事故が発生した場合には、当該漏えい等による被害の拡大の防止等のた
め、発生の事実、漏えい等への対応策及び再発防止策を、速やかに、厚生労働省に報告するとともに、公表するものとする。
附 則
1 この規程は、平成17年4月1日から施行する。
2 この規程が施行される前になされた本人の個人情報に関する同意がある場合において、その同
意が第3条第2項に規定する利用目的以外の目的による個人情報の取扱いを認める旨の同意に相当するものであるときは、同項の同意があったものとみなす。
3 この規程が施行される前になされた本人の個人情報に関する同意がある場合において、その同意が第12条第1項に規定する個人データの第三者への提供を認める旨の同意に相当するものであるときは、同項の同意があったものみなす。