3 本会は,個人データが記録されたパーソナルコンピューター等(以下,「PC等」という。)及び電子媒体を廃棄するときは,物理的な破壊等の復元不能な措置を講ずるも のとする。
茨城県土地改良事業団体連合会個人情報保護に関する規程
(目 的)
第1条 この規程は,茨城県土地改良事業団体連合会(以下「本会」という。)の個人情報の保護について,必要な事項を定めることを目的とする。
(定 義)
第2条 本規程において,次の各号に掲げる用語は,個人情報の保護に関する法律(平成15年法律第 57号。以下「法」という。)第4条,第8条及び第60条に基づき定められた個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年個人情報保護委員会告示第6号。以下「ガイドライン(通則編)」という。)2の定義に従うものとする。
(1)個人情報
(2)要配慮個人情報
(3)個人情報データベース等
(4)個人情報取扱事業者
(5)個人データ
(6)保有個人データ
(7)本人に通知
(8)公表
(9)本人の同意
(10)提供
(一般原則)
第3条 本会は,本会が行う事務及び事業の遂行に当たって遵守すべき法令等の規定並びに法,個人情報保護に関する法律施行令(平成15年政令第507号。以下「政令」という。),個人情報保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「規則」という。)及び個人情報の保護に関する基本方針(平成16年4月2日閣議決定,平成20年4月25日一部変更,平成21年9月1日一部変更)の規定を遵守するほか,ガイドライン(通則編),「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成28年個人情報保護委員会告示第7号),「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成28年個人情報保護委員会告示第8号)及び「個人データの漏えい等事案が発生した場合の対応について(平成29年個人情報保護委員会告示第1号。以下「漏えい等事案対応について」という。)」の規定に従い個人情報を適正に取り扱うものとする。
(利用目的)
第4条 本会の保有する個人情報は,本会定款第4条に規定する事業の円滑な実施のために利用するものとし,その利用の目的(以下,「利用目的」という。)をできる限り特定しなければならない。
2 本会は,前項に基づき通知又は公表された利用目的と関連性を有すると合理的に認められる範囲である場合に限り,利用目的の変更を行うことができる。
3 本会は,前項の変更をした場合,変更された利用目的について本人に通知し,又は公表しなければならない。
(利用目的による制限)
第5条 前条第1項に規定する利用目的(前条第2項による変更後の利用目的を含む)の達成に必要な範囲を超えて個人情報を取扱う場合は,あらかじめ本人の同意を得るものとする。
2 前項に規定する本人の同意を得るに当たっては,書面により同意を得ることを原則とする。
3 第1項の規定は,次に掲げる場合については,適用しない。
(1)法令に基づく場合
(2)人(法人を含む。以下同じ。)の生命,身体又は財産の保護のために必要がある場合であって,本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって,本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって,本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(取得に際しての利用目的の通知等)
第6条 本会は,個人情報を取得した場合は,あらかじめその利用目的を公表している場合を除き,速やかに,その利用目的を,本人に通知し,又は公表するものとする。
2 本会は,契約書,アンケートなど書面等により,直接本人から個人情報を取得する場合は,あらかじめ,本人に対し,書面により利用目的を明示するものとする。ただし,人(法人を含む。)の生命,身体又は財産の保護のために緊急に必要がある場合はこの限りではないが,その場合は,前項の規定に基づいて,取得後,速やかにその利用目的を,本人に通知し,又は公表するものとする。
3 第1項及び第2項の規定は,次に掲げる場合については,適用しない。
(1)利用目的を本人に通知し,又は公表することにより本人又は第三者の生命,身体,財産その他の権利利益を害するおそれがある場合
(2)利用目的を本人に通知し,又は公表することにより本会の権利又は正当な利益を害するおそれがある場合
(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある
場合であって,利用目的を本人に通知し,又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(4)取得の状況からみて利用目的が明らかであると認められる場合
(適正な取得)
第7条 本会は,偽りその他不正の手段により個人情報を取得してはならない。
2 本会は,次に掲げる場合を除くほか,あらかじめ本人の同意を得ないで,要配慮個人情報を取得してはならない。
(1)法令に基づく場合
(2)人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成のために特に必要がある場合であって,本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって,本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5)当該要配慮個人情報が,本人,国の機関,地方公共団体,法第76条第1項各号に掲げる者その他規則で定める者により公開されている場合
(6)本人を目視し,又は撮影することにより,その外形上明らかな要配慮個人情報を取得する場合
(7)法第23条第5項各号に掲げる場合において,個人データである要配慮個人情報の提供を受けるとき。
(個人データの内容の正確性の確保)
第8条 本会は,第4条に規定する利用目的の達成に必要な範囲内において,取扱う個人データを正確かつ最新の内容に保つよう努めるものとする。
(個人情報保護管理者等)
第9条 本会は,個人情報の適正な取扱いのため,個人情報保護管理者(本会の個人情報の取扱いに関する責任者をいう。以下同じ。)を置くものとする。
2 本会の個人情報保護管理者は事務局長とする。
3 個人情報保護管理者は,本会における個人情報の取得及び個人データの安全管理に関する業務を統括するとともに,本規程に定められた事項を理解し,遵守するとともに,役職員にこれを理解させ,遵守させるための研修,安全対策の実施並びに周知徹底その他個人データの取扱いの監督を行うものとする。
4 個人情報保護管理者は,前項の目的を達成するため,必要に応じて本会の役職員を対象とする研修等を適宜行うものとする。
5 前項に規定する研修等においては,職員がその在職中又は退職後,その業務に関して知り得た個人情報の内容を正当な権限なく他人に知らせ又は不当な目的に使用しないようにするための内容を含むものとする。
6 本会の役職員は,本会における個人データの取扱い又は委託処理等,個人データを取扱う業務に従事する際,法,政令及び規則並びにその他の関連法令,ガイドライン,本規程及び個人情報保護管理者の指示に従い,個人データの取扱いに十分な注意を払ってその業務を行うものとする。
7 本会の役職員は,本会における個人データの取扱い又は委託処理等,個人データを取扱う業務が法,政令及び規則並びにその他の関連法令,ガイドライン,本規程及び個人情報保護管理者の指示に反している事実又は兆候を把握した場合は,速やかに個人情報保護管理者に報告するものとする。
(個人情報データベース等の管理)
第10条 個人情報保護管理者は,本会における個人情報データベース等の取扱いを適正に管理するため,
「個人情報データベース等管理台帳」を作成するものとする。
2 本会の職員は,個人情報データベース等を調製又は取得したときは,速やかに同台帳に定める事項を個人情報保護管理者に報告するものとする。
3 本会の職員は,前項により報告した事項に変更が生じた場合及び報告した個人情報データベース等を削除又は廃棄する場合は,速やかに個人情報保護管理者にその旨を報告するものとする。
(個人データの削除・廃棄)
第11条 本会は,その取り扱う個人データについて,利用目的の達成に必要な範囲内で保存期間を定めるものとし,当該保存期間経過後又は利用目的を達成した後は,遅滞なくこれを消去又は廃棄するものとする。
2 本会は,個人データが記録された書類を廃棄するときは,xxxxxx等による裁断又は焼却
・溶解等の復元不能な手段を用いるものとする。
3 本会は,個人データが記録されたパーソナルコンピューター等(以下,「PC等」という。)及び電子媒体を廃棄するときは,物理的な破壊等の復元不能な措置を講ずるものとする。
4 本会は,第2項及び第3項に規定する廃棄を外部の業者に委託するときは,当該業者に対し,復元不能な方法により廃棄した旨の証明書を徴するものとする。
(物理的安全管理措置)
第12条 本会は,個人データを記録するPC等の使用に当たっては,次に掲げる措置を講ずるものとする。
(1)PC等は,セキュリティーワイヤーにより固定するとともに,当該PC等に係るパスワードを設定すること
(2)個人データを含む書類及び電子媒体は,施錠できる書庫等に保管すること
2 本会は,本会の情報システムを外部からの不正アクセス等から次の方法により保護するものと
する。
(1)情報システムと外部ネットワークとの接続箇所に,ファイアウォール等を設置し不正アクセスを遮断する方法
(2)情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する方法
(個人データを含む書類等の移送)
第13条 本会は,個人データが記録された書類又は電子媒体等を移送(本会事務所以外へ移動させることをいう。)する場合,次に掲げる措置を講ずるものとする。
(1)職員自ら持参により移送する場合は,個人データが記録された書類を封筒,書類鞄等に納めて個人データが見えないようにするほか,盗難,置き忘れに注意することとし,電子媒体にあっては,パスワードの設定を行うこと
(2)郵便の利用等移送を外部に委託する場合は,誤送付に十分注意するとともに,追跡可能な移送手段を選択すること
(3)電子メールの送信による移送をする場合は,他の方法により難い事情がある場合に限り行うこととし,その場合,送信データにパスワードの設定を行うこと
(4)FAX送信による移送は,他に適当な手段がない場合に限り行うこととし,誤送信に十分注意して行うこと
(委託先の監督)
第14条 本会が個人データの取扱いの全部又は一部を委託する場合は,本会自らが果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう,次のとおり必要かつ適切な監督を行うものとする。
(1)委託先の選定に当たっては,委託先の個人情報保護に関する規程の整備状況,従業者に対する監督・教育の状況及びその他の安全管理の措置状況等から,委託する業務内容に従って,個人データの安全管理が確実に実施されるものであることを,あらかじめ確認すること
(2)委託先との契約締結に当たっては,秘密保持義務,個人情報等の目的外利用の禁止,再委託における条件,漏えい等事案が発生した場合の委託先の対応,委託契約終了後の個人情報等の返却又は廃棄,従業者に対する監督・教育,契約内容の遵守状況についての報告及び本会が委託先に対して行う実地の調査等について委託契約書に盛り込むこと
(3)委託先における委託された個人データの取扱状況を把握するため,適宜,報告を求め,又は実地の調査を行うこと
2 再委託については,次の要件を満たすものとする。なお,再委託先が更に再委託する場合も同様とする。
(1)委託先は,本会が承諾をした場合に限り,委託を受けた個人データの取扱関係事務の全部又は一部を再委託することができるものとする。
(2)前号に規定する承諾は,再委託先について前項第一号の確認ができるほか,委託先が再委託
先に対しても必要かつ適切な監督を行うこと等が,当該再委託契約書から明らかである場合に限り行うことができるものとする。
(取扱状況の内部監査)
第15条 本会監事は,本会の個人データの取扱状況について定期的に監査する。
2 個人情報保護管理者は内部監査の報告を受け,本会の個人データの取扱状況について改善の必要を認めたときは,必要に応じて本規程の改正又は関係役職員の指導その他の措置を講ずるものとする。
(第三者提供の制限)
第16条 本会は,次に掲げる場合を除くほか,あらかじめ本人の同意を得ないで,個人データを第三者に提供しないものとする。なお,この同意は原則として書面によるものとする。
(1)法令に基づく場合
(2)人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって,本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して本会が協力する必要がある場合であって,本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 本会は,第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について,本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止する場合,次の事項について,あらかじめ,本人に通知し,又は本人が容易に知り得る状態に置くとともに,個人情報保護委員会が定める様式を用いて同委員会に届け出たときは,前項の規定の規定にかかわらず,当該個人データを第三者に提供することができる。
(1)第三者への提供を利用目的とすること
(2)第三者に提供される個人データの項目
(3)第三者への提供の方法
(4)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
(5)本人の求めを受け付ける方法
3 本会は,前項第2号,第3号又は第5号に掲げる事項を変更する場合は,変更する内容について,あらかじめ,本人に通知し,又は本人が容易に知り得る状態に置くとともに,個人情報保護委員会に届け出なければならない。
4 第2項及び第3項における「あらかじめ本人に通知し,又は本人が容易に知り得る状態に置く」とは以下のいずれかの措置を講ずることをいう。
(1)第三者に提供される個人データによって識別される本人が当該提供の停止を求めるのに必要な期間をおくこと。
(2)本人が第三者に提供される個人データその他第2項各号の事項を確実に認識できる適切かつ
合理的な方法によること。
5 本会は,第2項及び第3項による個人情報保護委員会に対する届出事項が同委員会により公表された後,速やかに,インターネットの利用その他の適切な方法により,第三者に提供される第
2項各号の事項(変更があったときは,変更後の事項)を公表するものとする。
6 次に掲げる場合は,当該個人データの提供を受ける者は「第三者」には該当しないものとし,前3項の規定にかかわらず,当該個人データを提供することができるものとする。
(1)利用目的達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
(2)個人データを特定の者との間で共同して利用する場合であって,次に掲げる事項について,当該共同利用をする前にあらかじめ,本人に通知し,又は本人が容易に知り得る状態に置いているとき。
(ア)共同利用をする旨
(イ)共同して利用される個人データの項目
(ウ)共同して利用する者の範囲
(エ)利用する者の利用目的
(オ)個人データの管理について責任を有する者(共同利用者の中で,第一次的に苦情の受付・処理,開示,訂正等を行う権限のある者)の氏名又は名称
7 本会は,前項第2号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は,変更する内容について,あらかじめ,本人に通知し,又は本人が容易に知り得る状態に置かなければならない。
(外国にある第三者への提供の制限)
第17条 前条にかかわらず,本会が外国(本邦の域外にある国又は地域をいう。以下同じ。)にある第三者に個人データを提供する場合は,前条第1項各号に該当する場合を除き,あらかじめ当該外国の第三者への提供を認める旨の本人同意を得なければならない。
(第三者提供をする際の記録)
第18条 本会は,個人データを第三者に提供したときは,第三者提供に係る記録を作成しなければならない。ただし,当該個人データの提供が第16条第1項各号に該当する場合又は同条第6項各号若しくは次の各号のいずれかに該当する場合は,この限りでない。
(1)国の機関
(2)地方公共団体
(3)独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第5 9号)第2条第1項に規定する独立行政法人等をいう。)
(4)地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。)
2 第三者に個人データの提供をする場合の記録は,別紙様式2「個人データ提供記録簿」を用いて作成するものとする。
(第三者提供を受ける際の確認及び記録)
第19条 本会は,第三者から個人データの提供を受けるに際しては,次に掲げる事項の確認を行うものとする。ただし,当該個人データの提供が第16条第1項各号に該当する場合又は同条第6項各号のいずれかに該当する場合は,この限りでない。
(1)当該第三者の氏名又は名称及び住所並びに法人にあっては,その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては,その代表者又は管理人)の氏名
(2)当該第三者による当該個人データの取得の経緯
2 第三者から個人データの提供を受ける場合の記録は,別紙様式3「個人データ受領記録簿」を用いて作成するものとする。
(個人情報の取扱いに関する事項の公表等)
第20条 本会は,個人情報の取扱いに関する次に掲げる事項を記載した書面(個人情報の保護に関する基本方針)を事務所に備えるとともに,ホームページ上に公表するものとする。
(1)本会の名称
(2)関係法令及びガイドラインの遵守に関する事項
(3)個人情報の利用目的その他の取扱いに関する事項
(4)安全管理措置に関する事項
(5)保有個人データの開示等を請求する場合の手続及び手数料
(6)個人情報の取扱いに関する意見,苦情又は開示等の請求の連絡先
(保有個人データの利用目的の通知)
第21条 本会に対し,本人から,当該本人が識別される保有個人データの利用目的の通知を求められたときは,本人に対し,遅滞なく,これを通知するものとする。ただし,第6条第3項第1号から第3号までに該当する場合は,この限りではない。
2 本会は,前項の規定により求められた保有個人データの利用目的を通知しない旨の決定をしたときは,本人に対し,遅滞なく,当該決定をした旨及びその理由を通知するものとする。
(保有個人データの開示等)
第22条 本会は,本人から,当該本人が識別できる保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を請求されたときは,本人に対し,書面を交付する方法(開示の請求を行った者が同意した方法があるときは,当該方法)により,遅滞なく,当該保有個人データを開示するものとする。ただし,開示することにより次の各号のいずれかに該当する場合は,その全部又は一部を開示しないことができる。なお,開示に当たり,当該保有個人データの取得元又は取得方法をできる限り明らかにするものとする。
(1)本人又は第三者の生命,身体,財産その他の権利利益を害するおそれがある場合
(2)本会の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
2 前項の規定により求められた保有個人データの全部又は一部について開示しない旨の決定をし
たときは,本人に対し,遅滞なく,当該決定をした旨及びその理由を通知するものとする。
(保有個人データの訂正等)
第23条 本会は,本人から,当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正,追加又は削除(以下「訂正等」という。)を請求された場合には,利用目的の達成に必要な範囲内において,遅滞なく事実の確認等の必要な調査を行い,その結果に基づき,当該保有個人データの訂正等を行うものとする。
2 前項の規定により請求された保有個人データの内容の全部若しくは一部について訂正等を行ったとき,又は訂正等を行わない旨の決定をしたときは,本人に対し,遅滞なく,その旨及びその理由(訂正等を行ったときは,その内容を含む。)を通知するものとする。
(保有個人データの利用の停止,消去及び第三者への提供の停止)
第24条 本会は,本人から,当該本人が識別される保有個人データがその取得又は取扱いに必要な本人の同意を得ないで行われているという理由,若しくは,偽りその他不正な手段により取得されたものであるという理由によって,当該保有個人データの利用の停止,消去(以下,本条において
「利用停止等」という。)を請求された場合であって,その請求に理由があることが判明したときは,当該保有個人データの利用停止等を行うものとする。ただし,利用停止等を行うことに多額の費用を要する場合その他利用停止等を行うことが困難な場合であって,当該本人の権利利益を保護するために必要なこれに代わるべき措置をとる場合はこの限りでない。
2 本会は,本人から,当該本人が識別される保有個人データが,正当な理由なく本人の同意を得ないで第三者(外国にある第三者を含む)に提供されているという理由によって,当該保有個人データの第三者への提供の停止を請求された場合であって,その請求に理由があることが判明したときは,当該保有個人データの提供を停止するものとする。ただし,当該保有個人データの第三者への提供の停止を行うことに多額の費用を要する場合その他利用停止等を行うことが困難な場合であって,当該本人の権利利益を保護するために必要なこれに代わるべき措置をとる場合はこの限りでない。
3 本会は,前2項に規定する請求に対し,保有個人データの全部又は一部について,その請求に応じる決定をしたときは,その旨を,また,その請求に応じない旨の決定をしたときは,本人に対して,遅滞なく,その旨及びその理由を通知するものとする。
(開示等の請求に応じる手続)
第25条 第21条第1項(保有個人データの利用目的の通知の求め),第22条第1項(保有個人データの開示の請求),第23条第1項(保有個人データの訂正等の請求),第24条第1項(保有個人データの利用停止等の請求)又は第24条第2項(保有個人データの第三者への提供停止の請求)の規定による請求(以下この条において「開示等の請求」という。)を行う者は,開示等の請求を行う旨及びその内容を記載した書面を会長へ提出するとともに,次に掲げる書類を添付しなければならない。
(1)開示等の請求をする者が本人である場合は,本人であることを示す書類の写し
(2)開示等の請求をする者が未xx者,xx被後見人の法定代理人若しくは開示等の請求をすることにつき本人が委任した代理人である場合は,代理人であることを証する書類
(手数料)
第26条 第21条第1項(保有個人データの利用目的の通知の求め)及び第22条第1項(保有個人データの開示の請求)に規定する開示等にあたっては,必要に応じて手数料を徴収するものとする。
2 前項に規定する手数料の納付は,現金支払又は振込によるものとする。ただし,送料については,郵便切手によることができるものとする。
3 前各項にかかわらず,送料が郵便切手で納付される場合で,かつ手数料が少額であるときは,当該手数料を免除することができるものとする。
(苦情の処理)
第27条 本会は,個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めるものとする。
2 前項の目的を達成するために,苦情の適切かつ迅速な処理は,個人情報保護責任者が担当するものとする。
(漏えい等事案)
第28条 次の各号のいずれかに該当する事案を漏えい等事案とする。
(1)本会が保有する個人データ(特定個人情報に係るものを除く。)の漏えい,滅失又は毀損
(2)前号のおそれ
(漏えい等事案が発覚した場合の対応)
第29条 本会職員は,前条各号に定める漏えい等事案が発生したことを知った場合又はその可能性が高いと判断した場合は,直ちに個人情報保護管理者に報告するものとする。
2 個人情報保護管理者は,前項の報告を受けたとき又は自ら知ったときは直ちに専務理事に報告し,専務理事の指示に従って次の事項について必要な措置を講じるものとする。
(1)被害の拡大防止
(2)事実関係の調査及び原因の究明
(3)影響の範囲を特定
(4)再発防止策の検討及び実施
(5)影響を受ける可能性のある本人への連絡等
(6)事実関係及び再発防止策等の公表
3 専務理事は,前項の報告を受けたとき又は自ら知ったときは,本規程及び個人情報保護委員会が定める「漏えい等事案対応について」に基づき適切に対処するものとする。
(個人情報保護委員会への報告)
第30条 本会は,第28条に規定する漏えい等事案が発生した場合には,速やかに個人情報保護委員会に報告する。
2 前項にかかわらず,次の各号のいずれかに該当する場合は,個人情報保護委員会に報告することを要しない。
(1)実質的に個人データが外部に漏えいしていないと判断される場合
(2)FAX若しくはメールの誤送信又は荷物の誤配等による漏えい等事案のうち,宛名及び送信者名以外に個人データが含まれていない場合
3 個人情報保護管理者は,第1項の規定に基づき個人情報保護委員会に報告がされた場合は,その旨を茨城県及び関東農政局の担当部局に報告するものとする。
(補則)
第31条 この規程に定めがない事項その他この規程について必要な事項は,会長が別に定める。
x x
1.この規程は,平成26年1月29日から施行する。
2. この規程の一部改正は, 平成30年1月30日から施行する。
-11-