Contract
一般社団法人 xx労働基準協会労働保険事務組合 個人情報取扱規程
第1章 総則
(目的)
第1条 本規程は、個人情報の保護に関する法律(平成15年5月30日法律第57号。以下「個人情報保護法」という。)、個人情報の保護に関する法律についてのガイドライン及び関連する法令等(以下「法令等」という。)に基づき、個人情報保護の重要性に鑑み、一般社団法人xx労働基準協会労働保険事務組合(以下「本組合」という。)が取り扱う個人情報の漏えい、滅失及び毀損等(以下「漏えい等」という。)を防止し、個人情報保護の徹底を図ることを目的とする。
(定義)
第2条 本規程において「個人情報」とは、個人情報保護法第2条第1項に規定する個人情報をいう。
2 本規程において「個人情報データベース等」とは、個人情報保護法第2条第4項に規定する個人情報データベース等をいう。
3 本規程において「個人データ」とは、個人情報保護法第2条第6項に規定する個人データをいう。
4 本規程において「保有個人データ」とは、個人情報保護法第2条第7項に規定する保有個人データをいう。
5 本規程において「本人」とは、個人情報保護法第2条第8項に規定する本人をいう。
6 本規程において「従業者」とは、本組合において直接又は間接に本組合の指揮監督を受けて、本組合の業務に従事している者等をいい、雇用関係にある者のみならず、理事、監事等役員も含む。
(適用)
第3条 本規程は、従業者に適用する。
2 本規程は、本組合が取り扱う個人情報を対象とする。
3 本規程に定めのない本組合における特定個人情報(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年5月31日法律第27号)第2条第5項に規定する個人番号及びこれをその内容に含む個人情報をいう。)の取扱いに関しては、別に定める特定個人情報取扱規程の定めに従う。
4 本規程に定めのない事項については、法令等に従う。
第2章 組織体制等
(個人データ管理責任者)
第4条 本組合は、個人データの取扱いに関して総括的な責任を有する個人データ管理責任者を置き、専務理事をもってこれに充てる。
2 個人データ管理責任者は、個人データの取扱いの管理を担当する事務取扱責任者を指名し、個人データを取り扱う事務取扱担当者の管理に関する業務を分担させることができる。
3 個人データ管理責任者は、個人データに関する監査を除き、次に掲げる事項その他本組合における個人データに関する権限と責務を有するものとする。
一 本規程に基づき個人データの取扱いを管理する上で必要とされる細則等の策定二 個人データに関する安全対策の策定・実施
三 個人データの適正な取扱いの維持・推進等を目的とした諸施策の策定・実施四 事故発生時の対応策の策定・実施
(事務取扱責任者)
第5条 事務取扱責任者は、次に掲げる事項の権限と責務を有するものとし、事務局長をこれに充てる。
一 個人データが本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うこと
二 個人データの利用申請の承認及び個人データの利用に関する記録等の承認、管理を行うこと
三 個人データの取扱状況等を把握すること
四 委託先における個人情報の取扱状況等を監督すること
五 個人情報の安全管理に関する教育及び研修を実施すること
六 前各号に掲げるもののほか、本組合における個人データの安全管理に関する事項について、個人データ管理責任者を補佐すること
(事務取扱担当者)
第6条 本組合における個人データを取り扱う事務については、事務取扱担当者が行うこととし、本組合における事務取扱担当者は事務取扱責任者が指名する者とする。
2 事務取扱担当者は、個人データを取り扱う業務に従事する際、法令等、本規程等及び事務取扱責任者の指示に従い、個人データの保護に十分な注意を払うものとする。
(管理区域及び取扱区域)
第7条 本組合は、個人データの漏えい等を防止するため、個人情報データベース等を取り扱うサーバーやパソコン等の重要な情報システムを管理する区域(以下「管理区域」という。)及び個人データを取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、次に掲げる方法により安全管理措置を講じるものとする。
一 管理区域については、入退室管理及び管理区域に持ち込む機器等を制限する等の安全管理措置を講じる
二 取扱区域については、他の区域との間仕切りを設置する等の措置及び座席配置等による安全管理措置を講じる
(従業者の教育)
第8条 本組合は、従業者に対して定期的な研修の実施又は情報提供等を行い、個人データの適正な取扱いを図るものとする。
(従業者の監督)
第9条 本組合は、個人データの適正な取扱いがなされるよう、従業者の監督を行う。
(個人情報取扱規程等に基づく運用)
第10条 本組合は、個人データの取扱状況を明確にするため、次の事項に係るシステムログ又は利用実績を記録する。
一 個人情報データベース等の入力・出力状況の記録二 書類・媒体等の持ち運びの記録
三 個人データの削除・廃棄記録
四 削除・廃棄を委託した場合、これを証明する記録等
五 個人情報データベース等に係る情報システムの利用状況(ログイン実績、アクセスログ等)の記録
(個人データの取扱状況の確認)
第11条 個人データ管理責任者は、本組合における個人データの取扱いが法令等及び本規程等に基づき適正に運用されていることを定期的に確認する。
(監査の実施)
第12条 監事は、本組合における個人データの取扱いが法令等及び本規程等と合致していることを定期的に確認する。
2 監事は、個人データの取扱いに関する監査結果を個人データ管理責任者に報告する。
(情報漏えい等事案への対応)
第13条 本組合は、個人データの漏えい等の事案が発覚した場合は、次に掲げる事項について必要な措置を講ずるよう努めるものとする。
一 事実関係の調査及び原因の究明二 影響範囲の特定
三 再発防止策の検討及び実施
四 影響を受ける可能性のある本人への連絡等五 事実関係及び再発防止策等の公表
六 個人情報保護委員会への報告
(苦情等への対応)
第14条 本組合は、本組合における個人データの取扱いに関する苦情等に対する窓口を設け、迅速な解決を図るものとする。
2 個人データ管理責任者は、前項の目的を達成するために必要な体制の整備を行うものとする。
(体制の見直し)
第15条 本組合は、必要に応じて個人データの取扱いに関する体制等について見直しを
行い、改善を図るものとする。
第3章 個人情報の取得、利用等
(利用目的に基づく取扱い)
第16条 本組合は、あらかじめ公表した利用目的の達成に必要な範囲で個人情報を取り扱うものとする。ただし、次に掲げる場合は、本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(個人情報の取得等)
第17条 本組合は、偽りその他の不正の手段により個人情報を取得しないものとする。また、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めるものとする。
(利用目的の通知等)
第18条 本組合は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知又は公表するものとする。また、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、次に掲げる場合については、この限りでない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより本組合の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
四 取得の状況からみて利用目的が明らかであると認められる場合
(公表等)
第19条 本組合は、個人情報を取り扱うにあたって、本組合のホームページに掲載すること等により、次に掲げる事項を公表することとする。
一 本組合の名称
二 保有個人データの利用目的
三 本人からの保有個人データの利用目的の通知の求め又は当該本人を識別する保有個人データの開示、訂正、追加若しくは削除、利用の停止若しくは消去若しくは第三者提供の停止(以下「開示等」という。)の請求に応じる手続
四 苦情又は相談の窓口
2 前項第三号の開示等の請求を受け付ける方法は、事務取扱責任者が別に定める。
第4章 個人データの保管、管理等
(個人データの保管及び管理)
第20条 本組合は、漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講じるものとする。
2 本組合は、情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、次に掲げる措置を講じる。
一 担当者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行うこと
二 個人データを取り扱う情報システムを使用する者が正当なアクセス権を有する者であることを、識別した結果に基づき認証すること
三 個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用すること
四 情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用すること
五 個人データをインターネット等により外部に送信するときは、通信経路における情報漏えい等を防止するため、通信経路の暗号化等の措置を講じること
六 委託組合員等の個人データを取り扱う基幹システムに接続されたネットワーク とインターネットに接続されたネットワークを物理的又は論理的に分離すること。また、基幹システムに保管されている個人情報を直接取り扱う作業は、インター ネットに接続されたパソコン等では行わないこと
七 サーバーやパソコン等にある個人データを外部機関等へ電磁的方法により移送する場合は、暗号化・パスワードの設定等を必ず行い、原則として、インターネット等を介した電子メール等での送信は行わず、電磁的記録媒体を使用する、又は専用線等のセキュリティが確保された通信を使用すること。また、作業に当たって一時的にパソコン等に個人情報を保存した場合は、作業終了後のデータ消去を徹底すること
(個人データの持ち運び等)
第21条 本組合において保有する個人データを持ち運ぶとき(郵送等により発送するときを含む。)は、次に掲げる方法により管理する。
一 個人データを含む書類等を持ち運ぶときは、封緘・目隠しシールの貼付等の容易に個人データが判明しない措置を講じる
二 個人データを磁気媒体等又は機器にて持ち運ぶときは、ファイルへのパスワードの付与等又はパスワードを付与できる機器の利用等の措置を講じる
第5章 個人データの第三者提供等
(第三者提供)
第22条 本組合は、第三者が次に掲げる事項を遵守することを了承した場合に限り、個人データ(個人番号を除く。以下この章において同じ。)を当該第三者に提供することができる。
一 当該個人データの改ざん及び複写又は複製(安全管理上必要なバックアップを目的とするものを除く)をしないこと
二 当該個人データの保管期間を明確にすること
三 利用目的達成後の当該個人データは、本組合に返却又は提供先において適切かつ確実に廃棄若しくは消去すること
四 当該個人データの漏えい等又は盗用をしないこと
2 前項の第三者提供を行う場合は、本組合は、あらかじめ本人の同意を得ることとする。
3 前2項の規定にかかわらず、本組合は、次に掲げる場合は、本人の同意を得ないで、個人データを第三者に提供することができる。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
4 第2項の規定にかかわらず、本組合は、あらかじめ次に掲げる事項を本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出た場合は、本人の同意を得ることなく、個人データ(法第2条第3項に規定する要配慮個人情報を除く。)を当該第三者に提供することができる。
一 第三者への提供を利用目的とすること二 第三者に提供する個人データの項目 三 第三者への提供の方法
四 本人の求めに応じて当該本人の識別される個人データの第三者への提供を停止すること
五 本人の求めを受け付ける方法
5 本組合は、他の個人情報取扱事業者(法第2条第5項に規定する個人情報取扱事業者をいう。)又は行政機関が保有する個人データ等の提供を受ける場合は、第1項各号の規定を遵守するものとする。
(第三者提供に係る記録の作成等)
第23条 本組合は、個人データを第三者に提供したときは、次に掲げる事項に関する記録を作成しなければならない。ただし、当該個人データの提供が、前条第3項各号に該当する場合は、この限りでない。
一 当該個人データを提供した年月日二 当該第三者の氏名又は名称
三 その他個人データ管理責任者が定める事項
2 本組合は、前項の記録を、当該記録を作成した日から一般社団法人xx労働基準協会書類保存規定で定める期間保存しなければならない。
(第三者提供を受ける際の確認等)
第24条 本組合は、第三者から個人データの提供を受けるとき(第22条第3項各号に該当する場合を除く。)は、次に掲げる事項を確認しなければならない。
一 当該第三者の氏名又は名称並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
二 当該第三者による当該個人データの取得の経緯
2 本組合は、前項の確認を行ったときは、次に掲げる事項に関する記録を作成しなければならない。
一 当該個人データの提供を受けた年月日二 当該確認に係る事項
三 その他個人情報保護委員会規則で定める事項
3 本組合は、前項の記録を、当該記録を作成した日から一般社団法人xx労働基準協会書類保存規定で定める期間保存しなければならない。
(委託等に基づく提供)
第25条 次に掲げる場合において、本組合から個人データの提供を受ける者は、前3条の規定の適用については、第三者に該当しないものとする。
一 本組合が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容
易に知り得る状態に置いているとき
(外国にある第三者への提供の制限)
第26条 本組合は、個人データを外国にある第三者に提供しないものとする。
第6章 個人データの開示、訂正、利用停止等
(開示)
第27条 本組合は、本人から本組合が保有する当該本人を識別する個人データについて開示の請求があったときは、遅滞なく、当該個人データを開示しなければならない。ただし、次に掲げる場合は、その全部又は一部を開示しないことができる。
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 本組合の業務の適正な実施に著しい支障を及ぼすおそれがある場合三 法令に違反することとなる場合
(訂正等)
第28条 本組合は、本人から本組合が保有する当該本人を識別する個人データについて訂正、追加又は削除(以下「訂正等」という。)の請求があったときは、利用目的の達成に必要な範囲内において、遅滞なく調査を行い、その結果に基づき、当該個人データの内容の訂正等を行わなければならない。
(利用停止等)
第29条 本組合は、本人から本組合が保有する当該本人を識別する個人データが違法に取り扱われている又は違法に取得されたものであるとして、当該個人データの利用の停止又は消去(以下「利用停止等」という。)の請求があった場合で、その請求に理由があることが判明したときは、違反を是正するために必要な範囲で、遅滞なく、当該個人データの利用停止等を行わなければならない。
2 本組合は、本人から本組合が保有する当該本人の個人データが違法に第三者に提供されているとして、当該第三者への提供の停止の請求があった場合、その請求に理由があることが判明したときは、遅滞なく、当該個人データの第三者への提供を停止しなければならない。
3 前2項の規定にかかわらず、本組合は、当該個人データの利用停止等又は第三者への提供の停止について、多額の費用を要することなどにより当該措置をとることが困難な場合は、本人の権利利益を保護するために必要なそれに代わるべき措置をとることができる。
(本人あて通知)
第30条 本組合は、前3条の開示等に関する対処について決定したときは、本人に対し、遅滞なく、その旨を通知する。
2 前項の決定が、本人から求められ、又は請求されたものと異なるものである場合は、本人に対し、その理由を説明するよう努めるものとする。
第7章 削除、廃棄
(個人データの削除、廃棄等)
第31条 本組合は、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めるものとする。
2 個人データが記載された文書等の廃棄を行う場合は、個人データを復元不可能な状態にしなければならない。
3 コンピュータ及び磁気媒体等の廃棄又は転売・譲渡等(リースの場合は返却)を行う場合は、コンピュータ及び磁気媒体等の中の個人データを復元不可能な状態にしなければならない。
4 本組合は、個人データが記載又は記録された文書等又は磁気媒体等を廃棄した場合には、当該廃棄及びこれに伴って個人データを復元不可能な状態としたことに係る記録を保存するものとする。
第8章 委託
(委託先の監督)
第32条 本組合は、本組合における個人データを取り扱う事務の全部又は一部を委託するときは、委託先と書面による委託契約の締結、または誓約書や合意書による合意をするとともに、委託先において安全管理が図られるよう、委託先に対する必要かつ適切な監督を行うこととする。
2 本組合は、委託先における個人データの保護体制が十分であることを確認した上で委託先を選定する。
3 第1項の委託契約又は合意においては、委託先に対する次に掲げる事項を盛り込むこととする。
一 委託先の個人データの取扱いに関する事項二 委託先の秘密の保持に関する事項
三 委託された個人データの再委託に関する事項 四 契約終了時の個人データの返却等に関する事項五 契約内容が遵守されなかった場合の措置
(再委託)
第33条 本組合は、委託先が、委託を受けた個人データを取り扱う事務の全部又は一部の再委託を行おうとする場合に、事前に本組合の承認を得、又は事前に本組合に報告することを求めることとする。
2 委託先が再委託するとき又は再委託先が再々委託するときは、委託先による再委託先の監督又は再委託先による再々委託先の監督について前条の規定を準用する。
3 本組合は、委託先による再委託先又は再委託先による再々委託先への必要かつ適切な監督の実施について監督するものとする。
第9章 その他
(要配慮個人情報の取扱い)
第34条 本組合は、あらかじめ本人の同意を得ないで要配慮個人情報(法第2条第3項に規定する要配慮個人情報をいう。)を取得しないものとする。ただし、法第17条第2項各号に基づき取得する場合は、この限りでない。
(匿名加工情報の取扱い)
第35条 本組合は、委託組合員等の個人情報を加工して得られる匿名加工情報(法第2条第9項に規定する匿名加工情報をいう。)を作成しないものとする。
(罰則)
第36条 本組合は、従業者が本規程に違反する行為を行ったときは、本組合の就業規則等に基づき処分する。
(実施規定)
第37条 この規程に定めるもののほか、本組合の個人情報の取扱いに関し必要な事項は、専務理事が別に定める。
附 則
第1条 本規程は、令和3年4月15日から実施する。