Contract
全環境企業年金基金 個人情報保護管理規程
第1章 x x
(目的)
第1条 本規程は、個人情報の保護に関する法律(平成15 年5 月30 日法律第57 号。以下「法」という。)、個人情報の保護に関する法律についてのガイドライン及び関連する法令等(以下
「法令等」という。)に基づき、個人情報保護の重要性に鑑み、全環境企業年金基金(以下「当基金」という。)における加入者及び加入者であった者(以下「加入者等」という。)の個人
情報の漏えい、滅失及び毀損等(以下「漏えい等」という。)を防止し、個人情報保護の徹底を図ることを目的とする。
(定義)
第2条 本規程において「個人情報」とは、法第 2 条第 1 項に規定する個人情報をいう。
2 本規程において「個人情報データベース等」とは、法第 16 条第 1 項に規定する個人情報データベース等をいう。
3 本規程において「個人データ」とは、法第 16 条第 3 項に規定する個人データをいう。
4 本規程において「保有個人データ」とは、法第 16 条第 4 項に規定する保有個人データをいう。
5 本規程において「本人」とは、法第 2 条第 4 項に規定する本人をいう。
6 本規程において「従業者」とは、当基金にあって、直接又は間接に当基金の指揮監督を受けて、当基金の業務に従事している者をいう。
7 本規程において「仮名加工情報」とは、法第 2 条第 5 項に規定する仮名加工情報をいう。
8 本規程において「匿名加工情報」とは、法第 2 条第 6 項に規定する匿名加工情報をいう。
9 本規程において「個人関連情報」とは、法第 2 条第 7 項に規定する個人関連情報をいう。
(適用)
第3条 本規程は、従業者に適用する。
2 本規程は、当基金が取り扱う加入者等に係る個人情報を対象とする。
3 本規程に定めのない当基金における特定個人情報(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成 25 年 5 月 31 日法律第 27 号)第 2 条第 5 項に規定する個人番号及びこれをその内容に含む個人情報をいう。以下同じ。)の取扱いに関しては、別に定める特定個人情報取扱規程の定めに従う。
4 本規程に定めのない事項については、法令等に従う。
第2章 組織体制等
(個人データ管理責任者)
第4条 当基金は、個人データの取扱いに関して総括的な責任を有する個人データ管理責任者を置き、常務理事をもってこれに充てる。
2 個人データ管理責任者は、個人データの取扱いの管理を担当する事務取扱責任者を指名し、個人データを取り扱う事務取扱担当者の管理に関する業務を分担させることができる。
当基金は、事務長をもってこれに充てる。
3 個人データ管理責任者は、個人データに関する監査を除き、次に掲げる事項その他当基金における個人データに関する権限と責務を有するものとする。
一 本規程に基づき個人データの取扱いを管理する上で必要とされる細則等の策定二 個人データに関する安全対策の策定・実施
三 個人データの適正な取扱いの維持・推進等を目的とした諸施策の策定・実施四 事故発生時の対応策の策定・実施
(事務取扱責任者)
第5条 事務取扱責任者は、次に掲げる事項の権限と責務を有するものとする。
一 個人データが本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うこと
二 個人データの利用申請の承認及び個人データの利用に関する記録等の承認、管理を行うこと三 個人データの取扱い状況等を把握すること
四 委託先における個人情報の取扱状況等を監督すること
五 個人情報の安全管理に関する教育及び研修を実施すること
六 前各号に掲げるもののほか、当基金における個人データの安全管理に関する事項について、個人データ管理責任者を補佐すること
(事務取扱担当者)
第6条 当基金における個人データを取り扱う事務については、事務取扱担当者が行うこととし、当基金における事務取扱担当者は各業務担当者とする。
2 事務取扱担当者は、個人データを取り扱う業務に従事する際、法令等、本規程等及び事務取扱責任者の指示に従い、個人データの保護に十分な注意を払うものとする。
(管理区域及び取扱区域)
第7条 当基金は、個人データの漏えい等を防止するため、個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域(以下「管理区域」という。)及び個人データを取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、次に掲げる方法により安全管理措置を講ずるものとする。
一 管理区域については、入退室管理及び管理区域に持ち込む機器等を制限する等の安全管理措置を講じる
二 取扱区域については、他の区域との間仕切りを設置する等の措置及び座席配置等による安全管理措置を講じる
(従業者の教育)
第8条 当基金は、従業者に対して定期的な研修の実施又は情報提供等を行い、個人データの適正な取扱いを図るものとする。
(従業者の監督)
第9条 当基金は、個人データの適正な取扱いがなされるよう、従業者の監督を行う。
(個人情報保護管理規程等に基づく運用)
第10条 当基金は、個人データの取扱状況を明確にするため、次の事項に係るシステムログ又は利用実績を記録する。
一 個人情報データベース等の入力・出力状況の記録二 書類・媒体等の持ち運びの記録
三 個人データの削除・廃棄記録
四 削除・廃棄を委託した場合、これを証明する記録等
五 個人情報データベース等に係る情報システムの利用状況(ログインの実績、アクセスログ等)の記録
(個人データの取扱状況の確認)
第11条 個人データ管理責任者は、当基金における個人データの取扱いが法令等及び本規程等に基づき適正に運用されていることを定期的に確認する。
(監査の実施)
第12条 基金監事は、当基金における個人データの取扱いが法令等及び本規程等と合致していることを定期的に確認する。
2 基金監事は、個人データの取扱いに関する監査結果を個人データ管理責任者に報告する。
(情報漏えい等事案への対応)
第13条 当基金は、個人データの漏えい等の事案が発覚した場合は、次に掲げる事項について必要な措置を講じなければならない。
一 当基金内部における個人データ管理責任者への報告及び被害の拡大防止二 事実関係の調査及び原因の究明
三 影響範囲の特定
四 再発防止策の検討及び実施五 地方厚生局への速やかな報告
2 当基金は、漏えい等その他の個人データの安全の確保に係る事態であって個人の権利利益を害する恐れが大きいものとして個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第 3 号。以下「個人情報保護委員会規則」という。)で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が発生した旨を個人情報保護委員会に報告しなければならない。
3 当基金は、前項に規定する場合には、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するための必要なこれに代わるべき措置をとるときは、この限りでない。
4 当基金は、個人データの漏えい等の事実が発覚した場合(第 2 項に規定する場合を除く。)は、影響を受ける可能性のある本人への連絡等を行うよう努めるものとする。
5 当基金は、個人データの漏えい等の事実が発覚した場合は、事実関係及び再発防止策等について、速やかに公表するよう努めるものとする。
(苦情等への対応)
第14条 当基金は、当基金における個人データの取扱いに関する苦情等に対する窓口を設け、迅速な解決を図るものとする。
2 個人データ管理責任者は、前項の目的を達成するために必要な体制の整備を行うものとする。
(体制の見直し)
第15条 当基金は、必要に応じて個人データの取扱いに関する体制等について見直しを行い、改善を図るものとする。
第3章 個人情報の取得、利用等
(利用目的に基づく取扱い)
第16条 当基金は、あらかじめ公表した利用目的の達成に必要な範囲で個人情報を取り扱うものとする。ただし、次に掲げる場合は、本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。
一 法令に基づく場合
二 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(不適正な利用の禁止)
第 16 条の 2 当基金は、違法または不当な行為を助長し、または誘発する恐れがある方法により個人情報を利用してはならない。
(個人情報の取得等)
第17条 当基金は、偽りその他の不正の手段により個人情報を取得しないものとする。また、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めるものとする。
(利用目的の通知等)
第18条 当基金は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知又は公表するものとする。また、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、次に掲げる場合については、この限りでない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当基金の権利又は正当な利益を害するおそれがある場合
三 国の機関または地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
四 取得の状況からみて利用目的が明らかであると認められる場合
(公表等)
第19条 当基金は、個人情報を取り扱うにあたって、当基金のホームページに掲載することにより、次に掲げる事項を公表することとする。
一 当基金の名称及び住所並びに代表者の氏名二 保有個人データの利用目的
三 加入者等からの保有個人データの利用目的の通知の求め又は当該本人を識別する保有個人データの開示、訂正、追加若しくは削除、利用の停止若しくは消去若しくは第三者提供の停止
(以下「開示等」という。)の請求に応じる手続
四 保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことにより当該保護個人データの安全管理に支障を及
ぼすおそれがあるものを除く。)五 苦情又は相談の窓口
2 前項第三号の開示等の請求を受け付ける方法は、個人データ管理責任者が別に定める。
第4章 個人データの保管、管理等
(個人データの保管および管理)
第20条 当基金は、漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講じるものとする。
2 当基金は、情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、次に掲げる措置を講じる。
一 担当者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行うこと
二 個人データを取り扱う情報システムを使用する者が正当なアクセス権を有する者であることを、識別した結果に基づき認証すること
三 個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用すること
四 情報システムの仕様に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用すること
五 個人データをインターネット等により外部に送信するときは、通信経路における情報漏えい等を防止するため、通信経路の暗号化等の措置を講じること
六 加入者等の個人データを取り扱う基幹システムに接続されたネットワークとインターネットに接続されたネットワークを物理的又は論理的に分離すること。また、基幹システムに保管されている個人情報を直接取り扱う作業は、インターネットに接続されたパソコン等では行わないこと
七 基幹システムにある個人データを外部機関等へ電磁的方法により移送する場合は、暗号化・パスワードの設定等を必ず行い、原則として、インターネット等を介した電子メール等での送信は行わず、電磁的記録媒体を使用する、または専用線等のセキュリティが確保された通信を使用すること。また、作業にあたって一時的にパソコン等に個人情報を保存した場合は、作業終了後のデータ消去を徹底すること
(個人データの持ち運び等)
第 21 条 当基金において保有する個人データを持ち運ぶとき(郵送等により発送するときを含む。)は、次に掲げる方法により管理する。
一 個人データを含む書類等を持ち運ぶときは、封緘・目隠しシールの添付等の用意に個人データが判明しない措置を講じる
二 個人データを磁気媒体等又は機器にて持ち運ぶときは、ファイルへのパスワードの付与等
又はパスワードを付与できる機器の利用等の措置を講じる
第5章 個人データの第三者提供等
(第三者提供)
第 22 条 当基金は、第三者が次に掲げる事項を遵守することを了承した場合に限り、個人データ
(特定個人情報を除く。以下この章において同じ。)を当該第三者に提供することができる。
一 当該個人データの改ざん及び複写又は複製(安全管理上必要なバックアップを目的とするものを除く。)をしないこと
二 当該個人データの保管期間を明確にすること
三 利用目的達成後の当該個人データは、当基金に返却又は提供先において適切かつ確実に廃棄若しくは消去すること
四 当該個人データの漏えい等又は盗用をしないこと
五 当該個人データの漏えい等の事案が発覚した場合の当基金への報告
2 前項の第三者提供を行う場合は、当基金は、あらかじめ本人の同意を得ることとする。
3 前 2 項の規定に関わらず、当基金は、次に掲げる場合は、本人の同意を得ないで個人データを第三者に提供することができる。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
4 第 2 項の規定にかかわらず、当基金は、あらかじめ次に掲げる事項を本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出た場合は、本人の同意を得ることなく、個人データを当該第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報(法第 2 条第 3 項に規定する要配慮個人情報をいう。以下同じ。)又は法第 20 条第 1 項の規定に宇反して取得されたものもしくは他の個人情報取扱事業者(法第 16 条第 2 項に規定する個人情報取扱事業者をいう。以下同じ。)から法第 27 条第 2 項の規定により提供されたものである場合は、この限りでない。
一 当基金の名称及び住所並びに代表者の氏名二 第三者への提供を利用目的とすること
三 第三者に提供する個人データの項目
四 第三者の提供する個人データの取得の方法五 第三者への提供の方法
六 本人の求めに応じて当該本人の識別される個人データの第三者への提供を停止すること七 本人の求めを受け付ける方法
八 前各号に掲げるもののほか、個人情報保護委員会規則で定める事項
5 当基金は、前項第一号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第三号から第五号まで、第七号又は第八号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
6 当基金は、他の個人情報取扱事業者又は行政機関が保有する個人データ等の提供を受ける場合は、第 1 項各号の規定を遵守するものとする。
(第三者提供に係る記録の作成等)
第 23 条 当基金は、個人データを第三者に提供したときは、次に掲げる事項に関する記録を作成しなければならない。ただし、当該個人データの提供が、前条第 3 項各号に該当する場合は、この限りでない。
一 当該個人データを提供した年月日二 当該第三者の氏名または名称
三 その他個人情報保護委員会規則で定める事項
2 当基金は、前項の記録を、当該記録を作成した日から個人情報保護委員会会則で定める期間保存しなければならない。
(第三者提供を受ける際の確認等)
第 24 条 当基金は、第三者から個人データの提供を受けるとき(第 22 条第 3 項各号に該当する場合を除く。)は、次に掲げる事項を確認しなければならない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
二 当該第三者による当該個人データの取得の経緯
2 当基金は、前項の確認を行ったときは、次に掲げる事項に関する記録を作成しなければならない。
一 当該個人データの提供を受けた年月日二 当該確認に係る事項
三 前二号に掲げるもののほか、個人情報保護委員会規則で定める事項
3 当基金は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
(委託等に基づく提供)
第 25 条 次に掲げる場合において、前3条の規定の適用については、当基金から個人データの提
供を受ける者は、第三者に該当しないものとする。
一 当基金が利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
2 当基金は、前項第三号に規定する個人データの管理について責任を有する者の氏名、名称もしくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(外国にある第三者への提供の制限)
第 26 条 当基金は、個人データを外国にある第三者に提供しないものとする。
第 6 章 個人データの開示、訂正、利用停止等
(開示)
第 27 条 当基金は、本人から当基金が保有する当該本人が識別される保有個人データ又は第三者提供記録(法第 29 条第1項及び法第 30 条第3項の記録(その存否が明らかになることによ
り公益その他の利害が害されるものとして個人情報の保護に関する法律施行令(平成 15 年政
令第507 号)で定めるものを除く。)について、電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示の請求があったときは、当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データ又は当該第三者提供記録を開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部または一部を開示しないことができる。
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合二 当基金の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 法令に違反することとなる場合
(訂正等)
第28 条 当基金は、本人から当該本人が識別される保有個人データについて訂正、追加又は削除
(以下「訂正等」という。)の請求があったときは、利用目的の達成に必要な範囲内において、遅滞なく調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければな
らない。
(利用停止等)
第 29 条 当基金は、本人から当該本人が識別される保有個人データが違法に取り扱われている又は違法に取得されたものであるとして、当該保有個人データの利用の停止又は消去(以下「利用停止等」という。)の請求があった場合で、その請求に理由があることが判明したときは、違反を是正するために必要な範囲で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。
2 当基金は、本人から当該本人が識別される保有個人データが違法に第三者に提供されているとして、当該第三者への提供の停止の請求があった場合、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。
3 前 2 項の規定に関わらず、当基金は、当該保有個人データの利用停止等又は第三者への提供の停止について、多額の費用を要することなどにより当該措置をとることが困難な場合は、本人の権利利益を保護するために必要なそれに代わるべき措置をとることができる。
4 当基金は、本人から、当該本人が識別される保有個人データを当基金が利用する必要がなくなった場合又は当該保有個人データに係る第 13 条第 2 項に規定する事態が生じた場合その他当該保有個人データの取扱いにより当該本人の権利又は正当な利益が害される恐れがある場合であるとして、当該保有個人データの利用停止等又は第三者への提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、法第35 条第6 項の規定に基づき速やかに対処する。
(本人あて通知)
第30 条 当基金は、前3 条の開示等に関する対処の結果等について、本人に対し、遅滞なく、その旨を通知する。
2 前項の対処の結果等が、本人から求められ、又は請求されたものと異なるものである場合は、本人に対し、その理由を説明するよう努めるものとする。
第 7 章 削除、廃棄
(個人データの削除、廃棄等)
第 31 条 当基金は、個人データを利用する必要が亡くなったときは、当該個人データを遅滞なく消去するよう努めるものとする。
2 個人データが記載された文書等の廃棄を行う場合は、個人データを復元不可能な状態にしなければならない。
3 コンピュータ及び磁気媒体等の廃棄又は転売・譲渡等(リースの場合は返却)を行う場合は、コンピュータ及び磁気媒体等の中の個人データを復元不可能な状態にしなければならない。
4 当基金は、個人データが記載又は記録された文書等又は磁気媒体等を廃棄した場合には、当該
廃棄及びこれに伴って個人データを復元不可能な状態としたことに係る記録を保存するものとする。
第 8 章 委託
(委託先の監督)
第 32 条 当基金は、当基金における個人データを取り扱う事務の全部又は一部を委託するときは、委託先と書面による委託契約の締結、または誓約書や合意書による合意をするとともに、委託先において安全管理が図られるよう、委託先に対する必要かつ適切な監督を行うこととする。
2 当基金は、委託先における個人データの保護体制が十分であることを確認したうえで委託先を選定する。
3 第 1 項の委託契約又は合意においては、委託先に対する次に掲げる事項を盛り込むこととする。
一 委託先の個人データの取扱いに関する事項二 委託先の秘密の保持に関する事項
三 委託された個人データの再委託に関する事項 四 契約終了時の個人データの返却等に関する事項五 契約内容が遵守されなかった場合の措置
(再委託)
第 33 条 当基金は、委託先が、委託を受けた個人データを取り扱う事務の全部又は一部の再委託を行おうとする場合に、事前に当基金の承認を得、又は事前に当基金に報告することを求めることとする。
2 委託先が再委託するとき又は再委託先が再々委託するときは、委託先による再委託先の監督又は再委託先による再々委託先の監督について前条の規定を準用する。
3 当基金は、委託先による再委託先又は再委託先による再々委託先への必要かつ適切な監督の実施について監督するものとする。
第 9 章 その他
(要配慮個人情報の取扱い)
第 34 条 当基金は、あらかじめ本人の同意を得ないで要配慮個人情報を取得しないものとする。ただし、法第 20 条第 2 項各号に基づき取得する場合は、この限りでない。
(仮名加工情報、匿名加工情報及び個人関連情報の取扱い)
第 35 条 当基金は、加入者等の個人情報を加工して得られる仮名加工情報(法第 16 条第 5 項に規定する仮名加工情報データベース等を構成するものに限る。)及び匿名加工情報(同条第6項
に規定する匿名加工情報データベース等を構成するものに限る。)を作成しないものとする。
2 当基金は、個人関連情報(法第 16 条第 7 項に規定する個人関連情報データベース等を構成するものに限る。)を第三者に提供しないものとする。
(罰則)
第36 条 当基金は、従業者が本規程に違反する行為を行ったときは、当基金の就業規則等に基づき処分する。
(実施規定)
第37 条 この規程に定めるもののほか、当基金の個人情報の取扱いに関し必要な事項は、理事長が別に定める。
附則
本規程は、平成 29 年 9 月 1 日から実施する。
附則
本規程は、令和4年4月1日から実施する。