Contract
トプコン企業年金基金特定個人情報取扱規程
トプコン企業年金基金
(令和 4 年 4 月 1 日現在)
トプコン企業年金基金特定個人情報取扱規程
第1章 総則
(目的)
第1条 本規程は、トプコン企業年金基金(以下「当企業年金」という。)における個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いを確保するために必要な事項を定めることを目的とする。
(定義)
第2条 本規程において「個人情報」とは、個人情報の保護に関する法律(平成15年5月30日法律第57号。以下「個人情報保護法」という。)第2条第1項に規定する個人情報をいう。
2 本規程において「個人番号」とは、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年5月31日法律第27号。以下「番号法」という。)第2条第5項に規定する個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、その他の符号であって、住民票コード以外のものを含む。)をいう。
3 本規程において「特定個人情報」とは、番号法第2条第8項に規定する特定個人情報をいう。
4 本規程において「特定個人情報ファイル」とは、番号法第2条第9項に規定する特定個人情報ファイルをいう。
5 本規程において「従業者」とは、当企業年金にあって、直接又は間接に当企業年金の指揮監督を受けて、当企業年金の業務に従事している職員をいう。
(適用)
第3条 本規程は従業者に適用する。
2 本規程は、当企業年金が取り扱う特定個人情報等を対象とする。
3 本規程に定めのない当企業年金における個人情報の取扱いに関しては、別に定める個人情報保護管理規程の定めに従う。
第2章 管理体制及び安全管理措置
(個人番号を取り扱う事務の範囲)
第4条 当企業年金が個人番号を取り扱う事務は、次に掲げる事務に限るものとする。
(1) 当企業年金の年金又は一時金等の支給に関する事務(年金又は一時金等の支払いに伴い税務当局等に提出が必要な法定調書の作成に係る事務に限る。)
(2) 従業者に係る源泉徴収事務、社会保険関係事務及び労働保険関係事務
(3) 前2号に付随して行う事務
2 前項第1号に規定する事務の流れは、別紙のとおりとする。
(取り扱う特定個人情報等の範囲)
第5条 前条の規定により、当企業年金が個人番号を取り扱う事務において使用する個人番号及び個人番号と関連付けて管理される個人情報は、以下のとおりとする。
(1) 当企業年金の受給権者又は将来的な給付が見込まれる者(以下「受給権者等」という。)及び従業者の個人番号、氏名、性別、生年月日、住所
(2) 受給権者等の基礎年金番号
(3) 番号法第16条に基づく本人確認の措置を実施する際に、受給権者等又は従業者から提示を受けた本人確認書類及びこれらの写し
(4) 当企業年金が行政機関等に提出するために作成した法定調書及びその控え
(5) 当企業年金が法定調書を作成する上で受給権者等又は従業者から受領する個人番号が記載された申告書等
(6) 前各号に掲げるもののほか、個人番号と関連付けて保存される情報
(特定個人情報管理責任者)
第6条 当企業年金は、特定個人情報等の取扱いに関して総括的な責任を有する特定個人情報管理責任者を置き、常務理事をもってこれに充てる。
2 特定個人情報管理責任者は、特定個人情報管理を担当する事務取扱責任者として事務長を指名し、特定個人情報管理に関する業務を分担させることができる。
3 特定個人情報管理責任者は、特定個人情報等に関する監査を除き、次に掲げる事項その他当企業年金における特定個人情報等に関する権限と責務を有するものとする。
(1) 本規程に基づき特定個人情報等の取扱いを管理する上で必要とされる細則等の承認
(2) 特定個人情報等に関する安全対策の策定・実施
(3) 特定個人情報等の適正な取扱いの維持・推進等を目的とした諸施策の策定・実施
(4) 事故発生時の対応策の策定・実施
(事務取扱責任者)
第7条 事務取扱責任者は、次に掲げる事項の権限と責務を有するものとする。
(1) 特定個人情報等が本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うこと
(2) 特定個人情報等の利用申請の承認及び記録等の承認、管理を行うこと
(3) 特定個人情報等の取扱状況を把握すること
(4) 委託先における特定個人情報等の取扱状況等を監督すること
(5) 特定個人情報等の安全管理に関する教育及び研修を実施すること
(6) 前各号に掲げるもののほか、当企業年金における特定個人情報等の安全管理に関する事項について、特定個人情報管理責任者を補佐すること
(事務取扱担当者)
第8条 当企業年金における特定個人情報等を取り扱う事務については、事務取扱担当者が必ず複数人で行うこととし、当企業年金における事務取扱担当者は従業者とする。
2 事務取扱担当者は、特定個人情報等を取り扱う業務に従事する際、番号法及び個人情報保護法並びに関連法令、個人情報保護委員会が策定するガイドライン等(以下「法令等」という。)、本規程等並びに事務取扱責任者の指示に従い、特定個人情報等の保護に十分な注意を払うものとする。
(管理区域及び取扱区域)
第9条 当企業年金は、特定個人情報等の漏えい、滅失又は毀損(以下「漏えい等」という。)を防止するため、特定個人情報ファイルを取り扱う情報システム(サーバー等)を管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下
「取扱区域」という。)を明確にし、次に掲げる方法により安全管理措置を講じるものとす る。また、取扱区域においては事務取扱担当者等以外の者が特定個人情報等を容易に閲覧等で
きないように留意する必要がある。
トプコン健康管理センター事務室を管理区域及び取扱区域として設定する。
(1) 管理区域については、入退室管理及び管理区域に持ち込む機器等を制限する等の安全管理措置を講じる。
(2) 取扱区域については、他の区域との間仕切りを設置する等の措置及び座席配置等、のぞき 込みを防止する措置等の安全管理措置を講じる。
(3) 特定個人情報を取り扱う業務を行う場合、撮影機能付き電子機器は指定場所にて保管管理する。
(従業者の教育)
第10条 当企業年金は、従業者に対して定期的な研修の実施又は情報提供等を行い、特定個人情報等の適正な取扱いを図るものとする。
(従業者の監督)
第11条 当企業年金は、特定個人情報等の適正な取扱いがなされるよう、従業者の監督を行う。
(取扱規程等に基づく運用)
第12条 当企業年金は、特定個人情報等の取扱状況を明確にするため、次の事項に係る特定個人 情報等の利用状況等を記録する。
(1) 特定個人情報ファイルの利用・出力状況の記録
(2) 書類・媒体等の持出しの記録
(3) 特定個人情報ファイルの削除・廃棄記録
(4) 削除・廃棄を委託した場合、これを証明する記録等
(5) 特定個人情報ファイルに係る情報システムの利用状況(ログイン実績、アクセスログ等)の記録
(特定個人情報等の取扱状況の確認)
第13条 特定個人情報管理責任者は、当企業年金における特定個人情報等の取扱いが法令等及び本規程等に基づき適正に運用されていることを、1年に1回以上の頻度で確認する。
(監査の実施)
第14条 監事は、当企業年金における特定個人情報等の取扱いが法令等及び本規程等と合致していることを定例監査(決算)で確認する。
2 監査責任者又は監事は、特定個人情報等の取扱いに関する監査結果を特定個人情報管理責任者に報告する。
(情報漏えい等事案への対応)
第15条 特定個人情報管理責任者は、漏えい等の事案が発生したときは、速やかにトプコン所管部門及び所管官庁等に報告する。
2 特定個人情報管理責任者は、漏えい等の事案が発生したと判断したときは、その事実を本人に通知するとともに、必要に応じて公表する。
3 特定個人情報管理責任者は、漏えい等の事案が発生したと判断したときは、漏えい等が発生した原因を分析し、再発防止に向けた対策を講じるものとする。
(個人情報保護委員会への報告等)
第 15 条の2 特定個人情報管理責任者は、漏えい等その他の特定個人情報の安全の確保に係る事 態であって個人の権利利益を害するおそれが大きいものとして行政手続における特定の個人を識別するための番号の利用等に関する法律第 29 条の4第1項及び第2項に基づく特定個人情報の漏えい等に関する報告等に関する規則(平成 27 年特定個人情報保護委員会規則第5号。以下「個人情報保護委員会規則」という。)で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。
2 前項に規定する場合には、特定個人情報管理責任者は、本人に対し、個人情報保護委員会規 則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
(苦情等への対応)
第16条 当企業年金は、当企業年金における特定個人情報等の取扱いに関する苦情等に対する窓口を設け、適切に対応する。
2 特定個人情報管理責任者は、前項の目的を達成するために必要な体制の整備を行うものとする。
(体制の見直し)
第17条 当企業年金は、必要に応じて特定個人情報等の取扱いに関する安全対策及び諸施策について見直しを行い、改善を図るものとする。
第3章 特定個人情報等の取得、利用等
(個人番号の取得、提供の求め)
第18条 当企業年金は、第4条に規定する事務を処理するために必要がある場合に限り、本人又は他の個人番号関係事務実施者若しくは個人番号利用事務実施者に対して個人番号の提供を求めることができる。
2 個人番号の提供を求める時期は、原則として個人番号を取り扱う事務が発生したときとする。ただし、本人との法律関係等に基づき、個人番号を取り扱う事務が発生することが明らかなときは、当該事務の発生が予想できた時点において、個人番号の提供を求めることができるものとする。
(利用目的の通知等)
第19条 当企業年金は、個人番号を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知又は公表するものとする。また、本人から直接書面に記載された当該本人の個人番号を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。
(本人確認)
第20条 当企業年金は、本人又は代理人から個人番号の提供を受けるときは、法令等に基づき本人確認を行うものとする。
(個人番号の利用)
第21条 当企業年金は、第4条に規定する事務を処理するために必要な場合に限り、個人番号を利用するものとする。
2 当企業年金は、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるときは、前項の規定にかかわらず、当企業年金が保有する個人番号を利用することができる。
(特定個人情報ファイルの作成の制限)
第22条 当企業年金は、第4条に規定する事務を処理するために必要な場合に限り、特定個人情報ファイルを作成するものとする。
第4章 特定個人情報等の保管、管理等
(保管)
第23条 当企業年金は、第4条に規定する事務が終了するまでの間、特定個人情報等を保管する。ただし、所管法令等により保存期間が定められているものについては、当該期間を経過するまでの間、特定個人情報等を保管する。
2 特定個人情報等を取り扱う機器、磁気媒体等又は書類等は、特定個人情報等の漏えい等の防止その他の安全管理の確保のため、次に掲げる方法により保管又は管理する。
(1) 特定個人情報等を取り扱う機器は、施錠できるキャビネット等に保管する又は盗難防止用のセキュリティワイヤー等により固定する。
(2) 特定個人情報等を含む書類又は磁気媒体等は、施錠できるキャビネット等に保管する。
3 特定個人情報等を含む書類又は特定個人情報ファイルを法定保存期間経過後も引き続き保管するときは、個人番号に係る部分をマスキング又は消去した上で保管する。
(情報システムの管理)
第24条 当企業年金において使用する情報システムによって特定個人情報等を取り扱うときは、次に掲げる方法により管理する。
(1) 特定個人情報管理責任者は、情報システムを使用して個人番号を取り扱う事務を処理するときは、ユーザーIDに付与されるアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
(2) 事務取扱担当者は、情報システムを取り扱う上で、正当なアクセス権を有する者であることを確認するため、ユーザーID、パスワード等により認証する。
(3) 情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するため、情報システム及び機器にセキュリティ対策ソフトウェア等を導入する。
(4) 特定個人情報等の漏えい等の防止その他の特定個人情報等の適切な管理のために必要な措置を講じることとし、特定個人情報等をインターネット等により外部に送信するときは、通信経路における情報漏えい等を防止するため、通信経路の暗号化等の措置を講じる。
(特定個人情報等の持出し等)
第25条 当企業年金において保有する特定個人情報等を持ち出すとき(郵送等により発送するときを含む。)は、次に掲げる方法により管理する。
(1) 特定個人情報等を含む書類等を持ち出すときは、封緘・目隠しシールの貼付等の容易に個人番号が判明しない措置を講じる。
(2) 特定個人情報ファイルを磁気媒体等又は機器にて持ち出すときは、ファイルへのパスワー
ドの付与等又はパスワードを付与できる機器の利用等の措置を講じる。
第5章 特定個人情報の提供等
(特定個人情報の提供)
第26条 当企業年金は、番号法第19条各号に掲げる場合を除き、本人の同意の有無にかかわらず、特定個人情報を第三者に提供(法的な人格を超える特定個人情報の移動を意味し、同一法人の内部等の法的な人格を超えない特定個人情報の移動は該当しないものとする。)しないものとする。
(開示)
第27条 当企業年金は、本人から当企業年金が保有する当該本人の特定個人情報について開示の求めがあったときは、特別な理由がない限り速やかに対処する。
(訂正)
第28条 当企業年金は、本人から当企業年金が保有する当該本人の特定個人情報について訂正の求めがあったときは、速やかに対応する。
(第三者提供の停止)
第29条 当企業年金は、本人から当企業年金が保有する当該本人の特定個人情報が違法に第三者に提供されているという理由によって、当該特定個人情報の第三者への提供の停止が求められた場合であって、その求めに理由があることが判明したときは、第三者への提供を停止する。
第6章 削除、廃棄
(特定個人情報等の削除、廃棄)
第30条 当企業年金は、第4条に規定する事務を行う必要が無くなった場合で、所管法令等において定められている保存期間を経過したときは、個人番号をできるだけ速やかに復元できない手段で削除又は廃棄する。
2 当企業年金は、個人番号若しくは特定個人情報ファイルを削除した場合又は磁気媒体等を廃棄した場合には、削除又は廃棄した記録を保存するものとする。なお、当該削除又は廃棄を委託した場合は、委託先から受領した証明書等により記録を保存するものとする。
3 当企業年金は、削除又は廃棄を、保存期間経過後直近の年度末にまとめ実施する。
第7章 委託
(委託先の監督)
第31条 当企業年金は、当企業年金における特定個人情報等を取り扱う事務の全部又は一部を委託するときは、委託先と書面による委託契約の締結、または誓約書や合意書による合意をするとともに、委託先において安全管理が図られるよう、委託先に対する必要かつ適切な監督を行うこととする。なお、委託先における特定個人情報の取扱状況の把握については、委託契約又は合意に基づき報告を求めること等により、委託契約又は合意で盛込んだ内容の実施の程度を
把握したうえで、委託契約又は合意の内容等の見直しを検討することを含め、適切な評価に努 めるものとする。
2 当企業年金は、委託先における特定個人情報等の保護体制が十分であることを確認した上で委託先を選定する。
3 第1項の委託契約又は合意においては、委託先に対する次の内容を盛り込むこととする。
(1) 秘密保持義務
(2) 事業所内からの特定個人情報等の持出しの禁止(ただし、委託元又は再委託先への持ち出しの場合を除く)
(3) 特定個人情報等の目的外利用の禁止
(4) 再委託における条件
(5) 漏えい事案等が発生した場合の委託先の責任
(6) 委託契約終了後の特定個人情報等の返却又は廃棄
(7) 特定個人情報等を取り扱う従業者の明確化
(8) 従業者に対する監督・教育
(9) 契約内容の遵守状況についての報告を求め、必要があると認めるときは委託先に対して実地の調査を行うことができること
4 当企業年金は、委託先において特定個人情報の安全管理が適切に行われていることについて、
1年に1回以上の頻度及び必要に応じてモニタリングをするものとする。
(再委託)
第32条 委託先は、委託を受けた特定個人情報等を取り扱う事務の全部又は一部を再委託するときは、委託者である当企業年金の許諾を得なければならない。
2 委託先が当企業年金の許諾を得て再委託するときは、再委託先の監督について前条の規定を準用する。
3 当企業年金は、委託先による再委託先への必要かつ適切な監督の実施について監督する。
第8章 その他
(罰則)
第33条 当企業年金は、従業者が本規程に違反する行為を行ったときは、当企業年金の就業規則等に基づき処分する。
(実施規定)
第34条 この規程に定めるもののほか、当企業年金の特定個人情報等の取扱いに関し必要な事項は、理事長が別に定める。
附 x
x規程は、平成28年 1月 1日より実施する。
附 則
この規程は、平成30年3月22日から施行し、平成29年5月30日より適用する。
(平成29年5月30日全面改定時の見落とし:「個人情報保護基本規定」を「個人情報保護管理規程」に変更)
附 x
x規程は、令和4年4月1日より実施する。