Contract


個人情報取扱規程


制定 平成17 年4 月1 日改定 平成24年11月1日

〃 平成25年10月1日

〃 平成27年10月5日

〃 平成28年1月1 日

〃 平成28年9月1 日

〃 平成29年9月1 日

〃 令和 3年3月11日

〃 令和 4年4月1 日

個人情報取扱規程


第1章 総則


(目的)

第1条 この規程は、新潟xxx農業協同組合連合会(以下「当厚生連」という。)の個人情報保護方針に基づく個人情報の取扱いの基本事項を定めたもので、個人情報の保護と適正な利用を図ることを目的とする。

ただし、特定個人情報に係る固有の取扱いについては、「特定個人情報取扱規程」に定めるものとする。


(定義)

第2条 この規程において、次の各号に掲げる用語の定義は、当該各号に定めるところによる。

1 個人情報

個人情報の保護に関する法律(以下「法」という。)第2条第1項、第2項に規定する個人情報をいう。

2 要配慮個人情報

法第2条第3項に規定する要配慮個人情報をいう。

3 個人データ

法第 16 条第3項に規定する個人データをいう。

4 保有個人データ

法第 16 条第4項に規定する保有個人データをいう。

5 匿名加工情報

法第2条第6項に規定する匿名加工情報をいう。

6 個人関連情報

法第2条第7項に規定する個人関連情報をいう。

7 本人

個人情報によって識別される特定の個人をいう。

8 従業員

当厚生連の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係にある従業員(職員、地域職員、嘱託職員、定時職員、臨時職員等)のみならず、理事、監事、派遣職員等も含まれる。


第2章 管理組織・体制


(個人情報保護統括責任者等)

第3条 個人情報保護管理者として、専務理事を当厚生連及び本部における個人情報保護統括管理者(以下「統括管理者」という。)とし、個人情報の保護のための措置に関する業務を

統括させるものとする。

② 各施設においては、施設長を個人情報保護統括管理者とし、個人情報の保護のための措置に関する業務を統括させるものとする。

③ 本部及び各施設においては、管理部長、事務長又は事務部長を個人情報保護事務管理者(以下「事務管理者」という。)として選任し、統括管理者を補佐するとともに、個人情報保護に関する施策の立案とその実施についての指揮・監督に当たらせる。

④ 事務管理者は、本部及び各施設の部門の中から個人情報保護部門管理者(以下「部門管理者」という。)を選任し、自らが管理している個人情報の保護に関する施策の実施及びその評価・改善に当たらせる。

⑤ 部門管理者は、本部及び各施設に所属する者の中から個人情報取扱担当者を選任し、自己に代わり必要な個人情報保護についての業務を行わせることができる。この場合には、これらの者を適切に管理・監督しなければならないものとする。


(統括管理者の職務)

第4条 統括管理者の職務は、次のとおりとする。ただし、その一部は必要に応じ事務管理者等に行わせることができる。この場合には、これらの者を適切に管理・監督しなければならない。

1 個人情報の安全管理措置の立案と実施の管理

2 個人情報保護計画の策定と実施結果に基づく評価・改善

② 前項の個人情報保護計画には次の事項を盛り込まなければならない。

1 個人情報資産の調査・分析に基づく対応策の策定、実施、評価、改善

2 個人情報保護のための統括管理者等の役割とその業務内容

3 研修実施計画


(教育・研修の実施)

第5条 事務管理者は、従業員その他の関係者に対して、個人情報保護計画に基づく教育・研修を効果的に行い、個人情報の重要性を自覚させる手順・方法を確立し維持しなければならない。


第3章 個人情報の取得及び利用


(取得の原則)

第6条 個人情報の取得は、適法、かつxxな手段によって行わなければならない。

② 個人情報の取得に当たっては、取得の状況からみて利用目的が明らかであると認められる場合を除き、あらかじめ目的を特定して、その目的の達成に必要な限度において行わなければならない。

③ 新しい目的で個人情報を取得・収集するときは、部門管理者に届け出なければならない。

④ 前項の届け出を受けた部門管理者は、直ちに事務管理者との協議を経て、統括管理者の承認を得なければならない。

(要配慮個人情報の取得)

第7条 要配慮個人情報については、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで取得してはならない。

1 法令等に基づく場合

2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

5 当厚生連と学術研究機関等が共同して学術研究を行う場合において、当該学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)

6 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、法および個人情報保護委員会規則で定める者により公開されている場合

7 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合

8 法第 27 条第5項各号の規定により、個人データである要配慮個人情報の提供を受ける場合


(本人から書面で個人情報を直接取得する場合の措置)

第8条 本人との契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、次の事項を明示したうえでなければ、これを行ってはならないものとする。

1 利用目的

2 個人情報を第三者に提供することが予定される場合には、その旨

② 利用目的の達成に必要な場合には、前項で特定した利用目的と関連性を有すると合理的に認められる範囲において利用目的を変更することができるが、この場合には変更された利用目的について、本人に通知し、又は公表しなければならない。

③ 前2項の規定は、次に掲げる場合については、適用しない。

1 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

2 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合

3 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行

に支障を及ぼすおそれがあるとき

4 取得の状況からみて利用目的が明らかであると認められる場合


(書面以外の方法により個人情報を直接取得する場合の措置)

第9条 統括管理者は、担当者が書面による方法以外の方法により個人情報を取得する場合には、あらかじめその利用目的を当厚生連のインターネット・ホームページへの掲載、病院内等事業所内での掲示又はパンフレット等への掲載の方法によって公表している場合を除き、速やかに、その利用目的を本人に通知するか、又は公表しなければならないものとする。

② 前条第2項及び第3項の規定は、書面による方法以外の方法により取得した個人情報の取扱いにつき準用する。


(目的外の利用の禁止とその例外)

第 10 条 本人の同意を得たうえでなければ、前2条により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないものとする。ただし、次に掲げる場合はこの限りではない。

1 法令に基づく場合

2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

5 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が 当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。


(目的外の利用の場合の措置)

第 11 条 取得目的の範囲を超えて個人情報の利用を行う場合においては、統括管理者の承認を受けた上、あらかじめ本人の同意を得なければならない。


(不適正利用の禁止)

第 11 条の2 違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。


(従業員の個人情報にかかる取扱い)

第 12 条 当厚生連は、従業員の個人情報を収集する場合には、従業員本人から直接取得するものとする。ただし、次に掲げる場合にあってはこの限りでない。

1 取得目的、取得先、取得項目等を事前に従業員本人に通知したうえで、その同意を得て

行う場合

2 法令に定めがある場合

3 従業員本人の生命、身体又は財産の保護のために緊急に必要があると認められる場合

4 業務の性質上従業員本人から取得したのでは業務の適正な実施に支障を生じ、その目的を達成することが困難であると認められる場合

5 前各号に掲げる場合の他、従業員本人以外の者から取得することに相当の理由があると認められる場合

② 当厚生連は、破棄又は削除もしくは従業員本人に返却する場合を除き、取得目的の範囲を超えてその個人情報を処理してはならない。

③ 当厚生連は、従業員の機微情報を収集してはならない。ただし、法令に定めがある場合および特別な職業上の必要性があること、その他業務の適正な実施に必要不可欠であって、利用目的を示して本人から同意を得て収集する場合は、この限りでない。


(匿名加工情報の作成等)

第 13 条 匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報取扱細則で定める基準に従い、当該個人情報を加工しなければならない。

2 当厚生連は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報取扱細則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。

3 当厚生連は、匿名加工情報を作成したときは、個人情報取扱細則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。

4 当厚生連は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報取扱細則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。


(識別行為の禁止)

第 14 条 当厚生連は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。


第4章 個人データの適正管理


(個人データの正確性の確保等)

第 15 条 事務管理者は、個人データを利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しなければならない。また、その取り扱う個人データについて、利用目的の達成に必要な範囲内で保存期間を定めるよう努め、当該保存期間経過後又は利用目的を達成し

た後は、遅滞なくこれを消去するよう努めなければならない。


(安全管理措置)

第16条 当厚生連は個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、必要かつ適切な措置(安全管理措置)を講じなければならない。この場合において、安全管理措置は、個人データが漏えい、滅失またはき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質、個人データの取扱状況および個人データを記録した媒体の性質等に起因するリスクに応じたものとする。

② 前項の安全管理措置は、以下の5つの観点から講じる。

1 組織的安全管理措置

個人データの安全管理措置について役職員の責任と権限を明確に定め、安全管理に関する規程等を整備・運用し、その実施状況の点検・監査を行うこと等の体制整備および実施措置をいう。

2 人的安全管理措置

役職員との個人データの非開示契約等の締結および役職員に対する教育・訓練等を実施し、個人データの安全管理が図られるよう役職員を監督することをいう。

3 物理的安全管理措置

個人データを取扱う区域の管理、個人データの盗難の防止、電子記録媒体等を持ち運ぶ場合の漏えい等の防止、個人データの削除及び機器、電子記録媒体の廃棄等の措置をいう。

4 技術的安全管理措置

個人データおよびそれを取り扱う情報システムへのアクセス制御および情報システムの監視等の個人データの安全管理に関する技術的な措置をいう。個人データにかかる技術的安全管理措置については、別に定める「情報システムリスク管理基本方針」の定めるところによる。

5 外的環境の把握

外国において個人データを取り扱う場合、個人データの安全管理のために必要かつ適切な措置を講じられるよう、当該外国の個人情報の保護に関する制度等を把握するものとする。


(個人データの具体的取扱い)

第17条 統括管理者は、個人データの取得・入力、利用・加工、保管・保存、移送・送信、消去・廃棄等にかかる具体的取扱いを「個人情報取扱細則」において定め、その運用については事務管理者および部門管理者により監督させなければならない。


(個人データ取扱台帳の整備)

第18条 個人データの取扱状況を確認できる手段の整備として、保管責任者、保管場所、期間等を管理する台帳(以下、「個人データ取扱台帳」という。)を整備する。

② 個人データ取扱台帳の内容については、定期的に確認することにより最新状態を維持する。

(個人データの共同利用)

第 19 条 個人データを第三者との間で共同利用する場合は、共同して利用する個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名を部門管理者を通じ事務管理者に届け出なければならない。

② 前項の通知を受けた事務管理者は、統括管理者と協議し、その承認を得なければならない。

③ 個人データの共同利用は、統括管理者の承認を得て、事務管理者が必要な措置を講じた後でなければならない。


(共同利用についての公表等)

第20条 取得した個人情報に係る個人データを特定の者と共同して利用する場合にあっては、その旨並びに共同して利用される個人データ項目、共同で利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称及び住所並び に法人にあっては、その代表者の氏名について、あらかじめ、第9条の定める方法により本人が容易に知り得る状態においておくか又は本人に通知しなければならない。

② 前項の場合において、個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名に変更があったときは遅滞なく、利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。


(個人データの第三者への提供)

第21条 個人データを第三者に提供する場合には、あらかじめ部門管理者を通じ事務管理者に届け出るものとする。ただし、第3項第3号に掲げる場合であって緊急を要する場合はこの限りでない。

② 前項の通知を受けた事務管理者は、統括管理者と協議し、その承認を得なければならない。

③ 前項の承認は、次の各号に該当する場合を除き、行ってはならない。

1 本人の同意を得ている場合

2 法令に基づく場合

3 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

4 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

5 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

6 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。

④ 第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、黙示によ

る本人の同意が得られているものとする。

1 患者への医療の提供のために通常必要な範囲の利用目的について、院内などの事業所内等で公表しておくことによりあらかじめ黙示の同意をとっている場合

2 医療機関等が法令により、事業者、保険者又は市町村が行う健康診断等を受託した場合、その結果である労働者等の個人データを当該事業者等に対して提供する場合等

⑤ 他の事業者等への情報提供であるが、「第三者」に該当しない場合

法第27条第5項の各号に掲げる場合の当該個人データの提供を受ける者については、第三者に該当せず、本人の同意を得ずに情報の提供を行うことができる。医療・介護関係事業者における具体的事例は以下のとおりである。

・検査等の業務を委託する場合

・外部監査機関への情報提供((公財)日本医療機能評価機構が行う病院機能評価等)

・個人データを特定の者との間で共同して利用するとして、あらかじめ本人に通知等している場合


(外国にある第三者への提供の制限)

第 22 条 当厚生連は、個人データを外国にある第三者に提供するに当たっては、次の各号のいずれかに該当する場合を除き、あらかじめ「外国にある第三者への個人データの提供を認める旨の本人の同意」を得なければならない。

1 当該第三者が、わが国と同等の水準にあると認められる個人情報保護制度を有している国として施行規則で定める国にある場合(平成 31 年1月 23 日個人情報保護委員会告示第

1号参照)

2 当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置(以下「相当措置」という。)を継続的に講ずるために必要な体制として施行規則で定める基準に適合する体制を整備している場合

3 次に掲げる場合

(1)法令(外国の法令は含まない。)にもとづく場合

(2)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合

(3)公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難である場合

(4)国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある場合

② 前項に規定する本人の同意を得ようとする場合には、あらかじめ次に掲げる情報を電磁的記録の提供による方法、書面の交付による方法その他適切な方法により、本人に提供する。この場合において、提供先の第三者が所在する外国が特定できない場合には、管理部に相談する。

1 当該外国の名称

2 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報

3 当該第三者が講ずる個人情報の保護のための措置に関する情報

③ 前項の本人の同意を得る際には、書面における記載を通じて、次に掲げる事項を本人に認識させたうえで同意を得る。この場合において、本人の同意を得ようとする時点で、提供先の第三者が特定できない場合には、管理部に相談する。

1 個人データの提供先の第三者

2 提供先の第三者における利用目的

3 第三者に提供される個人データの項目

④ 第1項第2号の「個人情報取扱事業者が講ずべき措置に相当する措置(以下「相当措置」という。)」を継続的に講ずるために必要な体制は、次に掲げるいずれかをいう。この場合において、外国にある第三者に個人データを提供する場合には、法第 28 条(外国にある第三者への提供の制限)の規定は適用されないが、当該各号に従い、当該提供の時点で、①当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無およびその内容、②当該制度がある場合、当該第三者による相当措置の継続的な実施の確保の可否を、適切かつ合理的な方法により確認しなければならない。また、当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、相当措置も継続的な実施の確保が困難となったときは、個人データの当該第三者への提供を停止する。

1 当厚生連と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第2節の規定の趣旨に沿った措置の実施が確保されていること。

2 個人データの提供を受ける者が、個人情報の取扱いにかかる国際的な枠組みに基づく認定を受けていること。

⑤ 前項の場合において、本人からの求めに応じて、当厚生連は事後的に外国にある第三者への提供に関する情報を提供しなければならないが、当該求めがあった場合は、管理部に相談する。


(第三者提供に係る記録の作成等)

第23条 個人データを第三者(国の機関、地方公共団体、独立行政法人等、地方独立行政法人を除く。以下第24条から第25条の2において同じ。)に提供したときは、個人情報取扱細則で定める事項に関する記録を作成しなければならない。ただし、法に定めのある場合にはこの限りでない。

2 前項の記録を、当該記録を作成した日から個人情報取扱細則で定める期間保存しなければならない。


(第三者提供を受ける際の確認等)

第 24 条 第三者から個人データの提供を受けるに際しては、個人情報取扱細則で定めるところにより、次に掲げる事項の確認をしなければならない。ただし、当該個人データの提供が法第 27 条第 1 項各号による場合又は同第5項各号に該当する場合は、この限りでない。

1 当該第三者の氏名または名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者または管理人の定めのあるものにあっては、その代表者または管理人)の氏名

2 当該第三者による当該個人データの取得の経緯

② 第 1 項による確認を行ったときは、当該個人データの提供を受けた年月日等の個人情報取扱細則で定める事項に関する記録を作成しなければならない。

③ 前項の記録を、当該記録を作成した日から個人情報取扱細則で定める期間保存しなければならない。


(個人関連情報の第三者提供の制限等)

第 25 条 提供先の第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、法第 27 条第 1 項各号に掲げる場合を除き、当該第三者が当厚生連から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていることについてあらかじめ当該第三者から申告を受ける方法その他適切な方法により確認をしないで、当該個人関連情報を提供してはならない。

② 前項により個人関連情報を第三者に提供した場合には、個人情報取扱細則に定めるところにより、その確認にかかる記録を作成・保存するものとする。


(個人関連情報を個人データとして取得する場合の対応)

第 25 条の2 当厚生連が第三者から個人関連情報を個人データとして取得することが想定されるときは、法第 27 条第 1 項各号に掲げる場合を除き、本人から、当該第三者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の同意を取得するものとする。

② 前項により第三者から個人関連情報を個人データとして取得する場合には、第24条に定めるところにより、確認および記録の作成・保存を行うものとする。


(個人データの取扱いの委託)

第26条 当厚生連は、個人データの処理を第三者に委託する場合には、当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督を行わなければならない。

② 前項による監督は、取扱いを委託する個人データの内容及び個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質等に起因するリスクに応じたものとし、具体的な取り扱いは、個人情報取扱細則に定めるところによる。


第5章 保有個人データに関する本人からの開示請求等への対応


(保有個人データに関する事項の公表等)

第 27 条 保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。以下同じ。)に置くものとする。

1 当厚生連の名称及び住所並びに代表者の氏名

2 すべての保有個人データの利用目的(法第 21 条 4 項 1 号から第 3 号までに該当する場

合を除く)

3 第32 条の開示等の手続に関する事項(第33 条の規定により手数料の額を定めたときは、その手数料の額を含む。)

4 保有個人データの取扱いに関する当厚生連における苦情の申出先

5 保有個人データの安全管理のために講じた措置

② 本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、次の各号のいずれかに該当する場合を除き、本人に対し、遅滞なく、これを通知しなければならない。

1 あらかじめ本人が知り得る状態にしてあることにより、当該本人が識別される保有個人データの利用目的が明らかな場合

2 次に掲げる場合

ⅰ 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

ⅱ 利用目的を本人に通知し、又は公表することにより当厚生連の権利又は正当な利益を害するおそれがある場合

ⅲ 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

③ 前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。


(本人からの開示請求等への対応)

第 28 条 本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、個人情報取扱細則に定める電磁的記録の提供による方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)又は書面の交付のうち当該本人が請求した方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

1 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

2 当厚生連の業務の適正な実施に著しい支障を及ぼすおそれがある場合

3 法以外の他の法令に違反することとなる場合

② 前項の規定に基づき求められた保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、又は前項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。

③ 法以外の他の法令の規定により、本人に対し第1項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は適用しない。

④ 第1項から第3項までの規定は、第23条及び第24条の規定により作成する第三者提供にか

かる記録(その存否が明らかになることにより公益その他の利害が害されるものとして政令で定めるものを除く。)について準用する。


(訂正等)

第 29 条 本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という)を求められた場合には、その内容の訂正等に関して法以外の他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。

② 前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む)を通知しなければならない。


(利用停止等)

第 30 条 本人から、当該本人が識別される保有個人データが法第 18 条(利用目的による制限)若しくは法第 19 条(不適正な利用の禁止)の規定に違反して取り扱われているという理由

又は法第 20 条(適正な取得)の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という)による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

② 本人から、当該本人が識別される保有個人データが法第 27 条(第三者提供の制限)第1項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

③ 本人から、当該本人が識別される保有個人データを当厚生連が利用する必要がなくなったという理由、当該本人が識別される保有個人データに係る法第 26 条第 1 項本文に規定する事態が生じたという理由その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがあるとの理由によって、当該保有個人データの利用停止等又は第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供を停止しなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供を停止することが困難な場合であって、本人の権利利

益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

④ 第1項若しくは第3項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第

2項若しくは第3項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。


(理由の説明)

第 31 条 第 27 条第3項、第 28 条第2項(同条第4項により準用する場合を含む。)、第 29条第2項又は前条第4項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めるものとする。


(開示等の求めに応じる手続)

第32条 第27条第2項、第28条第1項(同条第4項により準用する場合を含む。)、第29条第1項または第30条第1項から第3項の規定による求め(以下「開示等の求め」という。)に応じる手続については、別に定める「保有個人データ等の開示等に関する手続要領」にて定めるほか、以下の事項に関して第27条第1項に基づき本人の知り得る状態に置くものとする。

1 開示等の求めの申出先

2 開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式

3 開示等の求めをする者(代理人を含む。)の本人確認の方法

4 利用目的の通知または開示にかかる手数料金額とその徴収方法(無料とする場合を含む。)

② 前項の規定に基づき開示等の求めに関する手続を定めるにあたっては、本人に過重な負担を課すものとならないよう配慮するものとする。


(手数料)

第 33 条 第 27 条の利用目的の通知または第 28 条の開示を求められたときは、手数料を徴する。


(個人情報保護苦情・相談窓口の設置)

第 34 条 統括管理者は、個人情報の取扱いに関する苦情・相談を受付けて対応する窓口を設置し、この連絡先を本人に通知又は公表しなければならない。

② 前項の手続の細目は、「個人情報に係る苦情等対応手続要領」に定めるところによる。


第6章 個人データの漏えい等発生時の対応等


(統括管理者等への報告等)

第 35 条 個人データの漏えい、滅失、 毀損その他の個人データの安全の確保に係る事態であって次に掲げる事態が発覚した場合には、事案を把握した者は直ちに部門管理者に報告しな

ければならない。この場合、報告を受けた部門管理者は事務管理者を通じて管理部に直ちに報告しなければならない。

1 要配慮個人情報が含まれる個人データ(高度な暗号化その他の 個人の権利利益を保護するために必要な措置を講じたものを除 く。以下この条において同じ。)の漏えい、滅失若しくは毀損(以下「漏えい等」という。)が発生し、又は発生したおそれがある事態

2 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

3 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

4 個人データに係る本人の数が千人を超える漏えい等が発生し、 又は発生したおそれがある事態

5 その他法令等において定めのある事態


(再発防止策の策定等)

第 35 条の2 前条の場合において、統括管理者は、個人データの漏えい等事案(おそれのある場合を含む。以下同じ。)による被害が発覚時よりも拡大しないよう必要な措置を講ずるとともに、漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講じなければならない。

② 統括管理者は、前項により把握した事実関係による影響範囲の特定のために必要な措置を講ずるとともに、個人データの漏えい等事案の再発防止策の検討及び実施に必要な措置を講じなければならない。


(行政庁等への報告)

第 35 条の3 当厚生連は、第 35 条各号に掲げる事態を知ったときには、速やか(概ね3~5日以内)に、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。次項において同じ。)を行政庁に報告しなければならない。

1 概要

2 漏えい等が発生し、又は発生したおそれがある個人データの項目

3 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数

4 原因

5 二次被害又はそのおそれの有無及びその内容

6 本人への対応の実施状況

7 公表の実施状況

8 再発防止のための措置

9 その他参考となる事項

② 当厚生連は、第 35 条各号に掲げる事態を知った日から 30 日以内(当該事態が第 35 条第

3号に定めるものである場合にあっては、60 日以内)に、当該事態に関する前項各号に定める事項(確報)を行政庁に報告しなければならない。なお、確報を行う時点において、合理的努力を尽くした上で、一部の事項が判明しておらず、全ての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、報告を追完するものとす

る。

③ 前項の報告内容は、理事会に報告することとする。


(本人への通知)

第 35 条の4 当厚生連は、第 35 条第1号から第4号に掲げる事態が生じた場合(法令で定める場合を除く)は、本人に対し、当該事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、次に掲げる事項を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

1 概要

2 漏えい等が発生し、又は発生したおそれがある個人データの項目

3 原因

4 二次被害又はそのおそれの有無及びその内容

5 その他参考となる事項

② 第 35 条第5号に掲げる事態が生じた場合の本人への通知は、必要に応じ、前項に準じ対応するものとする。


(公表)

第 35 条の5 当厚生連は、第 35 条各号に掲げる事態が生じた場合、二次被害の防止、類似事案の発生防止等の観点から公表することが適当と判断した場合には、事実関係及び再発防止策等について、速やかに公表するものとする。


(第 35 条に該当しない個人データの漏えい等が発生した場合の対応)

第35 条の6 第35 条各号に該当しない個人データの漏えい等事案が生じた場合の報告体制は、第 35 条に準じる。

② 前項の場合においては、再発防止策のほか、必要な措置を講ずる。


(主管部署)

第 35 条の7 個人データの漏えい等事案が発生した場合の主管部署は管理部とする。


第7章 監査


(監査の実施)

第 36 条 当厚生連は、当厚生連における個人情報保護に関する措置が適切に行われているかどうかについて、監事監査及び内部監査等において監査し、その結果を理事会に報告するものとする。

② 前項の監査は、内部監査担当部署(監査部)が担うものとする。ただし、社外の第三者に監査業務を委託することを妨げない。

第8章 雑則


(個人情報の廃棄)

第 37 条 個人情報の廃棄については、個人情報取扱細則第 12 条第 1 項及び第 2 項に準じて取り扱う。


(従業員の責務)

第 38 条 当厚生連の従業員は、本規程その他個人情報の取扱いに関する諸規程を遵守し、個人情報を適切に取り扱わなければならない。

② 本規程及びその他の規程に定めるところと異なる取扱いを必要とする場合及び当該規程に定めのない事項で取扱いに疑義等があるものについては、部門管理者又は事務管理者に相談し、その指示を仰ぐものとする。


(罰則)

第 39 条 当厚生連は、本規程に違反した従業員に対して就業規程等に基づき懲戒その他の処分を行わなければならない。

② 前項の手続きは就業規程等に定めるところによる。


(規程の改廃)

第 40 条 この規程の改廃は、理事会の決議をもって行う。第 41 条 この規程は、令和4年4月1日より実施する。

Document Metadata

Filed: July 29th, 2022