• ホーム
  • 個人番号及び特定個人情報取扱規程

個人番号及び特定個人情報取扱規程

株式会社ISC就職センター
個人番号及び特定個人情報取扱規程
目 次
第1章 総則
(目的)
第1条
本規程は、個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いの確保に関し必要な事項を定めることにより、当社の事業の適正かつ円滑な運営を図りつつ、個人の権利利益を保護することを目的とする。
(定義)
第2条
本規程における用語の定義は、次の各号に定めるところによる。
(1) 個人情報
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別できることとなるものを含む。)をいう。
(2) 個人番号
行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「番号法」という。)第2条第5項が定める住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
(3) 特定個人情報
個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。)をその内容に含む個人情報をいう。
(4) 個人情報ファイル
個人情報を含む情報の集合物であって、特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして「個人情報の保護に関する法律施行令」で定めるものをいう。
(5) 特定個人情報ファイル
個人番号をその内容に含む個人情報ファイルをいう。
(6) 個人番号関係事務
番号法第9条第3項の規定により個人番号利用事務(行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が同条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務)に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(7) 本人
個人番号によって識別され、又は識別され得る特定の個人をいう。
(8) 従業者
当社の組織内にあって直接間接に当社の指揮監督を受けて当社の業務に従事している者をいう。具体的には、従業員のほか、取締役、監査役、理事、監事、派遣社員等を含む。
(当社の責務)
第3条
当社は、番号法その他の個人情報保護に関する法令及びガイドライン等を遵守するとともに、実施するあらゆる事業を通じて特定個人情報等の保護に努めるものとする。
第2章 特定個人情報等の取得
(利用目的の特定、変更)
第4条
1 当社は、特定個人情報等を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定するものとする。
2 当社は、利用目的を変更する場合には、変更前の利用目的と[相当の]関連性を有すると合理的に認められる範囲で行うものとする。
3 当社は、利用目的を変更した場合は、変更した利用目的について、本人に通知し、又は公表するものとする。
(取得に際しての利用目的の通知等)
第5条
1 当社は、特定個人情報等を取得した場合は、あらかじめその利用目的を通知又は公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表するものとする。
2 当社は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式等で作られる記録を含む。)に記載された当該本人の特定個人情報等を取得する場合その他本人から直接書面に記載された当該本人の特定個人情報等を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 前2項の規定は、次に掲げる場合については、適用しない。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することにより当社の権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(4) 取得の状況からみて利用目的が明らかであると認められる場合
(取得の制限)
第6条
1 当社は、特定個人情報等を取得するときは、適法かつ適正な方法で行うものとする。
2 当社は、番号法第19条各号のいずれかに該当する場合を除き、他人の特定個人情報等を収集しないものとする。
(個人番号の提供の求めの制限)
第7条
当社は、番号法第19条各号に該当して特定個人情報の提供を受けることができる場合を除くほか、他人に対し、個人番号の提供を求めないものとする。
(本人確認)
第8条
当社は、本人又はその代理人から個人番号の提供を受けるときは、番号法第16条の規定に従い、本人確認を行うものとする。
(安全管理措置)
第9条
当社は、特定個人情報等の取得に際し、第26条(委託先の監督)、第27条(特定個人情報等の取扱状況の記録)、第28条(本規程に基づく運用状況の記録)、第31条(従業者の監督・教育)、及び第36条(技術的安全管理措置)に定める安全管理措置を講じるものとする。
第3章 特定個人情報等の利用
(利用目的外の利用の制限)
第10条
1 当社は、第4条の規定により特定された利用目的の達成に必要な範囲を超えて特定個人情報等を取り扱わないものとする。
2 当社は、合併その他の事由により他の法人等から事業を継承することに伴って特定個人情報等を取得した場合は、継承前における当該特定個人情報等の利用目的の達成に必要な範囲を超えて、当該特定個人情報等を取り扱わないものとする。
3 前2項の規定にかかわらず、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるときには、第4条の規定により特定された利用目的の範囲を超えて特定個人情報等を取り扱うことができるものとする。
4 前2項の規定にかかわらず、次の各号のいずれかに該当する場合には、第4条の規定により特定された利用目的の範囲を超えて特定個人情報等を取り扱うことができるものとする。
(1) [番号法第9条第4項の規定に基づく場合]
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるとき
(特定個人情報ファイルの作成の制限)
第11条
当社は、番号法第19条第11号から第14号までのいずれかに該当して特定個人情報を提供し、又はその提供を受けることができる場合を除き、個人番号関係事務を処理するために必要な範囲を超えて特定個人情報ファイルを作成しないものとする。
(安全管理措置)
第12条
当社は、特定個人情報等の利用に関し、第26条(委託先の監督)、第27条(特定個人情報等の取扱状況の記録)、第28条(本規程に基づく運用状況の記録)、第31条(従業者の監督・教育)、第32条(特定個人情報等を取り扱う区域の管理)、第33条(機器及び電子媒体等の盗難等の防止)、第34条(電子媒体等を持ち出す場合の漏えい等の防止)、及び第36条(技術的安全管理措置)に定める安全管理措置を講じるものとする。
第4章 特定個人情報等の保存
(特定個人情報等の保管)
第13条
当社は、番号法第19条各号に該当する場合を除くほか、特定個人情報等を保管しないものとする。
(データ内容の正確性の確保)
第14条
当社は、第4条の規定により特定された利用目的の達成に必要な範囲内において、特定個人情報等を正確かつ最新の内容に保つよう努めるものとする。
(安全管理措置)
第15条
当社は、特定個人情報等の保存に関し、第26条(委託先の監督)、第27条(特定個人情報等の取扱状況の記録)、第28条(本規程に基づく運用状況の記録)、第31条(従業者の監督・教育)、第32条(特定個人情報等を取り扱う区域の管理)、第33条(機器及び電子媒体等の盗難等の防止)、第34条(電子媒体等を持ち出す場合の漏えい等の防止)、及び第36条(技術的安全管理措置)に定める安全管理措置を講じるものとする。
第5章 特定個人情報等の提供
(特定個人情報等の提供)
第16条
当社は、番号法第19条各号に該当する場合を除くほか、特定個人情報等を提供しないものとする。
(安全管理措置)
第17条
当社は、特定個人情報等の提供に関し、第26条(委託先の監督)、第27条(特定個人情報等の取扱状況の記録)、第28条(本規程に基づく運用状況の記録)、第31条(従業者の監督・教育)、第32条(特定個人情報等を取り扱う区域の管理)、第33条(機器及び電子媒体等の盗難等の防止)、第34条(電子媒体等を持ち出す場合の漏えい等の防止)、及び第36条(技術的安全管理措置)に定める安全管理措置を講じるものとする。
第6章 特定個人情報等の削除・廃棄
(特定個人情報等の削除・廃棄)
第18条
当社は、個人番号関係事務を処理する必要がなくなった場合で、かつ、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除するものとする。ただし、その個人番号部分を復元できない程度にマスキング又は削除した場合には、保管を継続することができるものとする。
(特定個人情報等を誤って収集した場合の措置)
第19条
1 従事者は、誤って特定個人情報等の提供を受けた場合、自ら当該特定個人情報を削除又は廃棄してはならず、速やかに所属長、第21条に定める事務取扱責任者、又は第22条に定める特定個人情報等管理責任者に報告しなければならない。
2 当社は、前項の報告を受けた際、第35条に従って、当該特定個人情報等をできるだけ速やかに削除又は廃棄した上で、その記録を保存するものとする。
(安全管理措置)
第20条
当社は、特定個人情報等の削除・廃棄に関し、第26条(委託先の監督)、第27条(特定個人情報等の取扱状況の記録)、第28条(本規程に基づく運用状況の記録)、第31条(従業者の監督・教育)、第32条(特定個人情報等を取り扱う区域の管理)、第34条(電子媒体等を持ち出す場合の漏えい等の防止)、第35条(個人番号の削除、機器及び電子媒体等の廃棄)、及び第36条(技術的安全管理措置)に定める安全管理措置を講じるものとする。
第7章 組織及び体制
(事務取扱担当者・責任者)
第21条
1 当社は、別途定めるとおり、特定個人情報等を取り扱う事務の範囲を明確化し、明確化した事務において取り扱う特定個人情報等の範囲を明確にした上で、当該事務に従事する従業者(以下「事務取扱担当者」という。)を明確にするものとする。
2 当社は、別途定めるとおり、前項により定められた各事務における事務取扱責任者を明確にするものとする。
3 事務取扱責任者は、次に掲げる業務を所管する。
(1) 特定個人情報等の利用申請の承認及び記録等の管理
(2) 特定個人情報等を取り扱う保管媒体の設置場所の指定及び変更の管理
(3) 特定個人情報等の管理区分及び権限についての設定及び変更の管理
(4) 特定個人情報等の取扱状況の把握
(5) 委託先における特定個人情報等の取扱状況等の監督
(6) 特定個人情報等の安全管理に関する教育・研修の実施
(7) 特定個人情報等管理責任者に対する報告
(8) その他所管部署における特定個人情報等の安全管理に関する事項
(特定個人情報等管理責任者)
第22条
1 当社は、特定個人情報等の安全管理のため特定個人情報等管理責任者を定め、総務管理グループ グループリーダーを特定個人情報等管理責任者とする。
2 特定個人情報等管理責任者は、次に掲げる業務を所管する。
(1) 特定個人情報等の安全管理に関する規程の承認及び周知
(2) 事務取扱責任者からの報告徴収及び助言・指導
(3) 特定個人情報等の適正な取扱いに関する事務取扱担当者に対する教育・研修の企画
(4) その他特定個人情報等の安全管理に関する事項
(苦情対応)
第23条
1 当社は、特定個人情報等の取扱いに関する苦情(以下「苦情」という。)について必要な体制整備を行い、苦情があったときは、適切かつ迅速な対応に努めるものとする。
2 苦情対応の責任者は、総務管理グループ グループリーダーとするものとする。
(従業者の義務)
第24条
1 当社の従業者又は従業者であった者は、業務上知り得た特定個人情報等の内容をみだりに他人に知らせ、又は不当な目的に使用してはならない。
2 特定個人情報等の漏えい、滅失若しくは毀損の発生又は兆候を把握した従業者は、その旨を事務取扱責任者又は特定個人情報等管理責任者に報告するものとする。
3 本規程に違反している事実又は兆候を把握した従業者は、その旨を事務取扱責任者又は特定個人情報等管理責任者に報告するものとする。
4 事務取扱責任者は、前2項の報告を受けた際には、直ちにそれを特定個人情報等管理責任者に報告するものとする。
5 特定個人情報等管理責任者は、前3項による報告の内容を調査し、本規程に違反する事実が判明した場合には遅滞なく総務管理グループ グループリーダーに報告するとともに、関係事業部門に適切な措置をとるよう指示するものとする。
第8章 安全管理措置
第1節 総則
(特定個人情報等の安全管理)
第25条
当社は、特定個人情報等の漏えい、滅失又は毀損の防止その他の特定個人情報等の安全管理のために、第2節ないし第5節に定める措置を講ずるものとする。
(委託先の監督)
第26条
1 当社は、特定個人情報等の取扱いの全部又は一部を当社以外の者に委託するときは、委託先において番号法に基づき当社が果たすべき安全管理措置と同等の措置が講じられているか否かについてあらかじめ確認した上で、原則として委託契約において、特定個人情報等の安全管理について委託先が講ずべき措置を明らかにし、委託先に対する必要かつ適切な監督を行うものとする。
2 委託先が特定個人情報等の取扱いの全部又は一部を再委託する場合には、当社の許諾を得るものとする。また、再委託が行われた場合、当社は、委託先が再委託先に対して必要かつ適切な監督を行っているかについて監督するものとする。
第2節 組織的安全管理措置
(特定個人情報等の取扱状況の記録)
第27条
当社は、別途定める様式「特定個人情報等取扱台帳」を用いて、以下を記録する。
・特定個人情報ファイルの種類、名称
・対象者及び個人情報の項目
・明示・公表等を行った利用目的
・責任者、取扱部署
・アクセス権を有する者
・保管場所
・保管方法
・保存期間
・削除・廃棄状況
なお、「特定個人情報等取扱台帳」には特定個人情報等は記載しない。
(本規程に基づく運用状況の記録)
第28条
当社は、本規程に基づく運用状況を確認するため、別途定めるところに従い、以下の項目をシステムログ又は利用実績として記録する。
・特定個人情報ファイルの利用・出力状況の記録
・書類・媒体等の持出しの記録
・特定個人情報ファイルの削除・廃棄記録
・削除・廃棄を委託した場合、これを証明する記録等
・特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録
(情報漏えい等事案への対応)
第29条
当社が情報漏えい等の事案の発生又は兆候を把握した場合には、特定個人情報等管理責任者は、速やかに担当役員へ報告の上、各部門長で構成される「特定個人情報等漏えい等事故調査委員会」を招集し、必要に応じて、適切かつ迅速に以下の対応を行う。
・当社内部における報告、被害の拡大防止
・事実関係の調査、原因の究明
・影響範囲の特定
・再発防止策の検討・実施
・影響を受ける可能性のある本人への連絡
・事実関係、再発防止策等の公表
・特定個人情報保護委員会・主務大臣等への報告
(取扱状況の把握及び安全管理措置の見直し)
第30条
当社は、特定個人情報等の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組むため、監査責任者を任命し、少なくとも毎年1回、取扱状況を点検し、安全管理措置を見直す。
第3節 人的安全管理措置
(従業者の監督・教育)
第31条
当社は、特定個人情報等の安全管理のために、従業者に対する必要かつ適切な監督・教育を行うものとする。
第4節 物理的安全管理措置
(特定個人情報等を取り扱う区域の管理)
第32条
当社は、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、それぞれ以下のとおりの安全管理措置を講ずる。
1. 管理区域
・入退室管理及び管理区域へ持ち込む機器等の制限
2. 取扱区域
・壁又は間仕切り等の設置、及び事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等に努める。
(機器及び電子媒体等の盗難等の防止)
第33条
当社は、管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、以下の安全管理措置を講ずる。
・特定個人情報等を取り扱う電子媒体又は書類等は、施錠できるキャビネット・書庫等に保管する。
・特定個人情報ファイルを取り扱う機器は、セキュリティワイヤー等により固定する。
(電子媒体等を持ち出す場合の漏えい等の防止)
第34条
当社は、特定個人情報等が記録された電子媒体又は書類等を管理区域又は取扱区域の外に持ち出す場合、以下の措置を講じる。
・持出しデータの暗号化、パスワードによる保護、又は施錠できる搬送容器を使用する。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従う。
・特定個人情報等が記載された書類等は、封緘して持ち出す。
(個人番号の削除、機器及び電子媒体等の廃棄)
第35条
1 当社は、個人番号を削除又は廃棄する際には、以下に従って、復元できない手段で削除又は廃棄する。
・特定個人情報等が記載された書類を廃棄する場合、焼却、溶解、復元不可能な程度に細断可能なシュレッダーの利用又は個人番号部分を復元できない程度のマスキングを行う。
・特定個人情報等が記録された機器又は電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアを利用するか、又は物理的な破壊を行う。
・特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、データ復元用の専用ソフトウェア、プログラム、装置等を用いなければ復元できない手段で削除する。
2 当社は、個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体若しくは書類等を廃棄した場合には、削除又は廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する。
第5節 技術的安全管理措置
(技術的安全管理措置)
第36条
1 当社は、事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行う。
2 当社の特定個人情報等を取り扱う情報システムは、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証するものとする。
3 当社は、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するため、以下の措置を講じる。
・当社の情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する。
・情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。
・機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
・ログ等の分析を定期的に行い、不正アクセス等を検知する。
4 当社は、特定個人情報等をインターネット等により外部に送信する場合、通信経路の暗号化を行うよう努める。
第9章 特定個人情報等の開示、訂正等、利用停止等
(特定個人情報等の開示等)
第37条
1 当社は、本人から、当該本人が識別される特定個人情報等に係る保有個人データについて、書面又は口頭により、その開示(当該本人が識別される特定個人情報等に係る保有個人データを保有していないときにその旨を知らせることを含む。以下同じ。)の申出があったときは、身分証明書等により本人であることを確認の上、開示をするものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 当社の事業の適正な実施に著しい支障を及ぼすおそれがある場合
(3) 他の法令に違反することとなる場合
2 開示は、書面により行うものとする。ただし、開示の申出をした者の同意があるときは、書面以外の方法により開示をすることができる。
3 特定個人情報等に係る保有個人データの開示又は不開示の決定の通知は、本人に対し、書面により遅滞なく行うものとする。
(特定個人情報等の訂正等)
第38条
1 当社は、本人から、当該本人が識別される特定個人情報等に係る保有個人データの内容が事実でないという理由によって当該特定個人情報等に係る保有個人データの内容の訂正、追加又は削除(以下「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該特定個人情報等に係る保有個人データの内容の訂正等を行うものとする。
2 当社は、前項の規定に基づき求められた特定個人情報等に係る保有個人データの内容の訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知するものとする。
3 当社は、前項の通知を受けた者から、再度申出があったときは、前項と同様の処理を行うものとする。
4 当社は、前第2項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めるものとする。
(特定個人情報等の利用停止等)
第39条
1 当社は、本人から、当該本人が識別される特定個人情報等に係る保有個人データが第10条の規定に違反して取り扱われているという理由又は第6条の規定に違反して取得されたものであるという理由によって、当該特定個人情報等に係る保有個人データの利用の停止又は消去(以下「利用停止等」という。)を求められた場合、又は第16条の規定に違反して第三者に提供されているという理由によって、当該特定個人情報等に係る保有個人データの第三者への提供の停止(以下「第三者提供の停止」という。)を求められた場合で、その求めに理由があることが判明したときは、遅滞なく、当該特定個人情報等に係る保有個人データの利用停止等又は第三者提供の停止を行うものとする。ただし、当該特定個人情報等に係る保有個人データの利用停止等又は第三者提供の停止に多額の費用を要する場合その他の利用停止等又は第三者提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2 当社は、前項の規定に基づき求められた特定個人情報等に係る保有個人データについて、利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三者提供の停止を行ったとき若しくは第三者提供の停止を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
3 前条第3項及び第4項は本条に準用する。
第10章 雑 則
(その他)
第40条
[本規程の実施に必要な規則等は、別途定めるものとする。]
附 則
本規程は、平成28年1月1日から施行する。

Copyright (c) 2017 株式会社ISC就職支援センター All Rights Reserved.