<個人情報保護規程>(例)
 
制定 平成17年  月  日
 
○○○協同組合
 
1.目 的
 本気堤は、○○○協同組合(以下「本組合」という。)が取り扱う個人情報の適切な保護のための項目を定め、役員、職員をはじめとする従事者がその事業内容に応じた個人情報保護を遵守することを目的とする。
 
2.用語の定義
 本規程における用語の定義は、下記のとおりとする。
(1)個人情報
 「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)をいう。
(2)本人
 「本人」とは、個人情報によって識別される特定の個人をいう。
(3)従事者
 本組合内において業務に従事する役員、職員、派遣社員及びアルバイトなどをいう。
 
3.適用範囲
 本規程は、コンピュータ・システムにより処理されているか否か、及び書面に記録されているか否か等を問わず、本組合において取り扱われるすべての個人情報を対象とする。
 
4.照会先
 この規程に対する照会先は、○○○協同組合個人情報保護委員会とする。
 
5.計 画
(1)個人情報の特定
 取得、利用、保管など、取り扱う個人情報は、すべて特定する。
(2)個人情報に関するリスクの明確化
 特定された個人情報は、必ずそのリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど)を明確にする。
(3)法令及びその他の規範
a.本組合における個人情報の取扱いに関わる業務に関する法令やその他の規範は、「個人情報に関する法令及びその他の規範リスト」を作成し特定するとともに、法令及びその他の規範の本文をいつでも参照できるように整備する。リスト及び本文は、最新の状態で維持できるように定期的に見直す。
b.法令及びその他の規範に改廃があった場合は、速やかにその改廃内容を本規程や関連規程類に反映する。
 
6.個人情報保護に関する文書
(1)文書の構成
 本組合における個人情報保護に関する文書の体系は、下記のとおり3階層で構成される。
 
 
 
 
 
@ 個人情報保護方針
 本組合の個人情報保護に対する取り組みの方針を示すもの。すべての従事者は、この方針に従って行動する必要がある。
A 個人情報保護規程
 本規程のことで、個人情報保護方針を実践するための仕組み及び規則等を文書化したもの。
B 規則・手順等
 本規程に準じて、個人情報保護体制を運用するために定める具体的な規則・手順等を文書化したもの。
 
(2)文書の見直し
 各文書を所管する部門は、本組合の組織変更、社会情勢の変化、関係法令・技術などに対して、個人情報保護関連文書が常に合理的かつ現実に即したものとなるよう、必要に応じて内容を見直す。
 
7.個人情報保護委員会の設置
 本組合が保有する個人情報及び情報資産について、本組合全体として適切に取り扱い、それを保護するとともに、必要かつ適切な措置を講ずるため、個人情報保護委員会を設置する。
 
 
 
 
(1)本委員会の具体的役割
 本委員会は、個人情報と情報資産全般に係る取扱方針を決定し、体制整備及びその維持改善に努める。また、必要に応じて個人情報保護管理責任者に対し、企画立案又は改善案策定、作業実施、状況又は結果報告等の指示を行い、報告内容を評価のうえ、判断又は承認を行う。
 
(2)本委員会の構成
 本委員会は、以下のメンバーで構成する。
@ 委員長(最高責任者)
a.理事長の名により、専務理事がこれにあたる。
 委員長は、本組合における個人情報等情報資産全般に係る取扱いの最高責任者となるとともに、個人情報保護委員会を効果的に運用するために役割、責任及び権限を定め、文書化し、かつ、すべての従事者に周知させる。
b.委員長は、公平かつ客観的な立場にある者を監査役として任命する。
c.委員長は、個人情報保護管理責任者を任命し、管理責任者としての責任と権限を明確にし、業務を行わせる。
A 監査役
 監査役は、「(7)個人情報保護に関する監査」に定める個人情報等情報資産の取扱いに関する監査を実施し、個人情報保護委員会に報告する。
B 委 員
a.委員は、本会における個人情報等情報資産の取扱いに関する事項又は事務所内外で発生する情報セキュリティに関する事項を、個人情報保護委員会に議題として提示する。
b.委員は、本規程に定められた事項を理解し遵守するとともに、従事者にこれを理解させ、安全対策の実施及び周知徹底等の措置を実施する責任を負う。
C 個人情報保護管理責任者
a.個人情報保護管理責任者は、個人情報保護委員会を運営するうえで必要な事務並びに個人情報等情報資産の取扱い全般に関する文書等を管理する。
b.個人情報保護管理責任者は、個人情報保護委員会で決定した事項の実施、状況の調査・報告、企画・改善案の策定等について、個人情報保護事務局を設置し、必要な指示を行い、その結果を判断したうえで個人情報保護委員会に報告する。
D 個人情報保護事務局
a.個人情報保護管理全般を主管する組合事務局がこれにあたる。
b.個人情報保護事務局は、個人情報保護管理責任者の指示に基づいて、本規程に定められた事項を理解し遵守するとともに、従事者にこれを理解させ、遵守させるための教育訓練、安全対策の実施及び周知徹底等の措置を実施する責任を負う。
c.個人情報保護管理責任者は、前項の責務を果たすため、教育責任者、苦情対応責任者並びに情報システム管理者を定める。
E 教育責任者の責務
a.教育責任者は、本規程に定められた事項を理解し遵守するとともに、個人情報に関連のある業務に関わる従事者に本規程を遵守させるための教育訓練を企画・運営する責任を負う。
F 苦情対応責任者の責務
a.苦情対応責任者は、本規程に定められた事項を理解し遵守するとともに、組合員等からの個人情報に係る問い合わせ・苦情等を受け付けて対応するとともに、相談内容を分析し再発防止等を検討して本規程の運営に反映させる責任を負う。
b.問い合わせ・苦情を受け付けた従事者は、問い合わせ・苦情の受付内容を苦情対応責任者に報告する。
G 情報システム管理者の責務
 情報システム管理者は、本規程に定められた事項を理解し遵守するとともに、本会情報システムの安全管理と効果的かつ効率的な運用に努める責任を負う。
 
(3)個人情報の取扱い
@ 利用目的の特定
a.利用目的は、本組合の正当な事業の範囲で、明確に定めること。
b.利用目的は、できる限り具体的に特定すること。
c.利用目的を変更する場合は、本規程に従い、新たに本人に通知又は公表すること。
A 取得に際しての利用目的等の通知
a.以下の事項を本組合Webページなどで公表するか又は本人に通知すること。
・ 個人情報を収集、利用する事業名
・ 利用目的
・ 開示等の手続きにおいて手数料を取得する際は、手数料の額
・ 個人情報の取扱いに関する苦情の申出先
b.Webページなどで公表している場合でも、契約書その他の書面、インターネットの入力フォームなど、本人から直接に個人情報を収集する際には、利用目的を本人に通知すること。
c.個人情報を他と共同して利用する場合は、その旨並びに共同して利用されるデータの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人情報の管理責任者名を、あらかじめ本人に通知するか、Webページなどで公表すること。
B 個人情報の収集と利用の原則
a.個人情報の収集は、適法かつ公正な手段によって行うこと。
b.個人情報の取得と利用は、利用目的の達成に必要な範囲内で行うこと。
c.合併その他の事由により他者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ない限り、個人情報の収集と利用は、承継前における当該個人情報の利用目的の範囲内で行うこと。
C 特定の機微な個人情報の取得、利用及び提供の禁止
 次に示す社会的差別を助長するような内容を含む個人情報の収集、利用又は提供を行ってはならない。ただし、これらの取得、利用又は提供について、本人の明確な同意、法令に特別の規定がある場合及び司法手続上必要不可欠である場合はこの限りでない。
・ 思想、信条及び宗教に関する事項
・ 人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項
・ 勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項
・ 集団示威行為への参加、請願権の行使及びその他の政治的権利の行使に関する事項
・ 保健医療及び性生活
D 提供の制限
 個人情報は、あらかじめ本人の同意を得ないで、第三者に提供してはならない。ただし、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、当該個人データを第三者に提供することができる。
・ 第三者への提供を利用目的とすること
・ 第三者に提供されるデータの項目
・ 第三者への提供の手段又は方法
・ 本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること
E 個人情報の委託処理に関する措置
a.業務を委託するなどのため個人情報を外部に預託する場合は、十分な情報セキュリティ水準を提供する者を選定すること。
b.前項で選定した委託事業者とは、契約などの法律行為により、本会の指示の順守、個人情報に関する秘密の保持、再委託に関しての事項及び事故時の責任分担などを担保するとともに、当該契約書などの書面又は電磁的記録を個人情報の保存期間にわたり保存するものとする。
c.前項の再委託に関しての事項において、委託事業者による再委託は原則禁止とし、必要な場合は、承諾を得る旨を盛り込むこと。
F 個人情報に関する本人の権利
a.本人又はその代理人(未成年者又は成年被後見人の法定代理人、及び開示等の求めをすることにつき本人が委任した代理人に限る。)から自己の情報について開示を求められた場合は、原則として合理的な期間内にこれに応ずること。
b.ただし、法令が定める場合及び開示を求められた個人情報が、本人の評価、選考などに関するものであって、これを開示することにより業務の適正な実施に支障が生ずるおそれがあると認められる場合などには、その全部又は一部に応じないことができるものとする。
c.開示の結果、誤った情報があった場合で、訂正又は削除を求められた場合には、原則として合理的な期間内にこれに応ずるものとし、訂正又は削除を求められた場合には、可能な範囲内で当該個人情報の受領者に対して通知を行うこと。
d.本会が既に保有している個人情報について、本人から自己の情報についての利用又は第三者への提供を拒まれた場合は、これに応ずること。
 
(4)個人情報の適正管理義務
@ 個人情報の正確性の確保
 個人情報は利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理すること。
A 個人情報利用時の安全性の確保
a.個人情報に関するリスク(個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏えい等)に対して、技術面及び組織面において合理的な安全対策を講ずること。
b.個人情報管理責任者は、少なくとも年1回リスク評価を行い、その評価結果及び対策を委員長に報告すること。
c.個人情報の廃棄方法
 本会が個人情報を廃棄する場合、その方法は次のとおりとする。
イ.書面に記録された個人情報
・ 破砕機による破砕、溶解又は焼却
ロ.電磁的に記録された個人情報
・ 記録媒体の破砕又は電子ファイルの完全消去(再利用不可能な方法)
 
(5)教 育
a.すべての従事者は、教育責任者の定める個人情報保護に関する教育を受けなければならない。
b.教育には下記の事項を含むこととする。
・ 個人情報保護の重要性及び利点
・ 個人情報保護のための役割及び責任
・ 本規程や関連法令の規定に違反した際に予想される結果と処置
c.研修の内容及びスケジュールは、毎年教育責任者が定め、委員長の承認を得るとともに、スケジュール及び実績を整理する。
 
(6)苦情及び相談
a.本組合は、苦情相談窓口を設置し、個人情報の取扱いに関して、情報主体からの苦情及び相談を受け付けて対応、整理する。
b.是正・予防措置が必要な場合は、速やかに是正・予防措置を実施するとともに実施内容を記録する。
 
(7)個人情報保護に関する調査
<監査の実施>
a.監査は、「監査規則」に従い、実施する。
b.監査役は、毎年、監査計画を立案し委員長の承認を得る。
c.監査役は、監査計画に従って監査を行い、「監査報告書」を作成し。委員長に報告する。委員長は報告書を保管する。
d.報告書に改善勧告が含まれていた場合、委員長は被監査部門に対し、改善活動の実施を命じるものとする。
e.被監査部門は、改善勧告に従って改善活動を行わなければならない。
f.監査役は、改善活動のフォローアップを行うとともに、改善状況を委員長に報告する。
 
(8)委員長による見直し
a.委員長は、監査報告及びその他の経営環境などに照らして、適切な個人情報の保護を維持するために、定期的に個人情報保護体制を見直さなければならない。
b.個人情報保護体制の見直しは定期監査の後に実施し、委員長は見直しの結果を個人情報保護管理責任者に指示する。
c.個人情報保護管理責任者は、委員長の指示に基づき、必要な作業を実施する。
 
8.罰 則
 本規程に故意又は過失によって違反した役員及び職員は、就業規則に基づき解雇を含む懲戒の対象となる。
 
9.その他
@ 本規程は、平成17年  月  日より施行する。
A 本規程の運用に必要な細則は、別に定める。

Down Road <Word.RTF><一太郎.jfw


<個人情報保護方針>(例)<外部委託先との秘密保持に関する覚書>


<個人情報保護に関して、組合等中小企業連携組織が参考となるWebサイト>