PMS実施及び運用規程 ver.0.1

本規程の目的

PMS実施及び運用規定(以下、「本規程」という。)は、当社PMSの運用段階において、『PMS基本規程』の規定に従って、個人情報の取扱いを行うための管理目的及び管理策として、JIS Q 15001規格の、次の事項について定める。

  1. 附属書A 3.4.2.取得、利用及び提供に関する原則
  2. 附属書A 3.4.3.適性管理
  3. 附属書A 3.4.4.個人情報に関する本人の権利

用語及び定義

本規程で使用する用語は、『PMS基本規程』の「3.用語及び定義」による。

管理目的及び管理策

本章では、JIS Q 15001規格の附属書Aの箇条番号を参照しやすくするため、附属書Aの箇条番号に合わせた採番とする。

一般

『PMS基本規程』に定める。

個人情報保護方針

『PMS基本規程』に定める。

計画

『PMS基本規程』に定める。

実施及び運用

運用手順

当社は、個人情報保護マネジメントシステムを確実に実施するために、運用の手順を文書化し、明確にする。

取得、利用及び提供に関する原則

利用目的の特定
  1. 当社は、個人情報を取り扱うにあたっては、次の事項を考慮して、その利用目的をできる限り特定し、その目的の達成に必要な範囲内において行う。
    1. 単に抽象的、一般的な特定ではなく、当社が最終的にどのような目的で個人情報を利用するのかを、本人がその影響を予測できる程度に、できる限り具体的に特定する。
    2. 個人情報の項目ごとにその利用目的が異なる場合は、個人情報の利用目的を、項目ごとに区別して特定する。
    3. 利用目的は、公序良俗に反するものであってはならない。
  2. 利用目的の特定の手順を、『PMS基本規程』の「4.3.1.個人情報の特定」に規定の通りとする。
  3. 当社は、利用目的の特定に当たっては、取得した情報の利用及び提供によって本人の受ける影響を予測できるように、利用及び提供の範囲を、次のいずれかの方法で公表する。
    1. 当社ウェブサイトへの掲載(『個人情報の取扱いについて』を、トップページからワンクリックで遷移可能なページに掲載する。)
    2. 同意書や契約書への掲載
適正な取得
  1. 当社は、適法かつ公正な手段によって個人情報を取得する。
    • 例)本人から直接取得(直接書面によって取得、口頭によって取得、監視カメラによる撮像記録、コールセンターでの入電記録等)
    • 例)第三者から取得(データベース事業者から購入した人物情報)
    • 例)公開情報から取得(官報、ウェブサイト、市販の名簿等から取得した個人情報)
    • 例)委託を受けた場合(情報処理、情報システム開発等により取得した顧客情報等)
  2. 個人情報取得(「3.4.2.2.適正な取得」「3.4.2.5.本人から直接書面によって取得する場合の措置」)の手順を、『PMS基本規程』の「4.3.1.個人情報の特定」に規定の通りとする。
要配慮個人情報
  1. 当社は、新たに要配慮個人情報を取得する場合、後項(2)の事項に該当する場合を除き、あらかじめ書面による本人の同意を得て、取得する。
  2. 次のいずれかに該当する場合は、書面による本人の同意を得ることを不要とする。
    1. 法令に基づく場合
    2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
    3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
    4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
    5. その他、個人情報取扱事業者の義務等の適用除外とされている者及び個人情報保護委員会規則で定めた者によって公開された要配慮個人情報、又は政令で定められた要配慮個人情報であるとき
  3. 当社は、要配慮個人情報の利用又は提供、及び要配慮個人情報のデータの提供についても、「3.4.2.2.適正な取得」と同様に実施する。
個人情報を取得した場合の措置
  1. 当社は、個人情報を取得した場合は、後項(2)の事項に該当する場合を除き、あらかじめ、その利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知するか、又は公表する。
  2. 次のいずれかに該当する場合は、本人への利用目的の通知又は公表することを不要とする。
    1. 利用目的を本人に通知するか、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
      • 例)いわゆる総会屋等による不当要求等の被害を防止するため、当該総会屋の個人に関する情報を取得し、企業相互に情報交換を行っている場合で、利用目的を通知又は公表することによって、当該総会屋の逆恨みによって、第三者たる情報提供者が被害を被るおそれがある場合
    2. 利用目的を本人に通知するか、又は公表することによって当該組織の権利又は正当な利益を害するおそれがある場合
      • 例)通知又は公表される利用目的の内容によって、当該組織が行う新商品等の開発内容、営業ノウハウ等の企業秘密にかかわるようなものが明らかになる場合
    3. 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知するか、又は公表することによって当該事務の遂行に支障を及ぼすおそれがある場合
      • 例)公開手配を行わないで、被疑者に関する個人情報を、警察から被疑者の立ち回りが予想される組織に限って提供された場合、警察から受け取った当該組織が、利用目的を本人に通知するか、又は公表することによって、捜査活動に重大な支障を及ぼすおそれがある場合
    4. 取得の状況からみて利用目的が明らかであると認められる場合(ただし、取扱いの委託を受けた場合を除く。)
      • 例)商品及びサービスの販売・提供において住所・電話番号等の個人情報を取得した場合、その利用目的が当該商品、サービス等の販売・提供だけを確実に行うためという利用目的であるような場合(クリーニング店、デリバリーサービス等で受取人を特定するために個人情報を取得する等)
      • 例)一般の慣行としての名刺交換(ただし、ダイレクトメール等の目的に名刺の個人情報を用いることは、自明の利用目的に該当しない場合がある。)
      • 例)請求書、見積書などの伝票に記載された担当者名、捺印等
  3. 業務責任者は、提供元又は委託元から個人情報を取得した場合、提供元又は委託元について次の事項を確認し、個人情報保護管理者の承認を得る。
    1. 個人情報保護方針や個人情報の取扱い
    2. 個人情報保護体制(個人情報保護管理者を含む。)の公表状況
    3. 法の遵守状況(オプトアウト、利用目的、開示手続、問合せ・苦情の受付窓口の公表等)
本人から直接書面によって取得する場合の措置
  1. 当社は、「3.4.2.4.個人情報を取得した場合の措置」を講じた場合において、本人から、書面(電子的方式、磁気的方式等、人の知覚によっては認識できない方式で作られる記録を含む。以下、同じ。)に記載された個人情報を直接取得する場合は、少なくとも次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、書面によって本人の同意を得る。
    1. 組織の名称又は氏名
    2. 個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
    3. 利用目的
    4. 個人情報を第三者に提供することが予定される場合の事項
      • 第三者に提供する目的
      • 提供する個人情報の項目
      • 提供の手段又は方法
      • 当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性(個人情報の提供を受ける組織の業種と当社との関係)
      • 個人情報の取扱いに関する契約がある場合はその旨
    5. 個人情報の取扱いの委託を行うことが予定される場合には、その旨
    6. 個人情報が、保有個人データに該当する場合には、その請求等に応じる旨及び問合せ窓口
    7. 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
      • 例)本人が懸賞応募申込書に個人情報を記入しないため、当選しない。
      • 例)本人が結婚紹介所申込書の年収の欄に記入しないため、年収を考慮した相手が紹介されない。
      • 例)本人が中途採用に応募するに当たり、履歴書に職歴を記入しないため、一定の職種で選考対象とされない。
    8. 本人が容易に知覚できない方法によって個人情報を取得する場合には、その旨
      • 例)スマートフォンアプリケーション経由で自動的に取得する位置情報、端末情報
      • 例)ウェブサイトを訪れた際のクッキー(cookie:ウェブブラウザ上に保存される情報)
  2. 次のいずれかに該当する場合は、本人に明示し、本人の同意を得ることを不要とする。
    1. 人の生命、身体若しくは財産の保護のために緊急に必要がある場合
    2. 「3.4.2.4.個人情報を取得した場合の措置」(2)の(a)~(d)に該当する場合
  3. 個人情報保護管理者は、次のいずれかの方法によって、あらかじめ、(1)の事項を、本人に明示する。
    1. 同意書や契約書への掲載
    2. ウェブサイト上のフォーム画面から個人情報を取得する場合は、本人が個人情報を入力(記録)し、送信する前に画面に表示
    3. 電子メールにより個人情報を取得する場合は、本人からの取得に先立って当社から送信する電子メール本文内への掲載
利用に関する措置
  1. 当社は、特定した利用目的の達成に必要な範囲内で個人情報を利用する。
  2. 個人情報保護管理者は、特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、「3.4.2.5.本人から直接書面によって取得する場合の措置」(2)の(a)~(f)に示す事項又はそれと同等以上の内容の事項を本人に通知し、後項(3)の事項に該当する場合を除き、本人の同意を得る。
  3. 次のいずれかに該当する場合には、本人の同意を得ることを不要とする。
    1. 法令に基づく場合
    2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
      • 例)急病その他の事態時に、本人について、その血液型、家族の連絡先等を医師及び看護師に提供する場合
      • 例)製品事故が生じているか、又は製品事故は生じていないが人の生命若しくは身体に危害を及ぼす窮迫した危険が存在するために、製造事業者等が消費生活用製品をリコールする場合であって、かつ、販売事業者、修理事業者、設置工事事業者等が当該製造事業者等に対して、当該製品の購入者等の情報を提供する場合
    3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
      • 例)不登校生徒の問題行動について、児童相談所、学校、医療行為等の関係機関が連携して対応するために、当該関係機関等の間で当該児童生徒の情報を交換する場合
    4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
      • 例)組織が、税務署の職員等の任意調査に対し、個人情報を提供する場合
本人に連絡又は接触する場合の措置
  1. 当社は、個人情報を利用して本人に連絡又は接触する(郵便、電話、電子メール等を送ること又は訪問すること等)場合には、後項(2)の事項に該当する場合を除き、本人に対して、「3.4.2.5.本人から直接書面によって取得する場合の措置」(2)の(a)~(f)に示す事項又はそれと同等以上の内容の事項、及び取得方法(例えば、「同窓会名簿」及び「官報」等の取得源並びに「書店からの購入」等の取得経路)を通知し、本人の同意を得る。
  2. 次のいずれかに該当する場合には、本人に通知し、本人の同意を得ることを不要とする。
    1. 「3.4.2.5.本人から直接書面によって取得する場合の措置」(2)の(a)~(f)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、既に本人の同意を得ているとき。
    2. 個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報を、その利用目的の達成に必要な範囲内で取り扱うとき
    3. 合併その他の事由による事業の承継に伴って個人情報が提供され、個人情報を提供する組織が、既に「3.4.2.5.本人から直接書面によって取得する場合の措置」(2)の(a)~(f)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき
    4. 個人情報が特定の者との間で共同して利用され、共同して利用する者が、既に「3.4.2.5.本人から直接書面によって取得する場合の措置」(2)の(a)~(f)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知するか、又は本人が容易に知り得る状態に置いているとき(以下、「共同利用」という。)
      1. 共同して利用すること
      2. 共同して利用される個人情報の項目
        • 例) 氏名、住所、電話番号、年齢
        • 例) 氏名、商品購入履歴
      3. 共同して利用する者の範囲
        • 共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする。
        • 共同利用者の範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにする。
      4. 共同して利用する者の利用目的
        • 利用目的が個人データの項目によって異なる場合には、当該個人データの項目ごとに利用目的を区別して記載する。
      5. 共同して利用する個人情報の管理について責任を有する者(共同して利用する全ての事業者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する者をいい、共同利用者のうち一事業者の内部の担当責任者をいうものではない。)の氏名又は名称
      6. 取得方法
    5. 「3.4.2.4.個人情報を取得した場合の措置」(2)の(d)に該当するため、利用目的などを本人に明示、通知又は公表することなく取得した個人情報を利用して、本人に連絡又は接触するとき
    6. 「3.4.2.3.要配慮個人情報」(2)の(a)~(d)のいずれかに該当するとき
  3. 個人情報を共同利用する場合、共同して利用する者の間で、次の事項を契約によって定める。
    1. 共同利用者の要件(グループ会社であること、特定のキャンペーン事業者の一員であること等)
    2. 各共同利用者の個人情報取扱責任者、問合せ担当者及び連絡先
    3. 共同利用する個人データの取扱いに関する事項
      1. 個人データの漏えい等防止に関する事項
      2. 目的外の加工、利用、複写、複製等の禁止
      3. 共同利用終了後のデータの返還、消去、廃棄に関する事項
    4. 共同利用する個人データの取扱いに関する取決めが遵守されなかった場合の措置
    5. 共同利用する個人データに関する事件・事故が発生した場合の報告・連絡に関する事項
    6. 共同利用を終了する際の手続
  4. 本人に連絡又は接触することに対する本人の同意を得るための方法について、次の通りとする。
    1. 郵便によるダイレクトメールの場合は、最初に送付するダイレクトメールに通知文書を同封して発送し、本人の同意を得られれば、継続して本人に連絡又は接触できるものとする。回答がない場合には同意がなかったものとみなす。
    2. 電子メール広告や特定電子メールを送付する場合は、初回は同意を求める文書のみとし、同時にダイレクトメール等の送付を行ってはならない。(特定商取引法及び特定電子メール法の規定遵守)
個人データの提供に関する措置
  1. 当社は、個人データを第三者に提供する場合には、後項(2)の事項に該当する場合を除き、あらかじめ、本人に対して、「3.4.2.5.本人から直接書面によって取得する場合の措置」(2)の(a)~(d)に示す事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得る。
    • 例) 本人の同意を得て作成されている名簿を販売するとき
  2. 次のいずれかに該当する場合には、本人に通知し、本人の同意を得ることを不要とする。
    1. 「3.4.2.5.本人から直接書面によって取得する場合の措置」又は「3.4.2.7.本人に連絡又は接触する場合の措置」の規定によって、既に「3.4.2.5.本人から直接書面によって取得する場合の措置」(2)の(a)~(d)の事項又はそれと同等以上の内容の事項を本人に明示し又は通知し、本人の同意を得ているとき
    2. 本人の同意を得ることが困難な場合であって、法令等が定める手続(個人情報保護委員会に、オプトアウト手続による個人データの第三者提供に係る届出等)に基づいた上で、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知するか、又はそれに代わる同等の措置を講じているとき
      1. 第三者への提供を利用目的とすること
      2. 第三者に提供される個人データの項目
      3. 第三者への提供の手段又は方法
      4. 本人の請求などに応じて当該本人が識別される個人データの第三者への提供を停止すること
      5. 取得方法
      6. 本人からの請求などを受け付ける方法
    3. 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であって、かつ、本人又は当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって、前項(b)の1)~6)で示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知するか、又は本人が容易に知り得る状態に置いているとき
    4. 特定した利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託するとき
    5. 合併その他の事由による事業の承継に伴って個人データを提供する場合であって、承継前の利用目的の範囲内で当該個人データを取り扱うとき
    6. 個人データを共同利用している場合であって、共同して利用する者の間で、「3.4.2.7.本人に連絡又は接触する場合の措置」に規定する共同利用について契約によって定めているとき(契約に含める項目は、「3.4.2.7.本人に連絡又は接触する場合の措置」に定める。)
    7. 「3.4.2.3.要配慮個人情報」(2)の(a)~(d)のいずれかに該当するとき
外国にある第三者への提供の制限
  1. 当社は、法令等の定めに基づき、外国にある第三者に個人データを提供する場合には、後項(2)の事項に該当する場合を除き、法令等が定める手続きに基づき、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得る。
  2. 次のいずれかに該当する場合には、本人の同意を不要とする。
    1. 当社と同一法人格(当社の外国支店等)
    2. 当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報の保護に関する法律施行規則で定める国にある場合
    3. 当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合
    4. 「3.4.2.3.要配慮個人情報」(2)の(a)~(d)のいずれかに該当するとき
  3. 外国にあるサーバに個人データを含む電子データを保存する場合、当該サーバの運営事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合(次のいずれもに該当する場合)には、第三者への提供として扱わない。
    1. 契約条項によって、当該事業者がサーバに保存された個人データを取り扱わない旨が定められている。
    2. 当該事業者が、適切にアクセス制御を行っている。
第三者提供に係る記録の作成など
  1. 当社は、個人データを第三者に提供したときは、後項(2)の事項に該当する場合を除き、法令等の定めるところによって記録を作成し、保管する。
  2. 次のいずれかに該当する場合には、記録の作成を不要とする。
    1. 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
    2. 合併その他の事由による事業の承継に伴って個人データが提供される場合
    3. 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知するか、又は本人が容易に知り得る状態に置いているとき。
    4. 「3.4.2.3.要配慮個人情報」(2)の(a)~(d)のいずれかに該当するとき
  3. 記録事項を、次の通りとする。
    1. 当該個人データを提供した年月日
    2. 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名(不特定かつ多数の者に対して提供したときは、その旨)
      • 不特定多数の者に対して提供している事例:「個人データをインターネット上に公開し、不特定多数の者が閲覧できる状態に置いている場合」、「住宅地図を市販する場合」
    3. 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
      • その他の当該本人を特定するに足りる事項に該当する事例:「本人ごとに番号・IDなどを付して個人データの管理をしている場合において、当該番号・IDなどにより本人を特定できるときの当該番号・ID」
      • 実際に提供した個人データ自体に「本人の氏名その他の当該本人を特定するに足りる事項」が含まれている場合には、当該個人データ自体を保存することをもって「本人の氏名その他の当該本人を特定するに足りる事項」を記録したものとする。
      • 例えば「当社が有する全ての個人情報に係る本人」等の記載は、「当該本人を特定するに足りる」ものとはしない。
    4. 当該個人データの項目
      • 例) 氏名、住所、電話番号、年齢
      • 例) 氏名、商品購入履歴
      • 実際に提供した個人データ自体又はその写し等を、「当該個人データの項目」の記録とすることもできる。
      • 例えば「当社が有するいずれかの情報」等の記載は、「当該個人データの項目」とは認めない。
    5. 本人の同意を得ている旨
      • 例) 契約書その他の書面に本人の同意が記載されている場合
      • 例) 当社の事業の内容、第三者提供の態様等に鑑みて、同意の存在を明示的に又は黙示的に示す証跡等がある場合
      • 例) 個人情報取扱事業者のシステムの設定により、本人の同意を得た場合のみ第三者提供が実施されることとなっている場合
    • 記録事項の場合分け

      (a) (b) (c) (d) (e)
      オプトアウトによる第三者提供
      本人の同意による第三者提供
第三者提供を受ける際の確認など
  1. 当社は、第三者から個人データの提供を受けるに際しては、法令等の定めるところによって確認を行う。
  2. 確認事項を、次の通りとする。
    1. 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
  3. 「3.4.2.8.2.第三者提供に係る記録の作成など」(2)のいずれかに該当する場合は、確認を不要とする。
  4. 当社は、法令等の定めるところによって確認の記録を作成、保管する。
  5. 記録事項を、次の通りとする。
    1. 個人データの提供を受けた年月日
    2. 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
    3. 当該第三者による当該個人データの取得の経緯
      • 例) 提供者が別の者から個人データを買い取っている場合には売買契約書などを確認する方法
      • 例) 提供者が本人から書面等で当該個人データを直接取得している場合に当該書面等を確認する方法
      • 例) 提供者による取得の経緯が明示的又は黙示的に示されている、提供者と受領者間の契約書面を確認する方法
      • 例) 提供者が本人の同意を得ていることを誓約する書面を受け入れる方法
      • 例) 提供者のホームページで公表されている利用目的、規約等の中に、取得の経緯が記載されている場合において、その記載内容を確認する方法
      • 例) 本人による同意書面を確認する方法
    4. 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
    5. 当該個人データの項目
    6. 個人情報保護委員会により公表されている旨
      • 個人情報保護委員会により公表されていない個人情報取扱事業者からオプトアウトにより個人データの提供を受けた場合は、不正の手段による取得に該当するおそれがある。
    7. 本人の同意を得ている旨
    • 記録事項の場合分け

      (a) (b) (c) (d) (e) (f) (g)
      オプトアウトによる第三者提供
      本人の同意による第三者提供
      私人などからの第三者提供
匿名加工情報
  1. 当社は、匿名加工情報の取扱いを行わない。
  2. 当社は、匿名加工情報の取扱いを開始する場合には、本人の権利利益に配慮し、かつ、法令等の定めるところによって適切な取扱いを行う手順を新たに確立し、かつ、維持する。

適正管理

正確性の確保
  1. 当社は、利用目的の達成に必要な範囲内において、個人データを、正確、かつ、最新の状態で管理する。
  2. 組織は、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努める。
  3. 正確性の確保についての方法・手順は、『情報セキュリティ規程』に定める。
安全管理措置
  1. 当社は、その取り扱う個人情報の個人情報保護リスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要かつ適切な措置を講じる。
  2. 安全管理措置についての方法・手順は、『情報セキュリティ規程』に定める。
従業者の監督
  1. 当社は、当社の従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行う。
  2. 従業者になろうとする者がその責任を理解し、求められている役割にふさわしいことを確実にするため、法令等に従って、次の事項(全てを確認する必要はない。)を確認する。
    1. 満足のいく推薦状(例えば、業務についてのもの、人物についてのもの)の入手の可否の確認
    2. 応募者の履歴書や職務経歴書の確認(完全であるか及び正確であるかの確認)
    3. 提示された学術上及び職業上の資格の確認
    4. 公的証明書(パスポート又は同種の文書)の確認
    5. 信用情報又は犯罪記録のレビューのような、より詳細な確認
    6. 個人情報保護に関する特定の役割のために雇用等を行う場合は、次の事項
      • 情報セキュリティに関するその役割を果たすために必要な力量を備えていること
      • 役割が組織にとって重要なものである場合は、その役割を任せられる信頼できる人物であること
  3. 当社のPMSに故意に若しくは重大な過失により違反した者、又は自らの職務を適正に遂行しなかった社員は、『就業規則』に従い、懲戒の対象となるとともに、当社に損害を与えた場合は、損害賠償請求を行うことがある。
委託先の監督
  1. 当社は、個人データの取扱いの全部又は一部を委託する場合、個人データの適切かつ安全な管理を確保するために委託先を選定し、取扱いを委託する個人データの安全管理が図られるよう、委託先に対して必要かつ適切な監督を行う。
  2. 当社は、個人データの取扱いの全部又は一部を委託する場合は、十分な個人データの保護水準を満たしている者を選定しなければならず、このため、委託を受ける者を選定する基準を定める。
    1. 少なくとも毎年度1回、委託を受ける者を選定する基準を見直す。
    2. 基準は、少なくとも委託する当該業務に関して、当社と同等以上の個人情報保護の水準にあることを客観的に確認するための基準を含むものとする。
    3. 次の時期に、委託先を評価する。
      1. 少なくとも毎年度1回
      2. 新たに委託先を選定する場合
      3. 新たに委託業務を開始する場合(継続的な委託先に、既に委託していた業務と異なる業務を開始する場合を含む。)
  3. 当社は、個人データの取扱いの全部又は一部を委託する場合、次に示す事項を契約によって規定し、十分な個人情報の保護水準を担保する。
    1. 委託者及び受託者の責任の明確化
    2. 個人データの安全管理に関する事項
      1. 漏えい・盗用防止
      2. 範囲外加工・利用禁止
      3. 範囲外複製禁止
      4. 契約終了後の返還、消去、廃棄
    3. 再委託に関する事項
    4. 個人データの取扱状況に関する委託者への報告の内容及び頻度
    5. 契約内容が遵守されていることを委託者が、定期的に、及び適宜に確認できる事項
    6. 契約内容が遵守されなかった場合の措置
    7. 事件・事故が発生した場合の報告・連絡に関する事項
    8. 契約終了後の措置
  4. 当社は、当該契約書等の書面を少なくとも個人データの保有期間にわたって保存する。
  5. 委託先に対して必要かつ適切な監督を行っていないとされる事例を挙げる。
    1. 個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合
    2. 個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合
    3. 再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合
    4. 契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合
  6. 委託先が倉庫業、データセンター等の組織であって、当該組織に取り扱わせる情報に個人情報が含まれるかを認識させることなく預ける場合であっても、委託先の選定を実施する。ただし、個人情報に関する条項を契約書に盛り込むことは必須とはしない。

個人情報に関する本人の権利

個人情報に関する権利
  1. 当社は、保有個人データに関して、本人から開示等(利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止)の請求等を受け付けた場合は、後項(2)の事項に該当する場合を除き、「3.4.4.4.保有個人データの利用目的の通知」「A.3.4.4.7.保有個人データの利用又は提供の拒否権」の各規定に従って、遅滞なくこれに応じる。
  2. 次のいずれかに該当する場合には、保有個人データには当たらないため、開示請求等へ応じることを不要とする。
    1. 当該個人データの存否が明らかになることによって、本人又は第三者の生命、身体又は財産に危害が及ぶおそれのあるもの
      • 例) 家庭内暴力又は児童虐待の被害者の支援団体が、加害者(配偶者又は親権者)及び被害者(配偶者又は子)を本人とする個人データをもっている場合
    2. 当該個人データの存否が明らかになることによって、違法又は不当な行為を助長する、又は誘発するおそれのあるもの
      • 例) いわゆる総会屋などによる不当要求被害を防止するため組織が総会屋などを本人とする個人データをもっている場合
      • 例) 不審者、悪質なクレーマーなどからの不当要求被害を防止するため当該行為を繰り返す者を本人とする個人データを保有している場合
    3. 当該個人データの存否が明らかになることによって、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの
      • 例) 製造業者、情報サービス事業者などが、防衛に関する兵器・設備・機器・ソフトウェアなどの設計・開発担当者名が記録された個人データを保有している場合
      • 例) 要人の訪問先又はその警備会社が、当該要人を本人とする行動予定、記録などを保有している場合
    4. 当該個人データの存否が明らかになることによって、犯罪の予防、鎮圧又は捜査その他の公共の安全及び秩序維持に支障が及ぶおそれのあるもの
      • 例) 警察からの捜査関係事項照会又は捜査差押令状の対象となった組織が、その対応の過程で捜査対象者又は被疑者を本人とする個人データを保有している場合
  3. 当社は、保有個人データには該当しないが、本人から求められる開示等の請求等の全てに応じることができる権限を有する個人情報についても、保有個人データと同様に取り扱う。
開示等の請求等に応じる手続
  1. 当社は、開示等の請求等に応じる手続きとして次の事項を、本人に過重な負担を課するものとならないよう配慮し、定める。
    1. 開示等の請求等の申出先
    2. 開示等の請求等に際して提出すべき書面の様式その他の開示等の請求等の方式
    3. 開示等の請求等をする者が、本人又は代理人であることの確認の方法
    4. 「A.3.4.4.4.保有個人データの利用目的の通知」又は「A.3.4.4.5.保有個人データの開示」による場合の手数料(定めた場合に限る。)の徴収方法
  2. 個人情報保護管理者は、前号(1)の事項及び手数料の額を、『個人情報の取扱いについて』に定め、公表する。
  3. 本人からの開示等の求めである場合の、本人の確認方法を、次の通り行う。
    • 運転免許証、健康保険の被保険者証、個人番号カード(マイナンバーカード)表面、旅券(パスポート)、在留カード、特別永住者証明、年金手帳、印鑑証明書と実印のいずれか
  4. 代理人からの開示等の求めである場合の、代理人の確認方法を、次の通り行う。
    • 本人及び代理人について、運転免許証、健康保険の被保険者証、個人番号カード(マイナンバーカード)表面、旅券(パスポート)、在留カード、特別永住者証明、年金手帳等。
    • 前記のほか、代理人については、代理を示す旨の委任状(親権者が未成年者の法定代理人であることを示す場合は、本人及び代理人が共に記載され、その続柄が示された戸籍謄抄本、住民票の写し)
保有個人データに関する事項の周知など
  1. 当社は、当該保有個人データに関し、次の事項を本人の知り得る状態(本人の請求などに応じて遅滞なく回答する場合を含む。)に置く。
    1. 当社の名称
    2. 個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
    3. 全ての保有個人データの利用目的(「3.4.2.4.個人情報を取得した場合の措置」(2)の(a)~(c)までに該当する場合を除く。)
    4. 保有個人データの取扱いに関する苦情の申出先
    5. 当該組織が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先
    6. 「3.4.4.2.開示等の請求等に応じる手続」によって定めた手続
  2. 個人情報保護管理者は、前号(1)の事項を、当社ウェブサイトに掲載し、公開する。
保有個人データの利用目的の通知
  1. 当社は、本人から、当該本人が識別される保有個人データについて、利用目的の通知を求められた場合には、後項(2)の事項に該当する場合を除き、遅滞なくこれに応じる。
  2. 次のいずれかに該当する場合は利用目的の通知を不要とするが、本人に遅滞なくその旨を通知するとともに、理由を説明する。
    1. 「3.4.2.4.個人情報を取得した場合の措置」(2)の(a)~(c)までに該当する場合
    2. 「3.4.4.3.保有個人データに関する事項の周知など」(1)(c)によって当該本人が識別される保有個人データの利用目的が明らかな場合
保有個人データの開示
  1. 当社は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。)の請求を受けたときは、法令の規定によって特別の手続が定められている場合、及び後項(2)の事項に該当する場合を除き、本人に対し、遅滞なく、当該保有個人データを書面(開示の請求を行った者が同意した方法があるときは、当該方法)によって開示する。
  2. 次のいずれかに該当する場合は、その全部又は一部を開示する必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明する。
    1. 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
      • 例) 医療機関等において、病名等を患者に開示することにより、患者本人の心身状況を悪化させるおそれがある場合
    2. 個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合(「著しい支障を及ぼすおそれ」に該当する場合とは、個人情報取扱事業者の業務の実施に単なる支障ではなく、より重い支障を及ぼすおそれが存在するような例外的なときに限定され、単に開示すべき保有個人データの量が多いという理由のみでは、一般には、これに該当しない。)
      • 例) 試験実施機関において、採点情報の全てを開示することにより、試験制度の維持に著しい支障を及ぼすおそれがある場合
      • 例) 同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合
    3. 他の法令に違反することとなる場合
      例) 刑法の「秘密漏示罪」、電気通信事業法の「通信の秘密の保護」に違反することとなる場合
保有個人データの訂正、追加又は削除
  1. 当社は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの訂正、追加又は削除(以下、この項において「訂正等」という。)の請求を受けた場合は、法令の規定によって特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該保有個人データの訂正等を行う。
  2. 当社は、訂正等を行ったときは、その旨及びその内容を、本人に対し、遅滞なく通知し、訂正等を行わない旨の決定をしたときは、その旨及びその理由を、本人に対し、遅滞なく通知する。
  3. 保有個人データの訂正、追加又は削除の方法を、次の通りとする。
    • 個人情報保護管理者は、当社の保有個人データと照合し、利用目的からみて訂正等が必要な場合や誤りである旨の指摘が正しい場合に、訂正等を行う。
      • 訂正等は、「内容が事実でない」場合に限り行うものとし、評価、判断及び意見等の内容については訂正等を行わない。
      • 訂正等を行う対象は保有個人データであることから、電話帳やカーナビゲーションシステム等の訂正等の権限を有さない個人情報は対象外とする。
    • 個人情報保護管理者は、訂正等が必要になった原因として是正処置が必要と決定した場合、『PMS基本規程』の「10.1.不適合及び是正処置」の規定に従って処置する。
保有個人データの利用又は提供の拒否権
  1. 当社は、本人から当該本人が識別される保有個人データの利用の停止、消去又は第三者への提供の停止(以下、この項において「利用停止等」という。)の請求を受けた場合は、後項(3)の事項に該当する場合を除き、これに応じる。
  2. 当社は、前項(1)の措置を講じた後は、遅滞なくその旨を本人に通知する。
  3. 「3.4.4.5.保有個人データの開示」の規定によって、個人データの全部又は一部を開示する必要はないとされている場合に該当する場合は、利用停止等を行う必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明する。

Copyright (C) 2021 CHANGE DESIGN Co.
クリエイティブ・コモンズ・ライセンス
この文書は クリエイティブ・コモンズ 表示 - 非営利 - 継承 4.0 国際 ライセンスの下に提供されています。