特定個人情報取扱規程
社会福祉法人双葉会
特定個人情報取扱規程
第1章 総則
(目 的)
第1条 この規程は、社会福祉法人双葉会(以下「当法人」という。)が個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いを確保するために
必要な事項を定めることを目的とする。
(定 義)
第2条 この規程で掲げる用語の定義は、次のとおりとする。なお、この規程における用語は、他に特段の定めのない限り、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(以下「番号法」という。)その他の関係法令の定めに従うものとする。
(1) 「個人情報」とは、個人情報保護法(以下「保護法」という。)第2条第1項に規定する個人情報であって、生存する個人に関する情報であり、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(2) 「個人番号」とは、番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
(3) 「特定個人情報」とは、個人番号をその内容に含む個人情報をいう。
(4) 「特定個人情報等」とは、個人番号及び特定個人情報を併せたものをいう。
(5) 「個人情報ファイル」とは、個人情報を含む情報の集合物であって、特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものをいう。
(6) 「特定個人情報ファイル」とは、個人番号をその内容に含む個人情報ファイルをいう。
(7) 「保有個人情報」とは、個人情報取扱事業者(本項第12 号)が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する特定個人情報であって、その存否が明らかになることにより公益その他の利益が害されるものとして個人情報保護法施行令で定めるもの又は6か月以内に消去することとなるもの以外のものをいう。
(8) 「個人番号利用事務」とは、行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第9条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。
(9) 「個人番号関係事務」とは、番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(10) 「個人番号利用事務実施者」とは、個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう。
(11) 「個人番号関係事務実施者」とは、個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。
(12) 「個人情報取扱事業者」とは、特定個人情報ファイルを事業の用に供している者(国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除く。)
であって、特定個人情報ファイルを構成する個人情報によって識別される特定の個人の数(個人情報保護法施行令で定める者を除く。)の合計が過去6か月以内のいずれの日においても5,000 を超えない者以外の者をいう。
(13) 「従業者」とは、当法人の組織内にあって直接又は間接に当法人の指揮監督を受けて当法人の業務に従事している者をいい、雇用関係にある職員(正規職員、有期契約職員、就労継続支援A型利用者、アルバイト等)のみならず、当法人との間の委任関係にある評議員、理事、監事、会計監査人及び当法人との間の雇用関係にない者(派遣社員等)を含む。
(14) 「事務取扱担当者」とは、当法人内において、個人番号を取り扱う事務に従事する者をいう。
(15) 「管理区域」とは、特定個人情報ファイルを取り扱う情報システム等を有する場合における管理する区域をいう。
(16) 「取扱区域」とは、特定個人情報等を取り扱う事務を実施する区域をいう。
(適用範囲)
第3条 この規程は以下の各号に適用する。
(1) 従業者
(2) 従業者の配偶者(国民年金第3号被保険者に限る)
(3) 「報酬、料金、契約金及び賞金の支払調書」及び「不動産取引に関する支払調書」対象者
(4) 委託業者
2 この規程は、当法人が取り扱う特定個人情報等(その取扱いを委託されている特定個人情報等を含む。)を対象とする。
(個人情報取扱基本規程との関係)
第4条 この規程と「個人情報取扱基本規程」及び関連する法人内規程の規定が異なる場合、この規程で定める事項についてはこの規程が優先して適用される。なお、この規程に定めのない事項については「個人情報取扱基本規程」及び関連する法人内規程が適用される。
(当法人が個人番号を取扱う事務の範囲)
第5条 当法人が個人番号を取扱う事務の範囲は以下のとおりとする。
(1) 従業者に係る個人番号関係事務
@ 雇用保険届出事務
A 健康保険・厚生年金保険届出事務
B 労災保険届出事務
C 給与所得・退職所得の源泉徴収票作成事務
D 財産形成住宅貯蓄・財産形成年金貯蓄に関する関係書類提出事務
(2) 従業者の配偶者に係る個人番号関係事務
@ 国民年金第3号被保険者に関する届出事務
(3) 前各号以外の個人に係る個人番号関係事務
@ 報酬、料金、契約金及び賞金の支払調書作成事務
A 不動産取引に関する支払調書作成事務(当法人が取扱う特定個人情報等の範囲)
第6条 前条において当法人が個人番号を取扱う事務において使用される個人番号及び個人番号と関連付けて管理される特定個人情報は以下のとおりとする。
(1) 前条各号に規定する個人から、番号法第16 条に基づく本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、通知カード及び身元確認書類等)及びこれらの写し。
(2) 当法人が行政機関等に提出するために作成した届出書類及びこれらの控え。
(3) 当法人が法定調書を作成する上で前条各号に規定する個人から受領する個人
番号が記載された申告書等。
(4) その他個人番号と関連づけて保存される情報(電子データを含む。)。
2 前項各号に該当するか否かが定かでない場合は、特定個人情報管理責任者が判断する。
第2章 方針の周知
(特定個人情報保護基本方針の制定)
第7条 当法人は、次の事項を含む特定個人情報等の保護に関する方針を定め、これを従業者に周知するものとする。また、特定個人情報等の保護に関する方針は、一般に公示する措置を講じる。
(1) 当法人の名称
(2) 番号法関連法令・ガイドラインの遵守
(3) 安全管理措置に関する事項
(4) 質問及び苦情対応の窓口
第3章 組織体制
(特定個人情報管理責任者)
第8条 当法人の理事長は、特定個人情報等の取扱いに関して事務所の総括的な責任を有する特定個人情報管理責任者(以下「管理責任者」という。)を次の通り設置する。
(1) 管理責任者は、当法人の理事長又はそれに同等な役職者より任命されるものとする。
(2) 管理責任者は、特定個人情報管理を担当する施設長・管理者を事務取扱責任者として指名し、特定個人情報管理に関する業務を分担させることができる。
2 管理責任者は、特定個人情報等に関する監査を除き、次に掲げる事項その他当法人における特定個人情報等に関する全ての権限と責務を有するものとする。
(1) この規程第7条に規定する基本方針の策定、従業者への周知及び一般への公表
(2) この規程及び委託先の選定基準の策定並びに従業者への周知
(3) この規程に基づき特定個人情報等の取扱いを管理する上で必要とされる細則の承認
(4) 特定個人情報等に関する安全対策の策定・実施
(5) 特定個人情報等の適正な取扱いの維持・推進等を目的とした諸施策の策定・実施
(6) 事故発生時の対応策の策定・実施
(7) 特定個人情報の安全管理に関する教育・研修の企画
3 管理責任者は、内部監査責任者より監査報告を受け、必要に応じて特定個人情報管理体制の改善を行う。
(事務取扱担当部門)
第9条 当法人は、次の部門ごとに特定個人情報等に関する事務を行うものとする。
(1) 従業者等に係る個人番号関係事務に関する事務部門
(2) 従業者以外に係る個人番号関係事務を行う事務部門
(事務取扱責任者の責務)
第10 条 事務取扱責任者は、この規程に定められた事項を理解し、遵守するとともに、事務取扱担当者にこれを理解させ、次に掲げる事項の権限と責務を有するものとする。
(1) 特定個人情報等がこの規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うこと
(2) 特定個人情報の利用申請の承認及び記録等の承認と管理を行うこと
(3) 管理区域及び取扱区域を設定すること
(4) 特定個人情報の取扱区分及び権限についての設定及び変更の管理を行うこと
(5) 特定個人情報の取扱状況を把握すること
(6) 委託先における特定個人情報の取扱状況等を監督すること
(7) 特定個人情報の安全管理に関する教育・研修を実施すること
(8) その他当法人における特定個人情報の安全管理に関する事項について特定個人保護管理者の補佐をすること
(事務取扱担当者の責務)
第11 条 事務取扱担当者は、特定個人情報の「取得」、「保管」、「利用」、「提供」、「開示、訂正、利用停止」、「廃棄」又は委託処理等特定個人情報を取扱う業務に従事する際、番号法及び保護法並びにその他の関連法令、特定個人情報の適正な取扱いに関するガイドライン(事業者編)(以下「ガイドライン事業者編」という。)、この規程及びその他の法人規程並びに事務取扱責任者の指示した事項に従い、特定個人情報の保護に十分な注意を払ってその業務を行うものとする。
2 事務取扱担当者は、特定個人情報の漏えい等番号法若しくは保護法又はその他の関連法令、ガイドライン事業者編、この規程又はその他の法人規程に違反している事実又は兆候を把握した場合、速やかに事務取扱責任者に報告するものとする。
3 各部門において個人番号が記載された書類等を受領する事務取扱担当者は、別に定める事務マニュアルに基づき個人番号の確認等の必要な事務を行った後は速やかに当該書類を受け渡すこととし、自己の手元に個人番号を転記したもの等を残してはならないものとする。
(内部監査責任者)
第12 条 内部監査責任者は、理事長が任命し、当法人内の特定個人情報等を取り扱う業務において、関係法令、この規程等が遵守され、適法かつ適正に取り扱われているかについて、定期的に監査を行い、その結果を理事長及び管理責任者に報告する。
2 内部監査責任者は、特定個人情報の取扱いに関する監査に必要な事務を行うため内部監査担当者を選任することができる。
(情報漏えい事故等への対応)
第13 条 管理責任者は、特定個人情報の漏えい、滅失又は毀損による事故(以下「漏えい事案等」という。)が発生したことを知った場合又はその可能性が高いと判断した場合は、この規程に基づき、適切に対処するものとする。
2 管理責任者は、理事長及び事務取扱責任者と連携して漏えい事案等に対応する。
(情報漏えい事故等の公表)
第14 条 管理責任者は、漏えい事案等が発生したと判断した場合は、その旨及び調査結果を理事長に報告し、当該漏えい事案等の対象となった本人に対して、事実関係の通知、謝意の表明、原因関係の説明等を速やかに行うものとする。
2 管理責任者は、漏えい事案等が発生した場合、区市町村と連携を図り、特定個人情報保護委員会及び所管官庁に必要な報告を速やかに行うものとする。
3 管理責任者は、漏えい事案等が発生したと判断した場合は、その事実を本人に通知するとともに、必要に応じて公表する。
(情報漏えい事故等の再発防止)
第15 条 管理責任者は、漏えい事案等が発生したと判断した場合は、情報漏えい等が発生した原因を分析し、再発防止に向けた対策を講じるものとする。
2 管理責任者は、他における漏えい事故等を踏まえ、類似事例の再発防止のために必要な措置の検討を行うものとする。
3 管理責任者は、漏えい事案等への対応状況の記録を(年に1 回以上)の頻度にて分析するものとする。
第4章 点検
(運用の確認、この規程に基づく運用状況の記録)
第16 条 事務取扱担当者は、この規程に基づく運用状況を確認するため、次に掲げる事項につき、システムログ及び利用実績を記録するものとする。
(1) 特定個人情報の取得及び特定個人情報ファイルへの入力状況の記録
(2) 特定個人情報ファイルの利用・出力状況の記録
(3) 書類・媒体等の持出しの記録
(4) 特定個人情報ファイルの削除・廃棄記録
(5) 削除・廃棄を委託した場合、これを証明する記録等
(6) 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報
システムの利用状況(ログイン実績、アクセスログ等)の記録
(取扱状況の確認手段)
第17 条 事務取扱担当者は、特定個人情報ファイルの取扱状況を確認するための手段として、特定個人情報管理台帳に次に掲げる事項を記録するものとする。なお、特定個人情報管理台帳には、特定個人情報等は記載しないものとする。
(1) 特定個人情報ファイルの種類、名称
(2) 責任者、取扱部署
(3) 利用目的
(4) 削除・廃棄状況
(5) アクセス権を有する者
(6) 特定個人情報ファイルを取り扱う情報システムを設置する「管理区域」の場所
(7) 特定個人情報等を取り扱う事務を実施する「取扱区域」の場所
第5章 特定個人情報等の取得
(特定個人情報等の適正な取得)
第18 条 当法人は、特定個人情報等の取得を適法かつ公正な手段によって行うものとする。
(特定個人情報等の利用目的)
第19 条 当法人が、従業者又は第三者から取得する特定個人情報等の利用目的は、第5条に掲げた個人番号を取り扱う事務の範囲内とする。
(特定個人情報等の取得時の利用目的の通知等)
第20 条 当法人は、特定個人情報等を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表しなければならない。
2 前項の場合において、「通知」の方法については、原則として書面(電子的方式、磁気的方式、その他人の知覚によっては認識することができない方式で作られた記録を電子機器等で表示する場合を含む。以下同じ。)によることとし、「公表」の方法については、当法人の主たる事務所の掲示版への書面の掲示・備付け、インターネット上のホームページ等での公表等適切な方法によるものとする。
3 当法人の従業者から特定個人情報を取得する場合には、社内LAN における通知、利用目的を記載した書類の提示、就業規則への明記等の方法を用いる。
4 当法人は、利用目的の変更を要する場合、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知、公表又は明示を行うことにより、変更後の利用目的の範囲内で特定個人情報を利用することができる。
5 前各項の規定は、次に掲げる場合については、適用しない。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することにより当法人の権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(4) 取得の状況からみて利用目的が明らかであると認められる場合
(個人番号の提供の要求)
第21 条 当法人は、第5条に掲げる事務を処理するために必要がある場合に限り、本人又は他の個人番号関係事務実施者若しくは個人番号利用事務実施者に対して個人番号の提供を求めることができるものとする。
(個人番号の提供を求める時期)
第22 条 当法人は、第5条に掲げる事務を処理するために必要があるときに個人番号の提供を求めることとする。
2 前項にかかわらず、職員新規採用通知に対して採用を応諾の意思表示である「入職承諾書」の提出がある場合には併せて個人番号の提供を求めることができるものとする。
(特定個人情報等の提供の求めの制限)
第23 条 当法人は、番号法第19条各号のいずれかに該当し、特定個人情報等の提供を受けることができる場合を除き、特定個人情報等の提供を求めない。
(特定個人情報等の収集制限)
第24 条 当法人は第5条に定める事務の範囲を超えて、特定個人情報等を収集しない。
(本人確認)
第25 条 当法人は番号法第16 条に定める各方法により、従業者又は第三者の個人番号の確認及び当該人の身元確認を行うものとする。また、代理人については、同条に定める各方法により、当該代理人の身元確認、委任状に基づく代理権の確認及び本人の個人番号の確認を行うものとする。
第6章 特定個人情報等の利用
(個人番号の利用制限)
第26 条 当法人は、第19 条に掲げる利用目的の範囲内でのみ利用するものとする。
2 当法人は、人の生命、身体又は財産の保護のために必要がある場合を除き、本人の同意があったとしても、利用目的を超えて特定個人情報を利用しない。
(特定個人情報ファイルの作成の制限)
第27 条 当法人が特定個人情報ファイルを作成する場合は、第5条に定める事務を実施するために必要な範囲に限るものとし、これを超えて特定個人情報ファイルを作成しないものとする。
第7章 特定個人情報の保管
(特定個人情報等の正確性の確保)
第28 条 事務取扱担当者は、特定個人情報等を第19 条に掲げる利用目的の範囲において、正確かつ最新の状態で管理するよう努めるものとする。
(保有個人情報に関する事項の公表等)
第29 条 当法人は、保護法第23 条に基づき、特定個人情報等に係る保有個人情報に関する事項を本人の知り得る状態に置くものとする。
(特定個人情報等の保管制限)
第30 条 当法人は、第5条に掲げる事務の範囲を超えて、特定個人情報等を保管してはならない。
2 当法人は、所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、雇用保険資格取得届作成等の個人番号関係事務を行うために必要があると認められるため、当該書類だけでなく、届出書類を作成するシステム内においても保管することができる。
3 当法人は、番号法上の本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、通知カード及び身元確認書類等)の写し、当法人が行政機関等に提出する申告書の控え及び当該申告書を作成する上で事業者が受領する個人番号が記載された申告書等を特定個人情報等として保管するものとする。
4 前項の書類については、法定調書の再作成を行うなど個人番号関係事務の一環として利用する必要があると認められるため、関連する所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間保存することができるものとする。
第8章 特定個人情報等の提供
(特定個人情報の提供)
第31 条 当法人は、以下の各号に該当する場合を除き、特定個人情報等を第三者に提供しないものとする(第三者への提供とは、法的な人格を超える特定個人情報等の移動を意味し、同一法人の内部における特定個人情報等の移動は該当しない。)。なお、本人による事前の同意があっても、第三者への提供を行わないものとする。
(1) 第5条に掲げる事務を処理するために必要な限度で特定個人情報を提供するとき
(2) 特定個人情報の取扱いの全部もしくは一部の委託または合併その他の事由による事業の承継に伴い特定個人情報を提供するとき
(3) 人の生命、身体又は財産の保護のために必要がある場合において、本人の同意があり、又は本人の同意を得ることが困難であるとき
(4) その他番号法第19条各号のいずれかに該当する場合
第9章 特定個人情報等の廃棄・削除
(特定個人情報等の廃棄・削除)
第32 条 当法人は第5条に規定する事務を処理する必要がある範囲内に限り特定個人情報等を収集又は保管し続けるものとする。
2 書類等について所管法令によって一定期間保存が義務付けられているものについては、これらの書類等に記載された個人番号については、その期間保管するものとし、それらの事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除するものとする。
第10 章 安全管理措置
第1 節 物理的安全管理措置
(特定個人情報等を取り扱う区域の管理)
第33 条 当法人は管理区域及び取扱区域を明確にし、それぞれの区域に対し、次に掲げる方法に従い以下の措置を講じる。
(1) 管理区域
入退室管理及び管理区域へ持ち込む機器及び電子媒体等の制限を行うものとする。
(2) 取扱区域
可能な限り壁又は間仕切り等の設置や、事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置を行うなど座席配置を工夫するものとする。
(機器及び電子媒体等の盗難等の防止)
第34 条 当法人は管理区域及び取扱区域における特定個人情報等を取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次に掲げる措置を講じる。
(1) 特定個人情報等を取扱う機器、電子媒体又は書類等については、施錠できるキャビネット・書庫等に保管する。
(2) 特定個人情報ファイルを取扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。
(電子媒体等を持ち出す場合の漏えい等の防止)
第35 条 当法人は特定個人情報等が記録された電子媒体又は書類等の持出しは、次に掲げる場合を除き禁止する。なお、「持出し」とは、特定個人情報等を管理区域又は取扱区域の外へ移動させることをいい、当法人内での移動等も持出しに該当するものとする。
(1) 個人番号関係事務に係る第4 節により当事務所が監督する外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合(2) 行政機関等への届出書類の提出等、当法人が実施する個人番号関係事務に関して個人番号利用事務実施者に対し書類を提出する場合
2 前項により特定個人情報等が記録された電子媒体又は書類等の持出しを行う場合には、以下の安全策を講じるものとする。ただし、行政機関等に法定調書等をデータで提出するに当たっては、行政機関等が指定する提出方法に従うものとする。
(1) 特定個人情報等が記録された電子媒体を安全に持ち出す方法
@ 持出しデータの暗号化
A 持出しデータのパスワードによる保護
B 施錠できる搬送容器の使用
C 追跡可能な移送手段の利用(源泉徴収票等を従業者に交付するにあたっては、簡易書留郵便で送付する。)
(2) 特定個人情報等が記載された書類等を安全に持ち出す方法
@ 封緘又は目隠しシールの貼付
(記録媒体等の廃棄・削除)
第36 条 特定個人情報等の廃棄・削除段階における記録媒体等の管理は次のとおりとする。
(1) 事務取扱担当者は、特定個人情報等が記録された書類等を廃棄する場合、シュレッダー等による記載内容が復元不能までの裁断、自法人又は外部の焼却場での焼却・溶解等の復元不可能な手段を用いるものとする。
(2) 事務取扱担当者は、特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用データ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を用いるものとする。
(3) 事務取扱担当者は、特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を用いるものとする。
(4) 特定個人情報等を取り扱う情報システムにおいては、当該関連する届出書類等の法定保存期間経過後速やかに個人番号を削除するよう情報システムを構築するものとする。
(5) 個人番号が記載された書類等については、当該関連する届出書類等の法定保存期間経過後速やかに廃棄をするものとする。
2 事務取扱担当者は、個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存するものとする。
3 前項に係る削除・廃棄の記録としては、特定個人情報ファイルの種類・名称、責任者・取扱部署、削除・廃棄状況を記録するものとし、個人番号自体は含めないものとする。
第2節 技術的安全管理措置
(アクセス制御)
第37 条 特定個人情報等へのアクセス制御は以下のとおりとする。
(1) 個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
(2) 特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。
(3) ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
(アクセス者の識別と認証)
第38 条 特定個人情報等を取り扱う情報システムにおいては、ユーザーID、パスワード、磁気・ICカード等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証するものとする。
(外部からの不正アクセス等の防止)
第39 条 当法人は、次に掲げる方法により、情報システムを外部からの不正アクセス及び不正ソフトウェアから保護するものとする。
(1) 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する方法
(2) 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する方法
(3) 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する方法。
(4) 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする方法
(5) ログ等の分析を定期的に行い、不正アクセス等を検知する方法
(情報漏えい等の防止)
第40 条 当法人は、特定個人情報等を原則としてインターネット等により外部に送信しないものとする。やむを得ずこれを行う場合、次に掲げる方法により通信経路における情報漏えい等及び情報システムに保存されている特定個人情報等の情報漏えい等を防止するものとする。
(1) 通信経路における情報漏えい等の防止策
通信経路の暗号化
(2) 情報システムに保存されている特定個人情報等の情報漏えい等の防止策
データの暗号化又はパスワードによる保護
第3節 従業者の監督
(従業者の監督)
第41 条 当法人は、従業者が特定個人情報等を取り扱うに当たり、必要かつ適切な監督を行う。
第4節 委託先の監督
(委託先の監督)
第42 条 当法人は、個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする場合には、当法人自らが果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう、必要かつ適切な監督を行うものとする。
2 前項の「必要かつ適切な監督」には次に掲げる事項が含まれる。
(1) 委託先の適切な選定
(2) 委託先に安全管理措置を遵守させるために必要な契約の締結
(3) 委託先における特定個人情報等の取扱状況の把握
3 前項第1号の「委託先の適切な選定」としては、次に掲げる事項について特定個人情報等の保護に関して当法人が定める水準を満たしているかについて、あらかじめ確認する。
(1) 設備
(2) 技術水準
(3) 従業者に対する監督・教育の状況
(4) 経営環境状況
(5) 特定個人情報の安全管理の状況(「個人番号を取り扱う事務の範囲の明確化」、「特定個人情報等の範囲の明確化」、「事務取扱担当者の明確化」及び「個人番号の削除、機器及び電子媒体等の廃棄」等を含む。)
(6) 自己又は自社の役員等が、次のいずれかに該当する者でないこと及び次のbからgまでに掲げる者が、その経営に実質的に関与している法人その他の団体又は個人でないこと。
a 暴力団(暴力団員による不当な行為の防止等に関する法律(平成3年法律第77 号)第2条第2号に規定する暴力団をいう。以下同じ。)
b 暴力団員(暴力団員による不当な行為の防止等に関する法律第2条第6号に規定する暴力団員をいう。以下同じ。)
c 暴力団員でなくなった日から5年を経過しない者
d 自己、自社若しくは第三者の不正な利益を図る目的又は第三者に損害を与える目的をもって暴力団又は暴力団員を利用している者
e 暴力団又は暴力団員に対して資金等を提供し、又は便宜を供与する等直接的又は積極的に暴力団の維持運営に協力し、又は関与している者
f 暴力団又は暴力団員と社会的に非難されるべき関係を有している者
g 暴力団又は暴力団員であることを知りながらこれらを利用している者
4 第2項第2号の「委託先に安全管理措置を遵守させるために必要な契約の締結」については、委託契約の内容として、次に掲げる規定等を盛り込むものとする。
(1) 秘密保持義務に関する規定
(2) 当法人内からの特定個人情報等の持出しの禁止
(3) 特定個人情報等の目的外利用の禁止
(4) 再委託における条件
(5) 漏えい事案等が発生した場合の委託先の責任に関する規定
(6) 委託契約終了後の特定個人情報等の返却又は廃棄に関する規定
(7) 従業者に対する監督・教育に関する規定
(8) 契約内容の遵守状況について報告を求める規定
(9) 特定個人情報を取り扱う従業者の明確化に関する規定
(10) 委託者が委託先に対して実地の調査を行うことができる規定
5 当法人は、委託先において特定個人情報等の安全管理が適切に行われていることについて、毎年3 月、及び必要に応じてヒヤリング等を実施するものとする。
6 当法人は、委託先において情報漏えい事故等が発生した場合に、適切な対応がなされ、速やかに当事務所に報告される体制になっていることを確認するものとする。
(再委託)
第43 条 委託先は、当法人の許諾を得た場合に限り、委託を受けた個人番号関係事務又は個人番号利用事務の全部又は一部を再委託することができるものとする。再委託先が更に再委託する場合も同様とする。
2 当法人は、再委託先の適否の判断のみならず、委託先が再委託先に対しても必要かつ適切な監督を行っているか否かについても監督する。
3 当法人は、委託先が再委託をする場合、当該再委託契約の内容として、前条第4項と同等の規定等を盛り込ませるものとする。
第11 章 特定個人情報の開示、訂正等、利用停止等
(特定個人情報等の開示)
第44 条 当法人は、本人から当該本人が識別される特定個人情報等に係る保有個人情報について開示を求められた場合は、次条に規定する手続き及び方法により、遅滞なく、当該情報の情報主体であることを厳格に確認した上で、当該本人が開示を求めてきた範囲内でこれに応ずるものとする。
2 当法人は、次の事由に該当する場合には、当該開示請求の全部又は一部を不開示とすることができ、その場合には請求者に対してその旨及び理由(根拠とした個人情報保護法の条文及び判断の基準となる事実)を説明することとする。
(1) 本人又は第三者の生命、身体及び財産その他の権利利益を害するおそれがある場合
(2) 当法人の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3) 他の法令に違反することとなる場合
(保有個人情報の開示請求処理手順)
第45 条 前条に基づき本人又はその代理人(未成年者若しくは成年被後見人の法定代理人、又は本人が委任した任意代理人並びに親権者をいう。以下同じ。)から当該本人が識別される特定個人情報等に係る保有個人情報について開示請求を受けた場合は、次の手順で応ずることとする。
(1) 受付時に次に掲げる事項を確認する
a 所定の様式の書面(請求者の氏名、住所、電話番号、請求年月日、請求に係る個人情報の内容が記載されているもの)による請求であること。
b 予め定めた手数料の負担について請求者が応諾していること。
c 代理人による請求の場合は、所定の委任状によるものであること。
d なお、郵送による本人確認資料の受領などの場合は、事務取扱責任者が適宜判断する。
(2) 開示の可否の決定
特定個人情報管理責任者は、次に掲げる全てについて、検討の上、開示の可否を決定する。
a 請求された個人情報が物理的に存在するか否か。
b 前号に相当するものが、「保有個人情報」に該当するか否か。
c 前条第2項各号に定める理由により、不開示事由に該当するか否か。
(3) 不開示の場合の対応
a 前項に基づき保有個人情報の全部又は一部を開示しない旨の決定をしたときはその旨を通知し、その理由についても説明をすることとする。
(4) 請求者に対する通知時期
a 開示請求に対する回答(不開示の場合の通知も含む。)は書面にて、遅滞なく郵送又はこれに代わる方法により通知する。
(保有個人情報の訂正等)
第46 条 当法人は、当該本人が識別される保有個人情報の内容が事実でないことを理由に当該本人から訂正、追加又は削除を求められた場合は、必要な調査を行い、その結果に基づき、遅滞なくこれに応ずることとする。
2 前項に係る訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、当該本人に対し、遅滞なくその旨(訂正等を行ったときは、その内容を含む。)を通知するものとする。なお、訂正等を行わない場合又は当該本人の求めと異なる措置をとる場合は、当該本人に対し、その判断の根拠及びその根拠となる事実を示し、その理由を説明することとする。
(保有個人情報の訂正等処理手順)
第47 条 前条に基づき、開示の結果、特定個人情報等に係る保有個人情報が事実ではないとして、訂正、追加又は削除(以下「訂正等」という。)を求められた場合は、次の手順にて応ずることとする。
(1) 当該請求者に対し、訂正等すべき内容が事実である旨を証明できる資料の提出を求める。
(2) 管理責任者は、提出された資料に基づき、利用目的の達成に必要な範囲内において遅滞なく必要な調査を行い、訂正等の要否を決定する。
(3) 検討した結果については、遅滞なく当該請求者に対して書面にて、郵送又はこれに代わる方法により通知する。また訂正等の措置をとらない場合は、当該請求者に対して判断の根拠及び根拠となる事実を示し、その理由についても説明をすることとする。
2 特定個人情報等に係る保有個人情報の訂正等は、次に掲げる各号に従って行わなければならない。
(1) 管理責任者は、当該保有個人情報を取扱う事務取扱担当者を特定し、その者以外の者に訂正等の作業を行わせてはならない。
(2) 事務取扱担当者は、訂正等の作業を事務取扱責任者の指示に従って行い、事務取扱責任者が作業結果を確認する。
(3) 管理責任者は、更新理由、訂正等の申請者、訂正等の日付、管理責任者、事務取扱担当者及び訂正等の内容を記録し1年間保管する。
(保有個人情報の利用停止等)
第48 条 当法人は、本人から、当該本人が識別される保有個人情報が、保護法第16条の規定に違反して取得されているという理由、同法第17 条の規定に違反して取り扱われたものであるという理由又は番号法第19 条の規定に違反して第三者に提供されているという理由によって、当該保有個人情報の利用の停止、消去又は第三者への提供の停止(以下、本条において「利用停止等」という。)を求められた場合であって、利用停止等に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該特定個人情報等の利用停止等を行わなければならない。但し、利用停止等を行うことに多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、当該本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではない。
2 前項の規定に基づき求められた利用停止等の全部又は一部を行ったとき若しくは行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(当該本人から求められた措置と異なる措置を行う場合にはその措置内容を含む。)を通知しなければならない。なお、利用停止等を行わない場合又は本人の求めと異なる措置をとる場合は、その判断の根拠及びその根拠となる事実を示し、その理由を説明することとする。
(開示等を求める手続及び手数料)
第49 条 当法人は、特定個人情報等に関して、保護法第29 条第1項の開示等の求めを受け付ける方法を定めた場合には、「個人情報保護基本方針」と一体としてインターネットのホームページで常時掲載を行うか又は主たる事務所の窓口等での掲示・備付け等を行うこととする。
2 開示等の求めをする者が本人又は代理人であることの確認の方法を定めるに当たっては、十分かつ適切な確認手続とするよう留意する。
3 保護法第30 条に従い、手数料を徴収する場合には、同様の内容の開示等手続の平均的実費の予測に基づき、合理的な手数料額を算定する等の方法により、実費を勘案して合理的であると認められる範囲において手数料の額を定めるものとする。
第12 章 教育
(従業者の教育)
第50 条 当法人は、従業者に対してこの規程を遵守させるために、定期的な研修の実施及び情報提供等を行い、特定個人情報等の適正な取扱いを図るものとする。
第13 章 苦情及び相談
(苦情等への対応)
第51 条 当法人は、当法人における特定個人情報等の取扱いに関する苦情等に対する窓口を設け、適切に対応する。
2 管理責任者は、前項の目的を達成するために必要な体制の整備を行うものとする。
第14 章 その他
(利用者支援)
第52 条 管理責任者は、利用者支援として次の各号に定める事項について、適切な方針を策定するものとする。
(1) 通知カード及びその郵便物の保管
(2) 個人番号の不当取得、供与の禁止
(3) その他個人番号等に関する事項
(不提供への対応)
第53条 役職員又は第三者が個人番号の提供の要求又は本人確認に応じない場合、本人に対し、番号法に基づくマイナンバー制度の意義について丁寧に説明を行い、個人番号の提供及び本人確認に応ずるように求めるとともに、その経過及び結果を記録するものとする。
(処分)
第54 条 当法人は、この規程に違反する行為を行った従業者は、当法人の就業規則、秘密情報管理規程等に従い、懲戒解雇を含む処分、損害賠償請求の対象にすることがある。
(改定)
第55条 管理責任者は、社会情勢の変化、国民の意識の変化、適用のある法令・ガイドライン等の変更及び技術動向の変化等に応じて、定期的にこの規程を見直し、評議員会・理事会の承認を得た上で、必要に応じてこの規程を適宜改定するものとする。
附 則
この規程は、平成28年 4月 1日から施行する。