個人情報保護方針
【目的】
第1条 この規程は、鳥羽商工会議所(以下「商工会議所」という。)が有する個人情報及び匿名加工情報につき、商工会議所個人情報保護方針に基づく適正な保護を実現することを目的とする基本規程である。
【定義】
第2条 本規程における用語の定義は、次の各号に定めるところによる。
(1)個人情報
生存する個人に関する情報であって、次のア又はイのいずれかに該当するもの
ア 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
イ 個人識別符号(個人情報の保護に関する法律(以下「個人情報保護法」という。)第2条第2項が定めるもの)が含まれるもの
(2)要配慮個人情報
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報
(3)個人情報データベース等
個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
(4)個人データ
個人情報データベース等を構成する個人情報
(5)保有個人データ
商工会議所が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして関係政令で定められるもの又は6月以内の政令で定める期間以内に消去することとなるもの以外のもの
(6)匿名加工情報
次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一 本条(1)アに該当する個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 本条(1)イに該当する個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(7)加工方法等情報
匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに個人情報保護法第36条第1項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)
(8)本人
個人情報によって識別される特定の個人
(9)従業者
商工会議所の組織内でその指揮監督を受け、個人情報の取扱いに従事する者(職員、役員、派遣職員等を含む)
(10)個人情報保護コンプライアンス・プログラム
商工会議所が保有する個人情報及び匿名加工情報を保護するための方針、諸規程を含む商工会議所内のしくみのすべて
(11)個人情報保護管理者
専務理事より任命され、個人情報保護コンプライアンス・プログラムの実施及び運用に関する責任と権限を有する者
(12)監査責任者
専務理事より任命された者であって、公平かつ客観的な立場にあり、監査の実施及び報告を行う責任と権限を有する者
【適用範囲】
第3条 本規程は、商工会議所の従業者に対して適用する。
2 個人情報及び匿名加工情報を取扱う業務を外部に委託する場合も、この規程の趣旨に従って、個人情報の適正な保護を図るものとする。
第2章 個人情報の取得
【個人情報取得の原則】
第4条 個人情報の取得は、利用目的を明確に定め、その目的の達成のために必要な限度においてのみ行うものとする。
2 個人情報の取得は、適法かつ公正な方法により行うものとする。
【要配慮個人情報の取得の禁止】
第5条 要配慮個人情報を取得してはならない。ただし、これらの取得について、本人の同意がある場合、及び次の各号に掲げる場合は、この限りでない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5)当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報保護法第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
(6)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
(7)委託、事業承継又は共同利用に伴って個人データの提供を受ける場合において、要配慮個人情報の提供を受ける場合
【取得の手続】
第6条 業務において新たに個人情報を取得する場合には、あらかじめ、個人情報保護管理者に利用目的及び実施方法を届け出、承認を得るものとする。
【本人から直接に個人情報を取得する場合の措置】
第7条 本人から直接に個人情報を取得する場合は、本人に対して、次の各号に掲げる事項を書面又はこれに準ずる方法によって通知又は公表するものとする。
(1)個人情報保護管理者又はその代理人の氏名又は職名、所属及び連絡先
(2)個人情報の取得及び利用目的
(3)個人情報の提供を行うことが予定されている場合は、その目的、当該情報の受領者又は受領者の組織の種類、属性及び個人情報の取扱いに関する契約の有無
(4)個人情報を与えることは本人の任意であること
(5)個人情報の開示を求める権利、及び開示の結果、当該情報が誤っている場合に訂正又は削除を要求する権利の存在、並びに当該権利を行使するための具体的な手続き
【本人以外から間接的に個人情報を取得する場合の措置】
第8条 本人以外から間接に個人情報を取得する場合は、前条第1号ないし第3号及び
第5号に掲げる事項を書面又はこれに準ずる方法によって通知又は公表するものとする。ただし、次の各号に該当する場合は、この限りでない。
(1)前条第3号に掲げる事項を書面又はこれに準ずる方法によって通知した上、本人の同意を得ている者から取得する場合
(2)個人情報の取扱いを委託される場合
(3)本人の保護に値する利益が侵害されるおそれのない場合
【第三者提供を受ける場合の記録の作成等】
第9条 第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行う。ただし、当該個人データの提供が第5条第1号ないし第4号のいずれかに該当する場合、または委託、事業承継又は共同利用に伴って行われる場合は、この限りでない。
(1)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
(2)当該第三者による当該個人データの取得の経緯
2 前項に定める確認により当該個人情報が適法に取得されたことが確認できない場合は、その取得を自粛する。
3 第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成する。
4 前項の記録は、当該記録を作成した日から個人情報保護委員会規則で定める期間保存する。
第3章 個人情報の移送・送信
【個人情報の移送・送信の原則】
第10条 個人情報及び匿名加工情報の移送・送信は、具体的な権限を与えられた者のみが、外部流出の危険を防止するために必要かつ適切な方法により、業務の遂行上必要な限りにおいてなし得るものとする。
第4章 個人情報の利用
【個人情報の利用の原則】
第11条 個人情報は、利用目的の範囲内で、具体的な権限を与えられた者のみが、業務の遂行上必要な限りにおいて利用できるものとする。
2 合併その他の事由により他の法人等から事業を継承することに伴って個人情報を取得した場合は、継承前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わないものとする。
【個人情報の目的外の利用】
第12条 利用目的の範囲を超えて個人情報を利用する場合は、第7条第1号ないし第3号及び第5号に掲げる事項を書面又はこれに準ずる方法によって本人に通知し、事前の本人の同意を得るものとする。
2 利用目的の範囲を超えて個人情報を利用するために本人の同意を求める場合は、個人情報保護管理者の承認を得るものとする。
【個人情報の共同利用】
第13条 個人情報を第三者との間で共同利用する場合は、個人情報保護管理者の承認を得るものとする。
【個人情報の取扱いの委託】
第14条 個人情報の取扱いを第三者に委託する場合は、「外部委託管理規程」に定める手続きに従う。
第5章 個人情報の第三者提供
【個人情報の第三者提供の原則】
第15条 個人情報は、法令に基づく場合を除き、事前に本人の同意を得ることなく、第三者(外国にある第三者を含む。)に提供してはならない。
2 個人情報を第三者に提供する場合には、その利用目的並びに第7条第1号ないし第3号及び第5号に掲げる事項を書面又はこれに準ずる方法によって通知し、本人の同意を得るものとする。
3 前項に基づき個人情報を第三者に提供する場合は、個人情報保護管理者の承認を得るものとする。
【第三者提供に係る記録の作成等】
第16条 個人データを第三者(個人情報保護法2条5項各号に掲げる国の機関等を除く。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成する。ただし、当該個人データの提供が法令に基づいて行われた場合は、この限りでない。
2 前項の記録は、個人情報保護委員会規則で定める期間保存する。
第6章 個人情報の管理
【個人情報の管理の原則】
第17条 個人情報は、利用目的の達成に必要な範囲内において、正確かつ最新の状態で管理するとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するものとする。
【個人情報の安全管理対策】
第18条 個人情報保護管理者は、個人情報及び匿名加工情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど)に対して、必要かつ適切な安全管理対策を講じるものとする。
第7章 個人情報の開示・訂正・利用停止・消去
【自己情報の開示等】
第19条 本人から、当該本人が識別される個人情報に係る保有個人データについて、書面又は口頭により、その開示(当該本人が識別される個人情報に係る保有個人データを保有していないときにその旨を知らせることを含む。以下同じ。)の申出があったときは、合理的な期間内に、身分証明書等により本人であることを確認の上、開示をするものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)事業の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
2 開示は、書面により行うものとする。ただし、開示の申出をした者の同意があるときは、書面以外の方法により開示をすることができる。
3 個人情報に係る保有個人データの開示又は不開示の決定の通知は、本人に対し、遅滞なく行うものとする。
【自己情報の訂正等】
第20条 本人から、当該本人が識別される個人情報に係る保有個人データの内容が事実でないという理由によって当該個人情報に係る保有個人データの内容の訂正、追加又は削除(以下「訂正等」という。)を求められた場合は、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該個人情報に係る保有個人データの内容の訂正等を行うものとする。
2 前項の規定に基づき求められた個人情報に係る保有個人データの内容の訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知するものとする。
3 前項の通知を受けた者から、再度申出があったときは、前項と同様の処理を行うものとする。
4 第2項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めるものとする。
【自己情報の利用又は提供の拒否】
第21条 本人から当該本人が識別される個人情報に係る保有個人データが第11条の規定に違反して取り扱われているという理由又は第5条の規定に違反して取得されたものであるという理由によって、当該個人情報に係る保有個人データの利用の停止又は消去(以下「利用停止等」という。)を求められた場合、又は第15条の規定に違反して第三者に提供されているという理由によって、当該個人情報に係る保有個人データの第三者への提供の停止(以下「第三者提供の停止」という。)を求められた場合で、その求めに理由があることが判明したときは、遅滞なく、当該個人情報に係る保有個人データの利用停止等又は第三者提供の停止を行うものとする。ただし、当該個人情報に係る保有個人データの利用停止等又は第三者提供の停止に多額の費用を要する場合その他の利用停止等又は第三者提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2 商工会議所は、前項の規定に基づき求められた個人情報に係る保有個人データについて、利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三者提供の停止を行ったとき若しくは第三者提供の停止を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
3 前条第3項及び第4項は本条に準用する。
第8章 個人情報の消去・廃棄
【消去・廃棄の手続き】
第22条 個人情報及び匿名加工情報の消去及び廃棄は、具体的な権限を与えられた者のみが、外部流出等の危険を防止するために必要かつ適切な方法により、業務の遂行上必要な限りにおいてなし得るものとする。
第9章 組織及び体制
【個人情報保護管理者】
第23条 専務理事は、役職員の中から個人情報保護管理者を任命し、商工会議所内における個人情報及び匿名加工情報の管理業務を行わせるものとする。
2 個人情報保護管理者は、専務理事の指示及び本規程に定めるところに基づき、個人情報保護に関する内部規程の整備、安全対策の実施、教育訓練、作業責任者からの報告徴収及び助言・指導等を推進するための個人情報保護コンプライアンス・プログラムを策定し、周知徹底の措置を実践する責任を負うものとする。
3 個人情報保護管理者は、個人情報保護コンプライアンス・プログラムの策定及びその実施のために、補佐を行う者を任命できるものとする。
【教育】
第24条 個人情報保護管理者は、個人情報保護コンプライアンス・プログラムの重要性を理解させ、確実な実施を図るため、所要の教育計画及び教育資料に従い、継続かつ定期的に教育・訓練を行うものとする。
【作業責任者】 第25条 個人情報保護管理者は、個人情報並びに匿名加工情報及び加工方法等情報を取扱う作業が行われるに際し、当該作業に関する責任者を任命するものとする。
【監査】
第26条 専務理事は、共済事業を取り扱う部署以外の者から監査責任者を任命し、商工会議所内における個人情報並びに匿名加工情報及び加工方法等情報の管理が個人情報保護コンプライアンス・プログラムに従い適正に実施されているかにつき定期的に監査を行わせるものとする。
2 監査責任者は、内部監査規程に従い、監査計画を作成し実施するものとする。
3 監査責任者は、監査の結果につき監査報告書を作成し、専務理事に対して報告を行うものとする。
4 専務理事は、商工会議所内における個人情報の管理につき個人情報保護コンプライアンス・プログラムに違反する行為があった場合には、個人情報保護管理者及び関係者に対し、改善指示を行うものとする。
5 前項に基づき改善指示を受けた者は、速やかに適正な改善措置を講じ、その内容を監査責任者に報告するものとする。
6 監査責任者は、前項によりなされた改善措置を評価し、専務理事及び個人情報保護管理者に対して報告するものとする。
【報告義務及び罰則】
第27条 個人情報保護コンプライアンス・プログラムに違反する事実又は違反するおそれがあることを発見した者は、その旨を個人情報保護管理者に報告するものとする。
2 個人情報保護管理者は、前項による報告の内容を調査し、違反の事実が判明した場合には、遅滞なく、専務理事に報告し、かつ、関係部門に適切な処置を行うよう指示するものとする。
3 個人情報保護コンプライアンス・プログラムに違反した従業者は、就業規則の定めるところにより懲戒に処するものとする。
【苦情及び相談】
第28条 専務理事は、相談窓口を設置し、個人情報及び匿名加工情報並びに個人情報保護コンプライアンス・プログラムに関して、本人からの苦情及び相談を受け付けて対応するものとする。
第10章 匿名加工情報
【匿名加工情報の作成】
第29条 匿名加工情報を作成するときには、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工するものとする。
2 商工会議所は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表するものとする。
【匿名加工情報と加工方法等情報の保存】
第30条 匿名加工情報を作成したときには、別途定めるところに従い、加工方法等情報を匿名加工情報と異なる場所に保存しなければならない。
【照合の禁止】
第31条 匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たって、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
2 第三者が作成した匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは個人情報保護法36条1項の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
【第三者に提供する際の措置】
第32条 匿名加工情報を第三者に提供するときは、施行規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するものとする。
2 匿名加工情報を第三者に提供するときは、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
3 匿名加工情報の取扱いの全部又は一部を商工会議所以外の者に委託するときは、商工会議所と同等の措置が委託先において適切に講じられるよう、必要かつ適切な監督を行うものとする。