個人情報保護方針PRIVACY

1.総則

1.1.目的

この規定は、東興電気株式会社(以下会社という)の個人情報保護方針に基づく個人情報の取扱いの基本事項を定めたもので、個人情報の保護と適正な利用を図ることを目的とする。
ただし、特定個人情報に係る固有の取扱いについては、「個人番号及び特定個人情報の取り扱い規定」に定めるものとする。

1.2.定義

この規定において、次の各号に揚げる用語の定義は、当該各号に定めるところによる。

1.2.1.個人情報

  1. 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2項において同じ)で作られる記録をいう)による特定の個人を識別することができるもの。さらに、他の情報と容易に照合することができ、それにより、特定の個人を識別することができるものも含む情報をいう。
  2. 個人識別符号が含まれるもの

1.2.2.要配慮個人情報

本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないように取扱に特に配慮を要するもので政令で定める記述等が含まれる個人情報をいう。

1.2.3.機微情報

極めて慎重に取り扱うべき情報で、個人情報の中でも特に人に知られたくない情報や、個人の信条などに関することをいう。「センシティブ情報」ともいう。

1.2.4.個人情報データベース等

個人情報を含む情報の集合体、特定の個人情報を、パソコン等を用いて検索することができるように体系化したものをいう。

1.2.5.個人データ

個人情報データベース等に含まれる個々の個人情報をいう。

1.2.6.保有個人データ

個人データのうち、本人からの開示、訂正、利用停止等の請求の対象となるもので、自らが追加、削除等を行う管理権限を持っている個人データをいう。

1.2.7.匿名加工情報

特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報をいう。

1.2.8.本人

個人情報によって識別される特定の個人をいう。

1.2.9.従業員

当社の組織内にあって、直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)をいう。

1.2.10. 個人情報取扱事業者

国の機関、地方公共団体、独立行政法人等を除く、民間事業者で個人情報データベース等を事業の用に供している者をいう。

2.管理組織・体制

2.1.個人情報保護統括管理者等

  1. 個人情報保護管理者として、役員会の決議に基づき役員の中から個人情報保護統括管理者(情報セキュリティ統括責任者と兼任。以下「統括責任者」という)を選任し、個人情報の保護のための措置に関する業務を統括させるものとする。
  2. 専務を個人情報保護事務取扱責任者(以下「事務責任者」という)として選任し統括管理者を補佐し、個人情報保護に関する施策の立案とその実施についての指揮・監督に当たらせる。また、仙台営業所は、所長を事務責任者とする。
  3. 事務責任者は別表に掲げる者を個人情報保護事務担当者(以下「事務担当者」という)として選任し、自らが管理している個人情報の保護に関する施策の実施およびその評価・改善に当たらせる。

2.2.統括責任者の職務

  1. 統括責任者の職務は、次のとおりとする。ただし、その一部は必要に応じ事務責任者等に行わせることができる。この場合には、これらの者を適切に管理・監督しなければならない。
    ①個人情報の安全管理措置の立案と実施の管理
    ②個人情報保護計画の策定と実施結果に基づく評価・改善
  2. 前項の個人情報保護計画には次の事項を盛り込まなければならない。
    ①個人情報資産の調査・分析に基づく対応策の策定、実施、評価、改善
    ②個人情報保護のための統括責任者等の役割とその業務内容
    ③研修実施計画

2.3.教育・研修の実施

事務責任者は、従業員その他の関係者に対して、個人情報保護計画に基づく教育・研修を効果的に行い、個人情報の重要性を自覚させる手順・方法を確立し維持しなければならない。

3.個人情報の取得および利用

3.1.取得の原則

個人情報の取得は、適法、かつ公正な手段によって行わなければならない。

  1. 個人情報の取得に当たっては、取得の状況からみて利用目的が明らかであると認められる場合を除き、あらかじめ目的を特定して、その目的の達成に必要な限度において行わなければならない。
  2. 新しい目的で個人情報を取得・収集するときは、事務責任者に届け出なければならない。
  3. 前項の届け出を受けた事務責任者は、直ちに情報セキュリティ管理責任者との協議を経て、統括責任者の承認を得なければならない。

3.2.機微(センシティブ)情報の取扱い

要配慮個人情報に関する情報(本人、国の機関、地方公共団体、法第76条第1項各号若しくは施行規則第6条各号に揚げる者により公開されているもの、又は、本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く。以下「機微(センシティブ)情報」という)については、次に掲げる場合を除くほか、本人の同意を得ずに取得・利用または第三者提供を行わない。

①法令等に基づく場合
②人の生命、身体または財産の保護のために必要がある場合
③国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
④機微情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合

3.3.本人から書面で個人情報を直接取得する場合の措置

  1. 本人との契約を締結することに伴って契約書その他の署名(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む)に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、次の事項を明示したうえでなければ、これを行ってはならないものとする。
    ①利用目的
    ②個人情報を第三者に提供することが予定される場合には、その旨
  2. 利用目的に達成に必要な場合には、前項で特定した利用目的と関連性を有すると合理的に認められる範囲において利用目的を変更することができるが、この場合には変更され利用目的について、本人に通知し、又は公表しなければならない。
  3. 前2項の規定は、次に掲げる場合については、適用しない。
    ①知用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
    ②利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
    ③国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼす恐れがあるとき

3.4.書面以外の方法により個人情報を直接取得する場合の措置

  1. 統括責任者は、担当者が書面による方法以外の方法により個人情報を取得す場合には、あらかじめその利用目的を自社のインターネット・ホームページへ掲載、社内での掲示又はパンフレット等への掲載の方法によって公表している場合を除き、速やかに、その利用目的を本人に通知するか、又は公表しなければならない。
  2. 3.3.2.第2項及び第3項の規定は、書面による方法以外の方法により取得した個人情報の取扱いにつき準用する。

3.5.目的外の利用の禁止とその例外

本人の同意を得たうえでなければ、前2条により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないものとする。ただし、次に掲げる場合はこの限りではない。

①法令に基づく場合
②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

3.6.目的外の利用の場合の措置

取得目的の範囲を超えて個人情報の利用を行う場合においては、統括責任者の承認を受けたうえ、あらかいじめ本人の同意を得なければならない。

3.7.従業員の個人情報にかかる取扱い

  1. 会社(東興電気株式会社以下会社という)は、従業員の個人情報を収集する場合には、従業員本人から直接取得するものとする。ただし、次に掲げる場合にあってはこの限りではい。
    ①取得目的、取得先、取得項目等を事前に従業員本人に通知したうえで、その同意を得て行う場合
    ②法令に定めがある場合
    ③従業員本人の生命、身体又は財産の保護のために緊急に必要があると認められる場合
    ④業務の性質上従業員本人から取得したのでは業務の適正な実施に支障を生じ、その目的を達成することが困難であると認められる場合
    ⑤前各号に掲げる場合の他、従業員本人以外の者から取得することに相当の理由があると認められる場合
  2. 会社は、破棄又は削除もしくは従業員本人に返却する場合を除き、取得目的の範囲を超えてその個人情報を処理してはならない。
  3. 会社は、従業員の機微情報を収集してはならない。ただし、法令に定めがある場合および特別な職業上の必要性があること、その他業務の適正な実施に必要不可欠であって、利用目的を示して本人から同意を得て収集する場合は、この限りでない。

3.8.匿名加工情報の作成等

会社は、匿名加工情報(匿名加工情報データベース等を構成するものに限る 以下同じ)を作成するときは、特定の個人情報を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。

  1. 会社は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定まる基準に従い、これらの情報の安全管理のための措置を講じなければならない。
  2. 会社は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
  3. 会社は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表しなければならない。
  4. 会社は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
  5. 会社は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

3.9.匿名加工情報の提供

会社は、匿名加工情報(自ら個人情報を加工して作成したものを除く、以下この節において同じ)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。

3.10.識別行為の禁止

会社は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。

3.11.個人データの共同利用

個人データを第三者との間で共同利用する場合、担当者は共同して利用する個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称を事務責任者を通じ情報セキュリティ管理責任者に届け出なければならない。

①前項の通知を受けた情報セキュリティ管理責任者は、情報セキュリティ統括責任者と協議し、その承認をえなければならない。
②個人データの共同利用は、情報セキュリティ統括責任者の承認を得て、事務責任者が必要な措置を講じた後でなければならない。

3.12.共同利用についての公表等

  1. 取得した個人情報に係る個人データを特定の者と共同して利用する場合にあっては、その旨並びに共同して利用される個人データ項目、共同で利用する者の範囲、利用する者の利用木駅及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、3.4.の定める方法により本人が容易に知り得る状態においておくか又は本人に通知しなければならない。
  2. 前項の場合において、利用する者の利用目的又は、個人データの管理について責任を有する者の氏名若しくは名称を変更する場合には、変更する内容につき前項と同様の措置を講じなければならない。

3.13.個人データの第三者への提供

個人データを第三者に提供する場合には、あらかじめ事務責任者を通じ情報セキュリティ管理責任者に届け出るものとする。

  1. 前項の通知を受けた情報セキュリティ管理責任者は、情報セキュリティ統括責任者と協議し、その承認を得なければならない。
  2. 次に該当する場合は、第三者提供の例外として本人の同意を得る必要はない。
    ①法令に基づく場合
    ②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難でなるとき
    ③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
    ④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

3.14.外国にある第三者への提供の制限

外国(本邦の域外にある国または地域をいう 以下同じ)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ)にある第三者に個人データを提供する場合には、前条第3項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。

3.15.第三者提供に係る記録の作成等

  1. 前条、全前条により個人データを第三者(第2条第10項に掲げる者を除く 以下この条及び次条において同じ)提供したときは、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
  2. 前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

3.16.第三者提供を受ける際の確認等

第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。

  1. 当該第三者の氏名または名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者または管理人の定めのあるものにあっては、その代表者または管理人)に氏名
  2. 当該第三者による当該個人データの取得の経緯
    ①第1項による確認を行ったときは、当該個人データの提供を受けた年月日等の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
    ②前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

3.17.個人データの取扱いの委託

個人データの処理を第三者に委託する場合には、取扱いを委託する個人データの内容および個人データが漏えい、減失又は棄損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託先の選定を行うとともに、委託契約書等において、次に掲げる事項について明確にしたうえで安全管理措置等の適正な取扱いが行われるよう配慮するものとする。

  1. 委託先における委託業務を通じて得た個人情報を他に漏らす又は盗用することの禁止
  2. 委託に係る個人データの取扱いの再委託を行うに当たっての文書による会社の承諾
  3. 委託契約期間
  4. 利用目的達成後の個人データの返却又は委託先における確実な破棄若しくは削除
  5. 委託先における個人データの加工(委託契約の範囲内のものを除く)、改ざん等の禁止又は制限
  6. 委託先における個人データの複写又は複製(安全管理上必要なバックアップを目的とするもの等委託契約範囲内のものを除く)の禁止
  7. 委託先において個人データの漏えい等の事故が発生した場合における会社への報告義務及び個人情報保護委員会への報告義務
  8. 委託先において個人データの漏えい等の事故が発生した場合における委託先の責任
  9. 委託先における個人データの取扱状況の確認方法
    ②委託先における委託に係る個人データが前項の気鋭に基づき適正に行われているかについては、定期的又は随時確認するとともに、不備が認められた場合は必要な措置を講ずるよう求めるものとする。

4.個人情報の適正管理

4.1.1.個人データの正確性の確保

事務責任者は、個人データを利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しなければならない。

4.1.2.個人データの入出力、保管等

個人データのコンピュータへの入力・出力、台帳・申込書等の個人情報を記載した帳票・帳表の保管・管理等は、個人情報取扱担当者が行わなければならない。

4.1.3.文書の管理

事務責任者は、この規定に基づき作成される文章を適切に管理しなければならない。

4.2.個人情報の外部への持ち出し禁止

個人情報の外部への持ち出しは、原則禁止とする。ただし、業務遂行上やむを得ない事情により持ち出す場合には、統括責任者の許可を得なければならない。

4.3.安全管理措置

個人データの漏えい、減失又は棄損の防止その他の個人データの安全管理のため、必要かつ適切な措置(安全管理措置)を講じなければならない。この場合において、安全管理措置は、個人データが漏えい、減失又は棄損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質、個人データの取扱状況および個人データを記録した媒体の性質等に起因するリスクに応じたものとする。

  1. 前項の安全管理措置は、以下の4つの観点から講じる。
    ①組織的安全管理措置
    個人データの安全管理措置について役職印の責任と権限を明確に定め、安全管理に関する規定等を整備・運用し、その実施状況の点検・監査を行うこと等の体制整備および実施措置をいう。
    また、個人データの漏えい等の問題発生時又は兆候を把握した場合における報告連絡体制の整備を構築する。
    ②人的安全管理措置
    役職員との個人データの非開示契約等の締結および役職員に対する教育・訓練を実施し、個人データの安全管理が図られるよう役職員を監督することをいう。
    ③物理的安全管理措置
    個人データを取扱う区域の管理、個人データの盗難の防止、電子記録媒体等を持ち運ぶ場合の漏えい等の防止、個人データの削除及び機器、電子記録媒体の廃棄等の措置をいう。
    ④技術的安全管理措置
    個人データおよびそれを取り扱う情報システムへのアクセス制御および情報システムの監視等の個人データの暗線管理に関する技術的な措置をいう。

4.4.個人データの具体的取扱い

統括責任者は、個人データの取得・入力、利用・加工、保管・保存、位相・送信、消去・廃棄等に係る具体的取扱いについて定め、その運用については事務責任者及び情報セキュリティ管理責任者により監督させなければならない。

4.5.個人データ取扱台帳の整備

個人データの取扱状況を確認できる手段の整備として、保管責任者、保管場所、期間等を管理する台帳(以下、「情報資産管理台帳」という)を整備する。

①情報資産管理台帳の内容については、定期的に確認することにより最新状態を維持する。

5.保有個人データに関する本人からの開示請求等への対応

5.1.個人情報保護苦情・相談窓口の設置

統括責任者は、個人情報の取扱いに関する苦情・相談を受け付けて対応する窓口を設置し、この連絡先を本人に通知又は公表しなければならない。

5.2.利用目的の通知

本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、次の各号のいずれかに該当する場合を除き、本人に対し、遅滞なく、これを通知しなければならない。

  1. あらかじめ本人が知り得る状態にしてあることにより、当該本人が識別される保有個人データの利用目的が明らかな場合
  2. 次に掲げる場合
    ①利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
    ②利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
  3. 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要があって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
    ①前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

5.3.本人からの開示請求等への対応

  1. 本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む 以下同じ)を求められたときは、本人に対し、書面又は本人と同意した方法により、遅滞なく、当該保有個人データを開示しなければならない。
    ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
    ①本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
    ②当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
    ③法以外のほかの法令に違反することとなる場合
  2. 前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
  3. 法以外の他の法令の規定により、本人に対し第1項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は適用しない。

5.4.訂正

  1. 本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という)請求を受けた場合には、その内容の訂正等に関して法以外の他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
  2. 前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む)を通知しなければならない。

5.5.利用停止等

  1. 本人から、当該本人が識別される保有個人データが法第16条(利用目的による制限)の規定に違反して取り扱われるとき又は法第17条(適正な取得)の規定に違反して取得され得たものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という)による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
  2. 本人から、当該本人が識別される保有個人データが法第23条(第三者提供の制限)第1項又は第24条(外国にある第三者への提供の制限)の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
  3. 第1項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

5.6.理由の説明

5.2.第2項、5.3.第2項、5.4.第2項又は前条第3項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合またはその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めるものとする。

6.個人情報保護に係るその他の措置

6.1.個人データの廃棄

個人データを廃棄する場合は、信頼できる廃棄処理業者に廃棄を委託しなければならない。

  1. 個人情報を記録したコンピュータ、記憶媒体を廃棄するときは、個人情報を完全に消去するか記憶媒体を物理的に破壊してから廃棄するものとする。
  2. 個人情報を記録したコンピュータを他に転用するときは、個人情報を完全に消去してから転用しなければならない。
  3. 個人情報の廃棄作業は、事務取扱責任者立会いのもと個人情報取扱担当者が行う。
  4. 個人情報を破棄した場合は、廃棄簿を備え記録するとともに、廃棄された個人情報については、委託業者が発行した「廃棄証明書」、情報セキュリティ管理責任者の立会いのもと廃棄された個人情報については、同管理責任者が証明した「廃棄簿」を7年間保存することとする。

6.2.法違反または法違反のおそれが発覚した場合の対応

  1. 個人情報または匿名加工情報および加工方法の取扱いに関して法違反又は法違反のおそれが発覚した場合には、事案を把握したものは事務責任者に報告しなければならない。この場合、報告を受けた事務責任者は情報セキュリティ管理責任者を通じて総括責任者に直ちに報告するとともに、事務責任者と協力して事実関係を速やかに調査・確認しなければならない。
  2. 事務責任者は、二次災害の防止、類似事案の発生回避等のため、情報セキュリティ管理責任者と協力するともに、必要に応じ情報セキュリティ委員会を開催し、再発防止策等を策定したうえで、調査の結果により本人を特定できない事案については、事実関係とともに公表する。また、事実関係の調査・確認に時間を要する場合にも二次災害の防止の観点から漏えい事実の公表等を行い社会的信頼の回復に努めるものとする。
  3. 法違反または法違反のおそれのある事案を把握した場合には、統括責任者は関係機関等に報告する。また、事務責任者は速やかに本人に対し通知または公表を行うこととする。
  4. 前項の事案が発生した場合には、統括責任者は個人情報保護委員会(権限が事業所管大臣に委任されている場合には、事業所管大臣)に報告しなければならない。また、次の場合においてはこの限りではない。
    ①実質的に個人データまたは第13条第1項で規定されている匿名加工情報を作成する手段に関する情報(加工方法等情報)が外部に漏えいしていないと判断される場合
    ②FAX若しくはメールの誤送信、又は荷物の誤配送等のうち軽微なものの場合

7.監査

7.1.監査の実施

  1. 会社は、会社における個人情報保護に関する措置が適切に行われているかどうかについて、内部監査において監査し、その結果を情報セキュリティ委員会に報告するものとする。
  2. 前項の監査は、内部監査担当者が担うものとする。ただし、社外の第三者に監査業務を委託することを妨げない。

8.雑則

8.1.従業員の責務

  1. 会社の従業員は、本規定その他個人情報の取扱いに関する諸規定を遵守し、個人情報を適切に取り扱わなければならない。
  2. 本規定及びその他の規定に定めるところと異なる取扱いを必要とする場合及び当該規定に定めのない事項で取扱いに疑義等があるものについては、情報セキュリティ管理責任者又は事務責任者に相談し、その指示を仰ぐものとする。

8.2.罰則

  1. 会社は、本規定に違反した従業員に対して就業規則に基づき懲戒その他の処分を行わなければならない。
  2. 前項の手続は就業規則に定めるところによる。

8.3.規程の改廃

  1. この規定の改廃は、情報セキュリティ委員会の決議をもって行う
  2. この規定は、令和4年4月1日より実施する。

お気軽にお問い合わせくださいCONTACT

お電話でのお問い合わせはこちら

営業時間:8:00~17:00

メールでのお問い合わせはこちら