個人情報等の取扱いに関する規程
情報管理関連規程
令和 3 年 4 月 30 日
規程第 9 号
令和 3 年 9 月 17 日
規程第 9 号-2
令和 4 年 6 月 24 日
規程第 9 号-3
第 1 章 総則
(目的)
第 1 条 この規程は、一般財団日本財団電話リレーサービス(以下、「財団」という。) における情報の取扱いに関する必要な事項を定めて財団が保有する情報を適切に管理し、 情報の漏えいを防ぐことを目的とする。
(用語の定義)
第 2 条 この規程において使用する用語は、以下のとおりとする。
(1) 情報
財団が保有するすべての情報を指し、電子データ、印字データの別を問わない。
(2) 個人情報
個人情報保護法第2条第1項に規定する個人情報であって、当該情報に含まれる氏名、生年月日等の「生存する個人に関する情報」と、身体の特徴、個人に割り当てられた番号・記号、他の情報と容易に照合でき、それにより特定の個人が識別できる「個人識別符号」のことをいう。
(3) 特定個人情報
行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法 律第 27 号)第2条第5項に定める個人番号をその内容に含む個人情報をいう。
(4) 機密情報
個人情報を含む「部外秘」等の外部に公開することを禁止されている情報をいう。
(5) 本人
財団が保有する個人情報によって識別される特定の個人をいう。
(6) 役職員
財団の役員、職員をいう。
(7) その他関係者
業務委託先、役職員以外の財団の業務に係る者をいう。
(8) 保有個人情報
開示等(開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止)を行うことが出来る権限を有する個人情報であって、その存否が明らかになることにより 公益その他の利益が害されるものとして政令(行政機関の保有する個人情報の保護に関する法律施行令(平成十五年政令第五百四十八号)第四条)で定める以外をいう。
(適用の範囲)
第 3 条 この規程は、財団の役職員に対して適用する。また、その他関係者に対しても本 規程の趣旨を踏まえた適切な情報の取扱いを求めるものとする。
2 情報を取扱う業務を外部に委託する場合、業務委託契約にて本情報管理関連規程に基づく情報管理についての責任を明確化するとともに、役職員は必要かつ適切な監督をし、この規程に従って情報の適切な保護を図るものとする。
第 2 章 情報管理体制及び取組み
(情報管理責任者)
第 4 条 理事長は、情報管理を担当する役員を選定し、情報管理責任者として指名する。 2 情報管理責任者は、財団における情報管理に関する取組みを推進する責務を負う。
(情報管理監査責任者)
第 5 条 理事長は、財団における情報管理に関する監査責任者を指名する。
2 情報管理監査責任者は、少なくとも年一回、情報管理が適切に行われているかを監査し、理事長に報告する。
3 情報管理監査責任者は、監査員を管理部門、業務部門から 1 名ずつ選定する。
(監査員)
第 6 条 監査員は、客観性及び公平性を確保した上で監査を実施する。
(情報管理部門責任者)
第 7 条 情報管理部門責任者は、各チームのディレクターとし、各部門における情報管理 を担当する。
2 情報管理部門責任者は、所属部署における情報管理に関する取組みを推進し、ルールの遵守を常に監視する責務を負う。
(情報管理担当者)
第 8 条 理事長は、情報管理担当者を指名する。
2 情報管理担当者は情報管理責任者及び情報管理監査責任者を補佐し、情報管理に関する取組みを推進する事務を担当する。
(情報管理及び個人情報保護に関する取組み)
第 9 条 情報管理責任者及び情報管理担当者は、情報管理に関し、取扱規程の策定、セキ ュリティ対策の実践等、必要な取組みを行うものとする。
(情報の保管、及び廃棄)
第 10 条 機密情報は、施錠管理やアクセス権の制限等により、合理的な安全管理対策を行う。
2 職員は情報管理責任者の許可なく、機密情報を財団外に持ち出してはならない。
3 機密情報の廃棄にあたっては、外部漏えいしないよう、印字データについてはシュレッダー処理、電子データについてはデータを復元できないよう消去を行わなければならない。
なお、廃棄を外部業者に委託する場合は、外部業者が確実に廃棄したことを確認するため、可能な限り廃棄証明書を取得する。
(情報の漏えい禁止)
第 11 条 役職員は、機密情報について、業務以外の目的での使用や第三者(配偶者・両親・親戚等の血縁者、及び友人・知人を含む。以下同じ。)への開示・提供をしてはならない。なお、退職後も、在職中に知り得た機密情報を第三者に開示・提供してはならない。
2 業務遂行のため、機密情報を取引先・委託先等、外部に開示する必要がある場合は、機密保持契約を締結してこれを行うものとする。
(緊急事態への対応)
第 12 条 財団は、緊急事態の特定、及び特定した緊急事態の対応についての手順を確立し実施する。
2 財団は、個人情報保護リスクアセスメントおよびリスク対策を実施し、その影響を最小限とするための手順を確立する。
3 財団は、緊急事態が発生した場合に備え、次の事項を含む対応手順を確立する。
(1) 漏えい、滅失または毀損が発生した個人情報の内容を本人に速やかに通知するか、ま たは本人が容易に知り得る状態に置くこと。
(2) 二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因及び再発防止策を、速やかに公表すること。
(3) 事実関係、発生原因及び再発防止策を関係機関に直ちに報告すること。
(内部規程)
第 13 条 財団は、次の事項を含む内部規程を文書化し、かつ維持する。
(1)個人情報を特定する手順に関する規定
(2)法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
(3)個人情報保護リスクアセスメント及びリスク対策の手順に関する規定
(4)財団の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
(5)緊急事態への準備及び対応に関する規定
(6)個人情報の取得、利用及び提供に関する規定
(7)個人情報の適正管理に関する規定
(8)本人からの開示等の請求等への対応に関する規定
(9)教育などに関する規定
(10)苦情及び相談への対応に関する規定
(11)運用点検に関する規定
(12)是正処置に関する規定
(13)内部規程の違反に関する罰則の規定
2 財団は、事業の内容に応じて、情報管理が確実に適用されるように内部規程を改正する。
(計画策定)
第 14 条 財団は、情報管理を確実に実施するために、少なくとも年一回、必要な計画を立案し、文書化し維持する。なお、計画策定にあたっては、「PMS マニュアル」を参照する。
(内部監査及び対応)
第 15 条 情報管理監査責任者は、情報管理の運用状況を年一回、適宜監査する。なお、 監査の実施にあたっては「PMS マニュアル」を参照する。
第 3 章 個人情報取扱いに関する規程
(個人情報保護方針)
第 16 条 財団は、個人情報保護の理念を明確にした上で、個人情報保護方針を別記のとおり定めるとともに、これを実行し維持する。
2 理事長は、個人情報保護方針を文書化した情報として関係者が入手可能にするための措置を講じる。
(個人情報の特定)
第 17 条 財団は、自らの事業の用に供するすべての個人情報を特定するための手順を確立し維持する。
2 財団は、個人情報を管理するための台帳を整備するとともに、当該台帳の内容を少なくとも年一回、適宜に確認し、最新の状態で維持する。
3 財団は、特定した個人情報については、個人データと同様に取り扱う。
(個人情報の収集)
第 18 条 財団は、個人情報の収集について、利用目的を特定の上、明文化し、財団ウェブサイト等で公表する。
2 個人情報の収集は、利用目的の達成に必要な限度において行う。
3 収集済みの個人情報の利用目的の変更を要する場合は、予め情報管理責任者の承認を得た上で、変更後の利用目的を公表し、必要事項を本人に通知し、同意を得る。
4 第 1 項の規定にかかわらず、契約書等の書面やウェブサイトへの入力結果等、本人から個人情報を直接取得する場合、書面やウェブサイト上への明記等の手法により本人に対して利用目的を明示するものとする。
(個人情報の利用)
第 19 条 財団は、個人情報を利用する際、予め特定した利用目的の範囲内で行い、その 範囲を超えて利用を行ってはならない。ただし、個人情報保護法第 16 条第 3 項各号に該当する場合には、本人の同意を得ることなく特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことができる。
(個人情報の提供)
第 20 条 財団は、法令で定める場合を除き、予め本人の同意を得ないで、個人情報を第 三者に提供してはならない。
2 財団の事業を遂行するために当該事業に係る業務の一部または全部を第三者に委託する必要がある場合には、次に掲げる条件を満たす委託先に限り、取得の際に本人に示した利用目的の範囲内において当該個人情報を当該委託先に対して提供できるものとする。
(1) 社会通念上相当な事業活動を営む者であること。
(2) 財団との間で、適正な内容の個人情報の保護に関する契約を締結し、これを遵守する ことが見込まれる者であること。
(安全管理措置)
第 21 条 財団は、その取り扱う個人情報の個人情報保護リスクに応じて、漏えい、滅失 または毀損の防止その他の個人情報の安全管理のために必要かつ適切な措置を「セキュリティポリシー」を参照しながら、講じる。
2 財団は、特定個人情報の取扱いにおいて、次の安全管理措置を講じる。
(1) 特定個人情報を取扱う電子媒体等を特定する。
(2) 電子媒体等は、電子データの暗号化、ユーザーID・パスワード、アクセス権の制限等により保護する。
(3) 特定個人情報が記載された書類等は、施錠できるキャビネット等に保管し、鍵は事務取扱責任者が管理する。
(4) 特定個人情報は、特定個人情報を取扱う者以外の者に目視されないよう、座席配置の工夫等の措置を講じる。
2 財団は、その役職員に個人情報を取り扱わせるに当たっては、当該個人情報の安全管理が図られるよう、当該役職員に対し必要かつ適切な監督を行う。
(個人情報の正確性確保)
第 22 条 財団は、利用目的の達成に必要な範囲内において、正確かつ最新の内容に保つ よう個人情報を管理運営しなければならない。また、個人情報を利用する必要がなくなったときは、当該個人情報を遅滞なく消去する。
(役職員等の監督)
第 23 条 情報管理責任者は、個人情報の安全管理が図られるよう、個人情報を取り扱う役職員等に対して必要かつ適切な指導・監督を定期的に行わなければならない。
(通報及び調査義務等)
第 24 条 役職員は、個人情報が外部に漏えいしていることを知った場合またはそのおそ れがあると気づいた場合には、直ちに情報管理部門責任者及び情報管理責任者に通報しな ければならない。
2 情報管理部門責任者及び情報管理責任者は、個人情報の外部への漏えい等について役職員から通報を受けた場合には、直ちに事実関係を調査しなければならない。
(報告及び対策)
第 25 条 情報管理責任者は、前条に基づく事実関係の調査の結果、個人情報が外部に漏 えいしていることを確認した場合には、直ちに次の各号に掲げる事項を理事長のほか、影 響を受ける可能性のある本人等及び関係機関に報告しなければならない。
(1) 情報漏えいの概要
(2) 情報漏えいが発生し、又は発生したおそれがある個人データの項目
(3) 情報漏えいが発生し、又は発生したおそれがある個人データに係る本人の数
(4) 情報漏えいの原因
(5) 二次被害又はそのおそれの有無及びその内容
(6) 本人への対応の実施状況
(7) 公表の実施状況
(8) 再発防止のための措置
(9) その他参考となる事項
2 情報管理責任者は、代表理事及び関係機関とも相談の上、個人情報の漏えいについての具体的対応及び対策を講じるともに、再発防止策を策定しなければならない。
(個人情報の訂正等)
第 26 条 財団は、本人から保有個人情報についての開示等の請求を求められた場合は、 原則として「個人情報取扱いマニュアル」を参照しながらこれに応じるものとする。
(苦情処理)
第 27 条 財団の個人情報の取扱いに関する苦情の窓口業務は、総務チームとする。
2 情報管理責任者は、前項の目的を達成するために必要な体制の整備及び支援を行う。 3 情報管理責任者は、適宜、苦情の内容について理事長に報告するものとする。
第 4 章 委託管理
(委託先の選定)
第 28 条 財団は、個人情報の取扱いの全部または一部を委託する場合は、「個人情報取扱いマニュアル」を参照しながら、十分な個人情報の保護水準を満たしている者を委託先として選定する。
2 委託先の選定には、客観的な評価基準に基づき評価し、情報管理責任者の承認を得ることとする。
3 財団は、第 1 項に定めている内容を年一回適宜確認し、再評価を行う。
(適正管理)
第 29 条 財団は、個人情報の取扱いの全部または一部を委託する場合は、委託する個人 情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行う。
(委託契約)
第 30 条 財団は、個人情報の取扱いの全部または一部を委託する場合、「個人情報取扱 いマニュアル」の事項を網羅した委託契約書を締結する。
2 財団は、当該契約書などの書面を少なくとも個人情報の保有期間にわたって保存する。
第 5 章 雑則
(規程の違反)
第 31 条 財団は、本規程に違反した者を職員就業規程第 51 条の規定に従い、処分を行うものとする。
(細則)
第 32 条 情報管理責任者は、必要に応じ情報管理に関する細則を定めるものとする。
附則(令和 3 年 4 月 30 日規程第 9 号)
この規程は、令和 3 年 4 月 30 日から施行する。
附則(令和 3 年 9 月 17 日規程第 9 号-2 改正)
この規程は、令和 3 年 9 月 17 日から施行する。
附則(令和 4 年 6 月 8 日規程第 9 号-3 改正)
この規程は、令和 4 年 6 月 24 日から施行する。
別記
個人情報保護方針
(1)個人情報を取得するに当たっては、その利用目的をできる限り特定し、その目的の達成に必要な限度において個人情報を取得致します。
(2)個人情報を、本人から直接、書面によって取得する場合には、弊社名、個人情報保護管理者名及び連絡先、利用目的等をお知らせした上で、必要な範囲で個人情報を取得致します。
(3)個人情報の利用は、本人が同意を与えた利用目的の範囲内で行います。また、目的外利用を行わないため、必要な対策を講じる手順を確立し、実施致します。
(4)保有する個人情報を適切な方法で管理し、本人の同意なしに第三者に開示・提供致しません。
(5)保有する個人情報を利用目的に応じた必要な範囲内において、正確、かつ、最新の状態で管理致します。それにより、個人情報の漏えい、滅失又は毀損などのおそれに対して、合理的な安全対策を講じ、予防並びに是正に努めます。
(6)個人情報の処理を外部へ委託する場合は、漏えい等や第三者への提供を行わない等を契約により義務づけ、委託先に対する適切な管理を実施致します。
(7)保有する個人情報についての苦情・相談は、弊社の問合せ窓口に連絡頂くことにより、これに対応致します。
(8)個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守致します。
(9)情報管理関連規程を定め、これを定期的に見直し、継続的に改善致します。
