個人情報保護規程

                                                         2020年2月1日制定

第1章 総則

(目的)

第1条 本規程は、株式会社Hub Tokyo(以下「当社」という。)が取り扱う個人情報の収集、利用又は提供方法及び管理方法などを定めることにより、当社の事業の適正かつ円滑な運営を図りつつ、個人情報を適切に保護し、個人の権利利益を保護することを目的とする。

         2   当社は、個人情報の保護に関する法律(以下「個人情報保護法」という。)その他の個人情報保護に関する法令及びガイドライン等(以下「関係法令等」という。)を遵守するとともに、本規程及び当社プライバシーポリシーに従い、実施するあらゆる事業を通じて個人情報の保護に努めるものとする。

         3   本規程及び当社プライバシーポリシーに定めのない事項については、個人情報保護法及び関係法令等の定めるところによる。

 

(定義)

第2条 本規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

 (1) 個人情報

生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

  1. 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。以下同じ。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
  2. 個人識別符号が含まれるもの

 (2) 個別識別符号

個人情報保護法第2条第2項に定める個人識別符号をいう。

 (3) 要配慮個人情報

本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして個人情報の保護に関する法律施行令で定める記述等が含まれる個人情報をいう。

 (4) 個人情報データベース等

個人情報を含む情報の集合物であって、次に掲げるものをいう。

  1. コンピュータを用いて情報を検索することができるように体系的に構成したもの
  2. 個人情報を一定の規則に従って整理することにより、特定の個人情報を容易に検索できるように体系的に構成した情報の集合物であって、目次、索引、その他検索を容易にするためのものを有するもの

 (5) 個人データ

個人情報データベース等を構成する個人情報をいう。

 (6) 保有個人データ

当社が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データをいう。ただし、以下のものを除く。

  1. 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
  2. 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
  3. 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
  4. 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
  5. 6月以内に消去することとなるもの

 (7) 「匿名加工情報」

個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

 (8) 「匿名加工情報データベース等

これに含まれる匿名加工情報を一定の規則に従って整理することにより特定の匿名加工情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有する

ものをいう。

 (9) 本人

個人情報によって識別される特定の個人をいう。

 (10) 本人に通知

本人に直接知らしめることをいい、以下に示す方法、又は事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によるものとする。

  1. 面談においては、口頭又は文書を渡すこと
  2. 電話においては、口頭又は自動応答装置等で伝達すること
  3. 隔地者間においては、電子メール、ファックス等により送信すること、又は文書を郵便等で送付すること

 (11) 公表

広く一般に自己の意思を知らせることをいい、以下に示す方法、又は事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によるものとする。

  1. 当社のホームページのトップページから1回程度の操作で到達できる場所への掲載
  2. 当社の事務所内における掲示、備置き又は配布等

 (12) 本人の同意を得

本人の承諾する旨の意思表示を当社が認識することをいい、以下に示す方法、又は事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によるものとする。

  1. 同意する旨を本人から口頭又は書面(電磁的記録を含む。)で確認すること
  2. 本人が署名又は記名押印した同意する旨の申込書等文書を受領し確認すること
  3. 本人からの同意による旨のメールを受信すること
  4. 本人による同意する旨の確認欄へのチェック
  5. 本人による同意する旨のホームページ上のボタンのクリック
  6. 本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力

 (13) 本人が容易に知り得る状態

本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態をいい、以下に示す方法、又は事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によるものとする。

  1. ホームページにおける本人が分かりやすい場所への掲載等が継続的に行われていること
  2. 事務所の窓口等への掲示、備付け等が継続的に行われていること
  3. 本人に頒布されている定期刊行物への定期的掲載を行っていること
  4. ホームページにリンク先を継続的に表示すること

 (14) 従業者

当社の組織内にあって事業者の業務に従事している者をいい、雇用関係にある従業者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、事業者との間の雇用関係にない者(取締役、監査役、派遣社員等)も含まれる。

 (15) 委託

契約の形態や種類を問わず、当社が他の者に個人データの取扱いの全部又は一部を行わせることを内容とする契約の一切をいう。

 (16) 個人情報管理責任者

当社の個人データの管理に関する責任を担う者をいう。

 

(適用範囲)

第3条 本規程は、当社が取り扱う一切の個人情報について適用する。

 

 

第2章 個人情報の取扱い

 

(利用目的の特定、変更)

第4条 個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定する。

         2   利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲で行う。

 

(利用目的による制限)

第5条 個人情報を取り扱うに当たっては、あらかじめ本人の同意を得ない限り、前条の規定により特定された利用目的の達成に必要な範囲を超えてはならない。

         2   合併、分社化、営業譲渡等により他社から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

         3   前二項の規定は、次に掲げる場合については、適用しない。

 (1) 法令に基づく場合

 (2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

 (3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

 (4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ばすおそれがあるとき

 

(適正な取得)

第6条 個人情報の取得は、適法かつ適正な手段によって行う。

         2   次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

 (1) 法令に基づく場合

 (2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

 (3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

 (4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

 (5) 当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報保護法第76条第1項各号に掲げる者、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国における個人情報保護法第76条第1項各号に掲げる者に相当する者により公開されている場合

 (6) 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合

 (7) 個人情報保護法第23条第5項各号において、個人データである要配慮個人情報の提供を受けるとき

 

(取得に際しての利用目的の通知)

第7条 個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表する。

         2   前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、以下の方法によりその利用目的を明示する。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

 (1) 利用目的を明記した契約書その他の書面を相手方である本人に対し手交し又は送付すること。契約約款又は利用条件等の書面(電磁的記録を含む。)中に利用目的条項を記載する場合は、例えば裏面約款等に記載されている利用目的条項を表面にも記載する等、本人が実際に利用目的を目にすることができるようにすること。

 (2) ネットワーク上において、本人がアクセスした当社のホームページ上、又は本人の端末装置上にその利用目的を明示すること。ネットワーク上において個人情報を取得する場合は、本人が送信ボタン等をクリックする前等にその利用目的(利用目的の内容が示された画面が1回程度の操作で頁遷移するよう設定したリンクやボタンを含む。)が本人の目に留まるよう配置すること。

         3   利用目的を変更した場合は、変更した利用目的について、本人に通知し、又は公表する。

         4   前三項の規定は、次に掲げる場合には、適用しない。

 (1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

 (2) 利用目的を本人に通知し、又は公表することにより当社の権利又は正当な利益を害するおそれがある場合

 (3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき

 (4) 取得の状況からみて利用目的が明らかであると認められる場合

 

(データ内容の正確性の確保等)

第8条 個人データについては、利用目的の達成に必要な範囲において、個人情報データベース等への個人情報の入力時の照合・確認の手続の整備、誤り等を発見した場合の訂正等の手続の整備、記録事項の更新、保存期間の認定等を行うことにより、個人データを正確かつ最新の内容に保つよう努める。ただし、保有する個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足りるものとする。

         2   個人データについては、利用する必要がなくなった場合は、当該個人データを遅滞なく消去するよう努める。ただし、法令の定めにより保存期間等が定められている場合は、この限りでない。

 

(第三者提供の制限)

第9条 個人データを第三者に提供する場合には、次に掲げる場合を除くほか、あらかじめ本人の同意を得なければならない。

              (1)  法令に基づく場合

              (2)  人の生命、身体又は財産の保護のために必要があって、本人の同意を得ることが困難であるとき

              (3)  公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

              (4)  国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

         2   次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。

              (1)  利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

              (2)  合併その他の事由による事業の承継に伴って個人データが提供される場合

              (3)  特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき

         3   前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置く。

 

(第三者提供に係る記録の作成等)

第10条 個人データを第三者(個人情報保護法第2条第5項各号に掲げる者を除く。以下本条及び次条において同じ。)に提供したときは、次項から第4項までで定める方法により、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の次の各号に定める事項に関する記録を作成する。ただし、当該個人データの提供が前条第1項各号又は前条第2項各号のいずれかに該当する場合は、この限りでない。また、次の各号に定める事項のうち、既に作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。

 (1) 本人の同意を得ている旨

 (2) 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)

 (3) 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項

 (4) 当該個人データの項目

         2   前項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。

         3   第1項の記録は、個人データを第三者に提供した都度、速やかに作成する。ただし、当該第三者に対し個人データを継続的に若しくは反復して提供したとき、又は当該第三者に対し個人データを継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。

         4   前項の規定にかかわらず、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に第1項各号に定める事項が記載されているときは、当該書面をもって当該事項に関する記録に代えることができる。

         5   第1項の記録は、当該記録を作成した日から次の各号に掲げる場合の区分に応じてそれぞれ当該各号に定める期間保存する。

 (1) 前項に規定する方法により記録を作成した場合

最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間

 (2) 第3項ただし書に規定する方法により記録を作成した場合

最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間

 (3) 前二号以外の場合

3年

 

(第三者提供を受ける際の確認等)

第11条 第三者から個人データの提供を受けるに際しては、次の各号に掲げる事項の確認を行う。ただし、当該個人データの提供が第9条第1項各号又は第2項各号のいずれかに該当する場合は、この限りでない。

 (1) 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名

 (2) 当該第三者による当該個人データの取得の経緯

         2   前項第1号に掲げる事項の確認を行う方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法とする。また、前項第2号に掲げる事項の確認を行う方法は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法とする。

         3   前項の規定にかかわらず、第三者から他の個人データの提供を受けるに際して既に前項に規定する方法による確認(当該確認について次項以下に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。

         4   前三項の規定による確認を行ったときは、次項から第7項までで定める方法により、以下の各号の区分に応じて各号の事項を記録する。ただし、既に作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。

 (1) 本人の同意を得て第三者から提供を受けた場合

  1. 本人の同意を得ている旨
  2. 当該第三者の氏名又は名称
  3. 当該第三者の住所
  4. 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
  5. 当該第三者による当該個人データの取得の経緯
  6. 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
  7. 当該個人データの項目

 (2) 個人情報取扱事業者(個人情報保護法第2条第5項)ではない第三者から提供を受けた場合

  1. 当該第三者の氏名又は名称
  2. 当該第三者の住所
  3. 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
  4. 当該第三者による当該個人データの取得の経緯
  5. 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
  6. 当該個人データの項目

         5   前項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。

         6   第4項の記録は、個人データを第三者に提供した都度、速やかに作成する。ただし、当該第三者に対し個人データを継続的に若しくは反復して提供したとき、又は当該第三者に対し個人データを継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。

         7   前項の規定にかかわらず、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に第1項各号に定める事項が記載されているときは、当該書面をもって当該事項に関する記録に代えることができる。

         8   第4項の記録は、当該記録を作成した日から次の各号に掲げる場合の区分に応じてそれぞれ当該各号に定める期間保存する。

 (1) 前項に規定する方法により記録を作成した場合

最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間

 (2) 第6項ただし書に規定する方法により記録を作成した場合

最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間

 (3) 前二号以外の場合

3年

 

 

第3章 保有個人データの開示等の請求等及び苦情処理

 

(保有個人データに関する事項の公表等)

第12条 保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置く。

 (1) 当社の名称

 (2) すべての保有個人データの利用目的(第7条第4項第1号から第3号までに該当する場合を除く。)

 (3) 次項の規定による求め又は次条第1項、第14条第1項若しくは第15条第1項若しくは第2項の規定による請求に応じる手続(第18条の規定により手数料の額を定めたときは、その手数料の額を含む。)

 (4) 当社が行う保有個人データの取扱いに関する苦情の申出先

         2   本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知する。ただし、次の各号のいずれかに該当する場合は、この限りでない。

 (1) 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合

 (2) 第7条第4項第1号から第3号までに該当する場合

         3   前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する。

 

(開示)

第13条 本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)の請求を受けたときは、本人に対し、書面の交付による方法(開示の求めを行った者が同意した方法があるときは、当該方法)により遅滞なく、当該保有個人データを開示する。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

 (1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

 (2) 当社の業務の適正な実施に著しい支障を及ぼすおそれのある場合

 (3) 法令に違反することとなる場合

         2   前項の規定による請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知する。

 

(訂正等)

第14条 本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求された場合には、その内容の訂正等に関して法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行うものとする。

         2   前項の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知する。

 

(利用停止等)

第15条 本人から、当該本人が識別される保有個人データが第5条の規定に違反して取り扱われている又は第6条第1項の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下、本条において「利用停止等」という。)を請求された場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行うものとする。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

         2   本人から、当該本人が識別される保有個人データが第9条第1項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を請求された場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有データの第三者への提供を停止するものとする。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

         3   第1項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき、若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき、若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する。

 

(理由の説明)

第16条 第12条第3項、第13条第2項、第14条第2項又は前条第3項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨の通知をする場合又はその措置と異なる措置をとる旨の通知をする場合は、本人に対し、その理由を説明するように努める。

 

(開示等の請求等に応じる手続)

第17条 第12条第2項の規定による求め、又は第13条第1項、第14条第1項又は第15条第1項若しくは第2項の規定による請求(以下「開示等の請求等」という。)がある場合は、本人に対して、次に定める方法に従った開示等の請求等を求める。

 (1) 開示等の請求等の申出先は個人情報に関するお問い合わせ窓口とする。

 (2) 開示等の請求等に際して提出すべき書面の様式その他の開示等の請求等の受付方法は、別途当社が作成する書面による。

 (3) 開示等の請求等をする者が本人又は代理人(未成年者若しくは成年被後見人の法定代理人又は開示等の請求等をすることにつき本人が委任した代理人に限る。)であることの確認は、当社内の取引記録・運転免許証その他本人を確認するに足りる書類・委任状その他の代理権限を確認できる書類をもって行う。

         2   本人に対し、開示等の請求等に関し、その対象となる保有個人データを特定するに足りる事項の提示を求める。ただし、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとる。

         3   前二項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないように配慮し、当該開示等の請求等に応じる手続は本人の知り得る状態に置く。

 

(手数料)

第18条 第12条第2項の規定による利用目的の通知又は第13条第1項の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。ただし、当該手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定める。

 

(苦情処理)

第19条 個人情報の取扱いに関する苦情の適切かつ迅速な処理に努める。

         2   前項の目的を達成するために必要な体制の整備に努める。

 

 

第4章 安全管理措置

 

(個人情報管理責任者)

第20条 個人データを取り扱う従業者が複数いる場合、代表取締役は、個人情報管理責任者を指名する。

         2   個人情報管理責任者は、個人情報保護法及び関連法令等並びに本規程及び当社プライバシーポリシーに定められた事項を理解し、自ら遵守するとともに、個人情報の収集、利用、又は従業者にこれを理解させ、遵守させるための教育訓練、安全対策の実施並びに周知徹底等の措置を実施する責任を負うものとする。

 

(個人データの取扱いに係る規律に従った運用状況及び取扱状況の確認・点検)

第21条 個人情報管理責任者は、システムログ等の記録又は業務日誌の作成その他の方法により、定期的に及び随時、当社における以下の個人データの運用状況を確認・点検する。

 (1) 個人情報データベース等の利用・出力状況

 (2) 個人データを含む書類・媒体等の持ち運びの状況

 (3) 個人情報データベース等の削除・廃棄の状況

 (4) 削除・廃棄を委託した場合、これを証明する記録等

 (5) 個人情報データベース等を情報システムで取り扱う場合、情報システムの利用状況(ログイン実績、アクセスログ等)

         2   個人情報管理責任者は、当社における個人データの取扱状況に関する以下の項目を、定期的に及び随時、確認・点検する。

 (1) 個人情報データベース等の種類、名称

 (2) 個人データの項目

 (3) 責任者・取扱部署

 (4) 利用目的

 (5) アクセス権を有する者

 

(教育の実施)

第22条 個人情報管理責任者は、従業者に対し、個人情報の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。

         2   個人情報管理責任者は、保有個人情報を取り扱う情報システム管理に従事する従業者に対し、保有個人情報の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な研修を行う。

 

(保有個人情報のアクセス制限)

第23条 個人情報管理責任者は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報にアクセスする権限を有する者をその利用目的を達成するために必要最小限の従業者に限定する。

         2   アクセス権限を有しない従業者は、保有個人情報にアクセスしてはならない。

         3   アクセス権限を有する従業者であっても、業務上の目的以外の目的で保有個人情報にアクセスしてはならない。

 

(保有個人情報の複製等の制限)

第24条 従業者は、業務上の目的で保有個人情報を取り扱う場合であっても、次に掲げる行為を行うときは、個人情報管理責任者の指示を受け、これに従わなければならない。

              (1)  保有個人情報の複製

              (2)  保有個人情報の外部への送信

              (3)  保有個人情報が記録されている媒体の外部への送付又は持出し

              (4)  その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為

 

(保有個人情報のアクセス制御)

第25条 個人情報管理責任者は、情報システムで取り扱う保有個人情報の秘匿性等その内容に応じて、ID、パスワード等(以下「パスワード等」という。)を使用して権限を識別する機能を設定する等のアクセス制御のために必要な措置を講ずる。

         2   個人情報管理責任者は、前項の措置を講ずる場合には、パスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。)、パスワード等の読取防止等を行うために必要な措置を講ずる。

 

(保有個人情報のアクセス記録)

第26条 個人情報管理責任者は、保有個人情報の秘匿性等その内容に応じて、当該個人情報へのアクセス状況を記録し、その記録(以下「アクセス記録」という。)を一定期間保存し、及びアクセス記録を定期的に又は随時に分析するために必要な措置を講ずる。

 

(保有個人情報のコンピュータウイルスによる漏えい等の防止)

第27条 個人情報管理責任者は、コンピュータウイルスによる保有個人情報の漏えい、滅失又は毀損の防止のため、コンピュータウイルスの感染防止等に必要な措置を講ずる。

 

(委託先の監督)

第28条 保有個人情報の取扱いに係る業務を外部に委託する場合には、個人情報の適切な管理を行う能力を有する者を選定し、契約書その他委託先との間で締結する合意書面に、次に掲げる事項を明記する。

              (1)  個人情報に関する秘密保持等の義務

              (2)  再委託の制限又は条件に関する事項

              (3)  個人情報の複製等の制限に関する事項

              (4)  個人情報の漏えい等の事案の発生時における対応に関する事項

              (5)  委託完了時における個人情報の消去及び媒体の返却に関する事項

              (6)  個人情報の漏えい等契約に違反した場合における契約の解除及び損害賠償の措置その他必要な事項

         2   保有個人情報の取扱いに係る業務を外部に委託する場合には、その取扱いを委託された個人情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行う。

 

 

第5章 安全確保上の問題への対応

 

(保有個人情報の漏えい等の事案の報告及び再発防止措置)

第29条 保有個人情報の漏えい等安全確保の上で問題となる事案が発生した場合に、その事実を知った従業者は速やかに当該保有個人情報を管理する個人情報管理責任者に報告する。

         2   個人情報管理責任者は、被害の拡大防止又は復旧等のための必要な措置を講ずるとともに、事案の発生した経緯、被害状況等を調査し、事案の内容等に応じて、速やかに代表取締役に報告する。

         3   個人情報管理責任者は、事案の発生した原因を分析し、必要に応じて個人情報保護委員会に報告を行うとともに、再発防止のための必要な措置を講ずる。

 

(保有個人情報の漏えい等の事案の公表等)

第30条 個人情報管理責任者は、事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る本人への対応等の措置を講ずる。

 

第6章 匿名加工情報

 

(匿名加工情報の作成等)

第31条 従業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、個人情報保護管理責任者の承認を得たうえで、以下に定める基準に従い、当該個人情報を加工するものとする。

 (1) 個人情報に含まれる特定の個人を識別することができる記述等の全部または一部を削除すること(当該全部または一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

 (2) 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

 (3) 個人情報と当該個人情報に措置を講じて得られる情報を連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。

 (4) 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

 (5) 上記各号の措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること

  2   匿名加工情報を作成したときは、直ちに個人情報保護管理責任者に報告するとともに、以下に定める基準に従い、その作成に用いた個人情報から削除した記述等および個人識別符号ならびに前項の規定により行った加工の方法に関する情報の安全管理のための措置を講じるものとする。

 (1) 加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等および個人識別符号ならびに加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。)を取り扱う者の権限および責任を明確に定めること。

 (2) 加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。

 (3) 加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずること。

  3   個人情報取扱責任者は、匿名加工情報を作成したときは、匿名加工情報を作成した後、遅滞なく、インターネットの利用その他の適切な方法により当該匿名加工情報に含まれる個人に関する情報の項目を公表するものとする。

  4   匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報取扱責任者の承認を得るものとし、かつ当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。

  5   個人情報取扱責任者は、各部門において匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、インターネットの利用その他の適切な方法により、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目およびその提供の方法について公表するものとする。

  6   従業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。

  7   個人情報取扱責任者は、各部門において匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ 適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を講じ、かつ、当該措置の内容を公表するよう努めるものとする。

 

(匿名加工情報の提供)

第32条 匿名加工情報(自ら個人情報を加工して作成したものを除く。以下同じ。)を第三者に提供するときは、個人情報保護管理責任者の承認を得るものとし、かつ当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。

  2 個人情報取扱責任者は、各部門において匿名加工情報を第三者に提供するときは、インターネットの利用その他の適切な方法により、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目およびその提供の方法について公表するものとする。

 

(識別行為の禁止)

第33条 従業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等もしくは個人識別符号もしくは第31条第1項により行われた加工の方法に関する情報を取得し、または当該匿名加工情報を他の情報と照合してはならない。

 

(安全管理措置)

第34条 個人情報取扱責任者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

 

第7章 雑則

 

(本規程)

第35条 従業者が個人情報の取扱いにつき本規程に違反した場合は、当社の就業規則に基づき処分する。

 

(所管)

第36条 本規程は、総務担当が所管する。

 

(施行)

第37条本規程は、2020年2月1日より施行する。