株式会社アシタバ
第1条 本規定は、当社における個人情報の適法かつ適正な取扱いの確保に関する基本的事項を定めることにより、個人の権利・利益を保護することを目的とする。
第2条 本規定において、各用語の定義は次の通りとする。
(1)個人情報
生存する「個人に関する情報」であって、特定の個人を識別することができるもの、又は他の情報と容易に照合することができ、それにより特定の個人を識別することができるものをいう。 「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声も含まれ、暗号化されているかどうかを問わない。 なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報である場合には、当該生存する個人に関する情報となる。 また、「生存する個人」は日本国民に限られず、外国人も含まれるが、法人その他の団体は「個人」に該当しないため、法人などの団体に関する情報は含まれない。
(2)個人情報データベース
特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物、又はコンピュータを用いていない場合であっても、ファイルやカルテ、お客様台帳など個人情報を一定の規則(例えば、五十音順、生年月日順、作成日順等)に従って整理・分類し、他人によっても容易に検索可能な状態においているものをいう。
(3)個人データ
当社が管理する「個人情報データベース等」を構成する個人情報をいう。
(4)保有個人データ
当社が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の全てを行うことができる権限を有する「個人データ」をいう。ただし、以下に該当するものは除く。
(5)本人
個人情報によって識別される特定の個人をいう。
(6)部門長
個人情報を取扱う部門の長をいう。
(7)従業者
当社にあって、直接間接に当社の指揮監督を受けて、当社の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員も含まれる。
(8)利用目的
一連の個人情報の取扱いにより達成しようとする目的をいう。
(9)個人情報の取扱い
個人情報の取得、整理、分類、照合、処理、複製、委託、第三者提供、共同利用その他一切の利用、保有及び個人情報の廃棄、消去、破壊をいう。
(10)本人の同意
本人の個人情報が、当社によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう。 具体的には本人による署名・捺印、同意する旨のメールの受信、同意する旨の確認欄へのチェック、同意する旨のボタンのクリック、音声入力やタッチパネルによる承諾を得ること等が挙げられる。
(11)明示
本人に対し明確に示すことをいい、本人の同意は要しない。 本人に提示した契約書約款・アンケート用紙、または本人が閲覧できる掲示物・冊子等に明記すること、情報ネットワーク上においては自社ホームページもしくは本人の端末装置上に表示すること等をいう。
(12)通知
直接知らしめることをいう。具体的には、面談、電話にて口頭で説明すること、電子メール、ファックスにて送信すること、文書を郵便で送付することなどが挙げられる。
(13)公表
広く一般に自己の意思を知らしめること(不特定多数の人々が知ることができるように発表すること)をいう。具体的には、ホームページへの掲載をすること、店舗・事務所等に掲示あるいは備付けること、商品・パンフレット等に掲載すること、新聞・雑誌等に掲載すること等が挙げられる。
(14)本人が容易に知り得る状態
本人が知ろうとすれば、時間的にも、その手段においても、容易に知ることができる状態に置くことをいう。具体的には、ホームページへの掲載をすること、店舗・事務所等に掲示あるいは備え付けすること、新聞・雑誌等に掲載すること等による公表が継続的に行われていること、当該事項を知るための方法をあらかじめ通知しておくこと等が挙げられる。
(15)本人が知り得る状態
問合せ窓口を設けるなど、本人の求めに応じて遅滞なく回答を行うこと等、本人が知ろうとすれば、知ることができる状態に置くことをいう。
第3条 本規定は、従業者に適用する。
2.本規定は、当社が現に保有している個人情報(その取扱いを委託されている個人情報を含む。)、及びその取扱いを委託している個人情報を対象とする。
第4条 当社における個人情報の適法かつ適正な取扱いを確保するため、次の事項を含む個人情報保護方針を定める。
2.個人情報保護方針は、従業者に周知せしめるとともに、ホームページに掲載する等の措置を講じるものとする。
3.個人情報保護方針は、社外に対して、プライバシーポリシーと称することができる。
第5条 当社は、個人情報の取扱いに関して総括的な責任を有する個人情報保護管理者を設置する。
2.個人情報保護管理者は、個人情報管理に関する監査を除き、下記各号その他当社における個人情報管理に関する全ての職責と権限を有する。
3.個人情報保護管理者は、監査責任者(ISMS監査責任者と兼任可)より監査報告を受け、逐次個人情報管理体制の改善を行う。
第6条 部門長は自らの部門に所属する従業者の個人情報の一切の取扱いにつき、責任を有するものとする。
2.本規定に基づき個人情報の取扱いを管理する上で必要とされる細則の策定
3.部門長は本規定に従い、自らの部門に存在する個人情報の所在、内容、利用者、規模等を把握し、個人情報の適正な取扱いを維持・管理しなければならない。
4.部門長は、自らの部門において個人情報の漏洩等の事故または違反の発生またはその疑いが生じた場合は、直ちにその旨個人情報保護管理者に報告し、指示を求めなければならない。
第7条 第4章に定める個人情報の基本的取扱いに関しては、各部門長がその適否を判断し、例外的取扱いに関しては、個人情報保護管理者にその適否の判断を求めるものとする。
第8条 監査責任者は、代表取締役が任命し、当社内の個人情報を取扱う業務において、本規定及び第6条第2項に定める個人情報取扱細則が遵守され、個人情報の取扱いが適法かつ適切に行われているかについて、公平かつ客観的な立場で調査・確認・評価(以下「個人情報の取扱いに関する監査」という)する責務を負い、その結果を個人情報保護管理者に報告する義務を負う。
2.監査責任者は、個人情報の取扱いに関する監査に必要な調査権限を有する。
3.監査責任者は、個人情報の取扱いに関する監査に必要な監査担当者を選任することができる。
第9条 個人情報保護管理者ならびに指名を受けた責任者は、個人情報の適正な取扱いを維持・推進するため、定期に教育・訓練計画を策定する。
2.監査責任者は、定期に個人情報の取扱いに関する監査の計画を策定する。
第10条 個人情報は、本規定に従い適切に分類・管理し、その重要度に応じて適切に取得、移送、利用、保管、廃棄されなければならない。
第11条 当社は、個人情報の利用目的をできる限り特定する。
2.個人情報は、あらかじめ本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて取扱ってはならない。利用目的の範囲内か否かが不明な場合は、都度、個人情報保護管理者に判断を求めなければならない。
3.利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると認められる範囲を超えて行ってはならず、変更された利用目的は遅滞なく本人に通知または公表しなければならない。
第12条 個人情報は、偽りその他不正の手段により取得してはならない。
第13条 原則として、下記各号に示す内容を含む個人情報(以下、「センシティブ情報」という)は、これを取得し、または第三者に提供してはならない。但し、業務上必要であり、かつ、本人に対し当該情報の利用目的及びその必要性等について適切な情報を明示した上で明確に本人の同意を得た場合、または法令に特別の規定がある場合、あるいは司法手続上必要不可欠な場合はこの限りでない。
2.センシティブ情報を業務上取り扱う場合には、個人情報保護方針またはそれに準ずる方針にて、公開の手段で表明された利用目的に、その使途を限定表記すると共に、第11条に定める手続きとは別枠にて、本人同意を事前に完了させなければならない。
第14条 申込書・アンケート・契約書等、書面(電子メール、自社ホームページへの記入等電磁的方法も含む)により本人から直接個人情報を取得する場合は、本人に対してあらかじめ利用目的を明示しなければならない。但し、下記各号に該当する場合はこの限りでない。
第15条 本人以外の第三者から個人情報を取得する場合は、当該個人情報が当該第三者において適法、適正に取得されたものでなければならず、かつ、当該第三者において、当社への個人情報の提供につき、適法な措置が講じられていなければならない。
第16条 個人データは、利用目的の達成に必要な範囲内において、正確かつ最新の内容に保つよう努めなければならない。
第16条の2 当社では、個人情報を、違法又は不当な行為を助長し、又は誘発するおそれがある方法では利用しないものとする。
第17条 個人情報保護管理者は、当社の全ての「個人データ」の種類・内容・保管場所等を記載(データベースへの入力を含む)した台帳を作成しなければならない。なお、当該台帳は当社ISMS体制における情報資産台帳の中に包含するものとする。
2.個人情報保護管理者は、前項の台帳を定期に見直し、最新の状態を維持するよう努めなければならない。
3.部門長は、自らの部門における「個人データ」の種類・内容・保管場所等を、個人情報保護管理者の求めに応じ、定期に報告しなければならない。また、部門長は自らの部門における「保有個人データ」の種類・内容・保管場所等を変更する場合には、事前に個人情報保護管理者に報告し、承認を得なければならない。
第18条 当社においては、取扱う個人情報の漏洩、滅失または毀損の防止その他の安全管理のために、人的、物理的、技術的に適切な措置を講じるものとする。
2.各部門においては、下記各号に従って適切に個人情報を取り扱わなければならない。
3.尚、当該個人情報は、当社ISMS体制における最高分類の機密情報としての管理を義務付ける。
第18条の2 当社においては、その取り扱う個人データの漏洩、滅失、既存その他の個人データの安全の確保に係る事態であって個人の権利利益を侵害する恐れが大きいものとして個人情報保護委員会規則で定める事態が生じた場合(不正に利用されることにより財産的損害が生じる恐れがある個人データの漏洩や、
個人データに係る本人の数が1000人を越える漏洩等が生じた場合など)には、速やかに個人情報保護委員会への届出を行う。
2.前項の場合には、個人情報保護委員会規則で定めるところにより、本人にも、上記事態が生じた旨を報告しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3.部門長は、自らの部門において前項の事態が生じた場合又はその疑いが生じた場合には、直ちにその旨個人情報保護管理者に報告し、指示を求めなければならない。
第19条 個人情報保護管理者は、従業者が個人データを取扱うにあたり、必要かつ適切な監督を行わなければならない。
2.部門長は、自らの部門に属する従業者に対し、個人データの取扱いに関して必要かつ適切な監督を行わなければならない。
3.個人情報保護管理者は、従業者に対して個人情報の保護及び適正な取扱いに関する誓約書の提出を命じることができる。
第20条 従業者に対する個人情報の保護及び適正な取扱いに関する教育方針は、個人情報保護管理者が決定する。
2.従業者教育は、当社ISMSの教育体制に組み入れる。
第21条 部門長は、個人データの取扱いの全部または一部を委託する場合(労働者派遣契約または業務委託等契約により派遣労働者を受け入れる場合を含む)は、その取扱いを委託した個人データの安全管理が図られるよう、委託を受けた者(以下「委託先」という)に対する必要かつ適切な監督を行わなければならない。
2.前項の委託を行う部門長は、委託先に対して下記各号の事項を実施しなければならない。
第22条 あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。但し、下記各号に該当する場合、本人の同意なく第三者提供ができる。
2.第三者提供もしくは共同利用する場合、個人情報保護管理者の承認を得ること。
3.派遣社員に関する雇用管理において派遣先からさらに第三者へ個人データを提供する必要が生じた場合には、本規定第21条第2項(2)に網羅した契約書を交わすことを派遣先との間で協議することとする。
4.当社では、個人関連情報(生存する個人の関する情報であって個人情報、仮名加工情報等に該当しないもの。例:インターネットの閲覧履歴や位置情報など)を第三者に提供する場合であっても、提供先で個人を識別することが出来る個人データとして取得することが想定されるときは、法令に定める例外事由に該当しない限り、 提供先が本人からの同意を事前に得ているか確認するものとし、かかる確認を得れない場合には、当該第三者に個人関連情報を提供してはならない。
第23条 当社は、当該本人が識別される「保有個人データ」の開示(保有の有無を含む。個人データを第三者に提供する際又は個人データを第三者から受領する際に作成された記録及び第2条⑷Ⅴに定める情報を含む)請求には、本人のプライバシー保護のため、本人(代理人を含み、以下本条及び次条において本人という)から開示等請求窓口に対し、当社個人情報保護方針に定めた手続きにより請求があった場合にのみ応じるものとする。
2.前項により本人による開示請求であることを確認した場合は、原則として本人が指定した方法により、遅滞なく当該「保有個人データ」を開示するものとする。ただし、本人が指定した方法による開示が困難である場合はこの限りではない。
3.前項にかかわらず、開示することにより次の各号のいずれかに該当する場合は、個人情報保護管理者の決定により、その全部または一部を開示しないことができる。
4.前項の定めに基づき「保有個人データ」の全部または一部を開示しない旨の決定をしたときは、遅滞なく、本人に対しその旨通知するものとする。この場合、その理由を説明するよう努めなければならない。
5.本人に対し「保有個人データ」を開示する場合には、手数料を請求できるものとする。この手数料は、実費を勘案して、合理的な範囲で個人情報保護管理者が定めるものとする。
第24条 本人から、当該本人が識別される「保有個人データ」の内容が事実でないという理由によって、当該「保有個人データ」の訂正、追加または削除(以下「訂正等」という)を求められた場合には、遅滞なく必要な調査を行い、その結果に基づき当該「保有個人データ」の内容の訂正等を行うものとする。但し、以下の場合には訂正等の求めに応じないことができる。
2.当該本人が識別される「保有個人データ」の訂正等の請求に対しては、本人のプライバシー保護のため、本人から訂正等請求窓口に対し、原則として本人確認書類を添付した当社所定の書式により請求があった場にのみ応じるものとする。
3.前条第2項により、「保有個人データ」の訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なくその旨(訂正等を行ったときはその内容を含む)を通知するものとする。
4.訂正等の求めに応じない場合は、その理由を説明するよう努めなければならない。
5.本人は、個人情報保護法16条の2に定める不適正な利用禁止違反が認められる場合、又は本人の権利又は正当な利益が害される恐れがある場合にも、本条第1項の請求をすることが出来る。
第25条 本人から、利用停止の申し入れが行われた場合には当社は遅滞なくこれに対応する。 その際、保有している個人情報等についてはデータの削除を行うとともに、本人からの求めがあった場合には必要に応じて返却する。
2.前条の規定にかかわらず、法令に基づき保有している個人情報については、当該措置を講じないことができる。
第26条 個人情報の取扱いに関する苦情の窓口業務は、お問い合わせ窓口(総務課)が担当し、必要に応じて各部門長が対応するものとする。各部門長は適宜、個人情報保護管理者に苦情の内容を報告するものとする。
2.個人情報保護管理者は、前項の目的を達成するために必要な体制の整備を行う。
第27条 監査責任者は、当社における個人情報の取扱いが法令、本規定、ISMS内部監査規程その他の規範と合致していることを定期に監査する。
2.監査責任者は、監査を指揮し、個人情報の取扱いに関する監査報告書を作成し(当社ISMS内部監査と包含することができる)、代表取締役及び個人情報保護管理者に報告するものとする。
第28条 個人情報保護管理者は、前条の監査結果に照らし、必要に応じて個人情報の取扱いに関する安全対策、諸施策を見直し、改善しなければならない。
第29条 個人情報保護管理者は、個人データの漏洩の事実または漏洩のおそれを把握した場合には、直ちに所管官庁に報告しなければならない。
第30条 当社は、本規定に違反した従業員に対して就業規則に基づき処分を行い、その他の従業者に対しては、契約または法令に照らして決定する。
第31条 本規定の改廃は、情報セキュリティ委員会において行うものとする。
附 則
第1条 本規定は、平成25年11月1日より実施する。
改定 令和4年4月1日
以 上