- (個人情報の特定)
- 第6条
- 当社は、自らの事業の用に供するすべての個人情報を特定するための手順を確立し、かつ、維持しなければならない。
- (法令、国が定める指針その他の規範)
- 第7条
当社は、個人情報の取扱いに関する法令、国が定める指針、一般社団法人日本マーケティング・リサーチ協会が定める「マーケティング・リサーチ綱領」、その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない。
- (リスクなどの認識、分析及び対策)
- 第8条
- 当社は、第6条によって特定した個人情報について、目的外利用を行わないため、必要な対策を講じる手段を確立し、かつ、維持しなければならない。
- 2. 当社は、第6条によって特定した個人情報について、その取扱いの各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、
国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、
必要な手段を講じる手順を確立し、かつ、維持しなければならない。
- (資源、役割、責任及び権限)
- 第9条
- 代表取締役社長は、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、改善するために不可欠な資源を用意しなければならない。
- 2. 代表取締役社長は、個人情報保護マネジメントシステムを効果的に実施するために役割、責任及び権限を定
め、文書化し、かつ、従業者に周知しなければならない。
- 3. 代表取締役社長は、本規程の内容を理解し実践する能力のある個人情報保護管理者を当社の内部の者から指名し、個人情報保護マネジメントシステムの実施
及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせなければならない。
- 4. 個人情報保護管理者は、個人情報保護マネジメントシステムの見直し及び改善の基礎として、期末までに個人情報マネジメントシステムの年間の運用状況を
代表取締役社長に報告しなければならない。
- 5. 代表取締役社長は、代表取締役社長が不在の時に、本社に常勤する専務取締役へ個人情報保護マネジメントシステムに係る代表取締役社長の権限を委任する。
- (内部規程)
- 第10条
- 当社は、次の事項を含む内部規程を文書化し、かつ、維持しなければならない。
- (1) 個人情報を特定する手順に関する規定
- (2) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
- (3) 個人情報に関するリスクの認識、分析及び対策の手順に関する規定
- (4) 当社の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
- (5) 緊急事態(個人情報が漏えい、滅失又はき損をした場合)への準備及び対応に関する規定
- (6) 個人情報の取得、利用及び提供に関する規定
- (7) 個人情報の適正管理に関する規定
- (8) 本人からの開示等の求めへの対応に関する規定
- (9) 教育に関する規定
- (10)個人情報保護マネジメントシステム文書の管理に関する規定
- (11)苦情及び相談への対応に関する規定
- (12)点検に関する規定
- (13)是正処置及び予防処置に関する規定
- (14)代表取締役社長による見直しに関する規定
- (15)内部規程の違反に関する罰則の規定
- 2. 当社は、事業の内容に応じて、個人情報保護マネジメントシステムが確実に適用されるように内部規程を改定しなければならない。
- (計画書)
- 第10条
- 当社は、個人情報保護マネジメントシステムを確実に実施するために必要な教育、監査などの計画を少なくとも1年に1回は立案し、
文書化し、かつ、維持しなければならない。
- (緊急事態への準備)
- 第12条
- 当社は、緊急事態を特定するための手順、又、それらにどのように対応するのかの手順を確立し、実施し、かつ、維持しなければならない。
- 2. 当社は、個人情報が漏えい、滅失又はき損をした場合に想定される経済的な不利益及び社会的信用の失墜、本人への影響などのおそれを考慮し、
その影響を最小限とするための手順を確立し、かつ、維持しなければならない。
- 3. 当社は、個人情報の漏えい、滅失又はき損が発生した場合に備え、次の事項を含む対応手順を確立し、かつ、維持しなければならない。
- (1) 当該漏えい、滅失又はき損が発生した個人情報の内容を本人に速やかに通知し、又は本人が容易に知り得る状態に置くこと。
- (2) 二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因及び対応策を、遅滞なく公表すること。
- (3) 事実関係、発生原因及び対応策を一般社団法人日本マーケティング・リサーチ協会を含む関係機関に直ちに報告すること。
第7章 実施及び運用
- (運用手順)
- 第13条
- 当社は、個人情報保護マネジメントシステムを確実に実施するために、運用の手順を明確にしなければならない。
第8章 取得、利用及び提供に関する原則
- (利用目的の特定)
- 第14条
- 当社は、個人情報を取得するにあたっては、その利用目的をできる限り特定し、その目的の達成に必要な限度において行わなければならない。
- (適正な取得)
- 第15条
- 当社は、適法、かつ、公正な手段によって個人情報を取得しなければならない。
- (特定の機微な個人情報の取得、利用及び提供の制限)
- 第16条
- 当社は、次に示す内容を含む個人情報の取得、利用または提供は行ってはならない。ただし、これらの取得、利用または提供について明示的な本人の同意がある場合及び第20条第2項のただし書き(1)~(4)のいずれかに該当する場合は、この限りではない。
- (1) 思想、信条又は宗教に関する事項
- (2) 人種、民族、門地、本籍地(所在都道府県に関する情報を除く)、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
- (3) 勤労者の団結権、団体交渉その他団体行動の行為に関する事項
- (4) 集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項
- 2. 第16条~第22条、第27条、第30条、第31条、第33条のただし書きの適用は、「ただし書き適用申請書」を用いて個人情報保護管理者の承認を得て
行うものとする。ただし、人の生命、身体または財産の保護のために緊急に必要がある場合は、事後承認でも可とする。
- 3. 事業所責任者は、明示的な同意を得るための書面「個人情報の取得、利用について」を作成し、その内容について、個人情報保護管理者の承認を得て
本人に郵送するものとする。
- (本人から直接書面によって取得する場合の措置)
- 第17条
- 当社は、本人から、書面(電子的方式、磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下同じ。)に記載された個人情報を
直接に取得する場合には、取得する手段ごとに手順を定め、少なくとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって
本人に明示し、本人の同意を得なければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合、第19条のただし書き
(1)~(4)のいずれかに該当する場合、及び第20条第2項のただし書き(1)~(4)のいずれかに該当する場合は、この限りではない。
- (1) 当社の名称
- (2) 個人情報保護管理者(もしくはその代理人)の氏名又は職名、所属及び連絡先
- (3) 利用目的
- (4) 個人情報を第三者に提供することが予定される場合の事項
- ①第三者に提供する目的
- ②提供する個人情報の項目
- ③提供の手段又は方法
- ④当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
- ⑤個人情報の取扱いに関する契約がある場合はその旨
- (5) 個人情報の取扱いの委託を行うことが予定される場合には、その旨
- (6) 第30条~第33条に該当する場合には、その求めに応じる旨及び問合せ窓口
- (7) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
- (8) 本人が容易に認識できない方法によって個人情報を取得する場合には、その旨
- 2. 取得においての手順は以下の通りとする。
- ・手渡しで個人情報を受け取る場合は、その場で上記(1)~(8)と同等又はそれ以上の内容を明示した同意書面を手渡し、同意署名をしてもらうこと。
- ・郵送で個人情報を受け取る場合は、あらかじめ上記(1)~(8)と同等又はそれ以上の内容を明示した同意書面を手渡しもしくは郵送し、同意署名を記入の上で
個人情報と同封し送付してもらうこと。あらかじめ渡すことができない場合は、取得直後速やかに明示・同意書面を郵送し、同意署名の上返送してもらうこと。
- (本人にアクセスし、本人から直接、第17条以外の方法によって個人情報を取得する場合の措置)
- 第18条
- 当社は、本人にアクセスした上で、本人から、口頭又は録画・録音など、第17条以外の方法によって個人情報を直接に取得する場合には、取得する手段ごとに手順を定め、少なくとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面又はそれに代わる方法によって本人に通知し、本人の同意を得なければ
ならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合、第19条のただし書き(1)~(4)のいずれかに該当する場合、及び第20条第2項のただし書き(1)~(4)のいずれかに該当する場合は、この限りではない。
- (1) 当社の名称
- (2) 利用目的
- (3) 個人情報を第三者に提供することが予定される場合には、その旨
- (4) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
- (5)本人が容易に認識できない方法によって個人情報を取得する場合はその旨
- 2. 当社は、本人にアクセスした上で、本人から、口頭又は録画・録音など、第17条以外の方法によって個人情報を直接に取得した場合には、あらかじめ
少なくとも、第17条の(1)~(8)に示す事項又はそれと同等以上の内容の事項を公表している場合を除き、速やかに、少なくとも、第17条の(1)~(8)
に示す事項又はそれと同等以上の内容の事項を本人に通知し、又は公表しなければならない。ただし、第19条のただし書き(1)~(4)のいずれかに該当する
場合は、この限りではない。
- 3. 取得においての手順は以下の通りとする。
- ・本人にアクセスし、本人から口頭で個人情報を取得する場合は、その場で上記(1)~(5)と同等又は第17条(1)~(8)もしくはそれ以上の内容を明示した同意書面を
手渡し、同意署名をしてもらうこと。
- ・本人にアクセスし、本人から録画・録音で個人情報を取得する場合は、その場で上記(1)~(5)と同等又は第17条(1)~(8)もしくはそれ以上の内容を明示した
同意書面を手渡し、同意署名をしてもらうこと。
- (個人情報を第17条および第18条以外の方法によって取得した場合の措置)
- 第19条
- 当社は、個人情報を第17条および第18条以外の方法によって取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に
通知し、又は公表しなければならない。ただし、次に示すいずれかに該当する場合は、この限りではない。
- 技術面及び組織面において合理的な安全対策を講ずるものとする。
- (1) 利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- (2) 利用目的を本人に通知し、又は公表することによって当社の権利又は正当な利益を害するおそれがある場合
- (3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、
又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき
- (4) 取得の状況からみて利用目的が明らかであると認められる場合
- 2. 事業所責任者は、利用目的を公表するための書面「個人情報の利用目的について」を作成し、その内容について、個人情報保護管理者の承認を得て、
ウェブに掲載するものとする。
- (利用に関する措置)
- 第20条
- 当社は、特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならない。
- 2. 特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、少なくとも、第17条(1)~(6)に示す事項又は
それと同等以上の内容の事項を本人に通知し、本人の同意を得なければならない。ただし、次に示すいずれかに該当する場合は、この限りではない。
- (1) 法令に基づく場合
- (2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- (3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- (4) 国の機関もしくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を
得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
- 3. 事業所責任者は、利用目的の変更を依頼するための書面「個人情報の利用目的の変更について」を作成し、その内容について、個人情報保護管理者の
承認を得て、本人に郵送するものとする。
- 4. 個人情報の利用が目的外利用に該当するかどうか判断に迷う場合、個人情報保護管理者の判断を求めなけらばならない。
- (本人にアクセスする場合の措置)
- 第21条
- 当社は、個人情報を利用して本人にアクセスする場合には、本人に対して、第17条(1)~(6)に示す事項又はそれと同等以上の内容の事項、
及び取得方法を通知し、本人の同意を得なければならない。ただし、次に示すいずれかに該当する場合は、この限りではない。
- (1) 第17条(1)~(6)に示す事項又はそれと同等以上の内容の事項を明示または通知し、すでに本人の同意を得ているとき
- (2) 個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報を、その利用目的の達成に必要な範囲内で取り扱うとき
- (3) 合併その他の事由による事業の承継に伴って個人情報が提供され、個人情報を提供する事業者が、すでに第17条(1)~(6)に示す事項又は
それと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき
- (4) 個人情報が特定の者との間で共同して利用され、共同利用者が、すでに第17条(1)~(6)に示す事項又はそれと同等以上の内容の事項を明示又は
通知し、本人の同意を得ている場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に
置いているとき
- ①共同して利用すること
- ②共同して利用される個人情報の項目
- ③共同して利用する者の範囲
- ④共同して利用する者の利用目的
- ⑤共同して利用する個人情報の管理について責任を有する者の氏名又は名称
- ⑥取得方法
- (5) 第19条のただし書き(4)に該当するため、利用目的などを本人に明示、通知又は公表することなく取得した個人情報を利用して、本人にアクセスするとき
- (6) 第20条第2項のただし書き(1)~(4)のいずれかに該当する場合
- 2. 事業所責任者は、アクセス時に通知する内容の書面「アクセス時の通知内容」を作成し、その内容について、個人情報保護管理者の承認を得て、
「アクセス時の通知内容」記載の方法で本人に通知し、同意を得るものとする。
- (提供に関する措置)
- 第22条
- (1) 第17条、第18条または第21条の規定によって、すでに第17条の(1)~(4)の事項またはそれと同等以上の内容の事項を本人に明示または通知し、
本人の同意を得ているとき。
- (2) 大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難な場合であって、次に示す事項またはそれと同等以上の内容の事項を、
あらかじめ、本人に通知し、またはそれに代わる同等の措置を講じているとき。
- ①第三者への提供を利用目的とすること
- ②第三者に提供される個人情報の項目
- ③第三者への提供の手段または方法
- ④本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること
- ⑤取得方法
- (3) 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であって、かつ、法令に基づきまたは本人もしくは
当該法人その他の団体自らによって公開または公表された情報を提供する場合であって、(2)で示す事項またはそれと同等以上の内容の事項を、
あらかじめ、本人に通知し、または本人が容易に知り得る状態に置いているとき。
- (4) 特定した利用目的の達成に必要な範囲内において、個人情報の取り扱いの全部または一部を委託するとき。
- (5) 合併その他の事由による事業の承継に伴って個人情報を提供する場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき。
- (6) 個人情報を特定の者との間で共同して利用する場合であって、次に示す事項またはそれと同等以上の内容の事項を、あらかじめ、本人に通知し、
または本人が容易に知り得る状態に置いているとき。
- ①共同して利用すること
- ②共同して利用される個人情報の項目
- ③共同して利用する者の範囲
- ④共同して利用する者の利用目的
- ⑤共同して利用する個人情報の管理について責任を有する者の氏名または名称
- ⑥取得方法
- (7) 第20条第2項のただし書き(1)~(4)のいずれかに該当する場合。
- 2. 事業所責任者は、第三者への提供に関して本人に通知する内容の書面「個人情報の提供について」を作成し、その内容について、個人情報保護管理者の
承認を得て、本人に通知(郵送または電子メールまたは電話)し、同意を得るものとする。
第9章 適正範囲
- (正確性の確保)
- 第23条
- 当社は、利用目的の達成に必要な範囲内において、個人情報を、正確、かつ、最新の状態で管理しなければならない。
電子データ化する際には、入力後、
誤入力がないかを目視確認すること。
- (安全管理措置)
- 第24条
- 当社は、個人情報の取扱いの全部または一部を委託する場合は、十分な個人情報の保護水準を満たしている者を選定しなければならない。このため、当社は、委託を受ける者を選定する基準を確立しなければならない。
- (従業者の監督)
- 第25条
- 当社は、その従業者に個人情報を取り扱わせるにあたっては、当該個人情報の安全管理が図られるよう、当該従業者に対し必要、かつ、適切な監督を
行わなければならない。
- (委託先の監督)
- 第26条
- 当社は、個人情報の取扱いの全部または一部を委託する場合は、十分な個人情報の保護水準を満たしている者を選定しなければならない。このため、当社は、委託を受ける者を選定する基準を確立しなければならない。
- 2. 当社は、個人情報の取扱いの全部又は一部を委託する場合は、委託する個人情報の安全管理が図られるよう、委託を受けた者に対する必要、かつ、
適切な監督を行わなければならない。
- 3. 当社は、次に示す事項を契約によって規定し、十分な個人情報の保護水準を担保しなければならない。
- (1) 委託者及び受託者の責任の明確化
- (2) 個人情報の安全管理に関する事項
- (3) 再委託に関する事項
- (4) 個人情報の取扱い状況に関する委託者への報告の内容及び頻度
- (5) 契約内容が遵守されていることを委託者が確認できる状況
- (6) 契約内容が遵守されなかった場合の措置
- (7) 事件・事故が発生した場合の報告・連絡に関する事項
- 4. 当社は、当該契約書などの書面を、少なくとも個人情報の保有期間にわたって保管しなければならない。
第10章 個人情報に関する本人の権利
- (個人情報に関する権利)
- 第27条
- 当社は、電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理、分類し、目次、索引、符号などを付すこと
によって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であって、当社が、本人から求められる開示、内容の訂正、
追加又は削除、利用の停止、消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの(以下、第10章において「開示対象個人情報」
という。)に関して、本人から利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止(以下「開示等」という。)を
求められた場合は、第30条~第33条の規定によって、遅滞なくこれに応じなければならない。ただし、次のいずれかに該当する場合は、開示対象個人情報ではない。
- (1) 当該個人情報の存否が明らかになることによって、本人又は第三者の生命、身体または財産に危害が及ぶおそれのあるもの
- (2) 当該個人情報の存否が明らかになることによって、違法又は不当な行為を助長し、又は誘発するおそれのあるもの
- (3)当該個人情報の存否が明らかになることによって、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれ、又は他国もしくは
国際機関との交渉上不利益を被るおそれのあるもの
- (4) 当該個人情報の存否が明らかになることによって、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序維持に支障が及ぶおそれのあるもの
- (開示等の求めに応じる手続)
- 第28条
- (1) 開示等の求めの申し出先
- (2) 開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式
- (3) 開示等の求めをする者が、本人又は代理人であることの確認の方法
- (4) 第30条又は第31条による場合の手数料(定めた場合に限る。)の徴収方法
- 2. 当社は、本人からの開示等の求めに応じる手続を定めるにあたっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
- 3. 当社は、第30条又は第31条によって本人からの求めに応じる場合に、手数料を徴収するときは、実費を勘案して合理的であると認められる範囲内において、
その額を定めなければならない。
- (開示対象個人情報に関する事項の周知など)
- 第29条
- 当社は、取得した個人情報が開示対象個人情報に該当する場合は、当該開示対象個人情報に関し、次の事項を本人の知り得る状態(本人の求めに応じて遅滞なく
回答する場合を含む。)に置かなければならない。
- (1) 当社の名称
- (2) 個人情報保護管理者(もしくはその代理人)の氏名または職名、所属及び連絡先
- (3) すべての開示対象個人情報の利用目的(第19条のただし書き(1)~(3)までに該当する場合を除く)
- (4) 開示対象個人情報の取扱いに関する苦情の申し出先
- (5) 当社が個人情報の保護に関する法律(平成15年法律第57号)第37条第1項の認定を受けた者(以下「認定個人情報保護団体」という。)の対象事業者である
場合には、当該認定個人情報保護団体の名称及び苦情の解決の申し出先
- (6) 第28条によって定めた手続
- 2. 当社は、上記の事項をホームページで公表するものとする。
- (開示対象個人情報の利用目的の通知)
- 第30条
- 当社は、本人から、当該本人が識別される開示対象個人情報について、利用目的の通知を求められた場合には、遅滞なくこれに応じなければならない。ただし、第19条のただし書き(1)~(3)のいずれかに該当する場合、又は第29条(3)によって当該本人が識別される開示対象個人情報の利用目的が明らかな場合は利用目的の通知を必要としないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明しなければならない。
- 2. 第30条~第33条に基づく本人への回答(応じられない場合を含む)については、個人情報相談窓口責任者が「開示等回答書」を作成し、個人情報保護管理者の承認を得て書留郵便で本人に送付する。なお、個人情報相談窓口責任者は、送付する「開示等回答書」の写しを2年間保管し、その後シュレッダーで廃棄するものとする。
- (開示対象個人情報の開示)
- 第31条
- 当社は、本人から、当該本人が識別される開示対象個人情報の開示(当該本人が識別される開示対象個人情報が存在しないときにその旨を知らせることを含む。)を求められたときは、法令の規定によって特別の手続が定められている場合を除き、本人に対し、遅滞なく、当該開示対象個人情報を書面(開示の求めを行った者が同意した方法があるときは、当該方法)によって開示しなければならない。ただし、開示することによって次の(1)~(3)のいずれかに該当する場合は、その全部又は一部を開示する必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明しなければならない。
- (1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- (2) 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- (3) 法令に違反することとなる場合
- (開示対象個人情報の訂正、追加又は削除)
- 第32条
- 当社は、本人から、当該本人が識別される開示対象個人情報の内容が事実でないという理由によって当該開示対象個人情報の訂正、追加又は削除(以下、この条において「訂正等」という。)を求められた場合は、法令の規定によって特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該開示対象個人情報の訂正等を行わなければならない。又、当社は、訂正等を行ったときは、その旨及びその内容を、本人に対し、遅滞なく通知し、訂正等を行わない旨の決定をしたときは、その旨及びその理由を、本人に対し、遅滞なく通知しなければならない。
- (開示対象個人情報の利用又は提供の拒否権)
- 第33条
- 当社は、本人から当該本人が識別される開示対象個人情報の利用の停止、消去又は第三者への提供の停止(以下、この条において「利用停止等」という。)を求められた場合は、これに応じなければならない。又、措置を講じた後は、遅滞なくその旨を本人に通知しなければならない。ただし、第31条のただし書き(1)~(3)のいずれかに該当する場合は、利用停止等を行う必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明しなければならない。
第11章 教育
- (教育)
- 第34条
- 当社は、従業者に、定期的に適切な教育を行わなければならない。当社は、従業者に、関連する各部門及び階層における次の事項を理解させる手順を確立し、かつ、維持しなければならない。
- (1) 個人情報保護マネジメントシステムに適合することの重要性及び利点
- (2) 個人情報保護マネジメントシステムに適合するための役割及び責任
- (3) 個人情報保護マネジメントシステムに違反した際に予想される結果
- 2. 当社は、教育の計画及び実施、結果の報告及びそのレビュー、計画の見直しならびにこれらに伴う記録の保持に関する責任及び権限を定める手順を確立し、
実施し、かつ、維持しなければならない。
第12章 個人情報保護マネジメントシステム文書
- (文書の範囲)
- 第35条
- 当社は、次の個人情報保護マネジメントシステムの基本となる要素を書面で記述しなければならない。
- (1) 個人情報保護方針
- (2) 内部規程
- (3) 計画書
- (4) JMRAガイドラインが要求する記録及び当社が個人情報保護マネジメントシステムを実施する上で必要と判断した記録
- (文書管理)
- 第36条
- 当社は、JMRAガイドラインが要求するすべての文書(記録を除く。)を管理する手順を確立し、実施し、かつ、維持しなければならない。
- 2. 文書管理の手順には、次の事項が含まれなければならない。
- (1) 文書の発行及び改定に関すること
- (2) 文書の改定の内容と版数との関連付けを明確にすること
- (3) 必要な文書が必要なときに容易に参照できること
- (記録の管理)
- 第37条
- 当社は、個人情報保護マネジメントシステム及びJMRAガイドラインの要求事項への適合を実証するために必要な記録を作成し、かつ、維持しなければならない。
- 2. 当社は、記録の管理についての手順を確立し、実証し、かつ、維持しなければならない。
第13章 苦情及び相談
- (苦情及び相談への対応)
- 第38条
- 当社は、個人情報の取扱い及び個人情報保護マネジメントシステムに関して、本人からの苦情及び相談を受け付けて、適切、かつ、迅速な対応を行う手段を確立し、かつ、維持しなければならない。
- 本人からの個人情報の取扱い及び個人情報保護マネジメントシステムに関しての苦情及び相談は基本的に社員が受け付け、以下の手順で対応することとする。ただし、社員が不在等の場合は例外的に内勤が受け付けることもあるが、受け付けのみとし、以降の対応は社員が行うこと。
- ① 【苦情-1】苦情・問合せ受付シートを使用し、苦情・問い合わせ内容を確認する。
ただし、苦情・相談が個人情報の滅失・漏えい・き損等の緊急事態に該当またはその恐れがある場合は「個人情報相談窓口責任者」もしくは「個人情報保護管理者」が対応し、【苦情-2】トラブル連絡シートを用いて速やかに個人情報保護管理者および代表者に報告すること。
また、緊急事態においては「個人情報事故対応マニュアル」に則り、本人に対する不利益と当社における損害を最小限に抑える手順を速やかにとること。
- ② 個人情報の紛失、漏えい、盗難等の重大な過失の場合や、正当な手続きを踏まない個人情報の取得、個人情報の不正利用、意図的に個人情報提供者の権利について説明を怠ったといった重要な問題については、その場で独自判断の回答をせず、謝罪をした後、改めて責任者から当社の回答を提示する旨を伝え、トラブル連絡シートを用いて速やかに個人情報保護管理者に報告し、「緊急対策委員会」を招集すること。
- ③ 「緊急対策委員会」で事実関係を基に対応を協議の上、個人情報相談窓口責任者は「苦情・相談回答書」に回答内容を記載し、個人情報保護管理者の承認を得て、コピーを残した上で本人に郵送するものとする。
本人が回答内容を受け入れたら、その対応策を実施する。
また同時に予防措置を検討し、社員・調査員等の従業者へ説明、事実関係の内容によりPMSの見直しを図ること。
- ④ 「緊急対策委員会」委員長(個人情報保護管理者)は、事故発生後1ヶ月以内に【苦情-3.1、3.2】の様式を用いて事故報告書を作成し、苦情及び相談内容、対応結果を代表取締役社長に報告すること。
- ⑤ 個人情報相談窓口責任者は、代表者によるPMS見直しのインプットとして、年1回3月に、過去1年の苦情・相談に関する内容や対応についての総括的な報告を「トラブル連絡シート」を用いて行うものとする。
- 2. 当社は、苦情及び相談を受け付ける窓口を常設し、その連絡先を公表するなど、前項の目的を達成するために必要な体制の整備を行わなければならない。
第14章 点検
第15章 是正処置及び予防処置
- (是正処置及び予防処置)
- 第41条
- 当社は、不適合に対する是正処置及び予防処置を確実に実施するための責任及び権限を定める手順を確立し、実施し、かつ、維持しなければならない。
その手順には、次の事項を含めなければならない。
- (1) 不適合の内容を確認する。
- (2) 不適合の原因を特定し、是正処置及び予防処置を立案する。
- (3) 期限を定め、立案された処置を実施する。
- (4) 実施された是正処置及び予防処置の結果を記録する。
- (5) 実施された是正処置及び予防処置の有効性をレビューする。
- 具体的手順は「是正及び予防処置の手順書」による。
第16章 代表取締役社長による見直し
- (代表取締役社長による見直し)
- 第42条
- 代表取締役社長は、個人情報の適切な保護を維持するために、定期的に個人情報保護マネジメントシステムを見直さなければならない。
- 2. 代表取締役社長による見直しにおいては、次の事項を考慮しなければならない。
- (1) 監査及び個人情報保護マネジメントシステムの運用状況に関する報告
- (2) 苦情を含む外部からの意見
- (3) 前回までの見直しの結果に対するフォローアップ
- (4) 個人情報の取り扱いに関する法令、国の定める指針その他の規範の改正状況
- (5) 社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
- (6) 当社の事業領域の変化
- (7) 内外から寄せられた改善のための提案
- 3. 代表取締役社長は、前項に基づき、期初に個人情報保護マネジメントシステムの見直しを書面により個人情報保護管理者に指示しなければならない。
- 4. 代表取締役社長は、期末に前項の指示の実施状況を、書面により作成しなければならない。
第17章 基本規程の改廃
- (基本規程の改廃)
- 第43条
- 本規程の改廃は、代表取締役社長の承認を得て行うものとする。
- [附則]
- 2005年12月20日 初版 制定
- 2008年 2月 1日 2.0版改訂 (JISQ15001:2006に準じたプライバシーマーク更新のため)
- 2010年 5月28日 2.1版改訂 (更新時における内容見直しのため)
- 2012年 3月30日 2.2版改訂 (更新時における内容見直しのため)
- 2016年 5月10日 2.3版改訂 (更新時における内容見直しのため)
- 2016年 7月7日 2.31版改訂 (更新時における内容見直しのため)
- 2016年 9月17日 2.32版改訂 (更新時における内容見直しのため)
- 2016年 10月15日 2.33版改訂 (更新時における内容見直しのため)
- 代表取締役社長 中山 正貴