個人情報の取り扱いについて

株式会社TODO
平成28年4月1日制定

第1章 総則

(目的)
第1条
株式会社TODO(以下「会社」という)が取り扱う個人情報の適切な保護のために必要な要件を定め、従業者が、その業務内容に応じた適切な個人情報保護を行うことを目的とする。

(定義)
第2条
本規程における用語の定義は、次の各号に定めるところによる。
(1)個人情報 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日 その他の記述等により、特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)をいう。
(2)個人データ 前号の個人情報のうち、個人情報データベース等を構成するもの。個人情報データベース等とは、特定の個人情報を、コンピュータ等を用いて検索できるように体系的に構成したもの及び紙面で処理した個人情報を一定の規則に従い整理・分類し、目次、索引、符号等を付し、他人によっても容易に検索可能な状態においているものをいう。
(3)保有個人データ 前号の個人データのうち、開示、訂正、利用停止等の権限を有するものであって、6カ月以内に消去(更新は除く)する予定のものを除いたもの(「個人情報の保護に関する法律施行令」第3条で、その存否が明らかになることにより公益その他の利益が害されるものとして規定され保有個人データの適用外になるものも除く。)
(4)本人 個人情報によって識別される特定の個人
(5)従業者 会社の組織内で個人情報の取扱いに従事する者(役員、社員、嘱託、契約社員、臨時従業員及び派遣労働者)
(6)個人情報保護体制 会社が保有する個人情報を保護するための方針、組織、計画及び見直しを含む社内の仕組みのすべて
(7)個人情報保護管理責任者 個人情報保護体制の実施及び運用に関する権限と責任を有する者

(適用範囲)
第3条
本規程は、前条第5号の従業者に対して適用する。
2.個人情報を取扱う業務を外部に委託する場合も、本規程の目的に従って、個人情報の適切な保護を図るものとする。

第2章 組織体制 (個人情報保護管理責任者)

第4条
会社の個人情報の保護と利用に関する総責任者として「個人情報保護管理責任者」を置く。個人情報保護管理責任者は、人事総務部長がその任に当たる。
2.個人情報保護管理責任者の役割は以下のとおりとする。
① 会社の個人情報の保護と利用に関する統括・管理
② 個人情報の安全管理に関する規定
③ 個人情報保護管理者からの報告徴収と助言・指導
④ 個人情報の安全管理に関する教育・研修の企画
⑤ その他会社全体における個人情報の安全管理に関すること(個人情報保護管理者)

第5条
各部署の所属長は、個人情報保護責任者となり、当該部署における個人情報の取扱いが適切に行われるよう努めなければならない。

(報告義務及び罰則)
第6条
個人情報保護体制に違反する事実または違反するおそれがあることを発見した者は、その旨を個人情報保護管理責任者に報告しなければならない。
2.個人情報保護管理責任者は、前項による報告の内容を調査し、違反の事実が判明した場合には、遅滞なく、関係部署に適切な措置を講じるよう指示する。また、当該違反が重要な事項の場合は、遅滞なく代表取締役社長に報告し、その指示に従わなければならない。
3.本規程に違反をした従業者の処分等は、就業規則等の定めるところによる。


第3章 個人情報の取扱い (利用目的の特定)

第7条
新規の業務において個人情報を取り扱う場合、または既存の業務においても新たな個人情報を取得する場合は、その利用目的を特定する。

 

(取得に際しての利用目的の通知等)
第8条
前条により特定した利用目的は、以下の方法により本人に通知等を行う。
(1)個人情報を本人から直接取得する場合は、申込書、契約書、アンケート用紙、入力フォームなどに明記または添付するなどして、あらかじめ利用目的を本人に明示する。
(2)個人情報を間接的に取得する場合は、利用目的を公表、または速やかに本人に通知する。
(3)利用目的を変更した場合は、変更された利用目的を本人に通知、または公表する。ただし、次の場合は、通知等の必要はない。
① 本人に通知または公表することにより、本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
② 本人に通知または公表することにより、会社の権利または正当な利益を害するおそれがある場合
③ 国の期間、地方公共団体が法令に定める実務を実施することに対し、会社が協力するために受け取った個人情報の利用目的を通知または公表することにより、当該事務の遂行に支障を及ぼすおそれがある場合
④ 個人情報を取得する状況から見て、利用目的が自明であると認められる場合

(利用目的による制限)
第9条
前第7条により特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。ただし、以下の場合を除く。
(1)本人から同意を得た場合
(2)下記に該当する場合
① 法令に基づく場合
② 人の生命、身体または財産の保護のために必要がある場合であって、本人が同意を得ることが困難であるとき
③ 公衆衛生の向上または児童の健全な育成の推進のため特に必要がある場合であって、本人の同意を得ることが困難であるとき
④ 国の機関もしくは地方公共団体またはその委託を受けた者が法令に定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

 (適切な取得)
第10条
個人情報の取得は、適法かつ公正な手段によって行うものとする。

(個人情報の共同利用)
第11条
個人情報を第三者との間で共同利用する場合は、事前に本人に通知し、又は本人が容易に知り得る状態にするものとする。

(個人情報の第三者提供の原則)
第12条
個人情報は、法令に特段の規定がある場合を除き、事前に本人の同意を得ることなく、第三者に提供してはならず、個人情報を第三者に提供する場合は、書面又はこれに準ずる方法によって通知し、本人の同意を得るものとする。


第4章 外部への委託

(個人情報の取扱いに関する契約)
第13条
個人情報の取扱いを外部に委託する場合には、事前に、個人情報の取扱いに関する契約を締結しなければならない。

(委託先に対する監督)
第14条
業務発注部門は委託先における個人情報の取扱い状況を調査の上、契約に違反し又は違反するおそれがないか監督しなければならない。
2.前項の調査・監督において、委託先が契約に違反し又は違反するおそれがあることを発見したときは、個人情報保護管理者は、直ちに個人情報保護管理責任者に報告するとともに、必要な措置を講じなければならない。


第5章 個人情報の管理 (個人情報の安全管理対策)

第15条
個人情報保護管理責任者は、個人情報に関するリスク(不正アクセス、紛失、盗難、破壊、改ざん、漏洩等)に対して、必要かつ適切な安全管理対策を講じなければならない。

(個人情報の秘密保持に関する従業者の責務)
第16条
個人情報の取得、利用、提供、委託処理等、個人情報を取扱う業務に従事する者は、法令、本規程若しくはその他社内規程または個人情報保護管理責任者の指示した事項に従い、個人情報の秘密保持に十分な注意を払い、その業務を行わなければならない。

 

(個人情報の管理の原則)
第17条
個人情報は、利用目的の達成に必要な範囲内において、正確かつ最新の状態で管理するよう努めるものとする。


第6章 本人からの要求等の対応

(自己情報に関する権利)
第18条
本人又はその代理人から、保有個人データの自己情報について開示を求められた場合は、法令に特段の規定がある場合を除き、合理的な期間内にこれに応じるものとする。
2.前項に基づく開示の結果、誤った情報があり、訂正又は削除を求められた場合は、法令に特段の規定がある場合を除き、合理的な期間内にこれに応じるものとする。

(自己情報の利用又は提供の拒否)
第19条
本人又はその代理人から、自己の保有個人データについて利用又は第三者への提供を拒否された場合は、法令に特段の規定がある場合を除き、これに応じるものとする。

(苦情及び相談)
第20条
本人又はその代理人から、個人情報に関する苦情や相談を受け付けた際は、他の業務に優先して対応する。


第7章 個人情報の消去・廃棄 (消去・廃棄の手続)

第21条
保存期間が満了し不要になった個人情報は、外部流出等の危険を防止するために、必要かつ適切な方法により消去又は廃棄しなければならない。

(附則)
第22条
この規則は、2016年 4 月から改定実施する。

2016 年 4 月制定


以上