会社案内 > 個人情報管理規程

個人情報管理規程

第1章 総則

(目的)

第1条 この規程は、株式会社ハウインターナショナル(以下「会社」という。)における個人情報の正確性及び安全性の確保、個人情報の秘密保持に関する従事者の責務並びに個人情報を取り扱う受託処理に関する措置等個人情報の適正管理を継続的に維持、向上させることを目的とする。

2 この規程は、会社のすべての従業者に適用する。また、会社が個人情報を第三者に委託する場合には、委託先の第三者にも遵守させるよう努めるものとする。

(定義)

第2条 この規程において、各項目の定義は次のとおりとする。

(1)個人情報

生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号、画像もしくは音声により当該個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)をいう。

(2)個人情報データベース等

個人情報を含む情報の集合物であって、次に掲げるものをいう。

(3)個人情報取扱事業者

個人情報データベース等を事業の用に供している者をいう。ただし、国の機関、地方公共団体、独立行政法人、地方独立行政法人及びその取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者(その事業の用に供する個人データベース等を構成する個人情報によって識別される特定の個人の数の合計が6ヵ月以内のいずれの日においても5,000人を超えない者)を除く。

(4)個人データ

個人情報データベース等を構成する個人情報をいう。

(5)保有個人データ

個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止のすべてを行うことができる権限を有する個人データであって、その存否が明らかになることにより公益その他の利害が害されるものとして政令で定めるもの又は6ヵ月以内に消去することとなるもの以外のものをいう。

(6)本 人

個人情報によって識別される特定の個人をいう。

(7)従業者

個人情報取扱事業者の組織内にあって直接又は間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役員、理事、監査役、幹事、派遣社員等も含まれる。

(8)提 供

個人データを利用可能な状態に置くことをいう。

(プライバシーポリシーの制定と公表)

第3条 代表者は、個人情報の保護方針を定め、これを実施する。

2 代表者は、個人情報保護方針をプライバシーポリシーとして、文書等で従業者に周知徹底させるとともに会社のウェブ上に公表する。

(規程の改定)

第4条 個人情報の保護に関する法律の運用、監督官庁のガイドライン等の変更及びその他必要性に応じて、本規程を改定するものとする。

第2章 安全管理体制

(安全管理体制の構築)

第5条 代表者は、個人情報の安全管理のための組織体制を定める。その権限及び責任は、本規程その他個人情報に関する規定に定めるものとする。

(個人情報管理責任者)

第6条 代表者は、個人情報の安全管理のための総責任者として、個人情報管理責任者を1名定め、以下の業務を行わせるものとする。

(1)個人情報保護法遵守マニュアル、個人情報取扱規定、個人情報取扱手順書、個人データ取り扱台帳等の内部規定の作成に関する事項

(2)個人情報安全管理措置に関する事項

(3)個人情報管理者への助言及び指導、個人情報管理者からの報告徴収に関する事項

(4)従業者の監督に関する事項

(5)委託先の監督、再委託先の取り扱いに関する事項

(6)危機管理に関する事項

(7)その他個人情報の安全管理に関する事項全般

(個人情報管理者)

第7条 代表者は、個人情報を取り扱う部署ごとに、各1名の個人情報管理者を定め、以下の業務を行わせるものとする。

(1)個人情報取扱担当者の選定、権限の設定、管理に関する事項

(2)個人情報取扱規定、個人情報取扱手順書、個人データ取扱台帳の作成に関する事項

(3)個人情報の保管、管理、破棄に関する事項

(4)個人情報のパスワード、識別コード等の安全管理に関する事項

(5)個人情報の教育、研修に関する事項

(6)個人情報の取り扱いに関する業務状況の報告

(7)危機管理に対する対応

(8)その他担当部署の個人情報の安全管理に関する事項全般

(個人情報安全管理委員会)

第8条 代表者は、個人情報安全管理委員会を設置する。

2 個人情報安全管理委員会の議長は、個人情報安全管理責任者が務めるものとし、それ以外の構成員は、代表者がこれを指名する。

3 個人情報安全管理委員会は、以下の職務を実施する。

(1)個人情報の安全管理に関する代表者への助言

(2)個人情報保護法遵守マニュアル、個人情報取扱規程、個人情報取扱手順書、個人データ取扱台帳等の内部規定の制定

(3)個人情報の安全管理対策の企画、立案、評価及び見直し

(4)個人情報に関する苦情窓口の設置及び苦情対応

(5)個人情報監査責任者からの報告徴収

(6)危機管理に関する対応

(7)その他個人情報の安全管理に関する事項

(個人情報監査責任者)

第9条 個人情報の安全管理に関する監査の総責任者として、個人情報監査責任者を1名定め、以下の業務を行わせるものとする。

(1)個人情報の安全管理に関する個人情報管理責任者、代表者への助言

(2)個人情報保護法遵守マニュアル、個人情報取扱規程、個人情報取扱手順書、その他社内規程の遵守状況の監査

(3)個人情報管理者からの報告徴収

(4)個人情報安全管理委員会への監査報告

(5)危機管理への対応

(6)その他個人情報の安全管理に関する監査全般

(安全管理措置)

第10条 代表者は、会社が管理する個人情報に関するリスク(不正アクセス、紛失、盗難、破壊、改ざん及び漏洩等)を回避するために適切な人的及び物理的安全管理措置を講じるものとする。

(従業者の教育研修)

第11条 個人情報責任者は、従業者に対し、継続的、かつ、定期的に個人情報に関する教育研修を実施する。

2 従業者は、前項の教育研修に参加しなければならない。

(従業者の責務)

第12条 従業者は、会社の事業に従事するにあたり、個人情報保護法、本規程、個人情報保護法遵守マニュアル、個人情報取扱規定、個人情報取扱手順書その他の社内規程を遵守しなければならない。

(委託先に対する安全管理措置)

第13条 個人情報管理責任者は、個人情報を委託する場合の委託先選定基準を定める。

2 個人情報管理責任者は、個人情報を委託する場合の委託先選定基準及び個人情報の安全管理に関する報告徴収の結果等により委託先の選定の見直しを実施する。

3 個人情報管理責任者は、個人情報を委託するときは、個人情報に関する権利義務を明確にし、個人情報の安全管理に関する事項を契約条項に盛り込む方法、委託先に対して随時個人情報の安全管理に関する報告徴収を行う方法、個人情報の安全管理に関する教育研修を実施するよう要請する等の方法により委託先の個人情報の安全管理に関する監督を行うものとする。

第3章 個人情報の取得

(個人情報の取得原則)

第14条 個人情報の取得は、会社が行う事業の範囲内に限り、かつ、あらかじめ利用目的を明確に定め、その目的の達成に必要な限度内において行うものとする。

(不正な手段による取得の禁止)

第15条 個人情報の取得は適正な手段により行うものとし、窃取、脅迫、偽りその他不正な手段により取得してはならない。

(センシティブ情報等の原則的禁止)

第16条 下記のセンシティブ情報及び本人識別情報でプライバシーの侵害のおそれのある情報は原則として取得してはならない。ただし、これらの情報を取得する事業上の必要性があり、かつ、あらかじめ本人の明確な同意がある場合又は法令の規定による場合はこの限りではない。

(1)思想、信条及び宗教に関する事項

(2)人種、民族、門地、本籍地、身体、精神障害、犯罪歴、その他社会的差別の原因となる事項

(3)勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項

(4)集団示威行為への参加、請願権の行使及びその他の政治的権利行使に関する事項

(5)保険医療及び性生活に関する事項

(利用目的の公表)

第17条 次条に定める場合を除き、個人情報を取得する場合は、利用目的をできる限り特定し、あらかじめその利用目的を公表するよう努めるものとし、あらかじめ利用目的を公表しない場合は、取得後速やかにその利用目的を本人に通知し、又は公表しなければならない。ただし以下の場合を除く。

(1)本人又は第三者の生命、身体、財産その他の権利を害するおそれがある場合

(2)当該個人情報取扱事業者の権利等を害するおそれがある場合

(3)国の機関等に協力する場合

(4)利用目的が自明である場合

(直接本人から文書等により取得する場合)

第18条 本人との間で契約を締結することに伴い契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。)に記載された本人の個人情報を取得する場合、その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ本人に対し、利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合はこの限りでない。

第4章 個人情報の利用及び第三者提供

(利用範囲)

第19条 会社は、あらかじめ本人の同意を得ないで、会社が特定した利用目的の達成に必要な範囲を超えて個人情報を利用してはならない。ただし、以下の場合を除く。

(1)合併その他の事由により他の個人情報取扱事業者の事業を承継することに伴って個人情報を取得し、当該承継前の目的達成に必要な範囲内で利用する場合

(2)法令に基づいて個人情報を取り扱う場合

(3)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

(4)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって本人の同意を得ることが困難であるとき

(5)国の機関又は地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(利用目的の変更)

第20条 会社は、利用目的を変更しようとする場合は、従前の目的と比較して相当な関連性を有すると合理的に認められる範囲を超えた変更を行ってはならない。また、利用目的を変更する場合は本人に通知し、又は公表しなければならない。

(第三者提供の制限)

第21条 会社は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。ただし、以下の場合を除く。

(1)第三者に該当しない場合

個人情報の取扱いに関する業務の全部又は一部を委託する場合、合併、分社化、営業譲渡等により事業が承継され、個人データが移転する場合、個人データを特定者間で共同利用している場合等

(2)法令に基づいて個人情報を取り扱う場合

人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

(4)国の機関、地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(5)オプトアウトを行っている場合。ただし、センシティブ情報を除く。

(個人データに該当しない個人情報の第三者提供)

第22条 会社は、あらかじめ本人の同意を得ないで、個人データに該当しない個人情報を第三者に提供しないようにするものとする。ただし、業務上の必要性がある場合には、所定の手続を経て、事前に個人情報保護責任者の書面による了承を得たうえで行うものとする。

(共同利用)

第23条 会社は、個人データを第三者と共同で利用しようとする場合、以下の事項をあらかじめ本人に通知するか、本人が容易に知り得る状態に置くとともに、共同利用する第三者にも同様の措置を講じさせなければならない。

(1)個人データを特定の者との間で共同して利用する旨

(2)共同利用される個人データの項目

(3)共同して利用するものの範囲

(4)利用する者の利用目的

(5)個人データの管理について責任を有する者の氏名又は名称

(オプトアウト)

第24条 会社は、あらかじめ本人の同意なく、個人データを第三者に提供する場合は、以下の事項をウェブ上に公表しなければならない。

(1)第三者提供を利用目的とすること

(2)第三者に提供される個人データの項目

(3)第三者への提供の手段又は方法

(4)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止する旨

第5章 個人データの管理

(適正管理)

第25条 会社は、個人データを正確、かつ、最新の内容で管理するよう努めるものとする。

(公表義務)

第26条 会社は、個人データの開示の手続を定め、以下の事項を公表しなければならない。

(1)当該情報取扱事業者の氏名又は名称

(2)すべての保有個人データの利用目的(取得に際して、通知等の例外に該当する場合を除く。)

(3)保有個人データの利用目的の通知、保有個人データの開示、保有個人データの内容の訂正、追加又は削除、保有個人データの利用の停止又は消去、保有個人データの第三者への提供の停止の手続及び保有個人データの利用目的の通知、保有個人データの開示に係る手数料の定め

(4)保有個人データの取り扱いに関する苦情、申出先及び個人情報取扱事業者が認定個人情報団体に所属している場合は、その団体の名称及び苦情の解決の申出先

(保有個人データの開示)

第27条 会社は、本人から当該個人が識別される保有個人データの開示を求められたときは、所定の本人確認手続を経たうえで書面により当該保有個人データを開示しなければならない。ただし、本人又は第三者の生命、身体、財産その他の権利や利益を害するおそれがある場合、当該個人情報取扱事業者の業務の適正な実施に著しい障害を及ぼすおそれがある場合、他の法令に違反する場合はこの限りではない。また、通知しない旨を決定したときは、遅滞なくその旨を通知しなければならない。

(保有個人データの利用目的の通知)

第28条 会社は、本人から当該個人が識別される保有個人データの利用目的の通知を求められたときは、その利用目的を本人に通知しなければならない。ただし、保有個人データを本人の知り得る状態に置いていることにより保有個人データの利用目的が明らかな場合、本人又は第三者の生命、身体、財産その他の権利や利益を害するおそれがある場合、当該個人情報取扱業者の権利又は正当な利益を害するおそれがある場合、国の機関又は地方公共団体が法令の定める事務を遂行するときに協力する必要がある場合であって、当該事務の遂行に支障を及ぼすおそれがある場合はこの限りでない。また、通知しない旨を決定したときは、遅滞なくその旨を通知しなければならない。

(保有個人データの訂正、追加、削除)

第29条 会社は、本人から当該本人が識別される保有個人データの内容が事実と異なるという理由で、訂正、追加、削除(以下「訂正等」という。)を求められたときは、本人確認を経たうえで遅滞なく調査を行い、その結果に基づいて訂正等を行わなければならない。

2 調査の結果、保有個人データの訂正等を行ったとき又は行わない旨を決定したときは、本人に対し、遅滞なくその旨を通知しなければならない。

(保有個人データの利用停止、消去、第三者提供の停止)

第30条 会社は、本人から、当該本人が識別される保有個人データが利用目的の制限に違反するという理由、又は不正の手段により取得したものであるという理由で利用停止又は消去(以下「利用停止等」という。)を求められたときは、本人確認手続を経たうえで、遅滞なく調査を行い、その結果に基づいてデータの利用停止等を行わなければならない。

2 本人から当該本人が識別される保有個人データが第三者提供違反であるとの理由で、第三者への提供の停止を求められたときは、本人確認手続を経たうえで遅滞なく調査を行い、その結果に基づいてこれを停止しなければならない。

3 保有個人データの利用停止等の措置を行ったとき又は行わない旨を決定したときは、本人に対し遅滞なくその旨の通知をしなければならない。

第6章 監査、危機管理、その他

(監査の実施)

第31条 個人情報監査責任者は、個人情報の安全管理に関する監査を行うため、随時個人情報管理責任者、個人情報管理者その他の従業者に対して、個人情報の安全管理状況等について報告徴収を求めることができ、従業者はこれに協力しなければならない。

2 個人情報監査責任者は代表者及び個人情報安全管理委員会に対して、定期的に書面による個人情報の安全管理に関する監査報告を行うものとする。

3 個人情報監査責任者は、必要に応じて、個人情報の安全管理に関する事項について外部監査を委託することができる。

(報告義務)

第32条 会社は、従業者が個人情報保護法、本規程、その他個人情報に関する社内規程に違反するおそれ又は違反する事実を知った場合、その旨を個人情報保護責任者に報告しなければならない。

(危機管理対応)

第33条 従業者は、個人情報の漏洩の事故が発生した場合及び個人情報保護法、本規程、その他個人情報に関する社内規程に違反する事実が生じた場合は、危機管理規程に基づいて対応するものとする。

2 個人情報管理責任者は、速やかに事実関係を調査し、漏洩の対象となった本人に対する対応を行うとともに、被害拡大防止のための措置を講ずるものとする。

3 個人情報安全管理委員会は、再発防止措置、社内処分を決定し、必要に応じて公表する等の対応を行うものとする。

(苦情・相談窓口)

第34条 個人情報管理責任者は、個人情報の保護に関して苦情や相談を受け付け、対応する相談窓口を常設し、当該相談窓口の連絡先を本人に告知するものとする。

2 前項の相談窓口の運営責任者は、個人情報管理責任者とする。

(罰則・損害賠償)

第35条 会社は、故意又は過失により本規程に違反した場合、その他個人情報保護法及びその他の個人情報に関する社内規程に違反した従業者に対しては就業規則又は契約等により処分を行うとともに、会社に損害を与えた場合には、損害賠償を請求するものとする。

附 則

この規程は、平成20年4月1日から施行する。