1.総 則
(目的)
第1条 この規則、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」。という。) に基づき、個人情の有用性に配慮しつつ、個人の権利利益を保護するために、兵庫SR経営労務センター(以下「兵庫SR」という。)の保有する個人情報の適正な取扱いに関し、基本となる事項を定めることを目的とする。
(適用範囲)
第2条 この規則は、兵庫SRが保有する個人情報を取り扱う兵庫SRの役員、会員及び事務局職員に対して適用する。
(定義)
第3条 この規則において使用する用語は、個人情報保護法第2条において使用する用語の例による。
第1条 この規則、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」。という。) に基づき、個人情の有用性に配慮しつつ、個人の権利利益を保護するために、兵庫SR経営労務センター(以下「兵庫SR」という。)の保有する個人情報の適正な取扱いに関し、基本となる事項を定めることを目的とする。
(適用範囲)
第2条 この規則は、兵庫SRが保有する個人情報を取り扱う兵庫SRの役員、会員及び事務局職員に対して適用する。
(定義)
第3条 この規則において使用する用語は、個人情報保護法第2条において使用する用語の例による。
2.個人情報管理
第1節 個人情報の取得等
(利用目的の特定)
第4条
(利用目的による制限)
第5条
(適正な取得)
第6条
(取得に際しての利用目的の通知等)
第7条
(データ内容の正確性の確保)
第8条
(従業者監督)
第9条
(委託先の監督)
第10条
(第三者提供の制限)
第11条
(保有個人データに関する事項の公表等)
第12条
(開示)
第13条
(訂正等)
第14条
(利用停止等)
第15条
(理由説明)
第16条
(開示等の求めに応じる手続)
第17条
(手数料)
第18条 削除
(苦情の処理)
第19条
第4条
- 兵庫SRは、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り明確に特定する。
- 兵庫SRは、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的による制限)
第5条
- 兵庫SRは、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱わない。
- 前項の規定は、次に掲げる場合については、適用しない。
- 法令に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(適正な取得)
第6条
- 兵庫SRは、偽りその他不正の手段により個人情報を取得してはならない。
(取得に際しての利用目的の通知等)
第7条
- 兵庫SRは、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表する。
- 兵庫SRは、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示する。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
- 兵庫SRは、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表する。
- 前三項の規定は、次に掲げる場合については、適用しない。
- 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 利用目的を本人に通知し、又は公表することにより兵庫SRの権利又は正当な利益を害するおそれがある場合
- 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 取得の状況からみて利用目的が明らかであると認められる場合
(データ内容の正確性の確保)
第8条
- 兵庫SRは、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努める。
(従業者監督)
第9条
- 兵庫SRは、従業者に個人データを取扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行う。
(委託先の監督)
第10条
- 兵庫SRは、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データを安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行う。
(第三者提供の制限)
第11条
- 兵庫SRは、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで。個人データを第三者に提供しない。
- 法令に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 兵庫SRは、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
- 第三者への提供を利用目的とすること。
- 第三者に提供される個人データの項目
- 第三者への提供の手段又は方法
- 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
- 兵庫SRは、前項第2号又は第3号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置く。
- 次に掲げる場合において、当該個人データの提供を受ける者は、前3項の規定の適用については、第三者に該当しないものとする。
- 兵庫SRが利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
- 事業の承継に伴って個人データが提供される場合
- 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
- 兵庫SRは、前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらあじめ、本人に通知し、又は本人が容易に知り得る状態を置く。
(保有個人データに関する事項の公表等)
第12条
- 兵庫SRは、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅延なく回答する場合を含む。)に置く。
- 兵庫SRの名称
- すべての保有個人データの利用目的(第7条第4項第1号から第3号に該当する場合を除く。)
- 次項、次条第1項、第14条第1項又は第15条第1項若しくは第2項の規定による求めに応じる手続(第18条第2項の規定により手数料の額を定めたときは、その手続料の額を含む。)
- 兵庫SRが行う保有個人データの取扱いに関する苦情の申出先
- 兵庫SRは、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅延なく、これを通知する。ただし、次の各号のいずれかに該当する場合は、この限りでない。
- 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
- 第7条第4項第1号から第3号までに該当する場合
- 兵庫SRは、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅延なく、その旨を通知する。
(開示)
第13条
- 兵庫SRは、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、書面の交付による方法(開示の求めを行った者が同意した方法があるときは、当該方法)により、遅延なく、当該保有個人データを開示する。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
- 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 兵庫SRの業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 他の法令に違反することとなる場合
- 兵庫SRは、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する。
(訂正等)
第14条
- 兵庫SRは、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して社会保険労務士法(昭和43年法律第89号)第14条の4、第14条の9及び第14条の10その他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行う。
- 兵庫SRは、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知する。
(利用停止等)
第15条
- 兵庫SRは、本人から、当該本人が識別される保有個人データが第5条の規定に違反して取り扱われているという理由又は第6条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅延なく、当該保有個人データの利用停止等を行う。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
- 兵庫SRは、本人から、当該本人が識別される保有個人データが第11条第1項の規定に違反して第三者に提供されているという理由によって、当該保有個人データ第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止する。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供の停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
- 兵庫SRは、第1項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する。
(理由説明)
第16条
- 兵庫SRは、第12条第3項、第13条第2項、第14条第2項又は前条第3項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努める。
(開示等の求めに応じる手続)
第17条
- 兵庫SRは、第12条第2項、第13条第1項、第14条第1項又は第15条第1項若しくは第2項の規定による求め(以下この条において「開示等の求め」という。)に関し、次に掲げる開示等の求めを受け付ける方法については、別に定める。
- 開示等の求めの申出先
- 開示等の求めに際して提出すべき書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。)の様式その他の開示等の求めの方式
- 開示等の求めをする者が本人又は第3項に規定する代理人であることの確認の方法
- 兵庫SRは、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、兵庫SRは、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとる。
- 開示等の求めは、次に掲げる代理人によってすることができる。
- 未成年者又は成年被後見人の法定代理人
- 開示等の求めをすることにつき本人が委任した代理人
- 兵庫SRは、前三項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮する。
(手数料)
第18条 削除
(苦情の処理)
第19条
- 兵庫SRは、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努める。
- 兵庫SRは、前項の目的を達成するために必要な体制の整備として、苦情処理受付窓口を事務局に置き、兵庫SRにおける個人情報の取扱いに関する苦情及び問い合わせ、相談等の適切なかつ迅速な処理を行わせる。
第2節 管理体制等
(個人情報保護管理責任者)
第20条
(個人情報保護管理者)
第21条
(個人情報保護担当者)
第22条
第20条
- 兵庫SRは、個人情報保護管理責任者を一人置くこととし、兵庫SR副会長の中から会長が指名することとする。
- 個人情報保護管理責任者は、兵庫SRにおける個人情報の管理に関する事務を総括する。
(個人情報保護管理者)
第21条
- 兵庫SRに、個人情報保護管理者を一人置くこととし、事務局長をもって当てる。
- 削除
- 削除
- 個人情報保護管理者は、部下の職員等に対し、個人情報の保護に関する意識の高揚を図るための措置を講じなければならない。
(個人情報保護担当者)
第22条
- 削除
- 削除
第3節 安全確保の措置
(職員等の責務)
第23条
(アクセス制限)
第24条
(複製等の制限)
第25条
(媒体の保管等)
第26条
(廃棄等)
第27条
(第三者の閲覧防止)
第28条
第23条
- 個人情報の取扱いに従事する職員等は、個人情報保護法の趣旨に則り、関連する法令及び規程等の定め並びに個人情報保護管理責任者、個人情報保護管理者の指示に従い、個人情報を取扱わなければならない。
(アクセス制限)
第24条
- 個人情報保護管理者は、個人情報の秘匿性等その内容に応じて、当該個人情報にアクセスをする権限(以下「アクセス権限」という。) を有する者を必要最小限の職員等に限るものとする。
- アクセス権限を有しない職員等は、個人情報にアクセスしてはならない。
- 職員等は、アクセス権限を有する場合であっても、業務上の目的以外の目的で個人情報にアクセスしてはならない。
(複製等の制限)
第25条
- 職員等は、次に掲げる行為を行ってはならない。なお、業務上の目的で次に掲げる行為を行う場合にあっては、個人情報保護管理者等の指示に従い、必要最低限の範囲で行うものとする。
- 個人情報の複製
- 個人情報の送信
- 個人情報が記録されている磁気テープ、磁気ディスク、フロッピーディスク、光ディスク及びその他これらに類するもの並びに紙等の媒体(端末及びサーバ内に内蔵されているものを含む。以下「媒体」という)の送付又は外部への持ち出し
- その他
個人情報の適切な管理に支障を及ぼすおそれのある行為
- 個人情報保護管理者は、前項に規定する指示を行う場合には、個人情報が滅失等することのないよう必要な措置を講じなければならない。
(媒体の保管等)
第26条
- 職員等は、個人情報保護管理者の指示等に基づき、個人情報が記録されている媒体を適切に保管しなければならない。
(廃棄等)
第27条
- 職員等、個人情報又は個人情報が記録されている媒体が不要になった場合には、個人情報保護管理者の指示等に基づき、当該個人情報の復元又は判読等が不可能となる方法により当該情報の消去又は当該媒体の廃棄等を行わなければならない。
(第三者の閲覧防止)
第28条
- 職員等は、端末機、電子計算機及び情報処理機器等の使用に当たっては、個人情報が第三者に閲覧されることがないよう、使用状況に応じて当該機器等の管理を徹底する等の必要な措置を講じなければならない。
3.事故の報告及び再発防止措置
(事故の報告)
第29条
(再発防止措置)
第30条
第29条
- 個人情報の漏えい、滅失、き損等その他個人情報の管理に関して問題となる事案が発生したことを知った職員等は、直ちに、当該個人情報を管理する個人情報保護管理者にその旨を報告しなければならない。
- 個人情報保護管理者は、前項の規定により職員等から報告を受けたときは、速やかに被害の拡大防止又は復旧等のために必要な措置を講じなければならない。
- 個人情報保護管理者は、前項の措置を講じた後、速やかに、事案の発生した経緯、被害状況等を調査し、その調査結果を個人情報保護管理責任者に報告しなければならない。
- 個人情報保護管理者は、事案の内容、影響等に応じて、事実関係の公表、当該事案に係る本人への対応等の措置を講じなければならない。
(再発防止措置)
第30条
- 個人情報保護管理者は、個人情報の漏えいその他個人情報の管理に関して問題となる事案が発生した場合には、前条第3項調査結果に基づき、当該事案の発生した原因を分析し、再発防止のための必要な措置を講じなければならない。
- 個人情報保護管理者は、事案の内容、影響等に応じて、前項の規定により講じた措置を公表しなければならない。
4.雑 則
(教育研修)
第31条
(監査)
第32条
(評価及び見直し)
第33条
(細則の策定)
第34条
第31条
- 個人情報保護管理責任者は、保有個人情報の取扱いに従事する職員等に対し、保有個人情報の取扱いについて理解を深め、個人情報の保護に関する意識の高揚を図るための啓発その他必要な教育研修を行う。
- 個人情報保護管理責任者は、保有個人情報を取り扱う情報システムの管理に関する事務に従事する職員等に対し、保有個人情報の適切な管理のために、情報システムの管理、運用及びセキュリティ対策に関して必要な教育研修を行う。
(監査)
第32条
- 監事は、個人情報の管理及び利用の状況について、監査を毎年1回以上実施する。
- 個人情報保護管理責任者は、前項の監査により、監事から問題点の指摘等があった場合には、速やかに必要な措置を講じなければならない。
(評価及び見直し)
第33条
- 個人情報保護管理者は、保有個人情報の適切な管理のための措置について、点検又は、監査の結果等を踏まえ、実効性等の観点から評価し、必要があると認めるときは、その見直しを等を行う。
(細則の策定)
第34条
- 個人情報保護管理責任者は、この規則の実施に必要な細則を定めることができる。
附則
この規則は、平成21年12月18日から施行する。
上記は、兵庫県社会保険労務士会のプライバシーポリシーと同一の内容ですが、兵庫SR経営労務センターでも上記に基づいて業務を行なっております。