個人情報管理規定
第1章 総則(目的)
第1条 この規程は、社会福祉法人イエス団における個人情報の適性な取扱いに関し、役職員が遵守すべき事項を定め、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
(適用範囲)
第2条 この規程は、当法人のすべての役職員に適用する。ボランティア、実習生等当法人に属さないスタッフに対しても本規程の趣旨を踏まえた適切な取扱いを求めるものとする。また、個人情報を取り扱う業務を第三者に委託する場合には、委託先の第三者にも遵守させるよう努めるものとする。
(用語の定義)
第3条 この規程において、各項目の定義は次のとおりとする。
- 個人情報 … 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、画像、音声等により特定の個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより特定の個人を識別できるものを含む。)をいう。
- 個人情報データベース等 … 個人情報を含む情報の集合物であって、次に掲げるものをいう。
① 特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの
② 紙面で処理した個人情報を一定の規則に従って整理し、特定の個人情報を容易に検索することができるように、目次、索引、符号等を付けて体系的に構成したもの
- 個人情報取扱事業者 … 個人情報データベース等を事業の用に供している者をいう。ただし、国の機関、地方公共団体、独立行政法人、地方独立行政法人及びその取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者(その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が6ヵ月以内のいずれの日においても5,000人を超えない者)を除く。
- 個人データ … 個人情報データベース等を構成する個人情報をいう。
- 保有個人データ … 個人情報取扱事業者が、開示、内容の訂正、追加、削除、利用の停止及び第三者への提供の停止のすべてを行うことができる権限を有する個人データであって、その存否が明らかになることにより、公益その他の利益が害されるものとして政令で定めるもの、又は6ヵ月以内に消去することとなるもの以外のものをいう。
- 本人 … 個人情報によって識別される特定の個人をいう。
- 役職員 … 個人情報取扱事業者の組織内にあって、直接又は間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、役員、正職員、契約職員、嘱託職員、派遣職員パート職員、アルバイト職員等すべてを含む。
(プライバシーポリシーの制定と公表)
第4条 当法人は、個人情報保護方針を定め、これを実施する。
2 当法人は、個人情報保護方針をプライバシーポリシーとして、文書等で各施設の役職員に周知徹底させるととも に、法人のウェブ上に公表する。
3 各施設は、プライバシーポリシーを定め、これを実施する。
(規程の改定)
第5条 個人情報保護法、監督官庁のガイドライン等の変更及びその他必要性に応じて、本規程を改定するものとする。
第2章 個人情報管理体制
(個人情報管理体制の構築)
第6条 当法人は、各施設ごとに個人情報の安全管理のための組織体制を定める。その権限及び責任は、本規程その他個人情報に関する規定に定めるものとする。
(個人情報管理責任者)
第7条 理事長は、施設長を個人情報の安全管理のための総責任者として、個人情報管理責任者に任命し、以下の業務を行わせるものとする。
- 個人情報安全管理措置に関する事項
- 役職員の監督に関する事項
- 委託先の監督に関する事項
- 危機管理に関する事項
- 個人情報の教育、研修に関する事項
- 苦情受付担当者からの報告徴収に関する事項
- その他個人情報の安全管理に関する事項全般
(苦情受付担当者)
第8条 個人情報の取り扱いに関する苦情や相談を適切かつ迅速に解決するために、対応する相談窓口を各施設に常設し、当該相談窓口の連絡先を公表するものとする。
2 施設長は、前項の相談窓口の担当者として、職員の中から苦情受付担当者を1名任命するものとする。
(安全管理措置)
第9条 施設長は、各施設が管理する個人情報に関するリスク(盗難、漏洩、滅失又は毀損等)を回避するために適切な安全管理措置を講じるものとする。
(職員の教育研修)
第10条 施設長は、職員に対し、継続的に個人情報に関する教育研修を実施する。また、個人データを取り扱わせる職員に対し、個人データの安全管理のために必要かつ適切な監督を行うものとする。
2 職員は、前項の教育研修に参加しなければならない。
(役職員の責務)
第11条 役職員は、各施設の事業に従事するにあたり、個人情報保護法、本規程その他の社内規程を遵守しなければならない。
(委託先に対する安全管理措置)
第12条 施設長は、個人情報を委託する場合の委託先の選定基準を定める。
2 施設長は、個人情報の委託先の選定基準及び個人情報の安全管理に関する報告徴収の結果等により、委託先の選定の見直しを実施する。
3 施設長は、個人情報を委託するときは、個人情報に関する権利義務を明確にし、個人情報の安全管理に関する事項を契約条項に盛り込む方法、又委託先に対して随時個人情報の安全管理に関する報告徴収を行う方法等により、委託先の個人情報の安全管理に関する監督を行うものとする
第3章 個人情報の取得
(個人情報の取得原則)
第13条 個人情報を取得するときには、その利用目的を具体的に特定して明示し、適法かつ適正な方法で行うものとし、窃取、脅迫、偽りその他不正な手段により取得してはならない。 ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合には、利用目的を具体的に特定して明示することなく、個人情報を取得できるものとする。
2 下記のセンシティブ情報及び本人識別情報でプライバシーの侵害のおそれのある情報は原則として取得してはならない。ただし、これらの情報を取得する事業上の必要性があり、かつ、あらかじめ本人の明確な同意がある場合、又は法令の規定による場合はこの限りではない。
- 思想、信条及び宗教に関する事項
- 人種、民族、門地、本籍地、身体、精神障害、犯罪歴、その他社会的差別の原因 となる事項
- 勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項
- 集団示威行為への参加等、その他の政治的権利行使に関する事項
- 保険医療に関する事項
(利用目的の公表)
第14条 個人情報を取得したときには、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知又は公表するものとする。ただし、次の各号のいずれかに該当する場合には、本人に通知または公表しなくてもよいものとする。
- 利用目的を本人に通知又は公表することによって、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき
- 利用目的を本人に通知又は公表することによって、当法人の権利又は正当な利益を害するおそれがあるとき
- 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知又は公表することによって、当該事務の遂行に支障を及ぼすおそれがあるとき
- 取得の状況からみて利用目的が明らかであると認められるとき
第4章 個人情報の利用及び第三者提供
(利用範囲)
第15条 あらかじめ本人の同意を得ることなく、特定した利用目的を超えて個人情報を取り扱ってはならないものとする。
2 前項の規定にかかわらず、次の各号のいずれかに該当する場合には、あらかじめ本人の同意を得ることなく、特定した利用目的の範囲を超える必要かつ合理的な範囲において、個人情報を取り扱うことができるものとする。
- 法令に基づくとき
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(利用目的の変更)
第16条 利用目的を変更しようとする場合は、従前の目的と比較して相当な関連性を有すると合理的に認められる範囲を超えた変更を行ってはならない。また、利用目的を変更する場合は本人に通知し、又は公表しなければならない。
(第三者提供の制限)
第17条 次の各号のいずれかに該当する場合を除き、あらかじめ本人の同意を得ることなく、個人データを第三者に提供してはならない。
- 法令に基づくとき
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意 を得ることが困難であるとき
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合で あって、本人の同意を得ること が困難であるとき
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を 遂行することに対して協力す る必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
- 当法人が利用目的の達成に必要な範囲内において個人データの取り扱いの全部又 は一部を委託する場合。
- 合併その他の事由による事業の承継に伴って個人データが提供される場合。
- 個人データを特定の者との間で共同して利用する場合。
(共同利用)
第18条 個人データを第三者と共同で利用しようとする場合、以下の事項をあらかじめ本人に通 知するか、又は本人が容易に知り得る状態に置くとともに、共同利用する第三者にも同様 の措置を講じさせなければならない。なお、利用目的又は個人データの管理について責任 を有する者の氏名若しくは名称を変更する場合には、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くものとする。
- 個人データを特定の者との間で共同して利用する旨
- 共同利用される個人データの項目
- 共同して利用する者の範囲
- 利用する者の利用目的
- 個人データの管理について責任を有する者の氏名又は名称
第5章 個人データの管理・開示等
(適正管理)
第19条 当法人は、利用目的の達成に必要な範囲内において、常に個人データを正確かつ最新の内容に保つよう努めるものとする。
2 利用目的に関して保有する必要のなくなった個人データについては、6月を超えて保有することのないよう、確実 かつ速やかに消去することとする。
(公表義務)
第20条 当法人は、個人データの開示の手続を定め、以下の事項を公表しなければならない。
- 当法人及び各施設の名称
- すべての保有個人データの利用目的 (取得に際して、通知等の例外に該当する場合を除く。)
- 保有個人データの利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止又は消去、第三者への提 供の停止の手続及び開示等に係る手数料の定め
- 保有個人データの取り扱いに関する苦情の申出先
(保有個人データの利用目的の通知)
第21条 本人から、当該個人が識別される保有個人データの利用目的の通知を求められたときは、次の各号のいずれかに該当する場合を除き、その利用目的を本人に通知しなければならない。また、通知しない旨を決定したときは、遅滞なくその旨を通知しなければならない。
- 保有個人データを本人の知り得る状態に置いていることにより保有個人データの利用目的が明らかなとき
- 利用目的を本人に通知又は公表することによって、本人又は第三者の生命、身体、財産その他の権利や利益を害するおそれがあるとき
- 利用目的を本人に通知又は公表することによって、当法人の権利又は正当な利益を害するおそれがあるとき
- 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知又は公表することによって、当該事務の遂行に支障を及ぼすおそれがあるとき
(保有個人データの開示)
第22条 本人から、当該本人が識別される保有個人データの開示 (当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、所定の本人確認手続を経た上で、本人に当該保有個人データを開示するものとする。ただし、開示することによって次の各号のいずれかに該当する場合には、その全部又は一部を開示しないものとする。
- 本人又は第三者の生命、身体、財産その他の権利や利益を害するおそれがある場 合
- 当法人の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 他の法令に違反することとなる場合
(開示申出に対する決定)
第23条 施設長は、開示申出があった日から原則として10日以内に、開示申出者に対して、 開示申出に係る個人情報の全部若しくは一部を開示する旨の決定又は開示しない旨の決定(前条の規定により開示申出を拒否するとき及び開示申出に係る個人情報が記録された個人情報データベース等を保有していないときの決定を含む。)をするものとする。
2 施設長は、前項の決定 (以下「開示決定等」という。)をしたときは、開示申出者に対し、遅滞なく書面によりその旨通知するものとする。
3 施設長は、やむを得ない理由により、第1項に規定する期間内に開示決定等をすることができないと認められる場合には、30日以内に決定するものとする。
4 施設長は、第1項の規定により開示請求に係る個人情報の全部又は一部を開示しないときは、開示申出者に対し、第2項に規定する書面によりその理由を示すものとする。
5 施設長は、開示決定等をする場合において、当該決定に係る個人情報に法人以外のものとの間における協議、協力等により作成し、又は、取得した個人情報があるときは、あらかじめ、これらのものの意見を聴くことができる。
(開示の方法)
第24条 個人情報の開示は、個人情報が記録された個人情報データベース等の当該個人情報に係る部分につき、文書、図画又は写真にあっては閲覧、視聴又は写しの交付により、フィルムにあっては視聴又は写しの交付により、磁気テープ、磁気ディスク等にあっては視聴、閲覧、写しの交付等で適切な方法により行う。
2 前項の視聴又は閲覧の方法による個人情報の開示にあっては、当該個人情報が記録された個人情報データベース等の保存に支障が生ずるおそれがあると認めるときその他合理的な理由があるときは、当該個人情報が記録された請求対象文書の写しにより開示することができる。
(保有個人データの訂正、追加、削除)
第25条 本人から当該本人が識別される保有個人データの内容が事実と異なるという理由で、訂正、追加、削除(以下「訂正等」という。)を求められたときは、本人確認手続きを経た上で遅滞なく調査を行い、その結果に基づいて訂正等を行わなければならない。
2 調査の結果、保有個人データの訂正等を行ったとき又は行わない旨を決定したときは、本人に対し、遅滞なくその旨を通知しなければならない。
(保有個人データの利用停止、消去、第三者提供の停止)
第26条 本人から、当該本人が識別される保有個人データが利用目的の制限に違反するという理由、又は不正の手段により取得したものであるという理由で利用停止又は消去 (以下「利用停止等」という。)を求められたときは、本人確認手続を経た上で、遅滞なく調査を行い、その結果に基づいてデータの利用停止等を行わなければならない。
2 本人から当該本人が識別される保有個人データが第三者提供違反であるとの理由で、第三者への提供の停止を求められたときは、本人確認手続を経た上で遅滞なく調査を行い、その結果に基づいてこれを停止しなければならない。
3 保有個人データの利用停止等の措置を行ったとき又は行わない旨を決定したときは、本人に対し遅滞なくその旨の通知をしなければならない。
(異議の申出)
第27条 開示申出者又は訂正等の申出者は、開示決定等又は訂正決定等について不服があるときは、施設長に対して書面により異議の申出ができる。
2 前項の異議の申出は、開示決定等又は訂正決定等があったことを知った日の翌日から起算して60日以内に行わなければならない。
3 第1項の異議の申出があった場合は、施設長は、当該異議の申出のあった日から原則として14日以内に対象となった開示決定等又は訂正決定等について再度の検討を行なった上で、当該異議申出についての回答を書面により行うものとする。
4 施設長は、やむを得ない理由により、前項に規定する期間内に異議の申出に対する回答を行うことができないと認められる場合には、30日以内に決定するよう努めるものとする。
第6章 危機管理他
(報告義務)
第28条 役職員が個人情報保護法、本規程、その他個人情報に関する社内規程に違反するおそれ又は違反する事実を知った場合、その旨を施設長に報告しなければならない。
(危機管理対応)
第29条 理事長は、個人情報の漏洩の事故が発生した場合及び個人情報保護法、本規程、その他個人情報に関する社内規程に違反する事実が生じた場合は、速やかに事実関係を調査し、漏洩の対象となった本人に対する対応を行うとともに、被害拡大防止のための措置を講ずるものとする。また、再発防止措置、社内処分を決定し、必要に応じて公表する等の対応を行うものとする。
(罰則・損害賠償)
第30条 故意又は過失により本規程に違反した場合、その他個人情報保護法及びその他の個人情報に関する社内規程に違反した役職員に対しては就業規則又は契約等により処分を行うとともに、施設に損害を与えた場合には、損害賠償を請求するものとする。
附則
この規定は2006年2月16日の理事会承認され、2006年4月1日から施行する。