個人情報保護規定

第１章 総則
（目的）
第１条 大阪四ツ橋行政書士事務所における個人情報の取り扱いについて定める。
(適用範囲)
第２条 社内外を問わず、従業者が業務として個人情報を取り扱う場合に適用される。
(定義)
第３条 この規程で用いる用語は以下の通りとする。
(1) 個人情報
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記
述等により特定の個人を識別することができるもの(他の情報と容易に照合する
ことができ、それにより特定の個人を識別することができることとなるものを
含む)。
(2) 個人データ
個人情報の内、特定の個人情報を電子計算機を用いて検索することができる
ように体系的に構成したもの、及び特定の個人情報を容易に検索することがで
きるように体系的に構成したもの。ただし、個人情報保護管理責任者により
除外されたものを除く。
(3) 保有個人データ
個人データの内、開示、内容の訂正、追加又は削除、利用の停止、 消去及び
第三者への提供の停止を行うことのできる権限を有する個人データ。ただし、
個人情報保護管理責任者により除外されたものを除く。
(4) 情報主体
一定の情報によって識別される、又は識別されうる本人。
(5) 収集
取得。
(6) 最高経営会議
組織の最高意志決定会議。
(7) 個人情報保護管理責任者
最高経営層会議で指名された者であって、コンプライアンス・プログラムの
実施及び運用に関する責任と権限を持つ者。
(8) コンプライアンス・プログラム
方針、体制、規程、計画書、手順書、マニュアル、記録など、自社で保有す
る個人情報を保護するための社内の仕組みすべて。
(罰則)
第４条 コンプライアンスプログラムに違反した場合には、就業規則の懲戒 規定を準用する。
(改訂)
第５条 本規程の改訂は、最高経営会議の承認を得なければならない。

 

第２章 体制及び責任
(最高経営会議)
第６条 最高経営会議では、その中から個人情報保護管理責任者と個人情報保護監
査責任者を指名しなければならない。
2. 最高経営会議では、個人情報保護に関して、コンプライアンス・プログラムの
全体像を把握し、以下の項目を含む基本方針を定めなければならない。
(1) 個人情報保護管理責任者名及び苦情相談先を含む個人情報保護の体制に関
すること。
(2) 個人情報の取得に関すること。
(3) 個人情報の利用に関すること。
(4) 個人情報の委託に関すること。
(5) 個人情報の第三者への提供に関すること。
(6) 個人情報の安全管理に関すること。
(7) 個人情報保護に関する問い合わせ、個人情報の開示、訂正、削除及び利用
停止に関すること。
(8) 個人情報に関する事故が発生した場合の対処に関すること。
(9) 個人情報保護に関する法令及びその他の規範の遵守に関することと、事業
者に関連の深い代表例。
(10) 監視、監査、見直しなど、コンプライアンス・プログラムの継続的改善に
関すること。
3. 最高経営会議では、必要に応じて、業務毎又は業態毎に個別方針を定めなけれ
ばならない。その際、個別方針は基本方針と整合性を保たなければならない。
4. 最高経営会議では、個人情報保護管理者及び個人情報保護監査責任者からの報
告及び経営環境などに照らして、コンプライアンス・プログラムを最低年１回以
上見直さなければならない。
(個人情報保護管理責任者)
第７条 個人情報保護管理責任者は、コンプライアンス・プログラムを実施するに
あたって、個人情報保護管理者、個人情報保護教育責任者、個人情報苦情処理
責任者を指名しなければならない。
2. 個人情報保護管理責任者は、責任及び権限を定めなければならない。
3. 個人情報保護管理責任者は、コンプライアンス・プログラムの基本となる要素
を規程管理規程に従って文書化なければならない。
4. 個人情報保護管理責任者は、コンプライアンス・プログラムのすべての要素を
体系的に整理し、従業者が容易に閲覧できるようにしなければならない。
5. 個人情報保護管理責任者は、年２回以上実施状況を確認し、速やかに最高経営
会議で報告しなければならない。
6. 個人情報保護管理責任者は、事故発生時の対応手順を定めなければならない。
(個人情報保護監査責任者)
第８条 個人情報保護監査責任者は、事業年度毎に、個人情報保護に関する監査を
年１回以上行う計画書を作成しなければならない。
2. 個人情報保護監査責任者は、個人情報保護に関する監査を実施するために、
監査チームを編成しなければならない。その際、自らの業務を監査させる編成
をしてはならない。
3. 個人情報保護監査責任者は、監査終了後、監査報告書を作成し、速やかに最
高経営会議に報告しなければならない。
4. 個人情報保護監査責任者は、監査報告書を保管し、管理しなければならない。
5. 個人情報保護監査責任者は、監査方法及び監査チェックリストについて、別途
細則で定めなければならない。
(個人情報保護教育責任者)
第９条 個人情報保護教育責任者は、事業年度毎に、個人情報保護に関する教育を
年１回以上従業者全員に行う計画書を作成しなければならない。
2. 個人情報保護教育責任者は、コンプライアンス・プログラムの全体像の教育、
及び役割と責任に応じた訓練のカリキュラムを定めなければならない。
3. 個人情報保護教育責任者は、個人情報に関する教育が円滑に行えるように体制
を整備しなければならない。
4. 個人情報保護教育責任者は、教育方法及び自覚させる手順について、別途細則
で定めなければならない。
(個人情報苦情処理責任者)
第10条 個人情報苦情処理責任者は、情報主体本人からの苦情及び相談について対処
しなければならない。
2. 個人情報苦情処理責任者は、個人情報保護に関する苦情処理が円滑に行えるよ
うに体制を整備しなければならない。
3. 個人情報苦情処理責任者は、苦情処理の手順を定めなければならない。
(従業者)
第11条 コンプライアンス・プログラムを遵守すると共に、事故及びコンプライアン
ス・プログラム違反を見つけた場合には、速やかに個人情報保護管理者へ報告し
なければならない。

 

第３章 実施及び運用
(原則)
第12条 個人情報の取得に当たっては、利用目的を明確に定め、その目的の達成に
必要な限度において行わなわなければならない。
2. 個人情報の取得は、適法かつ公正な手段によって行わなければならない。
3. 社会的差別を受けうる機微(センシティブ)な個人情報を取得、利用及び提供し
てはならない。
4. 個人データの利用及び提供は、情報主体本人から同意を得た利用目的の範囲内
で行わなければならない。
5. 個人情報のリスクに対して、合理的な安全対策を講じなければならない。
6. 個人データは、利用目的に応じ必要な範囲内において、正確かつ最新の状態で
管理しなければならない。
(例外事項)
第13条 原則に反し以下の措置をとる場合には、個人情報保護管理者の承認を得なけ
ればならない。
(1) 取得の際に、情報主体本人に同意を得ない場合。
(2) 情報主体本人から開示、訂正、削除及び利用停止の要求を受け付けない場合。
(3) 目的外の利用をする際に、情報主体本人の同意を得ない場合。
(4) 第三者に提供する際に、情報主体本人の同意を得ない場合。
2. 機微な個人情報を取得、利用及び提供する場合には、情報主体本人から明確な
同意を得る手順を定め、個人情報保護管理責任者の承認を得なければならない。
3. 個人情報保護管理責任者は、例外事項の承認の手順を定めなければならない。
(法令及びその他の規範)
第14条 個人情報保護管理者は、コンプライアンス・プログラムの実施に必要な法令
及びその他の規範を特定し、管理しなければならない。
(個人情報の特定)
第15条 個人情報保護責任者は、個人情報の種類を特定し、管理しなければ
ならない。
2. 個人情報保護責任者は、機微情報として扱う個人情報の種類を特定し、別表２
で管理しなければならない。
3. 業務責任者は、個人情報を特定する手順を確立し、様式で管理しなければならない。
4. 業務責任者は、特定した個人情報のリスクを認識しなければならない。
5. 業務責任者は、特定した個人情報について、利用目的毎に管理しなければなら
ない。
6. 業務責任者は、個人情報の所在を把握できるようにしなければならない。
(取得する場合の措置)
第16条 個人情報を取得する際には、情報主体本人から以下の項目について事前に
通知し、同意を取らなければならない。
(1) 問い合わせ、開示、訂正、削除及び利用停止に必要な連絡先と責任の所在。
(2) 利用目的。
(3) 個人情報を第三者に提供を行なうことが予定される場合には、その目的、
提供先及び個人情報の取り扱いに関する契約の有無。
(4) 個人情報の預託を行なうことが予定される場合には、その旨。
(5) 情報主体が個人情報を与えることの任意性及び当該情報を与えなかった場
合に情報主体本人に生じる結果。
(6) 個人情報の開示を求める権利、及び開示の結果、当該情報が誤っている場
合に訂正又は削除を要求する権利の存在、対応期間の目安、並びに当該権
利を行使するための具体的な方法。
2. 上項を実施するために、個人情報を扱う事業の業務責任者は、手順を定め、個
人情報保護責任者の承認をなければならない。
3. 取得の際、事前に同意を得ない場合には、個人情報保護責任者の承認を得なけ
ればならない。
(保管及び利用)
第17条 個人データを保管及び利用する際には、関係者以外のものが容易にアクセス
ができない措置をとらなければならない。
2. 上項を実施するために、個人情報保護管理者は、安全に保管及び利用ができる
仕組みを確保しなければならない。
3. 業務責任者は、特定した個人データのリスクについて、対策の実施状況を定期
的に確認しなければならない。
4. 業務責任者は個人データの保管及び利用の手順を定めなければならない。
(委託)
第18条 個人データを委託する際には、委託先選定基準により事業者を選定し、以
下の項目を含んだ契約内容を以って、保護水準を担保しなければならない。
(1) 個人データの利用の制限。
(2) 個人データに関する秘密保持。
(3) 個人データの安全管理に関する事項。
(4) 個人データの再委託に関する事項。
(5) 事故時の責任分担。
(6) 契約終了時の個人データの返却及び消去。
2. 上項を実施するために、業務責任者は、委託内容毎に委託先選定基準を定め、
個人情報保護管理者の承認を得なければならない。
3. 個人情報保護管理責任者は、委託契約書の雛型を定めなければならない。
4. 業務責任者は、委託先管理の手順を定めなければならない。
(目的外利用)
第19条 情報主体本人から同意を得た利用目的以外に利用する際、事前に情報主体
本人に利用目的を通知し、同意を得なければならない。
2. 上項を実施するために、個人情報保護管理責任者は通知の内容を承認しなけれ
ばならない。
3. 目的外利用の際、情報主体本人の同意を得ない場合は、個人情報保護管理責任
者の承認を得なければならない。
4. 個人情報保護管理者は、緊急時における承認の手順を定めなければならない。
(第三者提供)
第20条 個人情報を扱う事業の責任者は、第三者へ提供する際、事前に情報主体本人
に提供先、利用目的、個人データの項目及び提供手段を通知し、同意を得なけれ
ばならない。
2. 上項を実施するために、個人情報保護管理責任者は通知の内容を承認しなけれ
ばならない。
3. 第三者提供の際、情報主体本人の同意を得ない場合は、個人情報保護管理責任
者の承認を得なければならない。
4. 個人情報保護管理者は、緊急時における承認の手順を定めなければならない。
(情報主体本人からの要求に対する措置)
第21条 情報主体本人から個人データについて、開示、訂正、削除及び利用停止の要
求がある場合には、合理的な期間で応じなければならない。
2. 上項を実施するために、業務責任者は、本人確認方法、料金及び対応の期限を
含んだ手順を定めなければならない。
3. 情報主体本人からの開示、訂正、削除、利用停止に応じない場合には、個人情報
保護管理責任者の承認を得なければならない。
(削除及び消去)
第22条 削除及び消去にあたっては、目的外利用又は第三者に利用されないような措
置をとらなければならない。
2. 上項を実施するために、個人情報保護管理者は、安全に削除及び消去が行える
仕組みを確保しなければならない。
3. 業務責任者は、削除及び消去する個人データのリスクについて、対策の実施状況
を定期的に確認しなければならない。
4. 業務責任者は個人データの削除及び消去の手順を定めなければならない。

 

個人情報保護管理責任者
行政書士　國塩　学