Comments
Description
Transcript
個人情報保護規程 第1.0版
PMS-B-001 個人情報保護規程 個人情報保護規程 株式会社 第1.0版 甲南堂印刷 許可無く複写・持出を禁ずる PMS-B-001 個人情報保護規程 改訂履歴 発行日 版数 2010 年 9 月 30 日 第 1.0 版 年 月 日 年 月 日 年 月 日 年 月 日 改訂内容 初版発行(制定) 1 作成 水落 承認 社長 PMS-B-001 個人情報保護規程 目 項 次 目 ページ 1. 総則 4 1.1 目的 4 1.2 適用範囲 4 2. 用語及び定義 4 3. 要求事項 6 3.1 一般要求事項 6 3.2 個人情報保護方針 6 3.3 計画 6 3.3.1 個人情報の特定 6 3.3.2 法令、国が定める指針その他の規範 6 3.3.3 リスクなどの認識・分析及び対策 7 3.3.4 資源、役割、責任及び権限 7 3.3.5 内部規程 9 3.3.6 計画書 10 3.3.7 緊急事態への準備 10 3.3.8 個人情報保護委員会 11 3.4 実施及び運用 12 3.4.1 運用手順 12 3.4.2 取得・利用及び提供に関する原則 12 3.4.2.1 利用目的の特定 12 3.4.2.2 適正な取得 12 3.4.2.3 特定の機微な個人情報の取得、利用および提供の制限 12 3.4.2.4 本人から直接書面によって取得する場合の措置 13 3.4.2.5 個人情報を3.4.2.4以外の方法によって 取得した場合の措置 13 3.4.2.6 利用に関する措置 14 3.4.2.7 本人にアクセスする場合の措置 15 3.4.2.8 提供に関する措置 16 3.4.3 適正管理 17 3.4.3.1 正確性の確保 17 3.4.3.2 安全管理措置 17 3.4.3.3 従業者の監督 17 3.4.3.4 委託先の監督 18 3.4.4 個人情報に関する本人の権利 19 3.4.4.1 個人情報に関する権利 19 3.4.4.2 開示等の求めに応じる手続 19 3.4.4.3 開示対象個人情報に関する事項の周知など 20 2 PMS-B-001 個人情報保護規程 3.4.4.4 開示対象個人情報の利用目的の通知 20 3.4.4.5 開示対象個人情報の開示 21 3.4.4.6 開示対象個人情報の訂正、追加又は削除 21 3.4.4.7 開示対象個人情報の利用又は提供の拒否権 21 3.4.5 3.5 教育 22 個人情報保護マネジメントシステム文書 23 3.5.1 文書の範囲 23 3.5.2 文書管理 23 3.5.3 記録の管理 23 3.6 苦情及び相談への対応 24 3.7 点検 24 3.7.1 運用の確認 24 3.7.2 監査 24 3.8 是正処置及び予防処置 25 3.9 代表者による見直し 25 3 PMS-B-001 個人情報保護規程 1. 総則 1.1.目的 本「個人情報保護規程」 (以下本規程)は、株式会社甲南堂印刷が事業の用に供する個人情報 に関して、JIS規格(JIS Q 15001:2006)に従い、適切に取扱うために必要な事項を定める ことを目的とする。 1.2.適用範囲 本規程は、当社が事業の用に供する個人情報について、その保存する媒体に関わらず、全て の個人情報を対象とする。 又、本規程は、当社の全組織を適用範囲とし、当社の全ての役員、及び正社員・契約社員・ア ルバイトなど雇用形態の区別なく、当社事業に従事する全従業者及び協力会社従業者に適用す る。 2.用語及び定義 本規程で用いる主な用語及び定義は、次の通りとする。 (1)個人情報 個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などに よって特定の個人を識別できるもの(他の情報と容易に照合することができ、それに よって特定の個人を識別することができることとなるものを含む。) 。 (2)本人 個人情報によって識別される特定の個人。 (3)事業者 事業を営む法人その他の団体又は個人。本規程においては、「当社」という。 (4)個人情報保護管理者 当社の代表者によって、内部から指名された者であり、個人情報保護マネジメントシ ステムの実施及び運用に関する責任及び権限をもつ者。 (5)個人情報保護監査責任者 当社の代表者によって、内部から指名された者であり、公平、かつ、客観的な立場に あり、監査の実施及び報告を行う責任及び権限をもつ者。 (6)本人の同意 本人が、個人情報の取扱いに関する情報を与えられた上で、自己に関する個人情報の 取扱いについて承諾する意思表示。本人が子ども又は事理を弁職する能力を欠く者の 場合は、法定代理人等の同意も得なければならない。 (7)個人情報保護マネジメントシステム 当社が、自らの事業の用に供する個人情報について、その有用性配慮しつつ、個人の 権利利益を保護するための方針、体制、計画、実施、点検及び見直しを含むマネジメ ントシステム。 (8)不適合 JIS Q 15001:2006 の要求事項を満たしていないこと。及び当社の個人情報保護マネジ メントシステムの規程を遵守していないこと。 4 PMS-B-001 個人情報保護規程 (9)開示等 利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者へ の提供の停止。 (10)目的外利用 特定した利用目的の達成に必要な範囲を超えて個人情報を利用すること。 (11)(個人情報の)リスク 個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他規範に対す る違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのお それをいう。 (12)個人情報の取り扱いの局面 個人情報の取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄 に至る取り扱いの一連の流れの各局面をいう。 (13)文書化 本規程において「文書化」と言う場合は、紙に印刷されたもののみならず、電子的方 式、磁気的方式など人の知覚によっては認識できない方式で作られる記録を含むもの とする。 (14)書面 本規程において「書面」と言う場合は、紙に印刷されたもののみならず、電子的方式、 磁気的方式など人の知覚によっては認識できない方式で作られる記録を含むものとす る。 (15)委託先 当社が、個人情報の取り扱いの全部又は一部を委託する場合、その委託する先の事業 者を「委託先」と呼ぶ。 5 PMS-B-001 個人情報保護規程 3. 要求事項 3.1 一般要求事項 当社は、JIS Q15001:2006 の要求事項に従い、個人情報保護マネジメントシステムを確立し、 実施し、維持し、かつ、改善する。 3.2 個人情報保護方針 (1)代表取締役は、当社の個人情報保護の理念を明確にした上で、次の a)から g)の事項を含む 「個人情報保護方針」を定めると共に、これを実行し、かつ、維持しなければならない。 (2)代表取締役は、個人情報保護方針を文書化し、社内掲示、配布、イントラネットへの掲載 などにより当社の全役員及び従業員に周知させるとともに、一般の方が入手可能な措置とし て、当社ホームページ(以下 HP という)上に掲載し、公表しなければならない。 <「個人情報保護方針」に規定すべき事項> a) 事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること(特定 された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下、“目的外利用”と いう。)を行わないこと及びそのための措置を講じることを含む。)。 b) 個人情報の漏えい、滅失又はき損の防止及び是正に関すること。 c) 苦情及び相談への対応に関すること。 d) 個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること。 e) 個人情報保護マネジメントシステムの継続的改善に関すること。 f) 代表者の氏名 g) 制定年月日、及び最終改訂年月日 >>参照文書 3.3 「個人情報保護方針」 計画 3.3.1 個人情報の特定 (1)当社は、当社の事業の用に供するすべての個人情報を特定するための手順を確立し、維持 する。 (2)個人情報の特定、維持、更新、承認の手順については、 「マネジメントシステム運用手順書: 個人情報の特定手順」に定める。 (3)特定した個人情報は、毎年9月に見直す。 >>参照文書 「マネジメントシステム運用手順書:個人情報の特定手順」 「個人情報保護マネジメントシステム年間計画書」 3.3.2 法令、国が定める指針その他の規範 (1)当社は、個人情報の取り扱いに関する法令、国が定める指針その他の規範を特定し参照で きる手順を確立し、維持する。 (2)特定、維持の手順については、 「マネジメントシステム運用手順書:法令等の特定手順」に 定める。 (3)特定した法令等の改訂の有無について、毎年4月に見直す。 6 PMS-B-001 個人情報保護規程 >>参照文書 「マネジメントシステム運用手順書:法令等の特定手順」 「個人情報保護マネジメントシステム年間計画書」 3.3.3 リスクなどの認識、分析及び対策 (1)当社は、本規程「3.3.1 個人情報の特定」によって特定した個人情報について、目的外利用 を行わないため、必要な対策を講じる手順を本規程「3.4.2.6 利用に関する措置」に定め、か つ、維持する。 (2)当社は、本規程「3.3.1 個人情報の特定」によって特定した個人情報について、その取扱い の各局面におけるリスクを認識し、分析し、必要な対策を講じる手順を「マネジメントシス テム運用手順書:リスク管理手順」に定め、維持する。 (3)個人情報のリスクは、事業の用に供する個人情報に変動が生じた場合や、事務所・組織・ 事業内容などの環境に変化が生じた場合など、リスクが変化することが想定される場合は、 随時見直しを実施しなければならない。 (4)また、個人情報のリスクは、毎年9月に見直す。 (注) 「リスクを認識する」とは、個人情報の取り扱いの各局面において、適正な保護措置を講じ ない場合に顕在化することが想定されるリスクを洗い出すことを言う。 「リスクを分析する」とは、認識したリスクについて、当社の事業への影響度、発生の頻度 などを評価することを言う。 >>参照文書 「マネジメントシステム運用手順書:リスク管理手順」 「個人情報保護マネジメントシステム年間計画書」 3.3.4 資源、役割、責任及び権限 (1)代表取締役は、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ改善 するために不可欠な資源を用意しなければならない。 (2)代表取締役は、個人情報保護マネジメントシステムを効果的に実施するためのマネジメン トシステム体制を定め、 「個人情報保護体制図」に記載し、従業者に周知しなければならない。 (3)当社の個人情報保護マネジメントシステムにおける役割、責任及び権限は以下の通り。 ⅰ)代表取締役 ・代表取締役は、当社の代表者として、JIS規格の要求事項において事業者の代表者が 果たすべき役割として定められた責任を果たすと共に、当社の個人情報保護マネジメン トシステムが適切に運用、維持、改善される為に必要な責任、及び権限を行使しなけれ ばならない。 ・個人情報保護方針について、本規程3.2に定める事項を実施しなければならない。 ・内部規程、計画書など本規程で定める個人情報保護マネジメントシステム文書について、 その作成を指示し、当社にとって適切なものであることを確認し承認しなければならな い。 ・個人情報保護マネジメントシステムの運用状況、内部監査、苦情相談の処置などについ て、本規程及び運用手順書に定めるとおり責任者から報告を受け、承認行為を実施しな ければならない。 ・是正処置及び予防処置について、その状況や再発防止策について審査し、再発防止策の 実施について指示しなければならない。 ・マネジメントレビューにおいて、当社の個人情報保護マネジメントシステムが適切な状 態に維持されるよう、見直しを行わなければならない。 7 PMS-B-001 個人情報保護規程 ⅱ)個人情報保護管理者 ・個人情報保護管理者は、JIS Q15001:2006 規格の内容を理解し実践する能力のある者で、 代表取締役により当社内から指名された者が就任する。 ・個人情報保護管理者は、個人情報保護マネジメントシステムの実施及び運用に関する責 任及び権限を他の責任に関わりなく与えられ、業務を行わなければならない。 ・個人情報保護管理者は、個人情報保護マネジメントシステムの見直し及び改善の基礎と して、個人情報保護マネジメントシステムの運用状況及び、個人情報保護委員会の議事 事項を、代表取締役に報告しなければならない。 ⅲ)個人情報保護監査責任者 ・個人情報保護監査責任者は、JIS Q15001:2006 規格の内容を理解し、公平かつ客観的な立 場にある者で、代表取締役により当社内から指名された者が就任する。 ・個人情報保護監査責任者は、個人情報保護マネジメントシステムの監査責任と権限を、 他の責任に関わりなく与えられ、業務を行わなければならない。 ・個人情報保護監査責任者は、会社法による監査役又はそれに相当する者を指名してはな らない。又、個人情報保護監査責任者は、個人情報保護管理者と同一人物であってはな らない。 ⅳ)教育責任者 ・教育責任者は、JIS Q15001:2006 規格の内容を理解し、代表取締役によって任命されたも のが就任する。 ・教育責任者は、各部門及び階層における従業員に対して実施する、個人情報保護マネジ メントシステムの教育に関する責任と権限を、他の責任に関わりなく与えられ、業務を 行わなければならない。 ⅴ)個人情報保護窓口責任者 ・個人情報保護窓口責任者は、JIS Q15001:2006 規格の内容を理解し、代表取締役によって 任命された者が就任する。 ・個人情報保護窓口責任者は、個人情報に関する対外的な窓口を運営する責任者として、 苦情、相談及び開示等の対応に関する責任と権限を、他の責任に関わりなく与えられ、 業務を行わなければならない。 ⅵ)部門管理者 ・部門管理者は、代表取締役によって任命された者で、当社の個人情報保護マネジメント システムの実施について、部門毎に指名しなければならない。 ・部門管理者は、自部門における個人情報の適切な取扱いについて管理、監督を行うと共 に、個人情報保護に関する社員の意識向上に努めなければならない。 ⅶ)情報システム管理者 ・情報システム管理者は、代表取締役によって任命された者で、当社の個人情報保護マネ ジメントシステムに関連して実施すべき情報システムに関する安全対策の統括責任者と して、情報システムの管理業務を行わなければならない。 >>参照文書 「個人情報保護体制図」 8 PMS-B-001 個人情報保護規程 3.3.5 内部規程 (1)当社は、下記の内部規程を文書化し、維持する。 a) 個人情報を特定する手順に関する規定 本規程「3.3.1 個人情報の特定」及び「マネジメントシステム運用手順書:個人情報の特 定手順」に定める。 b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定 本規程「3.3.2 法令、国が定める指針その他の規範」及び「マネジメントシステム運用手 順書:法令等の特定手順」に定める。 c) 個人情報に関するリスクの認識、分析及び対策の手順に関する規定 本規程「3.3.3 リスクなどの認識、分析及び対策」及び「マネジメントシステム運用手順 書:リスク管理手順」に定める。 d) 当社の各部門及び階層における個人情報を保護するための権限及び責任に関する規定 本規程「3.3.4 資源、役割、責任及び権限」に定める。 e) 緊急事態(個人情報が漏えい、滅失又はき損をした場合)への準備及び対応に関する規定 本規程「3.3.7 緊急事態への準備」及び「マネジメントシステム運用手順書:緊急事態対 応手順」に定める。 f) 個人情報の取得、利用及び提供に関する規定 本規程「3.4.2 取得、利用及び提供に関する原則」及び「マネジメントシステム運用手順 書:個人情報取扱手順」に定める。 g) 個人情報の適正管理に関する規定 本規程「3.4.3 適正管理」及び「個人情報安全管理規程」、 「マネジメントシステム運用手順 書:委託先管理手順」に定める。 h) 本人からの開示等の求めへの対応に関する規定 本規程「3.4.4 個人情報に関する本人の権利」及び「マネジメントシステム運用手順書: 開示等対応手順」に定める。 i) 教育に関する規定 本規程「3.4.5 教育」及び「マネジメントシステム運用手順書:教育実施手順」に定める。 j) 個人情報保護マネジメントシステム文書の管理に関する規定 本規程「3.5 個人情報保護マネジメントシステム文書」及び「「マネジメントシステム運用 手順書:文書管理手順」に定める。 k) 苦情及び相談への対応に関する規定 本規程「3.6 苦情及び相談への対応」及び「マネジメントシステム運用手順書:苦情・相 談対応手順」に定める。 l) 点検に関する規定 本規程「3.7 点検」、「マネジメントシステム運用手順書:運用確認手順」及び「マネジメ ントシステム運用手順書:内部監査実施手順」に定める。 m) 是正処置及び予防処置に関する規定 本規程「3.8 是正処置及び予防処置」及び「マネジメントシステム運用手順書:是正処置 予防処置実施手順」に定める。 n) 代表者による見直しに関する規定 本規程「3.9 当社の代表者による見直し」及び「マネジメントシステム運用手順書:マネ ジメントレビュー実施手順」に定める。 o) 内部規程の違反に関する罰則の規定 「本規程 3.4.3.3 従業者の監督」に定める。 9 PMS-B-001 個人情報保護規程 (2)当社は、事業の内容に応じて、個人情報保護マネジメントシステムが確実に適用されるよ うに、必要に応じて内部規程を改定する。 3.3.6 計画書 (1)当社は、個人情報保護マネジメントシステムを確実に実施するために必要な計画を立案し、 文書化し、維持する。 (2)当社が文書化する計画書は、当社の個人情報保護マネジメントシステム全体を俯瞰する「個 人情報保護マネジメントシステム年間計画書」 、教育に関する「教育年間計画書」及び監査に 関する「内部監査年間計画書」とする。 (3)計画書の作成責任者は、 「個人情報保護マネジメントシステム年間計画書」は個人情報保護 管理者、「教育年間計画書」は教育責任者、「内部監査年間計画書」は個人情報保護監査責任 者とする。 (4)個人情報保護管理者は、 「個人情報保護マネジメントシステム年間計画書」を、必要とあら ば毎年3月に作成し、代表取締役の承認を得なければならない。 >>参照文書 「個人情報保護マネジメントシステム年間計画書」 「教育年間計画書」「内部監査年間計画書」 3.3.7 緊急事態への準備 (1)当社は、緊急事態を特定するための手順、又、それらにどのように対応するのかの手順を 「マネジメントシステム運用手順書:緊急事態対応手順」に定め、かつ、維持する。 (2) 「緊急事態対応手順」には、個人情報が漏えい、滅失又はき損をした場合に想定される経済 的な不利益及び社会的な信用の失墜、本人への影響などのおそれを考慮し、その影響を最小 限とするための手順について定める。 (3) 「緊急事態対応手順」には、個人情報の漏えい、滅失又はき損が発生した場合に備え、次の 事項を含まなければならない。 <緊急事態対応手順に含むべき事項> a) 当該漏えい、滅失又はき損が発生した個人情報の内容を本人に速やかに通知し、又は本 人が容易に知りえる状態に置くこと。 b) 二次被害の防止、類似事案の発生回避など観点から、可能な限り事実関係、発生原因及 び対応策を遅延なく公表すること。 c) 事実関係、発生原因及び対応策を関係機関に直ちに報告すること。 >>参照文書 3.3.8 「マネジメントシステム運用手順書:緊急事態対応手順」 個人情報保護委員会(以下 PMS 委員会という) (1)当社は、当社の個人情報保護マネジメントシステムを円滑に運用するために、本規程「3.3.4 資源、役割、責任及び権限」に定めた責任者、及び個人情報保護に関与するメンバーにより 構成される PMS 委員会を設置する。 (2)PMS 委員会は、個人情報保護管理者が主催し、定期的に開催する。 10 PMS-B-001 個人情報保護規程 (3)個人情報保護管理者は委員会の議事を「PMS 委員会議事録」に記録し、代表取締役に報告し なければならない。 ⅰ)PMS 委員会構成メンバー メンバー:個人情報保護管理者、教育責任者、個人情報保護窓口責任者、 情報システム管理者、部門管理者 オブザーバー:代表取締役、個人情報保護監査責任者、監査員 ⅱ)開催頻度 4ヶ月ごと、または事務局が必要とするときに開催する ⅲ)議題 ・「本規程 3.7.1 運用の確認」で規定されている、個人情報保護マネジメントシステムの 運用状況の確認 ・個人情報保護マネジメントシステム年間計画の各イベント準備状況、実施状況確認 ・改善すべき項目及び問題点の確認 ・個人情報保護に関する情報交換 >>参照文書 「PMS 委員会議事録」 11 PMS-B-001 個人情報保護規程 3.4 実施及び運用 3.4.1 運用手順 当社は、個人情報保護マネジメントシステムを確実に実施するために、運用の手順を本規程、 「マネジメントシステム運用手順書」、「個人情報安全管理規程」、その他文書に規定する。 3.4.2 取得・利用及び提供に関する原則 3.4.2.1 利用目的の特定 (1)当社は、個人情報を取得するに当たっては、その利用目的を出来る限り特定し、その目的 の達成に必要な限度において取得するよう徹底する。 (2)なお、新規で個人情報を取り扱う場合は、 「マネジメントシステム運用手順書:個人情報取 扱手順」に記載した手順に従い、新規に個人情報を取得する時点で、利用目的を特定しなけ ればならない。 >>参照文書 「マネジメントシステム運用手順書:個人情報取扱手順」 3.4.2.2 適正な取得 当社は、個人情報の取得を、適法、かつ、公正な手段によってのみ行わなければならない。 3.4.2.3 特定の機微な個人情報の取得、利用及び提供の制限 (1)当社は、下記に示す「特定の機微な個人情報」を含む個人情報の取得、利用又は提供を、 行わない。 (2)ただし、本規程「3.4.2.4 本人から直接書面によって取得する場合の措置」などで定める、 本人の同意を得る時に提示する書面に、当該特定の機微な個人情報を取得する旨、及び当該 特定の機微な個人情報名を明記し、それに対して本人が同意した場合は、同意を得た範囲で 取得、利用及び提供を行なうことが出来る。 (3)又、本規程「3.4.2.6 利用に関する措置」のただし書き a)~d)のいずれかに該当する場合 は、この限りでない。このただし書きによる例外規定を適用しようとする場合は、 「マネジメ ントシステム運用手順書:個人情報取扱手順」に従って、個人情報の取得に関する申請時に、 あらかじめ個人情報保護管理者の承認を得なければならない。 <取得を制限する特定の機微な個人情報の種類> a) 思想、信条及び宗教に関する事項 b) 人種、民族、門地、本籍地、身体・精神障害、犯罪歴、その他社会的差別の原因となる事 項。(本籍地については、所在都道府県に関する情報を除く。) c) 勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項 d) 集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項 e) 保健医療又は性生活に関する事項 >>参照文書 「マネジメントシステム運用手順書:個人情報取扱手順」 12 PMS-B-001 個人情報保護規程 3.4.2.4 本人から直接書面によって取得する場合の措置 (1)当社においては、本人から、書面に記載された個人情報を直接に取得する場合には、少な くとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人 に明示し、本人の同意を得なければならない。 (2)ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合、本規程「3.4.2.5 個人情報を 3.4.2.4 以外の方法によって取得した場合の措置」のただし書き a)~d)のいずれ かに該当する場合、及び、本規程「3.4.2.6 利用に関する措置」のただし書き a)~d)のいず れかに該当する場合は、この限りではない。このただし書きによる例外を適用しようとする 場合は、新規に個人情報を取得する際の申請時点で、個人情報取得申請書に明記し、あらか じめ個人情報保護管理者の承認を得なければならない。 (3)新規の個人情報を取得しようとする場合は、あらかじめ「マネジメントシステム運用手順 書:個人情報取扱手順」に定められた手順に従い、承認を得なければならない。この時、上 記の同意を取得する場合に本人に提示する書面の内容も合わせて、承認を得なければならな い。 (4)承認を得た同意取得の方法と提示する書面の内容は、 「直接書面によって取得する場合の同 意文書一覧」に追加し、管理しなければならない。 <個人情報を直接書面によって取得する時に本人に明示し、同意を得る事項> a) 当社の名称 b) 個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先 c) 利用目的 d) 個人情報を第三者に提供することが予定される場合の事項 - 第三者に提供する目的 - 提供する個人情報の項目 - 提供の手段又は方法 - 当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性 - 個人情報の取扱いに関する契約がある場合はその旨 e) 個人情報の取扱いの委託を行うことが予定される場合には、その旨 f)本規程「3.4.4.4 開示対象個人情報の利用目的の通知、3.4.4.5 開示対象個人情報の開示、 3.4.4.6 開示対象個人情報の訂正、追加又は削除、3.4.4.7 開示対象個人情報の利用又 は提供の拒否権」に該当する場合には、その求めに応じる旨及び問合せ窓口 g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じ る結果 h) 本人が容易に認識できない方法によって個人情報を取得する場合には、その旨 >>参照文書 3.4.2.5 「マネジメントシステム運用手順書:個人情報取扱手順」 個人情報を、3.4.2.4以外の方法によって取得した場合の措置 (1)当社においては、個人情報を本規程「3.4.2.4 本人から直接書面によって取得する場合の措 置」以外の方法によって取得した場合は、あらかじめその利用目的を公表している場合を除 き、速やかにその利用目的を、本人に通知し、又は公表しなければならない。 (2)ただし、次に示すいずれかに該当する場合は、この限りではない。 このただし書きを適用しようとする場合は、新規に取得する際の申請の時点で、個人情報取 13 PMS-B-001 個人情報保護規程 得申請書に明記し、あらかじめ個人情報保護管理者の承認を得なければならない。 (3)新規の個人情報を取得しようとする場合は、あらかじめ「マネジメントシステム運用手順 書:個人情報取扱手順」に定められた手順に従い承認を得なければならない。この時、利用 目的を本人に通知、又は公表する必要がある場合は、速やかに当社HP上で公表しなければ ならない。 <利用目的の通知・公表を行わなくて良い場合> a) 利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財 産その他の権利利益を害するおそれがある場合 b) 利用目的を本人に通知し、又は公表することによって当該事業者の権利又は正当な利益 を害するおそれがある場合 c) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要が ある場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行 に支障を及ぼすおそれがあるとき d)取得の状況からみて利用目的が明らかであると認められる場合 (4)なお、個人情報に関する業務委託を受ける場合は、委託元に対して利用目的を確認しなけ ればならない。利用目的の確認方法は、契約書への明記、業務指示書等への記載など、委託 元と協議の上、決定する。又、この確認と同時に、委託元が個人情報保護法及びガイドライ ン等に沿って適切に個人情報を取扱っていることも確認しなければならない。 >>参照文書 3.4.2.6 「マネジメントシステム運用手順書:個人情報取扱手順」 利用に関する措置 (1)当社においては、特定した利用目的の達成に必要な範囲内で個人情報を利用しなければな らない。 (2)特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、 少なくとも、本規程「3.4.2.4 本人から直接書面によって取得する場合の措置」の a)~f)に 示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、本 人の同意を得なければならない。 (3)前項の措置を実施する場合には、本人への同意取得より前に、あらかじめ「マネジメント システム運用手順書:個人情報取扱手順」に定める手順に従い、当該部門管理者が個人情報 保護管理者に、本人の同意を得る方法や、関連する担当者への通知方法などについて、承認 を得なければならない。又、利用目的の範囲内であるかどうか判断に迷う場合は勝手に判断 せず、必ず個人情報保護管理者の承認を得なければならない。 (4)ただし、次に示すいずれかに該当する場合は、この限りではない。 <本人の同意が不要な場合> a) 法令に基づく場合 b) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得るこ とが困難であるとき c) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本 14 PMS-B-001 個人情報保護規程 人の同意を得ることが困難であるとき d) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行す ることに対して協力する必要がある場合であって、本人の同意を得ることによって当該 事務の遂行に支障を及ぼすおそれがあるとき このただし書きを適用しようとする場合は、 「マネジメントシステム運用手順書:個人情報取 扱手順」に従って申請し、あらかじめ個人情報保護管理者の承認を得なければならない。 >>参照文書 3.4.2.7 「マネジメントシステム運用手順書:個人情報取扱手順」 本人にアクセスする場合の措置 (1)当社においては、個人情報を利用して本人にアクセスする場合には、本人に対して本規程 「3.4.2.4 本人から直接書面によって取得する場合の措置」の a)~f)に示す事項又はそれと 同等以上の内容の事項、及び取得方法を通知し、本人の同意を得なければならない。 (2)前項の措置を実施する場合には、本人への同意取得より前に、あらかじめ「マネジメント システム運用手順書:個人情報取扱手順」に定める手順に従い、当該部門管理者が個人情報 保護管理者に、本人の同意を得る方法や、関連する担当者への通知方法などについて、承認 を得なければならない。 (3)ただし、次に示すいずれかに該当する場合は、この限りではない。このただし書きを適用 しようとする場合は、 「マネジメントシステム運用手順書:個人情報取扱手順」に従って申請 し、あらかじめ個人情報保護管理者の承認を得なければならない。又、ただし書きの c)を適 用する場合は、定められた措置を行わなければならない。 <本人にアクセスする時に本人の同意が不要な場合> a) 個人情報の取得時に、既に本規程「3.4.2.4 本人から直接書面によって取得する場合の 措置」の a)~f)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人 の同意を得ているとき。 b) 個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報を、その利 用目的の達成に必要な範囲内で取り扱うとき。 c) 合併その他の事由による事業の承継に伴って個人情報が提供され、個人情報を提供する 事業者が、既に本規程「3.4.2.4」の a)~f)に示す事項又はそれと同等以上の内容の事 項を明示又は通知し、本人の同意を得ている場合であって、承継前の利用目的の範囲内 で当該個人情報を取り扱うとき。 d) 個人情報が特定の者との間で共同して利用され、共同利用者が、既に本規程「3.4.2.4」 の a)~f)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を 得ている場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、 本人に通知し、又は本人が容易に知りえる状態に置いているとき。 - 共同して利用すること - 共同して利用される個人情報の項目 - 共同して利用する者の範囲 - 共同して利用する者の利用目的 - 共同して利用する個人情報の管理について責任を有する者の氏名又は名称 - 取得方法 e) 本規程「3.4.2.5 個人情報を 3.4.2.4(直接書面によって取得)以外の方法によって取 15 PMS-B-001 個人情報保護規程 得した場合の措置」のただし書き d)に該当するため、利用目的などを本人に明示、通知 又は公表することなく取得した個人情報を利用して、本人にアクセスするとき。 f) 本規程「3.4.2.6 利用に関する措置」のただし書き a)~d)のいずれかに該当する場合。 >>参照文書 「マネジメントシステム運用手順書:個人情報取扱手順」 3.4.2.8 提供に関する措置 (1)当社においては、個人情報を第三者に提供する場合には、あらかじめ本人に対して、取得 方法及び本規程「3.4.2.4 本人から直接書面によって取得する場合の措置」の a)~d)の事項 又はそれと同等以上の内容の事項を通知し、本人の同意を得なければならない。 (2)前項の措置を実施する場合には、本人への同意取得より前に、あらかじめ「マネジメント システム運用手順書:個人情報取扱手順」に定める手順に従い、当該部門管理者が個人情報 保護管理者に、本人の同意を得る方法や、関連する担当者への通知方法などについて、承認 を得なければならない。 (3)ただし、次に示すいずれかに該当する場合は、この限りではない。 (4)このただし書きの b)から g)を適用しようとする場合は、「マネジメントシステム運用手順 書:個人情報取扱手順」に従って申請し、あらかじめ個人情報保護管理者の承認を得なけれ ばならない。又、ただし書きの b)、c)、f)を適用する場合は、定められた措置を行わなけれ ばならない。 (5)当社では、原則としてただし書きb)は適用しない。 <個人情報を提供する場合に本人の同意が不要な場合> a) 本規程「3.4.2.4 本人から直接書面によって取得する場合の措置」又は本規程「3.4.2.7 本人にアクセスする場合の措置」の規定によって、既に本規程「3.4.2.4」の a)~d)の事 項又はそれと同等以上の内容の事項を本人に明示又は通知し、本人の同意を得ていると き。 b) 大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難な場合であっ て、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又 はそれに代わる同等の措置を講じているとき。 - 第三者への提供を利用目的とすること - 第三者に提供される個人情報の項目 - 第三者への提供の手段又は方法 - 本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止するこ と - c) 取得方法 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関す る情報であって、かつ、法令に基づき又は本人若しくは当該法人その他の団体自らによ って公開又は公表された情報を提供する場合であって、b)で示す事項又はそれと同等以 上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知りえる状態に置い ているとき。 d) 特定した利用目的の達成に必要な範囲内において、個人情報の取扱いの全部又は一部を 委託するとき。 e) 合併その他の事由による事業の承継に伴って個人情報を提供する場合であって、承継前 の利用目的の範囲内で当該個人情報を取り扱うとき。 f) 個人情報を特定の者との間で共同して利用する場合であって、次に示す事項又はそれと 16 PMS-B-001 個人情報保護規程 同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知りえる状態 に置いているとき。 - 共同して利用すること - 共同して利用される個人情報の項目 - 共同して利用する者の範囲 - 共同して利用する者の利用目的 - 共同して利用する個人情報の管理について責任を有する者の氏名又は名称 - 取得方法 g) 本規程「3.4.2.6 利用に関する措置」のただし書き a)~d)のいずれかに該当する場合 >>参照文書 3.4.3 「マネジメントシステム運用手順書:個人情報取扱手順」 適正管理 3.4.3.1 正確性の確保 当社は、利用目的の達成に必要な範囲内において、個人情報を、正確、かつ、最新の状態で 管理するよう管理策を策定し、「個人情報安全管理規程」に規定する。 >>参照文書 「個人情報安全管理規程」 3.4.3.2 安全管理措置 当社は、本規程「3.3.3 リスクなどの認識、分析及び対策」の定めにより、個人情報に対する リスクを認識し、分析し、そのリスクに応じて、漏えい、滅失又はき損の防止その他の個人情 報の安全管理のために必要、かつ、適切な、予防対策及び発生時の対応措置を「個人情報安全 管理規程」に定め、実施する。 >>参照文書 「個人情報安全管理規程」 3.4.3.3 従業者の監督 当社は、従業者に個人情報を取扱わせるに当たっては、当該個人情報の安全管理が図られるよ うに、当該従業者に対し必要、かつ、適切な監督を行う。 (1)部門単位の指導と監督 ・各部門の管理者は、自部門の従業者が個人情報を安全に取扱う様、指導・監督を行う。 ・部門内の個人情報保護マネジメントシステムに関わる記録を定められた間隔で確認する。 ・各部門における運用状況を定期的に確認する。この運用の確認については、 「本規程 3.7.1 運用の確認」に定める。 (2)監督状況の報告、全社的な指導と監督 ・各部門の管理者は、PMS 委員会において各部門における安全管理の実施状況を報告する。 ・個人情報保護管理者は、この報告により各部門の運用状況を把握し、必要に応じて指導、 監督を行う。 (3)個人情報の非開示契約の締結 ・当社は、その従業者に対して当社が事業の用に供する個人情報の非開示条項を含んだ「機 17 PMS-B-001 個人情報保護規程 密保持誓約書」を締結させなければならない。この際、非開示条項は雇用契約の終了後も 必要な期間有効であるように明記しなければならない。 (4)個人情報保護マネジメントシステムに違反した場合の措置 ・従業者が個人情報保護マネジメントシステムに違反した場合、当社の就業規則に基づいて 処罰を行う。このことは、前項の「機密保持誓約書」に明記する。 >>参照文書 「機密保持誓約書」 3.4.3.4 委託先の監督 (1)当社は、十分な個人情報の保護水準を満たしている者を委託先に選定しなければならない。 このため、当社は、委託先を選定する基準を定める。 (2)委託先を選定する基準は、委託する個人情報の特性(重要性、分量、期間など)及び、個 人情報の取り扱い内容(委託する業務、IT環境の有無など)を考慮し、過不足のない適切 な基準となるように設定しなければならない。 (3)選定するための基準は、 「個人情報保護マネジメントシステム年間計画書」に規定する時期 に、定期的に見直さなければならない。また同じく、選定した委託先についての評価の見直 しも定期的に行わなければならない。 (4)委託する個人情報の安全管理対策が確実に図られるよう、個人情報の取扱い状況に関する 委託先からの報告内容を当該部門管理者が確認すると共に、委託先の安全管理状況及び個人 情報の取扱い状況について、「委託先管理シート(ビジネスパートナー台帳) 」に基づいて定 期的に、委託を受けた者に対する必要、かつ、適切な監督を行う。 (5)以上の手順については「マネジメントシステム運用手順書:委託先管理手順」に定める。 (6)当社は、次に示す事項を委託先との契約によって規定し、十分な個人情報の保護水準を担 保する。 a) 委託者及び受託者の責任の明確化 b) 個人情報の安全管理に関する事項 c) 再委託に関する事項 d) 個人情報の取扱状況に関する委託者への報告の内容及び頻度 e) 契約内容が遵守されていることを委託者が確認できる事項 f) 契約内容が遵守されなかった場合の措置 g) 事件・事故が発生した場合の報告・連絡に関する事項 当社は、当該契約書などの書面を個人情報の保有期間にわたって保存する。 >>参照文書 「マネジメントシステム運用手順書:委託先管理手順」 「個人情報の取り扱いに関する契約書」 「委託先管理シート(ビジネスパートナー台帳)」 18 PMS-B-001 個人情報保護規程 3.4.4 個人情報に関する本人の権利 3.4.4.1 個人情報に関する権利 (1)当社は、電子計算機を用いて検索することができるように体系的に構成した情報の集合物 又は一定の規則に従って整理、分類し、目次、索引、符合などを付すことによって特定の個 人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であっ て、当社が、本人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び 第三者への提供の停止の求めのすべてに応じることができる権限を有するもの(以下、 「開示 対象個人情報」という)に関して、本人から利用目的の通知、開示、内容の訂正、追加又は 削除、利用の停止、消去及び第三者への提供の停止(以下、 「開示等」という)を求められた 場合は、本規程「3.4.4.4 開示対象個人情報の利用目的の通知」 「3.4.4.5 開示対象個人情 報の開示」「3.4.4.6 開示対象個人情報の訂正、追加又は削除」「3.4.4.7 開示対象個人情 報の利用又は提供の拒否権」の規定によって、遅滞なくこれに応じなければならない。 (2)ただし、次のいずれかに該当する場合は、開示対象個人情報とはならない。 <開示対象個人情報とならないもの> a) 当該個人情報の存否が明らかになることによって、本人又は第三者の生命、身体又は財 産に危害が及ぶおそれのあるもの b) 当該個人情報の存否が明らかになることによって、違法又は不当な行為を助長し、又は 誘発するおそれのあるもの c) 当該個人情報の存否が明らかになることによって、国の安全が害されるおそれ、他国若 しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上 不利益を被るおそれのあるもの d) 当該個人情報の存否が明らかになることによって、犯罪の予防、鎮圧又は捜査その他の 公共の安全と秩序維持に支障が及ぶおそれのあるもの このただし書きを適用しようとする場合は、 「マネジメントシステム運用手順書:開示等対応 手順」に従って、開示等の請求を受け付けた時に、申請された個人情報がただし書きに該当し ないかどうかを確認し、あらかじめ個人情報保護管理者の承認を得なければならない。 >>参照文書 「マネジメントシステム運用手順書:開示等対応手順」 3.4.4.2 開示などの求めに応じる手続 (1)当社は、開示等の求めに応じる手続として次の事項を定めなければならない。 <開示等の求めに応じる手続きとして定めるべき事項> a) 開示等の求めの申し出先 b) 開示等の求めに際して提出すべき書面の様式その他開示等の求めの方式 c) 開示等の求めをする者が、本人又は代理人であることの確認の方法 d) 本規程「3.4.4.4 開示対象個人情報の利用目的の通知」又は本規程「3.4.4.5 開示対象 個人情報の開示」による場合の手数料(手数料を定める場合のみ)の徴収方法 19 PMS-B-001 個人情報保護規程 (2)本人からの開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課すも のとならないよう配慮しなければならない。 (3)本人からの求めに応じて、開示対象個人情報の利用目的の通知や開示を行う際、手数料を 徴収するときは、実費を勘案して合理的であると認められる範囲内において、その額を定め なければならない。 (4)なお、開示等の求めに応じる手続きについては、文書「個人情報の開示等の手続きについ て」に定める。 >>参照文書 「個人情報の開示等の手続きについて」 3.4.4.3 開示対象個人情報に関する周知など (1)当社は、取得した個人情報が開示対象個人情報に該当する場合は、当該開示対象個人情報 に関し、次の事項を本人の知り得る状態(本人の求めに応じて遅延なく回答する場合を含む。) に置くために、次の事項を「個人情報の開示等の手続きについて」として、HP 上に公開し、 周知する。 (2)当社の従業員に対しては、社内文書にて、周知する。 <開示対象個人情報に関して、本人の知り得る状態に置くべき事項> a) 当社の名称 b) 個人情報保護管理者(若しくはその代理人)の氏名又は役職名、所属及び連絡先 c) すべての開示対象個人情報の利用目的(本規程「3.4.2.5 個人情報を 3.4.2.4(直接書面 によって取得)以外の方法によって取得した場合の措置」の a)~c)までに該当する場合 を除く。) d) 開示対象個人情報の取扱いに関する苦情の申し出先 e) 当社が個人情報の保護に関する法律に定められた認定個人情報保護団体の対象事業であ る場合は、当該認定個人情報保護団体の名称及び苦情の解決の申し出先 f) 本規程「3.4.4.2 開示等の求めに応じる手続き」に定めた、開示等の求めに応じる手続 >>参照文書 「個人情報の開示等の手続きについて」 3.4.4.4 開示対象個人情報の利用目的の通知 (1)当社は、本人から、当該本人が識別される開示対象個人情報について、利用目的の通知を 求められた場合には、 「マネジメントシステム運用手順書:開示等対応手順」に従い、遅延な くこれに応じる。 (2)ただし、本規程「3.4.2.5 個人情報を 3.4.2.4(直接書面によって取得)以外の方法によっ て取得した場合の措置」のただし書き a)~c)のいずれかに該当する場合、又は本規程「3.4.4.3 開示対象個人情報に関する周知など」c)により当該本人が識別される開示対象個人情報の利 用目的が明らかな場合は利用目的の通知を必要としないが、そのときは、本人に遅滞なくそ の旨を通知するとともに、理由を説明する。このただし書きを適用しようとする場合は、 「マ ネジメントシステム運用手順書:開示等対応手順」に従って、その事についても、あらかじ め個人情報保護管理者の承認を得なければならない。 20 PMS-B-001 個人情報保護規程 >>参照文書 3.4.4.5 「マネジメントシステム運用手順書:開示等対応手順」 開示対象個人情報の開示 (1)当社は、本人から、当該本人が識別される開示対象個人情報の開示(当該本人が識別され る開示対象個人情報が存在しないときにその旨を知らせることを含む。)を求められたときは、 法令の規定により特別の手続が定められている場合を除き、 「マネジメントシステム運用手順 書:開示等対応手順」に従い、本人に対し、遅滞なく、当該開示対象個人情報を書面(開示 の求めを行なった者が同意した方法があるときは、当該方法)によって開示しなければなら ない。 (2)ただし、開示することによって次の a)~c)のいずれかに該当する場合は、その全部又は一 部を開示する必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由 を説明しなければならない。 <開示の求めの全部又は一部に応じなくてよい場合> a) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合 b) 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合 c) 法令に違反することとなる場合 このただし書きを適用しようとする場合は、 「マネジメントシステム運用手順書:開示等対応 手順」に従って、その事についても、あらかじめ個人情報保護管理者の承認を得なければな らない。 >>参照文書 3.4.4.6 「マネジメントシステム運用手順書:開示等対応手順」 開示対象個人情報の訂正、追加又は削除 (1)当社は、本人から、当該本人が識別される開示対象個人情報の内容が事実でないという理 由によって当該開示対象個人情報の訂正、追加又は削除(以下、この項において「訂正等」 という。)を求められた場合は、「マネジメントシステム運用手順書:開示等対応手順」に従 い、法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範 囲内において、遅延なく必要な調査を行い、その結果に基づいて、当該開示対象個人情報の 訂正等を行わなければならない。 (2)当社は、訂正等を行なったときは、その旨及びその内容を、本人に対し、遅滞なく通知し、 訂正等を行わない旨の決定をしたときは、その旨及びその理由を、本人に対し、遅延なく通 知しなければならない。 >>参照文書 3.4.4.7 「マネジメントシステム運用手順書:開示等対応手順」 開示対象個人情報の利用又は提供の拒否権 (1)当社が、本人から当該本人が識別される開示対象個人情報の利用の停止、消去又は第三者 への提供の停止(以下、この項において“利用停止等”という。)を求められた場合は、 「マ 21 PMS-B-001 個人情報保護規程 ネジメントシステム運用手順書:開示等対応手順」に従い、これに応じなければならない。 (2)当社は、措置を講じた後は、遅滞なくその旨を本人に通知しなければならない。 (3)ただし、本規程「3.4.4.5 開示対象個人情報の開示」のただし書き a)~c)のいずれかに該 当する場合は、利用停止等を行う必要はないが、そのときは、本人に遅延なくその旨を通知 するとともに、理由を説明しなければならない。 このただし書きを適用しようとする場合は、 「マネジメントシステム運用手順書:開示等対応 手順」に従って、その事についても、あらかじめ個人情報保護管理者の承認を得なければな らない。 >>参照文書 3.4.5 「マネジメントシステム運用手順書:開示等対応手順」 教育 (1)当社は、役員及び従業員(契約社員・アルバイトなどを含む)の全員へ、 「個人情報保護マネ ジメントシステム年間計画書」及び「教育年間計画書」に基づき定期的に、適切な教育を行 い、関連する各部門及び階層において、次の事項を自覚させる手順を確立し維持する。 <教育で理解させる事項> a) 個人情報保護マネジメントシステムに適合することの重要性及び利点。 b) 個人情報保護マネジメントシステムに適合するための役割及び責任。 c) 個人情報保護マネジメントシステムに違反した際に予想される結果。 (2)当社は、教育の計画及び実施、結果の報告及びそのレビュー、計画の見直し並びにこれら に伴う記録の保持に関する責任及び権限を定める手順を、「マネジメントシステム運用手順 書:教育実施手順」および「マネジメントシステム運用手順書:文書管理手順」に規定し、 かつ、維持する。 (3)新入社員については、入社時に、教育責任者が当社の個人情報保護マネジメントシステム にかかわる教育を実施する。 >>参照文書 「教育年間計画書」「マネジメントシステム運用手順書:教育実施手順」 22 PMS-B-001 個人情報保護規程 3.5 個人情報保護マネジメントシステム文書 3.5.1 文書の範囲 当社は、下記の個人情報保護マネジメントシステムの基本となる要素を、書面で記述する。 a) 個人情報保護方針 本規程「3.2 個人情報保護方針」の定めに従って制定、公表する。 b) 内部規定 本規程「3.3.5 内部規程」の定めに従って、本規程、及び「マネジメントシステム運 用手順書」「安全管理規程」として制定し、従業員に周知する。 c) 計画書 本規程「3.3.6 計画書」の定めに従って、 「個人情報保護マネジメントシステム年間計 画書」「教育年間計画書」 「内部監査年間計画書」を作成し、従業員に周知する。 d) JIS Q 15001 規格が要求する記録及び当社が個人情報保護マネジメントシステムを実施 する上で必要と判断した記録 該当する記録は、本規程などの内部規程において、その内容及び様式を規定し、 「マネジメントシステム文書一覧」に記載する。 >>参照文書 3.5.2 「マネジメントシステム文書一覧」 文書管理 (1)当社は、JIS Q 15001 が要求する全ての文書(記録の様式を含む。 )を管理する手順を、「マ ネジメントシステム運用手順書:文書管理手順」に定め、実施し、かつ維持する。 (2)文書管理の手順には、次の事項が含まれなければならない。 <文書管理の手順に規定すべき事項> a) 文書の発行及び改訂に関すること b) 文書の改訂の内容と版数の関連付けを明確にすること c) 必要な文書が必要なときに容易に参照できること >>参照文書 3.5.3 「マネジメントシステム運用手順書:文書管理手順」 記録の管理 (1)当社は、個人情報保護マネジメントシステム及び JIS Q 15001 の要求事項への適合を実証 するために必要な記録を作成し、維持する。 (2)作成する記録の一覧は「マネジメントシステム記録一覧」に記載する。 (3)当社は、記録の管理についての手順を「マネジメントシステム運用手順書:文書管理手順」 に定め、実施し、かつ維持する。 >>参照文書 「マネジメントシステム記録一覧」 「マネジメントシステム運用手順書:文書管理手順」 23 PMS-B-001 個人情報保護規程 3.6 苦情及び相談への対応 (1)当社は、個人情報の取扱い及び個人情報保護マネジメントシステムに関して、本人からの 苦情及び相談を受け付けて、適切、かつ、迅速な対応を行う手順を「マネジメントシステム 運用手順書:苦情・相談対応手順」に定め、かつ維持する。 (2)当社は、上記の目的を達成するために必要な体制として、本規程「3.3.4 資源、役割、責 任及び権限」に定められた個人情報保護窓口責任者の指揮の下、窓口担当者を含めた個人情 報保護窓口を設置する。 >>参照文書 3.7 「マネジメントシステム運用手順書:苦情・相談対応手順」 点検 3.7.1 運用の確認 (1)当社は、当社の個人情報保護マネジメントシステムが適切に運用されていることを各部門 及び階層において定期的に確認するための手順を「マネジメントシステム運用手順書:運用 確認手順」に定め、実施し、維持する。 >>参照文書 3.7.2 「マネジメントシステム運用手順書:運用確認手順」 監査 (1)当社は、当社の個人情報保護マネジメントシステムが JIS Q 15001:2006 規格の要求事項に 適合していること、及び当社の個人情報保護マネジメントシステムが適切に運用されている ことを確認するため、全部門を対象とした監査を実施する。 (2)定期的に実施する監査の時期については、 「個人情報保護マネジメントシステム年間計画書」 に規定する。 (3)個人情報保護監査責任者が必要と判断した場合は、随時、監査を行わなければならない。 (4)代表取締役は、JIS Q 15001:2006 規格の内容を理解し、公平かつ客観的な立場にある個人 情報保護監査責任者を当社の社内から指名し、監査の実施及び報告を行う責任と権限を他の 責任にかかわりなく与え、業務を行わせなければならない。 (5)個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、代表取締役に報告しな ければならない。 (6)個人情報保護監査責任者は、監査を実施する監査担当者を選定しなければならない。 (7)監査の実施においては、監査の客観性及び公平性を確保するため、監査担当者は、監査担 当者自身が所属する部門を監査してはならない。 (8)監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定 める手順を「マネジメントシステム運用手順書:内部監査実施手順」および「マネジメント システム運用手順書:文書管理手順」に定め、実施し、かつ、維持する。 >>参照文書 「マネジメントシステム運用手順書:内部監査実施手順」 24 PMS-B-001 個人情報保護規程 3.8 是正処置及び予防処置 (1)当社は、不適合に対する是正処置及び予防処置を確実に実施するための責任及び権限を定 める手順を「マネジメントシステム運用手順書:是正処置予防処置実施手順」に定め、実施 し、かつ、維持する。 (2)是正処置及び予防処置の手順には、次の事項が含まれなければならない。 <是正処置及び予防処置の手順に規定すべき事項> a) 不適合の内容を確認する。 b) 不適合の原因を特定し、是正処置及び予防処置を立案する。 c) 期限を定め、立案された処置を実施する。 d) 実施された是正処置及び予防処置の結果を記録する。 e) 実施された是正処置及び予防処置の有効性をレビューする。 >>参照文書 3.9 「マネジメントシステム運用手順書:是正処置予防処置実施手順」 代表者による見直し (1)代表取締役は、個人情報の適切な保護を維持するために、次の事項を考慮して、当社の個 人情報保護マネジメントシステムを見直さなければならない。 (2)定期的に実施する見直しの時期は、毎年3月とする。 (3)代表取締役が必要と判断した場合には、随時、見直しを実施しなければならない。 <マネジメントシステムの見直しで考慮すべき事項> a) 監査及び個人情報保護マネジメントシステムの運用状況に関する報告 b) 苦情を含む外部からの意見 c) 前回までの見直しの結果に対するフォローアップ d) 個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況 e) 社会情勢の変化、一般の認識の変化、技術の進歩などの諸環境の変化 f) 事業領域の変化 g) 改善のための提案 (4)見直しの手順は、 「マネジメントシステム運用手順書:マネジメントレビュー実施手順」に 定め、実施し、かつ、維持する。 >>参照文書 「マネジメントシステム運用手順書:マネジメントレビュー実施手順」 25