個人情報保護規程

第1章 総則

(目的)
第1条 この規程は、金城学院大学生活協同組合(以下「生協」という)が取り扱う個人情報の適切な保護の為の項目を定め、生協の個人情報保護基本方針(ポリシー)に基づき適正な保護が実現されることを目的とする。

(定義)
第2条 この規程おいて、次の各号に掲げる用語の定義は、当該各号に定めるところによる。

(1)個人情報
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号、画像若しくは音声により当該個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む)をいう。

(2)個人情報データベース等
個人情報を含む情報の集合物であって、特定の個人情報についてコンピュータを用いて検索できるように体系的に構成したもの及び一定の規則にしたがって整理することにより特定の個人情報を容易に検索できるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。

(3)個人データ
個人情報データベース等を構成する個人情報をいう。

(4)保有個人データ
生協が開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データをいう。ただし、その存否が明らかになることにより公益その他の利益が害されるものとして以下のものに該当する場合及び6ヶ月以内に消去することとなるものは除く。

  • 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
  • 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
  • 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
  • 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

(5)本人
個人情報によって識別される特定の個人をいう。

(6)個人情報保護管理責任者
理事会で指名された者で、生協の個人情報の管理について決定する責任と権限を有する者をいう。

(7)個人情報保護管理者
個人情報保護管理責任者から指名された者で、生協各部の個人情報の管理について決定する責任と権限を有する者をいう。

(8)個人情報保護監査責任者
理事会で指名された者で、監査の実施及び報告を行う責任と権限を有する者をいう。

(9)個人情報保護教育責任者
個人情報保護管理責任者から指名された者で、個人情報保護教育に関する責任と権限を有する者をいう。

(10)個人情報苦情対応責任者
個人情報保護管理責任者から指名された者で、個人情報の取扱に関する苦情の適切かつ迅速な処理、および苦情全般の管理に関する責任と権限を有する者をいう。

(11)役職員
生協の役員、職員、補助職員、派遣社員、アルバイトをさす。

(適用範囲)
第3条 本規程は、生協の役職員に対して適用する。

2 個人情報を取り扱う業務を外部に委託する場合も、この規程の趣旨に従って、個人情報の適正な保護を図る。

第2章 管理体制

(個人情報保護管理責任者の指名)
第4条 理事会は、個人情報保護管理責任者を指名し業務を行わせる。

(個人情報保護管理責任者の責務)
第5条 個人情報保護管理責任者は以下の業務を行う。

(1)個人情報保護管理責任者は、業務の実施にあたって個人情報保護管理者、個人情報保護教育責任者および個人情報苦情処理責任者を指名し、職務を遂行する。

(2)個人情報保護管理責任者は、毎年実施状況を確認し、必要に応じて実施状況を理事会に報告する。

(3) 個人情報保護管理責任者は、事故発生時の対応手順を定める。

(役職員の責務)
第6条 役職員はこの規程を遵守するとともに、事故及びこの規程の違反を見つけた場合には、速やかに個人情報保護管理者へ報告する。

第3章 個人情報保護基本方針(ポリシー)の策定及び公表

(決定方法等)
第7条 個人情報保護基本方針(ポリシー)は、個人情報保護法の立法趣旨を十分に踏まえたうえで作成し、これを理事会に諮って決定し、公表する。

第4章 個人情報の取得等

(利用目的の特定)
第8条 個人情報を取扱うにあたっては、本人がその取扱いについての諾否を判断できる程度にその利用の目的(以下「利用目的」という)を特定する。

2 利用目的の変更は、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行なわない。

(利用目的による制限)
第9条 あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取扱ってはならない。

2 合併その他の事由により他の事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取扱ってはならない。

3 前項の規定は、次に掲げる場合については、適用しない。

(1)法令に基づく場合

(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人との同意を得ることが困難であるとき

(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(適正な取得)
第10条 偽りその他不正な手段により個人情報を取得してはならない。

(取得に際しての利用目的の通知等)
第11条 直接的または間接的に個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表しなければならない。

(書面やインターネット等の情報ネットワーク上等で本人から直接に取得する場合の措置)
第12条 書面やインターネット等の情報ネットワークで本人から直接当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

(利用目的の変更時の措置)
第13条 利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

(取得時及び利用目的の変更時の措置の適用除外)
第14条 第9条、第10条及び第11条の規定は、次の各号に掲げる場合については適用しない。

(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

(2)利用目的を本人に通知し、又は公表することにより当該事業者の権利又は正当な利益を害するおそれがある場合

(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき

(4)取得の状況からみて利用目的が明らかであると認められる場合

第5章 個人データの管理

(個人データの正確性の確保)
第15条 利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。

(安全管理措置)
第16条  生協は、その取扱う個人データの漏洩、滅失又はき損の防止その他個人データの安全管理の為の措置として、次の各号に関する細則を定める。

(1)入退室管理に関する事項

(2)アクセス管理(ウイルス防止含む)に関する事項

(3)データ管理(バックアップ、保管、廃棄等)に関する事項

(4)委託処理に関する事項

(5)物品等の持ち出しに関する事項

(6)個人データの記録がある資料等の廃棄等に関する事項

(職員の監督)
第17条  職員に個人データを取扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該職員に対する必要かつ適切な監督を行わなければならない。

2 前項の監督に当たっては少なくとも次の各号を行わなければならない。

(1)規程・細則等を定め、職員に周知すること

(2)職員に対して定期的に個人情報の保護に関する教育を実施すること

(3)個人データが適切に取扱われているか、必要に応じて確認すること

(委託先の監督)
第18条  個人データの取扱の全部又は一部を委託する場合は、委託した個人データの安全管理が図られるよう、委託を受けた者に対して必要かつ適切な監督を行う。

2 前項の監督に当たっては、次の各号の実施に努める。

(1)委託先については次の事項について継続的に把握し、委託先の評価を定期的に行うように努める。

  • 委託業者の経営状況、設備の状況、処理・開発能力及び技術水準
  • 委託(している)しようとする業務領域の実績
  • 委託業者の安全対策に関する規程等の整備状況及び実施状況
    *外部認証の取得状況
    *未取得の場合は、個人情報保護に向けた会社の姿勢、取組み
    *個人情報保護研修の実施状況

(2)個人情報の保護に関する事項を契約書に明記するように努める。個人情報保護に関する事項としては、以下の事項がある。

  • 秘密保持に関する事項
  • 委託業務の執行場所に関する事項
  • デ-タ等の取扱に関する事項
  • デ-タの返却及び消去に関する事項
  • 書面による承認なく再委託することの禁止に関する事項
  • 監査への協力に関する事項
  • 損害賠償に関する事項

(3)再委託される場合を含めて実効的な監督体制を確保するように努める。実効的な監督体制としては、以下のような事項がある。

  • 運用基準書等による、預託及び中間媒体としての個人情報の管理場所・管理方法の明確化と実態確認
  • 預託及び中間媒体としての個人情報について個人情報保護責任者の明確化と実態確認
  • 委託先における内部点検計画の事前確認、方法および結果についての報告受領
  • やむを得ず再委託が必要な場合は、再委託先に対する監査計画の事前確認、方法および結果についての報告受領

第6章 個人データの第三者提供

(第三者提供の制限)
第19条  次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供しない。

(1)法令に基づく場合

(2)人の生命、身体又は財産その他の権利利益の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(第三者に提供できる場合)
第20条  次の各号に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前条の規定にかかわらず、当該個人データを第三者に提供することができる。

(1)第三者への提供を利用目的とすること

(2)第三者に提供される個人データの項目

(3)第三者への提供の手段又は方法

(4)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

2 前項(2)又は(3)に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くこととする。

(第三者提供に該当しない場合)
第21条  次の各号のいずれかに該当する場合は、第三者提供に該当しないものとする。

(1)生協が利用目的の達成に必要な範囲内において個人データの取扱の全部又は一部を委託する場合

(2)合併その他の事由による事業の承継に伴って個人データが提供される場合

(3)個人データを特定の者との間で共同して利用する場合で以下の事項をあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき

  • 共同利用する旨
  • 共同して利用される個人データの項目
  • 共同して利用する者の範囲
  • 利用する者の利用目的
  • 当該個人データの管理について責任を有する者の氏名又は名称

2 前項(3)に規定する項目のうち、4.又は5.を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くこととする。

第7章 保有個人データに関する開示・変更・利用停止等の求めへの対応

(保有個人データに関する事項の公表等)
第22条 保有個人データに関し、次の各号に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

(1)生協の名称

(2)すべての保有個人データの利用目的

(3)保有個人データの開示、訂正等、利用停止等の手続及び保有個人データの開示、利用目的の通知を求められたときの手数料の額

(4)生協が行う保有個人データの取扱に関する苦情の申出先

2 本人から、当該本人が識別される個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の(1)から(3)までのいずれかに該当する場合はこの限りでなく、利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

(2)利用目的を本人に通知し、又は公表することにより生協の権利又は正当な利益を害するおそれがある場合

(3)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき

(開示)
第23条 保有個人データに関し、本人から自己の情報について開示を求められた場合は、遅滞なくこれに応じなければならない。ただし、開示することにより次の各号に該当する場合はその全部又は一部を開示しないことができる。その場合はその旨を本人に対して遅滞なく通知を行う。開示に当たっては書面により交付することとする。ただし、開示の求めを行った者が同意した方法があるときは、当該方法で行うことができる。

(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

(2)生協の業務の適正な実施に著しい支障を及ぼすおそれがある場合

(3)他の法令に違反することとなる場合

2 前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する。

(訂正等)
第24条 保有個人データに関し、本人から自己の情報に関して事実でないという理由で訂正、追加又は削除(以下「訂正等」という。)を求められたときは、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、これに応じる。

2 前項の規定に基づき訂正等を行ったとき又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知する。

(利用停止等)
第25条 保有個人データに関し、本人から自己の情報に関してその利用目的の制限や適正な取得に違反して取扱われているという理由及び第三者への提供が違反して行われているという理由により利用停止又は消去(以下「利用停止等」という。)を求められた場合で、その求めに理由があることが判明したときには、違反を是正するために必要な限度で、遅滞なく、これに応じ、その旨を本人に対して通知する。ただし、多額の費用を要する等、その実施について困難である場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

2 前項の規定に基づき既に保有している個人データについて利用停止等を行ったとき又は利用停止等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する。

(理由の説明)
第26条 開示、訂正等及び利用停止等(以下「開示等」という。)の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努める。

(開示等の求めに応じる手続)
第27条 保有個人データについての本人からの開示等の求めに関し、その求めを受け付ける方法として次の各号について定める。この場合において、生協は、当該方法に従って行われる本人の求めを受け付けることとする。

(1)開示等の求めの申し出先

(2)開示等の求めに際して提出すべき書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。)の様式その他の開示等についての求めの方式

(3)開示の求めをする者が本人又は本条第4項に規定する代理人であることの確認方法

(4)手数料の徴収方法

2 本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、生協は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとることとする。

3 本人の求めに対する利用目的の通知及び開示についてその実施に関し、実費を勘案して合理的であると認められる範囲内において定める手数料を徴収することができる。

4 次の各号に掲げる代理人による開示の求めには応じることとする。

(1)未成年者又は成年被後見人の法定代理人

(2)開示等の求めをすることにつき本人が委任した代理人

第8章 個人情報の取扱に関する苦情処理

(苦情処理)
第28条 個人情報苦情対応責任者は、個人情報の取扱に関する苦情の適切かつ迅速な処理を行うとともに、苦情全般の管理に努める。

2 生協は、前項の目的を達成するために必要な体制の整備に努める。

(個人データの紛失等発生時の対応)
第29条 個人データが紛失または漏洩した場合には、速やかに個人情報保護管理者に報告するとともに、適切な措置を取ることとする。

第9章 教育

(教育責任者の指名)
第30条 個人情報保護管理者は、個人情報保護教育責任者を指名し教育を行うこととする。

(教育および個人情報保護教育責任者の責務)
第31条 教育責任者は、毎年の個人情報保護教育計画を策定の上、個人情報保護管理者に報告することとする。教育責任者は、全役職員、補助職員、アルバイト、派遣社員に対する教育実施記録を管理し、保管することとする。

第10章 監査および見直し

(個人情報保護監査責任者の指名)
第32条 理事会は、個人情報保護監査責任者を指名し監査を行わせることとする。

(監査および個人情報保護監査責任者の責務)
第33条 個人情報保護監査責任者は、この規程の継続的な運用状況について毎年監査することとする。監査責任者は、監査を指揮し、監査報告書を作成して理事会、監事会に報告する。

(見直し)
第34条 理事会、監事会は、監査報告書及びその他の経営環境などに照らして、適切な個人情報の保護を維持するために、個人情報保護管理責任者にこの規程及び細則等の見直しを必要に応じて指示する。

第11章 細則

(細則等)
第35条 この規程の運用に必要な細則は別に定める。

第12章 罰則

(罰則)
第36条 この規程及びこの規程に基づいて定められた細則等に違反したものは就業規則に基づく懲戒の対象となる。

以上

HOMEに戻る

ページの先頭へ