第1章 個人情報保護方針


(個人情報保護方針)
第1条 代表取締役は、個人情報保護の理念を明確にした上で、個人情報保護方針を定めると ともに、これを実行しかつ維持するものとする。

第2章 目的


(目的、範囲)
第2条 本規定は、グラビスアーキテクツ株式会社(以下、「当社」という)の役員および従業員がJISQ15001:2006および「情報サービス産業個人情報保護ガイドライン[第4版](以下、「JIS規格等」という)に準拠し、情報セキュリティ規程で定める情報セキュリティ方針ならびに第1条で定める個人情報保護方針に従って、当社が取扱うすべての個人情報を適切に保護するための実施事項を定め、個人情報への不正アクセス、個人情報の紛失、破壊、改ざんおよび漏えいを予防することを目的とする。

第3章 用語


(定義)
第3条 本規定で用いる主な用語の定義は、次のとおりとする。
(1) 個人情報個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)をいう。
(2) 個人情報保護マネジメントシステム当社が自らの事業の用に供しているあらゆる種類、規模の個人情報について、その有用性を配慮しつつ、個人の権利利益を促進するための方法、体制、計画、実施、運用の確認、及び見直しを含むマネジメントシステムのこという。当社においては、情報セキュリティマネジメントシステムに包含して実施するものである。
(3) 情報セキュリティマネジメントシステム当社が自らの事業の用に供する 個人情報の保護を含む情報セキュリティに関する法令や基準を遵守するための方針、組織、計画、監査および見直しを含むマネジメントシステムのことをいう。情報セキュリティマネジメントシステムについては、情報セキュリティ規程に記載している。
(4)役員とは、以下の者をいう。 1)取締役 2)執行役員 3)監査役 4)顧問等役員に準じる者
(5)従業員とは、以下の者をいう。 1)見習従業員 2)正従業員社員 3)嘱託従業員 4)パートタイマー・アルバイト 5)当社で就業している出向受入従業員 6)派遣社員等、当社の管理・監督下で当社の事業活動に従事する者
(6)本人 個人情報によって識別される特定の個人をいう。
(7)情報セキュリティ管理責任者 情報セキュリティ規程の定めにより、本規定の内容を理解し実践する能力のある者として、代表取締役によって当社の内部から指名された者で、本規定の実施および運用に関する責任と権限を持つ者をいう。なお、情報セキュリティ管理責任者は、やむを得ない場合を除いて、当社内部に権限、影響力を有する役員レベルを任命するものとする。
(8)情報セキュリティ部門管理者 情報セキュリティ規程の定めにより情報セキュリティ管理責任者によって当社の内部から指名された者で、事業部門および本部部門(以下、「事業部門」という)における本規定の実施に関する責任と権限を持つ者をいう。
(9)個人情報保護担当者 (情報セキュリティ・プロジェクト管理者)情報セキュリティ部門管理者によって当社の内部から指名された者であって、個別業務における個人情報の保護を含む情報セキュリティ管理に関する責任と権限を持つ者をいう。
(10)監査責任者 情報セキュリティ規程の定めにより代表取締役により、当社の内部から指名され、情報セキュリティ管理責任者から独立した公平かつ客観的な立場にあり、内部監査の実施および報告を行う権限を有する者をいう。
(11)教育責任者 情報セキュリティ規程の定めにより、情報セキュリティ管理責任者より当社の内部から指名され、情報セキュリティ管理責任者を補佐して、個人情報を含む情報の取扱や情報セキュリティマネジメントシステムの運用に関して、役員および従業員に教育の実施並びに報告を行う責任と権限を持つ者をいう。
(12)苦情相談窓口 情報セキュリティ規程の定めにより、情報セキュリティ管理責任者より当社の内部から指名され、個人情報を含む情報の取扱や情報セキュリティマネジメントシステムの運用全般に関して、本人(取引先、一般顧客、当社社員等)からの苦情および相談を受付けて対応を行う者をいう。
(13)不適合 本規定の要求を満たしていないことをいう。
(14)本人の同意 本人が、個人情報の取扱いに関する情報を与えられた上で、自己に関する個人情報の取扱いについて承諾する意思表示をいう。ただし、本人が子ども又は事理を弁識する能力を欠く者の場合は、法定代理人などの同意も得なければならない。
(15)取得目的 個人情報の利用および提供の範囲を定め、本人の同意の対象となるものをいう。
(16)利用 社内で個人情報を処理すること。
(17)提供 社外の者に当社が保有する個人情報を渡し、利用可能にすること。
(18) 預託および貸与預託 預託および貸与預託とは、顧客等から委託業務遂行などに必要な情報資産を預かることをいう。また、貸与とは、外部委託会社等、社外へ当社が管理する情報資産を預けることをいう。

第4章 個人情報保護の体制


(実施体制、資源、役割、責任及び権限等))
第4条 情報セキュリティ管理責任者は、情報セキュリティ規程で定める組織体制において、個人情報を含む情報セキュリティマネジメントシステムを確立し、実施し、維持し、かつ、改善するものとする
2.情報セキュリティ管理責任者は、個人情報を含む情報セキュリティマネジメントシステムに不可欠な資源を用意し、確立し、実施し、維持し、かつ、改善するものとする。
3.情報セキュリティ管理責任者は、個人情報を含む情報セキュリティマネジメントシステムを効果的に実施するために役割、責任及び権限を定め、文書化し、かつ、役員および従業員に周知しなければならない。
4.情報セキュリティ管理責任者は、個人情報を含む情報セキュリティマネジメントシステムを確実に実施するための実施細則としてI SMS実施マニュアルを作成、維持し適宜見直すものとする。
5.情報セキュリティ管理責任者は、個人情報を含む情報セキュリティマネジメントシステムの見直しおよび改善の基礎として、情報セキュリティマネジメントシステムの運用状況を代表取締役に報告するものとする。

第5章 個人情報の特定、リスク対応および実施責任


(個人情報の特定)
第5条 情報セキュリティ管理責任者は、コンピュータシステムにより処理されているか否か、および書面に記録されているか否かを問わず、当社の事業の用に供するすべての個人情報を特定するための手順を確立し、かつ、維持しなければならない。

(リスク等の認識・分析及び対策)
第6条情報セキュリティ管理責任者は、特定した個人情報について、目的外利用を行わないために必要な対策を講じる手順を確立し、維持しなければならない。
2.特定した個人情報について、その取扱いの各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。

(法令およびその他規範の特定)
第7条 情報セキュリティ管理責任者は、個人情報の取扱いに関する法令、国が定める 指針その他の規範(以下、「準拠すべき法令等」という)を特定し、参照できる手順を確立し、かつ、維持しなければならない。

(実施細則の制定)
第8条 情報セキュリティ管理責任者は、個人情報に関わる次の事項を含む細則等を文書化し、かつ、維持しなければならない。
(1)個人情報を特定すること
(2)法令、国が定める指針その他の規範の特定、参照及び維持に関すること
(3)個人情報に関するリスクの認識、分析及び対策のこと
(4)各部門及び階層における個人情報を保護するための権限及び責任に関すること
(5)緊急事態(個人情報が漏えい,滅失又はき損をした場合)への準備及び対応に関すること
(6)個人情報の取得、利用及び提供に関すること
(7)個人情報の適正管理に関すること
(8)本人からの開示等の求めへの対応に関すること
(9)教育に関すること
(10)個人情報を含む情報セキュリティマネジメントシステム文書の作成及び管理に関すること
(11)苦情及び相談への対応に関すること
(12)運用の確認に関すること
(13)監査に関すること
(14)是正処置及び予防処置に関すること
(15)代表者による個人情報を含む情報セキュリティマネジメントシステムの見直しに関すること
(16)細則等の違反に関する罰則のこと
2.事業の内容に応じて、個人情報を含む情報セキュリティマネジメントシステム が確実に適用されるように細則等を改定しなければならない。

(教育および監査計画)
第9条 教育責任者および監査責任者は、個人情報を含む情報セキュリティマネジメントシステムを確実に実施するために必要な教育、監査などの計画を少なくとも年1回以上立案し、文書化し、かつ、維持しなければならない。

(情報セキュリティ部門管理者の責務)
第10条 情報セキュリティ部門管理者は、準拠すべき法令等および本規定に定められた事項を理解し、遵守するとともに、事業部門における個人情報を取扱う者に本規定、および安全対策等の周知彳散底を実施する責任を負うものとする。
2.情報セキュリティ部門管理者は、担当部門における個人情報を取扱う業務を特定し、当該業務の個人情報保護担当者が特定した個人情報に係わるリスクと保護策を承認し、情報セキュリティ管理責任者に提出するものとする。

(個人情報保護担当者の責務)
第11条 個人情報保護担当者は、原則として個人情報取扱業務のプロジェクトマネージャもしくは同等の者から、情報セキュリティ部門管理者により指名された者で、準拠すべき法令等および本規定に定められた事項を理解し、遵守するとともに、当該業務で取扱う個人情報の管理に関して責任を負うものとする。
2.個人情報保護担当者は、担当する業務が取扱う個人情報を特定し、当該個人情報の取扱いに係わるリスクを識別し、当該リスクを予防するための保護策を情報セキュリティ部門管理者に提出し、承認を得るものとする。
3.個人情報保護担当者は、承認された個人情報の保護策および管理手順を当該個人情報の取扱者に周知し、遵守させるものとする。

(個人情報の取扱者の責務)
第12条 個人情報の取扱者は、個人情報の取得、利用または提供等の際、準拠すべき法令等および本規定に従い、個人情報の秘密の保持に十分な注意を払いつつその業務を行うものとする。

(緊急事態への準備)
第13条 情報セキュリティ管理責任者は、緊急事態を特定するための手順、また、それらにどのように対応するかの手順を確立し、実施し、かつ、維持しなければならない。
2.個人情報が漏えい、滅失又はき損をした場合に想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれを考慮し、その影響を最小限とするための手順を確立し、かつ、維持しなければならない。
3.個人情報の漏えい、滅失又はき損が発生した場合に備え、次の事項を含む対応手順を確立し、かつ、維持しなければならない。
(1)当該漏えい、滅失又はき損が発生した個人情報の内容を本人に速やかに通知し、又は本人が容易に知り得る状態に置くこと
(2)二次被害の防止、類似事案の発生回避などの穎点から、可能な限り事実関係、発生原因及び対応策を、遅滞なく公表すること (3)事実関係、発生原因及び対応策を関係機関に直ちに報告すること (4)顧客から取扱いの預託を受けた個人情報の漏えい、滅失又はき損に関して、直ちに委託元に報告すること

第6章 個人情報の取得に関する措置


(利用目的の特定)
第14条 個人情報を取得するに当たっては、その利用目的をできる限り特定し、その目 的の達成に必要な限度において行わなければならない。

(取得方法の制限)
第15条 個人情報の取得は、適法かつ公正な手段によって取得しなければならない。

(特定の機微な個人情報の取得・利用および提供の禁止)
第16条 次に示す内容を含む個人情報の取得、利用又は提供を行ってはならない。ただし、これらの取得、利用又は提供について、明示的な本人の同意がある場合、及び第19条のただし書き⑴〜⑷のいずれかに該当する場合は、この限りでない。
(1)思想、信条又は宗教に関する事項
(2)人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
(3)勤労者の団結権、団体交渉その他団体行動の行為に関する事項
(4)集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項
(5)保健医療又は性生活に関する事項

(本人から直接書面によって取得する場合の措置)
第17条 本人から、書面(電子的方式、磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下、同じ)に記載された個人情報を直接に取得する場合には、少なくとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、本人の同意を得なければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合、第18条のただし書き(1)〜(4)及び第19条のただし書き(1)〜(4)のいずれかに該当する場合は、この限りでない。
(1)当社の名称
(2)個人情報保護管理者又はその代理人の氏名、職名、所属及び連絡先
(3)利用目的
(4)個人情報を第三者に提供することが予定される場合には次の各事項 1)第三者に提供する目的 2)提供する個人情報の項目 3)提供の手段又は方法 4)当該情報の提供を受ける者又は提供を受ける者の組織の種類及び属性
(5) 5)個人情報の取扱いに関する契約がある場合はその旨
(6)個人情報の取扱いの委託を行うことが予定される場合には、その旨
(7)第29条〜第32条に該当する場合には、その求めに応じる旨及び問い合わせ窓口
(8)本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
(9)本人が容易に認識できない方法によって個人情報を取得する場合には、その旨

(個人情報を直接書面以外の方法によって取得した場合の措置)
第18条 個人情報を第17条以外の方法によって取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知し、又は公表しなければならない。ただし、次に示すいずれかに該当する場合は、この限りではない。
(1)利用目的を本人に通知し、又は公表することによって本人若しくは第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)利用目的を本人に通知し、又は公表することによって当社の権利又は正当な利益を害するおそれがある場合
(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、禾Ij用目的を本人に通知し、又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき
(4)取得の状況からみて利用目的が明らかであると認められる場合

第7章 個人情報の利用および提供に関する措置


(利用に関する措置)
第19条 特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならない。 特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、少なくとも、第17条⑴〜(6)に示す事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得なければならない。ただし、次に示すいずれかに該当する場合は、この限りではない
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき

(本人にアクセスする場合の措置)
第20条 個人情報を利用して本人にアクセスする場合には、本人に対して、第17条(1)〜(6)に示す事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得なければならない。ただし、次に示すいずれかに該当する場合は、この限りではない。
(1)第17条(1)〜(6)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、既に本人の同意を得ているとき
(2)個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報を、その利用目的の達成に必要な範囲内で取り扱うとき
(3)合併その他の事由による事業の承継に伴って個人情報が提供され、個人情報を提供する事業者が、既に第17条⑴〜(6)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき(4)個人情報が特定の者との間で共同して利用され、共同利用者が、既に第17 条(1)〜(6)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
1)共同して利用すること
2)共同して利用される個人情報の項目
3)共同して利用する者の範囲
4)共同して利用する者の利用目的
5)共同して利用する個人情報の管理について責任を有する者の氏名又は名称
6)取得方法
(5)第18条のただし書き(4)に該当するため、利用目的などを本人に明示、通知又は公表することなく取得した個人情報を利用して、本人にアクセスするとき
(6)第19条のただし書き⑴〜⑷のいずれかに該当する場合

(提供に関する措置)
第21条 個人情報を第三者に提供する場合には、あらかじめ本人に対して、取得方法及 び第17条(1)〜(4)の事項又はそれと同等以上の内容の事項を通知し、本人の同意を得なければならない。ただし、次に示すいずれかに該当する場合は、この限りではない。
(1)第17条又は第20条の規定によって、既に第17条⑴〜⑷の事項又はそれと同等以上の内容の事項を本人に明示又は通知し、本人の同意を得ているとぎ
(2)大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難 な場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ本人に通知し、又はそれに代わる同等の措置を講じているとき
1)第三者への提供を利用目的とすること
2)第三者に提供される個人情報の項目
3)第三者への提供の手段又は方法
4)本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること
5)取得方法
(3)法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であって、かつ、法令に基づき又は本人若しくは当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって、(2)で示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
(4)特定した利用目的の達成に必要な範囲内において、個人情報の取扱いの全部又は一部を委託するとき
(5)合併その他の事由による事業の承継に伴って個人情報を提供する場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき
(6)個人情報を特定の者との間で共同して利用する場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているとき
1)共同して利用すること
2)共同して利用される個人情報の項目
3)共同して利用する者の範囲
4)共同して利用する者の利用目的
5)共同して利用する個人情報の管理について責任を有する者の氏名又は名称
6)取得方法
(7)第19条のただし書き⑴〜⑷のいずれかに該当する場合

第8章 個人情報の適正管理義務


(個人情報の正確性の確保)
第22条 利用目的の達成に必要な範囲内において、個人情報を、正確、かつ、最新の状 態で管理しなければならない。

(安全管理措置)
第23条 個人情報のリスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の 安全管理のために必要かつ適切な措置を講じなければならない。

(従業者の監督)
第24条 個人情報を取扱わせるに当たっては、当該個人情報の安全管理が図られるよう、当該従業者に対し必要かつ適切な監督を行わなければならない。

(委託先の監督) 第25条 個人情報の取扱いの全部又は一部を委託する場合は、十分な個人情報の保護水準を満たしている者を選定しなければならない。このため、委託を受ける者を選定する基準を確立しなければならない。
2.個人情報の取扱いの全部又は一部を委託する場合は、委託する個人情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
3.次に示す事項を契約によって規定し、十分な個人情報の保護水準を担保しなければならない。
(1)委託者及び受託者の責任の明確化
(2)個人情報の安全管理に関する事項
(3)再委託に関する事項
(4)個人情報の取扱い状況に関する委託者への報告の内容及び頻度
(5)契約内容が遵守されていることを委託者が確認できる事項
(6)契約内容が遵守されなかった場合の措置
(7)事件・事故が発生した場合の報告・連絡に関する事項
4.前項の当該契約書などの書面を、少なくとも個人情報の保有期間にわたって保 存しなければならない。

第9章 開示対象個人情報に関する本人の権利


(開示対象個人情報に関する権利)
第26条 電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理、分類し、目次、索引、符号などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であって、本人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの(以下、「開示対象個人情報」という。)に関して、本人から利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止(以下、「開示等」という。)を求められた場合は、第29条から第32条の規定によって、遅滞なくこれに応じなければならない。ただし、次のいずれかに該当する場合は、開示対象個人情報ではない。
(1)当該個人情報の存否が明らかになることによって、本人若しくは第三者の生命、身体若しくは財産に危害が及ぶおそれのあるもの
(2)当該個人情報の存否が明らかになることによって、違法又は不当な行為を助長し、又は誘発するおそれのあるもの
(3)当該個人情報の存否が明らかになることによって、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ、又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの
(4)当該個人情報の存否が明らかになることによって、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序維持に支障が及ぶおそれのあるもの

(開示対象個人情報の開示等の求めに応じる手続)
第27条 開示対象個人情報の開示等の求めに応じる手続として、次の事項を定めなければならない
(1)開示等の求めの申し出先
(2)開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式
(3)開示等の求めをする者が、本人又は代理人であることの確認の方法
(4)第29条又は第30条による場合の手数料を定めた場合はその徴収方法
2.本人からの開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
3.第29条又は第30条によって本人からの求めに応じる場合に、手数料を徴収するときは、実費を勘案して合理的であると認められる範囲内において、その額を定めなければならない。

(開示対象個人情報に関する事項の周知など)

第28条 取得した個人情報が開示対象個人情報に該当する場合は、当該開示対象個人情報に関し、次の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
(1)当社の名称
(2)個人情報保護管理者又はその代理人の氏名、職名、所属及び連絡先
(3)すべての開示対象個人情報の利用目的。ただし、第18条第1項(1)〜(3)に該当する場合を除く
(4)開示対象個人情報の取扱いに関する苦情の申し出先
(5)第27条によって定めた手続

(開示対象個人情報の利用目的の通知)
第29条 本人から、当該本人が識別される開示対象個人情報について、利用目的の通知を求められた場合には、遅滞なくこれに応じなければならない。ただし、第18条第1項⑴〜⑶のいずれかに該当する場合又は第28条(3)によって当該本人が識別される開示対象個人情報の利用目的が明らかな場合は、利用目的の通知を必要としないが、そのときは本人に遅滞なくその旨を通知するとともに、理由を説明しなければならない。

(開示対象個人情報の開示)
第30条 本人から、当該本人が識別される開示対象個人情報の開示(当該本人が識別される開示対象個人情報が存在しないときにその旨を知らせることを含む。)を求められたときは、法令の規定によって特別の手続が定められている場合を除き、本人に対し、遅滞なく、当該開示対象個人情報を書面(開示の求めを行った者が同意した方法があるときは、当該方法)によって開示しなければならない。ただし、開示することによって次の⑴〜⑶のいずれかに該当する場合は、その全部又は一部を開示する必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明しなければならない。
(1)本人若しくは第三者の生命、身体、財産その他の権利利益を害するおそれ がある場合
(2)当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)法令に違反することとなる場合

(開示対象個人情報の訂正、追加又は削除)
第31条 本人から、当該本人が識別される開示対象個人情報の内容が事実でないという理由によって当該開示対象個人情報の訂正、追加又は削除(以下、本条において「訂正等」という。)を求められた場合は、法令の規定によって特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該開示対象個人情報の訂正等を行わなければならない。また、訂正等を行ったときは、その旨及びその内容を、本人に対し、遅滞なく通知し、訂正等を行わない旨の決定をしたときは、その旨及びその理由を、本人に対し、遅滞なく通知しなければならない。

(開示対象個人情報の利用又は提供の拒否権)
第32条 本人から当該本人が識別される開示対象個人情報の利用の停止、消去又は第三者への提供の停止(以下、本条において「利用停止等」という。)を求められた場合、これに応じなければならない。また、措置を講じた後は、遅滞なくその旨を本人に通知しなければならない。ただし、次の(1)〜(3)のいずれかに該当する場合は、利用停止等を行う必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明しなければならない。
(1)本人若しくは第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)法令に違反することとなる場合

第10章 教育


(教育)
第33条 教育責任者は、情報セキュリティ規程に従い、役員および従業員に、少なくと も年1回以上適切な教育を行わなければならない。
2.関連する各部門及び階層において、その従業者に次の事項を理解させる手順を確立し、かつ、維持しなければならない。
(1)個人情報を含む情報セキュリティマネジメントシステムに適合することの重要性及び利点
(2)個人情報を含む情報セキュリティマネジメントシステムに適合するための役割及び責任
(3)個人情報を含む情報セキュリティマネジメントシステムに違反した際に予想される結果
3.教育の計画及び実施、結果の報告及びそのレビュー、計画の見直し並びにこれらに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施し、かつ、維持しなければならない。

第11章 文書作成及び文書管理


(文書の範囲)
第34条 次の個人情報を含む情報セキュリティマネジメントシステムの基本となる要素を書面で記述しなければならない。
(1)個人情報保護方針
(2)細則等
(3)計画書
(4)本規定が要求する記録及び個人情報を含む情報セキュリティマネジメントシステムを実施する上で必要と判断した記録

(文書の管理)
第35条 本規定が要求するすべての文書(記録を除く。)を管理する手順を確立し、実施し、かつ、維持しなければならない。
2.文書管理の手順には、次の事項が含まれなければならない。
(1)文書の発行及び改訂に関すること
(2)文書の改訂の内容と版数との関連付けを明確にすること
(3)必要な文書が必要なときに容易に参照できること

(記録の管理)
第36条 個人情報を含む情報セキュリティマネジメントシステム及び本規定の要求事項への適合を実証するために必要な記録を作成し、かつ、維持しなければならない。
2.記録の管理についての手順を確立し、実施し、かつ、維持しなければならない。

第12章 苦情及び相談


(苦情及び相談)
第37条 個人情報の取扱い及び個人情報を含む情報セキュリティマネジメントシステムに関して、本人からの苦情及び相談を受け付けて、適切、かつ、迅速な対応を行う手順を確立し、かつ、維持しなければならない。

第13章 運用の確認


(運用の確認)
第38条 個人情報保護を含む情報セキュリティマネジメントシステムが適切に運用されていることを個人情報を取扱う事業部門および各階層において定期的に確認するための手順を確立し、実施し、かつ、維持するものとする。

第14章 監查


(監査)
第39条 監査責任者は、情報セキュリティ規程に従い、個人情報保護を含む情報セキュリティマネジメントシステムのJIS規格等への適合状況と運用状況を、少なくとも年1回以上監査するものとする。
2.代表取締役は、公平、かつ、客観的な立場にある監査責任者を指名し、監査の実施並びに報告を行う責任及び権限を他の責任にかかわりなく与え、業務を行なわせ なければならない。
3.監査責任者は、監査を指揮し、監査報告書を作成し、代表取締役に報告しなければならない。なお、監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保しなければならない。
4.監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任と権限を定める手順を確立し、実施し、かつ、維持しなければならない

(是正処置及び予防処置)
第40条 不適合に対する是正処置及び予防処置を確実に実施するための責任と権限を定める手順を確立し、実施し、かつ、維持しなければならない。その手順には、以下の事項を含めなければならない。
(1)不適合の内容を確認すること
(2)不適合の原因を特定し、是正処置及び予防処置を立案すること
(3)期限を定め、立案された適切な処置を実施すること
(4)実施された是正処置及び予防処置の結果を記録すること
(5)実施された是正処置及び予防処置の有効性をレビューすること

第15章 個人情報を含む情報セキュリティマネジメントシステムの見直し


(代表取締役による見直し)
第41条 代表取締役は、情報セキュリティ規程に従い、個人情報の適切な保護を維持するために、少なくとも年1回以上個人情報を含む情報セキュリティマネジメントシステムを見直すものとする。
2.代表取締役による見直しにおいては、次の事項を考慮しなければならない。
(1)監査及び個人情報を含む情報セキュリティマネジメントシステムの運用状況に関する報告
(2)苦情を含む外部からの意見
(3)前回までの見直しの結果に対するフォローアップ
(4)個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
(5)社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
(6)事業領域の変化
(7)内外から寄せられた改善のための提案

第16章 罰則


(罰則)
第42条役員および従業員は、本規定に違反した場合は、就業規則に定められている懲戒の対象となる。重大な違反をおかした場合には、解雇を含む懲戒、および法的措置が講じられる。

附則


(所管)
第1条 本規定は、総務部が所管する。

(改廃)
第2条 本規定の改廃は、「情報セキュリティ規程」の定めるところによる。

(制定)
第3条 本規定は、平成14年8月13日に制定する。

PAGE UP