個人情報保護規程
広島県ビルメンテナンス協同組合
平成17年 8月11日 制定
平成28年 4月20日 改訂
(目的)
第1条 本規程は、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号、以下「番号法」という。)、「個人情報の保護に関する法律」(平成15年法律第57号、以下「個人情報保護法」という。)その他の関係法令に基づき、広島県ビルメンテナンス協同組合(以下「本組合」という。)の取り扱う特定個人情報等の適正な取扱いを確保することを目的とする。
(適用範囲)
第2条 本規程は、本組合における個人情報の取扱いに適用する。
(定義)
第3条 本規程で使用する用語の定義については、他に特段の定めのない限り番号法、個人情報保護法その他の関係法令の定めに従う。
第1章 番号法に基づく特定個人情報等の取り扱い
(個人番号を取り扱う事務の範囲)
第4条 本組合が個人番号を取り扱う事務の範囲は、以下のとおりとする。
役職員に係る 個人番号関係事務 |
給与所得・退職所得の源泉徴収票作成事務 |
雇用保険届出事務 |
|
労働者災害補償保険法に基づく請求に関する事務 |
|
健康保険・厚生年金保険届出事務 |
|
役職員以外の個人に係る 個人番号関係事務 |
報酬・料金等の支払調書作成事務 |
配当、剰余金の分配及び基金利息の支払調書作成事務 |
|
不動産の使用料等の支払調書作成事務 |
|
不動産等の譲受けの対価の支払調書作成事務 |
(取り扱う特定個人情報等の範囲)
第5条 前条に基づいて本組合が個人番号を取り扱う事務において使用する個人番号及び個人番号と関連付けて管理する個人情報は、以下のとおりとする。
(1)役職員の氏名、生年月日、性別、住所、基礎年金番号、雇用保険被保険者番号、賃金額
(2)役職員の扶養家族の氏名、生年月日、性別、続柄、住所、収入額
(3)役職員の被扶養配偶者の基礎年金番号
(4)その他、前条に定める事務を行うために必要とされる個人情報
(特定個人情報の適正な取得)
第6条 本組合が特定個人情報を取得するにあたっては、適法かつ公正な手段によって行うものとする。
(特定個人情報の利用目的)
第7条 本組合が役職員又は第三者から取得する特定個人情報は、第4条に掲げた個人番号を取り扱う事務を行うために利用する。
(特定個人情報の取得時の利用目的の通知等)
第8条 本組合は、特定個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を情報主体に通知し、又は公表するものとする。なお、役職員から特定個人情報を取得する場合には、社内LANにおける通知、利用目的を記載した書類の提示又は就業規則への明記等の方法による。
2 本組合は、利用目的の変更を要する場合、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知、公表又は明示を行うことにより、変更後の利用目的の範囲内で特定個人情報を利用することができる。
(個人番号の提供の要求)
第9条 本組合は、第4条に掲げる事務を処理するために必要がある場合に限り、本人又は他の個人番号関係事務実施者もしくは個人番号利用事務実施者に対して個人番号の提供を求めることができるものとする。
2 役職員又は第三者が、会社からの個人番号の提供の要求又は第29条に基づく本人確認に応じない場合には、番号法に基づく制度の意義について説明をし、個人番号の提供及び本人確認に応ずるように求めるものとする。
(個人番号の提供を求める時期)
第10条 本組合は、第4条に定める事務を処理するために必要があるときに、役職員又は第三者に対して個人番号の提供を求めるものとする。
2 前項にかかわらず、本組合が従業者と雇用契約等を締結した時点等、前項の事務の発生が予想できたときに個人番号の提供を求めることがある。
(特定個人情報の収集制限)
第11条 本組合は、第4条に定める事務を行うために必要な範囲を超えて、役職員又は第三者から特定個人情報を収集しないものとする。
(本人確認)
第12条 本組合は、役職員又は第三者に個人番号の提供を求めるにあたっては、以下のいずれかの書類の提示をもって個人番号の確認及び身元確認を行うものとする。
(1)個人番号カード
(2)通知カード及び写真付身分証明書等
(3)個人番号が記載された住民票記載事項証明書及び写真付身分証明書等
2 代理人から個人番号の提供を受ける場合については、以下の書類の提示をもって、代理権の確認、当該代理人の身元確認及び本人の個人番号の確認を行うものとする。
(1)委任状(任意代理人の場合)又は戸籍謄本(法定代理人の場合)
(2)代理人の個人番号カード又は写真付身分証明書等
(3)本人の個人番号カード、通知カード、個人番号が記載された住民票記載事項証明書のいずれか
(個人番号の利用制限)
第13条 本組合は、第7条に掲げる利用目的の範囲内でのみ個人番号を利用するものとする。
2 本組合は、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意がある場合、又は本人の同意を得ることが困難である場合を除き、本人の同意があったとしても、利用目的を超えて個人番号を利用してはならないものとする。
(特定個人情報の保管制限)
第14条 本組合は、第4条に定める事務を行うために必要な範囲を超えて、特定個人情報を保管しないものとする。
2 本組合は、所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、当該書類だけでなく届書を作成するシステム内においても特定個人情報を保管することができる。
3 本組合は、番号法上の本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、通知カード、身元確認書類等)の写しや本組合が行政機関等に提出する届書の控えや当該届書を作成する上で本組合が受領する個人番号が記載された書類を特定個人情報として保管するものとする。これらの書類については、所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間保存することができる。
(特定個人情報の提供制限)
第15条 本組合は、番号法第19条各号に掲げる場合を除き、特定個人情報を提供しないものとする。
(第三者提供の停止)
第16条 前条の定めに反して特定個人情報が違法に第三者に提供されているという理由により、本組合が本人から第三者への当該特定個人情報の提供の停止を求められた場合であって、その求めに理由があることが判明したときには、遅滞なく当該特定個人情報の第三者への提供を停止するものとする。
(特定個人情報の開示)
第17条 本組合は、本人から当該本人が識別される特定個人情報に係る保有個人情報について開示を求められた場合は、遅滞なく、当該情報の情報主体であることを確認した上で、当該本人が開示を求めてきた範囲内でこれに応ずるものとする。
2 本組合は、次の事由に該当する場合には、当該開示請求の全部又は一部を不開示とすることができる。
(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)本組合の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
(保有個人情報の訂正等)
第18条 本組合は、当該本人が識別される特定個人情報に係る保有個人情報の内容が事実でないことを理由に当該本人から訂正、追加又は削除を求められた場合は、必要な調査を行い、その結果に基づき、遅滞なくこれに応ずるものとする。
(保有個人情報の利用停止等)
第19条 本組合は、本人から、当該本人が識別される特定個人情報に係る保有個人情報が、法令に反して取得された場合等の理由によって、当該保有個人情報の利用の停止、消去又は第三者への提供の停止(以下、本条において「利用停止等」という。)を求められた場合であって、利用停止等に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人情報の利用停止等を行うものとする。
2 前項にかかわらず、利用停止等を行うことに多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、当該本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
第2章 個人情報保護法に基づく個人情報等の取り扱い
第20条 本組合は、番号法に基づく個人番号以外の個人情報を取扱うにあたっては、その利用目的をできる限り特定しなければならない。
なお、利用目的の特定にあたっては、利用目的を単に抽象的、一般的に特定するのではなく、本組合において最終的にどのような目的で個人情報を利用するかを可能な限り具体的に特定する必要がある。
2 本組合は、利用目的を変更する場合には、変更前の利用目的から本人が想定することが困難でない範囲を超えて変更を行ってはならない。
3 本組合は、自ら保有するすべての個人情報を特定するための手順を確立し、維持しなければならない。本組合は、特定した個人情報に関するリスク(個人情報の漏えい、滅失又はき損等)を認識しなければならない。
(利用目的による制限)
第21条 本組合は、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取扱ってはならない。
2 本組合は、特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、少なくとも、第23条第3項の(1)~(4)及び(6)に示す事項又はそれと同等以上の内容の事項を書面によって本人に通知し、本人の同意を得なければならない。ただし、次に示すいずれかに該当する場合は、本人の同意を必要としない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(適正な取得)
第22条 本組合は、偽りその他不正の手段により個人情報を取得してはならない。
(取得に際しての利用目的等の通知等)
第23条 本組合は、個人情報を取得した場合、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 本組合は、社会通念上、本人が想定することが困難でないと認められる範囲内で利用目的を変更した場合は、変更された利用目的について、本人に通知するか、又は公表しなければならない。
3 本組合は、本条第1項の規定にかかわらず、本人から、直接書面に記載された当該本人の個人情報を取得する場合には、少なくとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって明示し、本人の同意を得なければならない。
(1)本組合の内部の個人情報に関する管理者又はその代理人の氏名若しくは職名、及び所属並びに連絡先
(2)利用目的
(3)個人情報の提供を行うことが予定される場合には、その目的、当該情報の受領者又は受領者の組織の種類、属性及び個人情報の取扱いに関する契約の有無
(4)個人情報の取扱いの委託を行うことが予定される場合には、その旨
(5)本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
(6)個人情報の開示を求める権利、及び開示の結果、当該情報が誤っている場合に訂正又は削除を要求する権利の存在、並びに当該権利を行使するための具体的な方法
4 前三項の規定は、次に掲げる場合については、適用しない。
(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)利用目的を本人に通知し、又は公表することにより本組合の権利又は正当な利益を害するおそれがある場合
(3)国の機関若しくは地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4)取得の状況からみて利用目的が明らかであると認められる場合
(データ内容の正確性の確保)
第24条 本組合は、利用目的の達成に必要な範囲内において、個人情報データベース等への個人情報の入力時の照合・確認の手続の整備、誤り等を発見した場合の訂正等の手続の整備、記録事項の更新、保存期間の設定等を行うことにより、個人データを正確かつ最新の内容に保つよう努めなければならない。この場合、保有する個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足りる。
(保有個人データに関する事項の公表等)
第25条 本組合は、保有個人データに関し、次の各号に掲げる事項について、本人の知り得る状態に置かなければならない。
(1)本組合の名称
(2)すべての保有個人データの利用目的(第23条第4項(1)~(4)に該当する場合を除く。)
(3)本人に対する当該本人の保有個人データの利用目的の通知及び保有個人データの開示に係る手数料の額(定めた場合に限る。)並びに本人からの求めに応じた当該本人の保有個人データの利用目的の通知、保有個人データの開示、保有個人データの内容の訂正、追加又は削除、保有個人データの利用の停止又は消去、保有個人データの第三者への提供の停止(以下「開示等の求め」という。)に関する手続き
(4)保有個人データの取扱いに関する苦情の申出先
2 本組合は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、遅滞なく、本人に通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
(1)前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
(2)第23条第4項の(1)から(3)までに該当する場合
3 本組合は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(保有個人データの開示)
第26条 本組合は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにはその旨を知らせることを含む。)を求められたときは、本人に対し、書面の交付による方法(開示の求めを行った者が同意した方法があるときはその方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)本組合の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
2 本組合は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(保有個人データの訂正等)
第27条 本組合は、本人から、当該本人が識別される保有個人データの内容に誤りがあり、事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
ただし、利用目的から見て訂正等が必要ではない場合や誤りである旨の指摘が正しくない場合には、この限りではない。
2 本組合は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(保有個人データの利用停止等)
第28条 本組合は、本人から、当該本人が識別される保有個人データの同意のない目的外利用、偽りその他不正な手段による取得、又は同意のない第三者への提供の理由により保有個人データの利用の停止、消去又は第三者への提供の停止(以下「利用停止等」という。)が求められた場合、その求めに理由が有ることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該利用停止等を実施するために多額の費用を要する場合その他利用停止等を実施することが困難な場合であって、本人の権利利益を保護するために必要なこれに代わるべき措置をとるときは、この限りではない。
2 本組合は、前項の規定に基づき求められた保有個人データの利用停止等を行った場合、又は利用停止等を行わない旨を決定した場合には、遅滞なく、その旨を本人に通知しなければならない。
(理由の説明)
第29条 本組合は、第25条第3項、第26条第2項、第27条第2項又は第28条第2項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。
(開示等の求めに応じる手続き)
第30条 本組合は、利用目的の通知、開示、訂正等、利用停止等(以下「開示等」という。)の求めを受け付ける方法として、次の各号の事項を定めることができる。また、その求めを受け付ける方法を定めた場合には、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置いておかなければならない。
(1)開示等の求めの受付先
(2)開示等の求めに際して提出すべき書面の様式、その他の開示等の求めの受付方法
(3)開示等の求めをする者が本人又はその代理人であることの確認の方法
(4)保有個人データの利用目的の通知、又は保有個人データの開示をする際に徴収する手数料の徴収方法
2 本組合は、開示等の手続きが円滑に行えるよう、本人に対し、自己のデータの特定に必要な事項の提示を求めることができる。
なお、本組合は、本人が容易に自己のデータを特定できるよう、自己の保有個人データの特定に資する情報の提供その他本人の利便性を考慮した適切な措置をとらなければならない。
3 本組合は、開示等の求めに応じる手続きを定めるにあたっては、必要以上に煩雑な書類を求めることや、求めを受け付ける窓口を他の業務を行う拠点とは別にいたずらに不便な場所に限定すること等して、本人に過重な負担を課することのないよう配慮しなければならない。
(手数料)
第31条 本組合は、保有個人データの利用目的の通知、又は保有個人データの開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。
2 本組合は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
3 本組合は、前項の規定により手数料の額を定めた場合には、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置いておかなければならない。
(苦情の処理)
第32条 本組合は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 本組合は、苦情の適切かつ迅速な処理を行うに当たり、苦情処理窓口の設置や苦情処理の手順を定める等必要な体制の整備に努めなければならない。
(個人データの第三者への提供)
第33条 本組合は、第21条2項の(1)~(4)に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
2 次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。
(1)委託…利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
(2)共同利用…個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
3 本組合は、前項(2)に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
第3章 安全管理措置
(個人情報保護方針)
第34条 本組合の理事長は、次の各号を含む個人情報保護方針を定めるとともにこれを実行し維持するとともに、この方針を文書化し、従業者に周知させ、かつ、一般の人が入手可能な措置を講じなければならない。
(1)事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること。
(2)個人情報の漏えい、滅失又はき損等の予防並びに是正に関すること。
(3)個人情報に関する法令及びその他の規範を順守すること。
(4)マネジメントシステムの継続的改善に関すること。
(安全管理措置)
第35条 本組合は、その取扱う特定個人情報及び個人情報の漏えい、滅失又はき損の防止その他の特定個人情報及び個人情報の安全管理のため、組織的、人的、物理的及び技術的な安全管理措置を講じなければならない。その際、本人の特定個人情報及び個人情報が漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び特定個人情報及び個人情報の取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じなければならない。
なお、その際には、特定個人情報及び個人情報を記録した媒体の性質に応じた安全管理措置を講じなければならない。
2 本組合は、組織的安全管理のために次の各号の事項について措置を講じなければならない。
(1)特定個人情報及び個人情報の安全管理措置を講じるための組織体制の整備
(2)特定個人情報及び個人情報の安全管理措置を定める規程等の整備と規程等に従った運用
(3)特定個人情報及び個人情報の取扱状況を一覧できる手段の整備
(4)特定個人情報及び個人情報の安全管理措置の評価、見直し及び改善
(5)事故又は違反への対処
3 本組合は、人的安全管理のために次の各号の事項について措置を講じなければならない。
(1)雇用契約時及び委託契約時における非開示契約の締結
(2)従業者に対する教育・訓練の実施
管理者が定めた規程等を守るように監督することについては、第38条(従業者の監督)を参照
4 本組合は、物理的安全管理のために次の各号の事項について措置を講じなければならない。
(1)入退館(室)管理の実施
(2)盗難等の防止
(3)機器・装置等の物理的な保護
5 本組合は、技術的安全管理のために次の各号の事項について措置を講じなければならない。
(1)特定個人情報及び個人情報へのアクセスにおける識別と認証
(2)特定個人情報及び個人情報へのアクセス制御
(3)特定個人情報及び個人情報へのアクセス権限の管理
(4)特定個人情報及び個人情報のアクセスの記録
(5)特定個人情報及び個人情報を取扱う情報システムについての不正ソフトウェア対策
(6)特定個人情報及び個人情報の移送・送信時の対策
(7)特定個人情報及び個人情報を取扱う情報システムの動作確認時の対策
(8)特定個人情報及び個人情報を取扱う情報システムの監視
(特定個人情報事務取扱責任者)
第36条 本組合の理事長は、本規程に定められた事項を理解し遵守する能力のある者を本組合の内部から指名し、事務取扱担当者の教育訓練、安全対策の実施並びに周知徹底等の措置を実施する責任及び権限を他の責任にかかわりなく与え、事務取扱責任者として業務を行わせなければならない。
なお、特定個人情報事務取扱責任者は事務局長とし、事務取扱担当者は総務課長とする。
2 事務取扱責任者は、次の業務を所管する。
(1)本規程及び委託先の選定基準の承認及び周知
(2)特定個人情報の安全管理に関する教育・研修の企画
(3)特定個人情報の利用申請の承認及び記録等の管理
(4)管理区域及び取扱区域の設定
(5)特定個人情報の取扱区分及び権限についての設定及び変更の管理
(6)特定個人情報の取扱状況の把握
(7)委託先における特定個人情報の取扱状況等の監督
(8)特定個人情報の安全管理に関する教育・研修の実施
(9)その他本組合における特定個人情報の安全管理に関すること
(個人情報取扱責任者)
第37条 本組合の理事長は、本規程の内容を理解し実践する能力のある者を本組合の内部から指名し、マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、個人情報取扱責任者として業務を行わせなければならない。
なお、個人情報取扱責任者は事務局長とする。
2 個人情報取扱責任者は、本組合の理事長の指示ならびに本規程に従い、個人情報保護に関する情報管理マニュアルの整備、安全対策の実施、教育及び訓練など、マネジメントシステムの実施を指揮し、運用に関する責任を負わなければならない。
(従業者の監督)
第38条 本組合は、その従業者に特定個人情報及び個人情報を取扱わせるにあたっては、当該情報の安全管理が図られるよう、当該従業者に対する必要かつ適切な監督・教育を行わなければならない。その際、特定個人情報及び個人情報が漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び特定個人情報及び個人情報の取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じなければならない。
2 本組合は、関連する各部門及び階層においてその従業者に次の事項を自覚させる手順を確立し維持しなければならない。
(1)特定個人情報及び個人情報保護の重要性及び利点
(2)特定個人情報及び個人情報及び情報システムの安全管理に関する従業者の役割及び責任
(3)特定個人情報及び個人情報保護に関する内部規程等の違反に対する従業者個人への罰則等
(4)特定個人情報及び個人情報の漏えい、滅失又はき損により予想される本人の損害及び本組合のリスク
(委託先の監督)
第39条 本組合は、特定個人情報及び個人情報の取扱いの全部又は一部を委託する場合は、第9条に基づく安全管理措置を順守させるよう、受託者に対し必要かつ適切な監督をしなければならない。その際、特定個人情報及び個人情報が漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び特定個人情報及び個人情報の取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じなければならない。
2 本組合は、十分な特定個人情報及び個人情報の保護水準を満たしている者を委託先として選定する基準を確立し、また、契約によって次に示す内容を規定し、その保護水準を担保しなければならない。
(1)特定個人情報及び個人情報に関する秘密保持
(2)委託者及び受託者の責任の範囲
(3)特定個人情報及び個人情報の安全管理に関する事項
① 特定個人情報及び個人情報の漏えい防止、盗用禁止に関する事項
② 委託契約範囲外の加工、利用の禁止
③ 委託契約範囲外の複写、複製の禁止
④ 委託契約期間
⑤ 委託契約終了後の特定個人情報及び個人情報の返還・消去・廃棄に関する事項
(4)再委託に関する事項
再委託を行うにあたっての委託者への文書による報告に関する事項
(5)特定個人情報及び個人情報の取扱状況に関する委託者への報告の内容及び頻度
(6)契約内容が順守されていることの確認
(7)契約内容が順守されなかった場合の措置
(8)セキュリティ事件・事故が発生した場合の報告・連絡に関する事項
4 本組合は、前項に従って定めた契約書などの書面又はこれに代わる記録を、個人情報の保有期間にわたって保存しなければならない。
(情報管理マニュアル)
第40条 本組合は、特定個人情報及び個人情報を保護するための情報管理マニュアルを策定し、維持しなければならない。情報管理マニュアルは、次の事項を含まなければならない。
(1)本組合の各部門及び階層における個人情報を保護するための権限及び責任
(2)特定個人情報及び個人情報の取得、利用、提供及び管理
(3)本人からの特定個人情報及び個人情報に関する開示、訂正及び削除
(4)特定個人情報及び個人情報に関する教育
(5)特定個人情報及び個人情報保護に関する監査
(6)本規程・情報管理マニュアルの違反に関する罰則(就業規則に定める。)
2 本組合は、事業の内容に応じて、マネジメントシステムが確実に適用されるように本規程及び情報管理マニュアルを改訂しなければならない。
(機微な個人情報)
第41条 本組合は、次に示す内容を含む特定個人情報及び個人情報の取得、利用又は提供は行ってはならない。ただし、これらの取得、利用又は提供について、明示的な本人の同意、法令に特別の規定がある場合、及び司法手続上必要不可欠である場合は、この限りでない。
(1)思想、信条及び宗教に関する事項
(2)人種、民族、門地、本籍地、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項
(3)勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項
(4)集団示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事項
(5)保健医療及び性生活
(報告等)
第42条 本組合は、個人情報の漏えい等が発生した場合は、事実関係を本人に速やかに通知しなければならない。
2 本組合は、個人情報の漏えい等が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係等を公表しなければならない。
3 本組合は、個人情報の漏えい等が発生した場合は、その事業内容に応じて、当該事業を所管する省庁に事実関係を報告しなければならない。
付 則
1.この規程は、平成17年8月11日から施行する。
2.この改正規程は、平成28年4月20日から実施する。
個人情報の利用目的
広島県ビルメンテナンス協同組合
平成17年8月11日 制定
令和 3年1月20日 改訂
当組合は、「個人情報の保護に関する法律」に基づき、お客さま等の個人情報を下記業務および利用目的の達成に必要な範囲で利用いたします。ただし、当該利用目的以外には利用いたしません。
取り扱う個人情報 |
利用目的 |
1.指定管理施設の運営管理業務で取り扱う個人情報(利用者等情報) |
(1) 行政からの指定管理施設の管理運営のため。(管理運営で取り扱う利用者等の情報および施設管理上必要情報) (2) (1)の利用目的の達成に必要な範囲での、個人情報の第三者への提供のため。 (3) サービス向上を目的とするアンケート・各種統計実施のため (4) 利用者からの問い合わせ対応のため |
2.共同受注等施設管理業務で取り扱う個人情報 |
(1) 行政との請負・受託契約による業務実施のため。(業務実施上必要な顧客および施設管理に係る情報) (2) (1)の利用目的の達成に必要な範囲での、個人情報の第三者への提供のため。 (3) 当組合が取り扱う商品に関する契約履行、サービスの提供のため。 (4) 顧客からの問い合わせ対応のため |
3.当組合への問い合わせの際に含まれる個人情報 |
(1) 当組合への問い合わせに係る対応のため(電話・ウェブサイトを介した問い合わせを含む) |
4.組合員、役員及び職員(求人選考情報含む)からの取得で取り扱う個人情報 |
(1) 組合員職員および役員等への謝金等の支払い、職員に対する労務管理、福利厚生、健康管理のため(法令に基づく義務の履行、官公庁、健康保険組合、年金基金への届出・報告、また給与、賞与の支払に伴う事務履行、雇用管理および人事労務管理を含む) |
5.監視カメラデータ |
(1) セキュリティの確保を目的した記録に用いるため |
6.通話録音データ |
(1) お客さま対応の品質向上及び通話内容確認に用いるため |
7.法令・行政指導
|
(1) 法令または行政当局の通達・指導などに基づく対応のため |
8.その他 |
(1) 1~7の利用目的に付帯・関連する業務 |