プライバシーポリシー
個人情報保護規程
第1章 総則
(目的)
第1条 この規程は、STAY株式会社(以下、「会社」という。)が取り扱う個人情報について、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下、「法」という。)その他関連法規の趣旨の下、これを適正に取り扱い、個人の権利利益を保護するための基本事項を定めることを目的とする。
(定義)
第2条 この規程において、次の各号に掲げる用語の定義は、法その他関連法規の定義に従い、当該各号に定めるところによる。
(1) 個人情報
生存する個人に関する情報であって、次のいずれかに該当するものをいう。
① 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画もしくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、もしくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く)をいう。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することとなるものを含む)
② 個人識別符号が含まれるもの
(法第 2 条第 1 項)
(2) 個人識別符号
次のいずれかに該当する文字、番号、記号その他の符号をいう。
① 特定の個人の身体の一部の特徴をコンピュータの用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの② 個人に提供される役務の利用もしくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、もしくは電磁的方法により記録された文字、番号、記号その他の符号であって、その利用者もしくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、もしくは記録されることにより、特定の利用者もしくは購入者又は発行を受ける者を識別することができるもの
(法第 2 条第 2 項)
(3) 要配慮個人情報
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する個人情報をいう。
(法第 2 条第 3 項)
(4) 本人
個人情報によって識別される特定の個人をいう。
(法第 2 条第 4 項)
(5) 仮名加工情報
次に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
① この条第 1 号①に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
② この条第 1 号②に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
(法第 2 条第 5 項)
(6) 匿名加工情報
次に掲げる個人情報の区分に応じて、当該各号に定める措置を講じて特定の個人を識別できないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
① この条第 1 号①に該当する個人情報については当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
② この条第 1 号②に該当する個人情報については当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
(法第 2 条第 6 項)
(7) 個人関連情報
生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
(法第 2 条第 7 項)
(8) 個人情報データベース等
個人情報を含む情報の集合物であって、次に掲げるものをいう。
① 特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの
② ①に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(法第 16 条第 1 項)
(9) 個人情報取扱事業者
個人情報データベース等を事業の用に供している者をいう。ただし次に掲げる者を除く。
① 国の機関
② 地方公共団体
③ 独立行政法人等
④ 地方独立行政法人
(法第 16 条第 2 項)
会社は、個人情報取扱事業者として、法第 4 章(個人情報取扱事業者の義務等)に定める義務等を負う。
(10) 個人データ
個人情報データベース等を構成する個人情報をいう。(法第 16 条第 3 項)
(11) 保有個人データ
会社が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者へ提供の停止を行うことのできる権限を有する個人データであって、次に掲げる以外のものをいう。
① 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
② 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
③ 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれる又は他国もしくは国際機関との交渉上不利益を被るおそれがあるもの
④ 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その
他の公共安全と秩序の維持に支障が及ぶおそれがあるもの(法第 16 条第 4 項)
仮名加工情報取扱事業者
仮名加工情報を含む情報の集合物であって、特定の仮名加工情報をコンピュータを用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(この規程第 29 条(仮名加工情報の作成等)第1項において「仮名加工情報データベース等」という)を事業の用に供している者をいう。ただし、この条第 9 号(個人情報取扱事業者)ただし書きに掲げる者を除いたものをいう。(法第 16 条第 5 項)
(12) 匿名加工情報取扱事業者
匿名加工情報を含む情報の集合物であって、特定の匿名加工情報をコンピュータを用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるものを事業の用に供している者をいう。ただし、この条第 9 号(個人情報取扱事業者)ただし書きに掲げる者を除いたものをいう。(法第 16 条第 6 項)
(13) 個人関連情報取扱事業者
個人関連情報データベース等(個人関連情報を含む情報の集合物であって、特定の個人関連情報を、コンピュータを用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。)を事業の用に供している者であって、この条第9号(個人情報取扱事業者)ただし書きに掲げる者を除いたものをいう。
(法第 16 条第 7 項)
(14) 本人に通知
本人に直接知らしめることをいう。(法第 21 条(取得に際しての利用目的の通知等)第 1 項)
(15) 公表
広く一般に自己の意思を知らせること(国民一般その他不特定多数の人々が知ることができるように発表すること)をいう。(法第 21 条第 1 項)
(16) 利用目的の明示
利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要がある。
(法第 21 条第 2 項)
(17) 本人の同意
本人の個人情報が、取り扱われることを承諾する旨の本人の意思表示をいう。
(法第 20 条(適正な取得)第 2 項)(法第 27 条(第三者提供の制限)第 1 項)
(18) 提供
個人データ、保有個人データ又は匿名加工情報(以下この号において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば(利用する権限が与えられていれば)「提供」に当たる。
(法第 27 条第 1 項)(法第 28 条(外国にある第三者への提供の制限))
(19) 従業者
取締役、監査役、従業員、派遣社員その他の指揮監督を受けて会社の業務に従事する者をいう。
(責務)
第3条 会社は、個人情報を収集し、管理し、又は利用し、若しくは提供するに当たっては、本人の基本的な人権を尊重するとともに、個人情報の保護を図るため必要な措置を講じなければならない。
2 従業者は、職務上知り得た個人情報をみだりに他人に知らせ、又は不当な目的に使用してはならない。その職を退いた後も同様とする。
第 2 章 個人情報の利用目的と適正な取得・利用
(利用目的の特定)
第4条 会社は、個人情報を取り扱うに当たっては、その利用の目的(以下、「利用目的」という)をできる限り具体的に特定する。
2 会社は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲内で行う。
(利用目的による制限)
第5条 会社は、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合には、あらかじめ本人の同意を得る。
2 前項の規定は、次の各号に掲げる場合については適用しない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4) 国の機関もしくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(5) 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
(不適正な利用の禁止)
第6条 会社は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用しないものとする。
(適正な取得)
第7条 会社は、偽りその他不正な手段により個人情報を取得しないものとする。
2 会社は、次の各号に掲げる場合を除き、あらかじめ本人の同意を得ないで、要配慮個人情報を取得しないものとする。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4) 国の機関もしくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(5) 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(会社と当該学術研究機関等が共同して学術研究を行う場合に限る。)
(6) 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、法第 57 条 第 1 項各号に掲げる者(適用除外)その他個人情報保護委員会規則(以下「委員会規則」という。)で定める者により公開されている場合
(7) その他前各号に掲げる場合に準ずるものとして政令で定める場合
(取得に際しての利用目的の通知等)
第 8 条 会社は、個人情報を取得した場合には、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表する。
2 前項の規定にかかわらず、会社は、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合には、あらかじめ、本人に対し、その利用目的を明示する。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合には、この限りでない。
3 会社は、利用目的を変更した場合には変更された利用目的を本人に通知し、又は公表する。
4 前三項の規定は、次に掲げる場合については、適用しない。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することにより会社の権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令に定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(4) 取得状況からみて利用目的が明らかであると認められる場合
第 3 章 個人データの管理
(データ内容の正確性の確保等)
第 9 条 会社は、利用目的の達成の範囲内において、個人データを正確かつ最新の内容に保つとともに利用する必要がなくなった場合には当該個人データを遅滞なく消去するよう努める。
(安全管理措置)
第 10 条 会社は、会社で取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じる。
(従業者の監督)
第 11 条 会社の従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対し、必要、かつ、適切な監督を行なうものとする。
(委託先の監督)
第 12 条 会社は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託した個人データの安全管理が図られるよう、委託先に対する必要な監督を行うものとする。
2 会社は、委託先が再委託を行なおうとする場合は、委託先が再委託先に対して前項の委託先責任を果たすこと、及び再委託先が、この規程第 10 条(安全管理措置)に基づく安全管理措置を講じることを十分に確認するよう努める。
第 4 章 個人データの第三者提供
(第三者提供の制限)
第 13 条 会社は、個人データを第三者に提供するときは、あらかじめ本人の同意を得る。ただし、次に掲げる場合を除く。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4) 国の機関もしくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(5) 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
2 会社は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知りうる状態に置くとともに、個人情報保護委員会(以下、「委員会」という)に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は、この規程第8条(適正な取得)第 1 項の規定に違反して取得されたものもしくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、提供することができない。
(1) 会社の名称、住所、社長の氏名
(2) 第三者への提供を利用目的とすること
(3) 第三者に提供される個人データの項目
(4) 第三者に提供される個人データの取得の方法
(5) 第三者への提供の手段又は方法
(6) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
(7) 本人の求めを受け付ける方法
(8) 第三者に提供される個人データの更新の方法
(9) 当該届出に係る個人データの第三者への提供を開始する予定日
3 会社は、前項第 1 号に掲げる事項に変更があったとき、又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第 3 号から第 5 号まで、第 7 号から第 9 号までに掲げる事項を変更するときは、変更する内容について、あらかじめ、その旨について、委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、委員会に届け出る。
4 委員会から法第 27 条第 4 項の規定による公表がされた後、速やかに、インターネットの利用その他適切な方法により、第 2 項に掲げる事項(同項第1号、第 3 号から第 5 号まで、第7号から第9号までに掲げる事項に変更があったときは、変更後の当該各号に掲げる事項)を公表するものとする。
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
(1) 利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2) 合併その他の事由による事業の承継に伴って個人データが提供される場合
(3) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨ならびに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的ならびに当該個人データの管理について責任を有する者の氏名又は名称及び住所ならびに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態においているとき
6 会社は、前項第 3 号に定める個人データの管理について責任を有する者の氏名、名称もしくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に定める利用する者の利用目的又は責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置く。
(外国にある第三者への提供の制限)
第 14 条 会社は、個人データを外国(本邦の域外における国又は地域をいう。以下この条及びこの規程第 17 条(個人関連情報)第 1 項第 2 号において同じ)にある第三者に提供するに当たっては、次のいずれかに該当する場合を除き、あらかじめ外国にある第三者への個人データの提供を認める旨の本人の同意を得るものとする。
(1) 個人の権利利益を保護するうえで我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として委員会規則で定める国である場合
(2) 当該第三者が、個人情報取扱事業者が講じるべき措置に相当する措置(第 3 項において「相当措置」という。)を継続的に講じるために必要な体制として委員会規則で定める基準に適合する体制を整備している場合
(3) 前条第 1 項各号に該当する場合
2 前項の規定により本人の同意を得ようとする場合には、委員会規則で定めるところにより、あらかじめ、当該外国における個人情報保護に関する制度、当該第三者が講じる個人情報保護のための措置その他当該本人に参考となるべき情報を当該本人に提供する。
3 個人データを外国にある第三者(第 1 項第 2 号に定める体制を整備している者に限る)に提供した場合には、委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供する。
(第三者提供に係る記録の作成等)
第 15 条 会社は、個人データを第三者(この規程第2条第 9 号ただし書きに掲げる者を除く。
以下この条、次条及び第 16 条において同じ)に提供したときは、委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の委員会規則で定める事項に関する記録を作成するものとする。ただし、当該個人データの提供がこの規程第 15 条(第三者提供の制限)第 1 項各号又は第 5 項各号のいずれか、又は前条の規定による個人データの提供にあっては、第 13 条第1項各号のいずれかに該当する場合は、この限りでない。
2 会社は、前項の記録を、当該記録を作成した日から委員会規則で定める期間保存するものとする。
(第三者提供を受ける際の確認等)
第 16 条 会社は、第三者から個人データの提供を受けるに際しては、委員会規則で定めるところにより、次に掲げる事項に応じ、それぞれ当該各号に定める方法による確認を行うものとする。ただし、この規程第 13 条(第三者提供の制限)第 1 項各号又は第5項各号のいずれかに該当する場合には、この限りでない。
(1) 当該第三者の氏名又は名称及び住所ならびに法人にあっては、その代表者の氏名(第 3
号に掲げる事項に該当するものを除く。)当該個人データを提供する当該第三者から申告を受ける方法その他の適切な方法
(2) 当該第三者による当該個人データの取得の経緯
2 会社は、前項の規定による確認を行ったときは。委員会規則で定めるところにより、当該個人データを受けた年月日、当該確認に係る事項その他委員会規則で定める事項に関する記録を作成するものとする。
3 会社は、前項の記録を、当該記録を作成した日から委員会規則で定める期間保存するものとする。
(個人関連情報の第三者提供の制限等)
第 17 条 会社が個人関連情報事業者である場合、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。)を個人データとして取得することが想定されるときは、次の各号に掲げる事項に応じ、それぞれ当該各号に定める方法による確認を行うものとする。ただし、当該個人データの提供がこの規程第 13 条(第三者提供の制限)第1項各号のいずれかに該当する場合は、この限りでない。
(1) 当該第三者が会社から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること 個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法
(2) 外国にある第三者への提供に当たっては、前号の本人の同意を得ようとする場合において、委員会規則で定めるところにより、あらかじめ、次の事項が、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法により、当該本人に提供されていること 当該事項の情報の提供が行われていることを示す書面の提示を受ける方法その他の適切な方法
① 当該外国の名称
② 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
③ 当該第三者が講じる個人情報の保護のための措置に関する情報
2 会社が、個人関連情報取扱事業者から、個人関連情報の提供を受けて個人データとして取得することが想定されるときは、前項第 1 号により、個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意を得るものとする。
第 5 章 保有個人データに関する事項の開示等
(保有個人データに関する事項の公表等)
第 18 条 会社は、保有個人データに関する次の各号に掲げる事項を、ウェブサイトへの掲載等により本人の知り得る状態に置くものとする。
(1) 会社の名称及び住所ならびに代表者の氏名
(2) 全ての保有個人データの利用目的(この規程第8条(取得に際しての利用目的の通知等)第 4 項第 1 号から第 3 号までに該当する場合を除く。)
(3) 次項に定める求め又は次条第 1 項(同条第 5 項において準用する場合を含む)、第 20 条(保有個人データの訂正等)第 1 項もしくは第 21 条(保有個人データの利用停止等)第 1 項、第 3 項もしくは第 5 項に定める請求に応じる手続きならびに第 24 条(手数料)第2項の規定により手数料を定めた場合は、その手数料の額
(4) 次に掲げる政令で定めるもの
① この規程第 10 条(安全管理措置)で定めた保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことにより当該個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
② 保有個人データの取扱いに関する苦情の申出先
③ 会社が認定個人情報保護団体の対象事業者と決定したときは、当該認定個人情報保護団体の名称及び苦情の解決の申出先
2 本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、可能な限り速やかに通知する。ただし、次のいずれかに該当する場合には、この限りではない。
(1) 前項の規定により当該本人を識別できる保有個人データの利用目的が明らかな場合
(2) この規程第8条(取得に際しての利用目的の通知等)第 4 項第 1 号から第 3 号までに該当する場合
3 前項の規定に基づき、求められた保有個人データの利用目的を当該本人に通知しない旨の決定を会社がしたときは、本人に対し、遅滞なく、その旨を通知する。
(保有個人データの開示)
第 19 条 本人は、会社に対し、当該本人が識別できる保有個人データの電磁的な記録の提供による方法その他委員会規則で定める方法による開示を請求することができるものとする。
2 会社は、本人から、前項の規定による請求を受け付けたときは、本人に対し、この項の規定により当該本人が請求した方法(当該方法により開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示する。ただし、開示することにより次の各号のいずれかに該当する場合には、その全部又は一部を開示しないことができる。
(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 会社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3) 他の法令に違反することとなる場合
3 第 1 項の規定に基づき、請求された保有個人データの全部もしくは一部について開示しない決定をしたとき、当該保有個人データが存在しないとき、又は同項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知する。
4 他の法令の規定により、本人に対し第 2 項本文に定める方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第 1 項及び第 2 項の規定は適用しない。
5 第 1 項から第 3 項までの規定は、当該本人が識別される個人データに係るこの規程第 15 条(第三者提供に係る記録の作成等)第 1 項及び第 16 条(第三者提供を受ける際の確認等)第 3 項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第 23 条(開示等の請求等に応じる手続)第 2 項において「第三者提供記録」という。)について準用する。
(保有個人データの訂正等)
第 20 条 本人は、会社に対し、当該本人が識別できる保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下、併せて「訂正等」という。)を請求することができるものとする。
2 会社は、本人から、前項の規定による請求を受けた場合には、その内容の訂正等に関して法令の規定により特別の手続きが定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行う。
3 保有個人データの内容の全部又は一部について訂正等を行ったとき、又は訂正等を行わない旨の判断をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を、判断の理由とあわせて書面により連絡する。
(保有個人データの利用停止等)
第 21 条 本人は、会社に対し、当該本人を識別できる保有個人データがこの規程第 6 条(利用目的による制限)もしくは第 7 条(不適正な利用の禁止)の規定に違反して取扱われているとき又はこの規程第 8 条(適正な取得)の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下、併せて「利用停止等」という。)を請求できるものとする。
2 会社は、本人から、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行う。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置を講じるときは、この限りでない。
3 本人は、会社に対し、当該本人が識別される保有個人データがこの規程第 13 条(第三者提供の制限)第 1 項又は第 14 条(外国にある第三者への提供の制限)の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができるものとする。
4 本人から、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、当該保有個人データの第三者への提供を遅滞なく停止する。ただし、その場合において当該保有個人データの第三者への提供の停止に多額の費用を要するときその他の利用停止等を行うことが困難なときには、当該本人の権利利益を保護するために必要なこれに代わる措置を講じることがある。
5 本人は、会社に対し、当該本人が識別される保有個人データを会社が利用する必要がなくなった場合、当該本人が識別された保有個人データに係るこの規程第 37 条(漏えい等の報告等)第1項本文に定める事態が生じた場合その他当該本人の識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができるものとする。
6 会社は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行う。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置を講じるときは、その限りではないものとする。
7 第 1 項の規定もしくは第5項による請求に係る保有個人データの全部もしくは一部について利用停止等を行ったときもしくは利用停止等を行わない旨の決定をしたとき、又は第 3 項もしくは第5項の規定による請求に係る保有個人データの全部もしくは一部について第三者への提供を停止したときもしくは第三者への提供を停止しない旨を決定したときは、本人に対し、遅滞なく、その旨を通知する。
(理由の説明)
第 22 条 会社は、この規程第 18 条(保有個人データに関する事項の公表等)第 3 項、第 19 条(保有個人データの開示)第 3 項(同条第5項において準用する場合を含む。)、第 20 条(保有個人データの訂正等)第3項又は第 21 条(保有個人データの利用停止等)第7項の規定により、本人から求められ、又は請求された措置の全部又は一部についてその措置を講じない旨を通知する場合又は異なる措置を講じる旨を通知する場合には、当該本人に対し、その理由を説明するように努める。
(開示等の請求に応じる手続き)
第 23 条 会社は、この規程第 18 条(保有個人データに関する事項の公表等)第 2 項の規定による求め又は第 19 条(保有個人データの開示)第1項(同条第5項において準用する場合を含む。次条第1項及び第 25 条(事前の請求)において同じ)、第 20 条(保有個人データの訂正等)第 1 項又は第 21 条(保有個人データの利用停止等)第 1 項、第3項もしくは第5項の規定による請求(以下この条において「開示等の請求等」という。)に関し、次の事項を定めることができるものとする。定めたときは、本人は、当該方法に従って、開示等の請求等を行なうものとする。
(1) 開示等の請求等の申し出先
(2) 開示等の請求等に際し、提出すべき書面の様式その他の開示等の請求等の方式
(3) 開示等の請求等をする者が、本人又は代理人であることの確認方法
(4) 請求費用に関する事項
2 会社は、本人に対し、開示等の請求等に関し、その対象となる保有個人データ又は第三者提供記録を特定するに足りる事項の提示を求めることができるものとする。この場合において、会社は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ又は当該第三者提供記録の特定に資する情報の提供その他本人の利便を考慮した適切な措置を講じるものとする。
3 開示等の請求等は、政令で定めるところにより、代理人によってすることができるものとする。
4 会社は、前 3 項の開示等の請求等の手続きを定めるに当たっては、本人に過重な負担を課するものとならないように配慮するものとする。
(手数料)
第 24 条 会社は、この規程第 18 条(保有個人データに関する事項の公表等)第2項の規定による利用目的の通知を求められたとき、又は第 19 条(保有個人データの開示)第1項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収できるものとする。
2 会社は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認めら
れる範囲内において、その額を定めるものとする。
(事前の請求)
第 25 条 本人は、この規程第19 条(保有個人データの開示)第 1 項、第 20 条(保有個人データの訂正等)第1項又は第 21 条(保有個人データの利用停止等)第1項、第3項もしくは第5項の規定による請求に係る訴えを提起しようとする場合には、あらかじめ、当該請求を会社に行い、かつ、その到着した日から二週間を経過した後でなければ、その訴えを提起することができないものとする。ただし、会社がその請求を拒んだときは、その限りでないものとする。
(苦情の処理)
第 26 条 会社は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努める。
第 6 章 仮名加工情報の取扱
(仮名加工情報の作成等)
第 27 条 会社は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下同じ)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして委員会規則で定める次に掲げる基準に従い、個人情報を加工するものとする。
(仮名加工情報の第三者提供の制限等)
第 28 条 会社は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第 3 項において同じ)を第三者に提供しないものとする。
第 7 章 匿名加工情報の取扱
(匿名加工情報の作成等)
第 29 条 会社は、匿名加工情報を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして、委員会規則で定める基準に従い、当該個人情報を加工するものとする。
(匿名加工情報の提供)
第 30 条 会社は、匿名加工情報を第三者に提供するときは、インターネットの利用その他の適切な方法により、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示する。
第 8 章 実施・運用
(個人情報保護方針)
第 31 条 社長は、個人情報保護方針を定めるとともに、これを実施し維持するものとする。また、社長はこの方針を文書化し、従業者に周知させるとともに一般の人が入手可能な措置を講じるものとする。
(個人情報保護管理責任者の設置)
第 32 条 会社は、個人情報の適正な管理及び安全保護を図るため、個人情報保護管理責任者を設置するものとする。
2 個人情報保護管理責任者は、個人情報の保護に関し、その管理課にある従業さを指揮し、及び監督するものとする。
3 個人情報保護管理責任者は、個人情報の保護に関し、その管理課にある従業者の意識啓発に努めるものとする。
(教育・研修)
第 33 条 個人情報保護管理責任者は、従業者に対し、個人情報に係る個人の権利保護の重要性を理解させ、かつ、個人情報保護の確実な実施を図るため、継続的かつ定期的に教育・訓練を行うよう努める。
(緊急事態への対応)
第 34 条 会社は、漏えい等事案が発覚した場合には、次の各号に掲げる事項について必要な措置を講じられるように手順を確立する。
(1) 会社内部における報告及び被害拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講じる。
(2) 事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。
(3) 影響範囲の特定
前号の規定により把握した影響の範囲を特定する。
(4) 再発防止策の検討及び実施
第 2 号の規定により把握した結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を速やかに講じる。
(5) 影響を受ける可能性のある本人への連絡等
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が知り得る状態に置く。
委託を受けた個人データの漏えい等事案に関しては、直ちに委託元に報告する。
(6) 事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生等の観点から、事実
関係及び再発防止策等について、速やかに公表する。
2 会社は、漏えい等事案が発覚した場合には、個人情報保護管理者の指揮の下、前項で定めた手順により緊急事態の対応を実施する。
(漏えい等の報告等)
第 35 条 会社は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして、次に掲げる事態が生じたときは、当該事態が発生した旨を委員会に報告するものとする。ただし、会社が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、報告しないものとする。
(1) 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第 1 項において同じ)の漏えい、滅失又は毀損(以下「漏えい等」という。)が発生し、又は発生したおそれがある事態。
(2) 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態。
(3) 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態。
(4) 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態。
(個人情報保護委員会への報告等)
第 36 条 会社は、委員会に報告する場合には、前条各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。次条において同じ)を報告するものとする。
(1) 概要
(2) 漏えい等が発生し、又は発生したおそれがある個人データの項目
(3) 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
(4) 原因
(5) 二次被害又はそのおそれの有無及びその内容
(6) 本人への対応の実施状況
(7) 公表の実施状況
(8) 再発防止のための措置
(9) その他参考となる事項
2 前項の場合において、会社は、当該事態を知った日から 20 日以内(当該事態が前条第 3 号に定めるものである場合にあっては、60 日以内)に、当該事態に関する前項各号に定める事項を報告するものとする。
3 会社は、次の各号に掲げる報告の区分に応じ、それぞれ当該各号に定める方法により報告を行うものとする。
(1) 委員会に報告する場合 電子情報処理組織(委員会の使用に係るコンピュータと報告する者の使用に係るコンピュータとを電気通信回線で接続した電子情報処理組織をいう。以下この条において同じ)を使用する方法(電気通信回線の故障、災害その他の理由により電子情報処理組織を使用することが困難であると認められる場合にあっては、委員会で別途定める様式第一により報告書を提出する方法)
(2) 法第 147 条(権限の委任)第 1 項により、前条第 1 項の報告による権限の委任を受けた事業所管大臣に報告する場合 委員会で別途定める様式第一による報告書を提出する方法(当該事業所管大臣が別に定める場合にあっては、その方法)
(他の個人情報取扱事業者への通知)
第 37 条 会社は、この規程第 35 条(漏えい等の報告等)ただし書きの規定による通知をする場合には、同条各号に定める事態を知った後、速やかに、前条第 1 項各号に定める事項を通知するものとする。
(本人に対する通知)
第 38 条 会社は、この規程第 35 条(漏えい等の報告等)本文に定める場合には、同条各号に定める事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、本人に対し、この規程第 36 条(個人情報保護委員会への報告等)第 1 項第 1 号、第 2 号、第 4号、第 5 号及び第 9 号に定める事項を通知するものとする。
第 9 章 懲 罰
(懲罰)
第 39 条 会社は、この規程に違反した社員に対して就業規則に基づき処分を行い、その他の従業者等に対しては、契約又は法令に照らして処分を決定する。
第 10 章 制定と改廃
(制定と改廃)
第 40 条 この規程の制定・改廃は、取締役会で決議するものとする。
以上
附 則
この規程は、2022年10月8日 から施行する。