個人情報保護方針／個人情報取扱規程

（目的）
第1条　本規程は、当社における個人情報の適法かつ適正な取扱いの確保に関する基本的事項を定めることにより、個人の権利・利益を保護することを目的とする。

（定義）
第2条　本規程において、各用語の定義は次のとおりとする。

1. （1）個人情報　生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）、または個人識別符号が含まれるものをいう。
2. （2）要配慮個人情報　本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法令に定める記述等が含まれる個人情報をいう。現行法対応
3. （3）個人情報データベース等　特定の個人情報を検索することができるように体系的に構成した、個人情報を含む情報の集合物（紙媒体でファイル・台帳等として整理・分類し、容易に検索可能としたものを含む。）をいう。
4. （4）個人データ　個人情報データベース等を構成する個人情報をいう。
5. （5）保有個人データ　当社が、開示、内容の訂正・追加・削除、利用の停止・消去および第三者提供の停止を行うことのできる権限を有する個人データをいう。
   ※旧規程にあった「6か月以内に消去することとなるもの」を除外する規定は、令和2年改正法により短期保存データも保有個人データに含まれることとなったため削除した。現行法対応
6. （6）個人関連情報　生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないもの（Cookie・端末識別子・閲覧履歴等）をいう。現行法対応
7. （7）本人　個人情報によって識別される特定の個人をいう。
8. （8）部門長　個人情報を取り扱う部門の長をいう。
9. （9）従業者　当社の指揮監督を受けて当社の業務に従事する者をいい、雇用関係にある者のほか、取締役、派遣社員等を含む。
10. （10）本人の同意　本人の個人情報が、当社の示した取扱方法で取り扱われることを承諾する旨の本人の意思表示をいう。
11. （11）利用目的　一連の個人情報の取扱いにより達成しようとする目的をいう。
12. （12）個人情報の取扱い　個人情報の取得、整理、利用、保管、提供、消去その他一切の取扱いをいう。

（適用範囲）
第3条　本規程は、従業者に適用する。
2　本規程は、当社が現に保有している個人情報（その取扱いを委託されている個人情報を含む。）、およびその取扱いを委託している個人情報を対象とする。

（個人情報保護方針）
第4条　当社は、個人情報の適法かつ適正な取扱いを確保するため、法令の遵守、利用目的の特定、安全管理措置、第三者提供・委託・共同利用に関する事項、開示等の請求に応じる手続、問い合わせ窓口、継続的改善等を含む個人情報保護方針を定める。
2　個人情報保護方針は、従業者へ周知するとともに、ホームページへの掲載等により公表する。
3　個人情報保護方針は、社外に対して「プライバシーポリシー」と称することができる。

（個人情報保護管理者）
第5条　当社は、個人情報の取扱いに関して総括的な責任を有する個人情報保護管理者を、取締役の中から任命する。
2　個人情報保護管理者は、個人情報管理担当者を指名し、その業務を分担させることができる。
3　個人情報保護管理者は、保護方針の策定・周知・公表、安全対策の策定・推進、事故発生時の対応、教育・監査結果に基づく体制の改善等の職責と権限を有する。

（部門長の責任）
第6条　部門長は、自らの部門に所属する従業者の個人情報の取扱いにつき責任を負い、部門内の個人情報の所在・内容・利用者・規模等を把握し、適正な取扱いを維持・管理する。
2　部門長は、漏えい等の事故または違反の発生もしくはそのおそれを把握したときは、直ちに個人情報保護管理者に報告し、指示を求めなければならない。

（監査責任者）
第7条　監査責任者は、取締役会が任命し、個人情報の取扱いが法令および本規程に適合しているかを、公平かつ客観的な立場で調査・確認・評価し、その結果を個人情報保護管理者に報告する。

（教育・監査計画）
第8条　個人情報保護管理者は、個人情報の適正な取扱いを維持・推進するため、定期に教育・訓練計画を策定し、従業者に研修を受けさせる。
2　監査責任者は、定期に個人情報の取扱いに関する監査計画を策定する。

（管理原則）
第9条　個人情報は、本規程に従い適切に分類・管理し、その重要度に応じて適切に取得・利用・保管・移送・廃棄しなければならない。

（利用目的の特定・目的外利用の禁止）
第10条　当社は、個人情報の利用目的をできる限り特定する。
2　あらかじめ本人の同意を得ず、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
3　利用目的を変更する場合は、変更前の利用目的と相当の関連性を有すると認められる範囲を超えて行ってはならず、変更後の利用目的を本人に通知し、または公表する。

（不適正な利用の禁止）現行法対応
第11条　当社は、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない。

（適正な取得）
第12条　個人情報は、偽りその他不正の手段により取得してはならない。

（要配慮個人情報の取得）現行法対応
第13条　要配慮個人情報は、あらかじめ本人の同意を得て取得しなければならない。ただし、法令に基づく場合その他法令に定める例外に該当する場合は、この限りでない。

（取得に際しての利用目的の明示等）
第14条　申込書・アンケート・契約書等（電子メール、ホームページへの記入等の電磁的方法を含む。）により本人から直接個人情報を取得する場合は、あらかじめ利用目的を明示しなければならない。その他の方法により取得した場合は、速やかに利用目的を本人に通知し、または公表する。ただし、取得の状況に照らし利用目的が明らかである場合等、法令に定める場合はこの限りでない。

（間接取得に際しての措置）
第15条　本人以外の第三者から個人情報を取得する場合は、当該第三者において適法・適正に取得され、当社への提供につき適法な措置が講じられているものでなければならない。

（正確性の確保・消去）
第16条　個人データは、利用目的の達成に必要な範囲内で、正確かつ最新の内容に保つよう努める。利用する必要がなくなったときは、遅滞なく当該個人データを消去するよう努めなければならない。

（個人データ取扱台帳）
第17条　個人情報保護管理者は、当社の全ての個人データの種類・内容・保管場所等を記載した台帳を作成し、定期に見直して最新の状態を維持する。

（安全管理措置）
第18条　当社は、取り扱う個人情報の漏えい・滅失・毀損の防止その他の安全管理のため、組織的・人的・物理的・技術的に適切な措置を講じる。各部門は、次の各号に従って適切に取り扱わなければならない。

1. 個人情報を含む文書・媒体は、施錠保管・パスワード管理等により、散逸・紛失・漏えいを防止する。
2. 情報機器は適切に管理し、正当な権限のない者に使用させない。
3. 保管の必要のない個人情報を含む文書等は、シュレッダー裁断・データ完全消去等により確実に廃棄する。
4. 不正アクセス・不正ソフトウェア対策その他の技術的安全管理措置を講じる。
5. その他必要な事項は細則に定める。

（従業者の監督・教育）
第19条　個人情報保護管理者および部門長は、従業者が個人データを取り扱うにあたり、必要かつ適切な監督を行い、保護および適正な取扱いに関する教育を実施する。個人情報保護管理者は、従業者に対し誓約書の提出を求めることができる。

（委託先の監督）
第20条　個人データの取扱いの全部または一部を委託する場合は、保護体制が十分な委託先を選定し、安全管理・秘密保持・目的外使用の禁止・再委託の制限（原則禁止とし、やむを得ない場合は事前の書面同意を要する。）・事故時の責任・契約終了時の返却または消去等を内容とする契約を締結したうえで、必要かつ適切な監督を行う。

（第三者提供の制限）
第21条　あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。

1. 法令に基づく場合
2. 人の生命・身体または財産の保護に必要で、本人の同意を得ることが困難な場合
3. 公衆衛生の向上・児童の健全育成に特に必要で、本人の同意を得ることが困難な場合
4. 国の機関等への協力に係る場合等、法令に定める場合

2　第三者提供または共同利用を行う場合は、個人情報保護管理者の承認を得る。要配慮個人情報、不正に取得した個人データおよびオプトアウトにより取得した個人データは、オプトアウトによる第三者提供を行わない。現行法対応

（外国にある第三者への提供）現行法対応
第22条　外国にある第三者へ個人データを提供する場合は、次のいずれかによる。

1. 移転先国の名称、当該国の個人情報保護制度、当該第三者が講ずる措置等について本人へ情報提供したうえで、本人の同意を得ること。
2. 当該第三者が、法令に定める基準に適合する体制を整備していること。
3. 法令に基づく場合その他法令に定める例外に該当すること。

（第三者提供に係る記録）現行法対応
第23条　個人データを第三者に提供し、または第三者から受領する場合は、法令に従い、提供・受領の年月日、相手方の氏名・名称、対象となる個人データの項目等を記録し、原則として3年間保存する。

（個人関連情報の第三者提供）現行法対応
第24条　個人関連情報を第三者に提供し、提供先が個人データとして取得することが想定される場合は、提供先において本人の同意が得られていること等を、法令に従い確認し、記録する。

（開示）現行法対応
第25条　本人（代理人を含む。以下この章において同じ。）から、当該本人が識別される保有個人データの利用目的の通知または開示（第三者提供記録の開示を含む。）の請求があったときは、本人確認を行ったうえで、遅滞なく、本人が指示する方法（電磁的記録の提供による方法を含む。）により回答または開示する。ただし、本人または第三者の生命・身体・財産その他の権利利益を害するおそれがある場合、当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合、または法令に違反することとなる場合は、その全部または一部を開示しないことができる。この場合は、遅滞なくその旨を本人に通知し、理由を説明するよう努める。
2　開示等に際しては、実費を勘案して合理的な範囲で手数料を請求することができる。

（訂正・追加・削除）
第26条　本人から、保有個人データの内容が事実でないとして訂正・追加・削除（以下「訂正等」という。）を求められたときは、遅滞なく必要な調査を行い、その結果に基づき訂正等を行う。訂正等を行ったとき、または行わない旨を決定したときは、遅滞なくその旨（訂正等を行ったときはその内容を含む。）を本人に通知する。

（利用停止・消去・第三者提供の停止）現行法対応
第27条　本人から、保有個人データについて、次のいずれかの事由により利用の停止・消去または第三者提供の停止（以下「利用停止等」という。）を求められ、その求めに理由があると判明したときは、遅滞なく、必要な範囲で利用停止等を行う。

1. 利用目的の制限・不適正利用の禁止・適正取得の規定に違反して取り扱われているとき。
2. 第三者提供の制限の規定に違反して提供されているとき。
3. 当社が当該保有個人データを利用する必要がなくなったとき。
4. 当該保有個人データに係る漏えい等が生じたとき。
5. その他、本人の権利または正当な利益が害されるおそれがあるとき。

2　利用停止等を行ったとき、または行わない旨を決定したときは、遅滞なくその旨を本人に通知し、理由を説明するよう努める。

（請求の受付）
第28条　前3条の請求の受付窓口は本社とし、請求書の様式および本人確認の方法は個人情報保護管理者が定める。本人であることが明らかな場合は、本人確認書類の提出を求めないことができる。

（漏えい等が発生した場合の対応）現行法対応
第29条　個人データ（取得しようとしている個人情報であって個人データとなるものを含む。）の漏えい・滅失・毀損その他個人データの安全の確保に係る事態が発生し、または発生したおそれを把握した場合、個人情報保護管理者は、直ちに次の措置を講じる。

1. 社内における報告および被害の拡大防止
2. 事実関係の調査および原因の究明
3. 影響を受ける可能性のある範囲の特定
4. 再発防止策の検討および実施

2　前項の事態が、要配慮個人情報の漏えい等、財産的被害が生じるおそれがある漏えい等、不正の目的をもって行われたおそれがある漏えい等、または1,000人を超える本人に係る漏えい等その他法令に定める報告対象事態に該当する場合は、法令に従い、速やかに（速報）および法令所定の期間内に（確報）個人情報保護委員会へ報告し、あわせて本人に対し速やかに通知する。本人への通知が困難な場合は、本人の権利利益を保護するために必要な代替措置を講じる。

（苦情処理）
第30条　個人情報の取扱いに関する苦情は、個人情報保護管理者が定める窓口において受け付け、適切かつ迅速に処理する。個人情報保護管理者は、そのために必要な体制を整備する。

（監査・体制の見直し）
第31条　監査責任者は、当社における個人情報の取扱いが法令・本規程等に適合していることを定期に監査し、監査報告書を作成して個人情報保護管理者に報告する。個人情報保護管理者は、監査結果に照らし、必要に応じて安全対策・諸施策を見直し、改善する。

（罰則）
第32条　本規程に違反した従業者に対しては、就業規則に基づき処分を行い、その他の者に対しては契約または法令に照らして対応する。

（改廃）
第33条　本規程の改廃は、取締役会において行う。