特定非営利活動法人 ハッピーワーク 個人情報取扱規程
第1章 総 則
(目的)
第1条 この規程は、特定非営利活動法人ハッピーワーク(以下、「当法人」)における個人情報の取り扱いについて定める。
(適用範囲)
第2条 本規程は、当法人内外を問わず、従業者が業務遂行において個人情報を取り扱う場合に適用される。
(定義)
第3条 本規程で用いる用語は以下の通りとする。
(1)個人情報
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)。
(2)個人データ
個人情報のうち、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの、および特定の個人情報を容易に検索することができるように体系的に構成したもの。
但し、個人情報保護管理責任者により除外されたものを除く。
(3)保有個人データ
個人データのうち、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行なうことのできる権限を有する個人データ。
但し、個人情報保護管理責任者により除外されたものを除く。
(4)情報主体
一定の情報によって識別されるまたは識別され得る本人。
(5)個人情報保護管理責任者
理事会で指名された者であって、コンプライアンス・プログラムの実施および運用に関する責任と権限を持つ者。
(6)コンプライアンス・プログラム
方針、体制、規程、計画書、手順書、マニュアル、記録など、当法人が保有する個人情報を保護するための仕組みすべて。
(罰則)
第4条 本規程に違反した場合は、懲戒規程を準用する。
2 従業者が次に掲げることを理由に自らが行なったコンプライアンス・プログラム違反行為の責任を免れることはできない。
(1)法令等について正しい知識がなかったこと。
(2)法令等に違反しようとする意思がなかったこと。
(3)当法人の利益を図る目的で行なったこと。
(改廃)
第5条 本規程の改廃は、理事会の決議を経て行なう。
第2章 体制および責任
(推進体制)
第6条 当法人は、理事会において、本規定の実施について責任を負う「個人情報保護管理責任者」と「個人情報保護監査責任者」を任命する。
個人情報保護管理責任者は、理事長とする。
2 理事会では、個人情報保護に関して、コンプライアンス・プログラムの全体像を把握し、以下の項目を含む基本方針を定めなければならない。
(1)個人情報保護管理責任者名および苦情相談先を含む個人情報保護の体制に関すること。
(2)個人情報の取得に関すること。
(3)個人情報の利用に関すること。
(4)個人情報の委託に関すること。
(5)個人情報の第三者への提供に関すること。
(6)個人情報の安全管理に関すること。
(7)個人情報保護に関する問い合わせ、個人情報の開示、訂正、削除および利用停止に関すること。
(8)個人情報に関する事故が発生した場合の対処に関すること。
(9)個人情報保護に関する法令およびその他の規範の遵守に関することと、当法人に関連の深い代表例。
(10)監視、監査、見直しなど、コンプライアンス・プログラムの継続的改善に関すること。
3 理事会では、必要に応じて業務毎または業態毎に個別方針を定めなければならない。
その際、個別方針は基本方針と整合性を保たなければならない。
4 理事会では、個人情報保護管理者および個人情報保護監査責任者からの報告および経営環境などに照らして、コンプライアンス・プログラムを最低年1回以上見直さなければならない。
(個人情報保護管理責任者)
第7条 個人情報保護管理責任者は、コンプライアンス・プログラムを実施するにあたって、個人情報保護管理者、個人情報保護教育責任者、個人情報苦情処理責任者を指名しなければならない。
2 個人情報保護管理責任者は、責任および権限を定めなければならない。
3 個人情報保護管理責任者は、コンプライアンス・プログラムの基本となる要素を本規程に従って文書化しなければならない。
4 個人情報保護管理責任者は、コンプライアンス・プログラムのすべての要素を体系的に整理し、従業者が容易に閲覧できるようにしなければならない。
5 個人情報保護管理責任者は、年2回以上実施状況を確認し、速やかに理事会に報告しなければならない。
6 個人情報保護管理責任者は、事故発生時の対応手順を定めなければならない。
(個人情報保護監査責任者)
第8条 個人情報保護監査責任者は、事業年度毎に、個人情報保護に関する監査を年1回以上行なう計画書を作成しなければならない。
2 個人情報保護監査責任者は、個人情報保護に関する監査を実施するために、監査チームを編成しなければならない。
その際、自らの業務を監査させる編成をしてはならない。
3 個人情報保護監査責任者は、監査終了後、監査報告書を作成し、速やかに理事会に報告しなければならない。
4 個人情報保護監査責任者は、監査報告書を保管し、管理しなければならない。
5 個人情報保護監査責任者は、監査方法および監査チェックリストについて、別途細則で定めなければならない。
(個人情報保護教育責任者)
第9条 個人情報保護教育責任者は、事業年度毎に、個人情報保護に関する教育を年1回以上従業者全員に行なう計画書を作成しなければならない。
2 個人情報保護教育責任者は、コンプライアンス・プログラムの全体像の教育および役割と責任に応じた訓練のカリキュラムを定めなければならない。
3 個人情報保護教育責任者は、個人情報に関する教育が円滑に行なえるように体制を整備しなければならない。
4 個人情報保護教育責任者は、教育方法および自覚させる手順について、別途細則で定めなければならない。
(個人情報苦情処理責任者)
第10条 個人情報苦情処理責任者は、情報主体本人からの苦情および相談について対処しなければならない。
2 個人情報苦情処理責任者は、個人情報保護に関する苦情処理が円滑に行なえるように体制を整備しなければならない。
3 個人情報苦情処理責任者は、苦情処理の手順を定めなければならない。
(従業者)
第11条 コンプライアンス・プログラムを遵守するとともに、事故およびコンプライアンス・プログラム違反を見つけた場合は、速やかに個人情報保護管理者に報告しなければならない。
第3章 実施および運用
(原則)
第12条 個人情報の取得にあたっては、利用目的を明確に定め、その目的の達成に必要な限度において行なわなければならない。
2 個人情報の取得は、適法かつ公正な手段によって行なわなければならない。
3 社会的差別を受け得る機微(センシティブ)な個人情報を取得、利用および提供してはならない。
4 個人データの利用および提供は、情報主体本人から同意を得た利用目的の範囲内で行なわなければならない。
5 個人情報のリスクに対して、合理的な安全対策を講じなければならない。
6 個人データは、利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しなければならない。
(例外事項)
第13条 原則に反し以下の措置をとる場合は、個人情報保護管理者の承認を得なければならない。
(1)個人情報を取得する際に、情報主体本人に同意を得ない場合。
(2)情報主体本人から開示、訂正、削除および利用停止の要求を受け付けない場合。
(3)目的外の利用をする際に、情報主体本人の同意を得ない場合。
(4)第三者に提供する際に、情報主体本人の同意を得ない場合。
2 機微(センシティブ)な個人情報を取得、利用および提供する場合は、情報主体本人から明確な同意を得る手順を定め、個人情報保護管理責任者の承認を得なければならない。
3 個人情報保護管理責任者は、例外事項の承認の手順を定めなければならない。
(法令およびその他の規範)
第14条 個人情報保護管理者は、コンプライアンス・プログラムの実施に必要な法令およびその他の規範を特定し、管理しなければならない。
(個人情報の特定)
第15条 個人情報保護責任者は、個人情報の種類を特定し、管理しなければならない。
2 個人情報保護責任者は、機微(センシティブ)な情報として取り扱う個人情報の種類を特定し、管理しなければならない。
3 個人情報を取り扱う事業の業務責任者は、個人情報を特定する手順を確立し、管理しなければならない。
4 個人情報を取り扱う事業の業務責任者は、特定した個人情報のリスクを認識しなければならない。
5 個人情報を取り扱う事業の業務責任者は、特定した個人情報について、利用目的毎に管理しなければならない。
6 個人情報を取り扱う事業の業務責任者は、個人情報の所在を把握できるようにしなければならない。
(取得する場合の措置)
第16条 個人情報を取得する際は、情報主体本人から以下の項目について事前に通知し、同意を得なければならない。
(1)問い合わせ、開示、訂正、削除および利用停止に必要な連絡先と責任の所在。
(2)利用目的。
(3)個人情報を第三者に提供することが予定される場合は、その目的、提供先および個人情報の取り扱いに関する契約の有無。
(4)個人情報の預託を行なうことが予定される場合は、その旨。
(5)情報主体が個人情報を与えることの任意性および当該情報を与えなかった場合に情報主体本人に生じる結果。
(6)個人情報の開示を求める権利および開示の結果、当該情報が誤っている場合に訂正または削除を要求する権利の存在、対応期間の目安、ならびに当該権利を行使するための具体的な方法。
2 個人情報を取り扱う事業の業務責任者は、上項を実施するための手順を定め、個人情報保護責任者の承認を得なければならない。
3 個人情報を取得する際、事前に同意を得ない場合は、個人情報保護責任者の承認を得なければならない。
(保管および利用)
第17条 個人データを保管および利用する際は、関係者以外の者が容易にアクセスできないような措置をとらなければならない。
2 個人情報保護管理者は、上項を実施するため、安全に保管および利用できる仕組みを確保しなければならない。
3 個人情報を取り扱う事業の業務責任者は、特定した個人データのリスクについて、その対策の実施状況を定期的に確認しなければならない。
4 個人情報を取り扱う事業の業務責任者は、個人データの保管および利用の手順を定めなければならない。
(委託)
第18条 個人データを委託する際は、委託先選定基準により事業者を選定し、以下の項目を含んだ契約内容をもって、保護水準を担保しなければならない。
(1)個人データの利用制限。
(2)個人データの秘密保持。
(3)個人データの安全管理に関する事項。
(4)個人データの再委託に関する事項。
(5)事故時の責任分担。
(6)契約終了時の個人データの返却および消去。
2 個人情報を取り扱う事業の業務責任者は、上項を実施するため、委託内容毎に委託先選定基準を定め、個人情報保護管理者の承認を得なければならない。
3 個人情報保護管理責任者は、委託契約書の雛型を定めなければならない。
4 個人情報を取り扱う事業の業務責任者は、委託先管理の手順を定めなければならない。
(目的外利用)
第19条 情報主体本人から同意を得て利用目的以外の目的のために利用する際は、事前に情報主体本人にその目的を通知し、同意を得なければならない。
2 個人情報保護管理責任者は、上項を実施するため、通知の内容を承認しなければならない。
3 目的外利用の際、情報主体本人の同意を得ない場合は、個人情報保護管理責任者の承認を得なければならない。
4 個人情報保護管理者は、緊急時における承認の手順を定めなければならない。
(第三者提供)
第20条 個人情報を取り扱う事業の責任者は、第三者へ提供する際、事前に情報主体本人に提供先、利用目的、個人データの項目および提供手段を通知し、同意を得なければならない。
2 個人情報保護管理責任者は、上項を実施するため、通知の内容を承認しなければならない。
3 第三者提供の際、情報主体本人の同意を得ない場合は、個人情報保護管理責任者の承認を得なければならない。
4 個人情報保護管理者は、緊急時における承認の手順を定めなければならない。
(情報主体本人からの要求に対する措置)
第21条 情報主体本人から個人データについて、開示、訂正、削除および利用停止の要求がある場合は、合理的な期間で応じなければならない。
2 個人情報を取り扱う事業の業務責任者は、上項を実施するため、本人確認の方法、料金および対応の期限を含んだ手順を定めなければならない。
3 情報主体本人からの開示、訂正、削除および利用停止の要求に応じない場合は、個人情報保護管理責任者の承認を得なければならない。
(削除および消去)
第22条 個人情報を削除および消去する際は、目的外利用または第三者に利用されないような措置をとらなければならない。
2 個人情報保護管理者は、上項を実施するため、安全に削除および消去が行なえる仕組みを確保しなければならない。
3 個人情報を取り扱う事業の業務責任者は、削除および消去する個人データのリスクについて、その対策の実施状況を定期的に確認しなければならない。
4 個人情報を取り扱う事業の業務責任者は、個人データの削除および消去の手順を定めなければならない。
附 則
1.この個人情報取扱規程は、令和5年1月1日から施行する。
2.この個人情報取扱規程に定めのない事項については、すべて個人情報の保護に関する法律および政令その他の関係法令の定めるところによる。
