紀州有田商工会議所 個人情報保護規程

第１章 総則

【目的】

第１条 この規程は、紀州有田商工会議所（以下「商工会議所」という。）が有する個人情報につき、商工会議所個人情報保護方針に基づく適正な保護を実現することを目的とする基本規程である。

【定義】

第２条 本規程における用語の定義は、次の各号に定めるところによる。

• 個人情報

  生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述により特定の個人を認識することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別するができることとなるものを含む）

• 本人

  個人情報によって識別される個人をいう  

• 従業者

  商工会議所の組織内で指揮監督を受け、個人情報の取り扱いに従事する者（職員、役員、派遣職員等を含む）

• 個人情報保護マネジメントシステム（PMS）

  商工会議所が保有する個人情報を保護するための方針、諸規定を含む商工会議所内のしくみのすべて

• 個人情報保護管理者

  専務理事により任命され個人情報保護マネジメントシステムの実施及び運用に関する責任と権限を有する者

• 監査責任者

  専務理事より任命されたものであって、公平かつ客観的な立場にあり、監査の実施及び報告を行う責任と権限を有する者

【適用範囲】

第３条 本規定は、商工会議所の従業者に対して適用する。

２ 個人情報を取扱う業務を外部に委託する場合も、この規定の趣旨に従って、個人情報の適切な保護を図るものとする。

第２章 個人情報の取得

【個人情報取得の原則】

第４条 個人情報の取得は、利用目的を明確に定め、その目的の達成のために必要な限度においてのみ行うものとする。

２ 個人情報の取得は、適法かつ公正な方法により行うものとする。【要配慮個人情報の取得制限】

第５条 次に揚げる要配慮個人情報を取得する場合は、法令に基づく場合を除き、あらかじめ本人の同意を得なければならない。

• 信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実
• 身体障害、知的障害、精神障害その他の個人情報保護委員会規則で定める事項
• その他、本人に対する不当な差別、偏見その他の不利益が生じないよう、その取扱いに特に配慮を要するものとして法令で定める事項

【取得の手続】

第６条 業務において新たに個人情報を取得する場合には、あらかじめ、個人情報保護管理者に利用目的及び実施方法を届け出、承認を得るものとする。

【本人から直接に個人情報を取得する場合の措置】

第７条 本人から直接的に個人情報を取得する場合は、本人に対して、次の各号に揚げる事項を書面又はこれに準ずる方法によって通知するものとする。

• 個人情報保護管理者又はその代理人の氏名又は職名、所属及び連絡先
• 個人情報の所得及び利用目的
• 個人情報の提供を行うことが予定されている場合は、その目的、当該情報の受領者又は受領者の組織の種類、属性及び個人情報の取扱いに関する契約の有無
• 個人情報の取扱いを委託することが予定されている場合には、その旨
• 個人情報を与えることは本人の任意であること
• 個人情報の開示を求める権利、及び開示の結果、当該情報が誤っている場合に訂正又は削除を要求する権利の存在、並びに当該権利を行使するための具体的な手続き

【本人以外から間接的に個人情報を取得する場合の措置】

第８条 本人以外から間接的に個人情報を取得する場合は、第７条第１号ないし第４号及び第６号に掲げる事項を、書面、電磁的記録又はこれらに準ずる方法によって通知又は公表するものとする。

• 第三者から個人情報の提供を受けるに際しては、次に掲げる事項を確認し、法令等で定める期間、その内容に関する記録を適切に保管しなければならない。
  • 当該第三者の氏名又は名称及び住所（法人にあっては代表者の氏名を含む）
  • 当該第三者による当該個人情報の取得の経緯
• 前項の確認において、当該第三者による取得が不正な疑いがある場合は、当該個人情報の提供を受けてはならない。
• 次の各号に該当する場合は、第１項に定める通知又は公表を要しないものとする。
  • 第７条第３号に掲げる事項を書面又はこれに準ずる方法によって通知した上、本人の同意を得ている者から取得する場合  （２）個人情報の取扱いを委託される場合  （３）本人の保護に値する利益が侵害されるおそれのない場合

第３章  個人情報の移送・送信

【個人情報の移送・送信の原則】

 第９条 個人情報の移送・転送は、具体的な権限を与えられた者のみが、外部流出の危険を防止するために必要な適切かつ方法により、業務の遂行上必要な限りにおいてなし得るものとする。

第４章 個人情報の利用

【個人情報の利用の原則】

 第１０条 個人情報は、利用目的の範囲内で、具体的な権限を与えられた者のみが、業務の遂行上必要なかぎりにおいて利用できるものとする。

【個人情報の目的外の利用】

 第１１条 利用目的の範囲を超えて個人情報を利用する場合は、第７条各号に掲げる事項を、書面、電磁的記録（電子メール、ウェブ画面への表示等）又はこれらに準ずる適当な方法によって本人に通知し、事前の本人の同意を得るものとする。

２ 利用目的の範囲を超えて個人情報を利用するために本人の同意を求める場合は、個人情報保護管理者の承認を得るものとする。

【個人情報の共同利用】  

 第１２条 個人情報を第三者との間で共同利用する場合は、個人情報保護管理者の承認を得るものとする。

【個人情報の取扱いの委託】

 第１３条 個人情報の取扱いを第三者に委託する場合は、「外部委託管理規程」に定める手続きに従う。

第５章  個人情報の第三者提供

【個人情報の第三者提供の原則】

第１４条 個人情報は、事前に本人の同意を得ることなく、第三者に提供してはならない。

• 個人情報を第三者に提供する場合には、第７条各号に掲げる事項を、書面、電磁的記録又はこれらに準ずる適当な方法によって通知し、本人の同意を得るものとする。
• 前項に基づき個人情報を第三者に提供する場合は、個人情報保護管理者の承認を得るものとする。

第６章  個人情報の管理

【個人情報の管理の原則】

 第１５条 個人情報は、利用目的の達成に必要な範囲内において正確かつ最新の状態で管理するものとする。

【個人情報の安全管理対策】

 第１６条 個人情報保護管理者は、個人情報に関するリスク（個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど）に対して、必要かつ適正な安全管理対策を講じるものとする。

第７章  個人情報の開示・訂正・利用停止・消去

【自己情報に関する権利】

 第１７条 本人から自己の個人情報について開示を求められた場合には、遅滞なくこれに応ずるものとする。

• 前項の開示は、本人が請求した方法（電磁的記録の提供、書面の交付等）により行うものとする。ただし、当該方法による開示に多額の費用を要する場合や、その他の困難がある場合は、本人の了解を得た上で書面の交付によることができる。
• 前項に基づく開示の結果、誤った情報があり、訂正又は削除を求められた場合は、原則として合理的な期間内にこれに応ずるとともに、訂正又は削除を行った場合は、可能な範囲内で当該個人情報の受領者に対して通知を行うものとする。

【自己情報の利用又は提供の拒否】

 第１８条 本人からの自己の情報について利用又は第三者の提供を拒否された場合は、これに応じなければならない。ただし、法令に基づく場合は、この限りではない。

第８章  個人情報の消去・廃棄

【消去・廃棄の手続き】

 第１９条 個人情報の消去及び廃棄は、具体的な権限を与えられた者のみが、外部流出等の危険を防止するために必要かつ適切な方法により、業務の遂行上必要な限りにおいてなし得るものとする。

第９章  組織及び体制

【個人情報保護管理者】

 第２０条 専務理事は、役職員の中から個人情報保護管理者を任命し、商工会議所内における個人情報の管理業務を行わせるものとする。

• 個人情報保護管理者は、専務理事の指示及び本規程に定めるところに基づき、個人情報保護に関する内部規定の整備、安全対策の実施、教育訓練等を推進するための個人情報保護マネジメントシステムを策定し、周知徹底の措置を実践する責任を負うものとする。
• 個人情報保護管理者は、個人情報保護マネジメントシステムの策定及びその実践のために、補佐を行う者を任命できるものとする。

【教育】

 第２１条 個人情報保護管理者は、個人情報保護マネジメントシステムの重要性を理解させ、確実な実施を図るため、所要の教育計画及び教育資料に従い、継続かつ定期的に教育・訓練を行うものとする。

【作業責任者】

第２２条 個人情報保護管理者は、個人情報を取扱う作業が行われるに際し、当該作業に関する責任者を任命するものとする。

【監査】

 第２３条 専務理事は、監査責任者を任命し、商工会議所内における個人情報の管理が個人情報保護マネジメントシステムに従い適正に実施されているかにつき定期的に監査を行わせるものとする。

• 監査責任者は、内部監査規程に従い、監査計画を作成し実施するものとする。
• 監査責任者は、監査の結果につき監査報告書を作成し、専務理事に対して報告を行うものとする。
• 専務理事は、商工会議所内における個人情報の管理につき個人情報保護マネジメントシステムに違反する行為があった場合には、個人情報保護管理者及び関係者に対し、改善指示を行うものとする。
• 前項に基づき改善指示を受けた者は、速やかに適正な改善措置を講じ、その内容を監査責任者に報告するものとする。
• 監査責任者は、前項によりなされた改善措置を評価し、専務理事及び個人情報保護管理者に対して報告するものとする。

【報告義務及び罰則】

 第２４条 個人情報保護マネジメントシステムに違反する事実又は違反するおそれがあることを発見した者は、その旨を個人情報保護管理者に報告するものとする。

• 個人情報保護管理者は、前項による報告の内容を調査し、違反の事実が判明した場合には、遅滞なく、専務理事に報告し、かつ、関係部門に適切な処置を行うように指示するものとする。
• 個人情報保護マネジメントシステムに違反した従業者は、就業規則の定めるところにより懲戒に処するものとする。

【漏えい事案発生時の対応】

第２５条 従業者は、個人情報の漏えい、滅失、毀損その他の個人情報の安全の確保に係る事態（以下「漏えい等事案」という。）が発生し、又は発生したおそれがあることを知ったときは、直ちに個人情報保護管理者に報告しなければならない。

• 個人情報保護管理者は、前項の報告を受けたときは、直ちに事実関係の調査、原因の究明、被害拡大の防止及び再発防止策の検討を行わなければならない。
• 個人情報保護管理者は、漏えい等事案が法令で定める報告義務（個人の権利利益を害するおそれが大きい事案等）に該当すると判断した場合は、速やかに個人情報保護委員会へ報告し、かつ、本人に対して通知を行わなければならない。
• 前項の報告及び通知の手続きについては、専務理事の承認を得て遅滞なく行うものとする。【苦情及び相談】

 第２６条 専務理事は、相談窓口を設置し、個人情報及び個人情報保護マネジメントシステム関して、本人から苦情及び相談を受け付けて対応するものとする。

第１０章 雑則

【継続的改善】

 第２７条 個人情報保護管理者は、監査報告書、社会情勢の変化、情報技術の動向、及びその他の事業環境等に照らして、個人情報保護マネジメントシステムを定期的に見直し、継続的な改善を図らなければならない。

２ 専務理事は、前項の見直し結果に基づき、本規程の改廃を含む必要な措置を決定し、組織全体に周知徹底するものとする。