マナー・接客・接遇研修から覆面調査まで、サービス向上のお手伝いをいたします。

プライバシーポリシー

個人情報取扱規定(G軽減「対象」会社用)

ー Privacy Provisionsー

第1章 総則

(目的)
第1条
本規程は、個人情報の適正な取扱の確保に関し必要な事項を定めることにより、事業の適正かつ円滑な運営を図りつつ、個人の権利利益を保護することを目的とする。
  1. なお、個人番号(行政手続における特定の個人を識別するための番号の利用等に関する法律第2条第5項が定める住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるもの)及び特定個人情報(個人番号をその内容に含む個人情報)の取扱については、別途定める「個人番号及び特定個人情報取扱規程」に従うものとする
(定義)
第2条
本規程における用語の定義は、次の各号に定めるところによる。
①個人情報
生存する個人に関する情報であって、次のいずれかに該当するものをいう。
  • 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電子的方式、磁気的方式その他人の知覚によって認識することができない電磁的方式で作られる記録をいう。)に記載され、若しくは記録され、または音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)
  • 個人識別符号(個人情報の保護に関する法律(以下「個人情報保護法」という。)第2条第2項が定めるもの。)が含まれるもの。
②要配慮個人情報
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
③個人情報データベース等
個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令等で定められたものを除く。)をいう。
  • 特定の個人情報を電子機器等を用いて検索することができるように体系的に構成したもの。
  • 上に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定められたもの。
④個人データ
個人情報データベース等を構成する個人情報をいう。
⑤保有個人データ
当社が、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして関係政令等で定められたものまたは一年以内に消去することとなるもの以外のものをいう。
⑥本人
個人情報によって識別され、または識別され得る特定の個人をいう。
⑦従業者
当社の組織内にあって直接間接に当社の指揮命令を受けて当社の業務に従事している者をいう。具体的には従業員の他、取締役、監査役、派遣社員等を含む。
(当社の責務)
第3条
当社は、個人情報保護法その他の個人情報保護に関する法令及びガイドライン等を遵守するとともに、実施するあらゆる事業を通じて、親会社であるインターライフホールディングス株式会社と協力のうえ、個人情報の保護に努めるものとする。

第2章 個人情報の取得

(利用目的の特定・変更)
第4条
個人情報を取扱うにあたっては、業務を遂行するため必要な場合に限り、その利用の目的(以下「利用目的」という。)をできる限り特定するものとする。
  1. その利用の目的(以下「利用目的」という。)をできる限り特定するものとする。利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲内で行うものとする。
  2. 利用目的を変更した場合は、変更した利用目的について、本人に通知、または公表するものとする。
(適正な取得)
第5条
個人情報を取得するときは、適法かつ適正な方法で行うものとする。
  1. 法令に基づく場合等、個人情報保護法第17条第2項に定める場合を除き、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
(取得に際しての利用目的の通知等)
第6条
個人情報を取得した場合は、あらかじめその利用目的を通知または公表している場合を除き、速やかにその利用目的を本人に通知、または公表するものとする。
  1. 前項の規程にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体または財産の保護のために緊急に必要がある場合はこの限りでない。
  2. 前2項の規定は、次に該当する場合は適用しない。
  3. 利用目的を本人に通知し、または公表することにより本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  4. 利用目的を本人に通知し、または公表することにより会社の権利または正当な利益を害するおそれがある場合
  5. 国の機関または地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、または公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
  6. 取得の状況からみて利用目的が明らかであると認められる場合
(第三者提供を受ける場合の確認等)
第7条
第三者から個人データの提供を受けるに際しては、次に該当する事項の確認を行うとともに、当該個人データの提供を受けた年月日をはじめ当該確認を行った事実を記録する。ただし、当該個人データの提供が第10条第1項ならびに第2項各号のいずれかに該当する場合はこの限りではない。
  1. 当該第三者の氏名または名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者または管理人の定めのあるものにあっては、その代表者または管理人)の氏名
  2. 当該第三者による当該個人データの取得の経緯
  3. 前項が定める確認により当該個人情報が適法に取得されたことが確認できない場合は、当該個人データを取得してはならない。

第3章 個人情報の利用

(利用目的外の利用の制限)
第8条
第4条において特定された利用目的の達成に必要な範囲を超えて個人情報を取扱わないものとする。
  1. 合併その他の事由により他の法人等から事業を継承することに伴って個人情報を取得した場合は、継承前における当該個人情報の利用目的の達成に 必要な範囲を超えて、当該個人情報を取扱わないものとする。
  2. 前2項は、次の各号のいずれかに該当する場合には適用しない。
  3. あらかじめ本人の同意があった場合
  4. 法令に基づく場合
  5. 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  6. 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
  7. 国の機関若しくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(データ内容の正確性の確保)
第9条
第4条の規定により特定された利用目的の達成に必要な範囲内において、個人情報を正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めるものとする。

第4章 個人データの提供

(個人データの提供)
第10条
次の各号に該当する場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
  1. 法令に基づく場合
  2. 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  3. 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
  4. 国の機関若しくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
  5. 次の各号に該当する場合において、当該個人データの提供を受ける者は、前項の規定の第三者に該当しないものとする。
  6. 第4条の規定により特定された利用目的の達成に必要な範囲内において個人データの取扱の全部または一部を委託する場合
  7. 合併その他の事由による事業の継承に伴い個人データを提供する場合
  8. プライバシーポリシーに定めた範囲内で、インターライフグループ内において共同利用するとき
(オプトアウトによる個人データの提供)
第11条
要配慮個人情報を除く個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合、次に掲げる事項について、個人情報保護委員会の定めるところにより、あらかじめ本人に通知し、または本人が容易に知りうる状態に置くとともに、同委員会に届け出たときは、前項の規定に拘らず、当該個人データを第三者に提供することができるものとする。
  1. 第三者への提供を利用目的とすること
  2. 第三者に提供される個人データの項目
  3. 第三者への提供の方法
  4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
  5. 本人の求めを受け付ける方法
  6. 前項②、③または⑤に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会の定めるところにより、あらかじめ本人に通知し、または本人が容易に知りうる状態に置くとともに、同委員会に届け出るものとする。
(第三者提供に係る記録の作成等)
第12条
個人データを第三者(個人情報保護法第2条5項各号に掲げる国の機関等を除く。)に提供したときは、当該個人データを提供した年月日、当該第三者の氏名または名称その他の個人情報保護委員会の定める事項に関する記録を作成する。ただし、当該個人データの提供が第10条第1項ならびに第2号各号のいずれかに該当する場合はこの限りではい。
(外国にある第三者への提供)
第13条
外国(本邦の域外にある国または地域をいい、個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会が定める国を除く。)にある第三者(個人データの取扱について本邦個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要ものとして個人情報保護委員会が定める基準に適合する体制を整備している者を除く。)に個人データを提供する場合には、第10条第1項各号に掲げる場合を除くほか、あらかじめ当該第三者への提供を認める旨の本人の同意を得なければならない。この場合には第11条の規定は適用しない。

第5章 組織及び体制

(所管部署及び情報セキュリティ責任者)
第14条
個人情報の取扱は総務部門担当部署が統括するものとする。総務部門担当部署は、次の各号に定める業務を所管する。
  1. 従業者からの報告徴収及び助言・指導
  2. 委託先における個人情報の取扱状況等の監督
  3. 個人情報の安全管理に関する教育・研修の実施
  4. 第7章に定める個人情報の開示、訂正等、利用停止等の対応
  5. その他情報セキュリティ責任者が定める業務
  6. 情報セキュリティポリシーに基づき別途選任される情報セキュリティ責任者は、次の各号に定める業務を所管する。
  7. 当社における個人情報の取扱の監督
  8. 個人情報の安全管理に関する規程等の策定及び周知
  9. 従業者からの報告徴収及び助言・指導
  10. 第16条に定める苦情等対応
  11. 第19条に定める委託先における個人データ取扱状況の把握及び評価
  12. 第22条に定める個人情報の漏えい等への対応
  13. 第24条に定める従業者に対する教育・研修の企画
  14. その他個人情報の安全管理に関する事項
(情報セキュリティ管理者及び取扱担当者)
第15条
情報セキュリティポリシーに基づき別途選任される情報セキュリティ管理者は、次の各号に定める業務を所管する。
  1. 個人情報の利用申請の承認及び記録等の管理
  2. 個人情報のアクセス権限についての設定及び変更の管理
  3. 第20条に定める個人データ取扱台帳の作成及び更新
  4. 第21条に定める記録の作成及び個人情報の取扱状況の把握
  5. 第25条に定める社内における物理的安全管理措置の実施
  6. 個人情報を取扱う保管媒体の設置場所の指定及び変更の管理
  7. 情報セキュリティ責任者に対する報告
  8. その他社内における個人情報の安全管理に関する事項
  9. 個人情報を取扱う作業に従事する従業員(以下「取扱担当者」という。)は別途発令等により明確にするものとする。
(苦情等対応)
第16条
個人情報の取扱に関する苦情等(以下「苦情等」という。)について必要な体制整備を行い、苦情等があったときは適切かつ迅速な対応に努める。
  1. 苦情等対応の責任者は、情報セキュリティ責任者とする。
(従業者の義務)
第17条
従業者は、本規程に基づき個人情報の管理態勢の維持向上に努めなれければならない。
  1. 従業者または従業者であった者は、業務上知りえた個人情報の内容をみだりに他人に知らせ、または不当な目的に使用してはならない。
  2. 個人情報の漏えい、滅失または毀損の発生または兆候を把握した従業者は、その旨を所属長、情報セキュリティ管理者または情報セキュリティ責任者に報告するものとする。
  3. 本規程に違反している事実または兆候を把握した従業者は、その旨を所属長、情報セキュリティ管理者または情報セキュリティ責任者に報告するものとする。
  4. 所属長及び情報セキュリティ管理者は、前2項の報告を受けた際には、直ちに事実関係を確認するとともに、情報セキュリティ責任者に報告するものとする。
  5. 情報セキュリティ責任者は、前3項による報告の内容を詳細に精査し、本規程に違反する事実が判明した場合には遅滞なく代表取締役社長及びインターライフホールディングス株式会社の個人情報管理責任者に報告するとともに、同社と連携して速やかに関係部門に適切な措置をとるよう指示するものとする。

第6章 安全管理措置
第1節 総則

(個人情報の安全管理)
第18条
個人情報の漏えい、滅失または毀損の防止、その他の個人情報の安全管理のために、第2節ないし第5節に定める措置を講ずるものとする。
(委託先の監督)
第19条
個人情報の取扱の全部または一部を当社以外の者に委託するときは、委託先における安全管理措置をあらかじめ確認した上で、情報セキュリティ責任者が評価するものとする。
  1. 委託先との間で契約を締結し、個人情報の安全管理について委託先が講ずべき措置を明らかにするものとする。
  2. 前項の委託先との契約においては、原則として委託先に対する実地調査を可能とする条項を含むものとし、必要に応じて個人情報を取扱う場所に赴き、またはこれに代わる合理的な方法(口頭による確認を含む。)により、委託先における個人情報の取扱状況を確認できるようにする。
  3. 委託先が個人情報の取扱の全部または一部を再委託する場合には、当社の許諾を得るものとする。再委託が行われた場合、当社は委託先が再委託先に対して必要かつ適切な監督を行っているかについて監督するものとする。

第2節 組織的安全管理措置

(個人情報の取扱状況の記録)
第20条
情報セキュリティ管理者は、個人情報データベース等について、別途定める様式に従い個人データ取扱台帳に以下の内容を記録する。
  1. 個人情報データベース等の内容(種類、名称、取得経緯等)
  2. 当該個人情報データベース等の異動日時(取得、変更、削除等)
  3. 取扱部署及び責任者
  4. 明示および公表等を行った利用目的
  5. アクセス権限を有する者
  6. 保管場所及び保管方法
  7. 利用期限
  8. その他個人データの適正な取扱いに必要な情報
(本規程に基づく運用状況の記録)
第21条
情報セキュリティ管理者は、本規程に従って業務手続が適切に行われていることを確認するため、別途定める様式に従い以下の記録を作成する。
  1. 取扱担当者およびアクセス権限の一覧表
  2. 個人データの持出記録
  3. 個人データの削除・廃棄記録
  4. 第7条第1項に定める第三者から個人データの提供を受けた際の記録
  5. 第12条に定める個人データを第三者に提供した際の記録
(個人情報の漏えい等への対応)
第22条
個人情報の漏えい、滅失または毀損等が発生した場合、代表取締役社長は、速やかに関係部門を指揮し、インターライフホールディングス株式会社と連携しつつ、適切かつ迅速に以下の対応を行うものとする。
  1. 事実関係の確認と影響範囲の特定、被害拡大の防止
  2. 影響を受ける可能性のある本人への連絡等
  3. 発生原因の究明と再発防止策の検討・実施
  4. 事実関係及び再発防止策等の適時開示
  5. 個人情報保護委員会等への報告
(取扱状況の把握及び安全管理措置の見直し)
第23条
情報セキュリティ責任者は、個人情報の取扱状況を把握し、安全管理措置の評価、見直し及び改善に取組むため、インターライフホールディングス株式会社の監査責任者による監査・指導等も踏まえながら、少なくとも毎年1回取扱状況を点検のうえ、安全管理措置を見直し、代表取締役社長に報告するものとする。

第3節 人的安全管理措置

(従業員の監督・教育)
第24条
個人情報の安全管理のため、従業者に対する必要かつ適切な監督・教育を行うとともに、情報セキュリティ責任者はインターライフホールディングス株式会社と連携しつつ従業者に対して年1回以上の研修を行う。

第4節 物理的安全管理措置

(物理的安全管理措置)
第25条
情報セキュリティ管理者は、取扱担当者及び本人以外が容易に個人データを閲覧等できないよう措置を講ずるものとする。
  1. 情報セキュリティ管理者は、個人データを取扱う機器、電子媒体及び書類等の盗難または紛失等を防止するために、以下の安全管理措置を講ずるものとする。
  2. 個人データを取扱う電子媒体または書類等は、施錠可能なキャビネット・書庫に保管する。
  3. 個人データを取扱う機器は、セキュリティワイヤー等により固定する。
  4. 情報セキュリティ管理者は、個人データが記録された電子媒体または個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずるものとする。
  5. 情報セキュリティ管理者は、復元できない手段で個人データを削除し、または個人データが記録された機器、電子媒体等を廃棄したことを、その処理の都度速やかに確認するものとし、その事実を必要に応じ「個人データ取扱台帳」等に記録する。

第5節 技術的安全管理措置

(技術的安全管理措置)
第26条
情報セキュリティ管理者は、個人データベース等及びそれを取扱う情報システムに対し以下の措置を講じるものとする。
  1. 個人データへのアクセス制御
  2. 個人データへのアクセス権限の管理
  3. 個人データを取扱う情報システムについての不正ソフトウェア対策
  4. 個人データの移送・送信時の対策
  5. 個人データを取扱う情報システムの監視
  6. 情報セキュリティ管理者は、標的型メール攻撃等による個人データの漏えい時の被害を防止するため、前項の措置に加え、必要に応じてインターライフホールディングス株式会社の協力のもと、以下の措置を講じるものとする。
  7. 不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み(ネットワークの遮断等)を導入し、適切に運用する。
  8. 個人データを端末に保存する必要がある場合、パスワードの設定または暗号化により適切に秘匿する。
  9. 情報漏えい等の事案の発生または兆候を把握した場合の迅速な情報連絡体制についての確認及び訓練を行う。

第7章 個人情報の開示、訂正等、利用停止等

(個人情報の開示等)
第27条

本人から当該本人が識別される個人情報に係る保有個人データについて、書面または口頭により、その開示(当該本人が識別される個人情報に係る保有個人データを保有していないときにその旨を知らせることを含む。)の申出があったときは、身分証明書等により本人であることを確認の上、遅滞なく開示を行う。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部または一部を開示しないことができる。
  1. 本人または第三者の生命、身体、財産その他権利利益を害するおそれがある場合
  2. 会社の事業の適切な実施に著しい支障を及ぼすおそれがある場合
  3. 他の法令に違反することとなる場合
  4. 開示は書面により行うものとする。ただし、開示の申出をした者の同意があるときは、書面以外の方法により開示をすることができる。
  5. 個人情報に係る保有個人データの開示または不開示の決定の通知は、本人に対し遅滞なく行うものとする。
(個人情報の訂正等)
第28条
本人から当該本人が識別される個人情報に係る保有個人データの内容が事実でないという理由によって当該個人情報に係る保有個人データの内容の訂正、追加または削除(以下「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該個人情報に係る保有個人データの内容の訂正等を行うものとする。
  1. 前項の規定に基づき求められた個人情報に係る保有個人データの内容の訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なくその旨(訂正等を行ったときはその内容を含む。)を通知するものとする。
  2. 前項の通知を受けた本人から、再度申出があった場合は、改めて前2項と同様の処理を行うものとする。
  3. 本条第2項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対しその理由を説明するよう努めるものとする。
(個人情報の利用停止等)
第29条
本人から当該本人が識別される個人情報に係る保有個人データが第8条の規定に違反して取扱われているという理由または第5条の規定に違反して取得されたものであるという理由によって、当該個人情報に係る保有個人データの利用の停止または消去(以下「利用停止等」という。)を求められた場合、または第10条の規定に違反して第三者に提供されているという理由によって、当該個人情報に係る保有個人データの第三者への提供の停止(以下「第三者提供の停止」という。)を求められた場合で、その求めに合理的な理由があることが判明したときは、遅滞なく当該個人情報に係る保有個人データの利用停止等または第三者提供の停止を行うものとする。ただし、当該個人情報に係る保有個人データの利用停止等または第三者提供の停止に多額の費用を要する場合等、これを行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではない。
  1. 前項の規定に基づき求められた個人情報に係る保有個人データについて、利用停止等または第三者提供の停止を行ったとき、若しくは利用停止等または第三者提供の停止を行わない旨の決定をしたときは、本人に対し遅滞なくその旨を通知するものとする。
  2. 前条第3項及び第4項は本条に準用する。

(附則)

  1. 本規程の取扱所管部署は総務機能担当部門とする。
  2. 本規程の改廃は、取締役会の決議による。

平成29年10月 1日 制定