個人情報保護指針

2007年4月1日制定

2014年2月1日改定

個人情報保護管理基本規定

プレサイス株式会社

0       目的
 プレサイス株式会社(以下当社という)は、個人情報の適正な保護に対する自主的な取り組みとして、JIS Q 15001に準拠するコンプライアンス・プログラムを策定し、実施し、維持し、将来にわたり継続的に改善するものとする。

 当社は、本基本規定において、コンプライアンス・プログラムを構成する他の文書を示し、本基本規定の上位および下位文書との関係を示すものとする。

 

1       適用範囲
 本規定の適用範囲は全社に渡るものとする。電子媒体・文書・録画録音媒体・その他個人を識別できるあらゆる媒体に適用する。

 

2       準拠規格
 JIS Q 15001: 1999「個人情報に関するコンプライアンス・プログラムの要求事項」。

 

3       定義
3-1       JISQ15001と本規定の言い換え
 本規定中の用語と、JIS Q 15001中の用語は以下の通り対応する。

(1)    当社:JIS Q 15001の事業者

(2)    代表取締役:JIS Q 15001の事業者の代表者

(3)    本人:JIS Q 15001の情報主体

(4)    個人情報保護管理責任者:JIS Q 15001の管理者

 

3-2       本規定の用語
 本規定中の用語の定義は以下の通りとする。

(1)    文書管理責任者:基本規定4-4-9の責任者

(2)    法規等確認責任者:基本規定4-4-1-4の責任者

(3)    個人情報保護管理責任者:基本規定4-4-1-3に定める責任者任者

(4)    情報システムリスク責任者:基本規定4-4-4-4に定める責任者

(5)    苦情相談担当責任者:基本規定4-4-7に定める責任者

(6)    外部委託先管理責任者:基本規定4-4-4-3に定める責任者

(7)    教育責任者:基本規定4-4-6に定める責任者

(8)    監査責任者:基本規定4-5に定める責任者

 

4       コンプライアンス・プログラム要求事項
4-1       一般要求事項
 当社は、個人情報保護法およびJIS Q 15001:1999ならびに個人情報保護に関して当社に適用される法令、およびその他の規範に準拠したコンプライアンス・プログラムを策定し、実施し、改善を行う。

 

4-2       個人情報保護方針
 当社のコンプライアンス・プログラムとして、代表取締役は次の事項を含む個人情報保護法新を定めるとともに、これを実行し維持する。

(1)    事業の内容および規模を考慮した適切な個人情報の収集、利用、および提供。

(2)    個人情報への不正アクセス、個人情報の紛失、破壊、改竄、および漏洩などの予防ならびに是正。

(3)    個人情報に関する法令およびその他の規範の遵守。

(4)    コンプライアンス・プログラムの継続的改善。

 

4-2-1     個人情報保護方針の告知
 代表取締役は、個人情報保護方針を文書化し、役員および従業員に周知させるとともに、一般の人が入手可能とするべく、次の措置を講ずる

(1)    当社webサイトへ掲載する。

(2)    当社イントラネットへ掲載する。

(3)    全従業員へ印刷し配布する。

 

4-3       計画
4-3-1     個人情報の特定
 当社が保有する全ての個人情報を特定するための手順を確立し、維持する。また、当社が特定した個人情報に関するリスクを認識する手順を確立し、維持する。

 

4-3-1-1    個人情報の特定方法
 当社の保有する個人情報および収集を予定する個人情報については、個人情報調査および収集申請書に記載し、当該申請書の指示に従って、個人情報保護管理責任者の承認を得なければならない。

 

4-3-1-2    個人情報のリスク分析と対処方法の検討
 リスクアセスメントリストを用いて、リスク分析を行うとともに、その対応策を検討する。

 

4-3-1-3    個人情報目録
 4-3-1-1 および4-3-1-2 で特定した個人情報の要約を一覧できるよう、個人情報目録に記載する。

 

4-3-2     法令およびその他の規範
 当社は、個人情報に関する法令およびその他の規範を特定し、参照できる手順を確立すべく以下の通り規定する。

(1)    収集するべき法令およびその他の規範は法規等管理台帳に記載する。

(2)    法令およびその他の規範の最新版は、確認担当者が3ヶ月ごとに確認し、法規等管理台帳に記載する。

(3)    法令およびその他の規範の最新版の発行、旧版の回収は、文書管理責任者が行い、文書等変更通知書に記載する。

(4)    新たに収集するべき法令およびその他の規範については4-6 および4-6-1 に定める手順により検討する。

 

4-3-3     内部規定
当社は、個人情報を保護するための内部規定を策定し、維持するべく次の事項を定める。

(1)    各部門及び階層における個人情報を保護するための権限及び責任を規定。

(2)    個人情報の収集、利用、提供及び管理の規定。

(3)    本人からの個人情報に関する開示、訂正及び削除の規定。

(4)    個人情報保護に関する教育の規定。

(5)    個人情報保護に関する監査の規定。

(6)    内部規定の違反に関する罰則を就労規則に規定。

 

4-3-3-1    内部規定の改定
当社は、事業の変化、社内外からの提案、事故、事件、その他の事情により、内部規定の改定の必要性を検討する。

内部規定の改定は、4-6 および4-6-1 に定められた手順に従い、実施する。

 

4-3-4     計画書
内部規定を遵守するために必要な教育、監査などの計画書を立案し、文書化し、維持する。

 

4-4       実施および運用
4-4-1     体制および責任
コンプライアンス・プログラムを効果的に実施するために役割、責任及び権限を「個人情報保護に関する要求事項と責任者対応用表」及び「体制組織図」として規定する。

 

4-4-1-1    体制および責任の周知
4-4-1 の「個人情報保護に関する要求事項と責任者対応表」および「体制組織図」は、文書管理責任者がその最新版を関係部署に配布する。

前記体制および責任につき役員及び従業員に周知する教育を実施する。

 

4-4-1-2    資源の用意
代表取締役は、コンプライアンス・プログラムの実施及び管理に不可欠な資源を用意する。

 

4-4-1-3    個人情報保護管理責任者の任命
 代表取締役は、JIS Q 15001の規格を理解し実践する能力のある個人情報保護管理責任者を当社内部から指名し、コンプライアンス・プログラムの実施および運用に関する責任ならびに権限を他の責任にかかわりなく与え、業務を行わせるものとする。

 

4-4-1-4    法規等確認責任者の任命
代表取締役は、JIS Q 15001の規格を理解し実践する能力のある法規等確認責任者を任命し、収集するべき法令およびその他の規範は法規等管理台帳に記載させる。

法令およびその他の規範が変更された場合には、法規等確認責任者は3ヶ月ごとに確認し、法規等管理台帳に記載する。

 

4-4-2     個人情報の収集に関する措置
4-4-2-1    収集の原則
個人情報の収集するに際し、実務担当者は、事前に、「個人情報調査及び収集申請書」に収集目的を明確に定め、その目的の達成に必要な限度において収集するべき個人情報の項目を定めなければならない。

担当部門長は前記の内容につき、業務上の必要性を確認する。

個人情報保護管理責任者は、前記の収集目的および収集する個人情報の内容が、個人情報保護の観点から適切であることにつき判断する。

担当部門長は、収集の許可を得た個人情報であっても、事業の変化その他の事情により、個人情報の一部あるいは全部の収集が不要となった場合には、当該個人情報の「個人情報調査及び収集申請書」の該当箇所の改定を、個人情報保護管理責任者に申請しなければならない。

 

4-4-2-2    収集方法の制限
個人情報の収集は、適法、かつ、公正な手段によって行うものとする。

実務担当者は、個人情報を収集するに先立ち、その収集方法を、「個人情報調査及び収集申請書」に明確に定め、担当部門長の確認を受け、個人情報保護管理責任者が適法、かつ、公正な手段であることにつき判断する。

 

4-4-2-3    特定の機微な個人情報の収集の禁止
以下に示す内容を含む個人情報の収集、利用又は提供は行ってはならない。ただし、これらの収集、利用または提供について、明示的な本人の同意、法令による特別の規定がある場合、及び司法手続上必要不可欠であると、個人情報保護管理責任者が確認し、代表取締役が文書による承認を与えた場合はこの限りではない。

(1)    思想、信条及び宗教に関する事項。

(2)    人種、民族、門地、本籍地(所在都道府県に関する情報は除く。)、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項。

(3)    勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項。

(4)    集団示威行為への参加。請願権の行使、及びその他の政治的権利の行使に関する事項。

(5)    保健医療及び性生活。

 

4-4-2-4    本人から直接収集する場合の措置
本人から直接に個人情報を収集する場合には、本人に対して、少なくとも、以下に示す事項またはそれと同等以上の内容の事項を、書面もしくはそれに代わる方法によって通知し、本人の同意を得なければならない。

(1)    当社内部の個人情報に関する管理者、またはその代理人の氏名、もしくは職名、および所属先ならびに連絡先。

(2)    収集目的。

(3)    個人情報の提供を行うことが予定される場合には、その目的、当該情報の受領または受領者の組織の種類、属性及び個人情報の取り扱いに関する契約を締結している旨。

(4)    個人情報の預託を行うことが予定される場合には、その旨。

(5)    本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果。

(6)    個人情報の開示を求める権利、及び開示の結果、当該情報が誤っている場合に訂正又は削除を要求する権利の存在、並びに当該権利を行使するための具体的な方法。

 

4-4-2-4-1   直接収集の承認手順
実務担当者は、4-4-2-4 の(1)~(6)に示す事項を「個人情報調査及び収集申請書」に告知内容として定める。担当部門長は同記載事項を確認し、これを個人情報保護管理責任者が承認する。

 

4-4-2-5    本人以外から間接的に収集する場合の措置
当社は本人以外から、間接的に個人情報を収集することを禁止する。ただし、以下のいずれかに該当する場合に、4-4-2-4-1 の規定に従って収集する場合は、この限りではない。

(1)    本人からの個人情報の収集時に、4-4-2-4 の(3)に従い当社への情報の提供を予定している旨について本人の同意をあらかじめ得ている提供者から収集を行う場合。

(2)    情報処理を委託するなどのために個人情報を預託される場合。

(3)    本人の保護に値する利益が侵害されるおそれのない収集を行う場合。

 

4-4-2-5-1   公開されている個人情報の二次利用
電話帳、カーナビ、ウェブサイト等で公開されている個人情報を抽出(一時的にメモし破棄する場合は除く)、再編集、再分類、その他二次的に利用することを禁止する。

 

4-4-3     個人情報の利用および提供に関する措置
4-4-3-1    利用および提供の原則
個人情報の利用及び提供は、本人が同意を与えた収集目的の範囲内で行わなければならない。ただし、以下のいずれかに該当する場合には、本人の同意を必要としない。

(1)    法令の規定による場合。

(2)    本人及び・又は公衆の生命、健康、財産などの重大な利益を保護するために必要な場合。

前記(1)(2)の例外規定に基づく個人情報の利用および提供は、個人情報保護管理責任者が文書による許可を与えた場合に限る。

 

4-4-3-2    収集目的の範囲外の利用および提供の場合の措置
本人が同意を与えた収集目的の範囲外で個人情報の利用及び提供を行うことは、これを禁止する。担当部門長が収集目的の範囲外の利用及び提供が必要と判断した場合は、4-4-2-4 の規定に基づき、新たに「個人情報調査及び収集申請書」の承認を受ける。

 

4-4-4     個人情報の適正管理義務
4-4-4-1    個人情報の正確性の確保
個人情報を収集目的に応じて必要な範囲内において、正確、かつ、最新の状態で管理するため、以下の手順を定める。

(1)    「個人情報調査及び収集申請書」に各個人情報の収集手順及び情報システムへの入力手順等を規定する。

(2)    「個人情報調査及び収集申請書」に個人情報の入力に際し、その個人情報を記した文字等が不明瞭あるいはその他の理由により特定が困難な場合の措置を規定する。

(3)    「情報システム管理運用規定」に、個人情報の正確性の確保と最新の状態での管理に必要な、ユーザーインターフェース等に関する仕様、正確性の検証方法、バックアップの復元手順、システムログの収集事項と収集方法等を規定する。

(4)    特定の個人情報に対して、情報システムリスク責任者が必要と判断した場合には、各業務担当者用の「情報システム管理運用規定」を作成し、個人情報を扱う実務担当者が実施するべき適切な情報システムの操作方法及び作業手順等を規定する。

 

(1)~(4)の規定内容は、情報システムリスク責任者及び担当部門長が内容を確認し、個人情報保護管理責任者の承認を受ける。

 

4-4-4-2    個人情報の利用の安全性の確保
個人情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど)に対して、合理的な安全対策を以下の文書に規定する。

(1)    管理者及び各業務用の「情報システム管理運用規定」では、情報システム及び、建物、部屋、シュレッダー、コピー機、ファックス、携帯電話等の周辺設備及び機器を含めたリスク対策を規定する。

(2)    「リスクアセスメントリスト」および「個人情報調査及び収集申請書」には、各個人情報について考え得るリスクに対する安全対策を規定する。

(3)    「委託計画書兼申請書」には委託する個人情報に関するリスク対策を規定する。

 

各安全対策は、情報システムリスク責任者及び担当部門長の確認後、個人情報保護管理責任者が承認する。

 

4-4-4-2-1   緊急体制の整備
個人情報への不正アクセス、個人情報の紛失、破壊、改竄、漏洩、その他、個人情報に関する事故または事件の発生を想定し、以下の対策を行う。

(1)    個人情報保護管理責任者は「緊急連絡網」を整備し、文書管理責任者は関係する各部門及び担当者にその最新版を頒布する。

(2)    「緊急連絡網」は、営業時間外の事故、事件にも対応できるものとする。

(3)    「緊急連絡網」には委託先企業、関係省庁、業界団体、報道機関、その他関係個人及び関係組織に対する連絡手順を含める。

(4)    情報システムの復旧作業手順、緊急時の業務継続手順、その他、緊急事態における対応手順に関する訓練を毎年2回実施する。なお訓練内容は情報システムリスク責任者の提案を受けて、個人情報保護管理責任者が承認する。

 

4-4-4-3    個人情報の委託処理に関する措置
代表取締役は、個人情報保護管理責任者の監督下に置かれる外部委託先管理責任者を任命する。また、当社が、情報処理を委託するなどのために、個人情報を預託する場合には、十分な個人情報の保護水準を満たしている者を選定する基準を確立すべく、下記の事項を定める。

(1)    委託先は、プライバシーマーク、ISMS、TRUSTeその他情報システム若しくは個人情報保護に関するマネジメントシステムにつき、少なくともいずれか一つの認証を取得していなければならない。

(2)    委託予定先が前記の条件を満たしているものの、プライバシーマークの認証取得をしていない場合は、JIS Q 15001に対する準拠状況を確認しなければならない。

上記(1)(2)の他、委託先の選定において考慮するべき内容は「委託計画書兼申請書」に規定する。

 

4-4-4-3-1   委託契約の内容
情報処理を委託するなどのために個人情報を預託する場合は、契約によって、少なくとも以下に示す内容を規定し、その保護水準を担保しなければならない。

(1)    個人情報に関する秘密保持、及び個人情報の取り扱い者の制限。

(2)    再委託の禁止。

(3)    事故時の責任分担。

(4)    契約終了時の個人情報のうち、物理的に可能なものは当社に返却し、電子データは消去する旨。及びその記録、確認方法。

上記(1)~(4)の他、委託契約書に含めるべき事項は「委託計画書兼申請書」に規定する。なお、文書管理責任者は、当該契約書その他関係する書面またはこれに代わる記録を、個人情報の保有期間に渡って保存する。

 

4-4-5     個人情報に関する本人の権利
4-4-5-1    個人情報に関する権利
本人から自己の情報について開示を求められた場合は、3営業日以内に応じる。

開示の結果、誤った情報があり、訂正又は削除を求められた場合は、3営業日以内にこれに応じるとともに、訂正又は削除を行った場合は、可能な範囲内で当該個人情報の受領者に対して通知を行う。

 

4-4-5-2    個人情報の利用または提供の拒否権
当社が保有している個人情報について、本人から自己の情報についての利用または第三者への提供を拒まれた場合は、これに応じる。

 

4-4-6     教育
当社は、教育計画に基づき、役員及び従業員に、適切な教育を行うべく、代表取締役は、個人情報保護管理責任者の監督下に置かれる教育責任者を任命し、関連する各部門及び階層においてその従業員に、以下の事項を自覚させる手順を確立し、維持する。

(1)    コンプライアンス・プログラムに適合することの重要性及び利点。

(2)    コンプライアンス・プログラムに適合するための役割及び責任。

(3)    コンプライアンス・プログラムに違反した際に予想される結果。

 

4-4-7     苦情および相談
当社は、個人情報及びコンプライアンス・プログラムに関して、本人からの苦情及び相談を受け付けて対応すべく、代表取締役は、個人情報保護管理責任者の監督下に置かれる苦情・相談担当責任者を任命する。

 

4-4-8     コンプライアンス・プログラム文書
当社のコンプライアンス・プログラムの基本となる要素をこの「基本規定」に記述する。

 

4-4-9     文書管理
代表取締役は、コンプライアンス・プログラムに関するすべての文書の保管及び管理のため、個人情報保護管理責任者の監督下に置かれる文書管理責任者を任命する。

(1)    文書管理責任者は、当社のコンプライアンス・プログラムに関する社内外のすべての文書の原本を保管及び管理する。なお、原本の保管が困難な場合は、謄本を保管、管理する。

(2)    文書管理責任者は、関連文書の最新版の謄本を関係する部門及び関係者に頒布し閲覧に供さなければならない。

(3)    文書管理責任者は、旧版の文書を回収し、破棄する。

             

4-5       監査
当社は、コンプライアンス・プログラムがJIS Q 15001に合致していること、及びその運用状況を監査するべく、代表取締役は監査責任者を任命し、次の監査を実施させる。なお、監査責任者は代表取締役の直轄とする。

(1)    定期監査:毎年7月に全社的な監査を実施する。

(2)    臨時監査:事業の変化、情報システムの変更、社内外の事故及び事件その他の事情により、当社のコンプライアンス・プログラムの点検が必要な場合に実施する。

(3)    確認監査:前記(1)(2)の監査により不適合事項が発見された場合において、その改善を確認するために実施する。

 

4-5-1     定期監査手順
 当社は以下の規定に従って定期監査を行うものとする。

(1)    監査責任者は、毎年7月中に監査計画書を作成し、関連部署に通知する。

(2)    監査責任者は、監査終了後に監査報告書を作成する。

(3)    監査責任者は、監査終了後に被監査部門と監査報告会を設け、監査結果を伝える。なお監査報告会議事録に出席者が押印する。

(4)    被監査部門は不適合事項について、その対策を検討し、「是正計画書」を作成する。

(5)    監査責任者は、監査完了後、代表取締役にその結果を報告するため、監査完了報告会を設ける。なお監査完了報告会には、個人情報保護管理責任者が出席する。監査責任者、代表取締役又は個人情報保護管理責任者が必要と認めた者を収集することができる。なお、監査完了報告会議事録に出席者が押印する。

 

4-5-2     臨時監査および確認監査手順
監査責任者は、必要と認めるときに4-5-1 の手順を準用し、監査を実施する。なお、監査責任者の判断により、監査報告会、監査完了報告会は書面による報告のみとすることができる。

 

4-5-3     監査報告書の管理・保管
文書管理責任者は、「監査計画書」、「監査報告会議事録」、「監査完了報告会議事録」その他監査の記録に関する文書を綴じた「監査記録簿」を管理・保管する。

 

4-6       事業者の代表者による見直し
代表取締役は、監査報告書及びその他の経営環境などに照らして、適切な個人情報の保護を維持するため、定期的にコンプライアンス・プログラムを見直すべく、以下の事項を実施する。

(1)    個人情報保護管理責任者は、監査に関する記録及びその付属書類、苦情・相談の記録、個人情報保護法違反再発防止計画、その他、個人情報保護体制に関する指摘事項をまとめた「レビュー・リスト」を作成する。

(2)    定期監査の完了報告会から4週間以内に、代表取締役は文書管理責任者・監査責任者・法規等確認責任者・個人情報保護管理責任者・情報システム管理責任者・苦情相談担当責任者・外部委託先管理責任者・教育責任者から構成される個人情報保護委員会に対し、個人情報保護体制レビュー会議を招集する。同会議には代表取締役又は個人情報保護管理責任者が適切と認めた者を招集することができる。

(3)    個人情報保護体制レビュー会議において、「レビュー・リスト」に基づき、改善策を策定し、代表取締役が承認する。

(4)    個人情報保護管理責任者は、(3)において代表取締役が承認した事項につきコンプライアンス・プログラムの改定を実施し、教育、運用を指揮する。

 

4-6-1     臨時の見直し
臨時監査の結果を受け、またはJIS Q 15001の改定その他の事情により、コンプライアンス・プログラムの見直しの必要が生じた場合は、代表取締役は自らの判断で、あるいは個人情報保護管理責任者または監査責任者の提案を受け、臨時のレビュー会議を招集する。その際の手順は、前項の規定を準用する。

 

以上