情報管理規程

第1章 総  則

(目的)

第1条 この規程は、当社が保有する個人情報について、その適切な管理に必要な事項を定めることにより、個人の権利利益を保護すること、並びに当社及びその顧客の機密情報及び個人情報の管理に関する事項を定めることにより、機密情報の社外漏洩を防止し、もって当社の社会的信用の維持向上を図ることを目的とする。

(適用範囲)

第2条 当社の保有する個人情報及び機密情報の取扱いは、法令等諸規則その他の社内規程に定めるもののほかこの規程に定めるところによる。

(定義)

第3条 この規程において「個人情報」とは、生存する個人に関する情報であって、特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)をいう。

2. この規程において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの、又はコンピュータを用いない場合であっても、五十音順に索引を付して並べられた顧客カード等、個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成したものをいう。

3. この規程において「個人データ」とは、個人情報データベース等を構成する個人情報をいい、個人情報データベース等から記録媒体へダウンロードされたもの及び紙面に出力されたもの(そのコピーを含む。)を含む。

4. 「保有個人データ」とは、当社が、本人又はその代理人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全てに応じることのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして次に掲げるもの以外のもの及び6か月以内に消去すること(更新することを除く。)となるもの以外のものをいう。

(1) 存否が明らかになることで、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの

(2) 存否が明らかになることで、違法又は不当な行為を助長し、又は誘発するおそれがあるもの

(3) 存否が明らかになることで、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの

(4) 存否が明らかになることで、犯罪の予防、鎮圧又は操作その他の公共の安全と秩序の維持に私種が及ぶおそれがあるもの

5. この規程において「機密情報」とは、業務遂行上知り得た次に掲げる情報その他の情報、その他当社の経営・営業・技術等に関する情報であって、当該第三者に開示又は漏洩されることにより、当社の利益又は信用を損なうおそれのあるもの、及び当社の業務遂行に支障を生じるおそれのあるものをいう。

(1) 技術、手法に関する情報

(2) 顧客の機密や内情に関する情報

(3) 顧客と秘密保持契約(当社が顧客に差し入れる秘密保持に関する誓約書を含む。)を交わした全ての情報

(4) 法人関係情報

(5) 業務委託状況に関する情報

(6) 財務に関する情報

(7) 他社との事業提携に関する情報

(8) 人事に関する情報

(9) 前各号に掲げるもののほか、当社が特に機密保持対象と指定した情報

6. この規程において「法人関係情報」とは、金融商品取引業等に関する内閣府令第1条第4項第14号に規定する法人関係情報をいう。

7. この規程において「情報資産」とは、個人情報、機密情報及び法人関係情報並びにこれらの情報が記載された一切の媒体をいう。

8. この規程において「本人」とは、個人情報によって識別される特定の個人をいう。

9. この規程において「社員」とは、当社の組織内にあって直接又は間接に当社の指揮監督を受けて当社の業務に従事している者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員、派遣社員等を含む。)をいう。

10. この規程において「役職員」とは、当社の役員及び社員をいう。

11. この規程において「法」とは、個人情報の保護に関する法律(平成15年法律第57号)をいう。

(情報管理体制)

第4条 当社の情報管理統括部署はコンプライアンス室、情報管理責任者はコンプライアンス室長とし、次に掲げる職務を行うものとする。

(1) 個人情報、機密情報及び法人関係情報の取扱いに関する規程類の整備

(2) 個人情報、機密情報及び法人関係情報の取扱いに関する事務の指導監督、研修

(3) 個人情報、機密情報及び法人関係情報の管理

(4) 個人情報、機密情報及び法人関係情報の管理に関する研修の実施

(5) その他個人情報、機密情報及び法人関係情報の取扱いに関する事務を総括すること。

第2章 個人情報の管理

(利用目的の特定)

第5条 役職員は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない。また、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(保有の制限)

第6条 役職員は、利用目的の達成に必要な範囲を超えて、個人情報を保有してはならない。

(利用目的による制限)

第7条 役職員は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

2. 役職員は、当社が合併その他の事由により他社から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

3. 前二項の規定は、次に掲げる場合については適用しない。

(1) 法令に基づく場合

(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(機微情報)

第8条 役職員は、個人情報のうち、政治的見解、信教(宗教、思想及び信条をいう。)、労働組合への加盟、人種及び民族、門地及び本籍地、保健医療及び性生活、並びに犯罪歴に関する情報(以下「機微(センシティブ)情報)」という。)については、次に掲げる場合を除くほか、取得、利用又は第三者提供を行ってはならない。

(1) 法令等に基づく場合

(2) 人の生命、身体又は財産の保護のために必要がある場合

(3) 公衆衛生の向上又は児童の健全な育成の促進のため特に必要がある場合

(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合

(5) 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の機微(センシティブ)情報を取得し、利用し、又は第三者提供する場合

(6) 相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得し、利用し、又は第三者提供する場合

(7) 事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得し、利用し、又は第三者提供する場合

2. 役職員は、機微(センシティブ)情報を、前項に掲げる場合に取得し、利用し、又は第三者提供する場合には、同項に掲げる事由を逸脱した取得、利用又は第三者提供を行うことのないよう、特に慎重に取り扱わなければならない。

3. 役職員は、第1項第7号に基づき、本人の同意を得て機微(センシティブ)情報を取得し、利用し、又は第三者提供する場合には、当該本人に機微(センシティブ)情報の取得、利用又は第三者提供が必要な理由を説明するものとする。

(適正な取得)

第9条 役職員は、偽りその他不正な手段により個人情報を取得してはならない。

(利用目的の通知等)

第10条 役職員は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

2. 役職員は、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式等を作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ本人に対し、当該個人情報がどのような事業の用に供され、どのような目的で利用されるかを本人が合理的に予想できるようその利用目的を明示するものとする。

3. 役職員は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならないものとする。

4. 前三項の規定は、次に掲げる場合については適用しないものとする。

(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき。

(2) 利用目的を本人に通知し、又は公表することにより当社の権利又は正当な利益を害するおそれがある場合

(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(4) 取得の状況からみて利用目的が明らかであると認められるとき。

(正確性の確保)

第11条 役職員は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければなない。

2. 役職員は、個人データの内容に誤り等を発見した場合には、当該誤り等が明らかに軽微であると認められる場合を除き、当該誤り等の訂正等を行わなければならない。

3. 個人データの正確性を確保するために必要な管理は、情報管理責任者が行うものとする。

4. 情報管理責任者は、個人データの正確性の確保のため、保有する個人データの利用目的に応じ保存期間を定め、当該期間を経過した個人データを消去するなど適切な措置を講ずるものとする。ただし、法令等に基づく保存期間がある場合にはこれに従うものとする。

(安全管理措置)

第12条 個人データ及び機微情報(以下「個人データ等」という。)の漏えい、滅失又はき損の防止その他の個人データ等の安全管理のために必要かつ適切な安全管理措置については、この規程に定めるもののほか、別に定める細則によるものとする。

(従業者の義務)

第13条 役職員は、個人データ等を取り扱うに当たっては、当該個人データ等に係る安全管理措置を遵守しなければならず、その他情報管理責任者が個人データ等の安全管理を確保するために発する指示に従わなければならない。

2. 役職員は、在職中及びその職を退いた後において、その業務に関して知り得た個人データ等を第三者に知らせ、又は利用目的外に使用してはならないものとし、これを誓約する書面を当社に提出しなければならない。

(委託先の監督)

第14条 個人データ等の取扱いの全部又は一部を委託する場合は、その取扱いを委託した個人データ等の安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならないものとし、情報管理責任者はこれに必要な指示等を行うものとする。

2. 前項の委託に当たっては、次の各号に掲げる事項を実施しなければならない。

(1) 委託する業務及び取り扱う個人データ等の内容に応じて、必要かつ十分な組織体制及び安全管理措置が構築されていることを確認した上で、委託先を選定すること。

(2) 当該委託先との間で次に掲げる事項を含む個人データ等の取扱いに関する契約を締結すること。

① 個人データ等の取扱状況に関する当社への報告内容及び頻度その他の委託先への監督・監査・報告徴収に関する権限

② 委託先における個人データ等の漏えい、盗用、改ざん及び目的外利用の禁止その他個人データ等の安全管理に関する事項

③ 再委託に関する条件その他再委託に関する事項

④ 個人データ等の漏えい等が発生した場合の委託先の責任その他当社及び委託先の責任の明確化に関する事項

(3) 必要に応じて、合理的な範囲内で、当該委託先における個人データ等の取扱や管理状況等を監査し、取扱いを委託した個人データ等が適切に保護されていることを確認すること。

(第三者提供の制限)

第15条 役職員は、次に掲げる場合を除くほか、あらかじめ本人に同意を得ることなく、 個人データを第三者に提供してはならない。

(1) 法令に基づく場合

(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

(3) 公衆衛生の向上又は児童の健全な育成の促進のため特に必要がある場合であって、本人の同意を得ることが困難であるとき。

(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

2. 役職員は、第三者提供について本人の同意を得る際には、原則として書面によることとし、当該書面における記載を通じて、当該本人に次に掲げる事項を認識させた上で同意を得るものとする。

(1) 個人データを提供する第三者

(2) 提供を受けた第三者における利用目的

(3) 第三者に提供される情報の内容

3. 前二項の規定にかかわらず、当社から第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、役職員は、当該個人データを第三者に提供することができるものとする。

(1) 第三者への提供を利用目的とすること。

(2) 第三者へ提供される個人データの項目

(3) 第三者への提供の手段又は方法

(4) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

4. 次に掲げる場合において、当該個人データの提供を受ける者は、本条の規定の適用については、第三者に該当しないものとする。

(1) 当社が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合

(2) 合併その他の事由による事業の承継に伴って個人データが提供される場合

(3) 個人データを特定の者との間で共同して利用する場合であって、その旨並 びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

(保有する個人データに関する事項の公表等)

第16条 情報管理責任者は、保有個人データに関し、次に掲げる事項について、本人への通知その他の方法により、当該本人の知り得る状態(本人の請求に応じて遅滞なく回答する場合を含む。)に置くものとする。

(1) 当社の名称

(2) 全ての保有個人データの利用目的(法第18条第4項第1号から第3号までに該当する場合を除く。)

(3) 保有個人データの利用目的の通知、開示、訂正等及び利用停止等の手続(これらに要する手数料を含む。)

(4) 個人データの取扱いに関する苦情及び照会に関する連絡先

2. 役職員は、本人又はその代理人から本人が識別される保有個人データの利用目的の通知を求められたときは、情報管理責任者に通知し、情報管理責任者は、本人又はその代理人に対し、遅滞なく、これを通知しなければならない。ただし、次に掲げるいずれかに該当する場合には、この限りでない。

(1) 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合

(2) 法第18条第4項第1号から第3号までに該当する場合

(開示・訂正等)

第17条 役職員は、本人又はその代理人から当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、情報管理責任者に通知し、情報管理責任者は本人又はその代理人に対し、遅滞なく、保有個人データを開示しなければならない。ただし、次に掲げるいずれかに該当する場合には、その全部又は一部を開示しないことができる。

(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

(2) 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合

(3) 他の法令に違反することとなる場合

2. 情報管理責任者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人又はその代理人に対し、遅滞なく、その旨を通知し、理由を説明しなければならない。

3. 役職員は、本人又はその代理人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、情報管理責任者に報告し、情報管理責任者は、その内容の訂正等に関して法令により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該個人データの内容の訂正等を行わなければならない。

4. 情報管理責任者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人又はその代理人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知し、理由を説明しなければならない。

(利用停止等)

第18条 役職員は、本人又はその代理人から、当該本人が識別される保有個人データが本人の同意を得ることなく利用目的を超えて取り扱われているという理由、偽りその他不正の手段により取得されたものであるという理由又は法第23条第1項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)又は第三者への提供の停止を求められた場合には、情報管理責任者に報告し、情報管理責任者は、その求めに理由があると判断したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者提供の停止の措置を講じなければならない。ただし、当該保有個人データの利用停止等又は第三者提供の停止に多額の費用を要する場合その他の利用停止等または第三者提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

2. 情報管理責任者は、前項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人又はその代理人に対し、遅滞なく、その旨を通知し、理由を説明しなければならない。

(苦情の処理)

第19条 役職員は、個人情報の取扱いについて苦情を受けた場合には、直ちに、情報管理責任者に通知し、情報管理責任者は苦情等処理規程その他の社内規程に従い遅滞なく適切かつ迅速に処理するよう努めるものとする。

(漏えい等事案の報告及び再発防止措置)

第20条 個人情報の漏えい等、個人情報の管理の上で問題となる事案が発生した事実を知った役職員は、直ちに自己の所属する各部門長に報告し、各部門長は、情報管理責任者及び代表取締役に直ちに報告するものとする。

2. 各部門長は、被害の拡大防止又は復旧等のために必要な措置を講ずるものとする。

3. 各部門長は、事案の発生した経緯、被害状況等を調査し、情報管理責任者に報告する。

4. 情報管理責任者は、前項の規定に基づく報告を受けた場合には、事案の内容等に応じ、当該事案の内容、経緯、被害状況等を代表取締役に速やかに報告するものとする。

5. 情報管理責任者は、事案の発生した原因を分析し、再発防止のために必要な措置を講ずるものとする。情報管理責任者が検討すべき措置には、次に掲げる措置その他の措置を含む。

(1) 漏洩事案等の対象となった本人への事実関係等の速やかな通知

(2) 代表取締役への報告

(3) 二次被害の防止の観点からの事実関係及び再発防止策等の公表

6. 情報管理責任者は、事案の内容、影響等に応じ、事実関係及び再発防止策の公表、当該事案に係る本人への対応等の措置を講ずるものとする。

第3章 機密情報の管理

(機密保持)

第21条 役職員は、機密情報を第三者に開示又は漏洩してはならない。なお、退職した後も同様とする。

2. 役職員は、機密情報を会社の業務以外の目的に使用してはならない。なお、退職した後も同様とする。

3. 前二項の規定にかかわらず、顧客との契約及び法令諸規則に抵触しない場合で業務上機密情報を第三者に開示、又は使用する必要があるときは、この限りでない。

(管理)

第22条 各部門長は、機密情報の保全に努め、不正利用や漏洩がないよう注意を尽くすとともに、役職員に対し、適切な助言と指導を行わなければならない。

2. 各部門長は、機密情報の社外漏洩が生じるおそれがあると判断した場合には、速やかに情報管理責任者に報告し、情報管理責任者はその対応策について協議するものとする。

3. 各部門長は、役職員により機密情報の社外漏洩が生じるおそれがあると判断した場合、役職員に対し、その機密情報の媒体の回収を行うことができるものとする。

4. 機密情報の管理については、この規程に定めるもののほか、別に定める細則によるものとする。

第4章 自主点検等

(自主点検)

第23条 情報管理責任者は、定期的に役員及び各部門長に対し、情報管理に係る自主点検の実施を指示することができるものとする。

2. 前項の指示を受けた役員及び各部長は、情報管理責任者に自主点検の結果を報告するものとする。

(取締役会への報告)

第24条 情報管理責任者は、情報管理の状況、自主点検の結果等を必要に応じ、取締役会に報告するものとする。

第5章 雑則

(規程の改廃)

第25条 この規程の改廃は、取締役会の決議によるものとする。