第1章
総則
(目的)
第1条 この規程は、公益財団法人日伊協会(以下、「協会」という)が、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(以下「番号法」という)、「個人情報の保護に関する法律」(以下「個人情報保護法」という)及び「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に基づき、協会における特定個人情報等の適正な取扱いを確保するために定めるものである。
2 この規程は、個人番号及び特定個人情報等に関しては、協会の個人情報保護に関する他の協会規程等に優先して適用される。
(定義)
第2条 この規程において「個人番号」とは、法令に定める、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
2 この規程において「特定個人情報」とは、法令に定める、個人番号をその内容に含む個人情報をいう。
3 この規程において、「特定個人情報保護委員会」とは、個人番号その他の特定個人情報の有用性に配慮しつつ、その適正な取扱いを確保するために必要な措置を講ずることを任務とする内閣府外局の第三者機関をいう。
(適用範囲)
第3条 この規程は、協会に所属するすべての従業員に適用する。
(個人番号を取扱う事務の範囲)
第4条 協会が個人番号を取扱う事務の範囲は以下のとおりとする。
①健康保険法に基づく健康保険関連事務
②厚生年金保険法に基づく厚生年金保険関連事務
③雇用保険法に基づく雇用保険関連事務
④所得税法に基づく源泉徴収に関する事務
⑤地方税法に基づく個人住民税に関する事務
⑥不動産貸借における使用料等の支払調書作成事務
⑦報酬に関する支払調書作成事務
⑧配当、剰余金の分配及び基金利息の支払調書作成事務
⑨上記①から⑧に関連する事務
(取り扱う特定個人情報等の範囲)
第5条 前条において協会が個人番号を取り扱う事務において使用される個人番号及び個人番号と関連付けて管理される特定個人情報等の範囲は以下のとおりとする。
①氏名、生年月日、性別、住所、電話番号、Eメールアドレス等
②本人確認書類(運転免許証、パスポート等)
③その他個人番号と関連づけ管理保存される情報
第2章
安全管理措置
(組織体制)
第6条 協会は、総務担当を特定個人情報等について管理する責任部署とする。
2 協会は、事務局長を事務取扱責任者とする。
3 事務取扱担当者は、総務担当に所属する従業員及び各部署において個人番号が記載された書類等を受領する従業員とする。
4 協会は、前項の定めにより事務取扱担当者とされた従業員に対して、その旨を通知する。
(事務取扱責任者の責務)
第7条 事務取扱責任者は、この規程に定められた事項を理解し、遵守するとともに、事務取扱担当者に
この規程を遵守させるために、1年に1回以上、教育訓練、安全対策の実施並びに周知徹底等の措置を実施する責任を負うものとする。
2 事務取扱責任者は、この規程に基づき特定個人情報等が適正に取り扱われるよう、事務取扱担当者に対して適切な監督を行うものとする。
(事務取扱担当者の責務)
第8条 事務取扱担当者は、特定個人情報の「取得」、「利用」、「保存」、「提供」、「開示・訂正・利用停止」
「削除・廃棄」の各管理段階において、特定個人情報を取り扱う業務に従事する際、番号法及び個人情報保護法、又は特定個人情報ガイドライン、この規程及びその他の社内規程並びに事務取扱責任者の指示した事項に従い、特定個人情報の保護に十分な注意を払ってその業務を行うものとする。
2 事務取扱担当者は、特定個人情報の漏えい等、番号法若しくは個人情報保護法、又は特定個人情報ガイドライン、この規程又はその他の協会規程に違反している事実又は違反している可能性を把握した場合、直ちに事務取扱責任者に報告しなければならない。
3 事務取扱担当者は、事務取扱責任者が実施するこの規程を遵守させるための教育訓練を1年に1回以上受けなければならない。
(業務フローの策定)
第9条 協会は、個人番号を取り扱う事務の範囲において示した事務に関する業務フローを策定する。業務フローは別に定めるとおりとする。
(運用状況の記録)
第10条 事務取扱担当者は、本規程に基づく運用状況を確認するため、個人番号を含む個人情報ファイル(以下、「特定個人情報ファイル」という)を扱うシステムログ及びシステム利用実績を記録するものとする。
①特定個人情報の取得及び特定個人情報ファイルへの入力状況
②特定個人情報ファイルの利用・出力状況の記録
③特定個人情報を含む書類・媒体等の持出しの記録
④特定個人情報ファイルの削除・廃棄記録
⑤削除・廃棄を委託した場合、これを証明する記録等
⑥特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの
利用状況(ログイン実績、アクセスログ等)の記録
(取扱状況の確認手段)
第11条 事務取扱担当者は、特定個人情報ファイルの取扱状況を確認するための手段として、特定個人情報を管理する台帳(「以下、特定個人情報管理台帳」という)を作成し、以下の事項を記録するものとする。なお、特定個人情報管理台帳には、特定個人情報等は記載しないものとする。
①特定個人情報ファイルの種類、名称
②責任者、取扱部署
③利用目的
④削除・廃棄状況
⑤アクセス権を有する者の氏名
⑥特定個人情報ファイルを取り扱う情報システムの名称
⑦特定個人情報ファイルを取り扱う情報システムのある「管理区域」の場所
⑧特定個人情報等を取り扱う事務を実施する「取扱区域」の場所
⑨委託先
(情報漏えい事案等への対応)
第12条 事務取扱責任者は、特定個人情報の漏えい、滅失又は毀損による事故(以下「漏えい事案等」という)が発生したことを知った場合又はその可能性があると判断した場合は、本規程に基づき、直ちに対処するものとする。
2 事務取扱責任者は、担当役員等と連携して漏えい事案等に対応する。
3 事務取扱責任者は、漏えい事案等が発生した判断した場合は、その旨及び調査結果を理事会にて報告し、当該漏えい事案等の対象となった従業員又は個人事業主等をはじめとした個人番号取得対象者に対して、事実関係の説明、謝意の表明、原因の説明等を速やかに行うものとする。
4 事務取扱責任者は、漏えい事案等が発生した場合、特定個人情報保護委員会に対して必要な報告を速やかに行う。
5 事務取扱責任者は、漏えい事案等が発生したと判断した場合は、情報漏えい等が発生した原因を分析し、再発防止に向けた対策を講じ、必要に応じて公表するものとする。
6 事務取扱責任者は、他社における漏えい事故等を踏まえ、類似事例の再発防止のために必要な措置の検討を行うものとする。
(苦情への対応)
第13条 事務取扱担当者は、番号法、個人情報保護法、特定個人情報保護ガイドライン又は本規程に関し、従業員又は個人事業主等をはじめとした個人番号取得対象者から苦情の申出を受けた場合には、その旨を事務取扱責任者に報告する。報告を受けた事務取扱責任者は、適切に対応するものとする。
(監査)
第14条 理事会は、協会の特定個人情報の適正な取扱いその他法令及びこの規程の遵守状況について検証し、その改善を事務取扱責任者へ指示する。
2 協会は、協会の特定個人情報の適正な取扱いその他法令及びこの規程の遵守状況について定期的に外部監査を依頼する場合がある。
(取扱状況の確認及び安全管理措置の見直し)
第15条 事務取扱責任者は、年1回以上又は臨時に特定個人情報の運用状況の記録及び特定個人情報ファイルの取扱状況の確認を行うものとする。
2 事務取扱責任者は、前項の確認の結果及び前条の監査の結果に基づき、安全管理措置の評価、見直し及び改善に取り組むものとする。
(特定個人情報等を取り扱う区域の管理)
第16条 協会は管理区域及び取扱区域を明確にし、それぞれの区域に対し以下の措置を講じる。
①管理区域
入退出管理及び管理区域へ持ち込む機器及び電子媒体等の制限
②取扱区域
壁又は間仕切り等の設置や座席配置の変更
(機器及び電子媒体等の盗難等の防止)
第17条 協会は管理区域及び取扱区域における特定個人情報等を取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。
①特定個人情報等を取り扱う機器、電子媒体等を、キャビネット等に保管・施錠する。
②特定個人情報ファイルを取り扱う情報システム機器は、セキュリティワイヤー等により固定する。
(電子媒体等を持ち出す場合の漏えい等の防止)
第18条 協会は特定個人情報等が記録された電子媒体等の持出しは、次に掲げる場合を除き禁止する。なお、「持出し」とは、特定個人情報等を、管理区域又は取扱区域の外へ移動させることをいい、協会内での移動等も持出しに該当するものとする。
①個人番号関係事務に係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
②行政機関等への法定調書の提出等、協会が実施する個人番号関係事務に関して個人番号利用事務実施者に対しデータ又は書類を提出する場合
2 前項により特定個人情報等が記録された電子媒体又は書類等の持出しを行う場合には、以下の安全策を講じるものとする。ただし、行政機関等に法定調書等をデータで提出するにあたっては、行政機関等が指定する提出方法に従うものとする。
(1)特定個人情報等が記録された電子媒体を安全に持ち出す方法
①持出しデータの暗号化
②持出しデータのパスワードによる保護
③施錠できる搬送容器の使用
④追跡可能な移送手段の利用(源泉徴収票を役職者に交付するにあたっては、配達記録、書留郵便や本人確認郵便で送付する)
(2)特定個人情報等が記載された書類等を安全に持ち出す方法
①封緘、目隠しシールの貼付(各部署の事務取扱担当者から総務担当の事務取扱担当者に特定個人情報等が記載された書類等を移送する場合を含む。)
(廃棄・削除段階における物理的安全管理措置)
第19条 特定個人情報等の廃棄・削除段階における記録媒体等の管理は次のとおりとする。
①事務取扱担当者は、特定個人情報等が記録された書類等を廃棄する場合、シュレッダー等による記載内容が復元不能までの裁断、自社又は外部の焼却場での焼却・溶解等の復元不可能な手段を用いるものとする。
②事務取扱担当者は、特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用データ削除ソフトウエアの利用又は物理的な破壊等により、復元不可能な手段を用いるものとする。
③事務取扱担当者は、特定個人情報ファイル中の個人番号及び全部又は一部の特定個人情報等を削除する場合、容易に復元できない手段を用いるものとする。
④特定個人情報等を取り扱う情報システムにおいては、当該関連する法定調書の法定保存期間経過後1年以内に個人番号を削除するよう情報システムを構築するものとする。
⑤個人番号が記載された書類等については、当該関連する法定調書の保存期間経過後1年以内に廃棄をするものとする。
2 事務取扱担当者は、個人番号もしくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存するものとする。削除・廃棄の記録としては、特定個人情報ファイルの種類・名称、責任者・取扱部署、削除・廃棄状況を記録するものとし、個人番号自体は含めないものとする。
(アクセス制御)
第20条 特定個人情報へのアクセス制御は以下のとおりとする。
①個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
②特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。
③ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。
(アクセス者の識別と認証)
第21条 特定個人情報等を取り扱う情報システムは、ユーザーID、パスワード、磁気・ICカード等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づく認証するものとする。
(外部からの不正アクセス等の防止)
第22条 協会は、以下の方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。
①情報システムと外部ネットワークとの接続箇所にファイアウォール等を設置し、不正アクセスを遮断する方法。
②情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウエア等)を導入する方法。
③導入したセキュリティ対策ソウトウエア等により、入出力データにおける不正ソフトウェアの有無を確認する方法
④機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする方法。
⑤ログ等の分析を定期的に行い、不正アクセス等を検知する方法。
(外部からの不正アクセス等の防止)
第23条 協会は、特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等及び情報システムに保存されている特定個人情報等の情報漏えい等を防止するものとする。
①通信経路における情報漏えい等の防止策
通信経路の暗号化
②情報システムに保存されている特定個人情報等の情報漏えい等の防止策データの暗号化又はパスワードによる保護
(個人番号の管理段階における安全管理措置)
第24条 本章に規定した各安全管理措置は、第3章から第8章に規定した各段階における安全管理措置として実施する。
第3章
取得の段階
(特定個人情報の利用)
第25条 協会が従業員又は個人事業主等をはじめとした個人番号取得対象者から取得する特定個人情報の利用は、個人番号を取り扱う事務の範囲内とする。
(利用目的の通知)
第26条 協会は、特定個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を従業員又は個人事業主等をはじめとした個人番号取得対象者に対して通知する。
(個人番号の提供の要求)
第27条 協会は、個人番号を取り扱う事務を処理するために必要がある場合に限り、従業員又は個人事業主等をはじめとした個人番号取得対象者に対して個人番号の提供を求めることができるものとする。従業員はこれに協力しなければならない。
2 協会は、従業員又は個人事業主等をはじめとした個人番号取得対象者が個人番号の提出を拒否した場合において、拒否に至る経過の記録を取るものとする。
3 前項の規定において、従業員又は個人事業主等をはじめとした個人番号取得対象者は、個人番号の提供を拒否した場合における行政サービス上のいかなる不利益についても、自らがその責任を負うものとし、協会はその不利益に対して一切の責任を負わない。
(本人確認)
第28条 協会は番号法第16条に定める下記の方法により、従業員又は個人事業主等をはじめとした個人番号取得対象者の個人番号の確認及び身元確認を行うものとする。
①個人番号カードの提示を受けること
②通知カード及び主務省令で定める書類の提示を受けること
③政令で定める措置
2 協会は、従業員又は個人事業主等をはじめとした個人番号取得対象者の個人番号の確認及び身元確認が、代理人により行われる場合において、前項に規定する各方法により、当該代理人の身元確認、委任状等による代理権の確認及び本人の個人番号の確認を行うものとする。
第4章
利用の段階
(個人番号の利用制限)
第29条 協会は、個人番号の利用について、個人番号の取り扱う事務における利用目的の範囲内でのみ利用するものとする。
2 協会は、前項の規定に基づき個人番号を利用する場合において、個人番号を出向先、転籍先をはじめとした関連会社や第三者に利用させない。
(特定個人情報ファイルの利用制限)
第30条 協会は、特定個人情報を含むファイルの作成を行う場合において、個人番号の取り扱う事務における利用の目的の範囲内においてのみとする。
第5章
保存の段階
(特定個人情報の正確性の確保)
第31条 事務取扱担当者は、特定個人情報を、個人情報の利用目的の範囲において、常に最新の状態で
管理することとする。
(特定個人情報の保管制限)
第32条 協会は、個人番号の取り扱う事務の範囲を超えて、特定個人情報を保管してはならない。
2 協会は、各法令で定められた個人番号を記載する書類等の保存期間を経過するまで保存することができる。
第6章
提供の段階
(特定個人情報の提供制限)
第33条 協会は、関係諸法令に基づき必要な場合を除き、本人の同意の有無に関わらず、特定個人情報を第三者に提供しないものとする。
第7章
開示、訂正、利用停止等
(特定個人情報の開示)
第34条 協会は、従業員又は個人事業主等をはじめとした個人番号取得対象者から特定個人情報の開示、訂正、利用停止等の要求を受けたときは、番号法の定めにより応ずるものとする。
第8章
廃棄・削除の段階
(特定個人情報の廃棄・削除)
第35条 協会は、各法令で定められた個人番号を記載する書類等の保存期間を経過した場合、1年以内に廃棄・削除を行う。
第9章
その他
(特定個人情報保護規程違反者の取扱い)
第36条 この規程の取扱いに違反した従業員の取扱いについては就業規則の定めによる。
(規程の改廃)
第37条 この規程は必要に応じて改廃する。
附 則
本規程は平成28年11月1日から施行する。