第1章 総則
(目的)
- 第1条
- 本規定は、社会福祉法人聖樹の杜(以下「法人」という。)における個人情報の適法かつ適正な取扱いの確保に関する必要な事項を定めることにより、個人の権利・利益を保護することを目的とする。
- 第2条
- 本規定における用語の定義は、次のとおりとする。
- (1)個人情報
- 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により当該個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できることとなるものを含む。)をいう。
- (2)個人情報データベース等
- 特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合物、又はコンピュータを用いていない場合であっても、紙媒体で処理した個人情報を一定の規則にしたがって整理又は分類し、特定の個人情報を容易に検索することができる状態においているものをいう。
- (3)個人データ
- 個人情報データベース等を構成する個人情報をいう。
- (4)保有個人データ
- 法人が開示、訂正、追加、削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの、又は違法若しくは不当な行為を助長し、又は誘発するおそれがあるもの以外をいう。
- (5)本人
- 個人情報から識別され、又は識別され得る個人をいう。
- (6)従業員等
- 法人の指揮命令を受けて当社の業務に従事する者(派遣労働者等を含む。以下同じ。)、当該従業員になろうとする者及び当該従業員になろうとした者並びに過去において当社に使用されていた者をいう。
- 第3条
- 本規定は、従業員等に適用する。
- 本規定は、法人が現に保有している個人情報(その取扱を委託されている個人情報を含む。)、及びその取扱を委託している個人情報を対象とする。
(定義)
(適用範囲)
第2章 組織及び管理体制
(安全管理措置)
- 第4条
- 法人は、個人データの漏えい、滅失、き損の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずるものとする。
- 第5条
- 当社は、個人情報の適正管理のため個人情報保護管理者を定め、当社における個人情報の適正管理に必要な措置を行わせるものとする。
- 個人情報保護管理者は、佐藤美幸とする。
- 個人情報保護管理者は、理事長の指示及び本規程の定めに基づき、適正管理対策の実施、従業員等に対する教育・事業訓練等を行う責任を負うものとする。
- 個人情報保護管理者は、適正管理に必要な措置について定期的に評価を行い、見直し又は改善を行うものとする。
- 個人情報保護管理者は、個人情報の適正管理に必要な措置の一部を各事業を分掌する従業員等に委任することができる。
- 第6条
- 法人の従業員等又は従業員等であった者は、業務上知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に使用してはならない。
- 本規程に違反する事実又は違反するおそれがあることを発見した従業員等は、その旨を個人情報保護管理者に報告するものとする。
- 個人情報保護管理者は、前項による報告の内容を調査し、違反の事実が判明した場合には遅滞なく理事長に報告するとともに、関係事業部門に適切な措置をとるよう指示するものとする。
- 第7条
- 法人は、個人データの安全管理のために、個人データを取り扱う従業員等に対する必要かつ適切な監督を行うものとする。
- 第8条
- 法人は、個人情報の取扱いの全部又は一部を当社以外の者に委託する時は、原則として委託契約において、個人データの安全管理について受託者が構ずべき措置を明らかにし、受託者に対する必要かつ適切な監督を行うものとする。
- 第9条
- 法人は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
- 法人は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有する合理的に認められる範囲で行うものとする。
- 法人は、利用目的を変更した場合は、変更した利用目的について、本人に通知し、又は公表するものとする。
- 第10条
- 法人は、あらかじめ本人の同意を得ることなく、法人が定める利用目的のたせいに必要な範囲を超えて個人情報を取り扱ってはならない。
- 法人は、合併その他の事由により他の法人等から事業を継承することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで継承前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わないものとする。
- 前2項の規定にかかわらず、次の各号のいずれかに該当する場合には、あらかじめ本人の同意を得ないで前2条の規定により特定された利用目的の範囲を超えて個人情報を取り扱うことができるものとする。
- (1)法令に基づく場合
- (2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- (3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- (4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより、当該事務の遂行に支障を及ぼすおそれがあるとき
- 第11条
- 法人は、個人情報を取得するときは、利用目的を明示するとともに、適法かつ適正な方法で行うものとする。
- 第12条
- 法人は、次の各号に掲げる内容を含む個人情報については取得しないものとする。ただし、業務上必要であり、かつ、明示的な本人の同意がある場合、または法令等に特別の規程がある場合はこの限りではない。
- (1)思想、信条及び信教に関する事項
- (2)人種、民族、家柄、本籍地、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
- (3)勤労者の団結権の行使、団体交渉及びその他団体行動に関する事項
- (4)集団示威行為(デモ等)への参加、国または地方公共団体に対する請願権の行使及びその他の政治的権利の行使に関する事項
- (5)保険医療に関する事項
- 第13条
- 申込書、アンケート、契約書等、書面(電子メール、自社ホームページの記入等電子的方式も含む)により本人から直接個人情報を取得する場合は、あらかじめ本人に対し、利用目的を明示しなければならない。
- 第14条
- 個人データは、利用目的の達成に必要な範囲内において、正確かつ最新の内容に保つよう努めなければならない。
- 第15条
- 法人は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。ただし、次の各号のいずれかに該当する場合はこの限りではない。
- (1)法令に基づく場合
- (2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- (3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- (4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより、当該事務の遂行に支障を及ぼすおそれがあるとき
- 次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。
- (1)法人が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
- (2)合併その他の事由による事業の承継に伴って個人データが提供される場合
- (3)個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称についてあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているとき
- 第16条
- 法人は、本人から、当該本人に係る保有個人データについて、書面又は口頭により、その開示(当該本人が識別される個人情報を保有していないときにその旨を知らせることを含む。以下同じ。)の申し出があったときは、身分証明書等により本人であることを確認の上、開示をするものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
- (1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- (2)法人の事業の適正な実施に著しい支障を及ぼすおそれがある場合
- (3)他の法令に違反することとなる場合
- 前項の定めに基づき保有個人データの全部または一部を開示しない旨の決定をしたときは、遅滞なく、本人に対しその旨通知するものとする。この場合、その理由を説明するよう努めなければならない。
- 第17条
- 法人は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって、当該保有個人データの訂正、追加、削除(以下「訂正等という。」を求められた場合には、遅滞なく調査を行い、その結果に基づいて訂正等を行うものとする。
- 前項により、保有個人データの訂正等を行ったとき、または訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なくその旨を通知するものとする。
- 第18条
- 法人は、本人から、当該本人が識別される保有個人データが、第5条(目的外利用の制限)及び第6条(適正な取得)に違反しているという理由によって、当該保有個人データの利用停止または消去(以下「利用停止等」という。)が求められた場合、及び第13条(第三者への提供)に違反しているという理由によって保有個人データの第三者提供の停止が求められた場合で、その求めに理由があることが判明した場合には、遅滞なく、当該求めに応じて利用停止等を行わなければならない。
- 前項により、保有個人データの利用停止等を行ったとき、または利用停止等を行わない旨の決定をしたときは、本人に対し、遅滞なくその旨を通知するものとする。
- 第19条
- 法人は、個人情報の取扱いに関する苦情について必要な体制整備を行い、苦情があったときは、適切かつ迅速な対応に努めるものとする。
- 第20条
- 法人は、本規程に違反した従業員に対して、就業規則に基づき処分を行うとともに、法人に損害を与えた場合には、損害賠償を請求するものとする。
- 第21条
- 法人は、個人情報を適切に保護するために、必要に応じて本規程を見直すものとする。
(個人情報保護管理者)
(従業員等の義務)
(従業員等の監督)
(委託先の監督)
第3章 利用目的の特定等
(利用目的の特定)
(目的外利用の制限)
第4章 取得の制限等
(適正な取得)
(取得の制限)
(本人から直接書面等により取得する際の措置)
第5章 個人情報の管理
(正確性の確保)
(第三者への提供)
(開示)
(訂正等)
(利用停止等)
第6章 その他
(苦情対応)
(罰則)
(改廃)
附則
この規程は、平成27年12月1日から施行する。