特定個人情報等に関する取扱規程
第1章 総則
(目的)
本規程は、合同会社AuroraNce(以下「当社」)が取り扱う特定個人情報に関する一連の管理基準を定め、以下の目的を達成することを目的とする。
- 法令遵守の確保
当社は、特定個人情報に関する法令および関連規制を遵守し、個人情報保護法やその他関連する法令に基づき、適切な情報管理を行う。 - 個人情報の安全管理
特定個人情報の不正アクセス、漏洩、改竄、滅失などを防止するための安全管理措置を確立し、個人の権利利益を守る。 - 管理体制の確立
特定個人情報の取り扱いに関して、組織内の責任者や担当者を明確にし、適切な監督・運用を行うことにより、情報の保護に万全を期する。 - 透明性の確保
本規程に基づき、当社は特定個人情報の取扱いに関して、従業員、顧客、取引先など関係者に対して透明性を確保し、信頼性を向上させる。
(適用範囲)
- 全従業員への適用
本規程は、合同会社AuroraNceの役員、社員および業務委託契約者を含む全ての従業員に適用される。特定個人情報を取り扱う業務に関わる者は、本規程に従うことが求められる。 - 対象となる業務の範囲
特定個人情報を取り扱う業務とは、次のいずれかに該当する業務を指す。- 顧客、社員、取引先などから収集した個人情報の管理、利用
- 各種契約に基づく個人情報の保存、取り扱い
- その他、特定個人情報を取り扱う業務全般
- 業務委託者への適用
当社が業務委託契約を締結している企業・個人(業務委託契約者)にも、本規程に従い、特定個人情報の取り扱いに関する適切な管理が求められる。業務委託契約者には、契約に基づき、当社の規程を遵守する義務が生じる。
(定義)
本規程における「特定個人情報」とは、次の情報を指し、個人情報のうち、特に重要視される情報を指す。
- 個人番号(マイナンバー)
日本国内において個人に付与される、社会保障、税、災害対策のための個別番号。これには、社会保障や税に関する手続きで使用される個人番号(マイナンバー)も含まれる。 - 特定個人情報を含む個人情報
個人番号(マイナンバー)のほか、当社が取り扱う個人情報の中で、特に個人番号に関連する情報や、それによって識別される個人の特定に関わる情報全般。これには以下の情報が含まれるが、これに限らない:- 個人番号(マイナンバー)に紐付けられる住所、氏名、生年月日、電話番号、給与情報等
- 税務申告や社会保険に関する情報
- その他、法令に基づき特別に保護を要する情報
- その他特定の個人に関する情報
- 特定の個人が識別可能で、機密性の高い情報。
- 一般的な個人情報に比べて、より高い保護が必要とされる情報の範囲として、上記のようなデータを指す。具体的には、個人の健康状態、財務情報など、個人に対して重大な影響を与える可能性がある情報。
第2章 安全管理措置
(組織的安全管理措置)
- 管理体制の整備
当社は、特定個人情報の管理に関する組織的な体制を整え、役割と責任を明確化する。- 管理責任者の設置:特定個人情報の管理責任者(以下「管理責任者」)を任命し、特定個人情報の管理全般を統括する。
- 取扱責任者の設置:各部門に特定個人情報取扱責任者(以下「取扱責任者」)を配置し、特定個人情報の収集、利用、保管、提供、廃棄などの日常業務を管理する。
- 監査および評価
管理責任者は、特定個人情報の管理状況を定期的に監査し、改善点の有無を評価する。- 監査頻度:少なくとも年1回の監査を実施し、必要に応じて改善措置を講じる。
- 監査報告の作成:監査結果を記録し、報告書として管理責任者に提出することで透明性を確保する。
- リスクアセスメント
特定個人情報の漏洩、紛失、改竄などのリスクについて、定期的なリスクアセスメントを実施する。- リスク評価手順:新たなリスクが発生した場合、または外部環境が変化した際に速やかにリスク評価を見直す。
(人的安全管理措置)
- 従業員研修の実施
従業員および業務委託契約者に対し、特定個人情報の取り扱いに関する研修を定期的に実施する。- 研修内容:特定個人情報の定義、適切な取扱い方法、法令遵守の重要性、セキュリティ対策などを含む。
- 研修頻度:入社時および年1回の研修を基本とし、内容の理解を深めるための補講やeラーニングも活用する。
- 秘密保持契約の締結
特定個人情報を取り扱う従業員には秘密保持契約を締結させ、その遵守を義務付ける。- 契約内容:特定個人情報の不正使用、漏洩の防止を目的とした内容を明記し、違反時の罰則を含む。
- 遵守の確認:秘密保持契約の遵守状況については、管理責任者が定期的に確認し、意識を高める取り組みを行う。
(物理的安全管理措置)
- 保管場所のアクセス制限
特定個人情報を保管する場所に対して、物理的なアクセス制限を設け、無断での出入りを防止する。- アクセス管理方法:鍵、ICカードによるアクセス管理システムを導入し、従業員の入退出を記録する。
- 持ち出しルールの厳守
情報保管場所から特定個人情報を持ち出す際には、厳格な持ち出しルールを適用し、情報漏洩を防止する。- 持ち出し手続き:持ち出しには管理責任者の許可が必要であり、持ち出し目的と範囲を明確にする。
- 返却確認:持ち出した特定個人情報は、速やかに返却し、返却の確認を徹底する。
- 情報の廃棄・削除
特定個人情報の廃棄や削除は、物理的な手法およびデータの完全な削除方法を用いて確実に行う。- 廃棄手順の明確化:物理的な書類はシュレッダーで裁断し、デジタルデータは専用ソフトで完全削除する。
- 記録の保管:廃棄・削除の実施については、廃棄記録を作成し、管理責任者に報告する。
第3章 特定個人情報などの取得
(取得の目的)
- 取得目的の限定
特定個人情報の取得は、次の目的に限定して行うものとする。- 法令に基づく義務(例:税務手続きや社会保険手続き)の履行
- 契約の履行や業務の適正な実施のために必要な範囲内での利用
- その他、当社の事業運営上、明確に必要とされる場合で、本人の同意が得られるもの
- 取得目的の明示
特定個人情報を取得する際には、本人に対してその目的を具体的に明示し、透明性を確保する。- 具体例:マイナンバー取得の場合、「給与支払報告書提出に必要なため」などと具体的に説明する。
- 目的の限定化:取得目的外の利用が発生しないようにし、目的外利用の禁止を徹底する。
(取得方法)
- 適法かつ公正な手段による取得
特定個人情報は、適法かつ公正な手段により取得し、本人に対する不当な圧力や負担を避ける。- 収集方法の選定:電話、メール、オンラインフォームなど適切な手段を利用し、個人情報の取り扱いについて事前に通知する。
- 最小限の情報収集:必要最低限の情報のみを収集し、過剰な情報取得を避ける。
- 本人の同意の取得
特定個人情報の取得に際しては、その目的と方法について本人の同意を得ることを基本とする。- 同意の手続き:同意取得の際には、書面または電子形式での同意書を使用する。
- 同意撤回の手続き:本人が同意を撤回できる手続きを整備し、撤回を希望した場合には速やかに対応する。
- 取得記録の管理
取得した特定個人情報については、取得経緯や方法に関する記録を作成し、適切に管理する。- 記録の保存期間:取得記録は、法令で定められた期間または業務上必要な期間、適切に保管する。
- アクセス制限:取得記録にはアクセス制限を設け、取扱責任者および権限を付与された者のみが参照できるようにする。
第4章 特定個人情報などの利用
(利用目的)
- 利用目的の遵守
当社が取得した特定個人情報は、当初通知した利用目的の範囲内でのみ使用し、目的外の利用は厳格に禁止する。- 例:税務関連情報として取得したマイナンバーは、税務手続き以外の目的で使用しない。
- 目的外利用の防止:利用に関しては、取扱責任者が定期的に利用状況を監視し、目的外利用が行われていないことを確認する。
- 利用目的の変更手続き
利用目的を変更する必要が生じた場合には、以下の手続きを遵守する。- 通知と同意:本人に対して新しい利用目的を明示し、利用目的の変更について説明した上で、改めて同意を取得する。
- 変更記録の管理:利用目的の変更が行われた場合、その変更記録を適切に保管し、必要に応じて監査が行えるようにする。
(利用の範囲)
- 利用範囲の制限
特定個人情報を取り扱う者は、業務上必要な範囲に限定し、アクセス権限を付与された担当者のみが利用できるようにする。- アクセス権限の管理:取扱責任者は、特定個人情報にアクセスする従業員の権限を定期的に見直し、不要なアクセス権限を削除する。
- 業務必要性の確認:特定個人情報にアクセスする担当者は、業務遂行のための正当な理由がある場合に限り利用を許可される。
- 法令および社内規定の遵守
特定個人情報を取り扱う全ての従業員は、関連する法令および当社の社内規定に従って利用を行い、不正な利用や目的外利用を防止する。- コンプライアンス教育:定期的な研修や教育を通じ、特定個人情報の適切な利用方法や遵守すべき規定について教育を実施する。
- 内部監査の実施:社内規定に基づき、定期的に特定個人情報の利用状況に関する内部監査を行い、規定遵守状況を確認する。
- 不正利用防止の措置
特定個人情報の不正利用を防止するため、利用履歴の記録および不審なアクセスの監視を行う。- 利用履歴の記録:特定個人情報に対するアクセスや利用履歴を記録し、定期的に確認することで、不正利用の兆候を早期に発見する。
- 不審アクセスの監視:アクセス状況を常時監視し、通常とは異なるアクセスがあった場合には直ちに確認と対応を行う。
第5章 特定個人情報などの保管
(保管方法)
- 保管方法の基準
特定個人情報は厳重に管理され、以下のセキュリティ対策を施した保管方法を採用する。- 暗号化:電子データとして保管する場合、暗号化技術を使用して情報を保護する。
- アクセス制限:特定個人情報にアクセス可能な従業員を限定し、定期的にアクセス権限を見直す。
- バックアップ:データ消失のリスクに備え、定期的なバックアップを実施し、安全な場所に保管する。
- 物理的保管場所の安全対策
特定個人情報を紙媒体で保管する場合(原則個人情報を紙媒体で保管しないこと)、施錠可能なキャビネットや専用保管室などのアクセス制限された場所に保管し、許可された担当者以外の出入りを厳しく制限する。- 監視システムの導入:保管場所には監視カメラを設置し、不正なアクセスを防止するための監視体制を整える。
- 持ち出しの管理:紙媒体の特定個人情報を外部に持ち出す際は、持ち出しの目的、期間、返却予定日を記録し、管理責任者の許可を得た上で行う。
- 漏洩防止措置
特定個人情報の漏洩リスクを軽減するため、以下の対策を徹底する。- セキュリティ対策の見直し:定期的にセキュリティ対策を見直し、最新のリスクに対応できるようにする。
- アクセスログの記録と監視:特定個人情報へのアクセス履歴を記録し、定期的に監視することで不正なアクセスがないか確認する。
(保管期間)
- 保管期間の設定
特定個人情報の保管期間は、取得時に明示された利用目的の達成に必要な範囲に限定する。- 目的達成後の処理:利用目的が達成され、保管の必要がなくなった特定個人情報は速やかに廃棄または削除する。
- 長期保管の禁止:法令で定められた場合を除き、必要以上の長期保管を禁止し、無断で保管期間を延長しない。
- 保管期間終了後の廃棄手続き
保管期間が終了した特定個人情報については、以下の手続きを通じて確実に廃棄または削除を行う。- 廃棄手続きの記録:廃棄または削除を実施した場合、その処理内容と日付を記録し、保管する。
- 廃棄方法の安全性:電子データは完全に削除される技術を使用し、紙媒体はシュレッダーなどで処理し、再利用ができないようにする。
第6章 特定個人情報などの提供
(提供の制限)
- 原則として提供の禁止
当社は、特定個人情報を第三者に提供する際、原則として本人の明示的な同意を必要とし、同意が得られない限り、第三者への提供を行わない。- 例外事項:法令に基づく場合や、生命、身体または財産の保護が必要で本人の同意を得ることが困難な場合に限り、例外的に提供を行うことがある。
- 提供の範囲
提供する際は、提供先およびその利用目的を明確にし、特定個人情報の適正な取扱いを徹底する。- 目的の限定:特定個人情報は、提供目的に必要な範囲内でのみ提供し、過剰な情報提供を行わない。
- 記録の保存:提供した情報の内容、提供先、提供日時、提供の理由を記録し、一定期間保管する。
(提供先の確認)
- 提供先の適正確認
特定個人情報を提供する前に、提供先が情報管理体制を整え、適切に情報を取り扱う能力があることを確認する。- 事前調査:提供先のプライバシーポリシーや情報管理体制を事前に調査し、必要に応じて訪問や面談により確認を行う。
- 契約による義務の明確化
提供先には、特定個人情報を適切に管理するための措置を契約上で義務付け、情報漏洩防止のための体制を整えることを求める。- 契約内容:提供先との契約には、特定個人情報の取扱い範囲、目的外利用の禁止、情報漏洩時の報告義務、対応措置などを明記する。
- 監査の実施:必要に応じて提供先に対して情報管理の状況を監査し、遵守状況を確認する。
- 提供後の管理
特定個人情報の提供後も、その情報が適切に扱われているかを確認する責任を持つ。- 定期確認:提供先との定期的な連絡や確認を通じて、情報が適正に管理されていることを確認する。
- 不正利用への対応:提供先が不正な利用を行った場合には、契約解除や法的措置を検討し、再発防止に努める。
第7章 個人情報の開示、訂正、利用停止など
(開示請求)
- 開示請求の受付
本人から特定個人情報の開示請求があった場合、当社は本人確認を行い、法令に基づく手続きに従い速やかに対応する。- 申請方法:開示請求は、書面またはオンライン申請により受付け、必要な情報を申請者に提示する。
- 本人確認の実施:情報の不正取得を防止するため、運転免許証やマイナンバーカードなどにより本人確認を実施し、必要に応じて追加確認を行う。
- 開示請求の対応手順
開示請求を受理後、合理的な期間内に、対象の特定個人情報を開示する。- 手数料の徴収:法令または社内規定に基づき、手数料を徴収する場合がある。
- 非開示の対応:以下の場合は開示しないことができるが、その場合は理由を説明する。
- 当社の業務に著しい支障が生じる場合
- 他の法令に違反する場合
- 他の個人の権利・利益を害する恐れがある場合
(訂正・利用停止)
- 訂正請求
本人から特定個人情報の訂正請求があった場合、請求内容の事実確認を行い、必要に応じて合理的な範囲で訂正する。- 訂正内容の確認:事実関係を確認した上で、情報の正確性が確保されるよう訂正を行う。
- 訂正不可の場合:訂正ができない場合は、その理由を本人に通知し、代替案を検討する。
- 利用停止請求
本人から特定個人情報の利用停止請求があった場合、法令に基づき、速やかに対応する。- 利用停止の範囲:請求内容に応じ、必要最小限の範囲で利用停止を行い、本人にその結果を通知する。
- 利用停止の例外:法令により利用が義務付けられている場合など、利用停止が困難な場合は、その理由を説明する。
- 通知とフォローアップ
開示、訂正、利用停止の請求に関して対応が完了した後、速やかにその結果を本人に通知する。- 対応結果の説明:開示請求の内容に応じて、開示内容や利用停止の詳細、または対応が行われたことを明確に説明する。
- 不服申立て対応:本人が対応結果に不服がある場合、相談窓口を設けて対応し、改善を検討する。
第8章 特定個人情報などの廃棄・削除
(廃棄・削除の手続き)
- 廃棄・削除の実施タイミング
特定個人情報の保管期間が終了した場合、または利用目的を達成した後、速やかに廃棄または削除を行う。- 迅速な対応:保管期限が過ぎた情報や不要になった情報については、再利用されないよう直ちに廃棄・削除を実施する。
- 確認手続き:廃棄または削除の対象となる情報のリストを作成し、必要な処理が完了するまで管理責任者が監督する。
- 廃棄・削除の実施手段
廃棄および削除は、再利用が不可能な方法で行う。- 物理的手段:紙媒体で保管されている情報については、シュレッダーによる破砕や焼却処理などを行う。
- 電子的手段:電子データについては、データ消去ソフトウェアの利用、上書き消去、物理的な破壊などにより、情報が復元不可能な状態にする。
(廃棄方法)
- 確実な廃棄の実施
特定個人情報を含む書類やデータを廃棄する際は、確実に処理を行い、第三者による不正アクセスや情報漏洩を防ぐ。- 廃棄手順の徹底:廃棄処理に従事する担当者には、定められた手順に従って確実に処理を行うことを徹底させる。
- 責任者の立ち合い:必要に応じて管理責任者が廃棄作業に立ち会い、廃棄が確実に完了したことを確認する。
- 廃棄証明書の作成と保存
廃棄または削除が完了した後、処理の証拠として廃棄証明書を作成し、適切に保管する。- 証明書の内容:証明書には、廃棄または削除を行った情報の概要、実施日時、担当者の氏名、使用した手段を記載する。
- 証明書の保管期間:証明書は、一定期間保管し、後日確認が可能なようにする。保管期間は社内規定に基づき管理する。
- 外部委託の場合の監督
特定個人情報の廃棄を外部業者に委託する場合、業者が適切な廃棄処理を行うことを契約で定め、定期的に監査を行う。- 契約書への記載:外部委託業者には、再利用が不可能な方法での廃棄を義務付け、違反がないよう管理する。
- 監査の実施:外部業者の廃棄作業が適正に行われているか定期的に監査し、問題があれば即時改善を指示する。
附則
(規程の改定)
- 改定の必要性
本規程は、法令の改正や当社の業務内容の変更に応じて、柔軟に改定できる。- 法令改正対応:個人情報保護関連の法令が改正された場合、当社の規程もそれに従って速やかに改定する。
- 業務変更対応:当社の事業内容や特定個人情報の取り扱いに関する業務が変わった場合、実務に即した規程にするために改定を行う。
- 改定後の周知
改定が行われた際には、すべての従業員に対して変更内容を周知し、理解を徹底させる。- 周知方法:電子メール、社内掲示、または研修を通じて周知を行い、従業員および業務委託者が最新の規程を理解し、適切に対応できるようにする。
- 運用の適正化:改定後の規程が確実に実務に適用されるよう、管理責任者が運用状況を確認し、遵守を指導する。
(施行日)
- 施行日の設定
本規程は、2024年11月13日より正式に施行される。- 施行の準備:施行日前に規程の内容が全従業員に周知されるよう計画を立て、研修や説明会を実施する。
- 施行後の管理体制:施行後は、規程に基づいた管理が適切に行われるよう、管理責任者や取扱責任者が日常的に運用を確認する。
下記のPDFからも当社の特定個人情報等に関する取扱規程をダウンロードすることが可能です。