(目的)
第1条 この規則は「個人情報保護法」(以下、「法」という。)に関する本法人の取扱いを定め、個人の権利利益の保護及び人格の尊重を図るとともに、事業の適正な運営に資することを目的とする。
この規則に定めるものの他は法の定めるところによる。
(管理者)
第2条 本法人における個人情報の管理者は、本法人定款に定める事業(以下、「法人事業」という。)に携わる役職員のうち、理事長が指名する者とする。
(定義)
第3条 本規則の「個人情報」「要配慮個人情報」「個人データ」「本人」「個人情報取扱事業者」の定義は、法の定めるところによるものとする。
(秘密保持義務)
第4条 本法人の役員、職員等法人事業に従事する者(以下、「職員等」という。)は、職務上もしくは活動上知り得た個人情報をみだりに他人に開示し、又は正当な目的以外に使用してはならない。
また、その職を退いた後も、同様とする。
(利用目的)
第5条 本法人が保有する個人情報は、法人事業遂行のため利用するものとする。
(利用目的による制限)
第6条 本法人は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
本法人は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
前二項の規定は、次に掲げる場合については、適用しない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関もしくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(個人情報の取得)
第7条 本法人は、個人情報を取得するときは、個人情報を取り扱う事業の目的を明確にし、当該事業の目的を達成するために必要な範囲内で、適法かつ公正な手段により取得しなければならない。
本法人は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
(1)第6条第3項第1号から第4号にあてはまる場合。
(2)当該要配慮者個人情報が、本人、国の機関、地方公共団体、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、国内もしくは外国の放送機関、新聞社、通信社その他の報道機関、著述を業として行う者、大学その他の学術研究を目的とする機関・団体又はそれらに属する者、宗教団体、政治団体により公開されている場合。
(3)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合。
(4)第14条第2項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。
(取得に際しての利用目的の通知等)
第8条 本法人は、個人情報を取得した場合は、あらかじめ法の定めるところにしたがい、その利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表する。
(データ内容の正確性の確保等)
第9条 本法人は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
(安全管理措置)
第10条 本法人は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要な措置として次に掲げる適切な措置を講ずる。
(1)個人情報保護に関する規程の整備及び公表
(2)個人情報保護推進のための組織体制等の整備
(3)個人データの漏えい等の問題が発生した場合等における報告連絡体制の整備
(4)雇用契約締結時における個人情報保護に関する規程の整備
(5)職員等に対する教育研修の実施
(6)物理的安全管理措置
(7)技術的安全管理措置
(8)個人データの適切な保存
(9)不要となった個人データの廃棄及び消去
(職員等の監督)
第11条 本法人は、職員等に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該職員等に対する必要かつ適切な監督を行う。
(委託先の監督)
第12条 本法人は、個人データの取扱いの全部又は一部を委託する場合は、個人データを適切に取り扱っている事業者を委託先に選定するとともに、取扱いを委託した個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行う。
(委託に伴う措置)
第13条 本法人は、個人データの取扱いの全部又は一部を委託する場合は、委託先との契約書に明記することにより、個人データの保護に関して委託先に次に掲げる義務を課さなければならない。
(1)第10条に定めるのと同等の安全管理措置を講じること
(2)職員等の監督
(3)委託した事業の再委託の禁止
(4)委託した事業を遂行する目的以外の個人データの使用禁止
(5)個人データの複写及び複製の制限
(6)個人データの取扱い状況の定期的な報告及び説明
(7)個人データの取扱い状況を委託者が確認することに応じること
(8)個人データの取扱いが適切でない場合に委託者による改善の申入れに応じること
(9)守秘義務(職員等がその職を退いた後を含む。)
(10)個人データの第三者提供の制限
(11)個人データの返還及び廃棄若しくは消去
(12)事故発生時における報告及び適切な措置
(第三者提供の制限)
第14条 本法人は、第6条第3項第1号から第4号にあてはまる場合を除き、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。
(1)本法人が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2)合併その他の事由による事業の承継に伴って個人データが提供される場合
(3)特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
本法人は、前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名もしくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(第三者提供等に係る記録の作成等)
第15条 本法人は、個人データを第三者(ただし、国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除く。以下この条において同じ。)に提供、又は第三者から提供を受けた場合には、法の定めるところに従い、必要な記録を作成し、3年間保存するものとする。
(開示)
第16条 個人情報を提供した本人は、第7条の規定に基づき提供した個人情報について個人情報管理者に対し開示を請求することができるものとする。
個人情報管理者は、本人から本人の個人情報の開示について請求があったとき、法第28条第2項に該当する場合を除き、本人に開示するものとする。
(訂正等)
第17条 個人情報を提供した本人は、第7条に基づき提供した本人の個人情報について個人情報管理者に対し訂正等を求めることができる。
前項の請求があった場合、個人情報管理者は直ちに該当する個人情報の訂正等を行うものとする。
(漏えい発生時等の対応)
第18条 個人情報を取り扱う全職員等は、個人情報を漏えい、滅失、き損等の事案の発生又はその兆候を把握した場合は、管理者に連絡するものとする。
この場合において管理者は、事実及び原因の確認、被害拡大の防止、影響を受ける本人への連絡、再発防止等の対応を行う。
(苦情の解決)
第19条 本法人における、開示請求及び苦情相談窓口を設け、担当者は統括所長とする。
(施行細則)
第20条 この規則の施行に関し必要な事項は、理事長が別に定める。
付 則
「個人情報の保護に関する規程」(平成23年4月1日施行)を廃し、本規則に差し替え平成30年3月27日から施行する