個人情報保護規定
第1部 個人情報保護方針
1.基本方針
当社は、個人の権利・利益を保護するために、個人情報を適切に管理することを社会的責務と考えます。個人情報保護に関する方針を以下のとおり定め、従業員及び関係者に周知徹底を図り、これまで以上に個人情報保護に努めます。
1 事業者の名称:株式会社J-Barrel
2 個人情報の収集・利用・提供:個人情報を保護・管理する体制を確立し、適切な個人情報の収集、利用および提供に関する内部規則を定め、これを遵守します。
3 個人情報の安全対策:個人情報への不正アクセス、個人情報の紛失、破壊、改ざんおよび漏洩などに関する万全の予防措置を講じます。万一の問題発生時には速やかな是正対策を実施します。
4 個人情報の確認・訂正・利用停止:当該本人等からの内容の確認・訂正あるいは利用停止を求められた場合には、別に定める内部規則により、調査の上適切に対応します。
5 個人情報に関する法令・規範の遵守:個人情報に関する法令およびその他の規範を遵守します。
6 教育および継続的改善:個人情報保護体制を適切に維持するため、従業員の教育・研修を徹底し、内部規則を継続的に見直し、改善します。
7 個人情報の提供・開示:情報の提供・開示に関しては、別に定めます。
8 苦情相談窓口:個人情報に関するお問い合わせは、以下の窓口をご利用下さい。
◉社内窓口
- 担当部署:苦情相談窓口
- 所在地:〒532-0011大阪市淀川区西中島5-9-5NLC新大阪ビル802号室
- 連絡先:info@j-barrel.jp
◉社外窓口(所属する認定個人情報保護団体の窓口)
- 所属団体:苦情相談窓口
- 所在地:一般社団法人中小企業個人情報セキュリティー推進協会東京都新宿区市谷田町1-19-2ECS第19ビル5F
- 連絡先:03-4405-5180
2022年11月1日
代表取締役 井原 純平
2.適用範囲
本個人情報保護方針は、当社が行う各種事業において、お客様、関係各位(お取引先様、関係団体様)、従業員の個人情報もしくはそれに準ずる情報を取り扱う際に、当社が遵守する方針を示したものです。
3.個人情報の取得と利用目的
個人情報の利用目的について
2017年5月30日に改正個人情報保護法が施行されたことにより、すべての事業者が個人情報保護法の対象となりました。それに伴い当社は、提供されるすべての個人情報を以下の利用目的の範囲内で利用するものとします。
1.お客様及び関係各位(お取引先様、関係団体様)に関する個人情報
1.商品・サービス提供
2.設計、デザイン、施工及び検査
3.会計、経理及び書類作成事務
4.トラブル・事故等の調査、処理、報告
5.地域開発、都市開発、環境整備等に関する調査、企画、設計、監理その他付帯関連する業務
6.アフターメンテナンス
7.OJT実習への協力
8.電子メール、ダイレクトメールなどによる情報提供・当社が取り扱う商品・サービスに関する提案、その他の情報提供
9.当社が取り扱う商品の修理、サポート、メンテナンスに関する提案、その他の情報提供
10.キャンペーン、フェアー、催物に関する情報提供
11.アンケート、モニターに関する情報提供
12.お客様(営業先・エンドユーザー)との商談・打合せの実施、および連絡など
13.その他、お客様(営業先・エンドユーザー)に係る管理運営業務
14.お取引先様(仕入業者・流通業者・インフラ業者等)への情報提供、および連絡など
15.お取引先様(仕入業者・流通業者・インフラ業者等)との連絡、協力、交渉、契約の履行、履行請求等
16.お取引先様(仕入業者・流通業者・インフラ業者等)から個人情報の処理の全部または一部について委託された場合等において、委託された当該業務の適切かつ円滑な遂行のため
17.儀礼的挨拶・進物の送付・提供
18.所属する関係団体等の関係者様との会議、座談会等の企画・検討・開催のご連絡
19.所属する関係団体等の関係者様への事業活動に関する情報共有
20.所属する関係団体等の官公庁又は団体への申請・届出・報告
2.採用・募集活動、インターンシップ応募者、従業者及び退職者に関する個人情報
1.採用・募集活動(インターンシップを含みます。)
2.応募者への情報提供および連絡
3.採用・募集活動に関連する利用
4.退職者への情報提供および連絡
5.人事・労務
6.報酬の計算・決定・支払
7.研修
8.解職・退職
9.その他の雇用管理・業績管理、適正な業務運営の確保
10.健康の保持・増進など従業者にとって有益と思われる目的の範囲の健康情報
11.税理士、社会保険労務士に委託した従業者の人事・労務、報酬の計算等に関して必要な範囲
12.出向・派遣先での労務管理等に必要な範囲においてのみ使用することを前提に、出向・派遣先への個人データ(個人番号を除く)の提供
13.その他、従業者に対する事務に関する利用
3.番号法に基づく従業者等の個人番号の利用
1.給与・退職金・退職年金に関する法定調書等作成事務
2.雇用保険届出事務
3.健康保険・厚生年金保険届出事務
4.国民年金の第3号被保険者の届出事務
5.報酬、料金、契約金及び賞金の支払調書作成事務
6.その他法令等に定める個人番号関係事務
4.全ての保有個人データの利用目的
個人情報を取得する際の利用目的に同じ
4.個人情報の管理
当社は、お客様、関係各位(お取引先様、関係団体様)、従業員からご提供いただいた情報の管理について、以下を徹底します。
1.情報の正確性の確保:ご提供いただいた情報については、常に正確かつ最新の情報となるよう努めます。
2.安全管理措置:以下の安全管理措置に基づき取り扱いを徹底しています。
(組織的安全管理措置)
・整備した取扱方法に従って個人データが取り扱われていることを責任者が確認
・従業員から責任者に対する報告連絡体制を整備
(人的安全管理措置)
・個人データの取り扱いに関する留意事項について、従業員に定期的な研修を実施
・個人データについての秘密保持に関する事項を雇用契約時に締結
(物理的安全管理措置)
・個人データを取り扱うことのできる従業員及び本人以外が容易に個人データを閲覧できないような措置を実施
・個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施
(技術的安全管理措置)
・個人データを取り扱うことのできる機器及び当該機器を取り扱う従業員を明確化し、個人データへの不要なアクセスを防止
・個人データを取り扱う機器を外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入
(外的環境の把握)
・今後個人データを外国に保管する場合には、当該外国における個人情報の保護に関する制度を把握した上で安全管理措置を実施
3.従業者の監督:社内規程に基づき、個人情報取り扱い規程の厳格な運用を徹底しています。
4.委託先の監督:個人情報の取り扱いを外部に委託する場合には、あらかじめ委託先が、法第23条が求める水準の安全管理措置が講じられていることをDXマークの取得等により選定し、秘密保持等に関する必要事項を含む契約を締結の上、委託します。また、委託においては委託先の取扱状況を把握しています。
5.保存期間と廃棄:ご提供いただいた情報については、保存期間を設定し、保存期間終了後は廃棄します。また、保存期間内であっても、不要となった場合にはすみやかに廃棄します。
5.第三者提供の有無
当社は、お客様、関係各位(お取引先様、関係団体様)、従業員からご提供いただいた個人情報及び個人関連情報を、第三者に提供することはありません。今後、第三者提供を行う事になった場合には、提供する情報と提供目的などを提示し、当該本人から同意を得た場合のみ第三者提供を行います。また、当社では、利用目的の達成に必要な範囲内において、他の事業者へ個人情報を委託することがあります。
6.オプトアウトに関する公表事項
現状では、オプトアウトは行っていません。オプトアウトを実施する場合には、適正な取り扱いを行います。
7.共同利用に関する公表事項
現状では、共同利用は行っていません。共同利用を実施する場合には、適正な取り扱いを行います。
8.保有個人データに関する公表事項
当社は、保有個人データに関する公表事項を次のとおりとする。
開示等の求めの受付
所定の用紙(「利用目的通知請求書」、「開示対象個人情報開示請求書」、「開示対象個人情報訂正等請求書」)にご記入のうえ、以下の宛先まで郵送またはお持ちください。開示等請求の用紙は窓口でお渡ししております。
◉開示等の請求等の社内窓口
- 担当部署:苦情相談窓口
- 所在地:〒532-0011大阪市淀川区西中島5-9-5NLC新大阪ビル802号室
- 連絡先:info@j-barrel.jp
本人確認
本人確認のため、以下の書類を「所定の用紙」とともに郵送またはお持ちください。
・運転免許証、パスポート、個人番号カード又は住民基本台帳カード(住所記載のあるもの)、在留カード、特別永住者証明書等の写真で本人確認ができるものの写し(開示等の求めをする本人の名前および住所が記載されているもの)
・住民票の写し(開示等の求めをする日前30日以内に作成されたもの)
代理人資格の確認
代理人の方が手続きをされる場合は、「所定の用紙」、「本人確認書類」に加え、以下の書類も郵送またはお持ちください。
・代理人を証明する書類、代理人の運転免許証、パスポート、個人番号カード又は住民基本台帳カード(住所記載のあるもの)、在留カード、特別永住者証明書等の写真で代理人確認ができるものの写し(開示等の求めをする代理人の名前および住所が記載されているもの)
・代理人の住民票の写し(開示等の求めをする日前30日以内に作成されたもの)
・代理人が弁護士の場合は、登録番号のわかる書類
・代理を示す旨の委任状
手数料のお支払い
開示等の請求をする際に、開示等請求手数料が必要です。手数料のお支払は、窓口にて現金によりお支払いください。
手数料:1枚当たり1,000円(税込)
ご請求の取り扱い
所定の用紙により受け付け、本人確認、代理人確認ができたときは、対応します。なお、以下の場合は開示等の求めに応じられない場合があります。
・本人または第三者の生命、身体または財産に危害が及ぶおそれのある場合、違法または不当な行為を助長し、または誘発するおそれのある場合
・国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれ、または他国もしくは国際機関との交渉上不利益を被るおそれのある場合
・犯罪の予防、鎮圧、または捜査その他の公共の安全と秩序維持に支障が及ぶおそれのある場合
・業務の適正な実施に著しい支障を及ぼすおそれがある場合
・法令に違反することとなる場合
・国の機関または地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、または公表することによって当該事務の遂行に支障を及ぼすおそれがある場合
開示等
以下の方法により遅滞なく開示等の対応します。
・保有個人データの利用目的の通知、開示の場合は、当該内容の記載された内容を、当該本人が請求した方法(当該方法による開示に多額の費用を要する場合、その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により対応
・保有個人データの内容の訂正、通知または削除、利用の停止、消去および第三者への提供の停止の場合は、「個人情報訂正等決定通知書」を、当該本人が請求した方法(当該方法による開示に多額の費用を要する場合、その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により対応
・法令に基づく理由により開示等しないこととなった場合は、「個人情報不開示等決定通知書」を、当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により対応
書面の送付先は、所定の用紙にご記入いただいた本人の住所とします。
本人または代理人を証明する書類に、本籍地が明示されている場合は、消去していただいて結構です。本人または代理人を証明する書類は、通知後、直ちに責任を持って廃棄いたします。
保有個人データの取り扱いに関する苦情の申出先
保有個人データの取り扱いに関する苦情の申出先は次のとおりとします。
◉社内窓口
- 担当部署:苦情相談窓口
- 所在地:〒532-0011大阪市淀川区西中島5-9-5NLC新大阪ビル802号室
- 連絡先:info@j-barrel.jp
◉社外窓口(所属する認定個人情報保護団体の窓口)
- 所属団体:一般社団法人中小企業個人情報セキュリティー推進協会
- 所在地:東京都新宿区市谷田町1-19-2ECS第19ビル5F
- 連絡先:03-4405-5180
9.仮名加工情報の作成について
現状では、仮名加工情報は作成しておりません。仮名加工情報を作成する場合には、適正な取り扱いを行います。
10.匿名加工情報の作成及び第三者提供について
現状では、匿名加工情報は作成しておりません。匿名加工を作成する場合には、適正な取り扱いを行います。
第2部 社内ルール
1.個人情報等の表示等に関するルール
(1)個人情報を取得する場合
当社は、個人情報の取得に際して、あらかじめその利用目的を「個人情報保護方針」に掲載し公表する。また、本人から求められた場合には、その利用目的について、本人に通知する。
(2)利用目的変更に関する公表
当社は、利用目的を変更した場合、変更された利用目的について、本人に通知し、又は公表する。
(3)第三者提供に関する公表
当社は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとし、かつ個人情報保護委員会規則であらかじめ、本人に通知し、又は「個人情報保護方針」に掲載し、公表するとともに、個人情報保護委員会に届け出ることにより、当該個人データを第三者に提供できるものとする。
(4)共同利用に関する公表
当社は、特定の者との間で共同して利用される個人データが当該特定の者に提供される場合は、あらかじめ、本人に通知し、又は「個人情報保護方針」に掲載し、公表する。
(5)共同利用に関する変更内容の公表
当社は、利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、あらかじめ、本人に通知し、又は「個人情報保護方針」に掲載し、公表する。
(6)保有個人データに関する公表
当社は、本人から当該本人が識別される保有個人データの開示等請求を受けた場合、「個人情報保護方針」に掲載されている手続きに基づき対応する。
2.仮名加工情報及び匿名加工情報の表示等に関するルール
(1)仮名加工情報
1)作成又は取り扱う仮名加工情報の利用目的
当社は、仮名加工情報を作成したときは、利用目的を「個人情報保護方針」に掲載し、公表する。また利用目的を変更した場合は変更した利用目的を公表する。
(2)匿名加工情報
1)作成又は取り扱う匿名加工情報に含まれる項目
当社は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を記載した別添「匿名加工情報に関する公表」を、「個人情報保護方針」に掲載し、公表する。
当社が他の事業者の委託を受けて匿名加工情報を作成した場合、上記項目を当該他の事業者が公表することにより、当社が公表したものとみなす。
2)作成又は取り扱う匿名加工情報の安全管理措置
当社は、匿名加工情報を作成したとき、又は取り扱うときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取り扱いに関する苦情の処理その他の当該匿名加工情報の適正な取り扱いを確保するために必要な措置を別添「安全管理措置及び取扱規程」に定め、自ら講じ、かつ、当該措置の内容を公表する。
3)第三者提供する匿名加工情報
当社は、作成した又は取り扱う匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について別添「匿名加工情報に関する公表」に記載し、公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を電子メール又は書面交付にて明示する。
3.利用目的に関するルール
(1)目的外利用の禁止
当社は、あらかじめ本人の同意を得ないで、利用目的(個人情報保護方針『3.個人情報の取得と利用目的』)の達成に必要な範囲を超えて、個人情報を取り扱わない。
個人番号、特定個人情報については、本人の同意があったとしても、利用目的を超えて利用しない。
目的外利用禁止の例外
| 目的外利用禁止は、次に掲げる場合については、適用しない。 1)法令に基づく場合 2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 5) 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。 6) 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。 |
(2)不適正利用の禁止
当社は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用しない。
(3)事業承継の場合
当社は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わない。
特定個人情報については、本人の同意があったとしても、承継前に特定されていた利用目的を超えて利用しない。
(4)利用目的の変更制限
当社は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行わない。
4.本人から個人情報を取得するときのルール
(1)不正取得の禁止
当社は、偽りその他不正の手段により個人情報を取得しない。
また、個人番号については、次の場合には提供を求めないものとする。
・契約内容等から個人番号関係事務が明らかに発生しないと認められる場合
・番号法第19条各号のいずれかに該当し特定個人情報の提供を受けることができない場合
(2)同意のない要配慮個人情報取得の禁止
当社は、あらかじめ本人の同意を得ないで、要配慮個人情報を取得しない。
同意のない要配慮個人情報取得の禁止の例外
| 同意のない要配慮個人情報取得の禁止は、次に掲げる場合については、適用しない。 1) 法令に基づく場合 2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 5) 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。 6) 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。 7) 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第57条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合 |
(3)個人情報を直接書面で取得する場合
当社は、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示する。
直接書面で取得する場合の例外
| ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。 |
5.個人データ及び特定個人情報の取り扱いに関するルール
(1)適正管理
当社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努める。
(2)安全管理措置
当社は、その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取り扱いに係る規律を次のとおり整備する。
1)基本方針
個人データの適正な取り扱いの確保について組織として取り組むために、「基本方針」を策定する。
2)取扱規程
取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について定める「安全管理措置及び取扱規程」を策定する。
「安全管理措置及び取扱規程」に具体的に定める事項については、組織的安全管理措置、人的安全管理措置、物理的安全管理措置及び外的環境の把握の内容並びに情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)は技術的安全管理措置の内容を織り込む。
(3)委託先の監督
当社は、個人データの取り扱いの全部又は一部を委託する場合は、その取り扱いを委託された個人データの安全管理が図られるよう、「安全管理措置及び取扱規程」に手順を定め、委託を受けた者に対する必要かつ適切な監督を行う。
(4)漏えい等の報告等
個人情報管理責任者は、個人情報の漏えい、滅失若しくは毀損(以下「漏えい等」という。)が発生し又は発生したおそれがある場合、不正の目的をもって漏えい等・利用・提供された場合、不特定多数のものに閲覧されるおそれがある場合、個人情報保護委員会に対して、個人情報保護委員会のフォーマットを使用して3日以内に「速報」し、30日以内に「確報」を行う。また対象となった本人に、速やかに通知する。
(5)漏えい等事案が発覚した場合に講ずべき措置
当社は、漏えい等又はそのおそれのある事案(以下「漏えい等事案」という。)が発覚した場合は、漏えい等事案の内容等に応じて、次の(1)から(5)に掲げる事項について必要な措置を講じる。
1) 事業者内部における報告及び被害の拡大防止
2) 事実関係の調査及び原因の究明
3) 影響範囲の特定
4) 再発防止策の検討及び実施
5) 個人情報保護委員会への報告及び本人への通知
6.第三者から個人データ等を取得するときのルール(1/3)
(1)第三者から個人データを取得するときの確認義務
当社は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところ(下記A)により、次に掲げる事項の確認を行う。
1)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
2)当該第三者による当該個人データの取得の経緯
A:確認方法
①(1)の確認を行う方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法とする。
②(2)の確認を行う方法は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法とする。
③前二項の規定にかかわらず、第三者から他の個人データの提供を受けるに際して既に前二項に規定する方法による確認(当該確認について記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る確認事項の内容が同一であることの確認を行う方法とする。
第三者から個人データを取得するときの確認義務の例外
| 第三者から個人データを取得するときの確認義務は、次に掲げる場合については、適用しない。 ・当該個人データの提供が法第27条第1項各号(例外)に該当する場合 |
7.第三者から個人データ等を取得するときのルール(2/3)
(1)第三者から取得時の記録作成義務
当社は、第三者から個人データを取得したときは、個人情報保護委員会規則で定めるところ(下記A)により、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項(下記B)に関する記録を作成する。
A:記録方法及び特例
①記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
②本記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。ただし、当該第三者から継続的に若しくは反復して個人データの提供(オプトアウトを除く。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができるものとする。
③本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に下記Bに定める事項が記載されているときは、当該書面をもって記録に代えることができるものとする。
B:記載事項
記録には、次に掲げる場合の区分に応じ、それぞれ当該各号に定める事項を記載するものとする。
①オプトアウトにより個人データの提供を受けた場合
イ 個人データの提供を受けた年月日
ロ 法第30条第1項各号に掲げる事項(第三者氏名、経緯)
ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
ニ 当該個人データの項目
ホ 法第27条第4項の規定により公表されている旨(オプトアウトの届出公表)
②同意により個人データの提供を受けた場合
イ 法第27条第1項(同意)又は法第28条第1項(外国への同意)の本人の同意を得ている旨
ロ 前号ロからニまでに掲げる事項
③個人関連情報取扱事業者から個人関連情報の提供を受けて個人データとして取得した場合
イ 法第31条第1項第1号の本人の同意が得られている旨及び外国にある個人情報取扱事業者にあっては、同項第2号の規定による情報の提供が行われている旨
ロ 法第30条第1項第1号に掲げる事項(第三者指名、経緯)
ハ 第1号ハに掲げる事項
ニ 当該個人関連情報の項目
④第三者(個人情報取扱事業者に該当する者を除く。)から個人データの提供を受けた場合第1号ロからニまでに掲げる事項
前項各号に定める事項のうち、既に前条に規定する方法により作成した記録(当該記録を保存している場合におけるものに限る。)に記録されている事項と内容が同一であるものについては、記録を省略することができるものとする。
8.第三者から個人データ等を取得するときのルール(3/3)
(1)記録の保存
当社は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める下記の期間保存する。
次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間とする。
1)前頁A③に規定する方法により記録を作成した場合、最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間
2)前頁A②に規定する方法により記録を作成した場合、最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間
3)前二号以外の場合3年
9.第三者に個人データ等を提供するときのルール(1/3)
(1)第三者提供時の報告義務
当社は、個人データ等(個人関連情報を含む)を第三者に提供するに際して、次の事項を偽らず伝えるものとする。
1)当社の名称及び住所並びに代表者の氏名
2)当社における当該個人データの取得の経緯
(2)個人データ等の提供禁止
当社は、あらかじめ本人の同意を得ないで、個人データ等を第三者に提供しない。
| 本人の同意がない個人データ提供の禁止は、次に掲げる場合については、適用しない。 1)法令に基づく場合 2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 5)当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。 6)当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。 7)当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。 |
(3)外国にある第三者への提供
当社は、前号の本人の同意を得ようとする場合において、当該本人に参考となるべき情報を当該本人に提供する。
1)当該外国の名称
2)適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
3)当該第三者が講ずる個人情報の保護のための措置に関する情報
個人データ等を外国にある第三者に提供した場合には、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供する。
(4)特定個人情報の提供禁止
当社は、特定個人情報については、次の場合に提供禁止とする。
・番号法で限定的に明記された場合を除き、特定個人情報を提供しない。
・特定個人情報の提供を求められた場合には、その提供を求める根拠が、番号法第19条各号に該当するものかどうかをよく確認し、同条各号に該当しない場合には、特定個人情報を提供しない。
特定個人情報の提供禁止の例外
| 委員会が、特定個人情報の取り扱いに関し、番号法第35条第1項の規定により、特定個人情報の提出を求めた場合には、この求めに応じ、委員会に対し、特定個人情報を提供しなければならないものとする。 |
10.第三者に個人データ等を提供するときのルール(2/3)
(1)第三者提供時の記録作成義務
当社は、個人データ等(個人関連情報を含む)を第三者に提供したときは、個人情報保護委員会規則で定めるところ(下記A)により、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項(下記B)に関する記録を作成する。
A:記録方法及び特例
① 記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
② 本記録は、個人データ等を第三者に提供した都度、速やかに作成しなければならない。ただし、当該第三者に対し個人データ等を継続的に若しくは反復して提供(オプトアウトを除く。)したとき、又は当該第三者に対し個人データ等を継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができるものとする。
③本人に対する物品又は役務の提供に関連して当該本人に係る個人データ等を第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に下記Bに定める事項が記載されているときは、当該書面をもって記録に代えることができるものとする。
B:記載事項
記録には、次に掲げる場合の区分に応じ、それぞれ当該各号に定める事項を記載するものとする。
① オプトアウトにより個人データ等を第三者に提供した場合
イ 当該個人データ等を提供した年月日
ロ 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
ハ 当該個人データ等によって識別される本人の氏名その他の当該本人を特定するに足りる事項
ニ 当該個人データ等の項目
② 同意により個人データ等を第三者に提供した場合
イ 法第27条第1項(同意)又は法第28条第1項(外国への同意)の本人の同意を得ている旨
ロ 前号ロからニまでに掲げる事項
前項各号に定める事項のうち、既に前条に規定する方法により作成した記録(当該記録を保存している場合におけるものに限る。)に記録されている事項と内容が同一であるものについては、記録を省略することができるものとする。
第三者提供時の記録作成義務の例外
| 第三者提供時の記録作成義務は、次に掲げる場合については、適用しない。 ・当該個人データの提供が第27条第1項各号(例外)に該当する場合 |
11.第三者に個人データ等を提供するときのルール(3/3)
(1)記録の保存
当社は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める下記の期間保存する。
次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間とする。
1)前頁A③に規定する方法により記録を作成した場合、最後に当該記録に係る個人データ等の提供を行った日から起算して1年を経過する日までの間
2)前頁A②に規定する方法により記録を作成した場合、最後に当該記録に係る個人データ等の提供を行った日から起算して3年を経過する日までの間
3)前二号以外の場合3年
12.本人からの開示等請求への対応ルール(1/4)
(1)開示等の対象となる保有個人データ
保有個人データとは、当社が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データである。
開示等の対象となる保有個人データの例外
| 開示等の対象となる保有個人データから、次に該当するものは除く。 1)当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの 2)当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの 3)当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの 4)当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの |
(2)利用目的の通知の求めへの対応
当社は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知する。
利用目的の通知の求めへの対応の例外
| 利用目的の通知の求めへの対応は、次に掲げる場合については、適用しない。 1)前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合 2)第21条第4項第1号から第3号までに該当する場合(生命身体財産、権利利益、行政) |
例外により、求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
13.本人からの開示等請求への対応ルール(2/4)
(1)開示
当社は、本人から当該本人が識別される保有個人データの開示の請求を受けたときは、本人に対し、電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法により、遅滞なく、当該保有個人データを開示する。
開示の例外
| 開示は、次に掲げる場合については、対応しない。 1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合 2)当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合 3)他の法令に違反することとなる場合 |
例外により、本人からの請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知する。
(2)訂正等(訂正、追加又は削除)
当社は、本人から、当該本人が識別される保有個人データの内容が事実でないとして、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)の請求を受けた場合には、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行う。
訂正等の例外
| 訂正等は、次に掲げる場合については、対応しない。 1)当該本人が識別される保有個人データの内容が事実である場合 2)その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合 |
本人からの請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は例外により、訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知する。
14.本人からの開示等請求への対応ルール(3/4)
(1)利用停止等(利用停止又は消去)
当社は、本人から、当該本人が識別される保有個人データが第18条の規定(利用目的の制限)に違反して取り扱われているとき又は第19条の規定(適正取得)に違反して取得されたものであるとき、また、利用する必要がなくなった場合や重大な漏えいが発生した場合、本人の権利又は正当な利益が害されるおそれがある場合、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)の請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行う。
利用停止等(利用停止又は消去)の例外
| 利用停止等は、次に掲げる場合については、対応しない。 1)当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合 |
例外により、請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する。
(2)第三者提供の停止
当社は、当該本人が識別される保有個人データが第27条第1項(同意)又は第28条の規定(外国への同意)に違反して本人の同意なく第三者に提供されているとき、また、利用する必要がなくなった場合や重大な漏えいが発生した場合、本人の権利又は正当な利益が害されるおそれがある場合、当該保有個人データの第三者への提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止する。
特定個人情報の場合は、請求を受けた場合であって、当該請求に理由があることが判明したときには、遅滞なく、当該特定個人情報の第三者への提供を停止しなければならない。
第三者提供の停止の例外
| 第三者提供の停止は、次に掲げる場合については、対応しない。 1)保有個人データが第27条第1項(同意)の例外にもとづいて第三者に提供されている場合 2)保有個人データが第28条の規定(外国への同意)の例外にもどづいて第三者に提供されている場合 3)当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとる場合 |
例外により、請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する。
(3)理由の説明
当社は、利用目的通知の求め、開示、訂正等、利用停止等又は第三者提供の停止を、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明する。
15.本人からの開示等請求への対応ルール(4/4)
(1)開示等の請求の受付方法
当社は、利用目的通知の求め、開示、訂正等、利用停止等又は第三者提供の停止の請求(以下この条において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を次に定める。
開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮する。
1)開示等の請求等の申出先
- 受付部署:苦情相談窓口
- 受付先:info@j-barrel.jp
2)開示等の請求等に際して提出すべき書面の様式その他の開示等の請求等の方式
基本方針「8.保有個人データに関する公表事項」を参照
3)開示等の請求等をする者が本人又は代理人であることの確認の方法
開示等の請求等をすることができる代理人は、次に掲げる代理人とする。
①未成年者又は成年被後見人の法定代理人
②開示等の請求等をすることにつき本人が委任した代理人
4)手数料の徴収方法
開示等の請求等に関する手数料の額は、実費を勘案して合理的であると認められる範囲内のものとして、次の通り定める。
1枚当たり1,000円(税込)
(2)開示等の請求等に係る情報提供の求め
当社は、本人に対し、開示等の請求等に関し、その対象となる保有個人データを特定するに足る事項の提示を求めるものとする。この場合、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとるものとする。
16.仮名加工のルール(1/2)
(1)仮名加工方法
当社は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める次の加工基準に従い、当該個人情報を加工する。
加工基準
| 1)個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。(記述の削除・置換) 2)個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。(符号の削除・置換) 3)個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等を削除すること(当該記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 |
17.仮名加工のルール(2/2)
(1)復元防止
当社は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じる。
安全管理基準
| 1)削除情報等(同条第1項の規定により行われた加工の方法に関する情報にあっては、その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるものに限る。以下この条において同じ。)を取り扱う者の権限及び責任を明確に定めること。(責任者の設置) 2)削除情報等の取り扱いに関する規程類を整備し、当該規程類に従って削除情報等を適切に取り扱うとともに、その取り扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。(取扱のPDCA) 3)削除情報等を取り扱う正当な権限を有しない者による削除情報等の取り扱いを防止するために必要かつ適切な措置を講ずること。(不正防止) |
(2)第三者提供の禁止
当社は、仮名加工情報である個人データを第三者に提供しない。
(3)識別行為の禁止
当社は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合しないものとする。
(4)連絡先その他の情報の利用の禁止
当社は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用しないものとする。
18.匿名加工のルール(1/2)
(1)匿名加工方法
当社は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める次の加工基準に従い、当該個人情報を加工する。
加工基準
| 1)個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。(記述の削除・置換) 2)個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。(符号の削除・置換) 3)個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。(連結の削除・置換) 4)特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。(特異点の削除・置換) 5)前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。 |
19.匿名加工のルール(2/2)
(1)復元防止
当社は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める次の安全管理基準に従い、これらの情報の安全管理のための措置を講じる。
安全管理基準
| 1)加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第36条第1項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。以下この条において同じ。)を取り扱う者の権限及び責任を明確に定めること。(責任者の設置) 2)加工方法等情報の取り扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取り扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。(取扱のPDCA) 3)加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取り扱いを防止するために必要かつ適切な措置を講ずること。(不正防止) |
(2)識別行為の禁止
当社は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合しないものとする。
当社は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならないものとする。
第3部 安全管理措置及び取扱規程
1.個人データ等の安全管理措置
当社は、個人データ等の安全管理措置の共通手順についてについて次に定める。
(1)組織的安全管理措置
1)組織体制の整備、及び苦情・情報漏えい等事案に対応する体制の整備
従業員は、個人情報等に関する苦情、インシデントや漏えい等発生時には、組織内においては24時間以内に個人情報管理責任者まで報告をあげる。個人情報管理責任者は、速やかに代表取締役に報告をし、協議する。
【協議内容】
①事実関係の調査及び原因の究明、②影響を受ける可能性のある本人への連絡、③個人情報保護委員会等の外部関係者への報告、④再発防止策の検討及び決定、⑤事実関係及び再発防止策等の公表
2)個人データの取扱状況を確認する手段の整備、取扱規程に基づく運用
代表取締役は、「情報資産台帳」を作成し、個人データの取扱状況を把握可能とする。代表取締役は、取扱規程に従った運用を確保するため、個人データの取り扱いに係る様式を整備し、個人データの取り扱いの検証を可能にする。
3)取扱状況の把握及び安全管理措置の見直し
個人情報管理責任者は、毎週金曜の終業時、従業員が取扱規程に従った運用を行っていることを点検する。代表取締役は、個人データの取扱状況を把握し、監査を実施する。監査では安全管理措置の評価、見直し及び改善に取り組む。
| 役職名 | 役割と責任 |
|---|---|
| 最高責任者 井原 純平 | 個人情報の取り扱いに関する責任者。決定権限を有するとともに、全責任を負う。 |
| 個人情報管理責任者 井原 純平 | 個人情報管理責任者。各部門における安全管理措置の実施などの責任を負う。 |
| 教育責任者 樽井 克哉 | 個人情報を取り扱う従業員への教育を企画・実施する。 |
| 監査/点検責任者 井原 純平 | 個人情報の取り扱いが適切に実施されているか個人情報保護関連規程を基準として検証または評価し、助言を行う。 |
(2)人的安全管理措置
代表取締役は、従業員に個人情報等を取り扱わせるに当たっては、個人情報等の適正な取り扱いのため、個人情報等の安全管理措置が適切に講じられるよう、人的な安全管理措置として、次のとおり必要かつ適切な監督及び教育を行なう。
1)監督
代表取締役は、従業員の監督として、個人情報等についての秘密保持に関する事項を就業規則、雇用契約書等に盛り込む。
2)教育
代表取締役は、従業員の教育として、個人情報等の取り扱いに関する留意事項等についてeラーニングツールを用いて、従業者に定期的な研修を行なう。研修では、各自の研修結果を測定するテストを実施して、必要な力量が維持出来るようにする。従業員は、年1回、必修科目を受講しテストを実施し、必ず「合格」することとする。個人情報管理責任者は、研修の有効性を確保するために、eラーニングツールの管理画面により確認し、必要な場合には再度研修を指示する。
(3)物理的安全管理
代表取締役は、従業員に個人情報等を取り扱わせるに当たっては、個人情報等の適正な取り扱いのため、個人情報等の安全管理措置が適切に講じられるよう、物理的な安全管理措置として、次のとおり必要かつ適切な監督を行なう。
1)個人情報等を取り扱う区域の管理
代表取締役は、個人情報等の情報漏えい等を防止するために、個人情報等を取り扱う情報システムを管理する区域(以下「管理区域」という。)及び個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、物理的な安全管理措置を講ずる。
①管理区域
・電子媒体:セキュリティが担保されたファイルサーバー
・紙媒体:施錠可能な棚及び倉庫
②取扱区域
全般とし、壁又は間仕切り等の設置、座席配置の工夫、のぞき込みを防止する措置の実施等により、権限を有しない者による個人データの閲覧等を防止する。
2)鍵の管理
鍵の管理は、代表取締役が権限付与した鍵の管理者に限る。鍵を預かった管理者は無断で複製してはならない。代表取締役より返却を求められた場合は遅延なく返却する。
3)入退室管理の実施
管理区域は、施錠を行う。施錠が行えない場合は、受付を配置し監視する。業務中に使用しない出入口は常に施錠する。出入りが必要な場合は、鍵の管理者が開閉することとする。
4)機器、装置等の固定など物理的な保護
PC及びサーバー等個人データの保管されている機器はチェーンロックを行う。ノートPC及びタブレット、個人データの記載されている書類は、業務時間外は鍵付きのキャビネット等に保管する。
5)盗難等に対する予防対策の実施
鍵及び機器、書類等を盗難及び紛失した場合は、代表取締役に報告するとともに警察に届け出る。キャビネットからの書類等の出し入れは、代表取締役が任命した者のみが扱う。他の人が扱っていることを発見した場合は、代表取締役に報告する。
個人情報を持ち出す場合は、公共の場では常に携帯することとする。持ち運び可能な電子機器等の場合は暗号化し、書類の場合は個人情報が見えないような封筒やカバンに入れて持ち出す。また、鍵付きのカバン等で持ち運ぶこととする。
6)個人情報等の削除、機器及び電子媒体、書類等の廃棄
必要がなくなった場合で、かつ、所管法令等において定められている保存期間等を経過したときには、個人番号をできるだけ速やかに復元できない手段で削除(「米陸軍準拠方式(AR380-19)」に準拠した全箇所を3回上書き)又は廃棄(断片化、粉砕、焼却、融解)する。
(4)技術的安全管理
代表取締役は、従業員に個人情報等を取り扱わせるに当たっては、個人情報等の適正な取り扱いのため、個人情報等の安全管理措置が適切に講じられるよう、技術的な安全管理措置として、次のとおり必要かつ適切な監督を行なう。
1)アクセス制御
代表取締役は、個人情報管理責任者に、個人データに対するアクセス管理(IDやパスワード等による認証、各従業者の業務内容に応じて業務上必要な範囲にのみアクセスできるようなシステム構成の採用等)を行わせる。また、個人データに対するアクセス記録の保存を推奨する。
個人情報管理責任者は、従業員や委託先の担当者が個人番号関係事務を行う際、担当者の範囲及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行うものとする。
2)アクセス者の識別と認証
代表取締役は、個人情報管理責任者に従業員及び委託先の担当者に権限付与させ、個人情報等を取り扱う情報システムが正当なアクセス権を有する者であること、及び識別した結果に基づき認証できるようにする。
3)外部からの不正アクセス等の防止
代表取締役は、個人情報等を取り扱う情報システムを調達する際には、個人情報管理責任者にあらかじめ外部からの不正アクセス又は不正ソフトウェアから保護する仕組みであることを確認した上で従業員及び委託先の担当者にこれを利用させ、適切に運用できるようにする。
個人情報管理責任者は、個人データに対するファイアウォールの設置し、また当社で使用する無線LANは外部からの不正アクセスが行えないよう、パスワードを必ず設定し、暗号化を行うものとする。
4)情報漏えい等の防止
代表取締役は、個人情報管理責任者に、個人情報等をインターネット等により外部に送信する場合、あらかじめ通信経路における情報漏えい等を防止するための措置を講じていることを確認させた上で従業員及び委託先の担当者にこれを利用させる。
当社で使用するPCはウイルス対策ソフトを実装する。当社から持ち出すPCはディスクの暗号化を推奨する。個人データの保存されたPCは公共のWi-Fiスポット等、セキュリティレベルの低い回線へは接続しないこととする。
(5)外的環境の把握
今後、個人データを外国に保管する場合は、個人データを保管する外国における個人情報の保護に関する制度を把握した上で安全管理措置を実施する。
(6)委託先の監督
代表取締役は、個人データ取扱の全部又は一部を委託する場合には、「委託を受けた者」において、自らが果たすべき安全管理措置と同等の措置が講じられるよう、以下の手順に従い、「委託を受けた者」に対して必要かつ適切な監督を行なう。この監督義務は、再委託先、再々委託先以降に対しても間接的に監督義務を負うものとする。
1)評価選定
代表取締役は委託する際、委託先が、自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認したうえで契約することとする。個人情報等を適切に取り扱っているかについて、事業者ヒアリングによりリスクを判定した上で、事業者を委託先(受託者)として選定する。
代表取締役は、委託先から、委託先が行なう再委託以降の委託について許諾を求められた場合、委託先と同様に、自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認したうえで許諾することとする。
2)契約
契約内容には、次の事項を盛り込むものとする。また、委託先による再委託以降の委託においては、その委託契約には次の事項を盛り込んでいることを許諾の条件とする。
①秘密保持義務
②事業所内からの個人情報等の持出しの禁止
③個人情報等の目的外利用の禁止
④再委託における条件(再々委託以降も含む)
⑤漏えい事案等が発生した場合の委託先の責任
⑥委託契約終了後の個人情報の返却又は廃棄
⑦従業者に対する監督・教育
⑧契約内容の遵守状況について定期およびインシデント発生時の報告
⑨当社の個人情報を取り扱う委託先従業者
⑩当社による是正勧告および実地調査の権利
3)監督
個人情報管理責任者は、お客様の点検時およびインシデント発生時に、利用ログ・操作ログ、eラーニングツールの研修結果の管理画面、及び実地調査等により委託先の契約内容の遵守状況を確認する。個人情報管理責任者は上記確認の結果、是正が必要と判断した場合、代表取締役に報告を行なう。代表取締役は、報告を受けた問題・課題を評価した結果、委託先の是正が必要と判断した場合、委託先に是正勧告を行なう。個人情報管理責任者は、是正終結まで委託先の是正の進捗状況を管理し、終結の確認後、代表取締役に報告する。
2.特定個人情報等の取扱規程
当社は、特定個人情報の取り扱いについて次に定める。
(1)特定個人情報取扱事務
①特定個人情報等の範囲
1)源泉徴収票等
| 給与所得者の扶養控除等(異動)申告書、従たる給与についての扶養控除等(異動)申告書、給与所得者の保険料控除申告書兼給与所得者の配偶者特別控除申告書、退職所得の受給に関する申告書、給与所得の源泉徴収票、給与支払報告書、退職所得の源泉徴収票、特別徴収票 |
2)支払調書等作成事務
| 報酬、料金、契約金及び賞金の支払調書、不動産の使用料等の支払調書、非居住者に支払われる給与・報酬・年金及び賞金の支払調書 |
3)雇用保険等関連事務
| 雇用保険被保険者資格取得届、雇用保険被保険者資格喪失届・氏名変更届、健康保険・厚生年金保険被保険者資格取得届、健康保険・厚生年金保険被保険者資格喪失届、健康保険被保険者(異動)届、上記の各種届の作成に要する基礎資料 |
4)年金等関連事務
| 国民年金第3号被保険者関係届 |
②特定個人情報等取扱者
| 1)源泉徴収票等 2)支払調書等作成事務 3)雇用保険等関連事務 4)年金等関連事務 | 個人情報管理責任者 |
③取扱事務
1)取得
従業員は、番号法第19条各号に該当し特定個人情報の提供を受けることができる場合を除き、他人の個人番号の提供を求めてはならないものとする。従業員は、番号法第19条各号に該当する場合を除き、他人の個人番号を含む特定個人情報を収集してはならないものとする。
2)利用
従業員は、範囲に掲げる個人番号関係事務を処理するために必要な範囲を超えて、特定個人情報ファイルを作成しないものとする。
従業員は、各個人番号関係事務を行うために提供を受けた特定個人情報等は、本人の同意があったとしても、例外として認められる場合を除き、当該個人番号関係事務以外の事務において利用してはならない。また、利用目的を超えて特定個人情報を利用してはならない。(事業継承の場合には承継前に特定されていた利用目的を超えて特定個人情報を利用してはならない。)
ただし、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知を行うことにより、変更後の利用目的の範囲内で利用することはできる。
①源泉徴収票等作成事務
従業員は、源泉徴収票等への記載、提出、写しの本人交付を行う。写しの本人交付は、相手先ごとに封緘し、交付するものとする。
②支払調書等作成事務
従業員は、支払調書への記載、提出、写しの本人交付を行う。写しの本人交付は、相手先ごとに封緘し、交付するものとする。
③雇用保険等関連事務
従業員は、雇用保険に関する資格取得届への記載、提出の取扱事務は委託先担当者が実施する。雇用保険被保険者証等の本人交付は、被保険者ごとに封緘し、交付するものとする。
3)提供
代表取締役は、個人情報保護委員会が、特定個人情報の取り扱いに関し、番号法第52条第1項の規程により、特定個人情報の提供を求めた場合には、この求めに応じ、個人情報保護委員会に対し、特定個人情報を提供する。
従業員は、番号法で限定的に明記された場合を除き、特定個人情報を「提供」しないものとする。また、従業員は、番号法第19条各号に該当しない場合には、特定個人情報を提供しないものとする。
4)保管・保存
従業員は、番号法第19条各号に該当する場合を除き、他人の個人番号を含む特定個人情報を保管してはならないものとする。
従業員は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅延なく消去するものとする。個人データを長期にわたって保存する場合には、保存媒体の劣化防止など個人データが消失しないよう適切に保存する。個人データの保存に当たっては、本人からの照会等に対応する場合など必要なときに迅速に対応できるよう、インデックスの整備など検索可能な状態で保存しておく。
5)廃棄・削除
従業員は、個人番号関係事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除する。特定個人情報ファイルの廃棄又は削除は、次のとおりとする。
1.特定個人情報ファイルの削除及び廃棄の時期
従業員は、法令等に定められた保存期間を経過した場合は、の確認を受けた上で、速やかに廃棄するものとする。
2.廃棄、削除の方法
従業員は、特定個人情報ファイルについて、溶解、電子媒体等の破壊等の復元できない方法により適切に廃棄するものとする。
廃棄が出来ない場合には、個人番号を復元出来ない方法により適切に削除するものとする。
従業員は、特定個人情報等を取り扱う書類、機器及び電子媒体等を、委託して廃棄又は削除する場合には、セキュリティを確保した廃棄又は削除が可能な委託先に委託して行う。これらの廃棄業務を委託する場合には、個人データの取り扱いについても委託契約において明確に定める。廃棄を委託する場合は、廃棄業者から廃棄証明書を取得する。廃棄証明書を発行できない業者は利用しないこととする。
3.廃棄日時の記録
従業員は、特定個人情報ファイルを廃棄又は削除したときは、当該特定個人情報ファイルの名称、取扱者、廃棄又は削除した件数及び内容の記録を作成し、並びに廃棄又は削除を委託した場合は委託先による廃棄又は削除を証明する記録等を受領する。
情報セキュリティ基本方針
株式会社J-Barrel(以下、当社)は、業務上取り扱う当社の情報資産を各種脅威から守り、お客様ならびに社会の信頼に応えるべく、以下に定めた情報セキュリティに関する当社の方針を全社で取り組み、「個人情報保護方針」とともに順守いたします。
1.適用範囲
本情報セキュリティ基本方針は、当社の取り扱うお客様・関係各位・従業員等の情報資産を対象とし、それらを取り扱うすべての従業員(役員、顧問、正社員、準社員、契約社員、嘱託社員、派遣社員)に適用します。
2.経営者の責任
当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。
3.社内体制の整備
当社は、情報セキュリティの維持及び改善のために責任者を決め、情報セキュリティ対策を体制整備し、適切な運用に努めます。
4.役員および従業員の取組
役員およびすべての従業員が情報セキュリティの重要性を理解し、情報資産を適正に取り扱うよう、情報セキュリティに関する教育・訓練を実施し、情報セキュリティの周知徹底に努めます。情報資産を取り扱うすべての役員およびすべての従業員は、そこに定められた義務と責任を果たすものといたします。
5.法令および契約上の要求事項の遵守
当社は、社会の秩序を守るために情報セキュリティに関わる法令規制規範契約上の義務を遵守するとともにお客様の期待に応えます。
6.インシデント対応
当社は情報セキュリティ上のインシデントの発生に対する適切な処置を講じるとともに、万一それらが発生した場合に際して、あらかじめ、被害を最小限に留めるための対応手順を確立します。
7.定期的な評価・改善
当社は、以上の取り組みを定期的に評価・見直しを行うことにより、情報セキュリティ管理の継続的改善を実施します。
2022年11月1日
株式会社J-Barrel
代表取締役 井原 純平