第一章 総則
第1条(目的)
1.本規程は、個人番号及び特定個人情報(以下、「特定個人情報」という)の適正な取扱いの確保に関し、必要な事項を定めることにより、岩手県学校生活協同組合(以下、「組合」という)の事業の適正かつ円滑な運営を図りつつ、個人の権利利益を確保することを目的とします。

第2条(定義)
1.本規程における用語の定義は、下記の通りとします。
(1)個人情報
生存する個人に関する情報で特定の個人を識別できるもの、他の情報と容易に照合でき、それにより特定の個人を識別できるものや映像や音声なども含む
(2)個人番号
行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(以下、「番号法」という)第2条第5項が定める住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係るものを識別するために指定されたものをいい、生存する個人のものだけでなく、死者のものも含む
(3)特定個人情報
個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であった住民票コード以外のものを含む)をその内容に含む個人情報をいう
(4)個人情報ファイル
個人情報を含む情報の集合物であって、特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして「個人情報の保護に関する法律施行令」で定めるものをいう
(5)特定個人情報ファイル
個人番号をその内容に含む個人情報ファイルをいう
(6)本人
個人番号によって識別され、又は識別され得る特定の個人をいう
(7)従業者
組合の組織内にあって、直接間接に組合の指揮監督を受けて業務に従事している者(職員のほか、理事、監事、派遣職員やアルバイター等を含む)

第3条(組合の責務)
1.組合は、番号法その他の個人情報保護に関する法令等を遵守するとともに、実施するあらゆる事業を通じて特定個人情報等の保護に努めるものとします。

第二章 特定個人情報等の取得
第4条(利用目的の特定、変更)
1.組合は、特定個人情報等を取扱うに当たっては、その利用の目的(以下、「利用目的」という)をできる限り特定するものとします。
2.組合は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲で行うものとします。
3.組合は、利用目的を変更した場合は、変更した利用目的について本人に通知又は公表するものとします。

第5条(取得に際しての利用目的の通知等)
1.組合は、特定個人情報を取得した場合は、あらかじめその利用目的を通知又は公表している場合を除き、速やかにその利用目的を本人に通知又は公表するものとします。
2.組合は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式等で作成された記録を含む)に記載された当該本人の特定個人情報等を取得する場合、その他本人から直接書面に記載された当該本人の特定個人情報等を取得する場合は、あらかじめ本人に対し、その利用目的を明示するものとします。但し、人の生命、身体又は財産の保護のために緊急に必要がある場合はこの限りとしません。
3.前2項の規定は、次に掲げる場合については適用しません。
(1)利用目的を本人に通知又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)利用目的を本人に通知又は公表することにより、当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知又は公表することにより、当該事務の遂行に支障を及ぼすおそれがあるとき
(4)取得の状況からみて利用目的が明らかであると認められる場合

第6条(取得の制限)
1.組合は、特定個人情報を取得するときは、適法かつ適正な方法で行うものとします。
2.組合は、番号法第19条各号のいずれかに該当する場合を除き、他人の特定個人情報を収集しないものとします。

第7条(個人番号の提供の求めの制限)
1.組合は、番号法第19条各号に該当して特定個人情報の提供を受けることができる場合を除くほか、他人に対し個人番号の提供を求めないものとします。

第8条(本人確認)
1.組合は、本人又はその代理人から個人番号の提供を受けるときは、番号法第16条の規定に従い本人確認を行うものとします。

第9条(安全管理措置)
1.組合は、特定個人情報の取得に際し、第21条(特定個人情報等の取扱い状況の記録)、第22条(本規程に基づく運用状況の記録)、第25条(従業者の監督・教育)、第26条(委託先の監督)、及び第31条(技術的安全管理措置)に定める安全管理措置を講ずるものとします。

第三章 特定個人情報等の利用
第10条(利用目的外の利用の制限)
1.組合は、第4条の規定により特定された利用目的の達成に必要な範囲を超えて特定個人情報等を取扱わないものとします。
2.組合は、合併その他の事由により他の法人等から事業を継承することに伴って特定個人情報等を取得した場合は、継承前における当該特定個人情報等の利用目的の達成に必要な範囲を超えて、当該特定個人情報等を取扱わないものとします。
3.前2項の規定にかかわらず、次の各号のいずれかに該当する場合には、第4条の規定により特定された利用目的の範囲を超えて特定個人情報等を取扱うことができるものとします。
(1)番号法第9条第4項の規定に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり又は本人の同意を得ることが困難であるとき

第11条(特定個人情報ファイルの作成の制限)
1.組合は番号法第19条第11号から14号までのいずれかに該当して特定個人情報を提供又はその提供を受けることができる場合を除き、個人番号関係事務を処理するために必要な範囲を超えて特定個人情報ファイルを作成しません。

第12条(安全管理措置)
1.組合は、特定個人情報の利用に際し、第21条(特定個人情報等の取扱い状況の記録)、第22条(本規程に基づく運用状況の記録)、第25条(従業者の監督・教育)、第26条(委託先の監督)、第27条(特定個人情報等を取扱う区域の管理)、第28条(機器及び電子媒体等の盗難等の防止)、第29条(電子媒体等を持ち出す場合の漏洩等の防止)、及び第31条(技術的安全管理措置)に定める安全管理措置を講じます。

第四章 特定個人情報等の保存
第13条(特定個人情報等の保管)
1.組合は、番号法第19条各号に該当する場合を除くほかに特定個人情報等を保管しないものとします。

 

第14条(データ内容の正確性の確保)
1.組合は、第4条の規定により特定された利用目的の達成に必要な範囲において、特定個人情報等を正確かつ最新の内容に保つよう努めるものとします。

第15条(安全管理措置)
1.組合は、特定個人情報の保存に際し、第21条(特定個人情報等の取扱い状況の記録)、第22条(本規程に基づく運用状況の記録)、第25条(従業者の監督・教育)、第26条(委託先の監督)、第27条(特定個人情報等を取扱う区域の管理)、第28条(機器及び電子媒体等の盗難等の防止)、第29条(電子媒体等を持ち出す場合の漏洩等の防止)、及び第31条(技術的安全管理措置)に定める安全管理措置を講ずるものとします。

第五章 特定個人情報等の提供
第16条(特定個人情報等の第三者提供)
1.組合は、番号法第19条各号に該当する場合を除くほかに特定個人情報等を第三者に提供しないものとします。

第17条(安全管理措置)
1.組合は、特定個人情報の提供に際し、第21条(特定個人情報等の取扱い状況の記録)、第22条(本規程に基づく運用状況の記録)、第25条(従業者の監督・教育)、第26条(委託先の監督)、第27条(特定個人情報等を取扱う区域の管理)、第28条(機器及び電子媒体等の盗難等の防止)、第29条(電子媒体等を持ち出す場合の漏洩等の防止)、及び第31条(技術的安全管理措置)に定める安全管理措置を講ずるものとします。

第六章 特定個人情報等の削除・廃棄
第18条(特定個人情報等の削除・廃棄)
1.組合は、番号法第19条各号に定める事務を処理する必要がなくなった場合、かつ、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除するものとします。但し、その個人番号部分を復元できない程度にマスキング又は削除した場合には、保管を継続することができるものとします。

第19条(安全管理措置)
1.組合は、特定個人情報の削除・廃棄に関し、第21条(特定個人情報等の取扱い状況の記録)、第22条(本規程に基づく運用状況の記録)、第25条(従業者の監督・教育)、第26条(委託先の監督)、第27条(特定個人情報等を取扱う区域の管理)、第29条(電子媒体等を持ち出す場合の漏洩等の防止)、第30条(個人番号の削除、機器及び電子媒体等の廃棄)、及び第31条(技術的安全管理措置)に定める安全管理措置を講ずるものとします。

 

第七章 安全管理措置
第1節 総則
第20条(特定個人情報等の安全管理)
1.組合は、特定個人情報等の漏洩、滅失又は毀損の防止その他の特定個人情報等の安全管理のために、第2節ないし第5節に定める措置を講ずるものとします。
2.組合は、特定個人情報等を取扱う事務の範囲を明確にし、明確化した事務において取扱う特定個人情報等の範囲を明確にした上で、当該事務に従事する従業者(以下、「事務取扱い担当者」という)を明確にするものとします。

第2節 組織的安全管理措置
第21条(特定個人情報等の取扱い状況の記録)
1.組合は、別途定める様式「特定個人情報管理台帳」及び「手順書」を用いて、下記内容を把握します。
(1)特定個人情報ファイルの種類、名称
(2)責任者、取扱い部署
(3)利用目的
(4)削除、廃棄状況
(5)アクセス権を有する者

第22条(本規程に基づく運用状況の記録)
1.組合は、本規程に基づく運用状況を確認するため、下記項目をシステムログ又は利用実績として記録します。
(1)特定個人情報ファイルの利用・出力状況の記録
(2)書類・媒体の持ち出し記録
(3)特定個人情報ファイルの削除・廃棄記録
(4)削除・廃棄を委託した場合、これを証明する記録等
(5)特定個人情報ファイルを情報システムで取扱う場合、事務取扱い担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録

第23条(情報漏洩等事業への対応)
1.組合は、情報漏洩等の事案の発生又は兆候を把握した場合に、必要に応じて、適切かつ迅速に下記対応を行います。
(1)事実関係の調査及び原因の究明
(2)影響を受ける可能性のある本人への連絡
(3)特定個人情報保護委員会及び主務大臣への報告
(4)再発防止策の検討及び決定
(5)事実関係及び再発防止策等の発表

 

第24条(取扱い状況の把握及び安全管理総措置の見直し)
1.組合は、特定個人情報等の取扱い状況を把握し、安全管理措置の評価、見直し及び改善に取組むため、少なくとも毎年1回、取扱い状況を点検し、必要に応じて安全管理措置を見直します。

第3節 人的安全管理措置
第25条(従業者の監督・教育)
1.組合は、特定個人情報等の安全管理のために、業務従事者に対する必要かつ適切な監督・教育を行うものとします。

第26条(委託先の監督)
1.組合は、特定個人情報等の取扱いの全部又は一部を組合以外の者に委託するときは、委託先において番号法に基づき組合が果たすべき安全管理措置と同等の措置が講じられているか否かについてあらかじめ確認したうえで、原則として委託契約において、特定個人情報等の安全管理について受託者が講ずべき措置を明らかにし、受託者に対する必要かつ適切な監督を行うものとします。
2.組合は、委託先における特定個人情報等の取扱い状況を確認するため、受託者に対し、少なくとも毎年1回、取扱い状況を報告させます。
3.組合は、委託先が特定個人情報等の取扱いの全部又は一部を再委託した場合には、委託先が再委託先に対して必要かつ適切な監督を行っているか監督するものとします。

第4節 物理的安全管理措置
第27条(特定個人情報等を取扱う区域の管理)
1.組合は、特定個人情報ファイルを取扱う情報システムを管理する区域(以下、「管理区域」という)及び特定個人情報等を取扱う事務を実施する区域(以下、「取扱い区域」という)を明確にし、それぞれ下記の安全管理措置を講じます。
(1)管理区域においては、入退室管理及び管理区域へ持ち込む機器等の制限
(2)取扱い区域においては、壁又は仕切り等の設置又は事務取扱い担当以外の者の往来が少ない場所への座席配置等に努める

第28条(機器及び電子媒体等の盗難等の防止)
1.組合は、管理区域、取扱区域における特定個人情報等を取扱う機器、電子媒体及び書類等の盗難又は紛失を防止するために、特定個人情報等を取扱う機器、電子媒体及び書類等は、施錠できるキャビネット等に保管します。

第29条(電子媒体等を持ち出す場合の漏洩等の防止)
1.組合は、特定個人情報等が記録された電子媒体又は書類等を管理区域又は取扱い区域外に持ち出す場合、下記の措置を講じます。
(1)持ち出しデータの暗号化、パスワードによる保護又は施錠できる搬送容器を使用する但し、行政機関等に法定調書等をデータで提出する場合には、行政機関等が指定する方法による
(2)特定個人情報等が記載された書類等は、封緘して持ち出す

第30条(個人番号の削除、機器及び電子媒体等の廃棄)
1.組合は、個人番号を削除又は廃棄する際には、下記に従って復元できない手段で削除又は廃棄を行います。
(1)特定個人情報等が記載された書類を廃棄する場合、溶解又は、シュレッダーで行う
(2)特定個人情報等が記録された機器又は電子媒体等を廃棄する場合、専用のデータ削除ソフトを使用するか物理的破壊を行う
(3)特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、データ復元用の専用ソフトウェア、プログラム、装置等を用いなければ復元できない手段で削除する
2.組合は、個人番号もしくは特定個人情報ファイルを削除した場合又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存します。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認します。

第5節 技術的安全管理措置
第31条(技術的安全管理措置)
1.組合は、事務取扱い担当者及び当該事務で取扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行います。
2.組合の特定個人情報ファイル等を取扱う情報システムは、事務取扱い担当者が正当なアクセス権を有する者であることを識別した結果に基づき認証します。
3.組合は、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するため、下記の措置を講じます。
(1)組合の情報システムと外部ネットワークと接続しない又は接続箇所にファイアウォール等を設置し不正アクセスを遮断する
(2)情報システム及び機器にセキュリティ対策ソフトウェアを導入する
(3)ログ等の分析を定期的に行い、不正アクセス等を検知する
4.組合は、特定個人情報等をインターネット等により外部に送信する場合、通信経路の暗号化を行うよう努めます。

第八章 特定個人情報等の開示、訂正等、利用停止
第32条(特定個人情報等の開示等)
1.組合は、本人から当該本人が識別される特定個人情報等に係る保有個人データについて、書面により、その開示(当該本人が識別される特定個人情報等に係る保有個人データを保有していないときにその旨を知らせることを含む)の申し出があったときは、身分証明書等により本人であることを確認の上、開示を行う。但し、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができるものとします。
(1)本人又は第三者の生命、身体、財産その他の権利権益を害するおそれがある場合
(2)組合の事業の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反する場合
2.開示は、書面により行います。但し、開示を申し出た者の同意があるときは、書面以外の方法により開示することができるものとします。
3.特定個人情報等に係る保有個人データの開示又は不開示の決定の通知は、本人に対し書面で遅滞なく行うものとします。

第33条(特定個人情報等の訂正等)
1.組合は、本人から、当該本人が識別される特定個人情報等に係る保有個人データの内容が事実でないという理由によって、当該特定個人情報等に係るデータの内容の訂正、追加又は削除(以下、「訂正等」という)を求められた場合には、その内容の訂正等に関して、他の法令の規定により特別の手続きが定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該特定個人情報等に係る保有個人データの内容の訂正を行います。
2.組合は、前項の規定に基づき求められた特定個人情報等に係る保有個人データの内容の訂正等を行ったとき又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む)を通知するものとします。
3.組合は、前項の通知を受けた者から、再度申し出があったときは、前項と同様の処理を行うものとします。
4.組合は、前第2項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合には、本人に対し、その理由を説明するよう努めるものとします。

第34条(特定個人情報等の利用停止等)
1.組合は、本人から、当該本人が識別される特定個人情報等に係る保有個人データが第10条の規定に違反して取扱われているという理由又は第6条の規定に違反して取得されたものであるという理由によって当該特定個人情報等に係る保有個人データの利用停止又は消去(以下、「利用停止」という)を求められた場合、他に第16条の規定に違反して第三者への提供の停止(以下、「第三者提供の停止」という)を求められた場合で、その求めに理由があることが判明したときは、遅滞なく、当該特定個人情報等に係る保有個人データの利用停止等又は第三者提供の停止を行うものとします。但し、当該特定個人情報等に係る保有個人データの利用停止又は第三者提供の停止に多額の費用を要する場合、その他の利用停止又は第三者提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとる場合は、この限りとしません。
2.組合は、前項の規定に基づき求められた特定個人情報等に係る保有個人データについて、利用停止等を行ったときもしくは利用停止等を行わない旨の決定をしたとき又は第三者提供の停止を行ったときもしくは第三者提供を行わない旨の決定をしたときは、本人に対し、遅滞なくその旨を通知するものとします。

第九章 組織及び体制
第35条(事務取扱い責任者)
1.組合は、第20条第2項により定められた各事務における取扱い責任者を明確にします。
2.事務取扱い責任者は、次の業務を所管します。
(1)特定個人情報の利用申請の証人及び記録等の管理
(2)特定個人情報等を取扱う保管媒体の設置場所の指定及び変更の管理
(3)特定個人情報等の管理区分及び権限についての設定及び変更の管理
(4)特定個人情報等の取扱い状況の把握
(5)委託先における特定個人情報等の取扱い状況等の監督
(6)特定個人情報等の安全管理措置に関する教育・研修の実施
(7)特定個人情報等管理責任者に対する報告
(8)その他所管部署における特定個人情報等の安全管理に関する事項

第36条(特定個人情報等管理責任者)
1.組合は、特定個人情報等の安全管理のため特定個人情報等管理責任者を定め、管理部管掌執行役員又は管理部長を特定個人情報等管理責任者とします。
2.特定個人情報等管理責任者は、次の業務を所管します。
(1)特定個人情報等の安全管理に関する規程の承認及び周知
(2)事務取扱責任者からの報告徴収及び助言・指導
(3)特定個人情報等の適正な取扱いに関する事務取扱担当者の教育・研修の企画
(4)その他特定個人情報等の安全管理に関する事項

第37条(苦情対応)
1.組合は、特定個人情報等の取扱いに関するお申し出(以下、「お申し出」という)について必要な体制整備を行い、お申し出があったときは、適切かつ迅速な対応に努めるものとします。
2.お申し出対応の責任者は、特定個人情報等管理責任者とします。

第38条(役職員の義務)
1.組合の役職員又は役職員であった者は、業務上知り得た特定個人情報等の内容を正当な理由なく他人に知らせ又は不当な目的に使用しません。
2.特定個人情報等の漏洩、滅失又は毀損の発生及び兆候、本規程に違反している事実又は兆候を把握した役職員は、その旨を特定個人情報等管理責任者への報告を義務とします。
3.特定個人情報等管理責任者は、前項による報告の内容を調査し、本規程に反する事実が判明した場合には、遅滞なく専務理事又は担当役員に報告するとともに、関係事業部門に適切な措置を取るよう指示します。

 

第十章 雑則
第39条(その他)
1.本規程の実施に必要がある場合、細則、マニュアル等は別途定めるものとします

第40条(改廃) 
1.この規程の改廃は理事会において行うものとします。

附則
1.本規程は、2015年9月17日施行

 

◆個人番号及び特定個人情報の適正な取扱いに関する基本方針 
◆「個人番号及び特定個人情報」取扱規程