個人顧客情報の安全管理措置等
第1節 個人情報取扱規程
(目的)
第1条 本章は、個人情報の保護に関する法律(以下「保護法」という。)、個人情報の保護に関する法律施行令(以下「施行令」という。)、個人情報の保護に関する法律施行規則(以下「施行規則」という。)、個人情報の保護に関する基本方針(平成16年4月2日閣議決定。以下「基本方針」という。)に基づき、個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年個人情報保護委員会告示第6号。以下「通則ガイドライン」という。)、同ガイドライン(外国にある第三者への提供編)(平成28年個人情報保護委員会告示第7号)、同ガイドライン(第三者提供時の確認・記録義務編)(平成28年個人情報保護委員会告示第8号)、同ガイドライン(仮名加工情報・匿名加工情報編)(平成28年個人情報保護委員会告示第9号)、個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール(平成30年個人情報保護委員会告示第4号)、金融分野における個人情報保護に関するガイドライン(平成29年個人情報保護委員会・金融庁告示第1号。以下「金融分野ガイドライン」という。)及び金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針(平成29年個人情報保護委員会・金融庁告示第2号)等を踏まえ、当社の貸金業及びそれに付随する業務(以下「貸金業務等」という。)における個人情報の取扱いの手続等に係る内容を定めることにより、当社の業務における個人情報の適正な取扱いを確保することを目的とする。
(定義)
第2条 本規程において、次の各号に掲げる用語の定義は、当該各号に定めるところによる。
⑴ 「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。以下同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)又は個人識別符号が含まれるものをいう。
⑵ 「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。
⑶ 「個人識別符号」とは次の①又は②のいずれかに該当する文字、番号、記号その他の符号のうち、施行令で定めるものをいう。
① 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
② 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
⑷ 「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして次のイからルまでの記述等が含まれる個人情報をいう。
イ 人種
人種、世系又は民族的若しくは種族的出身を広く意味する。なお、単純な国籍や「外国人」という情報は法的地位であり、それだけでは人種には含まない。また、肌の色は、人種を推知させる情報にすぎないため、人種には含まない。
ロ 信条
個人の基本的なものの見方、考え方を意味し、思想と信仰の双方を含むものである。
ハ 社会的身分
ある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれから脱し得ないような地位を意味し、単なる職業的地位や学歴は含まない。
ニ 病歴
病気に罹患した経歴を意味するもので、特定の病歴を示した部分(例:特定の個人ががんに罹患している、統合失調症を患っている等)が該当する。
ホ 犯罪の経歴
前科、すなわち有罪の判決を受けこれが確定した事実が該当する。
ヘ 犯罪により害を被った事実
身体的被害、精神的被害及び金銭的被害の別を問わず、犯罪の被害を受けた事実を意味する。具体的には、刑罰法令に規定される構成要件に該当し得る行為のうち、刑事事件に関する手続に着手されたものが該当する。
ト 身体障害、知的障害、精神障害(発達障害を含む。)その他の施行規則で定める心身の機能の障害があること
次の①から④までに掲げる情報をいう。この他、当該障害があること又は過去にあったことを特定させる情報(例:障害者の日常生活及び社会生活を総合的に支援するための法律(平成17年法律第123号)に基づく障害福祉サービスを受けていること又は過去に受けていたこと)も該当する。
① 「身体障害者福祉法(昭和24年法律第283号)別表に掲げる身体上の障害」があることを特定させる情報
② 「知的障害者福祉法(昭和35年法律第37号)にいう知的障害」があることを特定させる情報
③ 「精神保健及び精神障害者福祉に関する法律(昭和25年法律第123号)にいう精神障害(発達障害者支援法(平成16年法律第167号)第2条第1項に規定する発達障害を含み、知的障害者福祉法にいう知的障害を除く。)」があることを特定させる情報
④ 「治療方法が確立していない疾病その他の特殊の疾病であって障害者の日常生活及び社会生活を総合的に支援するための法律第4条第1項の政令で定めるものによる障害の程度が同項の厚生労働大臣が定める程度であるもの」があることを特定させる情報
チ 本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果
疾病の予防や早期発見を目的として行われた健康診査、健康診断、特定健康診査、健康測定、ストレスチェック、遺伝子検査(診療の過程で行われたものを除く。)等、受診者本人の健康状態が判明する検査の結果が該当する。
リ 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと
「健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導が行われたこと」とは、健康診断等の結果、特に健康の保持に努める必要がある者に対し、医師又は保健師が行う保健指導等の内容が該当する。
ヌ 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと(犯罪の経歴を除く。)
ル 本人を少年法(昭和23年法律第168号)第3条第1項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと
本人を非行少年又はその疑いのある者として、保護処分等の少年の保護事件に関する手続が行われたという事実が該当する。
⑸ 「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索できるように体系的に構成した、個人情報を含む情報の集合物をいう。また、コンピュータを用いていない場合であっても、五十音順に索引を付して並べられた顧客カード等、個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるよう体系的に構成したものであって、目次、索引、符号等により一般的に容易に検索可能な状態に置かれているものをいう。
ただし、次のイからハまでのいずれにも該当するものは、利用方法からみて個人の権利利益を害するおそれが少ないため、個人情報データベース等には該当しない。
イ 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が保護法又は保護法に基づく命令の規定に違反して行われたものでないこと。
ロ 不特定かつ多数の者により随時に購入することができ、又はできたものであること。
ハ 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
⑹ 「個人データ」とは、個人情報取扱事業者が管理する「個人情報データベース等」を構成する個人情報をいう。なお、利用方法からみて個人の権利利益を害するおそれが少ないため、個人情報データベース等から除かれているもの(例:市販の電話帳・住宅地図等)を構成する個人情報は、個人データに該当しない。
⑺ 「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、保護法第2条第9項に規定する独立行政法人等(保護法別表第2に掲げる法人を除く。)(以下「独立行政法人等」という。)及び保護法第2条第10項に規定する地方独立行政法人(以下「地方独立行政法人」という。)を除いた者をいう。なお、ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ、社会通念上の事業と認められるものをいい、営利・非営利の別は問わない。
⑻ 「本人」とは、個人情報によって識別される特定の個人をいう。
⑼ 「保有個人データ」とは、個人情報取扱事業者が、本人又はその代理人から請求される開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止のすべてに応じることのできる権限を有する「個人データ」をいう。ただし、個人データのうち次のイからニに掲げるものは、「保有個人データ」ではない。
イ 当該個人データの存否が明らかになることで、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
ロ 当該個人データの存否が明らかになることで、違法又は不当な行為を助長し、又は誘発するおそれがあるもの(例えば、いわゆる総会屋等による不当要求被害を防止するため、個人情報取扱事業者が当該団体等の個人データを保有している場合)
<例>
① 不審者情報やクレーマー情報、総会屋情報
② 暴力団等の反社会的勢力情報
ハ 当該個人データの存否が明らかになることで、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
<例>
① 要人の行動予定情報
ニ 当該個人データの存否が明らかになることで、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの(例えば、警察からの捜査関係事項照会を受理し、回答する過程で容疑者等の個人データを保有している場合)
<例>
① 警察などから受けた捜査関係事項照会の対象情報
② 犯罪収益との関係が疑われる取引(疑わしい取引)の届出の対象情報
③ 振り込め詐欺に利用された口座に関する情報
⑽ 個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。例えば、Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴や、特定の個人を識別できないメールアドレスに結び付いた、ある個人の年齢・性別・家族構成等であって、特定の個人を識別することができないものがこれに当たる。
⑾ 個人関連情報取扱事業者とは、個人関連情報データベース等(個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして施行令で定めるものをいう。)を事業の用に供している者であって、国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除いたものをいう。
⑿ 仮名加工情報とは、個人情報をその区分に応じて次に掲げる措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
イ 個人情報のうち第⑴号における「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」であるものの場合
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
ロ 個人情報のうち第⑴号における「個人識別符号が含まれる」ものの場合
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
⒀ 匿名加工情報とは、個人情報を保護法所定の個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいう。
⒁ 「本人に通知」とは、本人に直接知らしめることをいう。通知は、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。
例えば以下に掲げるものが「本人に通知」に該当する。
イ ちらし等の文書を直接渡すことにより知らせること。
ロ 口頭又は自動応答装置等で知らせること。
ハ 電子メール、FAX等により送信し、又は文書を郵便等で送付することにより知らせること。
⒂ 「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること。)をいう。公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならない。
例えば以下に掲げるものが「公表」に該当する。
イ 当社のホームページのトップページから1回程度の操作で到達できる場所への掲載
ロ 当社の店舗や事務所等、顧客が訪れることが想定される場所におけるポスター等の掲示、パンフレット等の備置き・配布
⒃ 「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう(当該本人であることを確認できていることが前提となる。)。「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、本人の同意を得る場合には、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行なうために必要と考えられる合理的かつ適切な方法によらなければならない。
例えば以下に掲げるものが「本人の同意」に該当する。
イ 本人からの同意する旨の口頭による意思表示
ロ 本人からの同意する旨の書面(電磁的記録を含む。)の受領
ハ 本人からの同意する旨のメールの受信
ニ 本人による同意する旨の確認欄へのチェック
ホ 本人による同意する旨のホームページ上のボタンのクリック
ヘ 本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力
⒄ 「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。
⒅ 前各号に定めるほか、本規程における用語は、他に特段の定めのない限り、保護法及び施行令の定義に従う。
(利用目的の特定)
第3条 個人情報の取扱いにあたっては、個人情報が最終的にどのような事業の用に供され、どのような目的で利用されるかを本人が一般的かつ合理的に想定できる程度に具体的に特定するものとする。
2 前項の利用目的の特定にあたって、「当社の所要の目的で用いる」といった抽象的な利用目的は、「できる限り特定」(保護法第15条第1項)したものとはならないことから、提供する金融商品、サービスを示したうえで、利用目的を特定することとする。
3 利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲(変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内)を超えて行ってはならないものとする。また、特定された利用目的(法令等に定める範囲で変更された利用目的を含む。)の達成に必要な範囲を超えて個人情報を取り扱う場合は、保護法第16条第1項に従って本人の同意を得なければならない。
4 特定の個人情報の利用目的が、法令等に基づき限定されている場合には、その旨を明示しなければならないものとする。
(与信事業の利用目的)
第4条 貸金業務を行うに際して個人情報を取得する場合においては、利用目的を明示する書面(電磁的記録を含む。以下同じ。)に確認欄を設けること等により、利用目的について本人の同意を得るものとする。また、この場合において、契約書等における利用目的は他の契約条項等と明確に分離して記載するものとする。
2 取引上の優越的な地位を不当に利用し、融資の条件として、これら貸金業務において取得した個人情報について当該業務以外の金融商品のダイレクトメールの発送等に利用することを利用目的として同意させてはならないものとする。
3 個人情報を個人信用情報機関(個人の返済能力に関する情報の収集及び与信事業を行う個人情報取扱事業者に対する当該情報の提供を業とするものをいう。以下同じ。)に提供する場合には、その旨を利用目的に明示し、本人の同意を得るものとする。
(「同意」の形式)
第5条 次条(利用目的による制限)、第16条(第三者提供の制限)及び「(個別編)①外国にある第三者への提供」に定める本人の同意を得る場合には、原則として、書面によることとして、以下に掲げる方法とする。
⑴ 本人から直接個人情報を取得する書面上又は別の書面上に利用目的及び同意文言を記載し、本人の署名等を徴求して同意を得る方法
⑵ インターネット等の場合、画面上での同意の意思表示(了解ボタンをクリック等)又は同意文言を記載した本人からの電子メールの受領等による方法
⑶ 上記第⑴号又は第⑵号以外の電話等非対面の場合で、口頭による同意を得るときは、以下に掲げる方法をとることとする。
イ 顧客本人の同意の意思表示について社内記録(聴取書等)を作成し、その後に当該顧客本人からその内容について署名等で確認を得る等の方法
ロ 録音する方法
2 前項各号に掲げる方法は、新たに融資の申込を行った顧客の個人情報を取得する場合に適用するものとする。
(利用目的による制限)
第6条 保護法第17条第1項により特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意を得なければならないものとする。
2 合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わないものとする。なお、合併その他の事由には、合併のほか事業譲渡、営業の現物出資、会社分割等、通常、事業に関する顧客情報等の個人データも一体的に承継される事業の承継が該当するものとする。
3 前二項は、次に掲げる場合については適用しないものとする。
⑴ 法令に基づく場合
以下に掲げる事項が該当する。
イ 国税通則法第74条の2他(税務署の所得税等に関する調査に対応する場合)
ロ 国税通則法第131条(質問、検査又は領置等)
ハ 刑事訴訟法第197条第2項
ニ 犯罪による収益の移転防止に関する法律(以下「犯罪収益移転防止法」という。)第8条第1項(疑わしい取引の届出等)
ホ 民事訴訟法第223条(文書提出命令等)
ヘ 刑事訴訟法第218条
ト 所得税法第225条(支払調書及び支払通知書)
チ 地方税法第72条の63(総務省の職員の個人の事業税に関する調査に係る質問検査権)
リ 国税徴収法第141条(質問及び検査)
ヌ 貸金業法第24条の6の10(報告徴収及び立入検査)
ル 預金保険法附則第7条(協定銀行に係る業務の特例)
ヲ 民事執行法第147条(第三債務者の陳述の催告)
ワ 金融商品取引法第210条、第211条等(証券取引等監視委員会の職員による犯則事件の調査)
カ 貸金業法等に基づく自主規制機関に対する情報提供
ヨ 弁護士法第23条の2(報告の請求)
タ 感染症の予防及び感染症の患者に対する医療に関する法律第15条第1項(感染症の発生の状況、動向及び原因の調査)
レ 電気事業法第34条第1項(情報の提供の求め等)
⑵ 人の生命、身体又は財産(法人の財産を含む。)の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
以下に掲げる場合をいう。
イ 暴力団、いわゆる総会屋等、反社会的勢力若しくはその構成員等の違法行為に関する情報(暴力団等の反社会的勢力情報、業務妨害行為を行う悪質者情報を含むがこれに限られない。)、又は振り込め詐欺に利用された口座に関する情報を企業間で共有する場合
ロ 急病その他の事態が生じたときに、本人について、その血液型や家族の連絡先等を医師や看護師に提供する場合
ハ 強硬に意図的な業務妨害をする者について警察へ情報提供する場合
ニ 地震、災害等により本人が行方不明である状況が継続している場合において当該本人の家族へ財産開示する場合
ホ 大規模災害や、事故等の緊急時に、被災者情報・負傷者情報等を家族、行政機関、地方自治体等に提供する場合
ヘ 不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者に提供する場合
⑶ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
⑷ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
例えば、以下に掲げる場合をいう。
イ 税務当局の任意調査に応じる場合
ロ 警察の任意調査に応じる場合
ハ 振り込め詐欺に利用された口座に関する情報を警察に提供する場合
ニ 一般統計調査や地方公共団体が行う統計調査に回答する場合
(不適正な利用の禁止)
第7条 当社は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
(機微(センシティブ)情報について)
第8条 要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要配慮個人情報に該当するものを除く。)に関する情報(本人、国の機関、地方公共団体、学術研究機関等、保護法第57条第1項各号若しくは施行規則第6条各号に掲げる者により公開されているもの、又は本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く。以下「機微(センシティブ)情報」という。)については、以下に掲げる場合を除き、取得、利用又は第三者提供を行わないものとする。
⑴ 法令等に基づく場合
以下に掲げる場合をいう。
イ 顧客から「障害者等の少額貯蓄非課税制度」の利用資格を確認するため、身体障害者手帳(写しを含む。)の提出を受けた場合
ロ 暴力団員による不当な行為の防止等に関する法律に基づく暴力追放運動推進センターの会議等の場で文書等に記載された暴力団や反社会的勢力若しくはその構成員の反社会的行為に関する情報を取得する場合
ハ 犯罪収益移転防止法第8条第1項に基づく疑わしい取引の届出により、個人情報を取得する場合
ニ 内部者取引の未然防止を図るために、顧客の勤務先情報として、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する当該顧客の機微(センシティブ)情報を取得する場合
⑵ 人の生命、身体又は財産の保護のために必要がある場合
暴力団、いわゆる総会屋等、反社会的勢力若しくはその構成員等を把握する目的で、犯罪情報を取得する場合をいう。
⑶ 公衆衛生の向上又は児童の健全な育成の推進のため特に必要がある場合
⑷ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
⑸ 保護法第20条第2項第6号に掲げる場合に機微(センシティブ)情報を取得する場合、保護法第18条第3項第6号に掲げる場合に機微(センシティブ)情報を利用する場合、又は保護法第27条第1項第7号に掲げる場合に機微(センシティブ)情報を第三者提供する場合
⑹ 源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等の機微(センシティブ)情報を取得、利用又は第三者提供する場合
⑺ 相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者提供する場合
例えば、相続手続のための戸籍謄本を取得する場合
⑻ 当社の貸金業務の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用又は第三者提供する場合
⑼ 機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合
2 機微(センシティブ)情報を前項各号に掲げる事由により取得、利用又は第三者提供する場合には、各号に掲げる事由を逸脱して取得、利用又は第三者提供を行うことのないよう、特に慎重に取り扱うものとする。
3 機微(センシティブ)情報を、第1項に掲げる場合に取得、利用又は第三者提供する場合には、例えば、要配慮個人情報を取得するに当たっては、保護法第20条第2項に従い、あらかじめ本人の同意を得なければならないとされていることなど、個人情報の保護に関する法令等に従い適切に対応しなければならない。
4 当社は、機微(センシティブ)情報を第三者に提供するに当たっては、保護法第27条第2項(オプトアウト)の規定を適用しないものとする。なお、機微(センシティブ)情報のうち要配慮個人情報については、同項において、オプトアウトを用いることはできない。
5 以下に定める情報は、機微(センシティブ)情報に該当しない。
⑴ 新聞・テレビや官報・新聞等に記載された公知の情報
⑵ 相続手続及び納税義務の履行において準拠法を確認するために「国籍(永住権の有無を含む。)」を使用する場合の当該「国籍」情報
6 機微(センシティブ)情報の取扱いにあたっての留意点を以下に定める。
⑴ 機微(センシティブ)情報の取得の時期は、当社において、当該情報を事業の用に供するものとしてファイルに綴じる等により保管した段階とする。
⑵ 平成17年4月1日以後、顧客の本人確認又は取引時確認を行うため、当該顧客から、本人確認書類として、本籍地が記載された書面等の写しの送付を受けた場合、ファイリング(保管)するまでの間に、速やかに、当該本籍地を黒塗りすれば、機微(センシティブ)情報の「取得」に当たらない。なお、平成17年4月1日前に取得した機微(センシティブ)情報については、同日以後は、第1項各号に掲げる場合を除き、利用又は第三者への提供はできないものとする。
(適正な個人情報の取得及び要配慮個人情報の取得)
第9条 偽りその他不正の手段により個人情報を取得してはならないものとする。
2 以下に掲げる事項は、前項に規定する「不正の手段」に該当するものとする。
⑴ 犯罪行為と同視できるような違法行為(窃取、詐欺、脅迫、盗撮など)
⑵ 十分な判断能力を有していない子供や障害者から、取得状況から考えて関係のない家族の収入事情などの家族の個人情報を、家族の同意なく取得する場合
⑶ 保護法第27条第1項に規定する第三者提供制限違反を強要して個人情報を取得する場合
⑷ 個人情報を取得する主体や利用目的等について、意図的に虚偽の情報を示して、本人から個人情報を取得する場合
⑸ 他の事業者に指示して不正の手段で個人情報を取得させ、その事業者から個人情報を取得する場合
⑹ 保護法第27条第1項に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにもかかわらず、個人情報を取得する場合
⑺ 不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合
3 要配慮個人情報を取得する場合には、以下に掲げる場合を除き、あらかじめ本人の同意を得るものとする。
⑴ 法令に基づく場合
⑵ 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
例えば、以下に掲げる場合をいう。
イ 急病その他の事態が生じたときに、本人の病歴等を医師や看護師が家族から聴取する場合
ロ 当社その他の事業者間において、不正対策等のために、暴力団等の反社会的勢力情報、意図的に業務妨害を行う者の情報のうち、過去に業務妨害罪で逮捕された事実等の情報について共有する場合
ハ 不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者から取得する場合
⑶ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
⑷ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
例えば以下に掲げる場合をいう。
イ 警察の任意の求めに応じて要配慮個人情報に該当する個人情報を提出するために、当該個人情報を取得する場合
⑸ 当社が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
⑹ 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当社と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
⑺ 当該要配慮個人情報が、以下に掲げる者により公開されている場合
イ 本人
ロ 国の機関
ハ 地方公共団体
ニ 学術研究機関等
ホ 放送機関・新聞社・通信社その他の報道機関(報道を業として行う個人を含む。)
ヘ 著述を業として行う者
ト 宗教団体
チ 政治団体
リ 外国政府、外国の政府機関、外国の地方公共団体又は国際機関
ヌ 外国において保護法第16条第8項に規定する学術研究機関等に相当する者
ル 外国において保護法第57条第1項各号に掲げる者に相当する者
⑻ 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
例えば以下に掲げる場合をいう。
イ 身体の不自由な方が店舗に来店し、対応した店員がその旨をお客様対応録等に記録した場合(目視による取得)や、身体の不自由な方の様子が店舗に設置された防犯カメラに映りこんだ場合(撮影による取得)
⑼ 以下に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき
イ 利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
ロ 合併その他の事由による事業の承継に伴って個人データが提供される場合
ハ 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
4 本人の同意を得ることなく、前項第⑺号に掲げる者以外がインターネット上で公開している情報から本人の信条や犯罪歴等に関する情報を取得し、既に保有している当該本人に関する情報の一部として自己のデータベース等に登録を行ってはならないものとする。
(個人情報取得時の利用目的の通知・公表、明示等)
第10条 個人情報を取得する場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知するか、又は公表するものとする。この場合において、「通知」の方法については、原則として書面によることとし、また、本項に定める「公表」の方法については、販売方法等の事業の態様に応じ、営業所の窓口等への書面の掲示・備付け、インターネットのホームページ等での公表等適切な方法によるものとする。
2 前項の規定にかかわらず、貸金業務に際して、契約書や懸賞応募はがき等の書面等による記載、ユーザー入力画面への打ち込み等の電磁的記録により、直接本人から個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。また、利用目的を明示する書面に確認欄を設けること等により、利用目的について本人の同意を得るものとする。ただし、人の生命、身体又は財産(法人の財産を含む。)の保護のために緊急に必要がある場合は、この限りでない。
3 利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表するものとする。
4 前三項の規定は、次に掲げる場合については適用しないものとする。
⑴ 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産(法人の財産を含む。)その他の権利利益を害するおそれがある場合
⑵ 利用目的を本人に通知し、又は公表することにより当社の権利又は正当な利益を害するおそれがある場合
⑶ 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
⑷ 取得の状況からみて利用目的が明らかであると認められる場合
5 第1項で定める「通知」の方法は、原則として、書面による通知とする。
6 以下に掲げる場合には、あらかじめ、本人に対し、その利用目的を明示しなければならないものとする。
⑴ 本人の個人情報が記載された申込書・契約書等を本人から直接取得する場合
⑵ アンケートに記載された個人情報を直接本人から取得する場合
⑶ 当社が主催するキャンペーンへの参加希望者が、参加申込みのために当社のホームページの入力画面に入力した個人情報を直接本人から取得する場合
7 第2項で規定される「明示」方法とは、以下に掲げる方法をいう。
⑴ 利用目的を明記した契約書その他の書面を相手方である本人に手渡し、又は送付する場合
なお、契約約款又は利用条件等の書面(電磁的記録を含む。)中に利用目的条項を記載する場合は、例えば、裏面約款に利用目的が記載されていることを伝える、又は裏面約款等に記載されている利用目的条項を表面にも記載し、かつ、社会通念上、本人が認識できる場所及び文字の大きさで記載する等、本人が実際に利用目的を確認できるよう留意するものとする。
⑵ ネットワーク上において、利用目的を、本人がアクセスした当社のホームページ上に明示し、又は本人の端末装置上に表示する場合
なお、ネットワーク上において個人情報を取得する場合は、本人が送信ボタン等をクリックする前等にその利用目的(利用目的の内容が示された画面に1回程度の操作でページ遷移するよう設定したリンクやボタンを含む。)が本人の目に留まるようその配置に留意するものとする。
⑶ ポスター等の掲示により明示する方法
⑷ パンフレット又はチラシの配布等により明示する方法
⑸ インターネット取引の場合は、顧客入力画面や顧客宛て電子メールにより明示する方法
8 前項に方法を定める「明示」を行うにあたっては、以下に定める事項に留意するものとする。
⑴ 「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要があること。
⑵ 「明示」する内容は、取得した個人情報の利用目的である。「明示」は、当該契約書その他の書面に記載された個人情報の利用目的のみを示す方法と、第3条により特定した包括的な利用目的の全部又は一部を示す方法のいずれかによるものとすること。
⑶ 本人に対して、取引開始時等に包括的な利用目的を明示している場合で、当該契約書その他の書面に記載された個人情報の利用目的が、取引開始時等に明示された包括的な利用目的の範囲内にあるときは、当該書面による個人情報を取得する都度、あらためて利用目的の明示を行う必要はないこと。
9 第4項第⑴号で規定する「利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産(法人の財産を含む。)その他の権利利益を害するおそれがある場合」に該当する場合として、以下に掲げる場合を定めるものとする。
暴力団等の反社会的勢力情報、疑わしい取引の届出の対象情報、振り込め詐欺に利用された口座に関する情報及び業務妨害行為を行う悪質者情報の提供者が逆恨みを買うおそれがある場合
10 第4項第⑵号で規定する「利用目的を本人に通知し、又は公表することにより当社の権利又は正当な利益を害するおそれがある場合」とは、以下に掲げる場合をいうものとする。
⑴ 暴力団等の反社会的勢力情報、疑わしい取引の届出の対象情報、業務妨害行為を行う悪質者情報等を、本人又は他の事業者等から取得したことが明らかになることにより、当該情報を取得した当社に害が及ぶ場合
⑵ 通知又は公表される利用目的により、当社が行う開発中の新サービス、営業ノウハウ等の企業秘密にかかわるようなものが明らかになることにより、当社の健全な競争を害する場合
⑶ 振り込め詐欺に利用された口座に関する情報を取得したことが明らかになることにより、情報提供を受けた当社に害が及ぶ場合
11 第4項第⑶号で規定する「国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき」とは、以下に掲げる場合をいうものとする。
⑴ 警察が、公開手配を行わないで、被疑者に関する個人情報を、被疑者の立ち回りが予想される企業に限って提供した場合において、警察から当該個人情報を受け取った当該企業が、利用目的を本人に通知し、又は公表することにより、捜査活動に支障を及ぼすおそれがある場合
12 第4項第⑷号で規定する「取得の状況からみて利用目的が明らかであると認められる場合」とは、以下に掲げる場合をいうものとする。
⑴ 商品・サービス等を販売・提供するに当たって住所・電話番号等の個人情報を取得する場合で、その利用目的が当該商品・サービス等の販売・提供のみを確実に行うためという利用目的であるような場合
⑵ 一般の慣行として名刺を交換する場合、直接本人から、氏名・所属・肩書・連絡先等の個人情報を取得することとなるが、その利用目的が今後の連絡や、所属する会社の広告宣伝のための冊子や電子メールを送付するという利用目的であるような場合
(データ内容の正確性の確保等)
第11条 利用目的の達成に必要な範囲内において、個人情報データベース等への個人情報の入力時の照合・確認の手続の整備、誤り等を発見した場合の訂正等の手続の整備、記録事項の更新、保存期間の設定等を行うことにより、個人データを正確かつ最新の内容に保つものとする。
2 保有する個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等は、当該個人データを遅滞なく消去するものとする。ただし、法令等に基づく保存期間の定めがある場合には、この限りでない。
3 顧客等の個人データの保存期間については、契約終了後一定期間内とする等、保有する個人データの利用目的に応じ保存期間を定め、当該期間を経過した個人データを消去するものとする。ただし、法令等に基づく保存期間の定めがある場合には、この限りでない。
4 第1項に規定する「個人データを正確かつ最新の内容に保つ」方法として、例えば、顧客からの届出内容を迅速かつ正確に個人情報データベース等に反映するとともに、業務の態様等に応じ、会員規約やホームページにおいて、顧客の氏名・住所等の変更届出手続について周知するものとする。
5 第1項に規定する保存期間は合理的理由を伴う永久保存も該当するものとする。
第2節 安全管理措置等
(安全管理措置)
第12条 取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、安全管理に係る基本方針・取扱規程等の整備及び安全管理措置に係る実施体制の整備等の必要かつ適切な措置を講じるものとする。必要かつ適切な措置は、個人データの取得・利用・保管等の各段階に応じた「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」、「技術的安全管理措置」及び「外的環境の把握」を含むものとする。
なお、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質、個人データの取扱状況及び個人データを記録した媒体の性質等に起因するリスクに応じたものとする。
2 本条において、以下の各号に掲げる用語の定義は、当該各号に定めるところによる。
⑴ 組織的安全管理措置
個人データの安全管理措置について役職員(当社の組織内にあって、直接又は間接に当社の指揮監督を受けて当社の業務に従事する者等をいい、雇用関係にある従業者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、当社との間の雇用関係にない者(取締役、執行役、監査役、派遣社員等)も含む。以下同じ。)の責任と権限を明確に定め、安全管理に関する規程等を整備・運用し、その実施状況の点検・監査を行うこと等の当社の体制整備及び実施措置をいう。
⑵ 人的安全管理措置
役職員との個人データの非開示契約等の締結及び役職員に対する教育・訓練等を実施し、個人データの安全管理が図られるよう役職員を監督することをいう。
⑶ 物理的安全管理措置
個人データを取り扱う区域の管理、機器及び電子媒体等の盗難の防止、電子媒体等を持ち運ぶ場合の漏えい等の防止並びに機器及び電子媒体等の廃棄等の個人データの安全管理に関する物理的な措置をいう。
⑷ 技術的安全管理措置
個人データ及びそれを取り扱う情報システムへのアクセス制御及び情報システムの監視等の個人データの安全管理に関する技術的な措置をいう。
⑸ 外的環境の把握
外国において個人データを取り扱う場合に、当該外国の個人情報の保護に関する制度等を把握することをいう。外国において個人データを取り扱う場合には、外的環境を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。
3 個人データの安全管理に係る基本方針・取扱規程等の整備として、以下に掲げる「組織的安全管理措置」を講じるものとする。
⑴ 規程等の整備
イ 個人データの安全管理に係る基本方針の整備
第25条(個人情報保護宣言の策定)に定めるものとする。
ロ 個人データの安全管理に係る取扱規程の整備
本規程第1節各条に定めるものとする。
ハ 個人データの取扱状況の点検及び監査に係る規程の整備
次条(役職員の監督)に定めるものとする。
ニ 外部委託に係る規程の整備
別紙に定めるところによるものとする。
⑵ 各管理段階における安全管理に係る取扱規程の整備
イ 取得・入力段階における取扱規程
別紙に定めるところによるものとする。
ロ 利用・加工段階における取扱規程
別紙に定めるところによるものとする。
ハ 保管・保存段階における取扱規程
別紙に定めるところによるものとする。
ニ 移送・送信段階における取扱規程
別紙に定めるところによるものとする。
ホ 消去・廃棄段階における取扱規程
別紙に定めるところによるものとする。
ヘ 漏えい等事案(漏えい等又はそのおそれのある事案をいう。以下同じ。)への対応の段階における取扱規程
別紙に定めるところによるものとする。
4 個人データの安全管理に係る実施体制の整備として、以下に掲げる「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」及び「技術的安全管理措置」を講じるものとする。
⑴ 組織的安全管理措置
イ 個人データの管理責任者等の設置
別紙に定めるところによるものとする。
ロ 就業規則等における安全管理措置の整備
本規程第1節各条に定めるものとする。
ハ 個人データの安全管理に係る取扱規程に従った運用
本規程第1節各条に定めるものとする。
ニ 個人データの取扱状況を確認できる手段の整備
別紙に定めるところによるものとする。
ホ 個人データの取扱状況の点検及び監査体制の整備と実施
別紙に定めるところによるものとする。
ヘ 漏えい等事案に対応する体制の整備
第3項第⑵号と同様とする。
⑵ 人的安全管理措置
イ 役職員との個人データの非開示契約等の締結
別紙に定めるところによるものとする。
ロ 役職員の役割・責任等の明確化
第13条(役職員の監督)に定めるものとする。
ハ 役職員への安全管理措置の周知徹底、教育及び訓練
第13条(役職員の監督)第3項に定めるものとする。
ニ 役職員による個人データ管理手続の遵守状況の確認
第13条(役職員の監督)第4項に定めるものとする。
⑶ 物理的安全管理措置
イ 個人データの取扱区域等の管理
ロ 機器及び電子媒体等の盗難等の防止
ハ 電子媒体等を持ち運ぶ場合の漏えい等の防止
ニ 個人データの削除及び機器、電子媒体等の廃棄
上記イからニについて、別紙に定めるところによるものとする。
⑷ 技術的安全管理措置
イ 個人データの利用者の識別及び認証
ロ 個人データの管理区分の設定及びアクセス制御
ハ 個人データへのアクセス権限の管理
ニ 個人データの漏えい等防止策
ホ 個人データへのアクセスの記録及び分析
ヘ 個人データを取り扱う情報システムの稼働状況の記録及び分析
ト 個人データを取り扱う情報システムの監視及び監査
上記イからトについて、別紙に定めるところによるものとする。
(役職員の監督)
第13条 役職員が個人データを取り扱うにあたっては、当該個人データの安全管理が図られるよう、適切な内部管理体制を構築し、その役職員に対する必要かつ適切な監督を行うものとする。なお、当該監督は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じたものとする。
<責任体制>
役割
(対象者)
業務
統括情報管理責任者
(社長の指名する取締役員等)
⑴ 全社の情報に関するリスク分析及び評価
⑵ 情報管理関連規程の遵守状況の監督及び整備
⑶ その他情報管理に関する事項
副統括情報管理責任者(統括情報管理責任者の指名する担当役員等)
統括情報管理責任者の補佐
部門情報管理責任者
(部門長等)
⑴ 部門内の情報セキュリティの問題発見及び対応
⑵ 部門内における情報管理関連規程の周知徹底
⑶ その他部門内の情報管理に関する事項
部門情報管理担当者
(部門情報管理責任者の指名する社員)
⑴ 部門に保有する情報についての取りまとめ
⑵ 部門の保有する情報の廃棄の実施
⑶ その他部門内の情報管理に関する事項
2 前項の役職員に対する「必要かつ適切な監督」を以下の体制整備等により行うものとする。
⑴ 役職員が、在職中及びその職を退いた後において、当社の業務等に関して知り得た個人データを第三者に知らせ、又は利用目的外に使用しないことを内容とする契約等を採用時等に締結するものとする。
⑵ 個人データの適正な取扱いのための取扱規程の策定を通じた役職員の役割・責任の明確化及び役職員への安全管理義務の周知徹底、教育及び訓練を行うものとする。
⑶ 役職員による個人データの持出し等を防ぐため、社内での安全管理措置に定めた事項の遵守状況等の確認及び役職員における個人データの保護に対する点検及び監査制度を整備するものとする。
⑷ 特定の役職員に不相当に権限が集中していないかどうか検証をし、幅広い権限等を有する役職員に対する必要なけん制を行うものとする。
3 個人情報の取扱いにあたっては、教育担当部門が役職員に対して周知徹底を行うものとする。
⑴ 周知徹底に際しては、以下の事項について留意して行うものとする。
イ 個人情報利用の同意の取得方法
ロ 利用目的
ハ 個人情報取得時の留意点
ニ 取り扱う個人情報の安全管理措置の留意点
ホ 苦情の適切な対応
⑵ 役職員に対しての周知徹底方法は、以下の方法によるものとする。
イ 社内研修等の実施
ロ 文書、電子メール等による社内規則等の内容の通知
ハ 社内の情報掲示板に社内規則等を閲覧可能にしておく方法
ニ その他教育担当部門が定める方法
⑶ 前号で掲げる周知徹底については、最低年1回実施するものとする。
⑷ 教育担当部門は、第3項の周知徹底を実施した結果について記録するものとし、当該年度終了後、事業報告書作成部門に、その記録を提出するものとする。
4 本規程に係る業務について、個人情報を取り扱う各部門の内部管理担当者は、以下に定める確認を行う。
⑴ 目的外利用禁止に係る遵守状況
⑵ 安全管理措置に係る実施体制の整備状況の確認
⑶ 資金需要者等からの開示等の請求等に応じた適正な措置の実施状況
(委託先の監督)
第14条 個人データの取扱いの全部又は一部を委託(契約の形態や種類を問わず、当社が他の者に個人データの取扱いの全部又は一部を行わせることを内容とする契約の一切を含む。)する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行うものとする。
なお、当該監督は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じたものとする。
2 個人データを適正に取り扱っていると認められる者を選定し委託するとともに、取扱いを委託した個人データの安全管理措置が図られるよう、個人データの安全管理のための措置を委託先においても確保するものとする(二段階以上の委託が行われた場合には、委託先の事業者が再委託先等の事業者に対して十分な監督を行っているかについても監督を行うものとする。)。また、以下に掲げる対応等を定めるものとする。
⑴ 個人データの安全管理のため、委託先における組織体制の整備及び安全管理に係る基本方針・取扱規程の策定等の内容を委託先選定の基準に定め、当該基準に従って委託先を選定するとともに、当該基準を定期的に見直すこと。
なお、委託先の選定に当たっては、必要に応じて個人データを取り扱う場所に赴く方法(テレビ会議システム等(映像と音声の送受信により相手の状態を相互に認識できる方法をいう。)を利用する方法を含む。以下同じ。)又はこれに代わる合理的な方法による確認を行った上で、個人データ管理責任者等が適切に評価すること。
⑵ 委託者の監督・監査・報告徴収に関する権限、委託先における個人データの漏えい等の防止及び目的外利用の禁止、再委託に関する条件並びに漏えい等事案が発生した場合の委託先の責任を内容とする安全管理措置を委託契約に盛り込むとともに、定期的に監査を実施する等により、定期的又は随時に当該委託契約に定める安全管理措置等の遵守状況を確認し、当該安全管理措置を見直すこと。
なお、委託契約に定める安全管理措置等の遵守状況については、個人デ-タ管理責任者等が、当該安全管理措置等の見直しを検討することを含め、適切に評価すること。
委託先が再委託を行おうとする場合は、委託元は委託を行う場合と同様、再委託の相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先に事前報告又は承認手続きを求める、直接又は委託先を通じて定期的に監査を実施する等により、委託先が再委託先に対して委託先の監督を適切に果たすこと、再委託先が保護法第20条に基づく安全管理措置を講ずることを十分に確認すること。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。
(漏えい等の報告等)
第15条 当社は、その取り扱う個人データの漏えい等その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして次に掲げるいずれかに該当するものが生じたときは、次項以下の定めに従って、当該事態が生じた旨を個人情報保護委員会(保護法第147条の規定により金融庁長官等が報告を受理する権限の委任を受けている場合にあっては金融庁長官等、保護法第165条の規定により地方公共団体の長等が報告を受理する権限に属する事務を行う場合にあっては地方公共団体の長等)に報告する。ただし、当社が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。
⑴ 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下第1項各号及び次項において同じ。)の漏えい等が発生し、又は発生したおそれがある
事態
⑵ 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
⑶ 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
⑷ 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
2 前項の規定による報告をする場合には、前項各号に定める事態を知った後、速やかに、当該事態に関する次の各号の事項(報告をしようとする時点において把握しているものに限る。第5項において同じ。)を報告しなければならない(この時点での報告を「速報」という。以下同じ。)。
⑴ 概要
⑵ 漏えい等が発生し、又は発生したおそれがある個人データの項目
⑶ 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
⑷ 原因
⑸ 二次被害又はそのおそれの有無及びその内容
⑹ 本人への対応の実施状況
⑺ 公表の実施状況
⑻ 再発防止のための措置
⑼ その他参考となる事項
3 前項の場合において、当該事態を知った日から30日以内(当該事態が第1項第⑶号に定めるものである場合にあっては、60日以内)に、当該事態に関する前項各号に定める事項を報告しなければならない(この時点での報告を「確報」という。以下同じ。)。
4 第1項による報告は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める方法により行うものとする。
⑴ 個人情報保護委員会に報告する場合
電子情報処理組織を使用する方法
⑵ 保護法第147条第1項の規定により、第1項の規定による権限の委任を受けた事業所管大臣に報告する場合
施行規則第8条第3項第2号に定める報告書を提出する方法
5 第1項ただし書の規定による通知をする場合には、同項各号に定める事態を知った後、速やかに、第2項各号に定める事項を通知する。
6 当社は、その取り扱う個人である資金需要者等に関する個人データの漏えい等が発生し、又は発生したおそれがある事態を知ったときは、関係法令に従って、監督当局に報告することとする。
7 当社は、次の各号のいずれかの事態(第1項及び前項に規定する事態を除く。)を知ったときは、第1項及び前項の規定に準じて、監督当局に報告することとする。
⑴ その取り扱う個人情報の漏えい等が発生し、又は発生したおそれがある事態
⑵ その取り扱う仮名加工情報に係る削除情報等(保護法第41条第1項の規定により行われた加工の方法に関する情報にあっては、その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるものに限る。第9項において同じ。)又は匿名加工情報に係る加工方法等情報の漏えいが発生し、又は発生したおそれがある事態
8 第1項に規定する場合には、当社(同項ただし書の規定による通知をした場合を除く。)は、本人に対し、第1項各号に定める事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、次の各号に定める事項を通知する。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
⑴ 概要
⑵ 漏えい等が発生し、又は発生したおそれがある個人データの項目
⑶ 原因
⑷ 二次被害又はそのおそれの有無及びその内容
⑸ その他参考となる事項
9 当社は、次の各号のいずれかの事態(第1項各号に定める事態を除く。)を知ったときは、前項に準じて、本人への通知等を行うこととする。
⑴ その取り扱う個人データ(仮名加工情報である個人データを除く。)の漏えい等が発生し、又は発生したおそれがある事態
⑵ その取り扱う個人情報(仮名加工情報である個人情報を除く。)の漏えい等が発生し、又は発生したおそれがある事態
⑶ その取り扱う仮名加工情報に係る削除情報等又は匿名加工情報に係る加工方法等情報の漏えいが発生し、又は発生したおそれがある事態
10 当社は、第1項、第6項及び第7項に規定する事態が発覚した場合は、当該事態の内容等に応じて、次の各号に掲げる事項について必要な措置を講じる。
⑴ 事業者内部における報告及び被害の拡大防止
⑵ 事実関係の調査及び原因の究明
⑶ 影響範囲の特定
⑷ 再発防止策の検討及び実施
⑸ 個人情報保護委員会への報告及び本人への通知
11 当社は、第1項、第6項又は第7項に基づき個人情報保護委員会又は監督当局に報告するときは、本協会に対しても同じ事項を報告する。
(第三者提供の制限)
第16条 以下に掲げる場合を除き、あらかじめ本人の同意を得ることなく、個人データを第三者(個人データを提供しようとする当社及び当該個人データに係る本人のいずれにも該当しないものをいい、自然人、法人その他の団体を問わない。以下同じ。)に提供しないものとする。
また、保護法第27条に基づき、個人データの第三者提供についての本人の同意を得る際には、原則として、書面によることとし、当該書面における記載を通じて、①個人データの提供先の第三者、②提供先の第三者における利用目的、③第三者に提供される個人データの項目を本人に認識させた上で同意を得るものとする。本人の同意を得ようとする時点において、①に掲げる事項が特定できない場合には、①に掲げる事項に代わる本人に参考となるべき情報を本人に認識させた上で、同意を得ることとする。当該情報としては、「提供先の第三者の範囲や属性に関する情報」が考えられる。
⑴ 法令に基づく場合
⑵ 人の生命、身体又は財産(法人の財産を含む。)の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
⑶ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
⑷ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
⑸ 学術研究機関等が個人データを提供する場合であり、かつ、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ない場合(個人の権利利益を不当に侵害するおそれがある場合を除く。)
⑹ 学術研究機関等が個人データを提供する場合であり、かつ、当該学術研究機関等と共同して学術研究を行う第三者(学術研究機関等であるか否かを問わない。)に当該個人データを学術研究目的で提供する必要がある場合(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
⑺ 学術研究機関等が個人データの第三者提供を受ける場合であり、かつ、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要がある場合(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)
2 当社は、その業務の性質や方法に応じて、次の各号にも留意しつつ、個人である資金需要者等から適切な同意の取得を図ることとする。
⑴ パソコン・スマートフォン等の非対面による方法で第三者提供の同意を取得する場合、同意文言や文字の大きさ、画面仕様その他同意の取得方法を工夫することにより、第三者提供先、当該提供先に提供される情報の内容及び当該提供先における利用目的について、個人である資金需要者等が明確に認識できるような仕様とすること。
⑵ 過去に個人である資金需要者等から第三者提供の同意を取得している場合であっても、第三者提供先や情報の内容が異なる場合、又はあらかじめ特定された第三者提供先における利用目的の達成に必要な範囲を超えた提供となる場合には、改めて個人である資金需要者等の同意を取得すること。
⑶ 第三者提供先が複数に及ぶ場合や、第三者提供先により情報の利用目的が異なる場合、個人である資金需要者等において個人データの提供先が複数に及ぶことや各提供先における利用目的が認識できるよう、同意の対象となる第三者提供先の範囲や同意の取得方法、時機等を適切に検討すること。
⑷ 第三者提供の同意の取得にあたって、優越的地位の濫用や個人である資金需要者等との利益相反等の弊害が生じるおそれがないよう留意すること。
3 個人信用情報機関に対して個人データが提供される場合には、個人信用情報機関を通じて当該機関の会員企業にも情報が提供されることとなるため、個人信用情報機関に個人データを提供する当社が本人の同意を得ることとする。
本人から同意を得るに当たっては、本人が、個人データが個人信用情報機関を通じて当該機関の会員企業にも提供されることを明確に認識した上で、同意に関する判断を行うことができるようにすることとする。このため、同意を得る書面に、第1項に定める事項のほか、個人データが当該機関の会員企業にも提供される旨の記載及び当該機関の会員企業として個人データを利用する者の表示を行うこととする。
なお、個人信用情報機関から得た資金需要者の返済能力に関する情報については、当該資金需要者の返済能力の調査以外の目的に使用することのないよう、慎重に取り扱うこととする。
4 当社は、与信事業に係る個人の返済能力に関する情報を個人信用情報機関へ提供するに当たっては、保護法第27条第2項(オプトアウト)の規定を適用しないこととし、前項に従い本人の同意を得ることとする。
5 第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、以下に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、第1項にかかわらず、当該個人データを第三者に提供することができるものとする。ただし、第三者に提供される個人データが要配慮個人情報又は第9条(適正な個人情報の取得及び要配慮個人情報の取得)第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
⑴ 第三者への提供を行う当社の名称及び住所並びに代表者の氏名
⑵ 第三者への提供を利用目的とすること。
利用目的が具体的に分かる内容とすること。
⑶ 第三者に提供される個人データの項目
⑷ 第三者に提供される個人データの取得の方法
⑸ 第三者への提供の方法
⑹ 本人の求めに応じて第三者への提供を停止すること。
⑺ 本人の求めを受け付ける方法
⑻ 第三者に提供される個人データの更新の方法
⑼ 当該届出に係る個人データの第三者への提供を開始する予定日
6 前項第⑴号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第⑶号から第⑸号まで、第⑺号、第⑻号又は第⑼号に掲げる事項を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出るものとする。また、必要な事項を個人情報保護委員会に届け出たときは、その内容を公表するものとする。
7 保護法第27条第4項の規定による公表がされた後、速やかに、インターネットの利用その他の適切な方法により、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項を公表しなければならない。
⑴ 第5項の規定による届出を行った場合
同項各号に掲げる事項
⑵ 前項の規定による変更の届出を行った場合
変更後の第5項各号に掲げる事項
⑶ 前項の規定による個人データの提供をやめた旨の届出を行った場合
その旨
8 以下に掲げる場合において、当該個人データの提供を受ける者は、第三者に該当しないものとする。
⑴ 利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
⑵ 合併その他の事由による事業の承継に伴って個人データが提供される場合
⑶ 特定の者との間で共同して利用される個人データを当該特定の者に提供する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者(共同して利用する者において、第一次的に苦情を受け付け、その処理を行うとともに、開示、訂正等及び利用停止等の決定を行い、安全管理に責任を有する者をいう。第10項において「管理責任者」という。)の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条において同じ。)の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
また、既に特定の事業者が取得している個人データを他の事業者と共同して利用する場合には、当該共同利用は、社会通念上、共同して利用する者の範囲や利用目的等が当該個人データの本人が通常予期し得ると客観的に認められる範囲内である必要がある。その上で、当該個人データの内容や性質等に応じて共同利用の是非を判断し、既に取得している事業者が保護法第17条第1項の規定により特定した利用目的の範囲で共同して利用しなければならない。
9 前項第⑶号の規定により行う通知は、原則として書面によるものとする。当社による「共同して利用する者の範囲」の通知等については、共同利用者を個別列挙するものとする。また、共同して利用する者の外延を示すことにより本人に通知等する場合には、本人が容易に理解できるよう共同して利用する者を具体的に特定するものとする。
10 第8項第⑶号に規定する管理責任者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置くこととする。
11 当社が取得した個人データを第三者に提供する場合には、あらかじめ本人の同意を得ることが必要となるが、本人の同意を得ることなく個人データを提供しようとするときは、以下に掲げるいずれかに該当するかどうかを確認し必要な対応をとることとする。
⑴ 法令等に基づく場合等の適用除外の場合(第1項第⑴号から第⑺号)
⑵ オプトアウトによる場合(第5項)
⑶ 委託の場合(第8項第⑴号)
⑷ 合併等の事業承継の場合(第8項第⑵号)
⑸ 共同利用の場合(第8項第⑶号)
12 以下に掲げる事項は、第1項第⑴号で定める「法令に基づく場合」に該当するものとする。
⑴ 国税通則法第74条の2他(税務署の所得税等に関する調査に対応する場合)
⑵ 国税通則法第131条(質問、検査又は領置等)
⑶ 刑事訴訟法第197条第2項
⑷ 犯罪収益移転防止法第8条第1項(疑わしい取引の届出等)
⑸ 民事訴訟法第223条(文書提出命令等)
⑹ 刑事訴訟法第218条
⑺ 所得税法第225条(支払調書及び支払通知書)
⑻ 地方税法第72条の63(総務省の職員の個人の事業税に関する調査に係る質問検査権)
⑼ 国税徴収法第141条(質問及び検査)
⑽ 貸金業法第24条の6の10(報告徴収及び立入検査)
⑾ 預金保険法附則第7条(協定銀行に係る業務の特例)
⑿ 民事執行法第147条(第三債務者の陳述の催告)
⒀ 金融商品取引法第210条、第211条等(証券取引等監視委員会の職員による犯則事件の調査)
⒁ 貸金業法等に基づく自主規制機関に対する情報提供
⒂ 弁護士法第23条の2(報告の請求)
⒃ 感染症の予防及び感染症の患者に対する医療に関する法律第15条第1項(感染症の発生の状況、動向及び原因の調査)
⒄ 電気事業法第34条第1項(情報の提供の求め等)
13 第1項第⑵号で定める「人の生命、身体又は財産(法人の財産を含む。)の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当する事項とは、以下に掲げる事項をいうものとする。
⑴ 暴力団、いわゆる総会屋等、反社会的勢力若しくはその構成員等の違法行為に関する情報(暴力団等の反社会的勢力情報、業務妨害行為を行う悪質者情報を含むがこれに限られない。)、又は振り込め詐欺に利用された口座に関する情報を企業間で共有する場合
⑵ 顧客等の急病に対処するため医療機関へ情報提供する場合
⑶ 強硬に意図的な業務妨害をする者について警察へ情報提供する場合
⑷ 地震、災害等により本人が行方不明である状況が継続している場合における当該本人の家族へ財産開示する場合
14 第1項第⑷号で定める「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」とは、以下に掲げる事項をいうものとする。
⑴ 税務当局の任意調査に応じる場合
⑵ 警察の任意調査に応じる場合
⑶ 振り込め詐欺に利用された口座に関する情報を警察に提供する場合
⑷ 承認統計調査や届出統計調査に回答する場合
15 第5項で定める「通知」の方法は、原則として、書面による通知とする。
16 第5項で定める「本人が容易に知り得る状態」とは、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態をいい、事業の性質及び個人情報の取扱状況に応じ、本人が確実に認識できる適切かつ合理的な方法によらなければならないことから、販売方法等の態様に応じて、本人が確実に認識できる適切かつ合理的な方法によるものとする。
⑴ 本人が閲覧することが合理的に予測される当社のホームページにおいて、本人が分かりやすい場所(ホームページのトップページから1回程度の操作で到達できる場所等)に法に定められた事項を分かりやすく継続的に掲載する場合
⑵ 本人が来訪することが合理的に予測される事務所の窓口等への掲示、備付け等が継続的に行われている場合
⑶ 本人に頒布されている定期刊行物への定期的掲載を行っている場合
⑷ 電子商取引において、商品を紹介するホームページにリンク先を継続的に表示する場合
17 第5項第⑶号で定める「第三者への提供の方法」とは、以下に掲げる方法をいうものとする。
⑴ 書籍(電子書籍を含む。)として出版
⑵ インターネットに掲載
⑶ プリントアウトして交付
⑷ 各種通信手段による配信
⑸ その他外部記録媒体の形式での交付
18 第6項で定める「通知」及び「本人が容易に知り得る状態」に該当する事項とは、第15項及び第16項で掲げるものと同様とするものとする。
19 第8項第⑴号で定める「利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される」とは、以下に掲げる事項をいうものとする。
利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴い、当該個人データが提供される場合は、当該提供先は第三者に該当しない。この場合、当該提供先は、委託された業務の範囲内でのみ、本人との関係において提供主体である当社と一体のものとして取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない。
⑴ データの打ち込み等、情報処理を委託するために個人データを提供するケース
⑵ 百貨店が注文を受けた商品の配送のために、宅配業者に個人データを提供するケース
⑶ 顧客データを提供し、書類の発送を委託するケース
⑷ 事務処理のアウトソース
⑸ 顧客データ保管・廃棄のアウトソース
⑹ 当社が、M&AやTOBに関与する場合において、売り手側企業から、当社との間の業務委託契約に基づき当該売り手側企業の従業員・株主に係る個人データの提供を受ける場合等
20 第8項第⑵号で定める「合併その他の事由による事業の承継に伴って個人データが提供される場合」とは、以下に掲げる事項をいうものとする。
なお、事業の承継のための契約を締結するより前の交渉段階で、相手会社から当社の調査を受け、当社の個人データを相手会社へ提供する場合も、同号に該当し、あらかじめ本人の同意を得ることなく又は第三者提供におけるオプトアウト手続を行うことなく、個人データを提供することができるが、当該データの利用目的及び取扱方法、漏えい等が発生した場合の措置、事業承継の交渉が不調となった場合の措置等、相手会社に安全管理措置を遵守させるために必要な契約を締結しなければならないものとする。
⑴ 合併、分社化により、新会社に個人データを提供する場合
⑵ 事業譲渡により、譲渡先企業に個人データを提供する場合
21 第8項第⑶号で定める「共同利用」とは、以下に掲げる事項をいうものとする。
⑴ グループ企業で総合的なサービスを提供するために取得時の利用目的(保護法第17条第2項の規定に従い変更された利用目的を含む。以下同じ。)の範囲内で情報を共同利用する場合
⑵ 親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合
22 第8項第⑶号で定める「通知」及び「本人が容易に知り得る状態」に該当する事項とは、第15項及び第16項で掲げるものと同様とする。
23 第9項で定める共同利用者の範囲については、以下に掲げる事項を参考に記載するものとする。
⑴ 共同利用者を個別列挙することが望ましいが、個別に列挙しない場合は、本人から見て、共同して利用する者の範囲の外延を明確にするため、例えば、「当社及び有価証券報告書等に記載されている、当社の子会社」や、「当社及び有価証券報告書等に記載されている、当社の連結対象会社及び持分法適用会社」というように記載する。
⑵ 前号の場合においては、ホームページに共同利用者名を記載する等により、共同利用者の範囲を分かりやすく示すことが考えられる。
23 第10項で定める「通知」及び「本人が容易に知り得る状態」に該当する事項とは、第15項及び第16項で掲げるものと同様とする。
(保有個人データに関する事項の公表等)
第17条 保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。以下同じ。)に置くものとする。なお、利用目的に第三者提供が含まれる場合には、第⑵号の内容として、その旨を記載しなければならない。
⑴ 当社の名称及び住所並びに代表者の氏名
⑵ すべての保有個人データの利用目的(ただし、第10条(個人情報取得時の利用目的の通知・公表、明示等)第4項第⑴号から第⑶号に該当する場合を除く。)
⑶ 次項、次条第1項、次条第3項、第19条(保有個人データの訂正等)第1項又は第20条(保有個人データの利用停止等)第1項の規定による求めに応じる手続(第23条(手数料)の規定により手数料の額を定めたときは、その手数料の額を含む。)
⑷ 保有個人データの安全管理のために講じた措置(ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
⑸ 保有個人データの取扱いに関する当社における苦情の申出先
⑹ 苦情の解決の申出先
2 本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知するものとする。ただし、次の各号のいずれかに該当する場合は、この限りではない。
⑴ 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
⑵ 第10条(個人情報取得時の利用目的の通知・公表、明示等)第4項第⑴号から第⑶号に該当する場合
3 前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、遅滞なく、その旨を本人に通知するものとする。
4 第1項で定める「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」とは、ホームページへの掲載、パンフレットの配布、本人の求めに応じて遅滞なく回答を行うこと等、本人が知ろうとすれば、知ることができる状態に置くことをいい、常にその時点での正確な内容を本人の知り得る状態に置かなければならないため、必ずしもホームページへの掲載、又は事務所等の窓口等へ掲示すること等が継続的に行われることまでを必要とするものではないが、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならないものとする。保有個人データに関する事項を本人の知り得る状態に置く際には、販売方法等の事業の態様に応じて、以下の方法により、適切な措置を講ずるものとする。
⑴ 店頭での継続的なポスターの掲示、書面の備付け(第25条(個人情報保護宣言の策定)に定める「個人情報保護に関する基本方針」と一体として掲載する方法もある。以下同じ。)
⑵ パンフレット・リーフレットの継続的な配布
⑶ ホームページへの継続的な掲載(第25条に定める「個人情報保護宣言」と一体として掲載する方法(保有個人データに関する事項が示された画面に1回程度の操作で遷移するよう設定したリンクを「個人情報保護宣言」に継続的に掲載することを含む。第22条第1項において同じ。)もある。)
⑷ 本人の求めに応じた書面の交付、郵送、FAX等による送付
⑸ 本人の求めに応じた口頭、電話、電子メールでの回答
(開示)
第18条 本人から、当該本人が識別される保有個人データについて開示(存在しないときにはその旨を知らせることを含む。)の請求を受けたときは、本人に対し、電磁的記録の提供による方法、書面の交付による方法その他当社の定める方法のうち本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示するものとする。ただし、開示することにより次のいずれかに該当する場合は、その全部又は一部を開示しないことができるものとする。
⑴ 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
⑵ 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
<例>
イ 与信審査内容等の当社が付加した情報の開示請求を受けた場合
ロ 保有個人データを開示することにより評価・試験等の適正な実施が妨げられる場合
ハ 企業秘密の保護の必要性が、本人が協会員における保有個人データの取扱い等を把握する必要性を上回る特別の事情がある場合
ニ 同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合
⑶ 他の法令に違反することとなる場合
<例>
イ 犯罪収益移転防止法第8条第3項(顧客への届出事実の漏えい)に違反することになる場合
ロ 刑法第134条(秘密漏示罪)や電気通信事業法第4条(通信の秘密の保護)に違反することとなる場合
2 前項の規定による請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき又は請求に係る保有個人データが存在しないときは、遅滞なく、その旨を本人に通知するものとする。また、本人が請求した方法による開示が困難であるときは、その旨を本人に通知した上で、書面の交付による方法により開示を行わなければならない。
3 当社は、本人から、当該本人が識別される個人データに係る第三者提供記録の開示(存在しないときにはその旨を知らせることを含む。)の請求を受けたときは、本人に対し、電磁的記録の提供による方法、書面の交付による方法その他当社の定める方法のうち本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該第三者提供記録を開示しなければならない。なお、第三者提供記録には、次の各号に掲げるもの及び保護法第29条第1項又は同法第30条第3項の規定が適用されない場合において任意に作成された記録は、含まれない。
⑴ 当該記録の存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
⑵ 当該記録の存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
⑶ 当該記録の存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
⑷ 当該記録の存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
4 第三者提供記録を開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。これにより開示しない旨の決定をしたとき又は請求に係る第三者提供記録が存在しないときは、遅滞なく、その旨を本人に通知しなければならない。また、本人が請求した方法による開示が困難であるときは、その旨を本人に通知した上で、書面の交付による方法により開示を行わなければならない。
⑴ 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
<例>
イ 第三者提供記録に個人データの項目として本人が難病であることを示す内容が記載されている場合において、当該第三者提供記録を開示することにより、患者本人の心身状況を悪化させるおそれがある場合
ロ 企業の与信判断等に用いられる企業情報の一部として代表者の氏名等が提供され、第三者提供記録が作成された場合において、当該第三者提供記録を開示することにより、提供を受けた第三者が与信判断、出資の検討、提携先・取引先の選定等を行っていることを含む秘密情報が漏えいするおそれがある場合
⑵ 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
<例>
イ 同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合
⑶ 他の法令に違反することとなる場合
<例>
イ 刑法(明治40年法律第45号)第134条(秘密漏示罪)に違反することとなる場合
(保有個人データの訂正等)
第19条 本人から、当該本人が識別される保有個人データに誤りがあり、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下「訂正等」という。)の請求を受けた場合には、利用目的の達成に必要な範囲内において、遅滞なく、事実の確認等の必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行うものとする。
2 前項の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を本人に通知しなければならない。なお、当社は、訂正等を行わない場合は、訂正等を行わない根拠及びその根拠となる事実を示し、その理由を説明するものとする。
3 前二項に規定する「訂正等」にあたって、以下に掲げる事項に留意し行うものとする。
⑴ 訂正等は、利用目的の達成に必要な範囲で行うものであり、必要以上の訂正等を義務付けるものではないこと。また、利用目的からみて訂正等が必要ではない場合、保有個人データが誤りである旨の指摘が正しくない場合には、訂正等を行う必要はないこと。
⑵ 訂正等は、保護法に基づくものであり、顧客等からの氏名・住所変更等の届出にまで適用されるものではないこと。
(保有個人データの利用停止等及び第三者提供の停止)
第20条 次の各号のいずれか該当する場合については、保有個人データの利用の停止若しくは消去(以下「利用停止等」という。)又は第三者提供の停止を行う。
⑴ 本人から、当該本人が識別される保有個人データが、第6条(利用目的による制限)の規定に違反して本人の同意なく目的外利用がされている若しくは第7条(不適正な利用の禁止)の規定に違反して不適正な利用が行われている、又は第9条(適正な個人情報の取得及び要配慮個人情報の取得)の規定に違反して偽りその他不正の手段により取得され若しくは本人の同意なく要配慮個人情報が取得されたものであるという理由によって、当該保有個人データの利用停止等の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、当該保有個人データの利用停止等を行うものとする。
⑵ 本人から、当該本人が識別される保有個人データが、保護法第27条(第三者提供の制限)第1項又は保護法第28条(外国にある第三者への提供の制限)の規定に違反して本人の同意なく第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者提供を停止するものとする。
⑶ 次に掲げるいずれかに該当するという理由によって、当該保有個人データの利用停止等又は第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等又は第三者提供の停止を行わなければならない。この場合には、本人の権利利益の侵害を防止するために必要な限度で、利用停止等又は第三者提供の停止を行う。
イ 当社が利用する必要がなくなった場合
ロ 当該本人が識別される保有個人データに係る第15条第1項本文に規定する事態が生じた場合
ハ 当該本人の権利又は正当な利益が害されるおそれがある場合
2 前項各号のいずれかに該当する場合であっても、利用停止等又は第三者提供の停止を行うことが困難である場合であって、本人の権利利益を保護するために必要な代替措置を講ずるときは、利用停止等又は第三者提供の停止を行わないことができる。
3 第1項の規定に基づき利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第三者提供を停止したとき若しくは第三者提供を停止しない旨を決定したときは、遅滞なく、その旨を本人に通知するものとする。
なお、消費者等、本人の権利利益保護の観点からは、事業活動の特性、規模及び実態を考慮して、保有個人データについて本人から求めがあった場合には、自主的に利用停止等又は第三者提供の停止に応じる等、本人からの求めにより一層対応していくことが望ましい。
(理由の説明)
第21条 第17条(保有個人データに関する事項の公表等)第3項、第18条(開示)第2項若しくは第4項、第19条(保有個人データの訂正等)第2項又は前条第3項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合において、本人に対しその理由を説明する際には、措置をとらないこととし、又は異なる措置をとることとした判断の根拠及び根拠となる事実を示し、その理由を説明するものとする。
(開示等の請求等に応じる手続)
第22条 第17条(保有個人データに関する事項の公表等)第2項による求め、第18条(開示)第1項若しくは第3項、第19条(保有個人データの訂正等)第1項又は第20条(保有個人データの利用停止等)第1項の規定による請求(以下「開示等の請求等」という。)に関し、以下のとおり、その受付けの方法を定めるものとする。この場合において、当社は、第25条(個人情報保護宣言の策定)に定める「個人情報保護に関する基本方針」と一体として、インターネットのホームページでの常時掲載を行うこと(保有個人データに関する事項が示された画面に1回程度の操作で遷移するよう設定したリンクを「個人情報保護宣言」に継続的に掲載することを含む。)、又は事務所の窓口等での掲示・備付け等を行うこと等により本人の知り得る状況に置くこととする。
⑴ 開示等の請求等の申出先
⑵ 開示等の請求等に際して提出すべき書面の様式、その他の開示等の請求等の受付方法
⑶ 開示等の請求等をする者の本人確認方法
⑷ 次条の手数料の金額とその徴収方法(無料とする場合を含む。)
⑸ 開示等の請求等の対象となる保有個人データ又は第三者提供記録の特定に必要な事項
⑹ 開示等の請求等に対する回答方法等
2 代理人(未成年者若しくは成年被後見人の法定代理人、又は本人が委任した任意代理人をいう。本項において同じ。)が開示等の請求等を行う場合の手続として、前項各号に加えて次の事項を定めるものとする。なお、代理人による開示等の請求等に対して、本人に直接開示等することは妨げない。
⑴ 代理人の本人確認方法
⑵ 代理人の代理権を確認する方法
3 前二項の規定に基づき開示等の請求等を受け付ける方法に関する手続を定めるに当たっては、当該手続が、事業の性質、保有個人データの取扱状況、開示等の請求等の受付方法等に応じて適切なものになるよう配慮するとともに、必要以上に煩雑な書類を書かせたり、請求等を受け付ける窓口を他の業務を行う拠点とは別にいたずらに不便な場所に限定したりする等、本人に過重な負担を課するものとならないよう配慮しなければならない。
4 円滑に開示等の手続が行えるよう、本人に対し、開示等の請求等の対象となる当該本人が識別される保有個人データ又は第三者提供記録の特定に必要な事項(住所、ID、パスワード、会員番号等)の提示を求めることができるものとする。ただし、本人に対し、開示を請求する保有個人データ又は第三者提供記録の範囲を一部に限定する義務を課すものではなく、また、当社に本人が開示を請求する範囲を限定させる権利が認められるものでもない。なお、その際には、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データの特定又は第三者提供記録に資する情報を提供するなど、本人の利便性を考慮するものとする。
5 第1項第⑴号で定める「開示等の請求等の申出先」は、例えば、支店・営業所や事務センター等の部署名・住所・電話番号・電子メールアドレス等をいう。
6 第1項第⑵号で定める「開示等の請求等に際して提出すべき書面」とは、本人が開示等の請求等に際し提出すべき書面であり、以下に定めるものをいう。
⑴ 本人の場合
イ 「保有個人データ」開示申請書
ロ 変更等申請書
ハ 利用停止等申請書
ニ 本人確認書類
⑵ 代理人の場合
上記第⑴号の書面に加え、当社所定の委任状及び代理人の本人確認書類
7 第1項第⑵号で定める「その他の開示等の請求等の方式」として、郵送、電子的手段等の複数の手段を用意するものとする。
8 第1項第⑶号で定める「本人確認方法」に留意しなければならないものとして、犯罪収益移転防止法の規定に基づく確認手続又は同レベルの手続など、十分かつ適切な確認手続を定める。
9 第1項第⑸号で定める「保有個人データ又は第三者提供記録の特定に必要な事項」には、例えば、氏名、住所、生年月日、電話番号、取引店名、口座番号等の事項が該当するものとする。
10 第1項第⑹号で定める「開示等の請求等に応じる回答方法等」とは、以下に掲げる方法をいうものとする。
⑴ 郵送、電話、電子メール等の手段
⑵ 開示の対象となる情報によっては、回答はその場でなく後刻となること。
11 第2項第⑴号で定める「代理人の本人確認方法」は、第8項で示す確認方法と同様の手続を定める。
12 第2項第⑵号で定める「代理人の代理権を確認する方法」として、以下に掲げる事項を定める。
⑴ 当社所定の委任状以外は認めないこと。
⑵ 委任状等の提出があった場合でも代理権の存在を疑わせる特段の事情が認められるときは、電話等で本人からの代理権授与の意思確認をとることができるまで不開示とすること。
⑶ 当社所定の方法による代理権の確認ができない場合は、不開示とすること。
(手数料)
第23条 第17条(保有個人データに関する事項の公表等)第2項の規定による利用目的の通知を求められたとき又は第18条(開示)第1項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料の額を定め、これを徴収することができるが、その場合は、当該手数料の徴収に関する事項について定めるものとする。なお、当該手数料の額を定めた場合には、前条第1項に基づき、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置いておかなければならない。
2 当社は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
(当社における苦情の処理)
第24条 個人情報の取扱いに関する苦情の適切かつ迅速な処理を行うものとする。
2 苦情の適切かつ迅速な処理を行うに当たり、苦情処理窓口の設置及び苦情処理の手順を定めるほか、苦情処理に当たる役職員への十分な教育・研修等必要な体制の整備を行うものとする。
(個人情報保護宣言の策定)
第25条 個人情報に対する取組み方針をあらかじめ分かりやすく説明することの重要性にかんがみ、当社の個人情報保護に関する考え方及び方針に関する宣言(いわゆるプライバシーポリシー、プライバシーステートメント等。以下「個人情報保護宣言」という。)を策定し、公表するものとする。
2 当社が定める個人情報保護宣言は、以下の内容とする。
<個人情報保護に関する基本方針>
当社は、個人情報の取扱いに関し、その情報を安全に管理し、適正に使用することの重要性から、次のとおり個人情報保護方針を定め、当社で保有するすべての個人情報の保護に万全をつくすことをお約束します。
1.関係法令の遵守
当社は、個人情報の取扱いにおいて「個人情報の保護に関する法律」(平成15年5月30日法律第57号)及びその他の関係法令を遵守致します。
2.個人情報の適正利用
当社は、ホームページ等での公表又は書面によるお知らせによりお客様の個人情報の利用目的を明確にし、法令に定める場合を除き、その利用目的の達成に必要な範囲内において使用致します。
なお、利用目的の特定については、例えば、当社の事業内容を勘案してお客様の属性ごとに利用目的を限定する措置やお客様の選択により利用目的を限定する措置などを実施することも踏まえ、お客様にとって利用目的がより明確になるように努めます。また、情報の取得についても、個人情報の取得元又はその取得方法(取得の種類等)を、可能な限り、具体的に明示するよう努めます。
3.個人信用情報機関の利用
当社が加盟する個人信用情報機関に登録されている個人情報は、返済能力の調査以外の目的には利用致しません。
4.個人情報の安全管理
当社は、保有する個人情報において、不正アクセス・紛失・破壊・改ざん及び漏えい等の防止に努め、適切な安全管理措置を講じます。
5.個人情報の第三者提供
当社は、法令に定める場合を除き、お客様の個人情報を、あらかじめご本人様の同意を得ることなく、第三者に提供致しません。
6.個人情報の委託
当社が個人情報の取扱いを外部へ委託する場合は、当社の定める基準に基づき個人情報を適正に取り扱っていると認められる委託先を選定したうえ、適正な取扱いを確保するための契約等を締結し、委託先において個人情報の安全管理が図られるよう必要かつ適切な監督を行います。
また、委託の有無、委託する事務の内容を明らかにする等により、可能な範囲で、委託事務処理の透明化に努めます。
7.個人情報保護の維持・改善
当社は、個人情報の取扱いが適正に行われるよう、全役職員に対する個人情報保護に関する教育及び取扱い状況に関する定期的な監査を行い、当保護方針を実践するとともに、その継続的改善に努めます。
8.個人情報についてのお問い合わせ窓口の設置について
当社は、個人情報の取扱いに関するお客様からのお問い合わせ窓口を設置し、適切かつ迅速な対応に努めます。なお、当社の保有個人データについてご本人様からご要望があった場合には、当社からのダイレクトメールの発送停止を含め、可能な範囲で、ご要望に応じるよう努めます。
令和4年5月1日
DEF株式会社
代表取締役 杉山 敏之
【個人情報の取扱いに関するお問い合わせ窓口】
DEF株式会社 お客様相談室
受付時間 平日10時~17時
電話番号 03-6277-8336
3 第1項で定める公表方法として、インターネットの当社ホームページへ掲載するものとする。
第3節 クレジットカード情報等の管理
(目的)
第26条 本節は、クレジットカード情報(カード番号、有効期限等)を含む個人情報(以下「クレジットカード情報等」という。)は、情報が漏えいした場合、不正使用によるなりすまし購入など二次被害が発生する可能性が高いことを踏まえ、貸金業に付随する業務におけるクレジットカード情報等の適正な取扱いを確保することを目的とする。
(クレジットカード情報等の取扱い)
第27条 クレジットカード情報等を入手した場合、これを鍵付きキャビネットにて保管するものとし、保有するクレジットカード情報等の利用目的に応じ保存期間を定め、当該期間経過後の保有するクレジットカード情報等を消去、破棄するものとする。ただし、法令等に基づく保存期間の定めがある場合には、この限りでない。
2 業務上必要とする場合を除き、クレジットカード情報等をコンピュータ画面に表示する際には、カード番号をすべて表示させない等の適切な措置を講じるものとする。
3 クレジットカード情報等について、「第2節安全管理措置等」に準じた措置を講じるものとし、クレジットカード情報等を適切に管理し、クレジットカード情報等を利用した不正行為を防止するための措置を講じるものとする。
(周知徹底)
第28条 クレジットカード情報等の取扱いにあたっては、教育担当部門が役職員に対して周知徹底を行うものとする。
2 周知徹底に際しては、以下の事項について留意して行うものとする。
⑴ クレジットカード情報等の利用目的
⑵ クレジットカード情報等の取扱いの留意点
3 役職員に対しての周知徹底方法は、以下の方法によるものとする。
⑴ 社内研修等の実施
⑵ 文書、電子メール等による社内規則等の内容の通知
⑶ 社内の情報掲示板に社内規則等を閲覧可能にしておく方法
⑷ その他教育担当部門が定める方法
4 前項で掲げる周知徹底については、最低年1回実施するものとする。
5 教育担当部門は、第3項の周知徹底を実施した結果について記録するものとし、当該年度終了後、事業報告書作成部門に、その記録を提出するものとする。
6 本規程に係る業務について、クレジットカード情報等を取り扱う各部門の内部管理担当者は、クレジットカード情報等を保護するためのルール及びシステムが有効に機能しているかどうかについて確認を行う。
第4節 法人関係情報の管理
(目的)
第29条 本節は、当社が法人関係情報(金融商品取引業等に関する内閣府令第1条第4項第14号)を入手し得る立場であることを踏まえ、法人関係情報の厳格な管理とインサイダー取引等の不公正な取引の防止を図ることを目的とする。
(不正利用の防止)
第30条 営業部門に所属する役職員が当該法人関係情報に関連する有価証券の売買その他の取引等を行った場合には、管理部門に対し、当該取引の内容等を報告するものとする。
2 法人関係情報については、「第2節安全管理措置等」に準じた措置を講じるものとし、法人関係情報を適切に管理し、法人関係情報を利用した不正行為を防止するための措置を講じるものとする。
(周知徹底)
第31条 法人関係情報の取扱いにあたっては、教育担当部門が役職員に対して周知徹底を行うものとする。
2 周知徹底に際しては、以下の事項について留意して行うものとする。
⑴ 職業倫理
⑵ 法人関係情報を取り扱う場合の留意点
3 役職員に対しての周知徹底方法は、以下の方法によるものとする。
⑴ 社内研修等の実施
⑵ 文書、電子メール等による社内規則等の内容の通知
⑶ 社内の情報掲示板に社内規則等を閲覧可能にしておく方法
⑷ その他教育担当部門が定める方法
4 前項で掲げる周知徹底については、最低年1回実施するものとする。
5 教育担当部門は、第3項の周知徹底を実施した結果について記録するものとし、当該年度終了後、事業報告書作成部門に、その記録を提出するものとする。
6 本規程に係る業務について、法人関係情報を取り扱う各部門の内部管理担当者は、法人関係情報の取扱いに関するルール及びシステムが有効に機能しているかどうかについて確認を行う。
第5節 雑則
(日本貸金業協会への報告)
第32条 個人情報保護に関する法令等の遵守状況について、日本貸金業協会から確認や監査の求めがあるときは、その求めに協力を行うものとする。
2 日本貸金業協会から、個人情報保護を遵守させるための指導・勧告その他の措置がとられたときは、その指示に従うものとする。
個人顧客情報の安全管理措置等 第12条関係
1 第3項関係
⑴ 第⑴号 規程等の整備
ニ 外部委託に係る規程の整備の規程
(委託)
第一条 個人情報の取扱いを外部に委託する場合は、十分な情報の保護水準を提供する委託先を選定するとともに、当該委託先に対し適切な監督を行わなければならない。
(受託)
第二条 個人情報の取扱いを含む業務を外部より受託する場合は、受託先との契約と、当社の計画を見据え十分なセキュリティ対策を行ったうえで効果的な対応策を策定する。
二 受託する個人情報の取扱いに関しては、受託先が指定した機密レベルに応じて当規程並びに関連規程に基づき処理を行う。
三 受託先と契約する内容には、原則として次の各号に関して合意を得るものとする。
① 受託する個人情報に関しては当社の情報セキュリティポリシー及び情報管理関連規程に従って処理を行うこと。
② 受託先への報告事項の内容と報告時期についての取り決め。
③ 受託する個人情報の種類を明確にしておくこと。
⑵ 第⑵号 各管理段階における安全管理に係る取扱規程の整備
イ 取得・入力段階における取扱規程
第一条 個人情報の収集においては、利用の目的をできる限り特定し、その目的の達成に必要な範囲で、適法かつ公正な手段によって行わなければならない。
二 個人情報を収集する場合には、原則として、あらかじめ当社ホームページ等で公表している場合を除き、その利用目的を本人に対し書面又はそれに準ずる方法にて通知し、又は当社ホームページ等で公表しなければならない。
三 直接個人情報を収集する場合には、次に掲げる事項又はそれと同等以上の内容の事項を本人に対し書面又はそれに準ずる方法にて通知して、本人の同意を得なければならない。
① 統括情報管理責任者又はその代理人の氏名若しくは役職名、所属及び連絡先
② 個人情報の収集及び利用の目的
③ 個人情報の提供を行うことが予定される場合には、その目的、当該情報の受領者又は受領者の組織の種類
④ 個人情報の委託を行うことが予定されている場合は、その旨
⑤ 個人情報の提供に関する本人の任意性及び当該情報を提供しなかった場合に生じる結果
⑥ 個人情報の開示を求める権利及び開示の結果、当該情報が誤っている場合に訂正又は削除を要求する権利の存在、並びに当該権利を行使するための具体的方法
四 本人以外から間接的に個人情報を収集する場合には、前項第①号から第④号及び第⑥号に掲げる事項を本人に対し書面又はそれに準ずる方法にて通知して、本人の同意を得なければならない。ただし、次の各号に掲げるいずれかの場合においては、この限りではない。
① 本人からの個人情報の収集時に、あらかじめ、当社への情報の提供を予定している旨を前項第③号に従い本人の同意を得ている提供者から収集を行う場合
② 通知を行うことにより、当社の権利又は正当な利益を害するおそれがある場合
また、公開された情報から個人情報を収集する場合は、公開された目的の範囲内で利用目的を定めて収集しなければならない。
五 第二項にかかわらず、本人との間で契約を締結することに伴って借入申込書その他の書面(電子的方式、磁気的方式その他、人の知覚によっては認識することができない方式で作られる記録を含む。)に記載された当該本人の個人情報を収集する場合は、原則として、本人に対し所定の方法により利用目的を明示しなければならない。
(入力)
第二条 個人情報を入力する場合は、誤入力等に十分留意し、情報の正確性の確保に努めなければならない。
(顧客情報の収集・入力)
第三条 部門情報管理責任者は、業務上の必要に応じて、顧客情報の収集・入力の担当者を選任する。また、当該担当者以外の者は顧客情報の収集・入力を行ってはならない。
二 顧客情報を取り扱う担当者は、収集・入力に係る手続を遵守しなければならない。
三 部門情報管理責任者は、収集・入力した顧客情報の件数、内容等を照合・確認する手続を取扱者に遵守させなければならない。また、照合・確認した記録を査閲し、必要に応じ、当該記録を定められた期間、所定の場所に保管しなければならない。
② ロ 利用・加工段階における取扱規程
(利用・加工)
第一条 個人情報の利用・加工は、原則として収集時の利用目的の範囲内で行うものとする。ただし、本人から同意を得た場合はこの限りではない。
二 本人が同意を与えた利用目的の範囲外で個人情報の利用を行う場合は、書面又はこれに代わる方法によって本人に通知し、本人の事前の同意のもとに行わなければならない。
三 個人情報の利用・加工は、必要最小限にとどめ、情報の拡散を防止しなければならない。
四 個人情報を利用・加工する場合は、原則として情報主管部署の部門長の許可を得て行わなければならない。ただし、あらかじめアクセス権の付与等により、該当する個人情報の利用を認められている場合は、この限りではない。
(個人情報の利用・加工)
第二条 部門情報管理責任者は、業務上の必要に応じて、顧客情報の利用・加工の担当者を選任する。また当該担当者以外の者は顧客情報を利用・加工してはならない。
二 顧客情報を取り扱う担当者は、利用・加工に係る手続を遵守しなければならない。
三 部門情報管理責任者は、利用・加工した顧客情報の件数、内容等を照合・確認する手続を取扱者に遵守させなければならない。また、照合・確認した記録を査閲し、必要に応じ、当該記録を定められた期間、所定の場所に保管しなければならない。
③ ハ 保管・保存段階における取扱規程
第一条 個人情報が記載、記録された帳票等は、部門情報管理責任者の指示のもと、施錠可能な保管室、キャビネット等に保管しなければならない。
二 保管期限及び外部保管の手続は「情報管理規定」に定める当該項目に準ずる。
(顧客情報の保管)
第二条 部門情報管理責任者は、業務上の必要に応じて、顧客情報の保管の担当者を選任する。また、当該担当者以外の者は顧客情報の保管を行ってはならない。
二 顧客情報を取り扱う担当者は、保管に係る手続を遵守しなければならない。
三 部門情報管理責任者は、保管した顧客情報の件数、内容等を照合・確認する手続を取扱者に遵守させなければならない。また、照合・確認した記録を査閲し、必要に応じ、当該記録を定められた期間、所定の場所に保管しなければならない。
四 顧客情報の保管において障害が発生した場合には、所定の手続に従い対応しなければならない。
④ ニ 移送・送信段階における取扱規程
(移送・送信)
第一条 個人情報及び個人情報が記載、記録されている媒体の移送・送信については、重要性に応じて適正な方法によって行うものとし、その授受が明確でなければならない。
(顧客情報の移送・送信)
第二条 部門情報管理責任者は、業務上の必要に応じて、顧客情報の移送・送信の担当者を選任する。また、当該担当者以外の者は顧客情報の移送・送信を行ってはならない。
二 顧客情報を取り扱う担当者は、移送・送信に係る手続を遵守しなければならない。
三 部門情報管理責任者は、移送・送信した顧客情報の件数、内容等を照合・確認する手続を取扱者に遵守させなければならない。また、照合・確認した記録を査閲し、必要に応じ、当該記録を定められた期間、所定の場所に保管しなければならない。
四 顧客情報の移送・送信時に障害が発生した場合は所定の手続に従い対応しなければならない。
⑤ ホ 消去・廃棄段階における取扱規程
(消去・廃棄)
第一条 個人情報を記録した紙、磁気媒体等を消去・廃棄する場合は内容に応じ部門情報管理責任者の指示に基づき、裁断、焼却、溶解、消磁又は、破棄の方法で適切に行わなければならない。なお、社外へ消去・廃棄作業を依頼した場合は、消去・廃棄証明書を取得し、必要に応じ消去・廃棄の事実を確認する。
(顧客情報の消去・廃棄)
第二条 部門情報管理責任者は、業務上の必要に応じて、顧客情報の消去・廃棄の担当者を選任する。また、当該担当者以外の者は顧客情報の消去・廃棄を行ってはならない。
二 顧客情報を取り扱う担当者は、消去・廃棄に係る手続を遵守しなければならない。
三 部門情報管理責任者は、消去・廃棄した顧客情報の件数、内容等を照合・確認する手続を取扱者に遵守させなければならない。また、照合・確認した記録を査閲し、必要に応じ、当該記録を定められた期間、所定の場所に保管しなければならない。
⑥ へ 漏えい等事案への対応の段階における取扱規程
(連絡体制)
第一条 事案発生を察知した者は、「部門情報管理責任者」に報告を行い、「部門情報管理責任者」は「緊急事態発生時連絡ルート」の手順にて速やかに報告を行うこととする。
二 緊急事態発生時連絡ルート中にある各部門は、速やかに「統括情報管理責任者」へ報告が行われるよう、迅速な対応を行うこととする。
(事案対応体制)
第二条 「統括情報管理責任者」の指揮の下、対応部門の選定、各種会議体の招集を行うこととする。
二 「部門情報管理責任者」は、部門内における事案対応担当者を指名することとする。
三 事案対応部門及び事案対応担当者には事案発生原因の疑いがある部門(者)を選定、指名しないよう、留意することとする。
(調査)
第三条 事実関係の調査として速やかに、以下の事項を行うこととする。なお、必要に応じて受託元、提携先、保証先、委託先等の関係者と連携をとることとする。
① 証拠保全のための措置
② 流出等の事実の確認
③ 流出等の対象となった個人情報(対象者、属性項目、件数など)の特定
④ 流出等の経路、原因の解明
(被害極小化)
第四条 事案発生時には以下の事項等の実施により、被害の極小化に努めることとする。
① 流出等した情報の回収
② カード番号、暗証番号、口座番号等、有用性の高い情報が流出し、二次被害等発生の可能性が高い場合における防止策の策定・実施
(監督当局等への報告・相談)
第五条 事実関係の報告・相談として以下の事項を行うものとする。
① 行政当局、加盟団体等への報告・相談
② 警察への届出・相談
③ 司法当局への対応
(本人への通知等)
第六条 本人への事実関係の通知等を以下の方法により行うものとする。
① 流出等の対象者への通知等による事実関係の説明及び謝罪
② 専用窓口の設置及び案内
③ その他、「統括情報管理責任者」が承認した方法
(公表)
第七条 事実関係及び再発防止策等を以下の方法により速やかに公表することとする。ただし、二次被害又は類似事案等の発生リスクが極めて軽微であると判断される場合を除く。
① プレスへの公表、記者会見
② ホームページでの事実関係、再発防止策等の説明及び謝罪
③ 問合せ先の公表
④ その他、「統括情報管理責任者」が承認した方法
(再発防止策)
第八条 事案発生後、速やかに再発防止策を講じることとする。実施内容は以下のとおりとする。
① 再発防止策の策定・実施
② 類似リスクの発生防止及び対応策の策定・実施
③ 自主点検・監査等による再発防止策、類似リスク対応策の有効性検証
二 前項に定めるほか、他社における漏えい事故等を踏まえ、類似事例の再発防止のために必要な措置の検討を行うものとする。
三 前二項で策定した「再発防止策等」の周知・徹底を図るものとする。
2 第4項関係
⑴ 第⑴号 組織的安全管理措置
① イ 個人データの管理責任者等の設置
(安全管理に係る責任者及び管理統制部門の設置)
第一条 個人情報の管理責任及び役割分担を明確に、情報をその重要度に応じて適切に取り扱う態勢を整備する。
二 個人情報の安全管理に係る総責任者を統括情報管理責任者とし、副統括情報管理責任者がその補佐を行う。その業務は以下のとおりとする。
① 個人データの安全管理に関する規程及び委託先選定基準の承認及び周知
② 部門情報管理責任者の任命
③ 部門情報管理責任者からの報告徴収及び助言・指導
④ 個人データの安全管理に関する教育・研修の企画の承認
⑤ その他全社における個人データの安全管理に関する事項
三 部署単位の個人情報の安全管理に係る責任者を部門情報管理責任者とし、その業務は以下のとおりとする。
① 個人データの取扱者の指定及び変更等の管理
② 個人データの利用申請の承認及び記録等の管理
③ 個人データを取り扱う保管媒体の設置場所の指定及び変更等
④ 個人データの管理区分及び権限についての設定及び変更の管理
⑤ 個人データの取扱状況の把握
⑥ 委託先における個人データの取扱状況等の監督
⑦ 個人データの安全管理に関する教育・研修の実施
⑧ 統括情報管理責任者に対する報告
⑨ その他所管部署における個人データの安全管理に関する事項
② ニ 個人データの取扱状況を確認できる手段の整備
(取扱状況の確認と点検)
第一条 顧客情報の保管場所や方法、期限等、当該情報の取扱状況を確認できる手段を整備する。
二 顧客情報を取り扱う部署ごとに点検責任者及び点検担当者を設置し、点検計画を策定し、定期的及び臨時に点検を実施しなければならない。
三 点検の実施において、規程違反事項等を把握した場合は、その改善策を講じなければならない。
③ ホ 個人データの取扱状況の点検及び監査体制の整備と実施
(監査)
第一条 個人情報監査責任者は、本規程に定める事項の全社における遵守状況等について、監査を指揮して年に1回(年度末)監査を実施するとともに、監査報告書を作成し社長に報告しなければならない。
二 個人情報の監査体制は、以下のとおりとする。
① 個人情報監査責任者
社長によって指名され、公平かつ客観的な立場で監査の業務を統括する。
② 個人情報監査員(監査員)
個人情報監査責任者から任命される。各監査において選ばれる監査員は、被監査部署と組織的に独立した者でなければならない。
三 監査報告は以下の手順で行う。
① 監査員は、「個人情報監査報告書」を個人情報監査責任者に提出する。
② 個人情報監査責任者は、各監査員から提出された「個人情報監査報告書」を取りまとめる。
③ 個人情報監査責任者は、取りまとめた監査の結果を社長に報告する。
四 改善は以下の手順で行う。
① 社長は、統括情報管理責任者に、「個人情報監査報告書」で指摘された指摘事項、改善指示事項について、是正・改善するように命令する。
② 統括情報管理責任者は、被監査部署の部門情報管理責任者に対し、是正処置・改善策を立案の上実施するように命令する。
③ 改善指示を受けた被監査部署の部門情報管理責任者は、発生原因を明らかにし、「改善回答書」を作成のうえ、統括情報管理責任者に提出する。
④ 統括情報管理責任者は、被監査部署の部門情報管理責任者から提出された「改善回答書」の改善状況について社長に報告する。
⑵ 第⑵号 人的安全管理措置
イ 役職員との個人データの非開示契約等の締結
<機密保持に関する誓約書>
私は、貴社(DEF株式会社)に対し、下記の内容を誓約致します。
(情報取扱)
第一条 私は、在籍中、貴社に係る次の情報を不正に使用、改ざん又は第三者に漏えい致しません。
① 顧客に関する個人情報
② 従業者に関する個人情報
③ 財務に関する情報
④ 他社との事業提携に関する情報
⑤ 子会社及びグループ関連会社に関する情報
⑥ 技術管理、ノウハウ、並びに施設及び設備に関する情報
⑦ その他貴社の経営、営業又は技術に関する情報で貴社が機密保持の対象として指定した情報
(義務)
第二条 私は、在籍中、第1条第1項各号の情報について、法令及び社内諸規程を遵守して、使用又は利用し、適切に管理致します。また、貴社から指示のあったときは貴社との雇用・契約関係如何にかかわらず直ちにすべて返還致します。
二 私は、退職・契約期間終了等、離職する場合には、第1条第1項各号の情報の一切について、社内諸規程及び貴社の指示に従って、返還若しくは適切に廃棄し、又は削除致します。
(損害賠償)
第三条 私は、前条に違反し、第1条第1項各号の情報を不正に利用、改ざん又は故意若しくは過失により第三者に漏えい若しくは紛失した場合、私は法的な責任が生じることを十分に理解し、これにより貴社に生じた損害を賠償致します。
(調査・報告)
第四条 私は、内部監査や内部検査上、必要に応じて第1条各号の情報の使用記録や使用状況、電子メールの情報や内容等について調査や閲覧されることを承諾致します。またそれらに関し貴社より報告を求められた場合は、速やかに所要事項等を報告することを誓約致します。
⑶ 第⑶号 物理的安全管理措置
イ 個人データの取扱区域等の管理
ロ 機器及び電子媒体等の盗難等の防止
ハ 電子媒体等を持ち運ぶ場合の漏えい等の防止
ニ 個人データの削除及び機器、電子媒体等の廃棄
(物理的安全管理)
第一条 個人データは、施錠可能な保管室、キャビネット等に保管し、アクセスできる者を限定し、特定するものとする。
二 個人情報及び個人情報が記載、記録されている媒体の持ち出しは、原則としてこれを禁止し、部門情報管理責任者又は担当者による所定の手続に則った承諾を必要とする。
三 個人データが記載、記録されている機器及び電子媒体等については、盗難や不正アクセスが行われないよう管理者がその所在を管理する。また、当該電子媒体等を持ち運ぶ場合には、パスワードの設定その他の漏えい等の防止措置を講じる。
四 個人データを削除し、又は個人データを記録した紙、機器、電子媒体等を廃棄する場合は内容に応じ部門情報管理責任者の指示に基づき、裁断、焼却、溶解、消磁又は、破棄の方法で適切に行わなければならない。なお、社外へ消去・廃棄作業を依頼した場合は、消去・廃棄証明書を取得し、必要に応じ消去・廃棄の事実を確認する。
⑷ 第⑷号 技術的安全管理措置
イ 個人データの利用者の識別及び認証
ロ 個人データの管理区分の設定及びアクセス制御
ハ 個人データへのアクセス権限の管理
ニ 個人データの漏えい等防止策
ホ 個人データへのアクセスの記録及び分析
へ 個人データを取り扱う情報システムの稼動状況の記録及び分析
ト 個人データを取り扱う情報システムの監視及び監査
(技術的安全管理)
第一条 個人データへの不正なアクセス又は個人データの紛失、破壊、改ざん、流出等を防ぐため、個人データを取り扱う(入力、保管、検索、印刷等)情報システムに関し、別途規程等を定めるものとする。また、定めるにあたり、以下を考慮するものとする。
① 利用者の識別及び認証
② 管理区分の設定とアクセス制御
③ アクセス権限の管理
④ 流出・き損防止策
⑤ アクセス記録及び分析
⑥ 稼動状況の記録及び分析
