共通ヘッダを読みとばす

日本財団 図書館

資料庵

日本財団

サイト内検索
Top定款・規程 > 定款・規程情報


名 称:
個人情報取扱規程  

区 分:
規程

分 野:
その他  
本文
個人情報取扱規程

令和4年6月1日
規第456号

目 次
第1章  総則 (第1条−第5条)
第2章  安全管理体制 (第6条−第16条)
第3章  個人情報の取得 (第17条−第22条)
第4章  個人情報の利用及び第三者提供の制限 (第23条−第31条)
第5章  保有個人データ等の管理 (第32条−第39条)
第6章  監査 (第40条)
第7章  危機管理体制その他 (第41条−第46条)
附 則


第1章 総 則
(目 的)
第1条 この規程は、個人情報を取り扱う事業者たる公益財団法人日本財団(以下「財団」という。)における個人情報の正確性及び安全性の確保、個人情報の秘密保持に関する従業者の責務並びに個人情報を取り扱う受託処理に関する措置等を講ずることにより、個人情報の適正管理を継続的に維持し、その品質を向上させることを目的とする。

(定 義)
第2条 この規程における用語の意義は、次の各号に掲げるとおりとする。
 (1)事業者…事業を営む法人その他の団体又は個人をいう。
 (2)従業者…次の者を総称したものをいう。
  イ 財団の役員等(評議員、理事、監事、会計監査人をいう。)
  ロ 財団に使用されている職員及び嘱託職員
  ハ 財団の指揮監督を受ける派遣労働者等
 (3)個人情報…生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。ただし、この規程における個人情報には、特定個人情報は含めないものとする。
  イ 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(ロの個人識別符号を除く。)をいう。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
  ロ 個人情報の保護に関する法律施行令第1条で定める個人識別符号(指紋認識データ、顔認識データ、個人番号、旅券番号、免許証番号等が該当する。)が含まれるもの
 (4)個人情報保護管理者…会長によって財団の内部から指名された者であって、この規程に定める安全管理体制の構築及びその運用に関する責任及び権限を有する者をいう。
 (5)個人情報保護監査責任者…会長によって財団の内部から指名された者であって、公平、かつ、客観的な立場にあり、監査の実施及び報告を行う責任及び権限を有する者をいう。
 (6)個人情報処理責任者…個人情報保護管理者によって選任され、個人情報保護管理者を補助し、苦情・相談窓口の運営、個人情報データベース等への入力・出力、訂正・追加・削除、台帳・申込書等の個人情報を記載した帳票等の保管・管理等を行う責任及び権限を有する者をいう。
 (7)事務取扱担当者…個人情報保護管理者によって選任され、それぞれの部署若しくは事業所ごとに、又は個人情報の種別ごとに、個人情報保護の取得から廃棄に至るまでの各プロセスにおける取扱いと安全管理措置等の業務を遂行する者をいう。
 (8)個人情報データベース等…個人情報を含む情報の集合物であって、次に掲げるものをいう。ただし、利用方法からみて個人の権利利益を害するおそれが少ないものを除く。
  イ 特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの
  ロ イに掲げるもののほか、個人情報を一定の規則に従って整理、分類し、目次、索引、符号等を付すことによって特定の個人情報を容易に検索することができるように体系的に構成したもの
 (9)個人データ…個人情報データベース等を構成する個人情報をいう。
 (10)保有個人データ…事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって6か月以内に消去することとなるもの以外のものをいう。ただし、次に掲げるものを除くものとする。
  イ 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
  ロ 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
  ハ 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
  ニ 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
 (11)本人…個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
 (12)本人の同意…本人が、個人情報の取扱いに関する情報を与えられたうえで、自己に関する個人情報の取扱いについて承諾する意思表示をいう。なお、本人が子ども又は事理を弁識する能力を欠く者の場合は、法定代理人等の同意も得なければならない。
 (13)法令等…個人情報の取扱いに関する法令、国が定める指針その他の規範をいう。なお、国が定める指針とは、主に次のものをいう。
  イ 特定個人情報の適正な取扱いに関するガイドライン(事業者編)(個人情報保護委員会)
  ロ 個人情報の保護に関する法律についてのガイドライン(通則編)(個人情報保護委員会)
  ハ 個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)(個人情報保護委員会)
  ニ 個人情報の保護に関する法律についてのガイドライン(外国第三者提供編)(個人情報保護委員会)

(適用範囲)
第3条 この規程は、財団及び従業者に適用する。
2 この規程は、財団において、手作業により処理されている個人情報及びその全部又は一部がコンピュータにより処理されている個人情報であって、組織的に保有するファイリングシステムの全部又は一部をなすものを対象とする。

(基本理念)
第4条 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。
2 財団は、この規程の定めを組織的に取り組むこと等を明らかにするため、個人情報保護方針(様式第1号)を定めるものとする。
3 財団は、利用目的の特定に当たっては、取得した情報の利用及び提供によって本人の受ける影響を予測できるように、利用及び提供の範囲を可能な限り具体的に明らかにするように配慮しなければならない。

(従業者の責務)
第5条 従業者は、財団の事業に従事するに当たり、法令等を遵守するとともに、この規程、運用細則その他の個人情報に関連する内部規程を遵守しなければならない。
2 個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退いた後も同様とする。
3 財団に使用される職員が、故意に個人情報を漏えいし、又は転売目的で第三者に提供したとき、又はしようとしたときは、財団は、職員就業規則に定めるところにより、懲戒を行う。


第2章 安全管理体制
(個人情報保護管理者)
第6条 会長は、個人情報の安全管理のための総責任者として、個人情報保護管理者を1名選任し、次の各号に掲げる業務を行わせるものとする。
 (1)この規程の作成及び運用に関すること。
 (2)次条に定める事務取扱担当者への助言指導及び報告徴収に関すること。
 (3)個人情報を提供する委託先及び再委託先の監督に関すること。
 (4)その他個人情報の安全管理に関する事項全般に関すること。
2 個人情報保護管理者は、前項各号に関する事務を総括するとともに、自らこの規程に定められた事項を遵守し、かつ、従業者に遵守させるために、この規程に定める措置その他必要な措置を実施する責任を負う。
(安全管理体制の構築)
第7条 財団は、個人情報の安全管理のための組織体制を定めるものとし、その権限及び責任は、この規程に定めるところによる。
2 財団は、個人情報の取得・入力、移送・送信、利用・加工、保管・バックアップ等の事務の流れを整理するものとする。
3 財団は、個人情報データベース等の取扱状況を確認し、その取扱い上のリスクを特定し、適切に対応するため、個人情報の項目、利用目的、保管場所、保管方法、アクセス権を有する者、利用期限、保管期限、廃棄方法等を記載した個人情報管理台帳(様式第2号)を調製するとともに、当該台帳の内容を適宜に確認し、最新の状態で維持されるようにしなければならない。
4 財団は、従業者が、個人情報保護法等及びこの規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を確立しなければならない。
5 財団は、個人データの漏えい等の事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための報告連絡体制を確立しなければならない。

(安全管理措置)
第8条 財団は、財団が管理する個人情報に関する漏えい、滅失又はき損等のリスクを回避するために、次に掲げる区分に応じて、適切な安全管理措置を講じなければならない。
 (1)組織的安全管理措置
 (2)人的安全管理措置
 (3)物理的安全管理措置
 (4)技術的安全管理措置

(組織的安全管理措置)
第9条 財団は、組織的安全管理措置として、前条各号の措置を講ずるための組織体制を整備する。
2 財団及び従業者は、個人情報保護法及びこの規程の定めに従って個人データを取り扱わなければならない。この場合において、財団は、整備された個人データの取扱いに係る規律に従った運用の状況を確認するため、システムログ又は利用実績を記録するものとする。
3 個人情報保護管理者は、個人データの取扱状況を確認するための手段を整備しなければならない。
4 個人情報保護管理者は、漏えい等の事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備しなければならない。
5 個人情報の漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、個人情報保護管理者は、事案に応じて、事実関係及び再発防止策等を早急に公表しなければならない。
6 個人情報保護管理者は、個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければならない。

(人的安全管理措置)
第10条 財団は、人的安全管理措置として、次の各号に掲げる措置を講ずる。
 (1)従業者への適切な監督
 (2)従業者への教育研修
 (3)個人データについての秘密保持に関する事項を就業規則に定める。

(従業者の監督)
第11条 財団は、その従業者に個人情報を取り扱わせるに当たっては、当該個人情報の安全管理を図るために当該従業者に対して必要かつ適切な監督を行わなければならない。

(従業者の教育研修)
第12条 財団は、従業者に対し、継続的、かつ、定期的に個人情報に関する教育研修を実施するものとする。
2 従業者は、前項の教育研修に参加しなければならない。

(物理的安全管理措置)
第13条 財団は、物理的安全管理措置として、次項以下の措置を講ずる。
2 財団は、個人情報データベース等を取り扱うサーバーやメインコンピュータ等の重要な情報システムを管理する区域(以下「管理区域」という。)及びその他の個人データを取り扱う事務を実施する区域(以下「取扱区域」という。)を定め、これを管理する。
3 財団は、機器及び電子媒体等の盗難等の防止措置を講ずる。従業者は、個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、適切な管理を行わなければならない。
4 財団は、電子媒体等を持ち運ぶ(個人データを管理区域又は取扱区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいう。以下同じ。)場合の漏えい等の防止措置を講ずる。従業者は、個人データが記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人データが判明しないよう、パスワードによる保護、封緘等による措置を講じなければならない。また、事業所内で持ち運ぶ場合であっても、個人データの紛失・盗難等に留意しなければならない。
5 財団は、個人データの削除及び機器、電子媒体等の廃棄ルールを定める。従業者は、個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行わなければならない。また、廃棄に当たっては、あらかじめ個人情報保護管理者に届け出て、その指示を仰がなければならない。
6 前項の場合において、個人情報保護管理者は、個人データを削除した場合、又は、個人データが記録された機器、電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存しなければならない。また、それらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認しなければならない。

(技術的安全管理措置)
第14条 財団は、情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、技術的安全管理措置として、次項以下の措置を講ずる。
2 担当者及び取り扱う個人情報データベース等の範囲を限定するために、財団は、適切なアクセス制御措置を講ずる。個人情報保護管理者は、適切なアクセス権限の付与等アクセス制御を管理する。
3 財団は、アクセス者の識別と認証を行う。個人情報保護管理者は、個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証しなければならず、不正なアクセスが認められたときは、直ちに財団及び全従業者に報告し、適切な防御措置を講ずる。
4 財団は、外部からの不正アクセス等を防止するため、個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウエアから保護する仕組みを導入する。従業者は、これらを適切に運用するため、常に次の各号に掲げる対策を講じなければならない。
 (1)マルウエア対策ソフトを常に最新版に更新すること。
 (2)OS、アプリケーションのアップデートを実行すること。
5 財団は、情報システムの使用に伴う個人データの漏えい等を防止するための措置を講ずる。従業者は、情報システムの使用に当たっては、財団の定める手順に従い適切に運用しなければならない。

(委託先に対する安全管理措置)
第15条 個人情報保護管理者は、個人情報の取扱いの全部又は一部を財団外の業者に委託(再委託を含む。以下同じ。)するときは、適切な業者を選定するための基準(以下「委託先選定基準」という。)を定めるものとする。
2 個人情報保護管理者は、個人情報の取扱いを委託する場合は、委託契約において、法令を遵守し財団が定める安全管理措置と同等の措置を講ずることを契約に盛り込むとともに、あらかじめ定めた間隔で定期的に確認する等の方法等により、委託先に対する必要かつ適切な監督を行うものとする。
3 個人情報保護管理者は、個人情報の取扱いを委託する場合の委託先選定基準及び個人情報の安全管理に関する報告徴収の結果等により委託先の選定の見直しを実施するものとする。
4 個人情報保護管理者は、従業者が個人情報の取扱いを委託する場合において、委託する業務内容に対して必要のない個人データを提供しないよう必要かつ適切な監督を行うものとする。

(委託先選定基準)
第16条 前条の委託先選定基準は、次の各号に掲げる事項について設定するものとし、委託契約に係る基本契約書に当該事項に関する規定を設け、財団と委託先の責任を明確化するものとする。
 (1)個人データの漏えい防止、盗用禁止その他個人データの安全管理に関する事項
 (2)守秘義務の存在に関する事項
 (3)個人情報を取り扱う者の適正な範囲に関する事項
 (4)委託先における個人情報の秘密保持及び管理の方法に関する事項
 (5)委託先の個人情報の取扱担当者に対する個人情報保護のための教育・訓練に関する事項
 (6)契約終了時の個人情報の返却及び消去に関する事項
 (7)個人情報の漏えいその他の事故が生じた場合の措置、責任分担に関する事項
 (8)再委託に関する事項
 (9)財団からの監査の受入れに関する事項
 (10)契約内容が遵守されなかった場合の措置
2 前項の委託先選定基準に基づく委託先の評価は、委託先選定基準チェックシート(様式第3号)に基づき、その必要に応じて実施するものとする。


第3章 個人情報の取得
(個人情報の取得原則)
第17条 個人情報の取得は、財団が行う事業の範囲内に限り、かつ、あらかじめ利用目的を明確に定め、その目的の達成に必要な限度内において行うものとする。

(適正な取得)
第18条 個人情報の取得は適正な手段により行うものとし、窃取、脅迫、偽りその他不正な手段により個人情報を取得してはならない。
2 要配慮個人情報の取得等に関しては、第22条に定めるところによる。

(利用目的の特定)
第19条 財団は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

(取得に際しての利用目的の公表)
第20条 次条に定める場合を除き、個人情報を取得する場合は、利用目的をできる限り特定し、あらかじめその利用目的を公表しなければならない。
2 前項にかかわらず、あらかじめ利用目的を公表(ウェブサイト上の掲載、パンフレット等への記載、財団内における掲示、備付けの方法等によるものとする。本条及び第25条において同じ。)することが困難である場合は、個人情報を取得した後、速やかにその利用目的を本人に通知し、又は公表しなければならない。ただし、次の各号に掲げる場合を除く。
 (1)利用目的を本人に通知し、又は公表することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
 (2)利用目的を本人に通知し、又は公表することにより、財団の権利又は正当な利益を害するおそれがある場合
 (3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより、当該事務の遂行に支障を及ぼすおそれがある場合
 (4)取得の状況からみて利用目的が明らかであると認められる場合

(直接本人から文書等により取得する場合)
第21条 本人との間で契約を締結することに伴い契約書その他の書面(電磁的記録を含む。)に記載された本人の個人情報を取得する場合は、あらかじめ本人に対し、次のいずれかの方法により、利用目的を明示しなければならない。ただし、本人又は第三者の生命、身体又は財産の保護のために緊急の必要がある場合は、この限りでない。
 (1)相手方に手交し、又は送付する契約書等にその利用目的を記載する方法
 (2)ホームページ上の入力画面にその利用目的を明記する方法

(要配慮個人情報の取得及び提供の制限)
第22条 財団は、次の各号に掲げる内容を含む個人情報(以下「要配慮個人情報」という。)の取得は、行わないものとする。ただし、これらの情報の取得について、明示的な本人の同意がある場合又は法令等の要請からやむを得ない事情があるときは、この限りでない。
 (1)人種
 (2)信条
 (3)社会的身分
 (4)病歴
 (5)犯罪の経歴
 (6)犯罪により害を被った事実
 (7)身体障害、知的障害、精神障害(発達障害を含む。)等、次に掲げる心身の機能の障害があること。
  イ 身体障害者福祉法における身体上の障害
  ロ 知的障害者福祉法における知的障害
  ハ 精神保健及び精神障害者福祉に関する法律における精神障害(発達障害者支援法における発達障害を含み、ロに掲げるものを除く。)
  ニ 治療方法が確立していない疾病その他の特殊の疾病であって障害者の日常生活及び社会生活を総合的に支援するための法律第4条第1項の政令で定めるものによる障害の程度が同項の厚生労働大臣が定める程度であるもの
 (8)本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果
 (9)健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
 (10)本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
(11)本人を少年法第3条第1項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。
2 前項ただし書のやむを得ない事情とは、次のいずれかに該当する場合とする。
 (1)法令に基づく場合
 (2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
 (3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
 (4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
 (5)当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報保護法第76条第1項各号に掲げる者、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国における個人情報保護法第76条第1項各号に掲げる者に相当する者により公開されている場合
 (6)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
 (7)委託、事業承継又は共同利用により、個人データである要配慮個人情報の提供を受けるとき。


第4章 個人情報の利用及び第三者提供の制限
(個人情報の利用原則)
第23条 個人情報の利用は、原則として、特定された利用目的の達成に必要な範囲内で、具体的な業務に応じ権限を与えられた者のみが、業務の遂行上必要な限りにおいて行うものとする。

(利用目的による制限)
第24条 財団は、あらかじめ本人の同意を得ないで、財団が特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
2 財団が合併その他の事由により他の個人情報取扱事業者の事業を承継することに伴って個人情報を取得した場合には、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次の各号のいずれかに該当する場合については、適用しない。
 (1)法令に基づく場合
 (2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
 (3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
 (4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(利用目的の変更)
第25条 財団は、利用目的を変更する場合は、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えた変更を行ってはならない。また、利用目的を変更した場合は、変更後の利用目的について、本人に通知し、又は公表しなければならない。

(第三者提供の制限)
第26条 財団は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
 (1)法令に基づく場合
 (2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
 (3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
 (4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。以下、本章において同じとする。
 (1)委託の場合…個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
 (2)事業承継の場合…合併その他の事由による事業の承継に伴って個人データが提供される場合
 (3)共同利用の場合…特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、第27条第1項各号の事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

(共同利用)
第27条 財団は、特定の者との間で共同して利用される個人データが当該特定の者に提供される場合は、以下の事項をあらかじめ本人に通知するか、本人が容易に知り得る状態に置くとともに、共同利用する第三者にも同様の措置を講じさせなければならない。
 (1)個人データを特定の者との間で共同して利用する旨
 (2)氏名、住所等の共同利用される個人データの項目
 (3)共同して利用する者の範囲
 (4)共同して利用する個人データのすべての利用目的
 (5)個人データの管理について責任を有する者の氏名又は名称
 (6)取得方法
2 財団は、前項に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、共同利用する第三者にも同様の措置を講じさせなければならない。

(外国にある第三者への提供の制限)
第28条 財団は、外国(本邦の域外にある国又は地域をいう。以下同じ。)にある第三者に個人データを提供する場合には、第26条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。ただし、当該外国にある第三者が、次の各号のいずれかに該当する場合は、第26条(第三者提供の制限)を適用するものとし、第26条第1項の本人の同意による第三者提供を認める。
 (1)当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報の保護に関する法律施行規則で定める国にある場合
 (2)当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制を整備し、かつ、次のいずれかの基準を満たしている場合
イ 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、個人情報保護法に定める個人情報取扱事業者の義務等の趣旨に沿った措置の実施が確保されていること。
ロ 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。

(第三者提供に係る記録の作成等)
第29条 財団は、個人データを第三者に提供したときは、次の区分に応じ、当該事項を記録しなければならない。ただし、当該個人データの提供が第26条第1項各号又は同条第2項各号のいずれか(前条の規定による個人データの提供にあっては、同条各号のいずれか)に該当する場合は、この限りでない。
 (1)本人の同意により個人情報を第三者に提供した場合及び海外に第三者提供した場合(様式第4号)
  イ 本人の同意を得ている旨
  ロ 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
  ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
  ニ 当該個人データの項目
2 財団は、前項各号の記録を、原則として、3年間保存しなければならない。

(第三者提供を受ける際の確認等)
第30条 財団は、第三者から個人データの提供を受けるに際しては、次の各号の区分に応じ、当該各号に掲げる事項の確認をしなければならない。ただし、当該個人データの提供が第26条第1項各号又は同条第2項各号のいずれか(第28条の規定による個人データの提供にあっては同条各号のいずれか)に該当する場合は、この限りでない。
 (1)本人の同意に基づき第三者提供を受ける場合(様式第5号)
  イ 本人の同意を得ている旨
  ロ 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
  ハ 当該第三者による当該個人データの取得の経緯
  ニ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
  ホ 当該個人データの項目
 (2)私人などから第三者提供を受ける場合(様式第6号)
  イ 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
  ロ 当該第三者による当該個人データの取得の経緯
  ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
  ニ 当該個人データの項目
2 財団は、前項各号の記録を、原則として、3年間(契約書として保存するときは1年間)保存しなければならない。

(個人データに該当しない個人情報の第三者提供)
第31条 財団は、あらかじめ本人の同意を得ないで、個人データに該当しない個人情報を第三者に提供しないようにするものとする。ただし、業務上の必要性がある場合には、財団が別に定める所定の手続を経て、事前に個人情報保護管理者の了承を得たうえで第三者に提供することができる。


第5章 保有個人データ等の管理
(正確性の確保)
第32条 財団は、利用目的の達成に必要な範囲内において、個人情報を、正確かつ最新の状態で管理するよう努めなければならない。

(個人データの入出力、保管等)
第33条 個人データの個人情報データベース等への入力、出力及び記帳並びに台帳及び申込書等の個人情報を記載した帳票の保管及び管理等は、原則として個人情報処理責任者が行わなければならない。ただし、個人情報処理責任者は、個人情報保護管理者の承諾を得て、事務取扱担当者にその一部を代行させることができる。

(保有個人データに関する事項の公表等)
第34条 財団は、保有個人データに関し、次に掲げる事項をホームページ上に掲載し、パンフレット等に記載し、又は本人の求めに応じて遅滞なく回答するようにしなければならない。
 (1)財団の名称
 (2)すべての保有個人データの利用目的(次のいずれかに該当する場合を除く。)
  イ 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  ロ 利用目的を本人に通知し、又は公表することにより財団の権利又は正当な利益を害するおそれがある場合
  ハ 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
  ニ 取得の状況からみて利用目的が明らかであると認められる場合
 (3)次に係る事項
  イ 保有個人データの開示
  ロ 保有個人データの利用目的の通知
  ハ 保有個人データの訂正、追加、削除
  ニ 保有個人データの利用停止、消去、第三者提供の停止
  ホ イからニまでの求め(以下、「開示等請求」という。)に応じる手続及びこれらの手続に係る手数料の定め
 (4)前号の手続に際して提出すべき「個人情報開示等請求書」(様式第7号)の様式、その他の開示等の求めの受付方法
 (5)保有個人データの取扱いに関する苦情の申出先

(保有個人データの開示)
第35条 財団は、本人から当該個人が識別される保有個人データの開示(当該保有個人データが存在しないときにはその旨を含む。)を求められたときは、所定の本人確認手続を経たうえで、「個人情報開示等請求に対するご通知」(様式第8号)により当該保有個人データを開示しなければならない。ただし、開示することにより、次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
 (1)本人又は第三者の生命、身体、財産その他の権利や利益を害するおそれがある場合
 (2)財団の業務の適正な実施に著しい障害を及ぼすおそれがある場合
 (3)他の法令に違反することとなる場合
2 前項各号に該当し、保有個人データの全部又は一部を開示しない旨の決定をしたときは、本人に対し、遅滞なくその旨を通知するとともに、その理由を説明しなければならない。

(保有個人データの利用目的の通知)
第36条 財団は、本人から当該個人が識別される保有個人データの利用目的の通知を求められたときは、その利用目的を、「個人情報開示等請求に対するご通知」(様式第8号)により、本人に通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
 (1)保有個人データを本人の知り得る状態に置いていることにより保有個人データの利用目的が明らかな場合
 (2)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
 (3)利用目的を本人に通知し、又は公表することにより財団の権利又は正当な利益を害するおそれがある場合
 (4)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 前項各号に該当し、求められた保有個人データの利用目的を通知しない旨を決定したときは、遅滞なくその旨を通知しなければならない。

(保有個人データの訂正、追加、削除)
第37条 財団は、本人から当該本人が識別される保有個人データの内容が事実と異なるという理由で、訂正、追加、削除(以下「訂正等」という。)を求められたときは、本人確認手続を経たうえで遅滞なく調査を行い、その結果に基づいて訂正等を行わなければならない。
2 調査の結果、保有個人データの訂正等を行ったとき又は行わない旨を決定したときは、「個人情報開示等請求に対するご通知」(様式第8号)により、本人に対し、遅滞なくその旨を通知しなければならない。

(保有個人データの利用停止、消去、第三者提供の停止)
第38条 財団は、本人から、当該本人が識別される保有個人データが利用目的の制限に違反するという理由、不正の手段により取得したものであるという理由又は本人の同意なく要配慮個人情報を取得したという理由で利用停止又は消去(以下「利用停止等」という。)を求められたときは、本人確認手続を経たうえで、遅滞なく調査を行い、その結果に基づいてデータの利用停止等を行わなければならない。
2 財団は、本人から、当該本人が識別される保有個人データが個人情報の取扱いに関する法令上の第三者提供制限に違反するとの理由で、第三者への提供の停止を求められたときは、本人確認手続を経たうえで遅滞なく調査を行い、その結果に基づいてこれを停止しなければならない。
3 前二項の場合において、保有個人データの利用停止等の措置を行ったとき又は行わない旨を決定したときは、「個人情報開示等請求に対するご通知」(様式第8号)により、本人に対し遅滞なくその旨の通知をしなければならない。

(開示等請求に係る手続き)
第39条 開示等請求に係る手続きについては、次の各号の定めるところによる。
 (1)開示等請求に際して提出すべき書面(電磁的記録を含む。)は様式第7号のとおりとする。
 (2)開示等請求をする本人であることの確認に必要な本人確認書類は、次のいずれかの写しとする。ただし、ホ及びヘについては、開示等請求の前30日以内に作成されたものに限る。
  イ 運転免許証
  ロ 健康保険の被保険者証
  ハ パスポート
  ニ 住民基本台帳カードなどの住所・氏名が記載されている公的書類
  ホ 住民票
  ヘ 外国人登録原票
 (3)開示等請求を本人の代理人が行う場合に必要な本人確認書類は、本人及び代理人についての前号に掲げる書類のいずれかに加え、代理を示す旨の委任状とする。
 (4)開示等請求に必要な手数料は、1件につき300円(税込)とする。なお、手数料は郵便局の小為替又は現金にて必要金額を財団に支払うものとする。


第6章 監査
(内部監査)
第40条 個人情報保護監査責任者は、個人情報の安全管理に関する監査を行うため、随時個人情報保護管理者、個人情報処理責任者、事務取扱担当者その他の従業者に対して、個人情報の安全管理状況等について報告徴収を求めることができ、従業者はこれに協力しなければならない。
2 個人情報保護監査責任者は、個人情報保護管理者に対して、定期的に個人情報の安全管理に関する監査報告を行うものとする。
3 個人情報保護監査責任者は、必要に応じて、個人情報の安全管理に関する事項について外部監査を委託することができる。


第7章 危機管理体制その他
(情報漏えい等事案に対応する体制の整備)
第41条 財団は、従業者が個人情報保護法及びこの規程に違反するおそれ又は違反する事実を知った場合、その旨を個人情報保護管理者に報告しなければならない。
2 個人データ又は加工方法等情報の漏えい等の事案が発生したときは、直ちに次の各号に掲げる措置を講じると共に、安全管理体制全般及びこの規程の見直しを図らなければならない。
 (1)影響を受ける可能性のある本人への連絡
 (2)事実関係の調査及び原因の究明
 (3)再発防止策の検討及び決定
 (4)事実関係及び再発防止策等の公表
 (5)実質的に外部への漏えいがない場合又は外部への漏えいが軽微な場合を除き、個人情報保護委員会又は主務大臣等への報告

(緊急時対策基準)
第42条 従業者は、個人情報の漏えいの事故が発生した場合及び個人情報保護法並びにこの規程に違反する事実が生じた場合は、被害拡大防止のための措置を講ずる。
2 違反する事実が個人情報の漏えい、滅失又はき損であるときは、当該事実が生じた個人情報の内容を本人に速やかに通知し、又は本人が容易に知り得る状態に置くよう努めなければならない。また、個人情報保護管理者は、速やかに事実関係を調査し、漏えいの対象となった本人に対する対応を行うとともに、被害拡大防止のための措置を講ずる。
3 財団は、再発防止措置、社内処分を決定し、必要に応じて、関係機関への報告又は公表等の対応を行うものとする。
4 前各項の緊急時対策については、緊急時対策基準(様式第9号)に従うものとする。

(苦情・相談窓口)
第43条 個人情報保護管理者は、個人情報の保護に関して苦情や相談を受け付け、対応する相談窓口を常設し、当該相談窓口の連絡先を本人に告知するものとする。
2 前項の相談窓口の運営責任者は、個人情報処理責任者とする。

(GDPRの適用)
第44条 次の各号のいずれかに該当するときは、EU一般データ保護規則(GDPR)の適用があることに留意しなければならない。
 (1)データ主体(識別された自然人又は識別可能な自然人をいう。本条において同じ。)の支払いが要求されるか否かを問わず、EU域内のデータ主体に対する物品又はサービスの提供
 (2)データ主体の行動がEU域内で行われるものである限り、その行動の監視
2 前項の場合の取扱いについては別に定める。

(懲戒及び損害賠償)
第45条 財団は、故意又は過失により法令に違反し、又はこの規程に違反した従業者に対しては、職員就業規則又は誓約書等により処分を行うとともに、財団に損害を与えた場合には、損害賠償を請求するものとする。

(改 廃)
第46条 この規程の改廃は、理事会の決議による。
2 会長は、個人情報の適切な保護を維持するため、必要に応じてこの規程を見直し、必要と認められる場合にはその改廃を指示しなければならない。


附則(令和4年6月1日 規第456号)
この規程は、令和4年6月1日から施行する。


 
様式第1号   form1.pdf  
様式第2号   form2.pdf  
様式第3号   form3.pdf  
様式第4号   form4.pdf  
様式第5号   form5.pdf  
様式第6号   form6.pdf  
様式第7号   form7.pdf  
様式第8号   form8.pdf  
様式第9号   form9.pdf  


日本財団会長笹川陽平ブログがスタート!

日本財団図書館は、日本財団が運営しています。

  • 日本財団 THE NIPPON FOUNDATION
Copyright(C)The Nippon Foundation