個人情報保護方針_2025_01 – OrangeOne株式会社（問い合わせDXカンパニー）

PRIVACY POLICY

個人情報保護方針

制定年月日　2025年10月1日
最終改正年月日　2025年10月1日
OrangeOne株式会社
代表取締役春日原森

当社は、当社が取り扱う全ての個人情報の保護について、社会的使命を十分に認識し、本人の権利の保護、個人情報に関する法規制等を遵守します。また、以下に示す方針を具現化するための個人情報保護マネジメントシステムを構築し、最新のＩＴ技術の動向、社会的要請の変化、経営環境の変動等を常に認識しながら、その継続的改善に、全社を挙げて取り組むことをここに宣言します。

ａ）個人情報は、ITコンサルティング事業、クラウドサービス導入支援・サポート事業、システム・アプリ開発事業業務における当社の正当な事業遂行上並びに従業員の雇用、人事管理上必要な範囲に限定して、取得・利用及び提供をし、特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い（目的外利用）を行いません。また、目的外利用を行わないための措置を講じます。

ｂ）個人情報保護に関する法令、国が定める指針及びその他の規範を遵守致します。

ｃ）個人情報の漏えい、滅失、き損などのリスクに対しては、合理的な安全対策を講じて防止すべく事業の実情に合致した経営資源を注入し個人情報セキュリティ体制を継続的に向上させます。また、個人情報保護上、問題があると判断された場合には速やかに是正措置を講じます。

ｄ）個人情報取扱いに関する苦情及び相談に対しては、迅速かつ誠実に、適切な対応をさせていただきます。

ｅ）個人情報保護マネジメントシステムは、当社を取り巻く環境の変化を踏まえ、適時・適切に見直してその改善を継続的に推進します。

以上

【お問合せ窓口】

個人情報保護方針に関するお問合せにつきましては、下記窓口で受付けております。

OrangeOne株式会社　個人情報問合せ窓口

〒102-0071 東京都千代田区富士見1-2-27 秀和九段富士見町ビル4F
TEL 03-3234-8807　/ FAX 03-3234-8808　/ E-MAIL privacy@orangeone.jp
受付時間　平日9：00～18：00

個人情報に関する公表文

制定年月日　2025年4月15日
最終改正年月日　2025年4月15日
発行者　個人情報保護管理者
承認者　春日原森

J.1 組織の状況

J.1.1 組織及びその状況の理解（4.1）

当社は、個人情報を取り扱う事業に関して、個人情報保護マネジメントシステムに影響を与えるような外部及び内部の課題を特定する。

《留意事項》

※「個人情報保護マネジメントシステムに影響を与えるような外部及び内部の課題を特定すること」とは、個人情報の取扱いに関する法令、国が定める指針その他の規範、個人情報保護マネジメントシステムの確立、実施、維持及び継続的改善に必要な資源（人員・組織基盤・資金）、セキュリティ対策等の観点から、現状のみならず、将来実施するであろう事業を踏まえて洗い出すこと。

J.1.2 利害関係者のニーズ及び期待の理解（4.2）

当社は、次の事項を特定する。

a）個人情報保護マネジメントシステムに関連する利害関係者

b）その利害関係者の、個人情報保護に関連する要求事項

《留意事項》

※ 利害関係者とは、本人及び個人情報保護マネジメントシステムに関連する個人、事業者及び団体（委託元（及び委託元の顧客）、委託先）等を指す。

※ 利害関係者の要求事項には、法令、官公庁等のガイドライン、事業者の所属団体による自主規制、商慣習に基づき遵守が求められる事項、取引先等との間の契約上の義務等を含めてもよい。

J.1.3 法令、国が定める指針その他の規範（4.1）

１当社は、個人情報の取扱いに関する法令、国が定める指針その他の規範（以下、「法令等」という。）を特定し参照する手順を内部規程として文書化する。

２　法令等を特定し参照しなければならない。

《留意事項》

※ 参照とは、特定した法令等の内容を事業者が遵守することを含む。

《法令、国が定める指針その他の規範を特定し参照する手順》

a）対象とする法令等は、個人情報保護法、各省庁が示す基準、ガイドライン及び業界が示す指針等並びに自治体から業務を請け負う場合は当該自治体の個人情報保護条例等とし、個人情報保護管理者が特定し、個人情報保護管理者が承認するものとする。

b）特定した法令等は「個人情報保護に関する法令規範一覧」として全社員が閲覧可能な状態とする。

c）法令等は、個人情報保護管理者が、毎年7月及び必要に応じて随時、（a）項に示す法律、基準、ガイドライン、指針、条例等の告示、改訂等を確認し、必要に応じて改訂するものとする。

J.1.4 個人情報保護マネジメントシステムの適用範囲の決定（4.3）

１　当社は、自らの事業の用に供している全ての個人情報の取扱いを個人情報保護マネジメントシステムの適用範囲として定め、その旨を文書化する。

２　文書化した情報を利用可能な状態にする。

《留意事項》>

※ 自らの事業の用に供している仮名加工情報、匿名加工情報、及び個人関連情報（当該個人関連情報が提供先の第三者において個人情報になることが想定される場合）においても、個人情報保護マネジメントシステムの適用範囲として定める。

《個人情報保護マネジメントシステムの適用範囲》

カテゴリー	対　象
組織	OrangeOne株式会社
所在地	全ての事業拠点
対象個人情報	事業の用に供する全ての個人情報 ※「個人情報管理台帳」にて別途定義
技術	自社管理システム全般

J.1.5 個人情報保護マネジメントシステム（4.4）

当社は、本規程に従って、必要なプロセス及びそれらの相互作用を含む、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、継続的に改善する。

J.2 リーダーシップ

J.2.1 リーダーシップ及びコミットメント（5.1）

トップマネジメントは、次の事項について統率し、その結果について責任を持つ。

a）当社の戦略的な方向性と両立した、個人情報保護方針及び個人情報保護目的を確立する。

b）個人情報保護マネジメントシステムの要求事項を当社の業務手順に適切に組み入れる。

c）個人情報保護マネジメントシステムに必要な資源を確保する。

d）有効な個人情報保護マネジメント及び個人情報保護マネジメントシステム要求事項への適合の重要性を利害関係者に周知する。

e）個人情報保護マネジメントシステムを適切に運用できるようにする。

f）個人情報保護マネジメントシステムが計画通りに実施できるように、従業者を指揮･支援する。

g）継続的改善を促進する。

h）その他の関連する管理者がその職務領域において、統率力を発揮できるよう、その管理者に割り当てられた役割をサポートする。

《留意事項》

※ トップマネジメントとは、最高位で自社を指揮し、管理する個人又は人々の集まりのことで、当社内で権限を委譲し、資源を提供する力を持つ者である。典型的には、代表者や、当社内において権限を有する取締役以上の役職を指す。

※ 個人情報保護目的とは、個人情報保護方針を達成するための目的ないし目標として、全社的若しくは部門毎等に定めるもの。

※ 利害関係者とは、J.1.2（利害関係者のニーズ及び期待の理解）で特定したもの。

※ 従業者とは、当社の組織内にあって、直接若しくは間接に、組織の指揮監督を受けて組織の業務に従事している者などをいう。これには、雇用関係にある従業者（正社員、契約社員、嘱託社員、パート社員、アルバイト社員など）だけでなく、雇用関係にない従事者（取締役、執行役、理事、監査役、監事、派遣社員など）も含まれる。

J.2.2 個人情報保護方針（5.2.1、5.2.2）

１トップマネジメントは、次の事項を考慮して、個人情報保護方針を策定する。

a）事業の目的に対して適切であること。

b）J.2.1で定めた個人情報保護目的を含むか、又は個人情報保護目的の設定のための枠組みを示すこと。

c）個人情報保護に関連して適用される要求事項を実施すること。

d）個人情報保護マネジメントシステムの継続的改善を実施すること。

２個人情報保護方針を文書化した情報には、次の事項を含める。

a)事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること［特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い（以下、「目的外利用」という。）を行わないこと及びそのための措置を講じることを含む。］

b）個人情報の取扱いに関する法令、国が定める指針その他の規範の遵守

c）個人情報の漏えい、滅失又は毀損の防止及び是正に関する事項

d）苦情及び相談への対応に関する事項

e）個人情報保護マネジメントシステムの継続的改善に関する事項

f）トップマネジメントの氏名

g）制定年月日及び最終改正年月日

h）個人情報保護方針の内容についての問合せ先

３トップマネジメントは、個人情報保護方針を文書化した情報を、当社内に周知するとともに、一般の人が入手可能な措置を講じる。

J.2.3.1 組織の役割、責任及び権限（5.3.1）

１トップマネジメントは、個人情報保護に関連する役割に対して、責任及び権限を従業者へ割り当てるとともに、その結果を利害関係者に周知する。

２責任及び権限を、次の事項を実施するために割り当てる。

a）個人情報保護マネジメントシステムを、本規程の要求事項に適合させる。

b）個人情報保護マネジメントシステムの運用の成果をトップマネジメントに報告させる。

３役割及び役割に対する責任及び権限を、内部規程として文書化する。

《留意事項》

※ 利害関係者とは、従業者を指す。

《役割及び役割に対する責任及び権限》

各責任者の氏名または役職は「個人情報保護体制図」に記述する。個々の特定個人情報の特定個人情報等事務取扱担当者は、「個人情報管理台帳」のアクセス権を有する者欄に記述する。

c）トップマネジメント（代表取締役） 当社ＰＭＳの最高責任者として、管理責任者、監査責任者を指名し、ＰＭＳを実施させる。

d）個人情報保護管理者 当社ＰＭＳの統括責任者として、ＰＭＳの構築、維持および個人情報取扱いの管理全般について責任を負う。

e）個人情報保護監査責任者 全部門の監査を計画、実行し、トップマネジメントに報告する。

f）苦情相談窓口責任者 保有個人データに関する問合せや各種依頼への対応、及び個人情報取扱についての苦情相談等に対応する。

g）情報システム管理者 情報システムに関して、ＰＭＳを維持するための安全管理対策を実施する。

i）特定個人情報等事務取扱担当者 個人番号を含む個人情報の取扱いについて、特定個人情報等事務取扱責任者の指示を受けて適切な取得、利用、保管を実施する。

J.2.3.2 個人情報保護管理者と個人情報保護監査責任者（5.3.2）

１トップマネジメントは、本規程の内容を理解し実践する能力のある個人情報保護管理者を当社内部に属する者の中から指名し、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせる。

２個人情報保護管理者は、個人情報保護マネジメントシステムの見直し及び改善の基礎として、トップマネジメントに個人情報保護マネジメントシステムの運用状況を報告する。

３トップマネジメントは、公平、かつ、客観的な立場にある個人情報保護監査責任者を当社内部に属する者の中から指名し、監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え、業務を行わせる。

４個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、トップマネジメントに報告する。

５監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保する。

《留意事項》

※ 個人情報保護管理者と個人情報保護監査責任者とは異なる者であること。

J.2.4 管理目的及び管理策（一般）（4.4）

管理策について、トップマネジメント又はトップマネジメントによって権限が与えられた者によって、当社が定めた手段に従って承認する。

《留意事項》

※ 管理策とは、本規程に定める事項のうち、個人情報保護リスク対策に関する事項及び当社が必要であると決定した事項が対象となり、リスクを修正するためのあらゆるプロセス、方針、実務、その他の処置を含む。

J.3 計画

J.3.1.1 個人情報の特定（6.1）

１自らの事業の用に供している全ての個人情報を特定するための手順を内部規程として文書化する。

２個人情報を管理するための台帳を整備する。

３台帳には、少なくとも次の項目を含む。

・個人情報の項目

・利用目的

・保管場所

・保管方法

・アクセス権を有する者

・利用期限

・保管期限

・管理する個人情報の件数（概数でも可）

４台帳の内容は少なくとも年一回、及び必要に応じて適宜に確認し、最新の状態で維持する。

《留意事項》

※ 当該要求事項本項の目的は、事業の用に供する全ての個人情報を特定し、その取扱い状況を把握することにある。台帳の整備はそのための手段であって、目的ではない。

※自らの事業の用に供している仮名加工情報、匿名加工情報、及び個人関連情報（当該個人関連情報が提供先の第三者において個人情報になることが想定される場合）においても、当該要求事項に基づいて実施する。

《全ての個人情報を特定するための手順》

a）個人情報の取扱い担当者は、業務の流れの中で使用する帳票類を考慮し、「個人情報管理台帳」に個人情報を特定する。

b）個人情報保護管理者は、上記「個人情報管理台帳」に特定漏れがないかを確認の上、承認する。

c）新種の個人情報は、「新規個人情報取得申請書」によって個人情報保護管理者の承認を得た後、「個人情報管理台帳」に遅滞なく記録し管理するものとする。

d）既に取得した個人情報の利用目的や取扱い方法が変更された場合には、「個人情報取扱変更等申請書」によって個人情報保護管理者の承認を得た後、「個人情報管理台帳」を更新しなければならない。

「個人情報管理台帳」は、毎年7月及び必要に応じて随時、各部門責任者が見直しを行い、個人情報保護管理者の承認を得る。見直しを行なう際は、個人情報の件数、アクセス権者や管理者、保管期間が適切かに留意する。

J.3.1.2 リスク及び機会に対処する活動（一般）（6.2.1）

１当社は、個人情報保護マネジメントシステムの計画の策定に当たって、J.1.1で把握した課題及びJ.1.2で特定した要求事項を考慮し、次の事項を実現できるよう個人情報保護リスクアセスメント及び個人情報保護リスク対応を行う。

a）当社が意図した成果を達成できるようなマネジメントシステムの策定

b）望ましくない影響の防止

c）個人情報保護マネジメントシステムの継続的な改善

２当社は、個人情報保護マネジメントシステムの計画の策定に当たって、次の事項を含める。

d）リスクに対する対策の内容

e）d）の対策を個人情報保護マネジメントシステムの手順に含めて実施する方法

f）d）の対策の評価

J.3.1.3 個人情報保護リスクアセスメント（6.2.1、6.2.2）

１当社は、個人情報保護リスクについて、次の事項を踏まえて、個人情報保護リスクアセスメント（個人情報保護リスクを特定、分析及び評価）をするための手順を定め、かつ実施する。定めた手順及び実施した内容については、少なくとも年一回、及び必要に応じて適宜に見直す。

a）次の観点を、個人情報保護のリスク基準とする。

1）本人の権利利益の侵害

2）本規程に定める事項

3）法令及び国が定める指針その他の規範に関する事項

4）個人情報の漏えい、紛失、滅失・毀損、改ざん、正確性の未確保、不正・不適正取得、目的外利用・提供、不正利用、開示等の求め等の拒否に関する事項

b）繰り返し実施した個人情報保護リスクアセスメントに、一貫性及び妥当性があり、かつ、比較可能な結果を生み出すことを確実にする。

c）個人情報保護リスクを特定する。

1）当社において、事業毎に、個人情報の取扱いを特定する。

2）個人情報の取得、保管、利用及び消去等に至る各局面において、適正な保護措置を講じない場合に想定されるリスクを特定する。

3）上記で特定したリスクのリスク所有者を特定する。

d）個人情報保護リスクを分析・評価する。

1）c）で特定したリスクと、a）のリスク基準とを比較する。

2）リスク対応の優先順位を明らかにする。

２当社は、個人情報保護のリスクを特定、分析及び評価をするための手順を内部規程として文書化する。

３文書化した情報を利用可能な状態にする。

《留意事項》

※ 個人情報保護リスクとは、個人情報の取扱いの各局面（個人情報の取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄等に至る個人情報の取扱いの一連の流れ）において、適正な保護措置を講じない場合に想定されるリスクを指す。

※ 個人情報保護リスクは、例えば以下の観点において特定することができる。

1) 個人情報ライフサイクル

2) 個人情報の性質

3) 個人情報に係る情報処理施設及び個人情報に係る情報システム（あらゆる情報処理のシステム、サービス若しくは基盤、又はこれらを収納する物理的場所）

4) 当社が既に講じている安全管理措置

※ リスク所有者とは、当該リスクに関して対応を行う責任及び権限を有する者を指す。

《個人情報保護のリスクを特定、分析及び評価をするための手順》

リスクの認識、分析、対策は次の手順で行い、「個人情報リスク分析対策表」に記述し、個人情報保護管理者の承認を経てトップマネジメントが承認する。

e）個人情報の類型化を図る 「個人情報管理台帳」を参考に、業務内容や媒体単位等の類似した個人情報を集約する。

f）ライフサイクル局面ごとのリスクを記述する 個人情報のライフサイクル（取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄）それぞれについて考えられるリスクを認識する。

g）リスク対策を記述する リスクに対する対策を記入する。

h）関連する規程類の記入 リスク対策を参照できるよう、関連する規程類の項番を記入する。

i）残留リスクの記述 十分な対策を講じられない場合や、対策後においてもリスクを完全には回避できない部分を残留リスクとして把握する。

個人情報リスク分析対策表の更新は、次の手順で行う。

j）新規取得・利用目的変更・取扱い方法変更の場合

1）各部門の管理者は、既存のリスク分析シート等も参考に、当該個人情報のリスク分析を行う。

2）個人情報保護管理者の承認を経てトップマネジメントの承認を受ける。

k）個人情報を削除する場合

1）リスク分析表から当該個人情報を削除する。

2）個人情報保護管理者の承認を経てトップマネジメントの承認を受ける。

個人情報リスク分析対策表の見直しは、次の手順で行う。

「個人情報リスク分析対策表」は、毎年7月に、各部門の責任者が見直しを行い、個人情報保護管理者の承認を経てトップマネジメントの承認を受けた上、必要に応じて変更を行う。また、個人情報の保管場所が変わる等、取り扱い方法に変更が生じた場合には、随時見直しを行う。

J.3.1.4 個人情報保護リスク対応（6.2.1、6.2.3）

１当社は、次の事項について、個人情報保護リスクへの対応手順を内部規程として本規程に文書化し、かつ実施する。定めた手順及び実施した内容については、適宜見直す。

a）個人情報保護リスクへの対応に当たっては、個人情報保護リスクアセスメントの結果を考慮して、必要な対応策（本規程及び当社が必要であると決定した、個人情報保護に関するリスクを修正する対策を含む。）を策定する。

b）a）を踏まえて、個人情報保護リスクへの対応計画を策定し、実施する。

c）個人情報保護リスクへの対応計画及び実施した内容（現状で実施し得る対策を講じた上で、未対応部分を残留リスクとして把握し、管理することを含む。）について、原則として、トップマネジメントの承認を得る。

２当社は、a）～c）を実施した記録を利用可能な状態にする。

《留意事項》

※ 残留リスクとは、リスク対応後に残っているリスクのことであり、受容するリスク（放置しておいてよいリスク）ではなく、現時点では困難であるが、短期的若しくは中長期的に対応していくリスクのことである。なお、個人情報の不適切な取扱い（不正な取得・利用など）に関するリスクについては、法令遵守の観点から、全て対応する必要があるため、残留リスクとすることは認められない。

※ 残留リスクの管理とは、残留リスクについて文書化し、モニタリングし、レビューし、対応可能となった場合に追加的対応の対象とすること等を指す。なお、残留リスクは、個人情報保護リスクの定期的な見直しを通じて、適切に管理することが重要となる。

J.3.2 個人情報保護目的及びそれを達成するための計画策定（6.3）

当社は、次の事項を含めて、個人情報保護目的を達成するために計画する。

a）実施事項

b）必要な資源

c）責任者

d）達成期限

e）結果の評価方法

《留意事項》

※ 個人情報保護目的を達成するために必要となる計画は、J.3.3（計画策定）において、J.2.2（個人情報保護方針）、及びJ.3.1.3（個人情報保護リスクアセスメント）の結果を踏まえて、本項のa)～e)を含めて策定すること。

J.3.3 計画策定（6.3）

当社は、個人情報保護マネジメントシステムを確実に実施するために、次の事項を含めて、少なくとも年一回、及び必要に応じて適宜に必要な計画を立案し、文書化する。

a）教育実施計画

b）内部監査実施計画

J.3.4 変更の計画策定（6.4）

当社は、個人情報保護マネジメントシステムの変更の必要性に関する決定をしたとき、その変更を計画する。

J.4 支援

J.4.1 資源（7.1）

当社は、個人情報保護マネジメントシステムの確立、実施、維持及び継続的改善に必要な資源を決定・確保し、利害関係者へ提供する。

《留意事項》

※ 資源とは、人員、組織基盤（規程、体制、施設・設備など）、資金などを指す。

※ 利害関係者とは、J.1.2（利害関係者のニーズ及び期待の理解）で特定したものである。

J.4.2 力量（7.2）

当社は、次の事項を行う。

a）当社の個人情報保護に影響を与える業務をその管理下で遂行する者に対して、個人情報保護の観点から、従業者に必要とされる能力を決定する。

b）a）の者に対して、a）で決定した能力及びJ.4.3を充足するための処置を行い、必要な能力を備えることを確実にする。

c）b）を実施した結果、必要な能力が備わっていない場合は、必要な能力を身につけるための処置をとるとともに、とった処置の有効性を評価する。

d）a）～c）を実施した記録を利用可能な状態にする。

《留意事項》

※ a)で決定した能力及びJ.4.3を充足するための処置とは、例えば、現在雇用している者に対する、教育訓練の機会提供、指導の実施、配置転換の実施などがあり、また、力量を備えた者の雇用、そうした者との契約締結などもある。

J.4.3 認識（7.3）

１当社は、従業者に対して、少なくとも年一回、及び必要に応じて適宜に教育を実施する手順（教育の理解度を確認する手順を含む。）を内部規程として文書化する。

２当社は、従業者に対して、次の事項を認識させる。

a）個人情報保護方針

b）個人情報保護マネジメントシステムに適合することの重要性及び利点

c）個人情報保護マネジメントシステムに適合するための役割及び責任

d）個人情報保護マネジメントシステムに違反した際に予想される結果

《留意事項》

※ 本項は、J.4.2（力量）と一体として捉えること。

《教育を実施する手順》

e）教育の対象範囲 教育の対象範囲は、当社の全従業者とする。

f）個人情報保護管理者の責務 個人情報保護管理者は、教育の計画及び実施、結果の報告及びそのレビュー、計画の見直し並びにこれらの記録に関する責任と権限を有する。

g）教育計画の策定 個人情報保護管理者は、毎年7月に年間教育計画を作成し、トップマネジメントの承認を得なければならない。

h）教育の実施

1）教育は、教育計画に基づいて実施し、受講対象者が全て受講したことを記録しなければならない。

2）受講者は、教育受講時、理解度、自覚度を確認するために原則としてテスト等を受けなければならない。

3）個人情報保護管理者はテスト等にて受講者の理解度を把握する。その際、理解度の低い受講者に対しては再教育等を行い、所定の水準に達したことを確認するものとする。

i）実施報告 個人情報保護管理者は、教育の実施記録を作成し、トップマネジメントの承認を得なければならない。

J.4.4.1 コミュニケーション（7.4.1）

当社は、個人情報保護マネジメントシステムを構築・運用するにあたり、次の事項を考慮して、内外の利害関係者と意思疎通や情報共有を行う。

a）コミュニケーションの内容（何を伝達するか。）

b）コミュニケーションの実施時期

c）コミュニケーションの対象者

d）コミュニケーションの実施者

e）コミュニケーションの実施手順

f）コミュニケーションの実施方法

《留意事項》

※ コミュニケーションとは、平常時における、本人を含む外部とのコミュニケーション（個人情報保護方針の公表、本人からの開示等の請求等への対応、苦情及び相談への対応等）及び内部とのコミュニケーション（報告・連絡・相談・承認等）や、緊急時における対応（主に、緊急事態への準備（J.4.4.2））がある。

J.4.4.2 緊急事態への準備（7.4.3、A.13）

１当社は、緊急事態が発生した場合に報告等が必要となる関係機関及び利害関係者をあらかじめ特定する。

２個人情報保護リスクを考慮し、その影響を最小限とするため、緊急事態を特定するための手順、及び特定した緊急事態にどのように対応するかの手順を内部規程として文書化する。

３緊急事態への準備及び対応に関する規定には、緊急事態が発生した場合に備え、次の事項を対応手順に含める。

a）緊急事態が発生した個人情報の内容を本人に速やかに通知する。

b）二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因及び対応策を、遅滞なく公表する。

c）事実関係、発生原因及び対応策を、関係機関及び利害関係者に直ちに報告する。

４緊急事態が発生した場合、定めた手順に従って緊急事態への対応を実施する。

《留意事項》

※ 緊急事態へ対応する際は、事態の把握と調査が重要となる。十分な調査を行うことを前提に、調査後の対応手順を定めること。

※ 緊急事態とは、個人情報保護リスク（J.3.1.3の留意事項を参照）の脅威（当社や本人等に損害を与える可能性がある、望ましくないインシデント（事故等）の潜在的な要因）が顕在化した状況を指す。

※ 関係機関とは、以下に該当するものを指す。

1) プライバシーマーク付与機関（プライバシーマーク付与事業者は審査を受けた審査機関へ報告し、報告を受けた審査機関はその旨付与機関へ報告する）

2)個人情報保護委員会（個人情報保護法に基づき、個人情報保護委員会の権限が事業所管大臣に委任されている分野で漏えい等事案が発覚した場合は、その指定された報告先に代える）

3) その他、法令で定められている報告先等

※ 関係機関（プライバシーマーク付与機関を除く）への具体的な報告等は、法令等に基づいて実施する。

※ 利害関係者とは、委託元/委託先、企業グループ各社等を指す。

※ a)について、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではない。

《緊急事態を特定するための手順及び特定した緊急事態にどのように対応するかの手順》
《緊急事態の定義》

緊急事態とは次の場合を指すものとする。

d）個人情報の取り扱いにおいて、下記の事象が発生した場合(個人情報保護委員会による「漏えい等」) 漏えい、滅失又は毀損

e）個人情報の取り扱いにおいて、下記の事象が発生した場合(プライバシーマーク審査機関による「事故等」) ①漏えい、②紛失、③滅失・毀損、④改ざん、正確性の未確保、⑤不正・不適正取得、⑥目的外利用・提供、⑦不正利用、⑧開示等の求め等の拒否、⑨①～⑧のおそれ

f）火災や地震等により、個人情報を取り扱う業務に重大な支障をきたすと思われる場合

g）システム上又はネットワーク上に重大な障害が発生し、個人情報の適正管理に支障をきたすと、情報システム管理者が判断した場合

h）個人情報に関連する脅迫行為が行われた場合

i）その他、トップマネジメント又は個人情報保護管理者が、個人情報に係る緊急事態であると判断した場合

《緊急時における組織体制》

j）緊急事態対策会議 トップマネジメント、役員、個人情報保護管理者、関係部門長を構成メンバーとし、トップマネジメント又はトップマネジメントが選任した者が議長となる。また必要に応じて、その他の要員及び外部の専門家を加えることもある。

k）緊急連絡先の把握 緊急事態が発生した場合の社内連絡の手順は「緊急連絡網」又は下記の手段等を使うこととする。必要に応じて、部門管理者は自部門所属従業者の連絡先を平時に確認しておかなければならない。 ・貸与携帯電話 ・私物携帯電話 ・外部コミュニケーションツール（LINE、Chatwork、Teams　等）

《基本的な対応方針》

l）対応は、事態の拡大防止等のための一次対応と再発防止のための恒久的対応に分けて行う。

m）全ての対応は、緊急事態対策会議の決定に基づいて行う。

n）被害の対象となる本人に対しては、誠意ある対応を第一とする。

o）マスコミ等外部への対応は緊急事態対策会議で決定した問合せ窓口があたり、個人や特定部署での対応を禁ずる。

p）関係機関への報告対象となる事態である場合は、トップマネジメントに報告の上、必要な報告を行う。

《緊急時における一次対応》

緊急時における一次対応は、被害状況の把握及び被害の拡大防止、二次被害の防止の観点により、次の手順で行う。

q）緊急事態の類型による初期対応

1）警察への通知（盗難、強盗などの場合）

2）対象となった個人情報、被害規模、範囲の特定（全ての場合）

3）システム停止等の応急措置（システム障害の場合）

4）委託元への報告（受託した個人情報の場合）

r）緊急事態対策会議の開催

1）対応方針決定

2）対応策の実施と記録

s）本人への通知（受託した個人情報の場合は、委託元の指示に基づく）

1）特定された本人に対し、事実関係及び、具体的な対応策を説明し、了承を得る。

2）了承を得られない場合には、緊急事態対策会議にて改めて対応を協議の上、決定事項に基づいて本人への対応を行う。

3）連絡がつかない場合、及び本人特定ができない場合は、内容を本人が知りうる状態におく。

t）公表（受託した個人情報の場合は、委託元の指示に基づく）

1）緊急事態対策会議において公表が必要と判断した場合には、当社ホームページを通じて事実関係及び、発生原因、対応状況、再発防止策などを公表する。

2）影響範囲が広範囲かつ深刻な場合は、マスコミへの公表を行う。

3）公表を行う場合は、マスコミ等外部に対する問合せ窓口を設置する。

u）関係機関への報告（受託した個人情報の場合は、委託元の指示に基づく）

《個人情報保護委員会への速報・確報》

下記1）～8）に該当する「漏えい等」が発生した場合は、個人情報保護委員会に次の報告をしなければならない。
速報：発覚日から3～5日以内
確報：発覚日から30日（本項3）又は5）の場合は60日）以内

1）要配慮個人情報が含まれる事故等が発生し、又は発生したおそれがある事態

2）不正に利用されることにより財産的被害が生じるおそれがある事故等が発生し、又は発生したおそれがある事態

3）不正の目的をもって行われたおそれがある事故等が発生し、又は発生したおそれがある事態

4）個人データに係る本人の数が1,000人を超える事故等が発生し、又は発生したおそれがある事態

5）不正の目的をもって行われたおそれがある特定個人情報の漏えい等が発生し、若しくは発生したおそれがある事態又は不正の目的をもって、特定個人情報が利用・提供され、若しくは利用・提供されたおそれがある事態

6）特定個人情報ファイルに記録された特定個人情報が電磁的方法により不特定多数の者に閲覧され、又は閲覧されるおそれがある事態

7）漏えい等が発生し、若しくは発生したおそれがある特定個人情報又は番号法に反して利用・提供され、若しくは利用・提供されたおそれがある特定個人情報に係る本人の数が100人を超える事態

8）情報提供ネットワークシステム等⼜は個⼈番号利⽤事務を処理するために使⽤する情報システム等で管理される特定個⼈情報の漏えい等が発⽣し、⼜は発⽣したおそれがある事態

《プライバシーマーク審査機関への速報》

下記に該当する「事故等」が発生した場合は、発覚日から3～5日以内に、プライバシーマーク審査機関に報告しなければならない。
本項1）～8）に該当する事態

9）その他、付与機関がプライバシーマーク付与適格性審査基準における重大な違反、又は重大な違反のおそれがあると認めた事態

《プライバシーマーク審査機関への確報》

「事故等」が発生した場合は、発覚日から30日（本項3）又は5）の場合は60日）以内に、プライバシーマーク審査機関に報告しなければならない。

連絡先
個人情報保護委員会事務局 個人データ漏えい等報告窓口	個人データ漏洩時 https://roueihoukoku.ppc.go.jp/incident/?top=r2.kojindata 特定個人情報漏洩時 https://roueihoukoku.ppc.go.jp/incident/?top=r2.mynumber
プライバシーマーク審査機関	Pマークポータル https://privacymark.jp/member_site/index.html

《記録・再発防止・終結》

個人情報保護管理者は、事後の係争への対処および業務改善のため、緊急事態発生時における、以下に関する事項の全てにつき「緊急事態対応記録」でトップマネジメントに報告し、その記録を保管するものとする。

v）外部からの問い合わせ、クレームの内容など

w）対外連絡、報告、協議に関する事項

x）社内における連絡、報告、協議に関する事項

緊急事態における一次対応が収束し、被害の拡大がないとトップマネジメントが判断した場合には、緊急事態対策会議は、再発防止のため、次の対応を行う。

y）原因の究明

z）原因が不適合による場合は、本規程J.7.1に基づく、是正処置の実施

トップマネジメントは、上記、緊急事態における一次対応、及び再発防止のための対応が完了したことを確認し、緊急事態対策会議を解散する。

J.4.5.1 文書化した情報（一般）（7.5.1）

個人情報保護マネジメントシステムの基本となる次の要素に対応する書面を作成する。

a）個人情報保護方針

b）内部規程

c）内部規程に定める手順上で使用する様式

d）計画書

e）プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針が要求する記録

f）その他、当社が個人情報保護マネジメントシステムを実施する上で必要と判断した文書（記録を含む。）

J.4.5.2 文書化した情報の管理（7.5.3）

１個人情報保護マネジメントシステム及び本規程で要求されている文書化した情報は、次の事項を確実にするために管理する。

a）必要な時に、必要な所で、入手可能かつ利用に適した状態である。

b）十分に保護されている（例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護）。

２文書化した情報の管理に当たっては、次の事項を実施する。

c）配付、アクセス、検索及び利用

d）読みやすさが保たれることを含む、保管及び保存

e）変更の管理（例えば、版の管理）

f）保持及び廃棄

３個人情報保護マネジメントシステムに必要となる外部からの文書化した情報は、必要に応じて特定し、管理する。

<<留意事項>>

※ アクセスとは、文書化した情報の閲覧だけの許可に関する決定、文書化した情報の閲覧、変更の許可及び権限に関する決定などを意味する。

J.4.5.3 文書化した情報（記録を除く。）の管理（7.5.2）

１本規程が要求する全ての文書化した情報（記録を除く。）を管理する手順を、次の事項を含む内部規程として文書化する。

a）文書化した情報（記録を除く。）の発行及び改正に関すること。

b）文書化した情報（記録を除く。）の改正の内容と版数との関連付けを明確にすること。

c）必要な文書化した情報（記録を除く。）が必要なときに容易に参照できること。

d）適切性及び妥当性に関する、適切なレビュー及び承認を行うこと。

２文書化した情報（記録を除く。）の管理を実施する。

《留意事項》

※ c)の「必要な文書化した情報（記録を除く。）が必要なときに容易に参照できること。」とは、適切な形式（例えば、言語、ソフトウェアの版、図表）及び媒体（例えば、紙、電子媒体）に関することを含む。

《文書化した情報（記録を除く。）を管理する手順》

e）文書の発行

1）新規にＰＭＳ文書を発行するに際しては、原則として、文書番号、版番号又はそれに代わる識別情報、制定日、発行者を明記しておくものとする。ただし様式類、記録類を除く。

2）発行の際は、事前に所定の承認を得なければならない。

f）文書の改訂

1）個人情報保護管理者は、ＰＭＳ文書を必要に応じて適宜改訂するものとする。改訂に際しては、改訂履歴に改訂日と改訂内容を残し、版番号を更新することとする。

2）改訂は次の要因を把握して行うものとする。 ・本規程J.6.3に定めるマネジメントレビュー ・ＰＭＳの管理方法、手順に変更が生じた場合 ・文書の正確性や文書間の整合性を維持するために必要な場合

3）文書の改訂をする場合は、改訂内容の適切性及び妥当性について、関係者のレビューや所定の承認を行う事とする。

g）個人情報保護管理者は、必要に応じて関係者の誰もがＰＭＳ文書にアクセスできるような手段を講ずる。また、ＰＭＳ文書は、常に最新版の閲読または入手可能な便宜を図り、旧版あるいは無効のＰＭＳ文書の返却または廃棄の指示と管理を関係者に対して行う。

J.4.5.4 内部規程（7.5.1.1）

１次の事項を含む内部規程を文書化する。

a）個人情報を特定する手順に関する規定

b）法令、国が定める指針その他の規範の特定、参照及び維持に関する規定

c）個人情報保護リスクアセスメント及びリスク対応の手順に関する規定

d）当社の各部門及び階層における個人情報を保護するための権限及び責任に関する規定

e）緊急事態への準備及び対応に関する規定

f）個人情報の取得、利用及び提供に関する規定

g）個人情報の適正管理（データ内容の正確性の確保等、安全管理措置、従業者の監督、委託先の監督）に関する規定

h）本人からの開示等の請求等への対応に関する規定

i）教育などに関する規定

j）文書化した情報の管理に関する規定

k）苦情及び相談への対応に関する規定

l）監視、測定、分析及び評価、並びに内部監査に関する規定

m）不適合及び是正処置に関する規定

n）マネジメントレビューに関する規定

o）内部規程の違反に関する罰則の規定

２事業の内容に応じて、個人情報保護マネジメントシステムが確実に適用されるように内部規程を改正する。

《当社の内部規程》

当社では、本項に定める全ての規定を、本規程に含める。

J.4.5.5 文書化した情報のうち、記録の管理（7.5.1.2）

１個人情報保護マネジメントシステム及び本規程で要求されている記録の管理についての手順を内部規程として文書化する。

２次の事項を含む必要な記録を作成する。

a）法令、国が定める指針及びその他の規範の特定に関する記録

b）個人情報の特定に関する記録

c）個人情報保護リスクアセスメント及び個人情報保護リスク対応に関する記録

d）次の事項を含む管理策で要求する記録

1) 利用目的の特定に関する記録

2) 保有個人データに関する開示等（利用目的の通知，開示，内容の訂正，追加又は削除，利用の停止又は消去，第三者提供の停止）の請求等への対応記録

3) 第三者提供に係る記録

4) 第三者提供に関する開示等の請求等への対応記録

5) 個人情報の適正管理への対応記録

e）教育などの実施記録

f）苦情及び相談への対応記録

g）緊急事態への対応記録

h) 監視、測定、分析及び評価の記録

i）内部監査の記録

j）マネジメントレビューの記録

k）不適合及び是正処置の記録

《個人情報保護マネジメントシステム及び本規程で要求されている記録の管理についての手順》

l）記録について具体的な書類、データ等を特定し、保管、保護、保管期間及び廃棄の手順を定めて「ＰＭＳ記録管理シート」で管理、維持する。

m）記録類は、必要とするときにはすぐに検証できるようにしておく。

n）記録に個人情報が含まれる場合は、当該記録は個人情報として特定し、関連規定に従って取り扱う。

J.5 運用

J.5.1 運用（8.1、8.2、8.3）

１個人情報保護マネジメントシステムを確実に実施するために、運用の手順を内部規程として文書化する。

２当社は、本規程の要求事項を満たすため及びJ.3で決定した活動について、計画し、実施し、管理する。

３当社は、計画した変更を管理し、意図しない変更によって生じた結果をレビューし、必要に応じて、有害な影響を軽減する処置をとる。

４当社は、外部委託した業務がある場合は、管理の対象とする。

５当社は本項２～４についての記録を利用可能な状態にする。

J.6 パフォーマンス評価

J.6.1 監視、測定、分析及び評価（9.1）

１各部門及び階層の管理者が定期的に、及び適宜に個人情報保護マネジメントシステムが適切に運用されていることを確認する手順を内部規程として文書化する。

２当社は、個人情報保護マネジメントシステムが適切に運用されているかどうかを確認するために、次の事項を決定する。

a）対象とする個人情報保護マネジメントシステムの運用状況

b）a）で対象とした運用状況の監視、測定、分析及び評価の方法

c）a）で対象とした運用状況の監視及び測定の実施時期

d）a）で対象とした運用状況の監視及び測定の実施者

e）a）で対象とした運用状況の分析及び評価の時期

f）a）で対象とした運用状況の分析及び評価の実施者

３各部門及び各階層の管理者は、定期的に、及び適宜に個人情報保護マネジメントシステムが適切に運用されているかを確認し、不適合が確認された場合は、その是正処置を行う。

４当社は、監視及び測定の結果の証拠となる、文書化した情報を利用可能な状態にする。

５個人情報保護管理者は、定期的に、及び適宜にトップマネジメントに運用の確認の状況を報告する。

《運用の確認の手順》

各部門の責任者は、日常の業務で個人情報が部門内で規程通り取り扱われているか、また法令等に違反していないかを「個人情報保護運用チェックリスト」により3か月に1回、及び適宜に確認し、その結果を個人情報保護管理者に報告し、承認を得るものとする。

J.6.2 内部監査（9.2.1、9.2.2）

１内部監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を内部規程として文書化する。

２当社は、個人情報保護マネジメントシステムが次の事項の状況にあるか否かについて、少なくとも年一回、及び必要に応じて適宜に内部監査を実施する。

a）当社の内部規程（当社自身が規定した要求事項を含む）が、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」の要求事項に適合している。

b）個人情報保護マネジメントシステムが有効に実施され、維持されている。

３個人情報保護監査責任者は、次の事項を行う。

c）内部監査実施計画を策定、確立、実施及び維持する。その内部監査実施計画は、関連するプロセスの重要性及び前回までの内部監査の結果を考慮する。

d）各内部監査について、監査目的、監査基準及び監査範囲を明確にする。

e）内部監査プロセスの客観性及び公平性を確保する監査員を選定し、内部監査実施計画に従って、監査を実施する。

f）内部監査の結果を内部監査報告書としてまとめ、管理層及びトップマネジメントに報告する。

４内部監査実施計画及び内部監査結果の証拠となる文書化した情報を利用可能な状態にする。

《留意事項》

※ d)の監査範囲は、自らの事業の用に供する個人情報を取扱う全ての業務、従業者、情報システム等を含めること。

※ 個人情報保護監査責任者は、監査員に、自己の所属する部署の内部監査をさせてはならない。

《内部監査の手順》

g）監査対象範囲 監査対象範囲は、当社の全ての部署、及び個人情報保護管理者とする。

h）監査計画 個人情報保護監査責任者は、毎年7月に監査の実施についての「内部監査計画書」を作成し、トップマネジメントの承認を受ける。また、必要に応じて「個別監査計画書」を作成し、関係者のスケジュールを調整する。

i）監査時期 監査の実施時期は、次の通りとする。

1）個人情報保護マネジメントシステムの「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」への適合状況及び運用状況の監査は年１回、原則として毎年6月にこれを実施する。なお、運用状況の監査には、リスク分析の結果、講じることとした対策の実施状況の監査も含める。

2）個人情報保護マネジメントシステムの修正等が実施された場合は、それに即して適時に監査を実施する。

3）その他必要に応じて随時監査を実施する。

j）監査実施

1）監査人は監査計画に基づき、チェックリスト等を用いて現場責任者へのヒアリング、文書記録類の確認、現場視察により監査を実施する。

2）個人情報保護監査責任者は、使用したチェックリスト等その他の監査実施記録を保管する。

k）監査報告 個人情報保護監査責任者は、監査結果を「内部監査報告書」に取りまとめ、トップマネジメントに報告し承認を受ける。

J.6.3 マネジメントレビュー（9.3.1、9.3.2、9.3.3）

１マネジメントレビューを実施する手順を内部規程として文書化する。

２トップマネジメントは、当社の個人情報保護マネジメントシステムが、引き続き、適切、妥当かつ有効であることを確実にするために、少なくとも年一回、及び必要に応じて適宜にマネジメントレビューを実施する。

３マネジメントレビューの実施に当たっては、次の事項を含む。

a）前回までのマネジメントレビューの結果を踏まえた見直しの状況

b）個人情報保護マネジメントシステムに関連する外部及び内部の問題点の変化

c）以下の状況を踏まえた、現在の個人情報保護マネジメントシステムの運用状況の評価

1）不適合及び是正処置

2）監視及び測定の結果

3）内部監査結果

4）個人情報保護目的の達成

d）利害関係者からのフィードバック

e）リスクアセスメントの結果及びリスク対応計画の状況

f）継続的改善の機会

４マネジメントレビューからのアウトプットには、継続的改善の機会及び個人情報保護マネジメントシステムのあらゆる変更の必要性に関する決定を含める。

５当社は、マネジメントレビューの結果の証拠となる文書化した情報を利用可能な状態にする。

《留意事項》

※ d)は、利害関係者のニーズ及び期待の理解の変化などが含まれる。

《マネジメントレビューを実施する手順》

g）マネジメントレビューは、原則として毎年6月、及び必要に応じて随時行う。

h）個人情報保護管理者は、マネジメントレビューの結果を「マネジメントレビュー記録」に取りまとめ、トップマネジメントの承認を受ける。

J.7 改善

J.7.1 不適合及び是正処置（10.2）

１当社は、次の事項を含めて、不適合に対する是正処置を実施するための責任及び権限を定める手順を内部規程として文書化する。

a）その不適合に対処し、該当する場合には、必ず、次の事項を行う。

1）その不適合を管理し、修正するための処置をとる。

2）その不適合によって起こった結果に対処する。

b）次の事項によって、その不適合の原因を除去するための処置を検討する。

1）その不適合を調査及び分析する。

2）その不適合の原因を特定する。

3）類似の不適合の有無、又はそれが発生する可能性を検討する。

c）是正処置を計画し、計画された処置を実施する。

d）実施された全ての是正処置の有効性を調査、分析及び評価する。

e）必要な場合には、個人情報保護マネジメントシステムの改善を行う。

２不適合が明らかとなった場合、a)～e)の事項を実施する。

３ a）～e）の実施結果の証拠となる文書化した情報を利用可能な状態にするとともに、原則として、トップマネジメントが承認する。

《留意事項》

※ 不適合が明らかとなった場合とは、J.6（パフォーマンス評価）のほか、個人情報に関わる事故や苦情の発生等が契機となる。

《不適合に対する是正処置を実施するための責任及び権限を定める手順》

f）処置の基本
是正処置は、問題の大きさに対して適切な程度とし、考えられるリスクに釣り合う程度とすることが、処置の基本である。

g）是正処置の入力情報は、次の通りとする。

1）パフォーマンス評価（J.6）により明らかになった不適合

2）緊急事態の原因となった不適合

3）苦情や相談により明らかになった不適合

4）外部機関の指摘により明らかになった不適合

h）是正処置の実施手順
是正処置は、次の手順に従い実施する。

1）不適合を発見した者は、「是正処置実施記録」により当該部門責任者の確認を得て、個人情報保護管理者およびトップマネジメントの承認を受ける。なお、発見された不適合の修正及び、起こった結果への対処が応急処置として必要な場合には、「是正処置実施記録」にて管理を行い、当該部門責任者又は個人情報保護管理者の指示の下、修正（適合状態に戻す処置）、および起こった結果に対処する。

2）当該部門責任者は、指摘内容の根本原因を特定し、処置計画を立案する。

3）当該部門責任者は、不適合の内容、根本原因、処置計画が記入された「是正処置実施記録」を提出し、個人情報保護管理者およびトップマネジメントの承認を受ける。

4）当該部門責任者は、承認された処置計画に従って処置を実施する。

5）当該部門責任者は、処置結果を記載した、「是正処置実施記録」を個人情報保護管理者に提出し、承認を得る。

6）個人情報保護管理者は、処置結果についての有効性のレビュー（効果確認）を実施し、その結果を「是正処置実施記録」に記載し、トップマネジメントに報告する。

J.7.2 継続的改善（10.1）

当社は、個人情報保護マネジメントシステムの適切性、妥当性及び有効性を継続的に改善する。

J.8 取得、利用及び提供に関する原則

J.8.1 利用目的の特定（A.1）

１個人情報の利用目的をできる限り特定し、その目的の達成に必要な範囲内において取扱いを行う。

２利用目的は、取得した情報の利用及び提供によって本人の受ける影響を予測できるように、利用及び提供の範囲を可能な限り具体的に明らかにする。

J.8.2 適正な取得（A.4）

当社は、適法かつ公正な手段によって個人情報を取得する。
本人以外の第三者からの提供、委託または共同利用により個人情報を取得する場合は、提供元・委託元またはその他の共同利用者が個人情報保護法及び個人情報保護委員会ガイドライン等に沿って適切に個人情報を取り扱っていることを確認する。

J.8.3 要配慮個人情報などの取得（A.5）

１要配慮個人情報の取得に際しては、要配慮個人情報の取得、利用、又は提供（要配慮個人情報のデータの提供含む）する旨について、あらかじめ書面によって明示し、書面によって本人の同意を得る。

２要配慮個人情報を取得する際、あらかじめ書面によって本人の同意を得ることを要しないのは、以下の場合に限定する。

a）法令に基づく場合

b）人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

c）公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

d）国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき

e）当該要配慮個人情報が、法令等により個人情報取扱事業者の義務などの適用除外とされている者及び個人情報保護委員会規則で定めた者によって公開された要配慮個人情報であるとき

f）本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合

g）特定した利用目的の達成に必要な範囲内において、要配慮個人情報の取扱いの全部又は一部を委託することに伴って当該要配慮個人情報の提供を受けるとき

h）合併その他の事由による事業の承継に伴って要配慮個人情報の提供を受ける場合であって、承継前の利用目的の範囲内で当該要配慮個人情報を取り扱うとき

i）J.8.7のd)によって、特定の者との間で共同して利用される要配慮個人情報を当該特定の者から提供を受けるとき

j）当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき（当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）

k）学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき（当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）（当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。）

３個人情報に、性生活、性的指向又は労働組合に関する情報が含まれる場合には、当該情報を要配慮個人情報と同様に取り扱う。

《留意事項》

※ 要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。No.3で示した情報は、この要配慮個人情報と同様に取り扱うこと。

※要配慮個人情報の取得に際して同意を得るときは、J.8.5（J.8.4のうち本人から直接書面によって取得する場合の措置）に基づいて実施する。

※ 学術研究機関とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者を指す。

※ 学術研究目的とは、学術研究の用に供する目的を指す。

J.8.4 個人情報を取得した場合の措置（A.6）

１個人情報を取得した場合は、あらかじめ、その利用目的を公表している場合を除き、速やかにその利用目的を本人に通知し、又は公表する。

２本人に利用目的を通知し、又は公表を要しないのは、以下の場合に限定する。

a）利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

b）利用目的を本人に通知し、又は公表することによって当社の権利又は正当な利益を害するおそれがある場合

c）国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行に支障を及ぼすおそれがある場合

d）取得の状況からみて利用目的が明らかであると認められる場合

d）に該当する個人情報は、当社では以下に限定する。

1）名刺交換により取得した個人情報、及びこれに準じる取引先担当者情報

2）入退管理のために来訪者から取得する個人情報

3）見積書・請求書・契約書等に記載された個人情報

4）受信メールに含まれるメールアドレス及びシグネチャー（署名）

《予め利用目的を公表する方法及び取得後速やかに通知又は公表する方法》

予め利用目的を公表する方法及び取得後速やかに通知又は公表する方法は、次の通りとする。

e）予め公表する方法 直接書面以外の方法で取得する個人情報の利用目的を含む文面について個人情報保護管理者の承認を得た上で、当社ホームページ上で公表する。

f）取得後速やかに通知又は公表する方法 直接書面以外の方法で取得した個人情報の利用目的を含む文面について個人情報保護管理者の承認を得た上で、次のうち合理的かつ適切な方法を選択して通知又は公表を行う。

1）文書での連絡

2）電話又は面談による口頭通知

3）当社ホームページ上での公表

J.8.5 J.8.4のうち本人から直接書面によって取得する場合の措置（A.7）

１本人から、書面に記載された個人情報を直接取得する場合には、少なくとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、書面によって本人の同意を得る。

a）当社の名称又は氏名

b）個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先

c）利用目的

d）個人情報を第三者に提供することが予定される場合の事項

－第三者に提供する目的

－提供する個人情報の項目

－提供の手段又は方法

－当該情報の提供を受ける者又は提供を受ける者の事業者の種類、及び属性

－個人情報の取扱いに関する契約がある場合はその旨

e）個人情報の取扱いの委託を行うことが予定される場合には、その旨

f）J.10.4～J.10.7に該当する場合には、その請求等に応じる旨及び問合せ窓口

g）本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果

h）本人が容易に知覚できない方法によって個人情報を取得する場合には、その旨

２あらかじめ書面によって本人に明示し、書面によって本人の同意を得ないのは、以下の場合に限定する。

・人の生命、身体若しくは財産の保護のために緊急に必要がある場合

・以下のいずれかに該当し、J.8.4の措置を要しない場合

1）利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

2）利用目的を本人に通知し、又は公表することによって当社の権利又は正当な利益を害するおそれがある場合

3）国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行に支障を及ぼすおそれがある場合

4）取得の状況からみて利用目的が明らかであると認められる場合

《留意事項》

※ 本人から直接書面によって取得する場合、J.8.4（個人情報を取得した場合の措置）の措置が必要となる。

《本人から直接書面によって取得する場合》

新種の個人情報を取得する場合、取得にあたる部門の責任者は「新規個人情報取得申請書」に必要事項を記入の上、ａ）～ｈ）の事項を含んだ「取得時の必要通知事項」の文案を添付し、自部門の部門管理者を経由して、個人情報保護管理者の承認を得る。
人の生命、身体又は財産の保護のために緊急に必要がある場合、J.8.4のａ）～ｄ）に該当するため本人の同意を要しない場合も「新規個人情報取得申請書」に必要事項を記入の上、自部門の部門管理者を経由して、個人情報保護管理者の承認を得る。

本人から同意を取得する際は、a）～h）の事項を含む文面を次の方法で本人に明示し、本人の同意を得る。

i）紙媒体で取得する場合は、同文面を直接提示した上で同意の署名若しくは同意欄へのチェックを必要とする。

j）Webのフォームに入力させることにより取得する場合は、画面上で同文面を読んだ上で「同意欄」をクリックした後、入力されたデータが送信される方式とする。

k）従業者から個人情報を取得する際は、「従業者個人情報の取扱いについて（同意書）」により本人の同意を取得する。

l）採用応募者から個人情報を取得する際は、「採用応募者の個人情報の取扱いについて」により本人の同意を取得する。

J.8.6 利用に関する措置（A.2、A.3）

１個人情報を利用する場合には、本人の同意の有無に関わらず、違法又は不当な行為を助長し、又は誘発するおそれのあるものを除く。

２特定した利用目的の達成に必要な範囲内で個人情報を利用する。

３特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、少なくとも、J.8.5のa）～f）に示す事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得る。

４特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合に、本人の同意を得ることを要しないのは、以下の場合に限定する。

a）法令に基づく場合

b）人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

c）公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

d）国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

e）当該個人情報取扱事業者が学術研究機関等である場合であって、学術研究目的で取り扱う必要があるとき（当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）

f）学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）

《留意事項》

※ 違法又は不当な行為とは、個人情報保護法その他の法令に違反する行為や、直ちに違法とは言えないものの、個人情報保護法その他の法令の制度趣旨や公序良俗に反している等、社会通念上、適正とは認められない行為を指す。

※ 違法又は不当な行為を助長し、又は誘発する「おそれ」の有無は、社会通念上、蓋然性が認められるか否かにより判断される。この判断に当たっては、個人情報の利用方法などの客観的な事情に加えて、個人情報の利用時点における事業者の認識及び予見可能性も踏まえる必要がある。

《利用目的を変更する場合》

利用目的を変更する場合、「個人情報取扱変更等申請書」に必要事項を記入の上、利用目的を改訂した「取得時の必要通知事項」の文案を添付し、自部門の部門管理者を経由して、個人情報保護管理者の承認を得る。
J.8.3のａ）～ｄ）に該当するため本人の同意を要しない場合は、「個人情報取扱変更等申請書」に不要な理由等必要事項を記入の上、自部門の部門管理者を経由して、個人情報保護管理者の承認を得る。
個人情報保護管理者の承認後に、「個人情報管理台帳」の利用目的を更新する。

J.8.7 本人に連絡又は接触する場合の措置（A.8）

１個人情報を利用して本人に連絡又は接触する場合には、本人に対して、J.8.5のa)～f)に示す事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得る。

２個人情報を利用して本人に連絡又は接触する場合のうち、本人に通知し、本人の同意を得ることを要しない場合を、利用する個人情報が以下の場合に限定する。

a）J.8.5の措置において、あらかじめ、利用目的として個人情報を利用して本人に連絡又は接触することを含め、J.8.5のa）～f）に示す事項又はそれと同等以上の内容の事項を明示し、既に本人の同意を得ているとき

b）個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報を、その利用目的の達成に必要な範囲内で取り扱うとき

c）合併その他の事由による事業の承継に伴って個人情報が提供され、個人情報を提供する事業者が、既にJ.8.5のa）～f）に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき

d）個人情報が特定の者との間で、適法かつ公正な手段によって、共同して利用されている場合であって、以下の1)～5)に示す事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、共同して利用する者との間で共同利用について契約によって定めているとき(以下、「共同利用」という。)

1）共同して利用すること

2）共同して利用される個人情報の項目

3）共同して利用する者の範囲

4）共同して利用する者の利用目的

5）共同して利用する個人情報の管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

e）J.8.4のd)に該当する場合に取得した個人情報を利用して、本人に連絡又は接触するとき

f）法令に基づく場合

g）人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

h）公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

i）国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき

《留意事項》

※ d)の「適法かつ公正な手段によって、共同して利用されている場合」とは、特定の者との間で共同して利用される個人データを当該特定の者に提供する場合であって、1)～5)までの情報を、提供に当たりあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときである。特に、共同して利用する者の範囲については、「共同利用の趣旨」は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で、当該個人データを共同して利用することであることから、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある。なお、当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない。

※ d)の「以下の1)～5)に示す事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」とは、共同利用する全ての事業者に対して求められる事項である。共同して利用する者の利用目的の変更を行う場合には、共同利用する事業者のうち、いずれかの事業者がJ.8.6で定める利用目的の変更の措置を行うとともに、変更した内容については、共同利用する全ての事業者が、本人に通知し、又は本人が容易に知り得る状態に置くこと。

※ 共同利用について契約によって定めるとは、共同して利用する者の間で、共同して利用する者の要件、各共同して利用する者の個人情報取扱責任者・問合せ担当者及び連絡先、共同利用する個人情報の取扱いに関する事項、共同利用する個人情報の取扱いに関する取決めが遵守されなかった場合の措置、共同利用する個人情報に関する事件・事故が発生した場合の報告・連絡に関する事項、共同利用を終了する際の手続等をあらかじめ取り決めておくとともに、その内容を契約書、確認書、覚書等の手段によって残すことを指す。

《個人情報を利用して本人に連絡又は接触する場合》

当社は、個人情報を利用して本人に連絡又は接触する場合には、「個人情報取扱変更等申請書」に当該個人情報を用いて本人に連絡又は接触することを記述し、個人情報保護管理者の承認を得る。
b）～i）に該当するため本人への通知と同意を要しない場合は、「個人情報取扱変更等申請書」に不要な理由等を明記し、個人情報保護管理者の承認を得る。

本人からの同意取得方法は次の通りとする。
J.8.5のa）～i）の事項又は同等以上の内容及び取得方法を含む文面について個人情報保護管理者の承認を得た上で、以下の要領で通知し同意を取得する。

1）DMの場合：最初に発送するDMに通知文書を同封して同意を得る。

2）電話の場合：最初に電話する際に、利用目的等を告げて同意を得る。

J.8.8 個人データの提供に関する措置（A.14）

１個人データを第三者に提供する場合には、あらかじめ、本人に対して、当該個人データを第三者に提供することに関して、J.8.5のa)～d)に示す事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得る。

２個人データを第三者に提供する場合に、本人に通知し、本人の同意を得ることを要しない場合は、以下の場合に限定する。

a）J.8.5の規定によって、個人データを第三者に提供することに関して、既にJ.8.5のa）～d）の事項又はそれと同等以上の内容の事項を本人に明示し、本人の同意を得ているとき、又はJ.8.7の規定によって、既にJ.8.5のa）～d）の事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得ているとき

b）本人の同意を得ることが困難な場合、かつ本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、法令等が定める手続に基づいた上で、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たとき。ただし、第三者に提供される個人データが要配慮個人情報又は偽りその他不正の手段により取得された個人データ若しくは他の個人情報取扱事業者からこの項b)の規定により提供されたもの（その全部又は一部を複製し、又は加工したものを含む。）である場合は、この限りでない。

1）第三者への提供を行う事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

2）第三者への提供を利用目的とすること

3）第三者に提供される個人データの項目

4）第三者への提供される個人データの取得の方法

5) 第三者への提供の方法

6）本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

7）本人の求めを受け付ける方法

8）第三者に提供される個人データの更新の方法

9) 当該届出に係る個人データの第三者への提供を開始する予定日

c) 特定した利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供されるとき

d) 合併その他の事由による事業の承継に伴って個人データが提供される場合であって、承継前の利用目的の範囲内で当該個人データを取り扱うとき

e) J.8.7のd)によって、特定の者との間で共同して利用される個人データが当該特定の者に提供されるとき

f) 法令に基づく場合

g) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

h) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

i) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき

j) 個人情報取扱事業者が学術研究機関等である場合であって、個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき（個人の権利利益を不当に侵害するおそれがある場合を除く。）

k) 個人情報取扱事業者が学術研究機関等である場合であって、個人データを学術研究目的で提供する必要があるとき（個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）（個人情報取扱事業者と第三者が共同して学術研究を行う場合に限る。）

l) 第三者が学術研究機関等である場合であって、第三者が個人データを学術研究目的で取り扱う必要があるとき（個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。

《留意事項》

※ 個人データに対する要求事項であっても、J.3.1.1（個人情報の特定）において特定した個人情報については、当該要求事項の対象となる。

《個人情報を第三者に提供する場合》

個人情報を第三者へ提供する場合は予め「個人情報取扱変更等申請書」に必要事項を記入し、取得方法並びにJ.8.5のa)～d)を明記した文面の案を添付し、個人情報保護管理者の承認を受ける。
b）～l）に該当するため通知と同意を要しない場合は、「個人情報取扱変更等申請書」に不要な理由等を明記し、個人情報保護管理者の承認を受ける。

本人からの同意取得方法は次の通りとする。

a）～l）に該当しない場合は、J.8.5のa）～d）の事項又は同等以上の内容及び取得方法を含む文面について個人情報保護管理者の承認を得た上で、同文面を本人に通知し、J.8.5のi）～l）の方法で本人の同意を得る。

J.8.8.1 外国にある第三者への提供の制限（A.15）

１外国にある第三者に個人データを提供する場合、以下のいずれかを満たす。ただし、J.8.8のf）～l）のいずれかに該当する場合はこれに限らない。

a）あらかじめ外国にある第三者への提供を認める旨の本人の同意がある場合

b）個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者への提供をする場合

c）個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域にある第三者への提供をする場合

２ No.1のa）によって外国にある第三者に個人データを提供する場合は、あらかじめ、次に掲げる事項について、当該本人に必要な情報を提供する。

d）当該外国の名称

e）適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報

f）当該第三者が講ずる個人情報の保護のための措置に関する情報

g）d）～f）に定める事項が特定できない場合、その旨及びその理由

h）g）に該当する場合であって、d）～f）の事項に代わる本人に参考となるべき情報がある場合には、当該情報

i）g）及びh）に該当する場合について情報提供できない場合には、g）及びh）に定める事項に代えて、その旨及びその理由

３ No.1のb）によって外国にある第三者に個人データを提供する場合には、あらかじめ、次に掲げる事項について、必要な措置を講じる。

j）当該第三者による相当措置の実施状況並びに相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容について、適切かつ合理的な方法による定期的な確認

k）当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データの当該第三者への提供の停止

l）本人の求めを受けた場合には、情報提供することにより当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合を除き、遅滞なく、以下の情報の提供

1）当該第三者による体制の整備の方法

2）当該第三者が実施する相当措置の概要

3）j）による確認の頻度及び方法

4）当該外国の名称

5）当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要

6）当該第三者による相当措置の実施に関する支障の有無及びその概要

7）6)の支障に関して、k）により講ずる措置の概要

４ No.3のl）で、本人の求めに係る情報の全部又は一部について提供しない旨の決定をしたときは、本人に対して、遅滞なく、その旨を通知するとともに、その理由を説明する。

《留意事項》

※ 個人データに対する要求事項であっても、J.3.1.1（個人情報の特定）において特定した個人情報については、当該要求事項の対象となる。

※ e)は、当該外国における個人情報保護に関する制度の有無、及び当該外国の個人情報保護に関する制度についての指標となり得る情報の存在等が含まれる。なお、外国にある第三者への提供によって本人が受ける影響を予測できるように配慮するために、次に示す事項又はそれらと同等以上の内容も情報提供することが望ましい。

・OECDプライバシーガイドライン8原則に対応する事業者の義務又は本人の権利の不存在

・その他本人の権利利益に重大な影を及ぼす可能性のある制度の存在

J.8.8.2 第三者提供に係る記録の作成等（A.16）

１個人データを第三者に提供したときは、当該個人データの提供について必要な記録を作成する。

２個人データを第三者に提供したときに、当該個人データの提供に関する記録の作成を要しない場合を、以下の場合に限定する。

a）特定した利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供されるとき

b）合併その他の事由による事業の承継に伴って個人データが提供される場合であって、承継前の利用目的の範囲内で当該個人データを取り扱うとき

c）J.8.7のd)によって、特定の者との間で共同して利用される個人データが当該特定の者に提供されるとき

d）法令に基づく場合

e）人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

f）公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

g）国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき

h）個人情報取扱事業者が学術研究機関等である場合であって、個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき（個人の権利利益を不当に侵害するおそれがある場合を除く。）

i）個人情報取扱事業者が学術研究機関等である場合であって、個人データを学術研究目的で提供する必要があるとき（個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）（個人情報取扱事業者と第三者が共同して学術研究を行う場合に限る。）

j）第三者が学術研究機関等である場合であって、第三者が個人データを学術研究目的で取り扱う必要があるとき（個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）

３個人データを第三者に提供したことに関する記録を作成した場合、当該記録を必要な期間保管する。

４個人データを提供したときに、提供先が実施する第三者提供を受ける際の確認等に対し、適切に応じる。

《留意事項》

※ 個人データに対する要求事項であっても、J.3.1.1（個人情報の特定）において特定した個人情報については、当該要求事項の対象となる。

J.8.8.3 第三者提供を受ける際の確認等（A.17）

１第三者から個人データの提供を受けるに際しては、必要な確認を行う。

２第三者から個人データの提供を受けるに際して、確認を要しないのは、以下の場合に限定する。

a）特定した利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託されることに伴って当該個人データの提供を受けたとき

b）合併その他の事由による事業の承継に伴って個人データの提供を受けた場合であって、承継前の利用目的の範囲内で当該個人データを取り扱うとき

c）J.8.7のd)によって、特定の者との間で共同して利用される個人データを当該特定の者から提供を受けたとき

d）法令に基づく場合

e）人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

f）公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

３第三者から個人データの提供を受けるに際して確認を行ったときは、必要な記録を作成する。

４第三者から個人データの提供を受けるに際して確認を行った記録は、必要な期間保管する。

《留意事項》

※ 個人データに対する要求事項であっても、J.3.1.1（個人情報の特定）において特定した個人情報については、当該要求事項の対象となる。

※ 記録にあたっては、当該個人データの提供を受ける際に特定された利用目的を含め確認し、記録することが望ましい。合わせて、当該個人データの提供を受ける際に特定された利用目的の範囲内で利用目的を特定し、その範囲内で当該個人データを利用することが望ましい。

J.8.8.4 個人関連情報の第三者提供の制限等（A.18）

１第三者が個人関連情報を個人データとして取得することが想定される場合、次に示す事項又はそれと同等の事項を、あらかじめ、本人に対して通知又は明示し、本人が識別される個人データとして取得することを認める旨の同意を得る。

《同意を取得する主体が個人関連情報の提供先である場合に、提供先が本人に対して通知又は明示する事項》

1) 提供先の事業者の名称又は氏名

2) 提供先の事業者の個人情報保護管理者（若しくはその代理人）の氏名又は職名、所属及び連絡先

3) 個人関連情報の提供を受けて個人データとして取得した後の利用目的

4) 個人関連情報の項目

5) 個人関連情報の取得方法

6) 個人関連情報の取扱いに関する契約がある場合はその旨

《同意を取得する主体が個人関連情報の提供元である場合に、提供元が本人に対して通知又は明示する事項》

1) 提供元の事業者の名称又は氏名

2) 提供元の事業者の個人情報保護管理者（若しくはその代理人）の氏名又は職名、所属及び連絡先

3) 個人関連情報の提供を受けて個人データとして取得した後の利用目的

4) 個人関連情報の項目

5) 提供する手段又は方法

6) 個人関連情報の提供を受けて個人データとして取得する者

7) 個人関連情報の取扱いに関する契約がある場合はその旨

２第三者が個人関連情報を個人データとして取得することが想定される場合、当該個人関連情報を当該第三者に提供するに際しては、J.8.8のf）～l）のいずれかに該当する場合を除き、あらかじめ、次に掲げる事項又はそれと同等以上の内容の事項について、確認を行う。

a）No.1に基づき、当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。

b）外国にある第三者への提供にあっては、a）の本人の同意を得ようとする場合において、法令等で定めるところによって、あらかじめ、以下の1）～3）に示す事項について、当該本人に提供されていること。

1）当該外国の名称

2）当該外国における個人情報の保護に関する制度に関する情報

3）当該第三者が講ずる個人情報の保護のための措置に関する情報

３個人関連情報を外国にある第三者に提供した場合には、J.8.8.1で定めるところによって、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講じる。

4 以下の事項について、確認の記録を作成、保管する。

《個人関連情報の提供元の確認の記録事項》

c）a）で本人の同意が得られていることを確認した旨及び外国にある第三者への提供にあっては、b）で本人に情報の提供が行われていることを確認した旨

d）個人関連情報を提供した年月日

e）当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

f）当該個人関連情報の項目

《個人関連情報の提供先の確認の記録事項》

g）a）で本人の同意が得られている旨及び外国にある個人情報取扱事業者にあっては、b）で本人に情報の提供が行われている旨

h）当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

i）当該個人データ（個人関連情報）によって識別される本人の氏名その他当該本人を特定するに足りる事項

j）当該個人関連情報の項目

《留意事項》

※ 個人関連情報とは、生存する個人に関連する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものを指す。

※ No.1の「個人データとして取得する」とは、提供先の第三者において、個人データに個人関連情報を付加する等、個人データとして利用しようとする場合を指す。（提供先の第三者が、個人関連情報を直接個人データに紐付けて利用しない場合は、提供先の第三者が保有する個人データとの容易照合性が排除しきれないとしても、直ちに「個人データとして取得する」に該当しない）

※ No.1の「想定される」とは、個人データとして取得することを現に想定している場合、又は一般人の認識（同種の事業を営む事業者の一般的な判断力・理解力を前提とする認識）を基準として通常想定できる場合を指す。

※ No.1で同意を取得する主体は、本人と接点を持ち、情報を利用する主体となる提供先であるが、同等の本人の権利利益の保護が図られることを前提に、提供元が代行してもよい。

※ No.2は、個人関連情報の提供元が、当該第三者から申告を受ける方法その他の適切な方法によって本人同意が得られていることを確認することになるが、提供先の第三者から申告を受ける場合、提供元は、その申告内容を一般的な注意力をもって確認することで足りる。

《個人関連情報を取り扱う場合、法令等の定めるところによって、適切な取扱いを行う手順》

当社では、個人関連情報を個人を識別して取り扱わない。
当社では、個人関連情報の提供先に、当該情報を個人を識別して取り扱わせない。

J.8.9 匿名加工情報（A.28）

１匿名加工情報の取扱いを行うか否かの方針を定める。

２匿名加工情報を取り扱う場合には、以下の事項に関する適切な取扱いを行う手順を内部規程として文書化する。

a）適切な加工方法の決定、及び加工の実施

b）加工方法等情報の安全管理措置

c）匿名加工情報を作成、及び提供することに関する公表

d）匿名加工情報の取扱いにおいて識別行為を防止する措置

e）匿名加工情報の安全管理、苦情処理、その他の適正な取扱いのための措置、及び当該措置の公表

３匿名加工情報を取り扱う場合には、定めた手順に従う。

《留意事項》

※ 匿名加工情報とは、各区分ごとに定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものを指す。

一個人情報保護法第2条第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

二同条第1項第2号に該当する個人情報  当該個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

※ 匿名加工情報、及び加工方法等情報は、リスクアセスメントを実施した上で適切な取扱いを行うこと。

※ b)の加工方法等情報のうち、以下に示すような、その情報を用いて当該個人情報を復元することができるものについては、匿名加工情報の作成後は破棄する。

・氏名等を仮IDに置き換えた場合における氏名と仮IDの対応表

・氏名等の仮IDへの置き換えに用いた乱数等のパラメータなど

※ e）については、取扱いのリスクを踏まえ実施すべきかを判断すること。

《匿名加工情報の取扱いを行うか否かの方針》
《匿名加工情報を取り扱う場合、適切な取扱いを行う手順》

当社では匿名加工情報を取り扱わない。

J.8.10 仮名加工情報（A.27）

１仮名加工情報の取扱いを行うか否かの方針を定める。

２仮名加工情報を取り扱う場合には、適切な取扱いを行う手順を内部規程として文書化する。

３仮名加工情報を作成する場合には、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして、個人情報保護委員会規則で定める基準に従い、個人情報を加工する。

４仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じる。

５仮名加工情報を利用する場合には、以下を実施する。

a）利用目的をできる限り特定し、法令に基づく場合を除くほか、その目的の達成に必要な範囲内において行う。

b）あらかじめその利用目的を公表している場合、又はJ.8.4のa)～d)のいずれかに該当する場合を除き、速やかに、その利用目的を公表する。

c）仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合しない。

d）電話をかけ、郵便若しくは信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用しない。

６仮名加工情報を提供する場合には、以下の場合に限定する。

e）仮名加工情報の取扱いの全部又は一部を、J.9.4と同等の措置を講じた上で委託する場合

f）仮名加工情報が特定の者との間で、適法かつ公正な手段によって、共同して利用されている場合であって、以下の1)～5)に示す事項をあらかじめ公表するとともに、共同して利用する者との間で共同利用について契約によって定めているとき

1）共同して利用すること

2）共同して利用される仮名加工情報の項目

3）共同して利用する者の範囲

4）共同して利用する者の利用目的

5）共同して利用する仮名加工情報の管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

g）合併その他の事由による事業の承継に伴って仮名加工情報を提供する場合

h）法令に基づく場合

７仮名加工情報の取扱いに関する苦情の適切かつ迅速な対応を行う。

８仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去する。

《留意事項》

※ 仮名加工情報とは、各区分ごとに定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報を指す。

二同条第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

※ a）は、個人情報である仮名加工情報である場合の実施事項であるとともに、本人を識別しない、内部での分析・利用であることを条件とすることを含む。

※ b）は、個人情報である仮名加工情報について、その作成に用いた個人情報の利用目的とは異なる目的で利用する場合に、利用目的の公表を行うこと。

※ f)の「適法かつ公正な手段によって、共同して利用されている場合」とは、特定の者との間で共同して利用される仮名加工情報を当該特定の者に提供する場合であって、1)～5)までの情報を、提供に当たりあらかじめ公表しているときである。特に、共同して利用する者の範囲については、「共同利用の趣旨」は、本人から見て、当該仮名加工情報を提供する事業者と一体のものとして取り扱われることに合理性がある範囲で、当該仮名加工情報を共同して利用することであることから、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある。なお、当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない。

※ f)の「以下の1)～5)に示す事項をあらかじめ公表する」とは、共同利用する全ての事業者に対して求められる事項である。また、共同して利用する者の利用目的を変更する場合には、あらかじめ、変更する内容について公表する。

※ 共同利用について契約によって定めるとは、共同して利用する者の間で、共同して利用する者の要件、各共同して利用する者の仮名加工情報取扱責任者・問合せ担当者及び連絡先、共同利用する仮名加工情報の取扱いに関する事項、共同利用する仮名加工情報の取扱いに関する取決めが遵守されなかった場合の措置、共同利用する仮名加工情報に関する事件・事故が発生した場合の報告・連絡に関する事項、共同利用を終了する際の手続等をあらかじめ取り決めておくとともに、その内容を契約書、確認書、覚書等の手段によって残すことを指す。

※ No.8は、取扱いのリスクを踏まえ実施すべきかどうかを判断する。

※ 漏えい等の報告等については、J.4.4.2（緊急事態への準備）を踏まえて対応する。

※ 仮名加工情報は個人情報であるか否かに関わらず、J.9.2（安全管理措置）、J.9.3（従業者の監督）、J.9.4（委託先の監督）、J.11.1（苦情及び相談への対応）を踏まえて対応する。

※ なお、以下は適用除外される。

・利用目的の変更（本人を識別しない、内部での分析・利用であることを前提に、新たな利用目的で利用可能）

・開示・利用停止の請求対応

《仮名加工情報の取扱いを行うか否かの方針》
《仮名加工情報を取り扱う場合、適切な取扱いを行う手順》

当社では仮名加工情報を取り扱わない。
当社では仮名加工に準じた加工を施した個人情報であっても、個人情報として本規程に沿って取り扱う。

J.9 適正管理

J.9.1 正確性の確保（A.9）

１利用目的の達成に必要な範囲内において、個人データを、正確、かつ、最新の状態で管理する。

２個人データの管理（利用する必要がなくなった場合の消去を含む。）は、定めた手順に基づいて適切に行う。

《留意事項》

※ 個人データに対する要求事項であっても、J.3.1.1（個人情報の特定）において特定した個人情報については、当該要求事項の対象となる。

《データ入力の場合》

データ入力の際は誤りの無いよう誤入力チェックを行い、常に正確かつ、最新の状態である事を確認する。

J.9.2 安全管理措置（A.10）

１取り扱う個人情報の個人情報保護リスクに応じて、漏えい、滅失又は毀損の防止その他の個人情報の安全管理のために、法令に基づき必要かつ適切な措置を講じる。

２外部サービスを利用する場合であって、当該サービス提供事業者が当該個人データを取り扱わないことになっているサービスを利用する場合は、適切な安全管理措置が図られるよう、あらかじめサービス内容の把握、評価等を行ったうえで選定する。

《留意事項》

※ 必要かつ適切な安全管理措置とは、個人情報が漏えい等の緊急事態が発生した場合に被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人情報の取扱状況、個人情報の性質及び量、記録した媒体の性質等に起因するリスクに応じた必要かつ適切な措置を講じることをいう。なお、個人情報保護法においても、同様の事項が個人データを対象として定められており、必要かつ適切な安全管理措置を講じていないことで法令に違反することがあることに留意する必要がある。

※ 学術研究目的で行う個人情報の取扱いについても、当該要求事項の対象となる。

《安全管理措置》

当社は、本項に述べる安全管理策について必要性を検討し、策定し、実施する。

a）入退管理

1）入退資格 個人情報保護管理者は、入退を制限する場所の範囲を定め、入退資格を有さない者の立ち入りを制限し、制限を実現するための鍵管理等をおこなう。

2）社員証・許可証等の着用義務 従業者、来訪者、あるいは不審な侵入者の見分けが困難な執務スペースにおいては、制服や許可証など、識別するための施策を行う。 入退を許可された外来者に対しては、原則として社員が随行し、立入り場所の制限を行い、管理する。

3）施錠の原則
① 各事業場は常時施錠を原則とする。やむを得ず施錠可能でない事業場においては、個人情報を施錠可能なキャビネット等に収納するなどの管理を行う。
② 施錠、開錠は、原則として従業者が行う。

4）入退者の記録
① 各稼働日における従業者の最初の入場者の氏名と入場時刻および最後の退場者の氏名と退場時刻を「入退室管理簿」への記入またはそれに代わる装置等により記録する。
② 入退制限範囲内への来訪者の訪問時、原則として１組につき１葉の「来訪者入退受付票」またはそれに代わる装置等により記録する。来訪者に対応したものは退出時間を記載し、所定の場所に格納する。
③ ①、②の記録は1年間保存の上、必要な時はいつでも閲覧または検索できるように保管する。

5）物品の持込み・持出し
① 持込み・持出し物品に関して不審な点を発見した従業者等は、速やかに個人情報保護管理者に報告する。
② 当社の資産および顧客からの預り資産を入退管理の担当者の許可なく無断で持ち出すことを禁ずる。

6）休日・夜間の入場 従業者および外部要員が休日、夜間に入場する場合は、原則として、その日の前日までに所属部門長の許可を受けた者に届け出る。ただし、前日までに許可を得ることができない場合は事後の承認を得る。

7）不審者の監視 入退資格を有していない、または有していても不審な行動が察知される者を発見した従業者は、その行動を監視し、必要と認めるときは個人情報保護管理者に報告する。

8）入退管理に関する運用の確認 個人情報保護管理者は、入退管理が有効かつ適切に実施されていることを定期的に確認し、不備が発見された場合は速やかに是正の処置をとらなければならない。個人情報保護管理者は、従業者の入退記録が適切にとられているかどうかを月に1度確認する。

9）特定個人情報の取扱区域 特定個人情報は、特定個人情報等事務取扱担当者以外から見られることのない囲われた区域で、特定個人情報等事務取扱担当者だけが取り扱う。

b）個人情報の適正管理

1）クリアデスクの徹底 離席時や退社時には、個人情報を記した書類や記憶媒体を机上やその周辺に放置してはならない。

2）個人情報の複製 個人情報の複製は、バックアップの必要上および業務上やむをえない場合の必要最小限の範囲にとどめるものとする。

3）個人情報の保管 個人情報の保管は、次に掲げる事項に従って行わなければならない。
① 個人情報のデータは、それを業務上取扱う必要のある者以外が閲覧や操作できる状態におかないこと。特定個人情報は、特定個人情報の管理区域を明確に定め、管理区域以外に保管せず、特定個人情報等事務取扱担当者以外の者が閲覧や操作できる状態におかない。
② 個人情報のデータファイルやデータベースは、必要に応じてアクセス権や、パスワード等を設定し、管理する。
③ 個人情報が記された書類および個人情報が入った記憶媒体（CD-R、USBメモリー等）は、業務終了時や長時間中断時には、紛失や盗難に備え鍵のかかる机やキャビネット等に施錠して保管する。
④ 重要な個人情報が記された書類のファイル、バインダ、記憶媒体の容器、保管場所等には、部外者に内容が容易にわかる表示をしない。
⑤ 個人情報が記された書類および個人情報が入った記憶媒体（CD-R、USBメモリー等）は、個人情報管理台帳に定められた保管期間に従って保管する。
⑥ 保管場所は火災による情報消失のリスクから保護するために、火気厳禁とし、必要に応じて消火器等を設置する。

4）個人情報の移送・送信 
① 個人情報を外部へ持ち出す際は、当該部門責任者の許可を得ることとし、目的地以外へ立ち寄らず、電車の網棚に置かない、手放さない、車中に放置しないよう徹底する。
② 紙や記憶媒体による個人情報を郵便や宅配便等により移送するときは、宛名の確認や封入物のダブルチェック等を行うなどして誤封入の防止に努めるとともに、授受における誤配、紛失等の危険を最小限にするため、ポストへの施錠、私書箱の利用、受け取り確認が可能な移送手段の選択等の措置を講じる。
③ 個人情報を含む電子データファイルをインターネット経由で送受信する際は、情報システム管理者が許可したストレージサービスを介しておこなう。やむを得ず電子メールに添付して送信する場合は、送信先や取り扱う情報等を踏まえ、必要かつ適切な安全管理措置を講じければならない。
④ 個人情報をインターネット経由で通信するシステムを利用する際は、SSL等の暗号化対策やパスワード設定等の措置を講じる。
⑤ 個人情報の入ったFAXを送受信する際は、必要に応じて短縮ダイヤルの利用、完了するまでの待機、完了後の相手先への電話連絡を行うこととする。また、送受信資料は直ちに回収し、放置することの無いように注意する。大量の個人情報やリスクの高い個人情報をFAXで受領する場合は、必要に応じて専用の受信FAXをアクセス管理された場所に設置する。

5）個人情報の授受記録 個人情報の授受は、次に掲げる事項に従って行わなければならない。
① 紙や記憶媒体による個人情報の授受に際しては、送付票や受領証等で授受の完了を確認するか、または授受簿を作成し記録する。
② 電子メールにより個人情報の授受を行う際には送信済みメールおよび、受領確認の返信メールの何れかまたは両方を授受記録とする。
③ 特定個人情報を従業者から取得する場合は、受領日時等を記録するものとする。

6）個人情報の廃棄 個人情報の廃棄は、次に掲げる事項に従って行わなければならない。
① 紙に記された個人情報の廃棄は、シュレッダーによる裁断、焼却、溶解いずれかの方法で処分する。また、廃棄前の一時保管場所からの紛失・盗難防止のため、重要書類は即廃棄する。
② 記憶媒体（PCおよびサーバー内等のハードディスクも含む）に記憶されている個人情報の廃棄は、次の何れかの廃棄方法で処分する。
・データ消去用のソフトを使用するなどし、記憶されている情報を復元できないように完全に消去する。
・記憶媒体そのものを物理的な破壊方法により処分する。 
③ 上記以外の方法により、処分する必要があると認められる場合、事前に個人情報保護管理者の承認を得ることを要するものとする。 
④ 個人情報の記された書類は再利用しない。 
⑤ 必要に応じてデータ消去簿や廃棄記録により、廃棄漏れを防止する。特定個人情報の廃棄、返却または行政等への提出の際は、その日時等を記録するものとする。 
⑥ 契約解除等によりリース機器・レンタル機器等を返却する場合は、機器内に保存・記録されている情報を完全消去（復元できない状態にすることを含む）した上で返却するか、返却先で確実に完全消去（復元できない状態にすることを含む）させなければならない。

c）情報システムの管理

1）サーバーの安全対策 ① 情報システム管理者は、サーバー内に保存された重要データを障害による破壊や、不正アクセス、改ざんなどから守るために、次のような安全対策を検討し、必要に応じて実施するものとする。 
・システム及びデータのバックアップ 
・ディスクの二重化など冗長構成 
・ログの取得と管理および定期的なチェック 
・電源の冗長化など、停電対策 
・専用ツールや外部サービスによる定期的な脆弱性チェック

2）ネットワークの管理 情報システム管理者は、社内ネットワークの運用とセキュリティの確保を適切に行い、データの正確性と安全性が維持されるよう次の点に努める。 
① ネットワークにおける社外との境界にはファイアウォールを設けるなど、不正侵入対策を施す。 
② ネットワーク障害に備え、必要に応じてバックアップ回線の確保や復旧手順を備える。 
③ ネットワーク上の機器やデータに対する不正アクセスから重要な情報資産を保護するための対策をリスクに応じて実施する。 
④ 利用者の故意、過失により情報の漏えい、滅失、毀損が起こらないよう、利用者への操作手順の明示、教育の支援、その他の対策を実施する。

3）不正ソフトウェアへの対策 コンピュータウィルスやスパイウェア等による情報漏えいやデータの破壊を防ぐため、情報システム管理者は次の対策を施す。 
①社内ネットワークに接続する全てのパソコンにウィルス対策ソフト等を導入し、当該ソフトウェアのアップデートおよびパターンファイルの更新が適時に行われるように管理する。 
② オペレーティングシステム（ＯＳ）やアプリケーションには常に最新のセキュリティパッチを適用する。ただし、検証の結果、業務上支障があると認められる場合には、他の方法で不正ソフトウェア対策を実施する。

4）アクセス記録の管理 情報システム管理者は、必要に応じて個人情報が格納されているコンピュータのアクセス記録を常時取得し、定期的にチェックを行わなければならない。

5）機器・装置等の物理的な保護 情報システム管理者は、重要な情報資産を取り扱う社内の機器・装置類に対する安全管理上の脅威（盗難・破壊・破損等）や、環境上の脅威（地震、漏水、火災、停電等）から物理的に保護するため、必要に応じて次のような措置を講じる。 
① サーバー室など隔離されたエリアへの設置 
② 隔離されていないエリアに設置する場合は、常時施錠可能なラック等への収容 
③ 耐震性、防火性、防水性を考慮した設置 
④ 無停電電源装置の設置

6）ソフトウェア使用の原則 
① クライアントパソコンで使用するソフトウェアは、原則情報システム管理者によって指定されたもののみとし、それ以外のソフトウェアを使用する場合は、事前に許可を得るものとする。 
② ウィルス感染や不正アクセス等の原因となりやすいソフトの使用は、特に厳禁とする。 
③ 情報システム管理者は、システムの脆弱性を高めるソフトウェア等がネットワーク上に不正に導入されないよう十分に注意喚起する。

7）ID、パスワードの付与管理 
① 情報システム管理者は、業務で使用する各種アカウントについて、ＩＤおよびパスワードの付与と変更、削除の管理を行うものとする。 
② アカウントは業務上必要な範囲で社員等に付与され、付与は原則として記録に残る方法にて申請し、部門管理者によって承認されることを要する。 
③ 社員等が退職した場合は、所属部門にて業務に支障がないよう調整し、速やかに該当アカウントを削除しなければならない。

8）パスワードの管理 
① ユーザＩＤのパスワードは、利用者が厳重に管理し、必要に応じて変更しなければならない。その際、前回と同じパスワードは使用しないものとし、PC起動の際のパスワードは英数混合12文字以上の文字列を設定しなければならない。 
② 各システムにおける特権アカウントのパスワードは、情報システム管理者において厳重に管理しなければならない。 
③ 利用者および情報システム管理者は、パスワードの代替若しくは補完のために、指紋などの生体認証、ＩＣカード認証などの機器による認証方式を採用することもできるものとする。 
④ パスワードを机上等に貼付してはならない。 
⑤ 複数のサービスで同一のパスワードを使い回してはならない。 
⑥ 漏えいした、または漏えいの恐れがあるパスワードは、速やかに変更しなければならない。

9）アクセス権と認証管理 
① 利用者のアクセス権は、必要最小限の者がアクセスするという原則のもとに、情報システム管理者が検討し、設定を行う。利用者のアクセス権の変更は、当該利用者の属する部門の責任者を経由して、情報システム管理者の許可によりおこなうものとする。 
② 重要な個人情報および企業秘密などの情報に対するアクセス権の設定、変更は、個人情報保護管理者、またはトップマネジメントの許可を必要とする。 
③ 特定個人情報については、当該情報の特定個人情報等事務取扱担当者だけがアクセスできるようアクセス権を設定し維持するものとする。

10）パソコン利用者の義務 パソコン利用者は、パソコンを自己の業務のためにのみ使用し、私用で使ったり、部外者に使わせてはならない。パソコン利用者はパソコンの管理について次の義務を負う。 
① パソコンの盗難防止 
② 不正ソフトウェアからの保護 
③ 障害や事故の発生、又はそのおそれのあるときの情報システム管理者への報告

11）パソコンの盗難防止対策 ノートパソコンは盗難防止のために、次のいずれかの対策を施すものとする。 
① ワイヤーチェーン等による固定 
② 不使用時の施錠保管 
③ カバン等に入れて常時携帯

12）パソコンの持ち出しと持ち込み 
① 社有パソコンの持ち出しは原則として禁止とするが、当該従業者の所属等の属性により持ち出しが認められている場合は、その限りではない。 
② 当社が管理しないパソコンの持ち込みおよび業務上の利用については原則として禁止とするが、雇用形態の一環として私物パソコンの使用が認められている場合はこの限りではない。 
③ ①②以外の場合で、社有情報機器類の持ち出し、私物情報機器類の持ち込みを行う場合は、「PC等持出・持込申請書」またはそれに代わる管理方法により状況の把握を行う。 
④ 社有情報機器類を持ち出す際は次の保護対策を行う。 
・必要な情報以外を機器内部に保存しない。 
・起動パスワードの設定等を行い、第三者による起動制限措置をとる。 
・重要な情報を内部保存する場合は、ファイル自体を暗号化またはパスワード付与する。 
⑤ 当社が管理しない情報機器類を利用する場合は、次の保護対策を行う。 
・社内ネットワークには接続しない。やむを得ず接続する場合は、接続と同時にソフトウェアによるウィルスチェックが働くよう設定する。 
・前項と同様の盗難防止対策をとる。 
・情報システム管理者が必要と判断した場合は、私物情報機器類の利用状況等に関して調査をおこなう。

13）離席時のモニター画面からの漏えい防止（クリアスクリーン） 利用者は、離席時にパソコンを他者に操作されたり、画面を覗かれたりすることにより情報が漏えいしないよう、不操作10分でスクリーンセーバが起動する、またはOSがスリープし、かつ、再使用前にパスワードの入力を求めるよう設定する。

14）社内ネットワークの利用 社内ネットワークの利用は、次のルールに従って行う。 
① 社内ネットワークへの接続は、情報システム管理者の承認と指示された手順に従う。 
② 他人のID、パスワードで、社内ネットワークに接続しないこと。 
③ 各拠点内のネットワークは、有線ＬＡＮによる構築を優先する。やむを得ず無線ＬＡＮを利用する場合は、情報システム管理者の承認を得た暗号化規格を採用し、当社が管理しない情報機器類の接続制限など、十分な安全対策を実施すること。 
④ 社外から社内ＬＡＮにリモートアクセスする場合は、情報システム管理者の認める十分に安全対策が講じられた方法を用いること。

15）インターネットの利用 インターネットの利用は、次のルールに従って行う。 
① インターネットを利用する場合は、情報システム管理者の指示に従う。 
② インターネットは、社内ネットワークに比べ様々なリスクがあることを認識し、業務上必要な範囲に限定して利用する。 
③ 事件・事故が発生した場合又はその可能性を認識した場合は、上長及び情報システム管理者に速やかに連絡する。 
④ インターネットへのアクセスは、情報システム管理者の承認と指示された手段でアクセスすること。公衆回線を使ったインターネット接続をしてはならない。

16）Ｅメールの利用 Ｅメールの利用は、次のルールに従って行う。 
① Ｅメールは当社所定のソフトを使用し、その利用は業務上必要な場合に限定する。 
② 送信元、送信先以外の個人情報をメール本文に記載することのリスクを検討し、必要に応じて他の方法を選択する。 
③ 外部コミュニケーションサービスを利用する場合は、個人情報の委託先として管理をおこなう。登録するメンバーや共有する情報については十分に配慮する。 
④ メール送信に際しては、送信先のメールアドレスに間違いが無いかを確認してから送信する。 
⑤ 同報メールにより、多数を対象にメール送信する場合は、Bccに送信先メールアドレスを設定するものとし、ToやCcに設定することによる漏えいを避けなければならない。

17）外部記憶媒体の取扱 
① CD-RやUSBメモリなどの外部記憶媒体の利用は、当該部門の長が認めた用途に限定する。 
② 外部記憶媒体を机上や、棚上等に放置してはならない。 
③ 私有の外部記憶媒体を持ち込む場合、社有の外部記憶媒体を持ち出す場合は、「PC等持出・持込申請書」にて該当部門の長および情報システム管理者の許可を得なければならない。

18）バックアップデータの管理 
① バックアップデータを記憶した媒体は、施錠可能な場所に保管し、地震、火災、水害等の事故を考慮したうえ、必要に応じてバックアップ元のハードウェアのある場所とは別の場所（遠隔地等）に保管するものとする。 
② 情報システム管理者は、バックアップが確実に行われており、障害時に復元が可能かどうかを定期的にチェックしなければならない。

19）ネットワークを経由してデータを送受信する場合 
① 拠点間ネットワークを構築する場合、情報システム管理者はVPNを採用など、安全性に十分注意したシステムを採用しなければならない。 
② 情報システム管理者は、前項における対策が有効であるかどうかをチェックし、不十分と思われる場合は、適切な代替策を提示し、もしくは他の受け渡し方法に変更するなどの対策を当該部門の責任者と協議の上実施しなければならない。

20）記憶媒体によりデータを受け渡しする場合 
① CD-RやUSBメモリなどの記憶媒体でデータを受け渡す場合は、データの内容に応じてセキュリティを確保できるよう、配達記録が残るサービス利用または従業者による手渡しなど、確実な受け渡し方法をとることとする。 
② データの受け渡しに際しては授受記録を残し、当該部門の責任者は定期的に授受記録をチェックし、受け渡し方法に問題があれば是正しなければならない。

d）携帯電話・スマートフォンの管理

1）管理者 
① 当社所有の携帯電話・スマートフォン（以下「社有携帯電話等」という）は情報システム管理者が管理する。 
② 情報システム管理者は、必要に応じて管理簿等を作成することにより、使用者や使用期間、使用状況等を記録するものとする。 
③ 個人情報保護管理者は、社有携帯電話等の紛失等、事故発生時の対応を主管する。

2）使用手続き 社有携帯電話等の使用を希望する者は、所属部門の責任者を経由してトップマネジメントの承認を得なければならない。

3）使用者の義務 
① 社有携帯電話等を使用する者は、紛失、破損しないよう丁寧かつ慎重に扱わなければならない。 
② 社有携帯電話等を使用する者は、使用者本人以外が操作できないよう、セキュリティロック等により保護しなければならない。必要に応じて、オプションサービス等による遠隔ロックや遠隔削除サービスを利用する。 
③ 持ち歩く際は、ストラップを付ける等の盗難・紛失防止策を必要に応じて講じなければならない。 
④ 電車やバスの中、その他公共の場所における使用は控え、個人情報やその他機密情報を他者に聞かれないよう十分配慮しなければならない。 
⑤ 社有携帯電話等を紛失、破損した場合は、直ちに個人情報保護管理者に報告し、指示を受けなければならない。 
⑥ 社有携帯電話等を私用に用いてはならない。  社有携帯電話等がスマートフォンである場合は、上記各項に加えて、下記の項についても留意する。 
⑦ アプリ等ソフトウェアは最新の状態になるようにし、ウィルス対策アプリがインストールされており、パターンファイルの更新が適切に行われるよう設定されていることを確認しなければならない。 
⑧ 業務に不要なアプリはインストールしてはならない。公式なサイト以外で公開されているアプリをインストールしてはならない。 
⑨ 不要なデータをスマートフォン内に保存してはならない。一時的に保存した場合は、不要になり次第削除しなくてはならない。

e）個人情報を取り扱う情報システムの安全対策

1）情報システムの変更時の確認 個人情報を取扱う情報システムの変更時に、それらの変更によって情報システム又は運用環境のセキュリティが損なわれていないことを、必要に応じて次の観点から検証するものとする。
① 情報システムの変更時に、情報システム又は運用環境のセキュリティが変更前と同等以上に維持されていること
② 不要になったシステム機能が残存していないこと
③ システムの変更によりウェブサイトやモバイルサイトに公開すべきでない個人情報が閲覧可能な状態になっていないこと

2）Webアプリケーションの安全対策 Webアプリケーションを利用して個人情報を取扱う場合は、次の事項に充分留意し、個人情報の取扱い内容に応じた安全対策を講じなければならない。 
① Webアプリケーションのセキュリティ実装 
・ SQLインジェクション対策 
・クロスサイトスクリプティング対策など 
② Webサイト安全性向上のための取組み 
・ Webサーバーのセキュリティ対策 
・ネットワーク盗聴への対策など
これらの対策を講じるに際しては、独立行政法人情報処理推進機構（IPA）発行の「安全なウェブサイトの作り方」を参考にするものとする。

f）テレワーク時の安全対策

1）情報システム管理者が実施すべき対策 
①テレワーク勤務者の情報セキュリティに関する認識を確実なものにするために、定期的に教育・啓蒙活動を実施する。 
②端末に必要な情報セキュリティ対策が施されている事を使用者に確認させる。 
③ランサムウェアの感染に備え、重要な電子データのバックアップを社内システムから切り離した状態で保存する。 
④テレワーク勤務者がインターネット経由で社内システムにアクセスする際のアクセス方法を定める。また、社内システムとインターネットの境界線はファイアウォールやルータ等を設置し、アクセス状況を監視するとともに、不必要なアクセスを遮断する。 
⑤ファイル共有サービスなどのパブリッククラウドサービスの利用ルールを整備し、情報漏洩につながる恐れのある利用方法を禁止する。

2）テレワーク勤務者が実施すべき対策 
①定期的に実施される情報セキュリティに関する教育・啓蒙活動に積極的に取り組むことで、情報セキュリティに対する認識を高めることに努める。 
②マルウェア感染を防ぐ為、ＯＳやブラウザ（拡張機能を含む）のアップデートが未実施の状態で社外のウェブサイトにアクセスしない。 
③アプリケーションをインストールする際はその安全性を確認し、禁止されているものに該当しないか確認する。また、許可されているアプリケーションでも、安全性に疑いのある場合は管理者に確認を行う。 
④作業開始前にウィルス対策ソフト及びＯＳ、ソフトウェアについて最新の状態である事を確認する。 
⑤無線ＬＡＮを使用する場合、安全性の高い暗号化方式を使用する（WPA2以上を推奨） 
⑥第三者と共有する環境で作業を行う場合は、端末の画面にプライバシーフィルターを装着するか、作業場所を選ぶことにより、画面の覗き見防止に努める。

J.9.3 従業者の監督（A.11）

個人データを取り扱う従業者に対して必要かつ適切な監督を行う。

《留意事項》

※ 個人データに対する要求事項であっても、J.3.1.1（個人情報の特定）において特定した個人情報については、当該要求事項の対象となる。

《従業者の監督の要領》

従業者の監督は、次の要領で実施する。

a）従業者との雇用契約時又は派遣社員等の受入時における派遣事業者との委託契約時には、個人情報の非開示契約を締結する。この契約には、雇用契約等の終了後においても非開示条項が一定期間有効である旨を定める。

b）内部規程違反時の罰則

1）J.4.5.4の内部規程に対する違反の疑いが生じた場合には、個人情報保護管理者の指示の下、調査と確認を行う。

2）調査と確認の結果、違反の事実が明白となった場合には、その影響と損失の度合いに応じ、就業規則に則り、解雇を含む懲戒を行うものとする。また、当社が被った損害の一部又は全部を賠償させることがある。

3）派遣社員等については、派遣事業者との契約に基づいて責任を負わせるものとする。

c）安全管理に係るモニタリング

1）当社は、情報セキュリティ上の安全管理を目的としてビデオ及びオンラインよる従業者のモニタリングを実施する場合がある。モニタリングを実施する場合は、事前に従業者に周知徹底するものとする。

2）モニタリングの実施に関する責任は、個人情報保護管理者が負うものとし、個人情報保護管理者は前項の利用目的の範囲を超えて利用されないよう、モニタリング情報を厳重に管理するものとする。

3）モニタリングの実施状況が適正に行われていることを運用の確認又は監査において確認するものとする。

J.9.4 委託先の監督（A.12）

１個人データの取扱いの全部又は一部を委託する場合、十分な個人データの保護水準を満たしている者を選定するための委託先選定基準を確立し、委託先を選定する。

２個人データの取扱いの全部又は一部を委託する場合、特定した利用目的の範囲内で委託契約を締結する。

３次に示す事項が盛り込まれた契約を締結する。

a）委託者及び受託者の責任の明確化

b）個人データの安全管理に関する事項

c）再委託に関する事項

d）個人データの取扱状況に関する委託者への報告の内容及び頻度

e）契約内容が遵守されていることを委託者が、定期的に、及び適宜に確認できる事項

f）契約内容が遵守されなかった場合の措置

g）事件・事故が発生した場合の報告・連絡に関する事項

h）契約終了後の措置

４全ての委託先を漏れなく特定する。

５委託契約書は当該個人データの保有期間にわたって保存する。

６委託契約に基づき、委託先を適切に監督する。

《留意事項》

※ 個人データに対する要求事項であっても、J.3.1.1（個人情報の特定）において特定した個人情報については、当該要求事項の対象となる。

※ 委託先選定基準には、次の内容を含むこと。

·少なくとも委託する当該業務に関しては、自社と同等以上の個人情報保護の水準にあること。

·契約に規定する事項に対応可能なことを客観的に確認できること。

《個人データの取扱いの全部又は一部を委託する場合、委託先選定基準に基づいて委託先を選定する手順》

委託先の監督は、次の要領で実施する。

i）個人情報保護管理者は毎年7月に委託先の選定基準を見直し、「委託先審査表」に定める。

j）各部門の責任者は、当該部門が個人情報を委託する全ての委託先について、取引開始時、毎年7月、及び必要に応じて「委託先審査表」による評価を実施、個人情報保護管理者の承認を得る。

J.10 個人情報に関する本人の権利

J.10.1 個人情報に関する権利

１保有個人データに関して、本人から開示等の請求等を受けた場合、J.10.4～J.10.7の規定によって、遅滞なくこれに応じる。

２ J.8.8.2及びJ.8.8.3で作成した第三者提供記録に関して、本人から開示等の請求等を受けた場合、J.10.5の規定によって、遅滞なくこれに応じる。

３保有個人データ又は第三者提供記録に当たらないものとして、次に掲げるいずれかに限定する。

a）当該個人データ又は当該第三者提供記録の存否が明らかになることによって、本人又は第三者の生命、身体又は財産に危害が及ぶおそれのあるもの

b）当該個人データ又は当該第三者提供記録の存否が明らかになることによって、違法又は不当な行為を助長する、又は誘発するおそれのあるもの

c）当該個人データ又は当該第三者提供記録の存否が明らかになることによって、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの

d）当該個人データ又は当該第三者提供記録の存否が明らかになることによって、犯罪の予防、鎮圧又は捜査その他の公共の安全及び秩序維持に支障が及ぶおそれのあるもの

《留意事項》

※ J.3.1.1（個人情報の特定）において特定した個人情報について、当該個人情報を保有個人データと同様に取り扱うことが適切であると判断した場合には、当該要求事項の対象となる。

J.10.2 開示等の請求等に応じる手続（A.24、A.25）

１保有個人データ又は第三者提供記録の開示等の請求等に応じる手続として、次の事項を文書化する。

a）開示等の請求等の申出先

b）開示等の請求等に際して提出すべき書面の様式その他の開示等の請求等の方式

c）開示等の請求等をする者が、本人又は代理人であることの確認の方法

d）J.10.4又はJ.10.5による手数料（定めた場合に限る。）の徴収方法

２保有個人データ又は第三者提供記録の開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮する。

３本人からの請求などに応じる場合に、手数料を徴収するときは、実費を勘案して合理的であると認められる範囲内において、その額を定める。

《留意事項》

※ 当社は、本人に対し、開示等の請求等に関し、その対象となる保有個人データ又は第三者提供記録を特定するに足りる事項の提示を求めることができる。

《保有個人データ又は第三者提供記録の開示等の請求等に応じる手続》

開示等の請求等に応じる手続は、次の通りとする。本人から電磁的手続きによることの要望を受けた場合は、原則として本人の要望に合わせた対応を行う。

e）開示等の求めの申し出先
本人からの開示等の求めの申出先は、原則として個人情報問合せ窓口とする。

f）開示等の請求等に際して提出すべき書面の様式その他の開示等の請求等の方式
本人には、「保有個人データ開示等請求書」を郵送にて送付してもらう。

g）本人又は代理人であることの確認方法
本人確認が可能な当社への登録情報の2項目程度を上記ｆ）の書面と同時に受け取るか、ｆ）の書面を受け取り後、問合せる等の手続きにより本人確認を行う。

h）代理人による開示等の求めの場合
代理人による開示等の求めの場合、前記g）に加えて、代理権が確認できる下記1）の書類の写しいずれか及び代理人自身を証明する2）の書類の写しのいずれかを必要とする。

1）代理人である事を証明する書類

＜開示等の求めをすることにつき本人が委任した代理人の場合＞
・本人の委任状

＜代理人が未成年者の法定代理人の場合＞
・戸籍謄本 
・住民票（続柄の記載されたもの個人番号が記載されていないもの） 
・その他法定代理権の確認ができる公的書類

　＜代理人が成年被後見人の法定代理人の場合＞ 
・後見登記等に関する登記事項証明書 
・その他法定代理権の確認ができる公的書類

2）代理人自身を証明する書類（本籍地の情報は都道府県以外を、個人番号は全桁を黒塗りで収集するものとする） 
・運転免許証 
・パスポート 
・健康保険の被保険者証（被保険者等記号・番号等を全て墨塗りしたもの） 
・住民票（個人番号が記載されていないもの）

i）開示等の求めの手数料および徴収方法

1）利用目的の通知又は開示請求の場合、１回の請求につき1,000円の手数料を徴収する。

2）手数料の徴収は、請求書類の郵送時に郵便定額小為替を同封することとする。

J.10.3 保有個人データ又は第三者提供記録に関する事項の周知など（A.19）

保有個人データ又は第三者提供記録に関して、次の事項を本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置く。

a）当社の名称及び住所並びに代表者の氏名

b）個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先

c）全ての保有個人データの利用目的(J.8.4のa)～c）までに該当する場合を除く。)

d）保有個人データの取扱いに関する苦情の申出先

e）当社が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先

f）J.10.2によって定めた手続

g）保有個人データの安全管理のために講じた措置（本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。）

《留意事項》

《本人が知り得る状態とする方法》

本人が知り得る状態とする方法は、次の通りとする。

h）a）～g）の事項については予め文書化し、個人情報保護管理者の承認を得た上で当社ホームページにて公表することとする。

i）本人からの求めがあった場合には苦情相談窓口責任者が応じることとし、遅滞なく文書にて送付することとする。

J.10.4 保有個人データの利用目的の通知（A.19、A.23）

１本人から、当該本人が識別される保有個人データについて、利用目的の通知を求められた場合、遅滞なくこれに応じる。

２本人から、当該本人が識別される保有個人データについて、利用目的の通知を求められた場合であって、利用目的の通知を必要としないのは以下の場合に限定する。

・J.8.4のa)～c)のいずれかに該当する場合

・J.10.3のc)によって当該本人が識別される保有個人データの利用目的が明らかな場合

３ No.2の各事由のいずれかに該当する場合、本人に遅滞なくその旨を通知するとともに、理由を説明する。

《留意事項》

《利用目的の通知を求められた場合》

保有個人データについて利用目的の通知を求められた場合、原則として本人から「保有個人データ開示等請求書」を提出してもらい、その記載内容に基づいて以下の通り処理を実施する。

a）保有個人データを調査の上、必要事項を確認する。

b）「苦情・相談等受付処理票」に必要事項を記入する。

c）苦情相談窓口責任者と個人情報保護管理者で対応を協議し、本人への回答内容を立案する。但し、本規程J.8.4のａ）～ｃ）に該当する場合、又はJ.10.3のc)によって利用目的が明らかであるという理由により、利用目的通知の求めに応じない場合、その理由の説明について立案する。

d）c）について、個人情報保護管理者の承認を得る。

e）利用目的についての本人への回答（求めに応じない場合はその旨の回答とc）で立案した理由の説明）は以下のいずれかの方法で行う。

1）登録されている本人住所に回答文面を郵送する。

2）登録されている本人のFAX番号に回答文面をFAXする。

3）登録されている本人のＥメールアドレスに回答文面をメールする。

4）登録されている本人の電話番号に電話をかけ、口頭にて回答する。

J.10.5 保有個人データ又は第三者提供記録の開示（A.20、A.23）

１本人から、当該本人が識別される保有個人データ又は第三者提供記録の開示の請求を受けた場合、法令によって特別の手続が定められている場合を除き、本人に対し、遅滞なく、電磁的記録の提供も含めて当該本人が指定した方法（当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法）によって開示する。

２本人から、当該本人が識別される保有個人データ又は第三者提供記録の開示の請求を受けた場合であって、全部又は一部の開示を必要としないのは以下の場合に限定する。

a）本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

b）当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合

c）法令に違反する場合

３ No.1の当該本人が指定した方法について、当該方法による開示が困難であるとして、書面での交付とした場合、若しくは、No.2の各事由のいずれかに該当する場合、本人に遅滞なくその旨を通知するとともに、理由を説明する。

《留意事項》

※ 学術研究目的で行う保有個人データの取扱いも、本要求事項の対象となる。

※ 当該本人が識別される保有個人データ又は第三者提供記録が存在しないときは、その旨を本人に遅滞なく通知する。

《開示を求められた場合》

開示を求められた場合、原則として本人から「保有個人データ開示等請求書」を提出してもらい、その記載内容に基づいて以下の通り処理を実施する。

d）保有個人データ又は第三者提供記録を確認の上、必要事項を確認する

e）「苦情・相談等受付処理票」に必要事項を記入する。

f）苦情相談窓口責任者と個人情報保護管理者で対応を協議し、本人への回答内容を立案する。但し、ａ）～ｃ）に該当する場合で開示の求めに応じない場合、その理由の説明について立案する。

g）f）について、個人情報保護管理者の承認を得る。

h）開示についての本人への回答（求めに応じない場合はその旨の回答とf）で立案した理由の説明）はJ.10.4のe）に従って行う。

J.10.6 保有個人データの訂正、追加又は削除（A.21、A.23）

１本人から、当該本人が識別される保有個人データの訂正等（訂正、追加又は削除）の請求を受けた場合、法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該保有個人データの訂正等を行う。

２本人から保有個人データの訂正等の請求を受けて訂正等を行った場合は、その旨及びその内容を本人に遅滞なく通知する。

３本人から保有個人データの訂正等の請求を受けたが応じなかった場合、本人に遅滞なくその旨を通知するとともに、理由を説明する。

《留意事項》

《訂正等を求められた場合》

訂正等を求められた場合、原則として本人から「保有個人データ開示等請求書」を提出してもらい、その記載内容に基づいて以下の通り処理を実施する。

a）訂正内容、訂正目的、保有する現データとの違いを確認し、必要な訂正事項を確認する。

b）「苦情・相談等受付処理票」に必要事項を記入する。

c）苦情相談窓口責任者と個人情報保護管理者で対応を協議し、本人への回答内容を立案する。また調査の結果、訂正、追加、削除の求めに応じない場合は、その理由の説明について立案する。

d）c）について、個人情報保護管理者の承認を得る。

e）訂正等についての本人への回答はJ.10.4のe）に従って行う。

J.10.7 保有個人データの利用又は提供の拒否権（A.22、A.23）

１本人から当該本人が識別される保有個人データの利用停止等（利用の停止、消去又は第三者への提供の停止）の請求に応じる。

２本人からの当該本人が識別される保有個人データの利用停止等の請求に応じた場合、遅滞なくその旨を本人に通知する。

３本人からの当該本人が識別される保有個人データの利用停止等の請求に応じなかった場合は以下のいずれかに該当する場合に限定し、本人に遅滞なくその旨を通知するとともに、理由を説明する。

a）当該保有個人データの利用停止等に多額の費用を要する場合等の理由により、利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき

b）本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

c）当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合

d) 法令に違反する場合

《留意事項》

《利用停止等を求められた場合》

利用停止等を求められた場合、原則として本人から「保有個人データ開示等請求書」を提出してもらい、その記載内容に基づいて以下の通り処理を実施する。

e）保有する現データと利用目的、提供先等を確認し、依頼の妥当性を確認する。

f）「苦情・相談等受付処理票」に必要事項を記入する。

g）苦情相談窓口責任者と個人情報保護管理者で対応を協議し、本人への回答内容を立案する。但し、a）～d）に該当する場合で利用停止等の求めに応じない場合、その理由の説明について立案する。

h）g）について、個人情報保護管理者の承認を得る。

i）利用停止等についての本人への回答（求めに応じない場合はその旨の回答とg）で立案した理由の説明）は、J.10.4のe）に従って行なう。

J.11 苦情及び相談への対応

J.11.1 苦情及び相談への対応（7.4.2、A.26）

１個人情報の取扱い及び個人情報保護マネジメントシステムに関して、本人からの苦情及び相談を受け付けて、適切かつ迅速な対応を行う手順を内部規程として文書化する。

２本人からの苦情及び相談を受け付けて、適切かつ迅速な対応を行うための体制を整備する。

３苦情及び相談の申出先（認定個人情報保護団体の対象事業者となっている場合は、当該団体の苦情解決の申出先も含む）について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置く。

４苦情及び相談への対応を実施する。

《本人からの苦情及び相談を受け付けて、適切かつ迅速な対応を行う手順》

a）体制
苦情及び相談には、個人情報問合せ窓口が対応する。苦情相談窓口責任者は、個人情報問合せ窓口を統括する。

b）対応手順

1）苦情及び相談の受け付け 受付者は、苦情及び相談の内容を「苦情・相談等受付処理票」に記入する。

2）電話の場合、受付者は問い合わせ内容等を確認したら、一旦電話を切り、苦情相談窓口責任者に報告する。

3）苦情相談窓口責任者は、事業への影響度を含めて苦情等の内容をトップマネジメントと個人情報保護管理者に報告する。

4）問合せ内容に応じて、苦情相談窓口責任者並びに関連部門と協議を行い、回答方針案を作成する。

5）回答内容について、トップマネジメントと個人情報保護管理者の承認を得た上で、原則として書面により速やかに本人へ連絡する。

6）苦情相談窓口責任者は、苦情や相談の内容と対応結果を、個人情報保護管理者およびトップマネジメントに報告する。

c）処理結果の記録

苦情・相談等の対応結果は、「苦情・相談等受付処理票」に記録し、苦情相談窓口責任者が保管する。

d）苦情の処理が終わった後、本規程J.7.1（不適合及び是正処置）に基づき、再発防止のため苦情の根本原因を明確にし、必要に応じ是正処置を実施する。

Home
/
個人情報保護方針_2025_01

PRIVACY POLICY