個人情報に基づく公表事項に関する案内

個人情報取扱規程

第1章  総則

(目的)
第1条  この規程は、本会の個人情報保護方針に基づく個人情報の取り扱いの基本事項を定めたもので、個人情報の保護と適正な利用を図ることを目的とする。
  ただし、本会の役職員にかかる個人情報の取り扱いについては「職員個人情報取扱規程」に、特定個人情報に係る固有の取扱いについては、「特定個人情報取扱規程」に定めるところによる。

(用語の定義)
第2条  この規程において、次の各号に掲げる用語の定義は、当該各号に定めるところによる。
(1)個人情報
   個人情報の保護に関する法律(以下「法」という。)第2条第1項に規定する個人情報をいう。
(2)個人データ
   法第2条第4項に規定する個人データをいう。
(3)保有個人データ
   法第2条第5項に規定する保有個人データをいう。
(4)本人
   個人情報によって識別される特定の個人をいう。

第2章  管理組織・体制

(個人情報保護対策委員長等)
第3条  会長は、個人情報保護対策委員長(以下、「委員長」という。) として、個人情報の保護のための措置に関する業務を統括する。
2.業務監査室長を個人情報保護事務管理者(以下、「事務管理者」という。)として委員長を補佐し、
  個人情報保護に関する施策の立案とその実施についての指揮・監督に当たらせる。
3.各部室長及び次長を個人情報保護対策責任者(以下、「責任者」という。)として主管部室の指揮・
  監督に当たらせる。
4.所属長(各課・支店)を個人情報保護部門管理者(以下、「部門管理者」という。)として、自らが
  管理している個人情報の保護に関する施策の実施及びその評価・改善に当たらせる。
5.部門管理者は、事務管理者に届け出て、各部署に所属する者のなかから、個人情報取扱者を選任し、
  自己に代わり必要な個人情報保護についての業務を行わせることができる。この場合には、これらの
  者を適切に管理・監督しなければならないものとする。

(個人情報保護対策委員長の職務)
第4条  委員長の職務は、次のとおりとする。ただし、その一部は必要に応じ事務管理者等に行わせることができる。この場合には、これらの者を適切に管理・監督しなければならない。
(1)個人情報の安全管理措置の立案と実施の管理
(2)個人情報保護計画の策定と実施結果に基づく評価・改善
2.前項の個人情報保護計画には次の事項を盛り込まなければならない。
(1)個人情報資産の調査・分析に基づく対応策の策定、実施、評価、改善
(2)個人情報保護のための責任者、管理者、担当者の役割とその業務内容
(3)研修実施計画

(教育・研修の実施)
第5条  事務管理者は、役職員その他の関係者に対して、個人情報保護計画に基づく教育・研修を効果的・定期的に行い、個人情報の重要性を自覚させる手順・方法を確立し維持しなければならない。

第3章  個人情報の取得及び利用

(取得の原則)
第6条  個人情報の取得は、適法、かつ公正な手段によって行わなければならない。
2.個人情報の取得に当たっては、取得の状況からみて利用目的が明らかである場合と認められる場合を
  除き、あらかじめ目的を特定して、その目的の達成に必要な限度において行わなければならない。
3.新しい目的で個人情報を取得・収集するときは、担当者は部門管理者に届け出なければならない。
4.前項の届け出を受けた部門管理者は、直ちに事務管理者との協議を経て、委員長の承認を得なければ
  ならない。

(機微(センシティブ)情報の取扱い)
第7条  政治的見解、信教(宗教、思想および信条をいう。)、労働組合への加盟、人種および民族、門地および本籍地、保健医療および性生活、並びに犯罪歴に関する情報(以下「機微情報」という。)については、次に掲げる場合を除くほか、取得・利用または第三者提供を行わない。
(1)法令等に基づく場合
(2)人の生命、身体または財産の保護のために必要がある場合
(3)公衆衛生の向上または児童の健全な育成の推進のため特に必要がある場合
(4)国の機関若しくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対
   して協力する必要がある場合
(5)源泉徴収事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若し
   くは加盟に関する従業員等の機微情報を取得し、利用し、または第三者提供する場合
(6)相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微情報を取得、利用または第三
   者提供する場合
(7)保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂
   行上必要な範囲で機微情報を取得し、利用し、または第三者提供する場合
(8)機微情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合
2.機微情報は前項に掲げる事由を逸脱した取得、利用または第三者提供を行うことのないよう、特に慎
  重に取り扱わなければならない。

(本人から書面で個人情報を直接取得する場合の措置)
第8条  本人との契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、次の事項を明示したうえでなければ、これを行ってはならないものとする。
(1)利用目的
(2)個人情報を第三者に提供することが予定される場合には、その旨
2.利用目的の達成に必要な場合には、前項で特定した利用目的と相当の関連性を有すると合理的に認め
  られる範囲において利用目的を変更することができるが、この場合には変更された利用目的について、
  本人に通知し、又は公表しなければならない。
3.前2項の規定は、次に掲げる場合については、適用しない。
(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権
   利利益を害するおそれがある場合
(2)利用目的を本人に通知し、又は公表することにより本会の権利又は正当な利益を害するおそれがあ
   る場合
(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合で
   あって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれ
   があるとき。
(4)取得の状況からみて利用目的が明らかであると認められる場合

(書面以外の方法により個人情報を直接取得する場合の措置)
第9条  委員長は、本会が書面による方法以外の方法により個人情報を取得する場合には、あらかじめその利用目的を本会のインターネット・ホームページへの掲載、店頭における掲示又はパンフレット等への掲載の方法によって公表している場合を除き、速やかに、その利用目的を本人に通知するか、又は公表しなければならないものとする。
2.前条第2項および第3項の規定は、書面による方法以外の方法により取得した個人情報の取扱いにつき
  準用する。

(目的外の利用の禁止とその例外)
第10条  本人の同意を得たうえでなければ、前2条により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないものとする。ただし、次に掲げる場合はこの限りではない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難で
   あるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を
   得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対し
   て協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼす
   おそれがあるとき。

(目的外の利用の場合の措置)
第11条  利用目的の範囲を超えて個人情報の利用を行う場合、委員長の承認を受けた上で、あらかじめ本人の同意を得なければならない。

第4章  個人データの適正管理

(個人データの正確性の確保)
第12条  事務管理者は、個人データを利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しなければならない。また、その取り扱う個人データについて、利用目的の達成に必要な範囲内で保存期間を定めるよう努め、当該保存期間経過後又は利用目的を達成した後は、遅滞なくこれを消去するよう努めなければならない。

(安全管理措置)
第13条  本会は、個人データの漏えい、滅失またはき損の防止その他の個人データの安全管理のため、必要かつ適切な措置(安全管理措置)を講じなければならない。この場合において、安全管理措置は、個人データが漏えい、滅失または毀損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質、個人データの取扱状況および個人データを記録した媒体の性質等に起因するリスクに応じたものとする。
2.前項の安全管理措置は、以下の4つの観点から講じる。
(1)組織的安全管理措置
   個人データの安全管理措置について役職員の責任と権限を明確に定め、安全管理に関する規程等を
   整備・運用し、その実施状況の点検・監査を行うこと等の体制整備および実施措置をいう。
(2)人的安全管理措置
   役職員との個人データの非開示契約等の締結および役職員に対する教育・訓練等を実施し、個人デ
   ータの安全管理が図られるよう役職員を監督することをいう。
(3)物理的安全管理措置
   入退館(室)の管理、個人データの盗難の防止等の措置をいう。
(4)技術的安全管理措置
   個人データおよびそれを取り扱う情報システムへのアクセス制御および情報システムの監視等の個
   人データの安全管理に関する技術的な措置をいう。
   個人データにかかる技術的安全管理措置については、別に定める「セキュリティポリシー」および
   「セキュリティスタンダード」の定めるところによる。

(個人データの具体的取扱い)
第14条  委員長は、個人データの取得・入力、利用・加工、保管・保存、移送・送信、消去・廃棄等にかかる具体的取扱いについて定め、その運用については事務管理者および部門管理者により監督させなければならない。

(個人データ取扱台帳の整備)
第15条  個人データの取扱状況を確認できる手段の整備として、保管責任者、保管場所、期間等を管理する台帳(以下、「個人情報取扱台帳」という。)を整備する。
2.個人情報取扱台帳の内容については、定期的に確認することにより最新状態を維持する。

(個人データの共同利用)
第16条  個人データを第三者との間で共同利用する場合、共同して利用する個人データの項目、共同して利用する者の範囲、利用する者の利用目的および当該個人データの管理について責任を有する者の氏名又は名称を部門管理者を通じ事務管理者に届け出なければならない。
2.前項の通知を受けた事務管理者は、委員長と協議し、その承認を得なければならない。
3.個人データの共同利用は、委員長の承認を得て、事務管理者が必要な措置を講じた後でなければなら
  ない。

(共同利用についての公表等)
第17条  取得した個人情報に係る個人データを特定の者と共同して利用する場合にあっては、その旨並びに共同して利用される個人データ項目、共同で利用する者の範囲、利用する者の利用目的および当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、第9条に定める方法により本人が容易に知り得る状態においておくか又は本人に通知しなければならない。
2.前項の場合において、利用する者の利用目的又は個人データの管理について責任を有する者の氏名若
  しくは名称を変更する場合には、変更する内容につき前項と同様の措置を講じなければならない。

(個人データの第三者への提供)
第18条  個人データを第三者に提供する場合には、あらかじめ部門管理者を通じ事務管理者に届け出るものとする。ただし、第3項第3号に掲げる場合であって緊急を要する場合はこの限りでない。
2. 前項の通知を受けた事務管理者は、委員長と協議し、その承認を得なければならない。
3.前項の承認は、次の各号に該当する場合を除き、行ってはならない。
(1)本人の同意を得ている場合
(2)法令に基づく場合
(3)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難で
   あるとき。
(4)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を
   得ることが困難であるとき。
(5)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対し
   て協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼす
   おそれがあるとき。

(個人データの取扱いの委託)
第19条  本会は、個人データの処理を第三者に委託する場合には、取扱を委託する個人データの内容および個人データが漏えい、滅失又は棄損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託先の選定を行うとともに、委託契約書等において、次に掲げる事項について明確にしたうえで適正な取扱いが行われるよう配慮するものとする。
(1)委託先における委託業務を通じて得た個人情報を他に漏らす又は盗用することの禁止
(2)委託に係る個人データの取扱いの再委託を行うに当たっての文書による本会の承諾
(3)委託契約期間
(4)利用目的達成後の個人データの返却又は委託先における確実な破棄若しくは削除
(5)委託先における個人データの加工(委託契約の範囲内のものを除く。)、改ざん等の禁止又は制限
(6)委託先における個人データの複写又は複製(安全管理上必要なバックアップを目的とするもの等委
   託契約範囲内のものを除く。)の禁止
(7)委託先において個人データの漏えい等の事故が発生した場合における本会への報告義務
(8)委託先において個人データの漏えい等の事故が発生した場合における委託先の責任
(9)委託先における個人データの取扱状況の確認方法
2. 委託先における委託に係る個人データが前項の規定に基づき適正に行われているかどうかについては、
  定期的又は随時確認するとともに、不備が認められた場合には必要な措置を講ずるよう求めるものと
  する。

第5章  保有個人データに関する本人からの開示請求等への対応

(保有個人データに関する事項の公表等)
第20条  保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。以下同じ。)に置くものとする。
(1)本会の名称
(2)すべての保有個人データの利用目的(法第18条4項1号から第3号までに該当する場合を除く)
(3)第25条の開示等の手続に関する事項
(4)保有個人データの取扱いに関する本会における苦情の申出先
(注)認定個人情報保護団体の対象事業者である場合は、認定個人情報保護団体の名称およびその苦情の
   解決の申出先を追加する。
2. 本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、次の各号の
  いずれかに該当する場合を除き、本人に対し、遅滞なく、これを通知しなければならない。
(1)あらかじめ本人が知り得る状態にしてあることにより、当該本人が識別される保有個人データの利
   用目的が明らかな場合
(2)次に掲げる場合
イ 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権
  利利益を害するおそれがある場合
ロ 利用目的を本人に通知し、又は公表することにより本会の権利又は正当な利益を害するおそれがあ
  る場合
ハ 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合で
  あって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれ
  があるとき。
3. 前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人
  に対し、遅滞なく、その旨を通知しなければならない。

(本人からの開示請求等への対応)
第21条  本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、書面又は本人と同意した方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)本会の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)法以外の他の法令に違反することとなる場合
2.前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をした
  ときは、本人に対し、遅滞なく、その旨を通知しなければならない。
3.法以外の他の法令の規定により、本人に対し第1項本文に規定する方法に相当する方法により当該
  本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部
  又は一部の保有個人データについては、同項の規定は適用しない。

(訂正等)
第22条  本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して法以外の他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
2.前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行った
  とき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行
  ったときは、その内容を含む。)を通知しなければならない。

(利用停止等)
第23条  本人から、当該本人が識別される保有個人データが法第16条(利用目的の制限)の規定に違反して取り扱われているという理由又は法第17条(適正な取得)の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2.本人から、当該本人が識別される保有個人データが法第23条(第三者提供の制限)第1項の規定に
  違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止
  を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人
  データの第三者への提供を停止しなければならない。
  ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への
  提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき
  措置をとるときは、この限りでない。
3.第1項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったと
  き若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人
  データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止し
  ない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

(理由の説明)
第24条  第20条第3項、第21条第2項、第22条第2項又は前条第3項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めるものとする。

(開示等の求めに応じる手続)
第25条  第20条第2項、第21条第1項、第22条第1項又は第23条第1項及び第2項の規定による求め(以下、「開示等の求め」という。)に応じる手続については、別に定める「個人情報の開示等に関する手続」にて定めるほか、以下の事項に関して第20条第1項に基づき本人の知り得る状態に置くものとする。
(1)開示等の求めの申出先
(2)開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式
(3)開示等の求めをする者(代理人を含む。)の本人確認の方法
2.前項の規定に基づき開示等の求めに関する手続を定めるにあたっては、本人に過重な負担を課すもの
  とならないよう配慮するものとする。

第6章  個人情報保護にかかるその他の措置

(個人情報の廃棄)
第26条  個人情報の廃棄については、「個人情報取扱細則」第12条第1項及び第2項に準じて取り扱う。

(法違反または法違反のおそれが発覚した場合の対応)
第27条 個人情報の取扱いに関して法違反又は法違反のおそれが発覚した場合には、事案を把握した者は部門管理者に報告しなければならない。この場合、報告を受けた部門管理者は事務管理者を通じて委員長に直ちに報告するとともに、事務管理者と協力して事実関係を速やかに調査・確認しなければならない。
2. 事務管理者は、二次災害の防止、類似事案の発生回避等のため、部門管理者と協力するとともに、必
  要に応じ個人情報保護対策委員会を開催し、再発防止策等を策定した上で、事実関係とともに公表す
  るよう努めなければならない。また、事実関係の調査・確認に時間を要する場合にも二次災害の防止
  の観点から漏えい事実の公表等を行い社会的な信頼の回復に努めるものとする。
3. 法違反または法違反のおそれのある事案を把握した場合には、委員長は所管行政庁及び関係機関等に
  報告するとともに理事会に報告をし、事務管理者は速やかに本人に対し通知または公表を行うことと
  する。

(個人情報保護苦情・相談窓口の設置)
第28条 委員長は、個人情報の取扱いに関する苦情・相談を受付けて対応する窓口を設置し、この連絡先を本人に通知又は公表しなければならない。
2.前項の手続の細目は、「個人情報に係る苦情等対応手続」に定めるところによる。

第7章  内部監査

(監査の実施)
第29条  本会は、本会における個人情報保護に関する措置が適切に行われているかどうかについて、少なくとも年1回は内部監査を実施し、その結果を理事会に報告しなければならないものとする。
2.前項の監査は、業務監査室が担うものとする。ただし、外部の第三者に監査業務を委託することを妨
  げない。

(監査計画等)
第30条  業務監査室の長は、年1回個人情報保護のための監査計画を立案し、理事会の承認を得なければならない。
2.前項の監査計画および内部監査の実施要領は、「業務監査実施要領」に定めるところによる。

第8章  雑則

(役職員の責務)
第31条  本会の役職員は、本規程その他個人情報の取扱いに関する諸規程を遵守し、個人情報を適切に取り扱わなければならない。
2.本規程及びその他の規程に定めるところと異なる取扱いを必要とする場合及び当該規程に定めのない
  事項で取扱いに疑義等があるものについては、部門管理者又は事務管理者に相談し、その指示を仰ぐ
  ものとする。

(罪則)
第32条  本会は、本規程に違反した職員に対して就業規則等に基づき懲戒その他の処分を行わなければならない。
2.前項の手続きは就業規則等に定めるところによる。

(規程の改廃)
第33条  この規程の改廃は、理事会の議決をもって行う。

附則
この規程は、平成17年 4月 1日から施行する。
   〃   平成18年 4月 1日から改定実施する。
   〃   平成21年 9月30日    〃
   〃   平成22年 5月 1日    〃
   〃   平成23年 4月 1日    〃
   〃   平成24年 4月 1日    〃
   〃   平成27年 7月 1日    〃
   〃   平成27年12月 1日    〃