個人情報取扱規定
第1章 総則
( 目的 )
第1条 本規程は、当法人における個人情報の適法かつ適正な取扱いの確保に関する基本的事項を定めることにより、個人の権利・利益を保護することを目的とする。
( 定義 )
第2条 本規程において、「個人情報」の定義は次の通りとする。
生存する「個人に関する情報」であって、特定の個人を識別することができるもの、又は他の情報と容易に照合することができ、それにより特定の個人を識別することができるものをいう。
「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声も含まれ、暗号化されているかどうかを問わない。
なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報である場合には、当該生存する個人に関する情報となる。
また、「生存する個人」は日本国民に限られず、外国人も含まれるが、法人その他の団体は「個人」に該当しないため、法人などの団体に関する情報は含まれない。
( 適用 )
第3条 本規程は、当法人の従業者に適用する。従業者とは、当法人の実務に当たる常勤、または非常勤の職員とする。
2.本規程は、当法人が現に保有している個人情報(その取扱いを委託されている個人情報を含む)、及びその取扱いを委託している個人情報を対象とする。
( 個人情報保護方針 )
第4条 当法人における個人情報の適法かつ適正な取扱いを確保するため、個人情報に関する法令を遵守するとともに、当法人の事業内容に照らし適切に個人情報を取扱う旨の個人情報保護方針を定める。
2.個人情報保護方針は、従業者に周知せしめるとともに、ホームページに掲載する等の措置を講じるものとする。
3.個人情報保護方針は、社外に対して、プライバシーポリシーと称することができる。
第2章 管理体制
( 個人情報保護管理者 )
第5条 当法人は、個人情報の取扱いに関して総括的な責任を有する個人情報保護管理者を設置する。
(1) 個人情報保護管理者は事務局長がその任にあたる。
2.個人情報保護管理者は、下記各号その他当法人における個人情報管理に関する全ての職責と権限を有する。
(1) 本規程第4条に基づく個人情報保護方針の策定及び従業者への周知、一般への公表
(2) 本規程に基づき個人情報の取扱いを管理する上で必要とされる細則の承認
(3) 個人情報に関する安全対策の策定・推進
(4) 個人情報の適正な取扱いの維持・推進を目的とした諸施策の策定・実施
(5) 事故発生時の対応策の策定・実施
第3章 運用
第1節 個人情報の取扱いの原則
( 管理原則 )
第6条 個人情報は、本規定に従い適切に分類・管理し、その重要度に応じて適切に取得、移送、利用、保管、廃棄されなければならない。
( 利用目的 )
第7条 当法人は、個人情報の利用目的をできる限り特定する。
2.個人情報は、あらかじめ本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて取扱ってはならない。利用目的の範囲内か否かが不明な場合は、都度、個人情報保護管理者に判断を求めなければならない。
3.利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると認められる範囲を超えて行ってはならず、変更された利用目的は遅滞なく本人に通知または公表しなければならない。
第2節 個人情報の取得
( 適正な取得 )
第8条 個人情報は、偽りその他不正の手段により取得してはならない。
( 特定の個人情報の取得の禁止 )
第9条 原則として、下記各号に示す内容を含む個人情報は、これを取得し、または第三者に提供してはならない。但し、業務上必要であり、かつ、本人に対し当該情報の利用目的及びその必要性等について適切な情報を明示した上で明確に本人の同意を得た場合、または法令に特別の規定がある場合、あるいは司法手続上必要不可欠な場合はこの限りでない。
(1) 思想、信条及び信教に関する事項
(2) 人種、民族、家柄、本籍地、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
(3) 勤労者の団結権の行使、団体交渉及びその他団体行動に関する事項
(4) 集団示威行為(デモ等)への参加、国または地方公共団体に対する請願権の行使及びその他の政治的権利の行使に関する事項
(5) 保健医療に関する事項
(6) その他個人情報保護管理者の定める事項
( 本人から直接個人情報を取得する際の措置 )
第10条 申込書・アンケート・契約書等、書面(電子メール、自社ホームページへの記入等電磁的方法も含む)により本人から直接個人情報を取得する場合は、本人に対してあらかじめ利用目的を明示しなければならない。但し、下記各号に該当する場合はこの限りでない。
(1) 人の生命、身体または財産その他の権利利益を保護するため必要な場合
(2) 当法人の権利または正当な利益を害するおそれがある場合
(3) 国または地方公共団体の法令に定める事務の遂行に支障を及ぼすおそれがある場合
(4) 取得の状況に照らし、利用目的が明らかであると認められる場合
( 間接的に個人情報を取得する際の措置 )
第11条 本人以外の第三者から個人情報を取得する場合は、当該個人情報が当該第三者において適法、適正に取得されたものでなければならず、かつ、当該第三者において、当法人への個人情報の提供につき、適法な措置が講じられていなければならない。
第3節 個人情報の管理
( 安全管理措置 )
第12条 当法人においては、取扱う個人情報の漏洩、滅失または毀損の防止その他の安全管理のために、人的、物理的、技術的に適切な措置を講じるものとする。
2.各部門においては、下記各号に従って適切に個人情報を取り扱わなければならない。
(1) 各部門において保管する個人情報を含む文書(磁気媒体を含む)は、施錠できる場所への保管、パスワード管理等により、散逸、紛失、漏洩の防止に努めなければならない。
(2) 情報機器は適切に管理し、正式な利用権限のない者には使用させてはならない。
(3) 個人情報を含む文書であって、保管の必要のないものは、速やかに廃棄しなければならない。
(4) 個人情報を含む文書の廃棄は、シュレッダー裁断、焼却、溶解等により、完全に抹消しなければならない。
(5) 個人情報を含む文書は、みだりに複写してはならない。
( 従業者の監督 )
第13条 個人情報保護管理者は、従業者が個人データを取扱うにあたり、必要かつ適切な監督を行わなければならない。
( 社内教育 )
第14条 従業者に対する個人情報の保護及び適正な取扱いに関する教育方針は、個人情報保護管理者が決定する。
2.従業者は、個人情報保護管理者が決定した方針に基づく研修を受けなければならない。
( 委託先の監督 )
第15条 個人データの取扱いの全部または一部を委託する場合(労働者派遣契約または業務委託等契約により派遣労働者を受け入れる場合を含む)は、その取扱いを委託した個人データの安全管理が図られるよう、委託を受けた者(以下「委託先」という)に対する必要かつ適切な監督を行わなければならない。
2.前項の委託を行う場合は、委託先に対して下記各号の事項を実施しなければならない。
(1) 委託先における個人情報の保護体制が十分であることを確認した上で委託先を選定すること
(2) 委託先との間で次の事項を含む契約を締結すること
① 個人情報の適法かつ適切な取扱い(個人データに対する人的、物理的、技術的な安全管理措置を委託先が講じることを含む)
② 個人情報に関する秘密保持
③ 委託した業務以外の個人情報の使用禁止
④ 個人情報を取扱う上での安全対策
⑤ 再委託に関する事項
再委託は原則として禁止し、再委託がやむを得ない場合は事前に書面による当法人の同意を要し、委託先が再委託先と連帯して責任を負うことの確認
⑥ 契約内容が遵守されていることの確認
⑦ 個人情報に関する事故が生じた際の責任
⑧ 契約終了時の個人情報の返却及び抹消
(3) 個人情報の取得を委託する場合は、当法人が取得の主体であること並びに当法人の指定する利用目的を明示するよう義務付けること
( 第三者提供の制限 )
第16条 あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。但し、下記各号に該当する場合、本人の同意なく第三者提供ができる。
(1) 個人情報保護方針に定めた範囲内で第三者提供、共同利用するとき
(2) 人の生命、身体または財産の保護のために必要があり、かつ、本人の同意を得ることが困難であるとき
(3) その他法令に基づく場合
2.第三者提供もしくは共同利用する場合、個人情報保護管理者の承認を得ること。
第4章 その他
( 所管官庁への報告 )
第17条 個人情報保護管理者は、個人データの漏洩の事実または漏洩のおそれを把握した場合には、直ちに所管官庁に報告しなければならない。
( 罰則 )
第18条 当法人は、本規定に違反した従業員に対して就業規則に基づき処分を行い、その他の従業者に対しては、契約または法令に照らして決定する。
( 改廃 )
第19条 本規程の改廃は、理事会において行うものとする。
2019年6月16日
特定非営利活動法人 Nature Center Risen