(目的)
第1条 一般社団法人安心R住宅推進協議会における個人情報の取り扱いについて定める。
(適用範囲)
第2条 法人内外を問わず、従業者が業務として個人情報を取り扱う場合に適用される。
(定義)
第3条 この規程で用いる用語は以下の通りとする。
(1)個人情報
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)。
(2)個人データ
個人情報の内、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの、および特定の個人情報を容易に検索することができるように体系的に構成したもの。ただし、個人情報保護管理責任者により除外されたものを除く。
(3)保有個人データ
個人データの内、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データ。ただし、個人情報保護管理責任者により除外されたものを除く。
(4)情報主体
一定の情報によって識別される、または識別されうる本人
(5)収集
取得
(6)最高経営会議
理事会など代表者を含む組織の最高意志決定会議
(7)個人情報保護管理責任者
最高経営層会議で指名された者であって、コンプライアンス・プログラムの実施および運用に関する責任と権限を持つ者
(8)コンプライアンス・プログラム
方針、体制、規程、計画書、手順書、マニュアル、記録など、当法人で保有する個人情報を保護するための法人内の仕組みすべて
(罰則)
第4条 コンプライアンス・プログラムに違反した場合には、懲戒規定を準用する。
(改訂)
第5条 本規程の改訂は、最高経営会議の承認を得なければならない。
(最高経営会議)
第6条 最高経営会議では、その中から個人情報保護管理責任者と個人情報保護監査責任者を指名しなければならない。
2 最高経営会議では、個人情報保護に関して、コンプライアンス・プログラムの全体像を把握し、以下の項目を含む基本方針を定めなければならない。
(1)個人情報保護管理責任者名および苦情相談先を含む個人情報保護の体制に関すること。
(2)個人情報の取得に関すること。
(3)個人情報の利用に関すること。
(4)個人情報の委託に関すること。
(5)個人情報の第三者への提供に関すること。
(6)個人情報の安全管理に関すること。
(7)個人情報保護に関する問い合わせ、個人情報の開示、訂正、削除および利用停止に関すること。
(8)個人情報に関する事故が発生した場合の対処に関すること。
(9)個人情報保護に関する法令およびその他の規範の遵守に関することと、事業者に関連の深い代表例。
(10)監視、監査、見直しなど、コンプライアンス・プログラムの継続的改善に関すること。
3 最高経営会議では、必要に応じて、業務毎または業態毎に個別方針を定めなければならない。その際、個別方針は基本方針と整合性を保たなければならない。
4 最高経営会議では、個人情報保護管理者および個人情報保護監査責任者からの報告および経営環境などに照らして、コンプライアンス・プログラムを最低年1回以上見直さなければならない。
(個人情報保護管理責任者)
第7条 個人情報保護管理責任者は、コンプライアンス・プログラムを実施するにあたって、個人情報保護管理者、個人情報保護教育責任者、個人情報苦情処理責任者を指名しなければならない。
2 個人情報保護管理責任者は、責任および権限を定めなければならない。
3 個人情報保護管理責任者は、コンプライアンス・プログラムの基本となる要素を規程管理規程に従って文書化なければならない。
4 個人情報保護管理責任者は、コンプライアンス・プログラムのすべての要素を体系的に整理し、従業者が容易に閲覧できるようにしなければならない。
5 個人情報保護管理責任者は、年2回以上実施状況を確認し、速やかに最高経営会議で報告しなければならない。
6 個人情報保護管理責任者は、事故発生時の対応手順を定めなければならない。
(個人情報保護監査責任者)
第8条 個人情報保護監査責任者は、事業年度毎に、個人情報保護に関する監査を年1回以上行う計画書を作成しなければならない。
2 個人情報保護監査責任者は、個人情報保護に関する監査を実施するために、監査チームを編成しなければならない。その際、自らの業務を監査させる編成をしてはならない。
3 個人情報保護監査責任者は、監査終了後、監査報告書を作成し、速やかに最高経営会議に報告しなければならない。
4 個人情報保護監査責任者は、監査報告書を保管し、管理しなければならない。
5 個人情報保護監査責任者は、監査方法および監査チェックリストについて、別途細則で定めなければならない。
(個人情報保護教育責任者)
第9条 個人情報保護教育責任者は、事業年度毎に、個人情報保護に関する教育を年1回以上従業者全員に行う計画書を作成しなければならない。
2 個人情報保護教育責任者は、コンプライアンス・プログラムの全体像の教育、および役割と責任に応じた訓練のカリキュラムを定めなければならない。
3 個人情報保護教育責任者は、個人情報に関する教育が円滑に行えるように体制を整備しなければならない。
4 個人情報保護教育責任者は、教育方法および自覚させる手順について、別途細則で定めなければならない。
(個人情報苦情処理責任者)
第10条 個人情報苦情処理責任者は、情報主体本人からの苦情および相談について対処しなければならない。
2 個人情報苦情処理責任者は、個人情報保護に関する苦情処理が円滑に行えるように体制を整備しなければならない。
3 個人情報苦情処理責任者は、苦情処理の手順を定めなければならない。
(従業者)
第11条 コンプライアンス・プログラムを遵守すると共に、事故およびコンプライアンス・プログラム違反を見つけた場合には、速やかに個人情報保護管理者へ報告しなければならない。
(原則)
第12条 個人情報の取得に当たっては、利用目的を明確に定め、その目的の達成に必要な限度において行わなわなければならない。
2 個人情報の取得は、適法かつ公正な手段によって行わなければならない。
3 社会的差別を受けうる機微(センシティブ)な個人情報を取得、利用および提供してはならない。
4 個人データの利用および提供は、情報主体本人から同意を得た利用目的の範囲内で行わなければならない。
5 個人情報のリスクに対して、合理的な安全対策を講じなければならない。
6 個人データは、利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しなければならない。
(例外事項)
第13条 原則に反し以下の措置をとる場合には、個人情報保護管理者の承認を得なければならない。
(1)取得の際に、情報主体本人に同意を得ない場合
(2)情報主体本人から開示、訂正、削除および利用停止の要求を受け付けない場合
(3)目的外の利用をする際に、情報主体本人の同意を得ない場合
(4)第三者に提供する際に、情報主体本人の同意を得ない場合
2 機微な個人情報を取得、利用および提供する場合には、情報主体本人から明確な同意を得る手順を定め、個人情報保護管理責任者の承認を得なければならない。
3 個人情報保護管理責任者は、例外事項の承認の手順を定めなければならない。
(法令およびその他の規範)
第14条 個人情報保護管理者は、コンプライアンス・プログラムの実施に必要な法令およびその他の規範を特定し、管理しなければならない。
(個人情報の特定)
第15条 個人情報保護責任者は、個人情報の種類を特定し、管理しなければならない。
2 個人情報保護責任者は、機微情報として扱う個人情報の種類を特定し、管理しなければならない。
3 業務責任者は、個人情報を特定する手順を確立し、管理しなければならない。
4 業務責任者は、特定した個人情報のリスクを認識しなければならない。
5 業務責任者は、特定した個人情報について、利用目的毎に管理しなければならない。
6 業務責任者は、個人情報の所在を把握できるようにしなければならない。
(取得する場合の措置)
第16条 個人情報を取得する際には、情報主体本人から以下の項目について事前に通知し、同意を取らなければならない。
(1)問い合わせ、開示、訂正、削除および利用停止に必要な連絡先と責任の所在
(2)利用目的
(3)個人情報を第三者に提供を行なうことが予定される場合には、その目的、提供先および個人情報の取り扱いに関する契約の有無
(4)個人情報の預託を行なうことが予定される場合には、その旨
(5)情報主体が個人情報を与えることの任意性および当該情報を与えなかった場合に情報主体本人に生じる結果
(6)個人情報の開示を求める権利、および開示の結果、当該情報が誤っている場合に訂正または削除を要求する権利の存在、対応期間の目安、並びに当該権利を行使するための具体的な方法
2 上項を実施するために、個人情報を扱う事業の業務責任者は、手順を定め、個人情報保護責任者の承認をなければならない。
3 取得の際、事前に同意を得ない場合には、個人情報保護責任者の承認を得なければならない。
(保管および利用)
第17条 個人データを保管および利用する際には、関係者以外のものが容易にアクセスができない措置をとらなければならない。
2 上項を実施するために、個人情報保護管理者は、安全に保管および利用ができる仕組みを確保しなければならない。
3 業務責任者は、特定した個人データのリスクについて、対策の実施状況を定期的に確認しなければならない。
4 業務責任者は個人データの保管および利用の手順を定めなければならない。
(委託)
第18条 個人データを委託する際には、委託先選定基準により事業者を選定し、以下の項目を含んだ契約内容を以って、保護水準を担保しなければならない。
(1)個人データの利用の制限
(2)個人データに関する秘密保持
(3)個人データの安全管理に関する事項
(4)個人データの再委託に関する事項
(5)事故時の責任分担
(6)契約終了時の個人データの返却および消去
2 上項を実施するために、業務責任者は、委託内容毎に委託先選定基準を定め、個人情報保護管理者の承認を得なければならない。
3 個人情報保護管理責任者は、委託契約書の雛型を定めなければならない。
4 業務責任者は、委託先管理の手順を定めなければならない。
(目的外利用)
第19条 情報主体本人から同意を得た利用目的以外に利用する際、事前に情報主体本人に利用目的を通知し、同意を得なければならない。
2 上項を実施するために、個人情報保護管理責任者は通知の内容を承認しなければならない。
3 目的外利用の際、情報主体本人の同意を得ない場合は、個人情報保護管理責任者の承認を得なければならない。
4 個人情報保護管理者は、緊急時における承認の手順を定めなければならない。
(第三者提供)
第20条 個人情報を扱う事業の責任者は、第三者へ提供する際、事前に情報主体本人に提供先、利用目的、個人データの項目および提供手段を通知し、同意を得なければならない。
2 上項を実施するために、個人情報保護管理責任者は通知の内容を承認しなければならない。
3 第三者提供の際、情報主体本人の同意を得ない場合は、個人情報保護管理責任者の承認を得なければならない。
4 個人情報保護管理者は、緊急時における承認の手順を定めなければならない。
(情報主体本人からの要求に対する措置)
第21条 情報主体本人から個人データについて、開示、訂正、削除および利用停止の要求がある場合には、合理的な期間で応じなければならない。
2 上項を実施するために、業務責任者は、本人確認方法、料金および対応の期限を含んだ手順を定めなければならない。
3 情報主体本人からの開示、訂正、削除、利用停止に応じない場合には、個人情報保護管理責任者の承認を得なければならない。
(削除および消去)
第22条 削除および消去にあたっては、目的外利用または第三者に利用されないような措置をとらなければならない。
2 上項を実施するために、個人情報保護管理者は、安全に削除および消去が行える仕組みを確保しなければならない。
3 業務責任者は、削除および消去する個人データのリスクについて、対策の実施状況を定期的に確認しなければならない。
4 業務責任者は個人データの削除および消去の手順を定めなければならない。