個人データ取扱要領Personal data handling procedure

オペレーター

令和4年7月19日

第1章 総則

(趣旨)
第1条 本要領は、株式会社アウテックが保有する個人情報の適正な取扱いの確保に関し必要な事項を定めるとともに、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)及び個人情報の保護に関する法律についてのガイドライン(以下「個情法ガイドライン」という。)に定める個人データの安全管理措置について、必要な措置を定めるものとする。

(定義)
第2条 用語の意義は、個人情報保護法及び個情法ガイドラインに定めるところによる。

第2章 管理体制

(責任者の設置)
第3条 個人データの取扱いに関する責任者(以下「責任者」という。)を置くこととし、代表取締役をもって充てる。
2 責任者は、個人データの管理に関する事務を総括するとともに、自ら本要領に定められた事項を遵守し、かつ従業者に遵守させるために、本要領に定める措置その他必要な措置を実施する責任を負う。

(組織体制の整備)
第4条 次に掲げる組織体制を整備する。

  • 従業者が、個人情報保護法、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「政令」という。)、個人情報保護委員会が定める規則(以下「規則」という。)、個情法ガイドライン及び本要領(以下総称して「法令等」という。)に違反している事実又は兆候を把握した場合の責任者への報告連絡体制
  • 個人データの漏えい等の事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための報告連絡体制
  • 本人(個人情報保護法第二条第四項の本人をいう。以下同じ。)から、本人の個人データに関する問合せ及び開示、訂正その他の請求、並びに苦情等があった場合に適切に対応するための組織体制

2 前項各号の報告連絡体制、組織体制及び対応手順について明確化し、従業者に周知する。

(個人データを取り扱う従業者)
第5条 別紙1の様式により、取り扱う個人データの内容に応じて、従業者の範囲を明確化する。

第3章 従業者の教育

第6条 従業者に、個人データの取扱いに関する留意事項について、定期的な研修等の企画、実施等の適切な教育を行うことにより、個人データの適正な取扱いを周知徹底する。

第4章 個人データの取扱い

(各管理段階における措置)
第7条 別紙2の様式により個人データを取り扱う事務の流れを整理し、管理段階ごとに、取扱方法、責任者・担当者及びその任務等について、安全管理措置を織り込んだ事務マニュアルを定める。

(個人データの取扱いに係る規律に従った運用)
第8条 本要領に従った運用を確保し、個人データの取扱いの検証を可能とするために、次の項目を記録する。

  • 個人情報データベース等の利用・出力状況
  • 個人データが記載又は記録された書類・媒体等の持ち運び等の状況
  • 個人情報データベース等の削除・廃棄の状況(委託した場合の消去・廃棄を証明する記録を含む。)
  • 個人情報データベース等を情報システムで取り扱う場合、担当者の情報システムの利用状況(ログイン実績、アクセスログ等)

(個人データの取扱状況の確認)
第9条 本要領に従って個人データの取扱いがなされていることを確認するために、次の項目をあらかじめ明確化し、個人データの取扱状況を確認する手段を整備するとともに、個人データの取扱状況を把握する。

  • 個人情報データベース等の種類、名称
  • 個人データの項目
  • 責任者・取扱部署
  • 利用目的
  • アクセス権を有する者

(管理区域及び取扱区域)
第10条 個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域(以下「管理区域」という。)及びその他の個人データを取り扱う事務を実施する区域(以下「取扱区域」という。)について、それぞれ適切な管理を行う。
2 管理区域について、入退室管理及び持ち込む機器等の制限を行う。
3 取扱区域について、権限を有しない者による個人データの閲覧等を防止する。

(機器及び電子媒体等の取扱い)
第11条 個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するため、施錠可能な場所への保管等の措置を講ずる。
2 個人データが記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人データが判明しないよう、安全な方策を講じる。

(廃棄等)
第12条 個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行う。
2 個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄した場合には、その記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認する。

(委託先の監督)
第13条 個人データの取扱いの全部又は一部を委託する場合には、委託先を選定する際に、個人情報保護法に基づき自らが果たすべき安全管理措置と同等の措置が委託先において講じられることについて、あらかじめ確認する。
2 個人データの取扱いの全部又は一部を委託する場合には、委託先に安全管理措置を遵守させるための必要な契約を締結する。
3 個人データの取扱いの全部又は一部を委託した場合、委託先における個人データの取扱状況を把握する。

(アクセス制御等)
第14条 従業者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行う。
2 個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。
3 個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。
4 情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用する。

(評価及び見直し)
第15条 責任者は、個人データの取扱状況を把握し、その取扱状況について、定期的に自ら行う点検又は他部署等による監査を実施する。
2 責任者は、前項の点検等の結果を踏まえ、安全管理措置の評価、見直し及び改善に取り組む。

(外的環境の把握)
第16条 外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握する。

附則
 本要領は、令和4年7月25日から施行する。