NPO法人ハートフル

個人情報保護方針

第1章 総則

【目的】
第1条 この規程は、特定非営利活動法人ハートフル(以下「会社」という)における個人情報の適正な取扱いの確保に関する基本的事項を定めます。

【適用範囲】
第2条 この規程は、次条第⑦号に定める社員に適用します。

【定義】
第3条 この規程において、各用語の定義は次の通りとします。
①個人情報
生存する個人に関する情報であって、特定の個人を識別することができるもの、又は他の情報と容易に照合することができ、それにより特定の個人を識別することができるものをいいます。
②個人情報データベース等
個人情報を含む情報の集合物であって、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの、又はコンピュータを用いない場合であっても、ファイルやカルテ等、個人情報を一定の規則に従って整理・分類することによって、特定の個人情報を容易に検索することができるように体系的に構成したものをいいます。
③個人データ
前項に規定する「個人データベース等」を構成する個人情報をいいます。
④保有個人データ
会社が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の全てを行うことができる権限を有する「個人データ」をいいます。ただし、以下のいずれかに該当するものは除きます。
(1) 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
(2) 当該個人データの存否が明らかになることにより、違法又は不法な行為を助長し、又は誘発するおそれのあるもの
(3) 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれ又は他国もしくは国際機関との交渉上不利益を被るおそれのあるもの
(4) 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれのあるもの
(5) 6ヶ月以内に消去する(更新することは除く)こととなるもの
⑤本人
個人情報によって識別される特定の個人をいいます。
⑥部門長
個人情報を取扱う部門の長をいいます。
⑦社員
会社の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、パートタイム)のみならず、代表、理事、監査役も含まれます。

第2章 管理体制

【個人情報保護管理者】
第4条 会社は、代表又は各部門長の中から個人情報保護管理者任命し、個人情報管理のための措置に関する業務を統括させるものとします。
2. 個人情報保護管理者は、以下の各号その他会社における個人情報管理に関する全ての職責と権限を有します。
① 人情報保護方針の策定及び運営委員会、社員への周知、一般への公開
②本規定に基づき、個人情報の取扱いを管理する上で必要とされる細則の策定
③個人情報に関する安全対策の策定・推進
④個人情報の適正な取扱いの維持・推進を目的とした諸施策の策定・実施
⑤事故発生時の対応策・実施
3. 個人情報保護管理者は、個人情報管理担当者を指名し、個人情報管理に関する業務を分担させることができます。

【部門長の責任】
第5条 部門長は、自らの部門に所属する社員の一切の個人情報取扱に関し、責任を有するものとします。
2. 部門長は、この規程及び前条第2項第②号で定める個人情報取扱細則に従い、自らの部門が有する個人情報の所在、内容、利用者、規模等を把握し、個人情報の適正な取扱いを維持・管理しなければなりません。
3. 部門長は、自らの部門において個人情報の漏えい等の事故または違反の発生又はその疑いが生じた場合は、直ちにその旨を個人情報保護管理者に報告し、指示を求めなければなりません。

【個人情報の取扱いの決定】
第6条 第3章に定める個人情報の取扱いに関しては、各部門長がその適否を判断し、例外的取扱いに関しては、個人情報保護管理者にその適否の判断を求めるものとします。

【社員の責務】
第7条 社員は、部門長の指示に従って個人情報の取扱いをすることとし、個人情報の取扱いに際しては、本規定および第4条第2項第②号で定める個人情報取扱細則を遵守しなければなりません。
2. 社員は、個人情報の取扱いの際に知り得た事項に関しては、在職中はもちろんのこと、出向、転籍、退職後においても、他に漏えいしない守秘義務を負うものとします。

【計画】
第8条 個人情報保護管理者、個人情報管理担当者は、個人情報の適正な取扱いを維持・推進するため、定期に教育・研修計画を策定します。

第3章 個人情報の取扱い

第1節 個人情報の取得

【取得の原則】
第9条 個人情報の取得については、適法かつ公正な手段によって行わなければなりません。
2. 個人情報の取得にあたっては、あらかじめ目的を特定して、その目的の達成に必要な限度で行わなければなりません。
3. 新たな目的で個人情報を取得・収集するときは、社員は部門長に届出なければなりません。
4. 前項の届出を受けた部門長は、直ちに個人情報保護管理者と協議して、その承認を得なければなりません。

【本人から書面で個人情報を取得する場合の措置】
第10条 申込書・アンケート・契約書等、書面(電子メール、自社ホームページへの記入等電磁的方法も含む)により本人から直接個人情報を取得する場合は、本人に対してあらかじめ利用目的を明示しなければなりません。ただし、以下の各号に該当する場合はこの限りではありません。
①人の生命、身体又は財産その他の権利利益を害するおそれがある場合
②会社の権利又は正当な利益を害するおそれがある場合
③国又は地方公共団体の法令に定める事務の遂行に対して協力する必要がある場合であって、当該事務の遂行に支障を及ぼすおそれがあるとき
④取得の状況に照らし、利用目的が明らかであると認められる場合

【書面以外の方法により個人情報を収集する場合の措置】
第11条 前条に規定する書面による取得以外の方法により個人情報を取得する場合には、あらかじめ利用目的を会社のホームページへ記載、店頭における掲示又はパンフレット等への掲載の方法によって公表している場合を除き、その利用目的を通知又は公表しなければなりません。だたし、以下の各号に該当する場合はこの限りではありません。
①人の生命、身体又は財産その他の権利利益を害するおそれがある場合
②会社の権利又は正当な利益を害するおそれがある場合
③国又は地方公共団体の法令に定める事務の遂行に対して協力する必要がある場合であって、当該事務の遂行に支障を及ぼすおそれがあるとき
④取得の状況に照らし、利用目的が明らかであると認められる場合

第2節 個人情報の利用

【目的外利用の禁止】
第12条 個人情報は、前3条の規定により特定された利用目的の達成に必要な範囲を超えて取扱ってはなりません。ただし、以下の各号に該当する場合はこの限りではありません。
①法令に基づく場合
②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
③公衆衛生の向上又は児童の健全な育成の推進のためにとくに必要がある場合であって、本人の同意を得ることが困難であるとき
④国の機関もしくは地方公共団体又はその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2. 個人情報の取扱いにあたって、利用目的の範囲内か否かが不明な場合は、その都度、個人情報保護管理者に判断を求めなければなりません。

【目的外利用の場合の措置】
第13条 利用目的の範囲を超えて個人情報の利用を行う場合においては、個人情報保護管理者の承認を受けたうえ、あらかじめ本人の同意を得なければなりません。

第3節 個人データの提供

【第三者への提供】
第14条 個人データを第三者に提供する場合には、あらかじめ部門長を通じ個人情報保護管理者に届出て、その承認を得なければなりません。ただし、次項第④号に該当する場合であって、緊急を要する場合はこの限りではありません。
2. 前項の承認は、次の各号に該当する場合を除き、行ってはなりません。
② 人の同意を得ている場合
②個人情報保護法第23条第2項に定めるオプトアウト(別紙参照)を行っている場合
③法令に基づく場合
④人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
⑤公衆衛生の向上又は児童の健全な育成の推進のためにとくに必要がある場合であって、本人の同意を得ることが困難であるとき
⑥国の機関もしくは地方公共団体又はその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
3. 次に掲げる場合においては、当該個人データの提供を受ける者は、第三者に該当しません。
①第16条の規定により個人データの取扱いの全部又は一部を委託する場合
②合併その他の事由による事業の承継に伴って個人データが提供される場合
③第17条の規定により個人データを共同利用する場合

【個人データの委託】
第15条 部門長は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託した個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければなりません。
2. 前項の委託を行う部門長は、委託先に対して以下に掲げる事項を実施しなければなりません。
①個人情報の保護についてこの規程の定めと同等の安全管理措置を講じている委託先を選定すること
②委託先との間で次の事項を含む契約を締結すること
(1)委託先において、個人データを取扱う社員に対し、当該個人データの取扱いを通じて知り得た個人情報を漏えいし、又は盗用してはならないという守秘義務を課すこと
(2)委託先において、委託契約の範囲内のものを除き、個人データの加工又は改ざんを行ってはならないこと
(3)委託先において、個人データの複写または複製をしてはならないこと。ただし、安全管理上必要なバックアップを目的とするもの等、委託契約の範囲で定めたものはこの限りでないこと
(4)委託先において、個人データの漏えい等の事故が発生した場合には、速やかに委託元である当社に報告しなければならないこと
(5)個人データの漏えい等の事故が発生した場合は、委託先の責任において解決するものとし、発生した損害についても、委託先が全額賠償の責を負うこと
(6)再委託は原則禁止することとし、再委託がやむを得ない場合は、事前に書面による当社の同意を要し、委託先が再委託先と連帯して責任を負うこと
(7)委託契約期間を定めること
(8)委託契約期間終了時には、個人データを返却又は委託先において破棄もしくは削除しなければならないこと。この場合、バックアップ等のために複製された個人情報も同様とすること

【個人データの共同利用】
第16条 個人データを特定の者との間で共同利用する場合、部門長は、以下の各号に定める事を個人情報保護管理者に届出て、その承認をなければなりません。
①共同して利用する個人データの項目
②共同して利用する者の範囲
③利用する者の利用目的
④当該個人データの管理について責任を有する者の氏名又は名称
2. 個人データの共同利用は、個人情報保護管理者の承認を経て、個人情報管理担当者が次条に定める共同利用に必要な措置を講じた後でなければなりません。

【共同利用に必要な措置】
第17条 個人データを特定の者と共同して利用する場合にあっては、その旨ならびに共同して利用される個人データ項目、共同で利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ本人に通知し、又は本人が容易に知りうる状態においておかなければなりません。

第4章 安全管理措置

【個人データの正確性の確保】
第18条 個人データは、利用目的の達成に必要な範囲内において、正確かつ最新の内容に保つよう努めなければなりません。

【個人データ取扱台帳】
第19条 個人情報保護管理者は、会社の全ての「個人データ」の種類・内容・保管場所等を記載(データベースへの入力を含む)した台帳を作成しなければなりません。
2. 個人情報保護管理者は、前項の台帳を定期的に見直し、最新の状態を維持するよう努めなければなりません。
3. 部門長は、自らの部門における「個人データ」の種類・内容・保管場所等を、個人情報保護管理者の求めに応じ、定期に報告しなければなりません。また、部門長は、自らの部門における「保有個人データ」の種類・内容・保管場所等を変更する場合には、事前に個人情報保護管理者に報告し、承認を得なければなりません。

【安全管理措置】
第20条 会社は、取扱う個人情報の漏えい、滅失又は毀損の防止、その他の安全管理のために、人的、物理的、技術的に適切な措置を講ずるものとします。
2. 各部門において社員は、以下の各号に従って適切に個人情報を取り扱わなければなりません。
①各部門において保管する個人情報を含む文書(磁気媒体を含む)は、施錠できる場所への保管、パスワード管理等により、散逸、紛失、漏えい防止に努めなければなりません。
②情報機器は適切に管理し、利用権限のない者は使用してはなりません。
③個人情報を含む文書であって、保管の必要のないものは、速やかに廃棄しなければなりません。
④個人情報を含む文書の廃棄は、シュレッダー裁断、消却、溶解等により、完全に抹消しなければなりません。
⑤個人情報を含む文書を他部門に伝達するときは、適切な方法・手段によることとし、必要な範囲を超えて控えを残さないよう取り扱うものとします。
⑥個人情報を含む文書は、みだりに複写してはなりません。

【社員の監督】
第21条 個人情報保護管理者は、社員が個人データを取扱うにあたり、必要かつ適切な監督を行わなければなりません。
2. 部門長は、自らの部門に属する従業者に対し、個人データの取扱いに関して必要かつ適切な監督を行わなければなりません。
3. 個人情報保護管理者は、社員に対して個人情報の保護及び取扱いに関する誓約書の提出を命じることができます。

【教育・研修】
第22条 社員に対する個人情報保護及び適正な取扱いに関する教育方針は、個人情報保護管理者が決定します。
2. 社員は、個人情報保護管理者の指名した部門が主催し、又は個人情報保護管理者が決定した方針に基づく研修を受けなければなりません。

第5章 保有個人データに関する開示請求等への対応

【苦情・相談窓口の設置】
第23条 個人情報の取扱いに関する苦情・相談の窓口業務は、総務が担当し、必要に応じて法務関連部門が対応するものとします。

【開示】
第24条 当該本人が識別される「保有個人データ」の開示(保有の有無を含む)請求には、本人のプライバシー保護のため、本人(代理人を含み、以下本条及び次条において「本人」という)から開示等請求窓口に対し、原則として本人確認書類を添付した開示請求書により請求があった場合にのみ応じるものとします。
2. 開示窓口は、総務とします。
3. 第1項により、本人による開示請求であることを確認した場合は、本人に対して書面等の方法により、遅滞なく当該「保有個人データ」を開示するものとします。
4. 前項の規定にかかわらず、開示することにより次の各号のいずれかに該当する場合は、個人情報保護管理者の決定により、その全部又は一部を開示しないことができます。
①本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
②会社の業務の適正な実施に著しい支障を及ぼすおそれのある場合
③法令に違反することとなる場合
5. 前項の定めにより「保有個人データ」の全部又は一部を開示しない旨の決定をしたときは、遅滞なく、本人に対しその旨通知するものとします。
6. 本人に対し「保有個人データ」を開示する場合には、手数料を請求できるものとします。この手数料は、実費を勘案して、合理的な範囲で個人情報保護管理者が定めるものとします。

【訂正等】
第25条 本人から、当該本人が識別される「保有個人データ」の内容が事実でないという理由によって、当該「保有個人データ」の訂正、追加又は削除(以下「訂正等」という)を求められた場合には、遅滞なく必要な調査を行い、その結果に基づき当該「保有個人データ」の内容の訂正等を行うものとします。ただし、以下の場合には訂正等の求めに応じないことができます。
①利用目的の達成に必要な範囲を超えている場合
②他の法令の規定により、特別の手続が定められている場合
2. 当該本人が識別される「保有個人データ」の訂正等の請求に対しては、本人のプライバシー保護のため、本人から訂正等請求窓口に対し、原則として本人確認書類を添付した訂正等請求書により請求があった場合にのみ応じるものとします。
3. 訂正等請求窓口は、総務とします。
4. 第1項及び第2項の規定により、「保有個人データ」の訂正等を行ったとき、又は行わない旨の決定をしたときは、本人に対し、遅滞なくその旨(訂正等を行ったときはその内容を含む)を通知するものとします。

【利用停止等】
第26条 本人から、当該本人が識別される「保有個人データ」が、第14条及び第10条に違反しているという理由によって、当該「保有個人データ」の利用の停止又は消去が求められた場合、及び第15条に違反しているという理由によって、当該「保有個人データ」の第三者提供の停止が求められた場合で、その求めに理由があることが判明した場合には、遅滞なく、当該求めに応じて当該措置(以下「利用停止等という)を講じなければなりません。ただし、以下の場合には当該措置を講じないことができます。
①違反を是正するために必要な範囲を超えている場合
②指摘された違反がなされていない場合
2. 前条第2項乃至第4項は本条に準用します。ただし、各項における「訂正等」を「利用停止等」に読み替えます。

第6章 その他

【罰則】
第27条 会社は、この規程に違反した社員に対して、就業規則に基づき懲戒処分を行い、その他の社員に対しては、契約又は法令に照らして決定します。

【損害賠償】
第28条 社員がこの規程に違反し、会社に損害を与えたときは、会社の被った損害を賠償するものとします。
2. 社員は、前条の規定により懲戒されたことによって、損害賠償の責任を免れることはできません。

【改廃】
第29条 この規程の改廃は、運営会議において行うものとします。

付則
第30条 この規程は、平成23年 4月 1日より施行します。