個人情報保護基本規程サンプル v.0.3

2003.10.8, kit

Home
個人情報保護とは?
プライバシーマークとは?
JIS Q 15001:1999 概説
コンプライアンス・プログラムとは?
策定にコンサルは必要か?
CP 策定のアプローチ
個人情報保護基本規程 サンプル
個人情報保護基本方針 サンプル
個人情報の安全管理
Misc
めも
コンプライアンス・プログラム(CP)関連

【公開の目的】

 個人情報保護法(保護法) が制定され、保護法にも対応するコンプライアンス・プログラムの作成にあたり、 基本規程の設計にかなり苦慮されている方も多いのではないかとも思われます。 個人情報保護では、取得、保管・利用、提供などの取り扱いについて、 業種や規模に問わず狭まった選択肢しかないので、基本規程としては、 業種や規模を問わず汎用的な フレームワーク で書けるのではないかと思います。 個人情報基本規程をトップとして コンプライアンス・プログラム(CP)全体を作り上げるには、 「コンプライアンス・プログラム(CP)構築のアプローチ」を参考にするとよいかと思います。 このサンプルは以下の方に有益であると思われます。

  • 個人情報に関するコンプライアンス・プログラムをこれから構築して行きたいが、 スタートで戸惑っている方。
  • 個人情報保護法が制定され、JIS Q 15001 ベースで書かれてある基本規程を個人情報保護法にも対応するよう書き直したい方。
  • 下位規程や現場での手順・マニュアルは出来ているが、 基本規程の書き方がわからず四苦八苦している方。

【特徴】

  • JIS Q 15001:1999 の原則をベースに記述しており、個人情報保護法と JIS Q 15001:1999 の両方に対応した基本規程サンプルです(フレームワークだけなので当然の話ですが)。
  • フレームワークのみですので、コンプライアンス・プログラム(CP) として完成させるためには、 細則、手順書などの下位規程が必要です。 また、自社の状況に合わせて、本規程サンプル修正・改造する必要があります。

【注意事項】

  • このサンプルだけではコンプライアンス・プログラム(CP)にはなりません。 細則や手順書や一覧表などを自社に合うように作成する必要があります。
  • 記述の内容については、「JIS Q 15001 概説」 を参考にしてください。
  • 個人情報保護法や JIS Q 15001 にある「例外事項」は本サンプルから省いています。 「例外事項」を適用する場合には、自社のリスク管理の下で適用すべきかと思います。 業務特性として日常的に適用せざるを得ない場合は、リスクマネジメント的に 「例外事項一覧表」の管理や、手順書・マニュアルを作成し、 組織の承認を得て、厳密に運営すべきかと思われます。
  • 安全管理 については、 自社の状況に合った「情報管理規程」、「情報セキュリティ規程」など、 JIS X 5080 やその他のガイドラインに沿った規程類が必要になるでしょう。
  • このサンプルでは、汎用的に「最高経営会議」という表現を使ってますが、 自社の状況に合わせて「役員会議」、「取締役会議」、「理事会」などに 書き換えた方がいいでしょう。
  • 個人的に気付いた点や、指摘を受けた点を修正、改訂する場合があります。
  • 本サンプルを利用して、 プライバシーマーク の審査に通らない場合があっても、当方では一切の責任を持ちません。 


個人情報保護基本規程 サンプル  v.0.3.1 kit, 2003.10.13

                                                 平成○○年△△月□□日制定
                                                 平成○○年△△月□□日改訂

第1章 総則

(目的)
第1条  ○○社における個人情報の取り扱いについて定める。

(適用範囲)
第2条 社内外を問わず、従業者が業務として個人情報を取り扱う場合に適用される。
  
(定義)
第3条 この規程で用いる用語は以下の通りとする。
 (1) 個人情報
     個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記
   述等により特定の個人を識別することができるもの(他の情報と容易に照合する
   ことができ、それにより特定の個人を識別することができることとなるものを
   含む)。

 (2) 個人データ
     個人情報の内、特定の個人情報を電子計算機を用いて検索することができる
   ように体系的に構成したもの、及び特定の個人情報を容易に検索することがで
   きるように体系的に構成したもの。ただし、個人情報保護管理責任者により
   除外されたものを除く。

 (3) 保有個人データ
     個人データの内、開示、内容の訂正、追加又は削除、利用の停止、 消去及び
   第三者への提供の停止を行うことのできる権限を有する個人データ。ただし、
   個人情報保護管理責任者により除外されたものを除く。

 (4) 情報主体
     一定の情報によって識別される、又は識別されうる本人。

 (5) 収集
     取得。

 (6) 最高経営会議
     取締役会議や理事会など代表者を含む組織の最高意志決定会議。

 (7) 個人情報保護管理責任者
     最高経営層会議で指名された者であって、コンプライアンス・プログラムの
   実施及び運用に関する責任と権限を持つ者。

 (8) コンプライアンス・プログラム
     方針、体制、規程、計画書、手順書、マニュアル、記録など、自社で保有す
   る個人情報を保護するための社内の仕組みすべて。

(罰則)
第4条 コンプライアンスプログラムに違反した場合には、就業規則○○条の懲戒
  規定を準用する。ただし、罰則の適用は平成○○年△△月□□日以降とする。

(改訂)
第5条 本規程の改訂は、最高経営会議の承認を得なければならない。


第2章 体制及び責任

(最高経営会議)
第6条 最高経営会議では、その中から個人情報保護管理責任者と個人情報保護監
  査責任者を指名しなければならない。
 2. 最高経営会議では、個人情報保護に関して、コンプライアンス・プログラムの
  全体像を把握し、以下の項目を含む基本方針を定めなければならない。
   (1) 個人情報保護管理責任者名及び苦情相談先を含む個人情報保護の体制に関
       すること。
   (2) 個人情報の取得に関すること。
   (3) 個人情報の利用に関すること。
   (4) 個人情報の委託に関すること。
   (5) 個人情報の第三者への提供に関すること。
   (6) 個人情報の安全管理に関すること。
   (7) 個人情報保護に関する問い合わせ、個人情報の開示、訂正、削除及び利用
       停止に関すること。
   (8) 個人情報に関する事故が発生した場合の対処に関すること。
   (9) 個人情報保護に関する法令及びその他の規範の遵守に関することと、事業
       者に関連の深い代表例。
  (10) 監視、監査、見直しなど、コンプライアンス・プログラムの継続的改善に
       関すること。
 3. 最高経営会議では、必要に応じて、業務毎又は業態毎に個別方針を定めなけれ
  ばならない。その際、個別方針は基本方針と整合性を保たなければならない。
 4. 最高経営会議では、個人情報保護管理者及び個人情報保護監査責任者からの報
  告及び経営環境などに照らして、コンプライアンス・プログラムを最低年1回以
  上見直さなければならない。

(個人情報保護管理責任者)
第7条 個人情報保護管理責任者は、コンプライアンス・プログラムを実施するに
   あたって、個人情報保護管理者、個人情報保護教育責任者、個人情報苦情処理
   責任者を指名しなければならない。
 2. 個人情報保護管理責任者は、責任及び権限を定めなければならない。
 3. 個人情報保護管理責任者は、コンプライアンス・プログラムの基本となる要素
   を規程管理規程に従って文書化なければならない。
 4. 個人情報保護管理責任者は、コンプライアンス・プログラムのすべての要素を
   体系的に整理し、従業者が容易に閲覧できるようにしなければならない。
 5. 個人情報保護管理責任者は、年2回以上実施状況を確認し、速やかに最高経営
  会議で報告しなければならない。
 6. 個人情報保護管理責任者は、事故発生時の対応手順を定めなければならない。

(個人情報保護監査責任者)
第8条 個人情報保護監査責任者は、事業年度毎に、個人情報保護に関する監査を
  年1回以上行う計画書を作成しなければならない。
 2. 個人情報保護監査責任者は、個人情報保護に関する監査を実施するために、
  監査チームを編成しなければならない。その際、自らの業務を監査させる編成
  をしてはならない。
 3. 個人情報保護監査責任者は、監査終了後、監査報告書を作成し、速やかに最
  高経営会議に報告しなければならない。
 4. 個人情報保護監査責任者は、監査報告書を保管し、管理しなければならない。
 5. 個人情報保護監査責任者は、監査方法及び監査チェックリストについて、別途
  細則で定めなければならない。

(個人情報保護教育責任者)
第9条 個人情報保護教育責任者は、事業年度毎に、個人情報保護に関する教育を
  年1回以上従業者全員に行う計画書を作成しなければならない。
 2. 個人情報保護教育責任者は、コンプライアンス・プログラムの全体像の教育、
  及び役割と責任に応じた訓練のカリキュラムを定めなければならない。
 3. 個人情報保護教育責任者は、個人情報に関する教育が円滑に行えるように体制
  を整備しなければならない。
 4. 個人情報保護教育責任者は、教育方法及び自覚させる手順について、別途細則
  で定めなければならない。

(個人情報苦情処理責任者)
第10条 個人情報苦情処理責任者は、情報主体本人からの苦情及び相談について対処
  しなければならない。
 2. 個人情報苦情処理責任者は、個人情報保護に関する苦情処理が円滑に行えるよ
  うに体制を整備しなければならない。
 3. 個人情報苦情処理責任者は、苦情処理の手順を定めなければならない。

(従業者)
第11条 コンプライアンス・プログラムを遵守すると共に、事故及びコンプライアン
  ス・プログラム違反を見つけた場合には、速やかに個人情報保護管理者へ報告し
  なければならない。


第3章 実施及び運用

(原則)
第12条 個人情報の取得に当たっては、利用目的を明確に定め、その目的の達成に
  必要な限度において行わなわなければならない。
 2. 個人情報の取得は、適法かつ公正な手段によって行わなければならない。
 3. 社会的差別を受けうる機微(センシティブ)な個人情報を取得、利用及び提供し
  てはならない。
 4. 個人データの利用及び提供は、情報主体本人から同意を得た利用目的の範囲内
  で行わなければならない。
 5. 個人情報のリスクに対して、合理的な安全対策を講じなければならない。
 6. 個人データは、利用目的に応じ必要な範囲内において、正確かつ最新の状態で
  管理しなければならない。

(例外事項)
第13条 原則に反し以下の措置をとる場合には、個人情報保護管理者の承認を得なけ
  ればならない。
   (1) 取得の際に、情報主体本人に同意を得ない場合。
   (2) 情報主体本人から開示、訂正、削除及び利用停止の要求を受け付けない場合。
   (3) 目的外の利用をする際に、情報主体本人の同意を得ない場合。
   (4) 第三者に提供する際に、情報主体本人の同意を得ない場合。
 2. 機微な個人情報を取得、利用及び提供する場合には、情報主体本人から明確な
  同意を得る手順を定め、個人情報保護管理責任者の承認を得なければならない。
 3. 個人情報保護管理責任者は、例外事項の承認の手順を定めなければならない。

(法令及びその他の規範)
第14条 個人情報保護管理者は、コンプライアンス・プログラムの実施に必要な法令
  及びその他の規範を特定し、別表1で管理しなければならない。

(個人情報の特定)
第15条 個人情報保護責任者は、個人情報の種類を特定し、別表2で管理しなければ
  ならない。
 2. 個人情報保護責任者は、機微情報として扱う個人情報の種類を特定し、別表2
  で管理しなければならない。
 3. 業務責任者は、別表2で示された個人情報を特定する手順を確立し、別表3に
  示す様式で管理しなければならない。
 4. 業務責任者は、特定した個人情報のリスクを認識しなければならない。
 5. 業務責任者は、特定した個人情報について、利用目的毎に管理しなければなら
  ない。
 6. 業務責任者は、個人情報の所在を把握できるようにしなければならない。

(取得する場合の措置)
第16条 個人情報を取得する際には、情報主体本人から以下の項目について事前に
  通知し、同意を取らなければならない。
   (1) 問い合わせ、開示、訂正、削除及び利用停止に必要な連絡先と責任の所在。
   (2) 利用目的。 
   (3) 個人情報を第三者に提供を行なうことが予定される場合には、その目的、
       提供先及び個人情報の取り扱いに関する契約の有無。 
   (4) 個人情報の預託を行なうことが予定される場合には、その旨。 
   (5) 情報主体が個人情報を与えることの任意性及び当該情報を与えなかった場
       合に情報主体本人に生じる結果。 
   (6) 個人情報の開示を求める権利、及び開示の結果、当該情報が誤っている場
       合に訂正又は削除を要求する権利の存在、対応期間の目安、並びに当該権
       利を行使するための具体的な方法。
 2. 上項を実施するために、個人情報を扱う事業の業務責任者は、手順を定め、個
  人情報保護責任者の承認をなければならない。
 3. 取得の際、事前に同意を得ない場合には、個人情報保護責任者の承認を得なけ
  ればならない。

(保管及び利用)
第17条 個人データを保管及び利用する際には、関係者以外のものが容易にアクセス
  ができない措置をとらなければならない。
 2. 上項を実施するために、個人情報保護管理者は、安全に保管及び利用ができる
  仕組みを確保しなければならない。
 3. 業務責任者は、特定した個人データのリスクについて、対策の実施状況を定期
   的に確認しなければならない。
 4. 業務責任者は個人データの保管及び利用の手順を定めなければならない。

(委託)
第18条 個人データを委託する際には、委託先選定基準により事業者を選定し、以
  下の項目を含んだ契約内容を以って、保護水準を担保しなければならない。
   (1) 個人データの利用の制限。
   (2) 個人データに関する秘密保持。
   (3) 個人データの安全管理に関する事項。
   (4) 個人データの再委託に関する事項。
   (5) 事故時の責任分担。
   (6) 契約終了時の個人データの返却及び消去。
 2. 上項を実施するために、業務責任者は、委託内容毎に委託先選定基準を定め、
  個人情報保護管理者の承認を得なければならない。
 3. 個人情報保護管理責任者は、委託契約書の雛型を定めなければならない。
 4. 業務責任者は、委託先管理の手順を定めなければならない。

(目的外利用)
第19条 情報主体本人から同意を得た利用目的以外に利用する際、事前に情報主体
  本人に利用目的を通知し、同意を得なければならない。
 2. 上項を実施するために、個人情報保護管理責任者は通知の内容を承認しなけれ
  ばならない。
 3. 目的外利用の際、情報主体本人の同意を得ない場合は、個人情報保護管理責任
  者の承認を得なければならない。
 4. 個人情報保護管理者は、緊急時における承認の手順を定めなければならない。

(第三者提供)
第20条 個人情報を扱う事業の責任者は、第三者へ提供する際、事前に情報主体本人
  に提供先、利用目的、個人データの項目及び提供手段を通知し、同意を得なけれ
  ばならない。
 2. 上項を実施するために、個人情報保護管理責任者は通知の内容を承認しなけれ
  ばならない。
 3. 第三者提供の際、情報主体本人の同意を得ない場合は、個人情報保護管理責任
  者の承認を得なければならない。
 4. 個人情報保護管理者は、緊急時における承認の手順を定めなければならない。

(情報主体本人からの要求に対する措置)
第21条 情報主体本人から個人データについて、開示、訂正、削除及び利用停止の要
  求がある場合には、合理的な期間で応じなければならない。
 2. 上項を実施するために、業務責任者は、本人確認方法、料金及び対応の期限を
  含んだ手順を定めなければならない。
 3. 情報主体本人からの開示、訂正、削除、利用停止に応じない場合には、個人情報
  保護管理責任者の承認を得なければならない。

(削除及び消去)
第22条 削除及び消去にあたっては、目的外利用又は第三者に利用されないような措
  置をとらなければならない。
 2. 上項を実施するために、個人情報保護管理者は、安全に削除及び消去が行える
  仕組みを確保しなければならない。
 3. 業務責任者は、削除及び消去する個人データのリスクについて、対策の実施状況
  を定期的に確認しなければならない。
 4. 業務責任者は個人データの削除及び消去の手順を定めなければならない。


附則
 改訂履歴
  ・第7条第6項(緊急対応手順)追加[2003/8/13]

--
別表1:法令及びその他の規範一覧
No.法令名備考(該当条項など)
1.個人情報の保護に関する法律(平成15年法律 第57号)
2.個人情報の保護に関する法律の政令
3.○○県個人情報保護条例
4.
5.

別表2:個人情報として扱う情報一覧

No.種類機微備考
1.氏名×
2.住所×
3.電話番号
4.電子メールアドレス
5.ユーザID
6.Cookie などのセッションキー
7.
別表3:個人データ一覧

○○業務:
No.利用目的の種類個人データの種類件数 機微同意保有個人データリスク
1.○○に関するアンケート 該当
2. 非該当
3.

[Home] [PDP] [PM] [JISQ15001] [CP] [Psec] [misc] [memo] kit@antai.net
Last modified: Wed Dec 17 17:48 JST 2003
Copyright© 2003-2008 KITANO Hiroyuki All Rights Reserved.