同志社生協について

個人情報保護規定

2005年3月25日
個人情報保護規定
同志社生活協同組合

第一章 総則

(目的)

第1条 この規則は、同志社生活協同組合(以下、「生協」という。)が取扱う個人情報について、個人情報の保護に関する法律(以下、「個人情報保護法」という。)等の法令を遵守し、個人の権利利益を適切に保護し、個人情報を利用し、安全に管理することを目的とする。

(用語の定義)

第2条 この規則において、各用語の定義は次のとおりとする。

(1) 個人情報

生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 その情報に含まれる氏名、生年月日その他の記述又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別できるものを含む。)

二 個人識別符号(個人情報保護法第2条第2項)が含まれるもの

(2) 要配慮個人情報

本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により被害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして個人情報の保護に関する法律施行令(以下「施行令」という。)で定める記述等(健康診断等及び診療内容その他)が含まれる個人情報

(3) 本人

個人情報によって識別される特定の個人

(4) 個人情報データベース等

個人情報を含む情報の集合物であって、次に掲げるもの(施行令第3条第1項が定めるものを除く。)

一 特定の個人情報についてコンピューターを用いて検索することができるように体系的に構成したもの

二 一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの

(5) 個人データ

個人情報データベース等を構成する個人情報

(6) 保有個人データ

生協が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限をもつ個人データをいう。ただし、施行令第4条が定めるものを除く。

(7) 役職員

役員、職員、パート職員、アルバイト、学生委員を含め、生協の業務に従事するすべての者

(適用範囲等)

第3条 この規則は、生協のすべての役職員に適用する。

2 生協が個人情報を取扱う業務を外部に委託する場合も、この規則の趣旨を遵守させるよう監督するものとする。

(個人情報保護方針の制定と公表)

第4条 生協は個人情報保護方針を定め、役職員に周知徹底するとともに、生協のウェブサイトに公表する。

第2章 安全管理体制

(個人情報の安全管理体制の構築)

第5条 個人情報保護管理責任者は専務理事とし、個人情報保護及び安全管理の統括、実施状況の理事会への報告、個人情報保護管理者の指名を行うものとする。

2 個人情報保護管理者は各店舗責任者とし、個人情報保護管理責任者を補佐し、役職員に対する個人情報保護関連の教育等の実施、個人情報の適正な取扱いの確保、安全管理の点検、指導を行うものとする。

(安全管理措置の見直し)

第6条 個人情報保護管理者は、個人データの取扱状況について点検を実施し、その結果は個人情報保護管理責任者に報告するものとする。

2 個人情報保護管理者は、個人データの取扱状況の点検結果にもとづき必要に応じて適切な是正措置を講じ、個人情報を保護し、安全に管理するために、その個人情報保護の方針・規則等を見直すものとする。

(役職員の義務)

第7条 役職員は、生協の業務に従事するにあたって法令及びこの規則をはじめとする組合の諸規則等を遵守し、個人情報保護管理責任者又は個人情報保護管理者の指示に従って個人情報の保護及び安全管理に充分な注意を払うものとする。

2 役職員は、個人情報に関する事故(滅失、盗難、毀損又は漏えい等)、規則違反又はその可能性等に気づいた場合は、速やかに上司、専務理事又は個人情報保護管理者へ報告しなければならない。

3 前項の報告を受けた者は、この規則の趣旨を踏まえ、適切に対処するものとする。

(苦情対応)

第8条 個人情報保護管理者は、個人情報の取扱に関する苦情を適切かつ迅速に対応するよう努めるものとする。

2 個人情報保護管理者は、個人情報の取扱に関する重大な苦情事案については、遅滞なく個人情報保護管理責任者に報告するものとする。

(事故対応)

第9条 個人情報保護管理者は、個人情報に関する事故が発生し、または発生した恐れがある場合、個人情報保護管理責任者に報告するとともに、適切かつ迅速に対応するものとする。この場合において、事故の規模、影響の大きさ、事案により必要に応じて以下を実施する。

(1) 影響を受ける可能性のある本人への連絡等

(2) 大学・行政庁等への報告及び被害の拡大防止

(3) 事実関係の調査及び原因の究明

(4) 再発防止策の検討及び実施

(5) 事実関係及び再発防止策等の公表

2 個人情報保護管理責任者は、前項の規定にかかわらず、当該事態が次の各号のいずれかに該当するときは、個人情報保護委員会に報告するとともに本人に当該事態が生じた旨を通知しなければならない。

(1) 要配慮個人情報が含まれる個人データに関する事故が発生し、または発生したおそれがある事態

(2) 不正に利用されることにより財産的被害が生じるおそれがある個人データに関する事故が発生し、または発生したおそれがある事態

(3)不正の目的をもって行われたおそれがある個人データに関する事故が発生し、または発生したおそれがある事態

(4)個人データに係る本人の数が千人を超える事故が発生し、または発生したおそれがある事態

3 前項により個人情報保護委員会に報告をする場合には、前項各号の事態を知った後、速やかに、次に掲げる事項(報告の時点で把握しているものに限る)を報告しなければならない。

(1) 概要

(2) 当該事故に係る個人データの項目

(3) 当該事故に係る本人の数

(4) 原因

(5) 二次被害またはそのおそれの有無およびその内容

(6) 本人への対応の実施状況

(7) 公表の実施状況

(8) 再発防止のための措置

(9) その他参考となる事項

4前項の場合において、当該事態を知った日から30日以内(当該事態が第2項第3号に定めるものである場合には、60日以内)に、当該事態に関する前項各号に定める事項を報告しなければならない。この場合、一部の事項が判明しておらず、すべての事項を報告できないときは、その時点で把握できた内容を報告し、判明次第、さらに報告を行うものとする。

5第2項の規定により、本人に対し、通知をする場合には、第2項各号の事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、第3項第1号、第2号、第4号、第5号及び第9号に定める事項を通知しなければならない。この場合、本人への通知が困難であるときは、事案を公表するとともに問合せ窓口を用意して本人が自らの個人データが対象となっているか否かを確認できるようにするものとする。

6 第三者から委託を受けて取扱っている個人データに関して第2項各号に定める事態が生じた場合は、当該事態を知った後、速やかに、第3項各号に定める事項を当該委託元に通知しなければならない。

第3章 個人情報の取得

(個人情報の取得)

10条 生協は、あらかじめ利用目的を定め、その目的を達成するために必要な限度で、個人情報を取得する。

(適正な取得)

11条 生協は、個人情報を適正な手段で取得するものとし、偽りその他不正な手段によって取得しない。

2 生協は、要配慮個人情報を取得するときは、個人情報保護法第17条第2項各号に掲げる場合を除き、あらかじめ本人の同意を得るものとする。

3 前項の場合において、書面または口頭等により、生協が本人から適正に直接取得する場合は、本人の同意があったものとする。

(取得にあたっての利用目的の通知等)

12条 個人情報を取得するときは、あらかじめ利用目的をできる限り特定して公表するよう努めるものとし、取得前に公表しなかった場合は、取得後速やかにその利用目的を本人に通知し、又は公表する。ただし、個人情報保護法第18条第4項の場合を除く。

(本人から文書等により取得する場合)

13条 前条の定めにかかわらず、申込書・契約書その他の書面(インターネット・電磁記録を含む。)等によって本人の個人情報を取得するときは、あらかじめその利用目的を本人に対し明示する。ただし個人情報保護法第18条第4項の場合を除く。

第4章 個人情報の利用と第三者提供の制限

(利用範囲)

14条 生協は、あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を利用しない。ただし、個人情報保護法第16条第3項の場合を除く。

(利用目的の変更)

15条 利用目的を変更する場合は、変更前の利用目的と関連性を有すると合理的に認められる範囲で行うものとする。

2 前項の変更をしたときは、変更後の利用目的を本人に通知し、又は速やかに公表する。ただし、個人情報保護法第18条第4項の場合を除く。

3 利用目的を第1項の範囲を超えて変更しようとするときは、あらかじめ本人の同意を得なければならない。

(不適正な利用の禁止)

16条 組合は、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない。

(第三者提供の制限)

17条 組合は、あらかじめ本人の同意を得ないで、個人

データを第三者に提供しない。ただし、個人情報保護法第23条の場合を除く。

第5章 個人データの安全管理

(役職員の監督等)

18条 生協は、利用目的の達成に必要な範囲で、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めるものとする。

2 生協は、個人情報に関する事故を防止し、その他個人情報を安全に管理するために、必要かつ適切な措置を講じるものとする。

3 生協は、役職員が個人データを取扱うにあたって、個人データを適切に管理するため、必要かつ適切な監督を行う。

4 前項の監督は、個人情報保護管理者が行うものとする。

(委託先の選定)

19条 生協は、個人データの取扱いの全部又は一部を組合以外の者に委託するときは、組合が定める書類の提出を求め選定するものとする。ただし、組合が提出を要しないと特に認めた書類についてはこの限りでない。

2 委託先は個人情報保護管理責任者が決定する。

(委託先の監督)

20条 組合は、原則として委託契約(付随する覚書等を含む。)において、個人データの安全管理について受託者が講ずべき措置を明らかにし、受託者に対する必要かつ適切な監督を行うものとする。

(物理的安全管理措置)

第21条 個人情報データベース等を取り扱う区域はのぞき込みを防止する措置の実施等により、権限を有しない者による個人データの閲覧等を防止する。

2 個人データを取り扱う機器、電子媒体又は書類等は、施錠できるキャビネット等への保管により、盗難または紛失等を防止する。

3 個人データが記録された電子媒体または書類等を取扱区域の外に持ち出す場合は、データの暗号化またはパスワードによる保護、書類等の封緘を実施し、漏えいを防止する。

4 個人データの削除または廃棄にあたっては、電子データを削除し、または、個人データが記録された機器、電子媒体、書類等を廃棄したことを、個人情報保護管理者が適切に処理されたことを確認するものとする。

(技術的安全管理措置)

第22条 個人データを取り扱うことのできる機器及び

これを取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する。

2 機器のユーザーアカウント制御機能により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する。

3 個人データを取り扱う機器等のオペレーティングシステム及びセキュリティ対策ソフトウェア等を自動更新機能等の活用により、最新状態とする。

4 メール等により個人データの含まれるファイルを送信する場合には、当該ファイルへのパスワードを設定し、データと別のメールでパスワードを通知するものとする。

第6章 保有個人データの開示、訂正・追加・削除・利用停止

(保有個人データの利用目的の通知)

23条 組合は、本人から、本人が識別される個人データの利用目的について問い合わせがあったときは、これを通知する。ただし、個人情報保護法第27条第2項ただし書きに定める場合を除く。

2 生協は利用目的を通知しない旨の決定をしたときは、その旨を本人に対し、遅滞なく通知する。

(保有個人データ等の開示、訂正等、利用停止等)

24条 生協は、保有個人データについて、本人から開示を求められたときは、これに応じる。ただし、開示することによって次の各号に該当する場合には、その全部又は一部を開示しないこととする。

(1) 人の生命、身体、財産その他の権利利益を害するおそれがある場合

(2) 生協の業務の適正な実施に著しい支障を及ぼすおそれがある場合

(3) 法令に違反することとなる場合

2 生協は、保有個人データの第三者提供の記録(提供を受けた際の記録を含む。)について、本人から開示を求められたときは、これに応じる(存在しないときはその旨を知らせることを含む)。ただし、開示することによって次の各号に該当する場合には、その全部又は一部を開示しないこととする。

(1) 人の生命、身体、財産に危害が及ぶおそれがある場合

(2) 違法又は不当な行為を助長・誘発するおそれがある場合

(3) 国の安全が害され、又は他国もしくは国際機関との信頼関係が損なわれ、又は他国若しくは国際機関との交渉上不利益を被る等のおそれがある場合

(4) 公共の安全と秩序の維持に支障が及ぶおそれがある場合

3 保有個人データの内容が事実でないという理由で、本人から訂正、追加又は削除(以下、「訂正等」という。)を求められた場合は、利用目的の達成に必要な範囲において、遅滞なく調査を行い、その結果に基づき、これに応じる。

4 保有個人データに関し、本人から自己の情報に関して個人情報保護法に違反して取扱われているという理由、生協が当該本人に係る保有個人データを利用する必要がなくなったという理由または当該本人に係る保有個人データが第9条第2項各号のいずれかの事態(漏えい等)が生じたという理由により利用停止又は消去(以下「利用停止等」という。)を求められた場合で、その求めに理由があることが判明したときには、違反を是正するために必要な限度で、遅滞なく、これに応じる。ただし、多額の費用を要する等、その実施について困難である場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

5 前四項の求めに対して、開示しない旨の決定をしたときはその旨を、訂正等を行ったとき又は訂正等を行わない旨の決定をしたときはその旨(訂正等を行ったときは、その内容を含む。)を、利用停止等を行ったとき又は利用停

止等を行わない旨の決定をしたときはその旨を、本人に対し、遅滞なく通知する。

6 前項の場合において、開示・訂正等・利用停止等を行なわないことを決定したときは、その理由を説明するよう努めるものとする。

(保有個人データの開示等の請求の受付)

25条 開示、訂正等及び利用停止等(以下「開示等」という。)は、本人から組合の担当窓口へ次の書類等が郵便または電子メールで提出されたときに、対応する。

(1) 本人であることを確認するための証明書類

(2) 請求事項及び請求理由を記載した書面

(3) 利用目的の通知(第23条)、開示の請求(第24条第1項)に係る事務処理手数料 1,000

2 生協は、開示等の請求の受付けにあたって、請求者である本人に対して、対象となる保有個人データを特定するために必要な事項の提示を求めることができる。

3 生協は、本人に代えて代理人から開示等の請求があったときは、正当な代理人であることを確認のうえ、その請求を受付ける。

第7章 罰則その他

(罰則)

26条 役職員がこの規則に違反した場合には、就業規則等の制裁に関する定めを適用する。

(規則の改廃)

27条 この規則の改廃は、理事会の議決による。

(施行期日)

この規則は20151221日より施行する。

この規則は20211025日一部改正する。