個人情報取扱規程
第1条(目的)
本規程は、当店が業務上取扱う個人情報の取扱いに関して遵守すべき事項および個人情報保護に係る体制を定め、もって個人情報の適正な取扱いを確保することを目的とする。
第2条(定義)
本規程における各用語の定義は、「個人情報の保護に関する法律」および関係各省庁の個人情報保護に関するガイドラインの例によるものとする。
第3条(適用対象者)
本規程は、すべての従業者に適用する。
第4条(利用目的)
当店の定める個人情報の利用目的は、個人情報を利用する範囲を本人が合理的に予想できる程度に特定するものとする。
2 当店は、利用目的を事務所内の見やすい場所に掲示して公表するとともに、書面を通じて個人情報を取得するときは、当該書面または添付書面にその旨を明示する。
3 当店は、利用目的を変更するときは、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲内で行い、変更後の利用目的を前項の定めるところにより公表、明示する。
第5条(個人情報の取得)
当店は、業務上必要な範囲内で、かつ、適法で公正な手段により個人情報を取得する。
第6条(個人情報の利用)
当店は、利用目的の達成に必要な範囲を超えて個人情報を取り扱わない。
2 当店は、前項に定める範囲を超えて個人情報を取り扱うときは、あらかじめ本人の同意を得る。
第7条(データ内容の正確性の確保)
当店は、利用目的の達成に必要な範囲内において個人データを正確かつ最新の内容に保つように努める。
第8条(第三者への提供)
当店は、法令で定められた場合を除き、あらかじめ本人の同意なく個人データを第三者に提供しない。
第9条(個人データの第三者提供時・受領時の確認・記録)
個人データの取扱者は、法令で定める場合を除き、個人データを第三者に提供した場合には当該提供に関する事項(提供日、提供先名称、提供内容等)について記録し、個人データを第三者から受領する場合には当該受領に関する事項(取得日、取得先名称、取得経緯、取得内容等)について確認・記録を行わなければならない。
第10条(センシティブ情報の取扱い)
当店は、要配慮個人情報(人種、信条、社会的身分、病歴、前科・前歴、犯罪被害情報などをいう)ならびに労働組合への加盟、門地および本籍地、保健医療および性生活(これらのうち要配慮個人情報に該当するものを除く)に関する情報(以下「センシティブ情報」という。)の取扱いが保険業の適切な業務運営を確保するために必要であり、当該業務の遂行に必要な範囲内で取得、利用または第三者への提供を行うときは、本人の同意を得る。
第11条(個人番号および特定個人情報の取扱い)
当店は、個人番号および特定個人情報について、取得、利用または第三者提供を行わない。
第12条(安全管理措置)
当店は、取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のため、組織的、人的、技術的に適切な措置を講じるものとする。
2 その他の安全管理措置に関する事項は、個人データの安全管理に係る取扱規程に定めるものとする。
第13条(開示等請求への対応)
当店は、委託元である保険会社の保有個人データに係る開示等を求められたときは、これを所属保険会社に取り次ぐものとする。
2 当店の保有個人データに関する開示等請求に関する手続、その他の事項は別途定める。
第14条(苦情への対応)
当店は、個人情報の取扱いに関する苦情を受けたときは、迅速かつ適切に対応する。
2 前項の目的を達成するため、苦情の申出先を公表するほか必要な体制を整備する。
第15条(プライバシー・ポリシー)
当店は、次の事項を含むプライバシー・ポリシーを策定・公表し、実効性あるものとするための体制整備に努める。
-
(1)事業者の名称
-
(2)安全管理措置に関する質問および苦情処理の窓口、苦情の対応に適切に取り組む宣言
-
(3)個人データの安全管理に関する宣言
-
(4)基本方針の継続的改善の宣言
-
(5)関係法令遵守の宣言
-
(6)個人情報・保有個人データの利用目的、通知・公表等の分かりやすい説明、目的外に利用しないことの宣言
第16条(情報管理責任者の設置)
当店は、個人情報保護の取組みを総括する情報管理責任者を設置する。
2 情報管理責任者は、次の事項を担当する。
-
(1)個人情報の適正な取扱いを確保するための全社的な施策の立案およびその実施状況の監督
-
(2)本規程その他の個人情報保護に係る規程の整備およびその遵守状況の監督
-
(3)情報管理者の任命または兼務。任命した場合においては報告徴求、助言および指導
-
(4)従業者に対する教育・研修の企画
-
(5)個人情報漏えい等事案への対応
-
(6)その他個人データの安全管理に関する事項のうち事業全体に関するもの
3 次に掲げる事項は、情報管理責任者が決定する。
-
(1)前条に定めるプライバシー・ポリシーの制定および改正
-
(2)前項第3号に掲げる者の任命または兼務
-
(3)本規程第4条に定める個人情報の利用目的の制定および改正
-
(4)個人データの安全管理に係る取扱規程の制定および改正
-
(5)個人データの開示等請求への対応に関する規程等の制定および改正
-
(6)漏えい事案等が発生した場合における対応(事実関係の調査、原因・責任の究明、委託元(保険会社)との相談、対応方針の決定など)
第17条(情報管理者)
情報管理者は次の事項を所管する。
-
(1)個人データの取扱者の指定および変更等の管理
-
(2)個人データの利用申請の承認および記録等の管理
-
(3)個人データを取り扱う保管媒体の設置場所の指定および変更等
-
(4)個人データの管理区分および権限についての設定および変更の管理
-
(5)個人データの取扱状況の把握
-
(6)委託先における個人データの取扱状況等の監督
-
(7)個人データの安全管理に関する教育・研修の実施
-
(8)情報管理責任者に対する報告
-
(9)その他所管部署における個人データの安全管理に関すること
-
(10)本人確認機能の整備
-
(11)本人確認に関する情報の不正使用防止機能の整備
-
(12)本人確認に関する情報が他人に知られないための対策
第18条(個人データ取扱者の特定)
当店は、個人データ取扱者は、募集人管理システム、一覧表または社員名簿での記載にて特定し管理する。
第19条(個人データ管理台帳)
情報管理者は、次の事項を記載した「個人データ管理台帳」を作成し、情報管理責任者に提出する。
-
(1)取得するデータの項目
-
(2)利用目的
-
(3)保管場所・保管方法・保管期限
-
(4)管理部署
-
(5)アクセス制御の状況
第20条(個人データ取扱状況の点検)
情報管理責任者は、個人データの取扱状況の点検に関する計画を立案し、情報管理者に定期的および臨時の点検を実施するよう指示しなければならない。
2 情報管理者は、規程に違反する事項について、情報管理責任者に報告するとともに、改善のための措置を講じなければならない。
第21条(漏えい等事案への対応)
個人情報取扱部署またはその従業者は、顧客情報の漏えい、滅失または毀損の可能性がある事案(以下「漏えい等事案」という。)を把握したときは、直ちに情報管理責任者に報告する。
2 情報管理責任者は、前項の報告を受けた事案が個人情報の漏えい、滅失または毀損につながる可能性があると認められるときは、事実内容の確認、原因の調査、内外への報告、事後対策・再発防止策の検討を行う。
第22条(委託にあたっての所属保険会社への申請および承認)
情報管理責任者は、個人データの委託にあたって、所属保険会社に申請し、承認を得なければならない。 ただし、所属保険会社が別に定める場合はこの限りではない。
第23条(委託先の選定基準)
情報管理者は、委託先を選定するにあたって、「委託先選定チェックリスト」を別に定め、これに基づき委託先を選定するとともに、「委託先選定チェックリスト」を定期的に見直さなければならない。
2 情報管理者は、「委託先選定チェックリスト」の策定および見直しにあたっては情報管理責任者の承認を得なければならない。
3 情報管理責任者は、承認した「委託先選定チェックリスト」を組織内に周知しなければならない。
第24条(委託先における選定基準の遵守状況の確認)
情報管理者は、委託契約後に「委託先選定チェックリスト」に定められた事項の委託先における遵守状況を定期的または随時に確認するとともに、委託先が当該基準を満たしていない場合には、委託先に対して改善を求めなければならない。
第25条(委託契約)
情報管理責任者は、選定した委託先との間で、以下の安全管理に関する事項を盛り込んだ委託契約の締結等をしなければならない。
-
(1)委託先に対する監督および監査報告徴求に関する権限
-
(2)委託先における個人データの漏えい、盗用、改竄および目的外利用の禁止
-
(3)再委託における条件
-
(4)漏えい等が発生した際の委託先の責任
-
(5)安全管理措置に関する事項の見直し条項
-
(6)秘密保持に関する条項
2 情報管理責任者は、定期的に委託契約等に盛り込む安全管理に関する事項を見直さなければならない。
第26条(委託先における委託契約上の安全管理措置の遵守状況の確認)
情報管理者は、定期的または随時に委託先における委託契約上の安全管理の遵守状況を確認するとともに、委託先が遵守していない場合には、委託先に対して改善を求めなければならない。
第27条(違反行為に対する処置)
当店は、従業者が本規程に違反した場合は、誓約書等の内容に従い懲戒処分を行うことがある。
第28条(本規程の改定)
本規程の改廃は情報管理責任者の決定により効力を発する。
附則 本規程は、2020年1月27日から実施する。