個人情報保護規程
【第1章 総則】
(目的)
第1条
- この個人情報保護規程(以下、規程という)は、一般社団法人外国人美容師監理実施機関(以下、当法人という)が「個人情報の保護に関する法律」(以下、法という)「個人情報の保護に関する法律施行令」(以下、政令という)、「個人情報保護委員会が定める規則」(以下、規則という)、及び「個人情報の保護に関する法律についてのガイドライン」(以下、ガイドラインという)に基づき、当法人における個人情報の適正な取扱いに関して、必要な事項を定める。
- 「行政手続における特定の個人を識別するための番号の利用等に関する法律」(以下、番号法という)に基づく個人番号、及びその内容を含む個人情報に関する事項は、この規程及び番号法の定めによる。
- この規程に定めのない事項は「法」並びに「規則」及び「ガイドライン」による。
(定義)
第2条 本規程において、各用語の定義は次の通りとする。
- 個人情報
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述または個人別に付された番号、記号その他の符号により当該個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できることとなるものを含む。) - 個人識別符号
① 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号、その他の符号であって、当該特定の個人を識別することができるもの
② 個人に提供される役務の利用若しくは個人に販売される商品の購入に関して割当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方法により記録された文字、番号、記号、その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの - 要配慮個人情報
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害の事実、その他本人に対する不当な差別、偏見、その他の不利益が生じないように、その取扱いに特に配慮を要する個人情報 - 個人情報データベース等
特定の個人情報について電磁的記録媒体および機器を用いて検索することができるように体系的に構成した個人情報を含む情報の集合物、又は電磁的記録媒体および機器を用いていない場合であっても、紙媒体で処理した個人情報を一定の規則にしたがって整理又は分類し、特定の個人情報を容易に検索することができる状態においているもの - 個人情報取扱事業者
個人情報データべ―ス等を事業の用に供している者
但し、国の機関、地方公共団体、独立行政法人等、及び地方独立行政法人(以下、国の機関等という)を除く - 個人データ
個人情報データベース等を構成する個人情報 - 保有個人データ
当法人が開示、訂正、追加、削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより、本人または第三者の生命、身体または財産に危害が及ぶおそれがあるもの、違法若しくは不当な行為を助長し、または誘発するおそれがあるもの以外のもの - 本人
個人情報から識別され、または識別され得る個人 - 職員
当法人の指揮命令を受けて当社の業務に従事する者(理事及び監事を含む) - 事務取扱責任者
当法人の個人情報に関する事務の責任を担う者 - 匿名化
個人情報から当該情報に含まれる氏名、生年月日、住所の記述等、個人を識別する情報を取り除くことで特定の個人を識別できないようにすること
(当社の責務)
第3条
当法人は、個人情報保護に関する法令等を遵守するとともに、実施するあらゆる事業を通じて個人情報の保護に努めるものとする。
【第2章 個人情報の利用目的の特定等】
(利用目的の特定)
第4条
- 当社は、個人情報を取り扱うに当たっては、業務の遂行に必要な場合に限り、その利用の目的(以下、利用目的という)をできる限り特定するものとする。
- 当法人が利用目的を変更する場合、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲で行うものとする。
- 当法人は、利用目的を変更した場合は、変更した利用目的について、本人に通知し、または公表するものとする。
(利用目的外の利用の制限)
第5条
- 当法人は、あらかじめ本人の同意を得ることなく前条の規定により特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱わないものとする。
- 当法人は、合併その他の事由により他の法人等から事業を継承することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで継承前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わないものとする。
- 前2項の規定にかかわらず、次の各号のいずれかに該当する場合には、あらかじめ本人の同意を得ないで前条の規定により特定された利用目的の範囲を超えて個人情報を取り扱うことができるものとする。
(1)法令等の規程に基づくとき
(2)人の生命、身体、又は財産の保護のために必要がある場合において、本人の同意を得ることが困難なとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために、特に必要がある場合において、本人の同意を得ることが困難であるとき
(4)国の機関等、又はその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより、当該事務の遂行に支障を及ぼすおそれがあるとき - 当法人は、前項の規定に該当して利用目的の範囲を超えて個人情報を取り扱う場合には、その取扱う範囲を真に必要な範囲に限定するものとする。
【第3章 個人情報の取得の制限等】
(取得の制限)
第6条
- 当法人は、個人情報を取得するときは、利用目的を明示するとともに、適法かつ適正な方法で行うものとする。
- 当法人は、原則として本人から個人情報を取得するものとする。但し、次の各号のいずれかに該当する場合は、この限りでない。
(1)本人の同意があるとき
(2)法令等の規定に基づくとき
(3)個人の生命、身体又は財産の安全を守るため、緊急かつやむを得ないと認とき
(4)公衆衛生の向上又は児童の健全な育成の推進のために、特に必要がある場合であって、本人の同意を得ることが困難であるとき
(5)本人が所在不明又は判断能力の不十分等の事由により、本人から取得することができないとき
(6)業務の円滑な運営のため、本人から取得したのではその目的を達成し得ないとき - 当法人は、前項第5号又は第6号の規定により、本人以外の者から個人情報を取得したときは、その旨及び当該個人情報に係る利用目的を本人に通知するよう努める。
(利用目的の通知等)
第7条
- 当法人は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知し又は公表するものとする。
- 当法人は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式、その他人の知覚によって認識できない方式による記録を含む)に記載された当該本人の個人情報を取得する場合、その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。但し、人の生命、身体又は財産の保護のために緊急に必要がある場合には、この限りでない。
- 前2項の規定は、次に掲げる場合については適用しない。
(1)利用目的を本人に通知し、または公表することにより、本人または第三者の生命身体、財産その他の権利利益を害するおそれがある場合
(2)国の機関等、又はその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(3)取得の状況からみて、利用目的が明らかであると認められるとき
(4)利用目的を本人に通知し、または公表することにより、当法人の権利又は正当な利益を害するおそれがあるとき
(適正な取得)
第8条
- 当法人は、偽りその他不正な手段により、個人情報を取得しない。
- 当法人は、次に掲げる場合を除き、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得しない。
(1)法令等の規程に基づくとき
(2)人の生命、身体、又は財産の保護のために必要がある場合において、本人の同意を得ることが困難なとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために、特に必要がある場合において、本人の同意を得ることが困難であるとき
(4)国の機関等、又はその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより、当該事務の遂 行に支障を及ぼすおそれがあるとき
(5)当該の要配慮個人情報が、本人、国の機関等、及び法令で認められる外国政府等により公開されているとき
(6)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得するとき
【第4章 個人データの適正管理】
(個人データの適正管理)
第9条
- 当法人は、利用目的の達成に必要な範囲内で、常に個人データを正確かつ最新の状態に保つものとする。
- 当法人は、個人データの漏えい、滅失、毀損の防止、その他の個人データの安全管理のために必要かつ適切な措置を講ずるものとする。
- 当法人は、個人データの安全管理のために、個人データを取り扱う職員に対する必要かつ適切な監督を行うものとする。
- 当法人は、利用目的に関し保存する必要がなくなった個人データを、確実、かつ速やかに破棄または削除するものとする。
- 当法人は、個人情報の取扱いの全部または一部を当社以外の者に委託するときは、原則として委託契約において、個人データの安全管理について受託者が講ずべき措置を明らかにし、受託者に対する必要かつ適切な監督を行うものとする。
【第5章 個人データの第三者提供】
(個人データの第三者提供)
第10条
- 当法人は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供しないものとする。
(1)法令等の規程に基づくとき
(2)人の生命、身体、又は財産の保護のために必要がある場合において、本人の同意を得ることが困難なとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために、特に必要がある場合において、本人の同意を得ることが困難であるとき
(4)国の機関等、又はその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより、当該事務の遂行に支障を及ぼすおそれがあるとき - 次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。
(1)当法人が、利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託する場合
(2)合併その他の事由による事業の承継に伴って個人データが提供される場合
(3)個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的、および当該個人データの管理について責任を有する者の氏名又は名称についてあらかじめ本人に通知し、または本人が容易に知り得る状態に置いている場合 - 当法人は、前項第3号に規定する利用する者の利用目的または個人データの管理について責任を有する者の氏名または名称を変更する場合は、変更する内容について、あらかじめ本人に通知し、または本人が容易に知り得る状態に置くものとする。
(第三者提供をするときの記録)
第11条
- 当法人は、個人データを第三者に提供したときは、速やかに第三者提供に係る記録を作成しなければならない。但し、前条第1項又は第2項のいずれかの事項により個人データを提供する場合を除く。
- 第三者に個人データの提供をする場合の記録は、文書、電磁的記録を用いて作成する。
- 本人に対する物品又は役務の提供に関連して、当該の本人に係る個人データを第三者に提供した場合、当該の物品又は役務の提供に関して作成された契約書その他の書面に記録すべき事項が記載されているとき、前項の記録に代えることができる。
(第三者提供を受けるときの確認及び記録)
第12条
- 当法人は、第三者から個人データの提供を受けるとき、次の確認を行い、速やかに記録を作成しなければならない。但し、第10条第1項又は第2項のいずれかの事項に該当する場合を除く。
(1)当該の第三者の氏名又は名称及び住所、法人の代表者の氏名
(2)当該の第三者による当該個人データの取得の経緯 - 本人に対する物品又は役務の提供に関連して、当該の本人に係る個人データを第三者に提供した場合、当該の物品又は役務の提供に関して作成された契約書その他の書面に記録すべき事項が記載されているとき、前項の記録に代えることができる。
【第6章 組織的安全管理措置】
(組織体制及び個人情報保護管理者)
第13条
- 当法人は、個人情報の適正管理のため、理事長が指名する職員を個人情報保護管理者とし、当法人における個人情報に関する管理に必要な措置を行わせるものとする。
- 個人情報保護管理者は、適正管理に必要な措置について定期的に評価を行い、見直し又は改善を行うものとする。
(個人情報事務取扱担当者)
第14条
- 当法人は、個人情報に関する事務を担当させるため、理事長が指名する職員を個人情報事務取扱担当者とする。
- 個人情報事務取扱担当者は、個人データの保護に十分な注意義務を負い業務を行わなければならない。
- 個人情報事務取扱担当者は、当法人における個人情報の取扱状況及び運用情報について確認を行う。
(職員の義務)
第15条
- 当法人の職員又は職員であった者は、業務上知り得た個人情報の内容を正当な理由なく他人に開示し、又は不当な目的に使用してはならない。
- この規程に違反する事実又は違反するおそれがあることを発見した職員は、その旨を個人情報保護管理者に報告しなければならない。
- 個人情報保護管理者は、前項による報告の内容を調査し、違反の事実が判明した場合には遅滞なく理事長に報告するとともに、適切な措置をとるよう指示する。
(情報漏洩等への対応)
第16条
- 個人データの漏洩、滅失、棄損、又は誤廃棄(以下、漏洩等という)の事案の発生、兆候、可能性を認識し、把握した場合の対応は、理事長の責任において次の対応を行う。
① 被害拡大の防止
② 事実関係の調査並びに原因の特定、及び公表
③ 影響範囲の特定
④ 再発防止策の検討並びに実施、及び定着及び公表
⑤ 影響を受ける可能性がある個人情報の本人への連絡及び説明
⑥ 関係行政機関への報告
(苦情対応)
第17条
- 当法人は、個人情報の取扱いに関する苦情(以下、苦情という)について必要な体制整備を行い、苦情があったときは、適切かつ迅速な対応に努めるものとする。
- 苦情対応の責任者は、個人情報保護管理者とする。
【第7章 人的安全管理措置】
(教育と研修)
第18条
個人情報保護管理者は、個人情報保護に関する当法人の指示、規程の定めに基づく適正管理対策の実施、及び職員に対する教育並びに事業訓練等を行う責任を負うものとする。
【第8章 物理的安全管理措置】
(個人データを取扱う法人内区域の管理)
第19条
- 当法人は個人情報保護管理者及び個人情報事務取扱担当者以外の職員が、容易に個人データを閲覧できないように物理的な措置を講ずる。
- 前項の措置を講ずる目的として、個人データの管理及び取扱い区域(以下、区域という)を定める。
(使用機器及び電子媒体等の盗難等の防止)
第20条
当法人は、個人データを取扱う機器、電子媒体又は文書等の盗難や紛失を防止するために次の措置を講じる。
① 保管場所の施錠
② 機器の固定
(電子媒体の持ち出し)
第21条
- 個人データを取扱う機器、電子媒体又は文書等は、原則として第19条第2項で定めた区域外に持ち出してはならない。
- やむを得ず個人データを取扱う機器、電子媒体又は文書等を区域外の持ち出す場合は、必要最低限の範囲の個人データとし、個人情報保護管理者の許可を得なければならない。
- 前項により区域外に持ち出す場合は、パスワード設定、施錠可能な鞄の利用など、盗難や紛失を防止するための措置を講じなければならない。
(個人データの削除及び機器、電子媒体又は文書等の廃棄)
第22条
個人データの削除、及び個人データを取扱う機器、電子媒体又は文書等の廃棄を行った場合は、個人情報保護管理者が確認する。
【第9章 技術的安全管理措置】
(不正アクセスの防止)
第23条
- 当法人は、個人データへの不正なアクセスを防止するため、個人データを取扱うことができる機器、及び当該の機器を使用できる個人情報事務取扱担当者を指定する。
- 個人データを取扱うことができる機器のユーザー制御機能により、当該の機器を使用できる個人情報事務取扱担当者を識別及び認証する。
- 外部からの不正アクセスを防止するため、個人データを取扱うことができる機器に、セキュリティ対策ソフト等を導入し、そのソフト等を適宜更新して最新状態とする。
(パスワードによる管理)
第24条
個人データを含むファイルを電子メール等の通信手段を使用して伝送する場合は、当該ファイルにパスワードを設定する。
【第10章 個人データの開示・訂正・追加・削除・利用停止】
(保有個人データの開示等)
第25条
- 当法人は、本人から、当該の本人に係る保有個人データについて、書面または口頭により、その開示(当該の本人が識別される個人情報を保有していないときにその旨を知らせることを含む。以下同じ)の申し出があったときは、身分証明書等により本人であることを確認の上、開示をするものとする。但し、開示することにより次の各号のいずれかに該当する場合は、その全部または一部を開示しないことができる。
(1)本人または第三者の生命、身体、財産、その他の権利利益を害するおそれがある場合
(2)当法人の事業の適正な実施に著しい支障を及ぼすおそれがある場合
(3)法令に違反する場合 - 開示は、書面により行うものとする。ただし、開示の申出をした者の同意があるときは、書面以外の方法により開示をすることができる。
- 保有個人データの開示または不開示の決定の通知は、本人に対し書面により遅滞なく行うものとする。
(保有個人データの訂正、追加、削除、利用停止等)
第26条
- 当法人は、保有個人データの開示を受けた者から、書面または口頭により、開示に係る個人データの訂正、追加、削除、または利用停止の申出があったときは、利用目的の達成に必要な範囲内において遅滞なく調査を行い、その結果について、申出をした者に対し書面により通知するものとする。
- 当法人は、前項の通知を受けた者から、再度申出があったときは、前項と同様の処理を行うものとする。
(個人情報保護窓口)
第27条
前項に関する相談及び対応する窓口は個人情報保護管理者とする。
附 則
第1条
この規程は、2023年 3月 1日から施行する。
