第1章 本規程の目的
(目的)
第1条 本規程は、社団法人中小企業診断協会東京支部城東支会(以下支会という。)が取り扱う
個人情報の適切な保護のための事項を定め、会員が関係する個人情報保護事項を遵守することを目的とする。
第2章 定義
(定義)
第2条 本規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1)個人情報
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、また
は個人別に付された番号、記号その他の符号、画像若しくは音声により当該個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができそれにより当該個人を識別できるものを含む)をいう。
(2)情報主体
一定の情報によって識別される、または識別され得る個人をいう。
(3)個人情報保護部門管理者
支会における本規程の実施および運用に関する責任と権限をもつ者をいう。
(4)個人情報取扱担当者
個人情報のコンピュータへの入力・出力、台帳・申込書等の個人情報を記載した帳票・帳表を保管・管理等する担当者をいう。
(5)担当者
日常業務上、個人情報を取り扱う担当者をいう。
(6)監査責任者
支会の監査責任者は、支会長によって指名された者であって、公平かつ被監査部門から独立な立場にあり、監査の実施および報告を行う権限をもつ者をいう。
(7)情報主体の同意
情報主体が収集、利用または提供に関する情報を与えられた上で、自己に関する個人情報の収集、利用または提供について承諾する意思表示を行うことをいう。
(8)利用目的
個人情報の利用および提供の範囲を定め、情報主体の同意の対象となるものをいう。
(9)利用
支会内で個人情報を使用や処理することをいう。
(10)提供
支会外の者に支会が保有する個人情報を渡し、利用可能にすることをいう。
(11)預託
情報処理を委託するなどのために、支会が保有する個人情報を支会外の者に預けることをいう。
第3章 本規程の適用範囲
(対象となる個人情報)
第3条 本規程はコンピュータ・システムにより処理されているか否か、および書面に記録され
ているか否か等を問わず、支会において扱われるすべての個人情報を対象とする。
第4章 個人情報の収集に関する措置
(収集範囲の制限)
第4条 個人情報の収集は、支会の正当な事業の範囲内で、利用目的を明確に定め、その目的の達成に必要な限度においてこれを行うものとする。
2 新しい目的で個人情報を収集するときは、個人情報保護部門管理者に届け出を行うものとする。
(収集方法の制限)
第5条 個人情報の収集は、適正かつ公正な手段によって行うものとする。
(特定の機微な個人情報の収集の禁止)
第6条 次ぎに掲げる種類の内容を含む個人情報については、これを収集し、利用または提供してはならない。ただし、当該情報の収集、利用または提供についての情報主体の明確な同意がある場合、法令に特段の規程がある場合または司法手続き上不可欠である場合については、この限りではない。
(1)思想、信条および宗教に関する事項
(2)人種、民族、門地、本籍地(所在都道府県に関する情報を除く)
(3)身体、精神障害、犯罪歴、その他社会的差別の原因となる事項
(4)勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項
(5)集団示威行為への参加、請願権の行使及びその他の政治的権利の行使に関する事項
(6)保健医療及び性生活に関する事項
(情報主体から直接収集する場合の措置)
第7条 情報主体から直接に個人情報を収集する際には、情報主体に対して、次に掲げる事項またはそれと同等以上の内容の事項を書面またはこれに代わる方法により通知する。
(1)個人情報に関する問合せ部署と連絡先
(2)収集および利用の目的
(3)個人情報の提供を行うことが予定される場合には、その目的、当該情報の個人情報受領者および個人情報の取扱に関する契約の有無
(4)個人情報の提供に関する情報主体の任意性、および当該情報を提供しなかった場合に生じる結果
(5)個人情報の利用を拒絶する権利、個人情報の開示を求める権利、および開示の結果当該情報が誤っている場合に訂正または削除を要求する権利の存在、ならびに当該権利を行使するための具体的方法
(6)個人情報を第三者と共同で使用する場合は、その旨
(情報主体から対面ではなくて個人情報を直接収集する場合の措置)
第8条 個人情報保護部門管理者(支会長)は、担当者が情報主体から直接に個人情報を収集す
る場合で、第7条に定めた方法での同意がとれなかったときのために、協会の個人情報保
護基本方針および第7条各号に掲げる事項を支会のホームページに掲示する。
(情報主体から間接収集する場合の措置)
第9条 情報主体以外から間接的に個人情報を収集する際には、情報主体に対して、少なくとも、
第7条に掲げる事項を書面またはこれに代わる方法により通知する。ただし、次の(1)か
ら(3)までに掲げるいずれかの場合においては、この限りではない。
(1)情報主体からの個人情報収集時に、あらかじめ支会への情報の提供を予定している旨、
情報主体の同意を得ている情報提供者から収集を行う場合
(2)提供される個人情報に関する契約の締結により、個人情報に関して提供者と同等の取扱を担保することによって個人情報の提供を受け、収集を行う場合
(3)情報主体により不特定多数の者に公開された情報からこれを収集する場合
第5章 個人情報の利用に関する措置
(利用の原則)
第10条 利用目的の範囲内で行う支会の個人情報の利用は、次の(1)から(5)までに掲げる
いずれかの場合にのみこれを行うこととする。
(1)情報主体が同意を与えた場合若しくは同等の措置を講じた場合
(2)情報主体が当事者である契約の準備又は履行のために必要な場合
(3)支会が従うべき法的義務の履行のために必要な場合
(4)情報主体の生命、健康、財産等の重大な利益を保護するために必要な場合
(5)警察、税務署、裁判所等の公的機関からの法令に基づく権限の行使による開示請求等があった場合
(目的外利用の場合の措置)
第11条 利用目的の範囲外の個人情報の利用は禁止する。
利用目的の範囲を超えて個人情報の利用を行う場合又は前条(1)号から(5)号までに
掲げるいずれの場合にも当たらない個人情報の利用を行う場合においては、個人情報
部門管理者は第7条各号に掲げる事項を書面またはこれに代わる方法により通知し、あ
らかじめ情報主体の同意を得ることとする。
第6章 個人情報の提供に関する措置
(提供の原則)
第12条 個人情報の提供は、事前に情報主体に通知した利用目的の範囲内で行うものとする。
ただし次の(1)から(2)に掲げるいずれかの場合においては、この限りではない。
(1)支会が従うべき法令上の義務のために必要な場合
(2)情報主体の生命、健康、財産等の重大な利益を保護するために必要な場合
(目的外提供の場合の措置)
第13条 利用目的の範囲を超えて個人情報の提供を行う場合、情報主体に対して第7条各号に掲
げる事項を書面またはこれに代わる方法により通知し、情報主体による事前の了解のも
とに行うものとする。
第七章 個人情報の適正管理義務
(個人情報の正確性の確保)
第14条 個人情報は利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理するもの
とする。
2 定期的に情報主体に通知等をしている場合、担当者は、通知の中に次の事項を記した届
出様式等を入れて通知するものとする。
(1)個人情報の開示を求める権利及び開示の結果、当該情報が誤っている場合に訂正、追加、削除を要求する権利の存在並びに情報主体が当該権利を行使するための具体的な方法
(2)個人情報の収集後における利用を拒絶する権利の存在及び情報主体からの当該個人情報の消去、利用停止等の具体的な方法
(個人情報の安全性の確保)
第15条 個人情報への不当なアクセスまたは個人情報の紛失、破壊、改竄、漏洩等の危険に対し
て、組織的、人的、物理的および技術的な面において合理的な安全対策を講じるものと
する。
(個人情報の秘密保持に関する従事者の責務)
第16条 個人情報の収集、利用または提供に従事する者(以下「従事者」という)は、法令の
規程または本規程若しくは個人情報保護部門管理者が指示した事項に従い、個人情報の
秘密の保持に十分な注意を払いつつその業務を行うものとする。
2 個人情報保護部門管理者の承諾を得ないで、個人情報の目的外利用、第三者への提供・
預託、通常の利用場所からの持ち出し、外部への送信等の個人情報の漏洩行為をしては
ならない。
3 従業者が従業者でなくなった場合、従事している間に知りえた個人情報は、上位の従業者の指示に従って返却、廃棄等の処理を行わなければならない。
(個人情報の委託処理に関する措置)
第17条 支会が、情報処理を委託する等のため個人情報を外部に預託する場合においては、十分な個人情報の保護水準を提供する者を選定し、契約等の法律行為により、個人情報保護部門管理者の指示の遵守、個人情報に関する秘密の保持、再提供の禁止、委託業務終了
時の個人情報の返却及び消去に関する事項および事故時の責任分担等を担保するとともに、当該契約書等の書面または電磁的記録を個人情報の保存期間にわたり保存するものとする。
2 個人情報保護部門管理者は、委託先に対して必要かつ適切な監督を実施するものとする。
3 契約については、個人情報保護管理者の承諾を得てから締結し預託を実施する。
第8章 自己情報に関する情報主体の権利
(事故情報に関する権利)
第18条 情報主体から自己の情報について開示を求められた場合は、合理的な期間内にこれに応ずる。また開示の結果、誤った情報があった場合で、訂正または削除を求められた場合には、合理的な期間内でこれに応ずるものとし、訂正または削除を行った場合には、可能な範囲内で当該個人情報の個人情報受領者に対して通知を行うものとする。
(自己情報の利用または提供の拒否権)
第19条 支会が既に保有している個人情報について、情報主体から自己の情報についての利用または第三者への提供を拒まれた場合は、これに応ずるものとする。ただし、公共の利益の保護または支会若しくは個人情報の開示の対象となる第三者の法令に基づく権限の行使または義務の履行に必要な場合、および会員情報の適正な管理運営のために必要な場合については、この限りではない。
第9章 組織および実施責任
(個人情報保護部門管理者の責務)
第20条 個人情報保護部門管理者は、本規程に定められた事項を理解し、遵守するとともに、支会における個人情報の収集、利用、または提供に従事する者にこれを理解させ、安全対策の実施並びに周知徹底等の措置を実施する責任を負うものとする。
2 個人情報保護部門管理者は支会に所属する者の中から、必要な人数の個人情報取扱担当者を選任することができる。
(監査責任者の責務)
第21条 監査責任者は、本規程に定められた事項を理解し、および遵守するとともに、定期的に本規程が適正かつ有効に実施されているかを評価し、確認する責任を負うものとする。支会外の第三者に監査業務を委託することを妨げない。
(個人情報苦情・相談窓口担当者の責務)
第22条 個人情報苦情・相談窓口の担当者は、本規程に定められた事項を理解し、遵守するとともに、会員からの個人情報に係わる問合せ・苦情等を受け付けて対応し、更に相談内容を分析し再発防止等を検討して本規程の運営に反映させる責任を負うものとする。
第10章 教育
(教育の実施)
第23条 会員は、協会教育担当者が主催する本規程を遵守させるための教育を受けなければならない。研修内容およびスケジュールは、事業年度毎に教育担当者が定める。
第11章 監査
(監査の実施)
第24条 監査責任者は、事業年度毎に「監査基本計画書」(以下「基本計画書」という)を策定し支会長の承認をえなければならない。
2 基本計画書に記載された個別の監査については、「監査個別計画書」(以下「個別計画書」という)を作成するものとし、個別計画書は監査責任者の承認を得なければならない。
3 監査責任者は、個別計画書に従って鑑査を行い、「監査報告書」(以下「報告書」という)を作成し、支会長に報告する。
4 報告書に改善勧告が含まれていた場合、支会長は被監査部門に対し「改善計画書」の提出を命じるものとする。
5 改善計画書の提出を求められた被監査部門は、改善計画書を作成して支会長の承認を受け、改善計画書に従って改善活動を行わなければならない。
6 監査責任者は、改善計画書の作成支援、改善活動のフォローアップを行うとともに、改善状況を支会長に報告する。
第12章 罰則
第25条 本規程に故意に違反した者、あるいは自らの職務を適正に遂行していれば違反を知り得たすべての会員は、診断協会定款第10条に基づく除名の対象となる。
第13章 雑則
(細 則)
第26条 本規程の運用に必要な細則は別に定める。
(改 廃)
この規程の改廃は、常任理事会の承認を経なければならない。
(附 則)
本規程は、平成17年4月1日から適用する。
