運営情報開示

個人情報保護に関する規程

社会福祉法人 協和福祉会は、利用者である保護者と子どもを含む家庭、そして当法人に勤務する職員と職員の家庭の個人情報保護の重要性を認識して、今日まで取り組んできたが、保育士国家資格によるプライバシー守秘義務厳守と個人情報保護法制定に鑑み、あらためて当法人が使用していたマニュアルを編纂し、法人内の個人情報保護に関する規程としてその取り扱いを位置づけることにした。

第1章 総則

(適用範囲)
第1条 この規程は、個人情報の全部若しくは一部を電子計算機などの自動処理システムによって処理している、又は自動処理システムによる処理を行うことを目的として書面などによって処理している、当法人の全職員に適用する。
2.当法人は、次の事項を行う際に、このガイドラインを用いることができる。
(1) 個人情報保法の精神に則り、実施し、維持し、改善すること

(定義)
第2条 この規程で用いる用語の定義は、次による。
(1) 個人情報 個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、又は個人別に付けられた番号、記号その他の符号、画像若しくは音声によって当該個人を識別できるもの(当該情報だけでは識別できないが、他の情報と容易に照合することができ、それによって当該個人を識別できるものを含む。)をいう。
(2) 情報主体
一定の情報によって識別される、又は識別され得る個人をいう。
(3) 個人情報保護管理者
法人施設の内部において理事長によって指名された園長であって、個人情報保護法の遵守と実施及び運用に関する責任と権限を有する者をいう。
(4) 監査責任者
法人理事長から指名された者であって、個人情報保護管理者から独立した公平、かつ客観的な立場にあり、監査の実施及び報告を行う権限を有する者をいう。ただし、法人以外の第三者に監査業務を委託することを妨げない。
(5) 情報主体の同意
利用者である保護者と子どもを含む家庭、そして当法人に勤務する職員個人と職員の家庭の情報について、情報の収集、情報の利用又は情報提供に関することを伝えられた上で、自己に関する個人情報の収集、利用又は提供について承諾する意思表示をいう。ただし、子どもの場合は、保護者の同意も得たことをいう。
(7) 収集目的 個人情報の利用及び提供の範囲を定め、情報主体の同意の対象となるものをいう。
(9) 利用・当該の施設内で個人情報を処理することをいう。
(10) 提供 当該事業者以以外のものに自ら保有する個人情報を利用可能にすることをいう。
(11) 預託 事業者が当該事業者以外のものに情報処理を委託するなどのために自ら保有する個人情報を預けることをいう。

  (個人情報保護方針)
第3条 当法人は、次の事項を含む個人情報保護方針を定めるとともに、これを実行し維持しなければならない。また、理事長は、この方針を文書化し、理事役員及び勤務するすべての職員に周知させるとともに、この方針を保護者を含め一般の人から要望があれば説明可能な措置を講じなくてはならない。
(1) 情報サービス事業の内容及び規模を考慮した適切な個人情報の収集、利用及び提供に関すること
(2) 個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなどの予防並びに是正については、パスワード、暗証番号
(3) 個人情報に関する法令及びその他の規範を遵守すること

第2章 体制及び責任

(体制)
  第10条 個人情報の収集は、収集目的を明確に定め、その目的の達成に必要な限度において行わなければならない。

 (収集方法の制限)
第11条 個人情報の収集は、適法、かつ公正な手段によって行わなければならない。

 (特定の機微な個人情報の収集の禁止)
第12条 情報サービス事業者は、次に示す内容を含む個人情報の収集、利用又は提供を行ってはならない。ただし、これらの収集、利用又は提供について、明示的な情報主体の同意、法令に特別の規定がある場合、及び司法手続上必要不可欠である場合は、この限りでない。
(1) 思想、信条及び宗教に関する事項
(2) 人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項
(3) 勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項
(4) 集団示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事項
(5) 保健医療及び性生活に関する事項

 (情報主体から直接収集する場合の措置)
第13条 情報サービス事業者は、情報主体から直接に個人情報を収集する場合、情報主体に対して、少なくとも、次に示す事項又はそれと同等以上の内容の事項を書面若しくはこれに代わる方法によって通知し、情報主体の同意を得なければならない。
(1) 個人情報に関する問合せ部署名及び連絡先
(2) 収集目的
(3) 個人情報の提供を行うことが予定される場合には、その目的、当該情報の受領者及び個人情報の取扱いに関する契約の有無
(4) 個人情報の預託を行うことが予定される場合には、その旨
(5) 情報主体が個人情報を与えることの任意性及び当該情報を与えなかった場合に情報主体に生じる結果
(6) 個人情報の開示を求める権利、及び開示の結果、当該情報が誤っている場合に訂正又は削除を要求する権利の存在、並びに当該権利を行使するための具体的な方法

  (情報主体以外から間接的に収集する場合の措置)
第14条 情報サービス事業者は、情報主体以外から間接的に個人情報を収集する場合、情報主体に対して、少なくとも、前条(1)(4)、(6)に示す事項を書面又はこれに代わる方法によって通知し、情報主体の同意を得なければならない。ただし、次に示すいずれかに該当する場合は、この限りでない。
(1) 情報主体からの個人情報の収集時に、あらかじめ自己への情報の提供を予定している旨前条(3)に従い情報主体の同意を得ている提供者から収集を行う場合
(2) 情報処理を委託するなどのために個人情報を預託される場合
(3) 情報主体の保護に値する利益が侵害されるおそれのない収集を行う場合

  第2節 個人情報の利用及び提供に関する措置
 (利用及び提供の原則)
第15条 個人情報の利用及び提供は、情報主体が同意を与えた収集目的の範囲内で行わなければならない。ただし、次に示すいずれかに該当する場合は、情報主体の同意を必要としない。
(1) 法令の規定による場合
(2) 情報主体又は公衆の生命、健康、財産などの重大な利益を保護するために必要な場合

  (収集目的の範囲外の利用及び提供の場合の措置)
第16条 情報主体が同意を与えた収集目的の範囲外で個人情報の利用及び提供を行う場合は、少なくとも、第13条(1)(4)、(6)に示す事項を書面又はこれに代わる方法によって情報主体に通知し、事前の情報主体の同意の下に行わなければならない。

第3節 個人情報の適正管理義務

(個人情報の正確性の確保)
第17条 個人情報は、収集目的に応じ必要な範囲内において、正確、かつ最新の状態で管理しなければならない。

  (個人情報の利用の安全性の確保)
第18条 個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど個人情報に関するリスクに対して、合理的な安全対策を講じなければならない。

  (個人情報を預託する場合の措置)
第19条 情報処理を委託するなどのために個人情報を預託する場合は、十分な個人情報の保護水準を満たしている者を選定する基準を確立しなければならない。また契約によって、次に示す内容を規定し、その保護水準を担保しなければならない。
(1) 個人情報に関する秘密保持に関する事項
(2) 再委託に関する事項
(3) 事故時の責任分担に関する事項
(4) 契約終了時の個人情報の返却及び消去に関する事項
2.前項の契約などの書面又はこれに代わる記録は、個人情報の保有期間にわたって保存しなければならない。

第4節 個人情報に関する情報主体の権利

(個人情報に関する権利)
第20条 情報サービス事業者は、情報主体から自己の情報について開示を求められた場合、合理的な期間内に、これに応じなければならない。また、開示の結果、誤った情報があり、訂正又は削除を求められた場合は、合理的な期間内にこれに応じるとともに、訂正又は削除を行った場合は、可能な範囲内で当該個人情報の受領者に対して通知を行わなければならない。

  (個人情報の利用又は提供の拒否権)
第21条 情報サービス事業者は、その保有している個人情報について、情報主体から自己の情報についての利用又は第三者への提供を拒まれた場合、これに応じなければならない。ただし、次に示すいずれかに該当する場合は、この限りでない。
(1) 法令の規定による場合
(2) 情報主体又は公衆の生命、健康、財産などの重大な利益を保護するために必要な場合

第5節 苦情及び相談

(苦情及び相談)
第22条 情報サービス事業者は、個人情報及びコンプライアンス・プログラムに関して、情報主体からの苦情及び相談を受け付けて対応しなければならない。

第5節 苦情及び相談

(苦情及び相談)
第22条 情報サービス事業者は、個人情報及びコンプライアンス・プログラムに関して、情報主体からの苦情及び相談を受け付けて対応しなければならない。

第6節 教 育

(教育)
第23条 情報サービス事業者は、役員及び従業員に、適切な教育を行わなければならない。
2.情報サービス事業者は、関連する各部門及び階層においてその従業員に、次の事項を自覚させる手順を確立し維持しなければならない。
(1) コンプライアンス・プログラムに適合することの重要性及び利点
(2) コンプライアンス・プログラムに適合するための役割及び責任
(3) コンプライアンス・プログラムに違反した際に予想される結果

第7節 文書作成及び文書管理

  (コンプライアンス・プログラム文書の作成)
第24条 情報サービス事業者は、書面又はこれに代わる方法で、コンプライアンス・プログラムの基本となる要素を記述しなければならない。

  (文書の管理)
第25条 情報サービス事業者は、このガイドラインが要求するすべての文書を管理しなければならない。

第5章 監 査

  (監査)
第26条 情報サービス事業者は、コンプライアンス・プログラムがこのガイドラインの要求事項と合致していること及びその運用状況を定期的に監査しなければならない。
2.監査責任者は、監査を指揮し、監査報告書を作成し情報サービス事業者の代表者に報告しなければならない。
3.情報サービス事業者は、監査報告書を管理し、保管しなければならない。

第6章 コンプライアンス・プログラムの見直し

  (情報サービス事業者の代表者による見直し)
第27条 情報サービス事業者の代表者は、監査報告書及びその他の経営環境などに照らして、適切な個人情報の保護を維持するために、少なくとも年1回コンプライアンス・プログラムを見直さなければならない。

第7章 罰 則

  (罰則)
第28条 情報サービス事業者は、第8条により策定した内部規程に違反した従業員に対して就業規則に基づき懲戒を行わなければならない。

第8章 改 廃

  (改廃)

第29条 このガイドラインの改廃は、プライバシーマーク審査会において行い、理事会の承認を得るものとする。

これまでの苦情・問い合わせ