X(Twitter)

個人情報取扱いにかかる社内規程のひな型

個人情報取扱いにかかる社内規程のひな型です。
ひな型のご利用前には、「ご利用の際の注意事項」をご確認ください。

このひな型の作成日:2024年3月21日
このひな型の公開日:2024年4月30日

個人情報取扱いにかかる社内規程

第1条 目的

本規程は、●●株式会社(以下「当社」という。)が、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)および個人情報の保護に関する法律についてのガイドライン(以下「個情法ガイドライン」という。)に定める個人データ(当社が取得し、又は取得しようとしている個人情報であって、当社が個人データとして取り扱うことを予定しているものを含む。以下同じ。)の安全管理措置について、必要な措置を定めるものである。

第2条 定義

用語の定義は、個人情報保護法及び個情法ガイドラインに定めるところによる。

第3条 責任者の設置

  1. 個人データの取扱いに関する責任者(以下「責任者」という。)を置くこととし、●●部の長をもって充てる。
  2. 責任者は、個人データの管理に関する事務を総括するとともに、自ら本要領に定められた事項を遵守し、かつ従業員に遵守させるために、本要領に定める措置その他必要な措置を実施する責任を負う。

第4条 個人データを取り扱う従業員

  1. ●●(必要に応じて従業員の役割を明確化してください。別紙で図表を作成することなどが望ましいです。)により、取り扱う個人データの内容に応じて、従業員の範囲を明確化する。
  2. 次に掲げる組織体制を整備する。
    1. 従業員が、個人情報保護法、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「政令」という。)、個人情報保護委員会が定める規則(以下「規則」という。)、個情法ガイドライン及び本規程(以下総称して「法令等」という。)に違反している事実又は兆候を把握した場合の責任者への報告連絡体制
    2. 個人データの漏えい等の事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための報告連絡体制
    3. 個人データを複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化
  3. 前項(1)及び(2)における報告連絡体制及び対応手順について、●●(対応手順について必要に応じて別途定めてください。)により明確化する。

第5条 従業員の教育

従業員に、個人データの取扱いに関する留意事項について、定期的な研修等の企画、実施等の適切な教育を行うことにより、個人データの適正な取り扱いを周知徹底する。

第6条 個人データの取扱いに係る規程に従った運用

本規程に従った運用を確保し、個人データの取扱いの検証を可能とするために、次の項目を記録する。

  • 個人情報データベース等の利用・出力状況
  • 個人データが記載又は記録された書類・媒体等の持ち運び等の状況
    個人情報データベース等の削除・廃棄の状況(委託した場合の消去・廃棄を証明する記録を含む。)
  • 個人情報データベース等を情報システムで取り扱う場合、担当者の情報システムの利用状況(ログイン実績、アクセスログ等)

第7条 個人データの取扱状況の確認

本規程に従って個人データの取扱がなされていることを確認するために、次の項目をあらかじめ明確化し、個人データの取扱状況を確認する手段を整備するとともに、個人データの取扱状況を把握する。

  • 個人情報データベース等の種類、名称
  • 個人データの項目
  • 責任者・取扱部署
  • 利用目的
  • アクセス権を有する者 等

第8条 管理区域及び取扱区域

  1. 個人情報データベース等を取り扱うサーバやメインコンピュータ等の必要な情報システムを管理する区域(以下「管理区域」という。)及びその他の個人データを取り扱う事務を実施する区域(以下「取扱区域」という。)について、それぞれ適切な管理を行う。
  2. 管理区域について、入退室管理及び持ち込む機器等の制限を行う。
  3. 取扱区域について、権限を有しない者による個人データの閲覧等を防止する。

第9条 機器及び電子媒体等の取扱い

  1. 個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するため、施錠可能な場所への保管等の措置を講ずる。
  2. 個人データが記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人データが判明しないよう、安全な方策を講じる。

第10条 廃棄等

  1. 個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行う。
  2. 個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄した場合には、その記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認する。

第11条 委託先の監督

  1. 個人データの取扱いの全部または一部を委託する場合には、委託先を選定する際に、委託先が個人情報保護法に基づき当社が果たすべき安全管理措置と同等の措置が講じられることについて、あらかじめ確認する。
  2. 個人データの取扱いの全部又は一部を委託する場合には、委託先に安全管理措置を遵守させるための必要な契約を締結する。
  3. 個人データの取扱いの全部又は一部を委託した場合、委託先における個人データの取扱状況を把握する。

第12条 アクセス制御等

  1. 従業員及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行う。
  2. 個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。
  3. 個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。
  4. 情報システムの仕様に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用する。

第13条 評価及び見直し

  1. 責任者は、個人データの取扱状況を把握し、その取扱状況について、定期的に自ら行う点検又は他部署等による監査を実施する。
  2. 責任者は、前項の点検等の結果を踏まえ、安全管理措置の評価、見直し及び改善に取り組む。

第14条 外的環境の把握

外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握する。

第15条 各管理段階における措置

●●(各部署もしくは複数の部署ごとに、具体的な取扱方法・留意点を別途定めてください。)により個人データを取り扱う事務の流れを整理し、管理段階ごとに、取扱方法、責任者・担当者及びその任務等について、安全管理措置を織り込んだ事務マニュアルを定める。

附則

本規程は、令和●年●月●日から施行する。