個人情報保護及び特定個人情報等取扱規程
個人情報保護及び特定個人情報等取扱規程
茨城県火災共済協同組合
第1章 総 則
( 目 的 )
第1条 この規程は、茨城県火災共済協同組合(以下、「組合」という。)における個人情報及び特定個人情報の取扱いについて定めるものである。
( 用語の定義 )
第2条 この規程における主な用語の定義については、次に掲げるものとする。
| 用 語 | 定 義 |
| 個人情報 | 生存する個人に関する情報であって、次の事項に該当するものをいう。
(1)当該情報に含まれる氏名、性別、生年月日等のほか、個人の身体、財産、職種、肩書き等の属性に関し、事実、判断、評価等を表す情報、公刊物等の公にされている情報、映像、音声又は動作による情報など、特定の個人を識別することができるすべての情報(個人別に付された記号、番号、その他の符号等のほか、暗号化、ランダム化、マスク処理等することにより当該情報のみでは特定の個人を識別することはできないものであっても、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。 (2)個人識別符号が含まれるもの |
| 個人識別符号 | 次の事項に該当するものをいう。
(1)特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるものをいう。 (2)個人に提供される役務の利用又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方法により記録された文字、番号、記号、その他の符号であって、その利用者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者又は発行を受ける者を識別することができるもの。 |
| 個人番号 | 「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」に定める個人番号をいう。 |
| 特定個人情報 | 「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」に定める特定個人情報をいう。 |
| 要配慮個人情報 | 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他不利益が生じないようにその取扱いに特に配慮を要する記述等が含まれる個人情報をいう。 |
| 個人情報データベース等 | 電子計算機を用いることによって、特定の個人情報を検索することができるように体系的に構成した個人情報を含む情報の集合物をいうほか、電子計算機を用いていない場合であっても、一定の規則に従って整理、分類し、目次、索引、符号等を付すことによって、特定の個人情報を容易に検索することができるように体系的に構成した個人情報を含む情報の集合物をいう。 |
| 個人データ | 個人情報データベース等を構成する個人情報をいう。 |
| 保有個人データ | 組合が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データをいう。ただし、その存否が明らかになることにより公益その他の利益が害されるものとして以下の事項に該当するもの、又は6ヶ月以内に消去することとなるものを除く。
(1)本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの (2)違法又は不当な行為を助長し、又は誘発するおそれがあるもの (3)国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ、又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの (4)犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの |
| 本人 | 個人情報または個人番号によって識別される特定の個人をいう。 |
| 書類 | 個人情報及び特定個人情報が記載された書類をいう。 |
| プライバシーポリシー | 組合員・契約者から信頼を得られるよう、組合の代表者が、個人情報保護に務めることを外部に宣言する文書をいう。 |
| 従業者 | 役員、職員、嘱託職員、契約職員、パートタイマー及びアルバイト、派遣社員等、組合の業務に従事するすべての者をいう。 |
( 適用関係 )
第3条 この規程は、個人情報及び特定個人情報を取り扱う全ての従業者に適用する。
第2章 組織体制等
( 個人情報保護管理責任者 )
第4条 組合は、個人情報及び特定個人情報等の管理に関する責任を有する者として、個人情報保護管理責任者を置く。
2 個人情報保護管理責任者は、専務理事または常勤理事とする。
3 個人情報保護管理責任者は、次条で定める個人情報保護教育責任者に個人情報及び特定個人情報等の適正な取り扱いに関する教育を実施させ、従業者に対し周知させる。
4 個人情報保護管理責任者は、事故が発生した場合、第6条に規定する個人情報苦情対応責任者に対応を指示し、速やかに理事長へ報告しなければならない。
( 個人情報保護教育責任者 )
第5条 組合は、個人情報保護教育に関する責任と権限を有する者として、個人情報保護教育責任者を置く。
2 個人情報保護教育責任者は、総務課長とする。
3 個人情報保護教育責任者は、従業者に対し個人情報及び特定個人情報等を適正に取扱えるよう、適切な教育を行わなければならない。
( 個人情報苦情対応責任者 )
第6条 組合は、個人情報の取扱いに関する苦情の適切かつ迅速な処理、及び苦情全般の管理に関する責任と権限を有する者として、個人情報苦情対応責任者を置く。
2 個人情報苦情対応責任者は、業務課長及び総務課長とする。
3 個人情報苦情対応責任者は、個人情報及び特定個人情報等の流出、漏えい等の事故が発生した場合、速やかに個人情報保護管理責任者へ報告するとともに、苦情全般の処理及び管理をしなければならない。
( 個人情報保護監査責任者 )
第7条 組合は、公平かつ客観的な立場から監査の実施及び報告を行う責任と権限を有する者として、個人情報保護監査責任者を置く。
2 個人情報保護監査責任者は、事務局長とする。
3 個人情報保護監査責任者は、定期的に個人情報及び特定個人情報等の管理状況を監査するとともに、必要に応じ個人情報保護教育責任者に適切な措置を講ずるよう指示し、個人情報保護管理責任者へ報告しなければならない。
( 従業者の責務 )
第8条 従業者は本規程を遵守するとともに、事故及びコンプライアンス違反を見つけた場合には、個人情報保護管理責任者及び個人情報苦情対応責任者へ速やかに報告しなければならない。
第3章 プライバシーポリシーの策定及び公表
( 外部への公表 )
第9条 プライバシーポリシーは、「個人情報の保護に関する法律」(平成15年法律第57号)、同施行令(平成15年政令第507号)、同施行規則(平成28年10月5日個人情報保護委員会規則第3号)、各省庁通達の個人情報の保護に関するガイドライン、業界指針等の趣旨を十分に踏まえた上で作成し、外部へ公表しなければならない。
第4章 個人情報及び特定個人情報の取得等
( 利用目的の特定 )
第10条 組合が個人情報及び特定個人情報等を取り扱うに当たっては、本人がその取扱いについての諾否を判断できる程度にその利用の目的(以下、「利用目的」という。)を特定しなければならない。
2 組合が利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
( 利用目的の制限 )
第11条 あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報及び特定個人情報等を取扱ってはならない。
2 組合が合併その他の事由により他の事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取扱ってはならない。
3 前二項の規定は、次の各号に掲げる場合については適用しない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 公衆衛生の向上又は児童の健全育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれのあるとき
( 適正な取得 )
第12条 偽りその他不正の手段により個人情報及び特定個人情報等を取得してはならない。
2 組合は、次の各号に掲げる場合を除いて、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 公衆衛生の向上又は児童の健全育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれのあるとき
(5) 当該要配慮個人情報が、本人、国の機関、地方公共団体、「個人情報の保護に関する法律」(平成15年法律第57号)第76条第1項の各号に掲げる者、または法に基づき設置された個人情報保護委員会の規則で定める者により公開されている場合
(6) その他前各号に掲げる場合に準ずるものとして個人情報の保護に関する法令等により定められている場合
( 取得に際しての利用目的の通知等 )
第13条 組合が直接的又は間接的に個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知し、又は公表しなければならない。
( 書面やインターネット等の情報ネットワーク上から直接取得する場合の措置 )
第14条 書面やインターネット等の情報ネットワーク上から直接当該本人の個人情報及び特定個人情報を取得する場合は、あらかじめ本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
( 利用目的の変更時の措置 )
第15条 組合が利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
( 取得時及び利用目的の変更時における適用除外 )
第16条 前三条の規定は、次の各号に掲げる場合については適用しない。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することにより当該事業者の権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令で定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(4) 取得の状況からみて利用目的が明らかであると認められる場合
( 個人情報の取得、提供の求め )
第17条 組合は、19条に定める事務の範囲内に限り、本人又は他の個人番号関係事務従業者に対して個人番号の提供を求めることができる。
( 本人確認措置 )
第18条 組合は、前条に基づいて本人から個人番号の提供を受けるときは、本人確認を行うものとする。ただし、本人であることが明らかな場合には、本人確認を行わない。
2 従業者は、個人番号の提供が「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」の定めにより、個人番号関係事務に必要なものである限り、組合が行う本人確認の措置に協力しなければならない。
3 前項にかかわらず、従業者が個人番号の提供に協力しなかったことによる不利益は、当該従業者が負うものとする。
( 個人番号を取扱う事務の範囲 )
第19条 組合が、個人番号関係事務を行う事務の範囲は以下の各号に定めるところとする。
(1) 給与所得の源泉徴収票の作成事務
(2) 給与所得者の扶養控除等(異動)申告書の作成事務
(3) 退職所得の源泉徴収票の作成事務
(4) 退職所得の受給に関する申告書の作成事務
(5) 雇用保険被保険者資格取得・喪失届の作成事務
(6) 健康保険、厚生年金保険被保険者資格取得、喪失届の作成事務
(7) 健康保険被扶養者届の作成事務
(8) 国民年金第3号被保険者資格取得届の作成事務
(9) 報酬・料金・契約金及び賞金の支払調書の作成事務
(10)生命保険金・共済金受取人別支払調書の作成事務
(11)生命保険契約等の一時金の支払調書の作成事務
(12)損害(死亡)保険金・共済金受取人別支払調書の作成事務
(13)損害保険契約等の満期返戻金等の支払調書の作成事務
(14)保険等代理報酬の支払調書の作成事務
(15)配当、剰余金の分配及び基金利息の支払調書の作成事務
(16)その他法令に定められた個人番号関係事務
第5章 管 理
( データ内容の正確性の確保等 )
第20条 利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
( 安全管理措置 )
第21条 組合は、取扱う個人データの漏えい、滅失又はき損の防止その他個人データの安全管理のために、全日本火災共済協同組合連合会及びその委託先と協力して、必要かつ適切な措置を講じなければならない。
( 要配慮個人情報の取扱い )
第22条 組合は、取得した要配慮個人情報については、特に慎重に扱わなければならない。
( 従業者の監督 )
第23条 従業者に個人データを取扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
( 委託先の監督 )
第24条 個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託した者に対し、必要かつ適切な監督を行わなければならない。
第6章 個人データの第三者提供
( 第三者提供の制限 )
第25条 次の各号に掲げる場合を除くほか、あらかじめ本人の同意を得ないで個人データを第三者に提供してはならない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 公衆衛生の向上又は児童の健全育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
( 第三者に提供できる場合 )
第26条 組合は、前条の規定にかかわらず、次の各号に掲げる事項について、あらかじめ本人に通知し、又は本人が容易に知り得る状態(当該個人データによって特定される第三者が提供の停止を求めるために必要な期間をおき、次の各号に規定される事項を確実に認識することができる適切かつ合理的な状態をいう。)に置いているときで、第三者に提供される個人データ(要配慮個人情報を除く。以下、本条において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、法に基づき設置された個人情報保護委員会に届け出たときは、当該個人データを第三者に提供することができる。
(1) 第三者への提供を利用目的とすること
(2) 第三者に提供される個人データの項目
(3) 第三者への提供の手段又は方法
(4) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
(5) 本人の求めを受け付ける方法
2 組合は、前項第2号、第3号又は第5号に掲げる事項を変更する場合は、その変更する内容について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
( 第三者に該当しない場合 )
第27条 次の各号のいずれかに該当する場合において、当該個人データの提供を受ける者は、前二条の規定の適用については、第三者に該当しないものとする。
(1) 利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
(2) 合併その他の事由による事業の承継に伴って個人データが提供される場合
(3) 個人データを特定の者との間で共同して利用する場合であって、次の事項について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているとき
① 共同利用する旨
② 共同して利用される個人データの項目
③ 共同して利用する者の範囲
④ 利用する者の利用目的
⑤ 当該個人データの管理について責任を有する者の氏名又は名称
2 前項第3号④又は⑤に掲げる事項を変更する場合は、変更する内容について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(外国にある第三者への提供の制限)
第28条 組合は、外国(日本の域外にある国又は地域をいい、個人の権利利益を保護する上で、日本と同等の水準にあると認められる個人情報保護に関する制度を有しているものとして、個人情報保護委員会が定めるものを除く。以下、同じ。)にある第三者(個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に構ずるために必要なものとして「個人情報の保護に関する法律」施行規則第11条で定める基準に適合する体制を整備しているものを除く。以下、この条において同じ。)に個人データを提供する場合には、第25条各号に掲げる場合を除き、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合、前2条の規定は適用しない。
(第三者提供に係る記録の作成等)
第29条 組合は、個人データを第三者(国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除く。以下、この条及び次条において同じ。)に提供したときは、提供の都度、速やかに文書、電磁的記録又はマイクロフィルムを用いて、次の各号に定める事項について記録を作成しなければならない。
(1) 第26条の規定に基づき個人データを第三者に提供した場合
① 当該個人データを提供した年月日
② 当該第三者の氏名又は名称その他第三者を特定するに足りる事項
③ 当該個人データにより識別される本人の氏名その他当該本人を特定するに足りる事項
④ 当該個人データの項目
(2) 第25条又は第28条の規定に基づき、個人データを第三者に提供した場合
① 第25条又は第28条規定の同意を当該本人から得た旨
② 前号②から④の事項
2 組合は、前項柱書の規定にかかわらず、次の各号に該当するときは、当該記録について、次の各号のとおり取扱うことができる。
(1) 第三者に対し個人データを継続的若しくは反復して提供するとき、又は継続的若しくは反復して提供することが確実であると見込まれるときは、それらを一括して作成することができる。
(2) 第25条及び第28条の規定に基づき、本人に対する物品又は役務の提供に関して当該本人に係る個人データを第三者に提供するとき、当該提供に関して作成された契約書等その他書面に前項第1項各号に定める事項が記載されている場合には、当該書面をもって、記録に代えることができる。
3 組合は、前項の記録を作成したときは、次の各号の期間これを保存しなければならない。
(1) 前項第1号に規定する方法によって記録を作成したときは、最後に個人データを提供した日から起算して3年を経過する日まで
(2) 前項第2号に規定する方法によって記録を作成したときは、最後に個人データを提供した日から起算して1年を経過する日まで
(3) 前2号に該当しないときは3年
4 前3項の規定は、当該個人データの提供先が第25条各号又は第27条第1項各号のいずれかに該当するときは、適用しない。
(第三者提供を受ける際の確認等)
第30条 組合は、第三者から個人データの提供を受けるに際しては、個人データを提供する第三者から申告を受ける方法その他適切な方法により、次の各号に掲げる事項の確認を行わなければならない。
(1) 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めがあるものにあっては、その代表者又は管理人)の氏名
(2) 当該個人データの取得の経緯
2 組合は、前項における確認を行ったときは、提供を受けた都度、速やかに文書、電磁的記録又はマイクロフィルムを用いて、次の各号に定める事項について記録を作成しなければならない。
(1) 個人情報取扱業者から第26条の規定に基づき、個人データの提供を受けた場合
① 個人データの提供を受けた年月日
② 前項各号に掲げる事項
③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
④ 当該個人データの項目
⑤ 当該個人情報取扱業者が個人情報保護委員会にて公表されている旨
(2) 個人情報取扱業者から第25条又は第28条の規定に基づき、個人データの提供を受けた場合
① 第25条又は第28条規定の同意を当該本人から得た旨
② 前号②から④の事項
(3) 個人情報取扱業者に該当しない第三者から個人データの提供を受けた場合
(4) 第1号②から④の事項
3 組合は、前項の規定にかかわらず、次の各号に該当するときは、当該記録について、次
の各号のとおり取扱うことができる。
(1) 第三者から個人データを継続的若しくは反復して提供を受けるとき、又は継続的若しくは反復して提供を受けることが確実であると見込まれるときは、それらを一括して作成することができる。
(2) 本人に対する物品又は役務の提供に関して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書等その他書面に前項各号に定める事項が記載されている場合には、当該書面をもって、記録に代えることができる。
4 組合は、前項の記録を作成したときは、次の各号の期間これを保存しなければならない。
(1) 前項第1号に規定する方法によって記録を作成したときは、最後に個人データの提供を受けた日から起算して3年を経過する日まで
(2) 前項第2号に規定する方法によって記録を作成したときは、最後に個人データの提供を受けた日から起算して1年を経過する日まで
(3) 前2号に該当しないときは3年
5 前4項の規定は、当該個人データの提供先が第25条各号又は第27条第1項各号のいずれかに該当するときは、適用しない。
第7章 保有個人データに関する公表、開示等及びその求めに関する手続き
( 保有個人データに関する事項の公表 )
第31条 保有個人データに関し、次の各号に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
(1) 組合の名称
(2) すべての保有個人データの利用目的。ただし、第16条第1号から第3号までに該当する場合を除く
(3) 本人又は第38条第3項に掲げる代理人から、次の各事項を求められた(以下「開示等の求め」という。)場合に応じる手続
① 当該本人が識別される保有個人データの利用目的の通知
② 当該本人が識別される保有個人データの開示
③ 当該本人が識別される保有データの内容が事実でないという理由による当該保有個人データの内容の訂正、追加又は削除(以下「訂正等」という。)
④ 当該本人が識別される保有個人データが第11条の規定に違反して取扱われているといいう理由、又は第12条の規定に違反して取得されたものであるという理由による当該保有個人データの利用の停止又は消去(以下「利用停止」という。)
⑤ 当該本人が識別される保有個人データが第25条及び第28条の規定に違反して第三者に提供されているという理由による当該保有個人データの第三者への提供の停止
(4) 前号①及び②の手続にかかる手数料を定めた場合はその手数料の額
(5) 組合が行う保有個人データの取扱いに関する苦情の申し出先
( 利用目的の通知 )
第32条 本人から前条第3号①を求められたときは、本人に対し、遅滞なく利用目的を通知しなければならない。ただし、次の各号のいずれかに該当する場合はこの限りでない。
(1) 前条第2号の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
(2) 第16条第1号から第3号までのいずれかに該当する場合
( 開示 )
第33条 本人から第31条第3号②を求められたときは、本人に対し書面の交付による方法(開示の求めを行った者が同意した方法があるときは、当該方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 組合の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3) 他の法令に違反することとなる場合
2 他の法令の規定により、本人に対し第1項本文に規定する方法に相当する方法により、当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は適用しない。
( 訂正等 )
第34条 本人から第31条第3号③を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有データの内容の訂正等を行い、かつ、本人に対し、遅滞なくその旨(訂正等の内容を含む)を通知しなければならない。
( 利用停止等 )
第35条 本人から第31条第3項④を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合、その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2 本人から第31条第3号⑤を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合、その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3 第1項の規定に基づき求められた保有個人データの全部若しくは一部について、利用停止等を行ったとき、又は前項の規定に基づき求められた保有個人データの全部又は一部について第三者への提供を停止したときは、本人に対し、遅滞なくその旨を通知しなければならない。
( 開示しない旨の決定等をしたときの措置 )
第36条 次の各号によるときは、本人に対し、遅滞なくその旨を通知しなければならない。ただし、第2号については、第33条第1項による方法によらなければならない。
(1) 第32条各号の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたとき
(2) 第33条の規定に基づき求められた保有個人データが、同条第1項第1号から第3号のいずれかに該当する場合で、その全部若しくは一部について開示しない旨の決定をしたとき、保有個人データが存在しないとき、又は同条第2項の他の法令の規定によるとき
(3) 第34条の規定に基づき求められた保有個人データの訂正等を行わない旨の決定をしたとき、又は他の法令の規定により特別の手続きが定められているとき
(4) 前条第1項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行わない旨の決定をしたとき、又は同項ただし書きによる代替措置をとったとき
(5) 前条第2項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止しない旨の決定をしたとき、又は同項ただし書きによる代替措置をとったとき
( 理由の説明 )
第37条 前条の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。
( 開示等の求めに応じる手続 )
第38条 組合は、第31条第3号に関し、開示等の求めを受け付ける方法として、次の各事項について定めるものとする。ただし、手数料を定める場合にあっては、実費を勘案して合理的であると認められる範囲内において定めるものとし、その他の手続きにおいても、本人に過重な負担を課すこととならないよう配慮しなければならない。
(1) 開示等の求めの申し出先
(2) 開示等の求めに際して提出すべき書面(電子的方式、磁気的方式その他の知覚によっては認識することができない方式で作られる記録を含む。)の様式その他の開示等についての求めの方式
(3) 開示等の求めをする者が本人又は本条第3項に規定する代理人であることの確認の方法
(4) 第31条第4項の手数料の徴収方法
2 本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
3 次の各号に掲げる代理人による開示の求めには応じなければならない。
(1) 未成年者又は成年被後見人の法定代理人
(2) 開示等の求めをすることにつき本人が委任した代理人
第8章 個人情報の取扱に関する苦情の処理
( 苦情の処理 )
第39条 個人情報苦情対応責任者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 個人情報苦情対応責任者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
第9章 安全管理
( 個人データの紛失等発生時の対応 )
第40条 個人データが紛失又は漏えいした場合には、速やかに個人情報保護管理責任者に報告するとともに、適切な措置を取らなければならない。
( 個人情報及び特定個人情報等の漏えい事案等に対する体制の整備 )
第41条 組合の業務に従事するすべての職員が個人情報及び特定個人情報等漏えいの発生、又は兆候を把握した場合若しくはその可能性が高いと判断した場合は、速やかに個人情報保護管理責任者に報告し、個人情報保護管理責任者は二次災害の防止、類似事案の発生防止等の観点から速やかに以下の手法等により対策を講じるものとする。
(1) 事実関係の調査及び原因の究明
(2) 影響を受ける可能性のある本人への連絡
(3) 法に基づき設置された個人情報保護委員会及び行政庁等への報告
(4) 再発防止策の検討及び決定
2 個人情報及び特定個人情報等の漏えい事案が発生した場合、個人情報保護管理責任者は前項に定める対策を理事長へ報告するものとする。
( 罰則 )
第42条 この規程に違反した場合には、就業規則で定める懲戒の種類及び懲戒の事由の規定を準用する。
附 則
1.この規程は、平成30年12月10日から施行する。