個人情報保護規程
(目的)
第1条 本規程は、個人の尊厳を最大限に尊重するという基本理念のもと、社会福祉法人まくはり福志会(以下「本法人」という。)が保有する個人情報の適正な取り扱いに関して必要な事項を定めることにより「個人情報の保護に関する法律」及びその他の関連法令等を遵守することを目的とする。
(定義)
第2条 この規程において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
- 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他、人の知覚によっては認識することができない方式)で作られる記録をいう。) に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2)個人識別符号が含まれるもの
2 この規程において「個人識別符号」とは、次の各号のいずれかに該当する文字、番
号、記号その他の符号をいう。
(1)特定の個人の身体の一部の特徴(DNA、容貌、声帯、指紋等)を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
(2)対象者ごとに異なるものとなるように、個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードそ の他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの(旅券番号、基礎年金番号、免許証番号、住民票コード、個人番号、被保険者証の記号番号等)
3 この規程において「要配慮個人情報」とは、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する個人情報であって、次の各号のいずれかの記述等が含まれるものをいう。
(1)本人の人種、信条又は社会的身分
(2)病歴
(3)身体障害、知的障害、精神障害(発達障害を含む。)その他の心身の機能の障害があること。
(4)本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のために健康診断その他の
検査(次号において「健康診断等」という。)の結果
(5)健康診断等の結果に基づき、又は疾病,負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
(6)犯罪の経歴又は犯罪により害を被った事実
(7)本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
(8)本人を、罪を犯した少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。
4 この規程において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものを除く。)をいう。
(1)特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
- 前号に掲げるもののほか、個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合 物であって、目次、索引その他検索を容易にするためのものを有するもの
5 この規程において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除く。
6 この規程において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
7 この規程において「保有個人データ」とは、本法人が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして次に掲げるもの又は6月以内に消去することとなるもの以外のものをいう。
(1)当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれのあるもの
(2)当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
(3)当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
(4)当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
8 この規程において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
(利用目的の特定)
第3条 本法人が個人情報を取り扱うに当たっては、その利用目的をできる限り特定する。
2 本法人が取得した個人情報の利用目的を変更する場合には、変更前の利用目的と変更後の利用目的とが相当の関連性を有する合理的な範囲内になければならない。ただし、当該個人情報がプライバシー情報(私生活上の事実に関して一般的に公開を望まない内容の情報をいう。以下同じ。)を含む場合、利用目的を変更するには原則として本人の同意を必要とするものとする。
3 前項に従って個人情報の利用目的を変更した場合には、変更した利用目的について、本人に通知又は公表しなければならない。
(利用目的外の利用の制限)
第4条 本法人は、あらかじめ本人の同意を得ることなく、前条に定める利用目的を超えて個人情報を取り扱ってはならないものとする。
2 前条又は前項の規定にかかわらず、次の各号のいずれかに該当する場合には、あらかじめ本人の同意を得ることなく、前条によって特定された利用目的の範囲を超える必要かつ合理的な範囲において、個人情報を取り扱うことができるものとする。
(1)法令に基づくとき
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(取得の制限)
第5条 本法人は、個人情報を取得するときは、個人情報を取り扱う事業の目的を明確にし、当該事業の目的を達成するために必要な範囲内で、適法かつ公正な手段により取得しなければならない。
2 本法人は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5)当該要配慮者個人情報が、本人、国の機関、地方公共団体、外国政府、外国の政
府機関、外国の地方公共団体又は国際機関、国内若しくは外国の放送機関、新聞社、通信社その他の報道機関、著述を業として行う者、大学その他の学術研究を目的とする機関・団体又はそれらに属する者、宗教団体、政治団体により公開されている場合
(6)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
(7)第10条第2項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。
(取得に関する規律)
第6条 本法人が個人情報を取得するときには、その利用目的を具体的に特定して明示し、適法かつ適正な方法で行うものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合には、利用目的を具体的に特定して明示することなく、個人情報を取得できるものとする。
2 本法人が個人情報を取得したときには、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知又は公表するものとする。ただし、次の各号のいずれかに該当する場合には、本人に通知または公表しなくてもよいものとする。
(1)利用目的を本人に通知又は公表することによって、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき
(2)利用目的を本人に通知又は公表することによって、本法人の権利又は正当な利益を害するおそれがあるとき
(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知又は公表することによって、当該事務の遂行に支障を及ぼすおそれがあるとき
(4)取得の状況からみて利用目的が明らかであると認められるとき
(個人データの適正管理)
第7条 本法人は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要な措置として、次に掲げる適切な措置を講じる。
(1)個人情報保護に関する規程の整備及び公表
(2)個人情報保護推進のための組織体制等の整備
(3)個人データの漏えい等の問題が発生した場合等における報告連絡体制の整備
(4)雇用契約締結時における個人情報保護に関する規程の整備
(5)従業者等に対する教育研修の実施
(6)物理的安全管理措置
(7)技術的安全管理措置
(8)個人データの適切な保存
(9)不要となった個人データの廃棄及び消去
(従業者等の監督)
第8条 本法人は、従業者等に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者等に対する必要かつ適切な監督を行う。
(委託先の監督)
第9条 本法人は、個人データの取扱いの全部又は一部を委託する場合は、個人データを適切に取り扱っている事業者を委託先に選定するとともに、取扱いを委託した個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行う。
(委託に伴う措置)
第10条 本法人は、個人データの取扱いの全部又は一部を委託する場合は、委託先とのの契約書に明記することにより、個人データの保護に関して委託先に次に掲げる義務を課さなければならない。
(1)第7条に定めるのと同等の安全管理措置を講じること
(2)従業者等の監督
(3)委託した事業の再委託の禁止
(4)委託した事業を遂行する目的以外の個人データの使用禁止
(5)個人データの複写及び複製の制限
(6)個人データの取扱い状況の定期的な報告及び説明
(7)個人データの取扱い状況を委託者が確認することに応じること
(8)個人データの取扱いが適切でない場合に委託者による改善の申入れに応じること
(9)守秘義務(従業者等がその職を退いた後を含む。)
(10)個人データの第三者提供の制限
(11)個人データの返還及び廃棄若しくは消去
(12)事故発生時における報告及び適切な措置
(個人データの第三者提供の制限)
第11条 本法人は、次の各号のいずれかに該当する場合を除き、あらかじめ本人の同意を得ることなく、個人データを第三者に提供しないものとする。
(1)法令に基づくとき
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
2 次に掲げる場合において、当該個人データの提供を受ける者は、前項の第三者に該当しないものとする。
(1)本法人が利用目的の達成に必要な範囲内において個人データの取り扱いの全部又は一部を委託する場合。
(2)合併その他の事由による事業の承継に伴って個人データが提供される場合。
(3)個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いている場合。なお、利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合には、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くものとする。
(保有個人データに関する事項の公表等)
第12 条 本法人は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くものとする。
(1)本法人の名称
(2)すべての保有個人データの利用目的(第6条第4項第1号ないし第3号に該当する場合を除く。)
(3)第15条及び第16条の規定による求めに応じる手続
(4)本法人が行う保有個人データの取り扱いに関する苦情の申出先
(第三者提供に係る記録の作成等)
第13条 本法人は、個人データを第三者(第2条第5項ただし書に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、次に掲げる事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第11条第1項各号又は第2項各号のいずれかに該当する場合は、この限りでない。
(1)第11条第1項の本人の同意を得ている旨
(2)当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
- 当該個人データによって識別される本人の氏名その他の当該本人を特定する足りる事項
(4)当該個人データの項目
2 前項の記録は、個人データを第三者に提供した都度、速やかに作成しなければならない。
3 第1項の記録は、その作成日から3年間保存しなければならない。
(第三者提供を受ける際の確認及び記録)
第14条 本法人は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第11条第1項各号又は第2項各号のいずれかに該当する場合は、この限りでない。
(1)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理の氏名
(2)当該第三者による当該個人データの取得の経緯
2 前項第1号に掲げる事項の確認は、個人データを提供する第三者から申告を受ける方法その他の適切な方法により行い、前項第2号に掲げる事項の確認は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法により行う。
3 本法人は、第1項の規定による確認を行ったときは、次に掲げる事項に関する記録を作成しなければならない。
(1)本人の同意を得ている旨(個人情報取扱事業者以外の第三者から個人データの提供を受けた場合を除く。)
(2)第1項各号に掲げる事項
(3)当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
(4)当該個人データの項目
4 前項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。
5 第3項の記録は、その作成日から3年間保存しなければならない。
(保有個人データに関する事項の公表等)
第15条 本法人は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
(1)本法人の名称
(2)全ての保有個人データの利用目的(第6条第4項第1号から第3号までに該当する場合を除く。)
(3)次項の規定による求め又は次条第1項、第17条の規定による請求に応じる手続
(4)本法人が行う保有個人データの取扱いに関する苦情の申出先
2 本法人は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
(1)前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場 合
(2)第6条第4項第1号から第3号までに該当する場合
3 本法人は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない
(保有個人データの開示)
第16 条 本法人は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、身分証明書等によって本人であることを確認した上で、本人に対して保有個人データを開示するものとする。ただし、開示することによって次の各号のいずれかに該当する場合には、その全部又は一部を開示しないものとする。
(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)本法人の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
2 前項に定める開示の方法は、書面の交付による方法とする。ただし、あらかじめ、本人との間で口頭での回答による開示を合意によって定めている場合には、その方法によるものとする。
(保有個人データの訂正、追加、削除、利用停止等)
第17条 本法人は、本人から、書面又は口頭によって、開示に係る個人データの訂正、追加、削除又は利用停止を求められたときは、利用目的の達成に必要な範囲内において、速やかに必要な調査を行い、理由があることが判明した場合には、その結果に基づいて当該保有個人データの訂正、追加、削除又は利用停止等の措置を採るものとする。
2 本法人は、前項に基づいた措置を採ったとき、又は措置を採らない旨の決定をしたときは、本人に対して遅滞なくその旨(訂正又は追加した場合には、その内容を含む。)に理由を付して通知するものとする。
(開示申出に対する決定)
第18条 本法人は、開示申出があった日から原則として10日以内に、開示申出者に対して、開示申出に係る個人情報の全部若しくは一部を開示する旨の決定又は開示しない旨の決定(第8条の規定により開示申出を拒否するとき及び開示申出に係る個人情報が記録された個人情報データベース等を保有していないときの当該決定を含む。)をするものとする。
2 本法人は、前項の決定(以下「開示決定等」という。)をしたときは、開示申出者に対し、遅滞なく書面によりその旨通知するものとする。
3 本法人は、やむを得ない理由により、第1項に規定する期間内に開示決定等をすることができないと認められる場合には、30日以内に決定するものとする。
4 本法人は、第1項の規定により開示請求に係る個人情報の全部又は一部を開示しないときは、開示申出者に対し、第2項に規定する書面によりその理由を示すものとする。
5 本法人は、開示決定等をする場合において、当該決定に係る個人情報に法人以外のものとの間における協議、協力等により作成し、又は、取得した個人情報があるときは、あらかじめ、これらのものの意見を聴くことができる。
(開示の方法)
第19条 個人情報の開示は、個人情報が記録された個人情報データベース等の当該個人情報に係る部分につき、文書、図画又は写真にあっては閲覧若しくは視聴又は写しの交付により、フィルムにあっては視聴又は写しの交付により、磁気テープ、磁気ディスク等にあっては視聴、閲覧、写しの交付等で適切な方法により行う。
2 前項の視聴又は閲覧の方法による個人情報の開示にあっては、本法人は、当該個人情報が記録された個人情報データベース等の保存に支障が生ずるおそれがあると認めるときその他合理的な理由があるときは、当該個人情報が記録された請求対象文書の写しにより開示することができる。
(異議の申出)
第20条 開示申出者又は訂正等の申出者は、第16条第よる開示決定等又は第17条による訂正決定等について不服があるときは、法人理事長に対して書面により異議の申出(以下「異議申出」という。)ができる。
2 前項の異議申出は、開示決定等又は訂正決定等があったことを知った日の翌日から起算して60日以内に行わなければならない。
3 第1項の異議申出があった場合は、法人は、当該異議申出のあった日から原則として14日以内に対象となった開示決定等又は訂正決定等について再度の検討を行なった上で、当該異議申出についての回答を書面により行うものとする。
4 本法人は、やむを得ない理由により、前項に規定する期間内に異議申出に対する回答を行うことができないと認められる場合には、30日以内に決定するよう努めるものとする。
5 第3項及び前項に定める異議申出に対する対応は、別に定める苦情解決に関する規程(苦情対応規程)により行うものとする。
(個人情報保護管理者及び苦情対応)
第21条 本法人は、個人情報の適正な管理を図るため、個人情報保護管理者及び雇用管理個人情報管理責任者を定め、本法人における個人情報の管理に必要な措置を行うものとする。
2 前項に定める個人情報保護管理者は、園長とする。
3 第1項に定める雇用管理個人情報管理責任者は、理事長とする。
(個人情報事故への対応)
第22条 本法人の管理に係る個人データにつき個人情報事故が発生し、又は発生したと思料される場合には、これを知った役職員等(ボランティア等の従事者を含む。以下同じ。)は、直ちに個人情報保護管理者に通知する。
2 個人情報保護管理者は、個人情報事故の内容及び態様、被害の内容、態様及び範囲等の事情を考慮して、自ら又は個人情報保護事務担当者に指示し、必要な調査を実施する。この場合において、個人情報保護管理者は、外部の専門家を選任し、必要な調査を行わせることができる。
3 個人情報保護管理者は、前項の調査結果をふまえ、個人情報事故の内容及び態様、被害の内容、態様及び範囲等の事情を考慮し、直ちに、自ら必要な措置を講じ、又は必要な措置を講じることを理事長に助言する。個人情報保護管理者が自ら必要な措置を講じた場合には、直ちに理事長にその旨を報告する。
4 個人情報保護管理者又は理事長が前項の規定に基づき必要な措置を講じた場合には、理事長は、直近に開催される理事会においてその措置の経緯及び内容を報告
する。
5 個人情報保護管理者又は理事長が第3項の規定に基づき必要な措置を講じた場合には、理事長は、直ちに東京都(又は区)にその措置の経緯及び内容を報告する。
(役職員等の責務)
第23条 本法人の役職員等又は役職員等であった者は、業務上知り得た個人情報の内容を第三者に漏洩し、又は不当な目的のために利用してはならない。
2 本規程は、個人情報保護を目的とした規程であって、本法人の役職員等(ボランティア等の従事者を含む。以下同じ。)又は役職員等であった者は、プライバシー情報の保護に関しても別途厳格に法令を遵守するよう努めるものとする。
附則 この規程は、令和7年4月1日から施行する。
