発行日 2016.1.5
第 10 版
2015 年 12 月 28 日
NO.
取扱者
日付
氏名
承認 2015/12/28
橋浦 隆一
作成 2015/12/28
PMS 管理室
今野印刷株式会社
宮城県仙台市若林区六丁の目西町2番10号 TEL (022)288-6123(代表) FAX (022)288-0138個人情報保護マニュアル
Protection of individual information manual
本マニュアルの目的
本マニュアルは、当社が定める個人情報保護マネジメントシステムの最高位の文書として基本方針、 全体概要、下位文書の引用を明確にし、個人情報を保護管理するための基本規定として作成したも のである。1. 適用範囲
このマニュアルは、当社が取り扱う全ての個人情報の保護について適用する。 なお、個人情報の記録媒体については、電子媒体、紙面のいずれも対象とし、以下の際に用いる。 a) 個人情報保護マネジメントシステムを確立し、実施し、維持し、及び改善する。 b) JIS Q 15001:2006 と当社の個人情報保護マネジメントシステムとの適合性について自ら確認 し、適合していることを自ら表明する。 c) 外部組織又は本人に、JIS Q 15001:2006 と当社の個人情報保護マネジメントシステムとの適 合性について確認を求める。 d) 外部機関による個人情報保護マネジメントシステムの認証/登録を求める。1.1 適用組織
当社に勤務する全ての役員(非常勤役員を含む)、正社員、顧問・嘱託、契約社員、パートタイマ ー、アルバイト、派遣社員(以下「従業者」という)に適用する。2. 定義
本マニュアルで用いる主な用語及び定義は以下に定める他は、JIS Q 15001 の「2 用語及び定義」 による。 ① PMS 個人情報保護マネジメントシステムの略称として用い、計画の策定、実施、維持、改善を含む。 ② 社長による見直し JIS Q 15001:2006「3.9 事業者の代表者による見直し」と同義。 ③ PMS管理室 当社のPMS管理の主管部門。 ④ ユーザー 会社よりネットワーク機器(PC、サーバー等)の割当てを受け、使用している全ての従業者の 総称。 ⑤ 従業者情報 当社の全ての従業者についての個人情報を指す。3 要求事項
3.1 一般要求事項
当社は、JIS Q 15001:2006 に準拠したPMSを、確立し、実施し、維持し、及び改善するため、 本マニュアルを策定した。3.2 個人情報保護方針
社長は、個人情報保護の理念を明確にした上で、個人情報保護方針を以下に定めるとともに、これ を実行し、維持する。 (1) 個人情報保護方針には以下の a)~f)の事項を含める。 a) 事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること(特定 された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下、“目的外利用”と いう)を行わないこと及びそのための措置を講じることを含む)。 b) 個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること。 c) 個人情報の漏えい、滅失又はき損の防止並びに是正に関すること。 d) 苦情及び相談への対応に関すること。 e) PMSの継続的改善に関すること。 f) 代表者の氏名 (2) 個人情報保護方針は、各事業所各フロアに掲示し全従業者に周知させる。 (3) 個人情報保護方針は、当社公式 HP(URL http://www.konp.co.jp)等で公表する。個人情報保護の理念
今野印刷株式会社は、個人情報保護の重要性を十分に認識した上で、個人情報及び特定個人情報 に関する法令・条例および個人情報保護に関するガイドラインを遵守し、次のように個人情報保護方針 を定め、これを実行し維持することで社会とお客様の信頼に応えていきます。 1. 当社は印刷及び情報処理業務において、個人情報を取得するにあたっては、その目的を明確にする と共に、取得した個人情報は目的外利用を行わないよう管理し、公正かつ適正な方法で、個人情報 の取得、利用及び提供を行います。 2. 情報処理業務の適正な運用を図り、個人情報の漏えい、滅失又はき損等のリスクを事前に防止する ために合理的で適切なセキュリティ対策を講じ、予防並びに是正措置を実施します。 3. 当社は、個人情報保護マネジメントシステムに関する苦情及び相談に対応いたします。 4. 当社は、個人情報の取扱いに関する法令、国が定める指針及びその他の規範を遵守いたします。 5. 個人情報を保護するために、常に自主性をもって取り組むと共に、体系的で全経営活動に統合され た個人情報保護マネジメントシステムを策定し、実施し、維持し、継続的に改善を行います。 6. 個人情報取り扱いに関しての受付窓口を設置し、お客様ご本人からの個人情報の確認、訂正および 削除等を希望された場合、遅滞なく合理的な範囲で対応します。 制定日 平成16年 4月30日 改訂日 平成27年12月28日 今野印刷株式会社 代表取締役社長 橋浦隆一 個人情報の取り扱いに関するお問い合わせは、下記までご連絡ください。 受付時間 月曜日から金曜日(祝祭日、年末年始、お盆休みを除く) 9:00~17:00 連絡先 TEL:022-288-6123 FAX:022-288-0138 メールアドレス 当社ホームページ上(http://www.konp.co.jp/) に掲載。 窓口担当 個人情報管理室個人情報保護方針
3.3 計画
3.3.1 個人情報の特定
(1)個人情報保護管理者は、当社で扱う既存の個人情報を「個人情報一覧表」により台帳管理 する。この台帳には、個人情報の名称、個人情報内容、利用目的、入手方法、担当責任者 名、担当部門、記録メディア、保管方法、アクセス権限範囲、保管期間等を定め、PMS の適用個人情報を明確にする。また、取り扱う個人情報を特定する手順を規程に定める。 (2) 新規に個人情報を取得する必要が生じた場合、または万一「個人情報一覧表」に漏れが発見 された場合、該当部門PMS責任者は「個人情報登録申請書」によって個人情報保護管理者 の承認を得る。承認された個人情報名は、個人情報保護管理者が「個人情報一覧表」に追加 の上、日付を更新し、常に台帳を最新版の状態に保つ。 (3) 個人情報保護管理者は、社長による見直し前に「個人情報一覧表」を見直し、追加・訂正・ 削除の履歴の確認を行う。確認後は登録日を更新する。3.3.2 法令、国が定める指針その他の規範
PMS管理室は、個人情報の取扱いに関する法令、国が定める指針及びその他の規範を特定し、 参照できるよう「法令その他の規範リスト」を作成し、ホームページ検索等の入手方法を表記す る。このリストは毎年8月にバージョン管理のため、改訂状況、発効日を確認する。3.3.3 リスクなどの認識・分析及び対策
本マニュアルの 3.3.1 によって特定した個人情報について、目的外利用を行わないため、必要な 対策を講じる手順を確立し、維持する。また、3.3.1 によって特定した個人情報について、その 取扱いの各局面におけるリスク(個人情報の漏えい、滅失又はき損、関連する法令、国が定める 指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への 影響などのおそれ)を認識し、分析し、必要な対策を講じるため、PMS管理室は「リスク分析 シート」を作成し、個人情報のライフサイクルに沿った分析と対策の決定を行う。3.3.4 資源、役割、貴任及び権限
社長は、PMSを確立し、実施し、維持し、改善するために不可欠な資源を用意する。また、P MSを効果的に実施するために役割、責任及び権限を定め、文書化し、かつ従業者に周知する。 更に JIS Q 15001:2006 の内容を理解し実践する能力のある個人情報保護管理者を従業者の中か ら指名し、PMSの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を 行わせる。個人情報保護管理者は、PMSの見直し及び改善の基礎として、社長による見直し前 及び社長が必要と判断した時に、社長にPMSの運用状況を報告する。3.3.5 内部規程
当社は、JIS Q 15001:2006 で要求する内部規程を以下のとおり定める。 a) 「個人情報特定規程」 個人情報を特定する手順に関する規定。 b) 「法令確認規程」 法令、国が定める指針及びその他の規範の特定、参照及び維持に関す る規定。 c) 「リスク管理規程」 個人情報に関するリスクの認識、分析及び対策の手順に関する規定。 d) 「組織規程」 当社の各部門及び階層におけるPMS管理のための権限及び責任の規定。 e) 「緊急処置管理規程」 緊急事態への準備及び対応に関する規定。 f) 「個人情報取得・利用規程」、「業務委託管理規程」 以上 個人情報の取得、利用及び提 供の規定。 g) 「情報ネットワーク管理規程」、「ユーザー管理規程」、「媒体・ハードウェア管理規程」、「入 退出管理規程」 以上 個人情報の適正管理に関する規定。 h) 「個人情報開示規程」 本人からの開示などの求めへの対応に関する規定。 i) 「教育・訓練規程」 個人情報保護に関する教育の規定。 j) 「文書管理規程」 PMS文書の管理に関する規定。 k) 「苦情処理管理規程」 苦情・相談の対応に関する規定。 l) 「点検規程」 個人情報保護に関する日常点検及び内部監査の規定。 m) 「是正処置規程」、「予防処置規程」 以上 是正処置及び予防処置に関する規定。 n) 「社長による見直し規程」 代表者による見直しに関する規定。 o) 「罰則規程」 内部規程の違反に関する罰則の規定。 また、以上の規程の他、当社のPMS運用上必要な手順として「記録管理規程」を定める。 これらの規程は、事業の内容に応じて、PMSが確実に適用されるように、規定された手順に従 い、改訂する。 個人情報保護管理者として 取締役 千 葉 忠 志 を指名する 2006年 2月 1日 今野印刷株式会社 代表取締役 橋 浦 隆 一 印3.3.6 計画書
(1)PMS管理室はPMSを確実に実施するために、毎年3月に教育計画書を作成し、社長の 承認を得る。 (2)個人情報保護監査責任者は毎年7月に監査計画書を作成し、社長の承認を得る。3.3.7 緊急事態への準備
当社は、緊急事態を特定するための手順、また、それらにどのように対応するかの手順、個人情 報が漏えい、滅失又はき損をした場合に想定される経済的な不利益及び社会的な信用の失墜、本 人への影響などのおそれを考慮し、その影響を最小限とするための手順を規程に定め、維持する。 また、個人情報の漏えい、滅失又はき損が発生した場合に備え、次の事項を含める。 a) 当該漏えい、減失又はき損が発生した個人情報の内容を本人に速やかに通知するか、又は 本人が容易に知り得る状態に置く。 b) 二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因及 び対応策を、遅滞なく公表する。 c) 事実関係、発生原因及び対応策を関係機関に直ちに報告する。3.4 実施及び運用
3.4.1 運用手順
PMS管理室は、PMSが確実に実施されるように、各部門又は業務の運用手順を作成する。3.4.2 取得・利用及び提供に関する原則
3.4.2.1 利用目的の特定
個人情報を取得するに当たっては、その利用目的をできる限り特定し、その目的の達成に必要な 限度において行う。3.4.2.2 適正な取得
個人情報の取得は、適法、かつ公正な手段によって行う。 提供又は委託を受けて取得する場合は、提供者又は委託者が適正な取得を行っていることを確認 する。3.4.2.3 特定の機微な個人情報の取得、利用及び提供の制限
次に示す内容を含む個人情報の取得、利用又は提供は行わない。ただし、これらの取得、利用又 は提供について、同意書またはこれに代わる明示的な本人の同意がある場合、及び 3.4.2.6 のた だし書き a)~d)のいずれかに該当する場合は、この限りでない。 a) 思想、信条及び宗教に関する事項。b) 人種、民族、門地、本籍地(所在都道府県に関する情報を除く)、身体・精神障害、犯罪歴、 その他社会的差別の原因となる事項。 c) 勤労者の団結権、団体交渉その他団体行動の行為に関する事項。 d) 集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項。 e) 保健医療又は性生活に関する事項。 当項の例外事項を適用する場合、個人情報保護管理者に個人情報使用承認願を提出し承認を得る こと。またこの場合は、当マニュアル 3.4.2.4 に規定する内容を記した書面にて本人の同意を得 ること。
3.4.2.4 本人から直接書面によって取得する場合の措置
本人から、書面(紙、フィルム、電子媒体・磁気媒体、電子メールなど、以下同じ)に記載され た個人情報を直接に取得する場合には、少なくとも次の a)~h)に示す事項又はそれと同等以上の 内容の事項を、あらかじめ「個人情報の取扱いに関するお知らせ/同意書」または、Web 上によっ て本人に明示し、本人の同意(Web 上の同意ボタンのクリックを含む)を得なければならない。 た だし、人の生命、身体又は財産の保護のために緊急に必要がある場合、3.4.2.5 のただし書き a) ~d)のいずれかに該当する場合、及び 3.4.2.6 のただし書き a)~d) のいずれかに該当する場合 はこの限りでない。 a) 当社社名。 b) 当該個人情報の当社の個人情報保護管理者の氏名又は職名、所属及び連絡先。 c) 利用目的。 d) 個人情報を第三者に提供することが予定される場合は次の事項。 ・ 第三者に提供する目的 ・ 提供する個人情報の項目 ・ 提供の手段又は方法 ・ 当該情報の提供を受ける者又は提供を受ける者の組織の種類、属性 ・ 個人情報の取扱いに関する契約がある場合は、その旨 e) 個人情報の取扱いの委託を行うことが予定される場合には、その旨。 f) 3.4.4.4~3.4.4.7 に規定する開示対象個人情報に該当する場合には、その求めに応じる旨、 及び問合せ窓口。 g) 本人が個人情報を与えることの任意性、及び当該情報を与えなかった場合に本人に生じる 結果。 h) 本人が容易に認識できない方法によって、個人情報を取得する場合には、その旨。 当項の例外事項を適用する場合、個人情報保護管理者に個人情報使用承認願を提出し承認を得る こと。ただし、個人情報保護管理者が不在の時は、PMS管理室執行部の承認を得ること。3.4.2.5 個人情報を 3.4.2.4 以外の方法によって取得した場合の措置
当社では、印刷加工および情報処理の目的で顧客から個人情報の加工処理の委託を受けるなど、 3.4.2.4 以外の方法によって取得する場合、このため本人が知りえるよう、個人情報の利用目的 を HP 又は書面配付によってあらかじめ公表する。 ただし、次に示すいずれかに該当する場合は、上記の方法により公表した利用目的外であっても改めて通知又は公表をしない。 a) 利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財産そ の他の権利利益を害するおそれがある場合。 b) 利用目的を本人に通知し、又は公表することによって当社の権利又は正当な利益を害するお それがある場合。 c) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要があ る場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行に支 障を及ぼすおそれがあるとき。 d) 取得の状況からみて利用目的が明らかであると認められる場合。 当項の例外事項を適用する場合、個人情報保護管理者に個人情報使用承認願を提出し承認を得 ること。ただし、個人情報保護管理者が不在の時は、PMS管理室執行部の承認を得ること。
3.4.2.6 利用に関する措置
個人情報の利用は、特定した利用目的の達成に必要な範囲内で行う。特定した利用目的の達成に 必要な範囲を超えて個人情報を利用する場合は、あらかじめ、少なくとも、3.4.2.4 の a)~f)に 示す事項又はそれと同等以上の内容の事項を「個人情報の目的外利用に関する同意確認書」によ って本人に通知し、本人の同意を得なければならない。ただし、次に示すいずれかに該当する場 合は、この限りでない。 a) 法令に基づく場合。 b) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが 困難であるとき。 c) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の 同意を得ることが困難であるとき。 d) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行するこ とに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂 行に支障を及ぼすおそれがあるとき。 当項の例外事項を適用する場合、個人情報保護管理者に個人情報使用承認願を提出し承認を得 ること。ただし、個人情報保護管理者が不在の時は、PMS管理室執行部の承認を得ること。3.4.2.7 本人にアクセスする場合の措置
個人情報を利用して本人にアクセスする場合には、本人に対して、3.4.2.4 の a)~f)に示す事項 又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得るものとする。ただ し、次のいずれかに該当する場合はこの限りではない。 a) 3.4.2.4 の a)~f)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同 意を得ているとき。 b) 印刷加工および情報処理の目的で、顧客から個人情報の取扱いの全部又は一部を委託された 場合であって、当該個人情報を、その利用目的の達成に必要な範囲内で取り扱うとき。ただ し、アクセスの可否、手段・方法については顧客の指示による。また、担当者は顧客が個人 情報保護法及びガイドライン等に沿って適切に個人情報を取扱っていることを確認する。 c) 合併その他の事由による事業の承継に伴って個人情報が提供された場合であって、提供する事業者が、既に 3.4.2.4 の a) ~f)に示す事項又はそれと同等以上の内容の事項を明示又は 通知し、本人の同意を得ている場合、承継前の利用目的の範囲内で当該個人情報を取り扱う とき。 d) 個人情報を特定の者との間で共同して利用する場合であって、共同利用者が、既に 3.4.2.4 の a)~f)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得 ている場合であって、次に示す事項又はそれと同等以上の内容の事項をあらかじめ本人に通 知し、又は本人が容易に知り得る状態に置いているとき。 ・ 共同して利用すること ・ 共同して利用される個人情報の項目 ・ 共同して利用する者の範囲 ・ 共同して利用する者の利用目的 ・ 共同して利用する個人情報の管理について責任を有する者の氏名又は名称 ・ 取得方法 e) 3.4.2.5 のただし書き d)に該当するため、利用目的などを本人に明示、通知又は公表するこ となく取得した個人情報を利用して、本人にアクセスするとき。 f) 3.4.2.6 のただし書き a)~d)のいずれかに該当する場合。 当項の例外事項を適用する場合、個人情報保護管理者に個人情報使用承認願を提出し承認を得 ること。ただし、個人情報保護管理者が不在の時は、PMS管理室執行部の承認を得ること。
3.4.2.8 提供に関する措置
個人情報を第三者に提供する場合には、あらかじめ、本人に対して、取得方法並びに 3.4.2.4 の a)~d)の事項又はそれと同等以上の内容の事項を通知し、本人の同意を得なければならない。た だし、次に示すいずれかに該当する場合はこの限りではない。 a) 3.4.2.4 又は 3.4.2.7 の規定によって、既に 3.4.2.4 の a)~d)の事項又はそれと同等以上の 内容の事項を本人に明示又は通知し、本人の同意を得ているとき。 b) 大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難な場合であって、 次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又はそれに 代わる同等の措置を講じているとき。 ・ 第三者への提供を利用目的とすること ・ 第三者に提供される個人情報の項目 ・ 第三者への提供の手段又は方法 ・ 本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること ・ 取得方法 c) 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する 情報であって、かつ法令に基づき又は本人若しくは当該法人その他の団体自らによって公開 又は公表された情報を提供する場合であって、b)で示す事項又はそれと同等以上の内容の事 項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。 d) 特定された利用目的の達成に必要な範囲内において、個人情報を含む当社業務の全部又は一 部を委託するとき。 e) 合併その他の事由による事業の承継に伴って個人情報が提供された場合であって、承継前の 利用目的の範囲内で当該個人情報を取り扱うとき。 f) 個人情報を特定の者との間で共同して利用する場合であって、次に示す事項又はそれと同等 以上の内容の事項を、あらかじめ、本人に通知し又は本人が容易に知り得る状態に置いてい るとき。・ 共同して利用すること ・ 共同して利用される個人情報の項日 ・ 共同して利用する者の範囲 ・ 共同して利用する者の利用目的 ・ 共同して利用する個人情報の管理について責任を有する者の氏名又は名称 ・ 取得方法 g) 3.4.2.6 のただし書き a)~d)のいずれかに該当する場合。 当項の例外事項を適用する場合、個人情報保護管理者に個人情報使用承認願を提出し承認を得る こと。ただし、個人情報保護管理者が不在の時は、PMS管理室執行部の承認を得ること。また、 ただし書きb)、c)、f)については、適用しません。
3.4.3 適正管理
3.4.3.1 正確性の確保
当社は、本人から直接書面によるか、それ以外の方法による取得かにかかわらず、利用目的の達 成に必要な範囲内において、個人情報を、正確、かつ最新の状態で管理する。3.4.3.2 安全管理措置
当社は、取り扱う個人情報のリスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の 安全管理のために、「リスク分析シート」及び以下に定める規程に基づき、安全対策を講じる。 規程名 主な規定範囲 情報ネットワーク管理規程 ネットワーク責任者が実施するアクセス権限管理、アクセス制御、 サーバー管理、イントラネット管理、機器管理、総合的なネットワ ーク管理の規定 ユーザー管理規程 ユーザーに対する遵守事項や異常時対応手順を定めた規定 媒体・ハードウェア管理規程 紙・電子媒体及びハードウェアの社内での利用、持ち出し、再利用、 廃棄に関する事項を定めた規定 業務委託管理規程 個人情報の委託先に対する評価・選定基準、および契約に含むべき 事項を定めた規定 入退出管理規程 来訪者の識別、入退館管理、鍵の管理等、施設内の物理的アクセス への制限に関する事項を定めた規定3.4.3.3 従業者の監督
個人情報を取り扱う際には、当該個人情報の安全管理が図られるよう、個人情報保護管理者は各 部門のPMS責任者に対し、PMS責任者は従業者および委託先に対し、指示、確認、報告の要 請など必要、かつ適切な監督を行う。3.4.3.4 委託先の監督
個人情報の取扱いを委託する場合は、十分な個人情報の保護水準を満たしている者を選定する。 このため、当社は、委託先を選定する基準を規程に定める。また、委託する個人情報の安全管理 が図られるよう、委託先に対する必要、かつ適切な監督を行う。 更に、次に示す事項を機密保持契約に定め、十分な個人情報の保護水準を担保する。 a) 当社及び委託先の責任の明確化。 b) 個人情報の安全管理に関する事項。 c) 再委託に関する事項。 d) 個人情報の取扱状況に関する当社への報告の内容及び頻度。 e) 契約内容が遵守されていることを当社が確認できる事項。 f) 契約内容が遵守されなかった場合の措置。 g) 事件・事故が発生した場合の報告・連絡に関する事項。 業務委託契約書などの書面は個人情報の保有期間にわたって保存する。3.4.4 個人情報に関する本人の権利
3.4.4.1 個人情報に関する権利
当社の保有個人情報で、(以下、3.4.4 において“開示対象個人情報”という。)本人から利用目 的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止(以 下、“開示など”という。)を求められた場合は、3.4.4.4~3.4.4.7 の定めによって、遅滞なくこ れに応じる。 ただし、次のいずれかに該当する場合は、開示対象個人情報ではない。 a) 当該個人情報の存否が明らかになることによって、本人又は第三者の生命、身体又は財産に 危害が及ぶおそれのあるもの。 b) 当該個人情報の存否が明らかになることによって、違法又は不当な行為を助長し、又は誘発 するおそれのあるもの。 c) 当該個人情報の存否が明らかになることによって、国の安全が害されるおそれ、他国若しく は国際機関との信頼関係が損なわれるおそれ、又は他国若しくは国際機関との交渉上不利益 を被るおそれのあるもの。 d) 当該個人情報の存否が明らかになることによって、犯罪の予防、鎮圧又は捜査その他の公共 の安全と秩序維持に支障が及ぶおそれのあるもの。3.4.4.2 開示などの求めに応じる手続
開示請求に応じる手続として、HP 又は書面(「開示対象個人情報に関するお知らせ」)により次の 事項を本人に周知する。 a) 開示請求の申し出先。 b) 開示請求に際して提出すべき「個人情報開示請求書」の様式その他の開示などの求め方。 c) 開示請求者が、本人又は代理人であることの確認の方法。 d) 3.4.4.4 又は 3.4.4.5 による場合の手数料(定めた場合に限る。)の微収方法。 本人からの開示などの求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮する。 3.4.4.4 又は 3.4.4.5 によって本人からの求めに応じる場合に、手数料を微収するときは、実費 を勘案して合理的であると認められる範囲内において、その額を定める。
3.4.4.3 開示対象個人情報に関する事項の周知など
取得した個人情報が関示対象個人情報に該当する場合は、次の事項を HP などにより、本人が知 り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置く。 a) 当社の社名。 b) 個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先。 c) 開示対象個人情報の利用目的(3.4.2.5 の a)~c)までに該当する場合を除く)。 d) 開示対象個人情報の取扱いに関する苦情の申し出先。 e) 当社が「認定個人情報保護団体(JIPDEC など)の対象事業者」となった場合は、当該認定 個人情報保護団体の名称及び苦情の解決の申し出先。 f) 3.4.4.2 によって定めた手続。3.4.4.4 開示対象個人情報の利用目的の通知
本人から、当該本人が識別される開示対象個人情報について、利用目的の通知を求められた場合 には、遅滞なくこれに応じる。ただし、3.4.2.5 のただし書き a)~c)のいずれかに該当する場合、 又は 3.4.4.3 の c)によって当該本人が識別される開示対象個人情報の利用目的が明らかな場合 は利用目的の通知を必要としないが、そのときは、本人に遅滞なくその旨を通知するとともに、 理由を説明する。この場合、利用目的を通知しないこと及び回答内容については個人情報保護管 理者の承認を得ること。3.4.4.5 開示対象個人情報の開示
本人から、当該本人が識別される開示対象個人情報の開示(当該本人が識別される開示対象個人 情報が存在しないときにその旨を知らせることを含む。)を求められたときは、本人に対し、遅 滞なく、当該開示対象個人情報を書面(開示請求者が同意した方法があるときは、その方法)に よって開示する。ただし、開示することによって次の a)~c)のいずれかに該当する場合は、その 全部又は一部を開示する必要はないが、そのときは、法令の規定により特別の手続きが定められ ている場合を除き、本人に遅滞なくその旨を通知するとともに、理由を説明する。この場合、回 答内容については個人情報保護管理者に個人情報使用承認願を提出し承認を得ること。 a) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合。 b) 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合。 c) 法令に違反することとなる場合。3.4.4.6 開示対象個人情報の訂正、追加又は削除
本人から、事実でないという理由によって当該開示対象個人情報の訂正、迫加又は削除(以下、この項において“訂正など”という)を求められた場合は、法令で特別の手続きが定められてい る場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果 に基づいて、当該開示対象個人情報の訂正などを行うとともに、訂正などを行った後に、本人に 対し遅滞なくその旨(訂正などの内容を含む)を通知する。なお、訂正などを行なわない旨の決 定をしたときは、その旨及び理由を本人に対し遅滞なく通知する。
3.4.4.7 開示対象個人情報の利用又は提供の拒否権
本人から当該本人が識別される開示対象個人情報の利用の停止、消去又は第三者への提供の停止 (以下、この項において“利用停止など”という)を求められた場合は、これに応じる。 また、措置を講じた後は、遅滞なくその旨を本人に通知する。ただし、3.4.4.5 のただし書き a) ~c)のいずれかに該当する場合は、利用停止などを行う必要はないが、そのときは、本人に遅滞 なくその旨を通知するとともに、理由を説明する。3.4.5 教育
当社は、すべての従業者に対し、毎年7月の定期及び必要により随時適切な教育を行なう。この ため、関連する各部門及び階層において、従業者に次の事項を理解させる手順を規程に確立し、 維持する。 a) PMSに適合することの重要性及び利点。 b) PMSに適合するための役割及び責任。 c) PMSに違反した際に予想される結果。 またこの規程には、教育の計画及び実施、結果の報告及びその見直し、計画の見直し並びにこれ らに伴う記録の保持に関する責任と権限を定める手順を確立し、実施し、維持する。3.5 個人情報保護マネジメントシステム文書
3.5.1 文書の範囲
次のPMSの基本となる要素を「JIS Q 15001:2006 要求事項との対応表」に明記する。 a) 個人情報保護方針。 b) 内部規程。 c) 計画書。 d) JIS Q 15001:2006 が要求する記録及び当社がPMSを実施する上で必要と判断した記録。3.5.2 文書管理
当社は、JIS Q 15001:2006 が要求するすべての文書(記録を除く)を管理する手順を規程に確立 し、実施し、維持する。 なお、規程には次の事項を含める。 a) 文書の発行及び改訂に関すること。 b) 文書の改訂の内容と版数との関連付けを明確にすること。個人情報保護監査責任者とし 生産事業部部長 河内 和史 を指名する 2010年 7月 1日 今野印刷株式会社 代表取締役 橋 浦 隆 一 印 c) 必要な文書が必要なときに容易に参照できること。
3.5.3 記録の管理
当社は、PMS及び JIS Q 15001:2006 の要求事項への適合を実証するために必要な記録につい て、様式の作成部門(作成部門が様式変更などの管理を行う)、記入者、保管期間などを「記録 管理表」(この表は「記録管理規程」の一部として管理される)に定め、維持する。また、記録 の取扱いについての手順を規程に確立し、実施し、維持する。3.6 苦情及び相談への対応
個人情報の取扱い及びPMSに関して、本人からの苦情及び相談があった場合は、規程に従い、 これを受け付けて、適切、かつ迅速な対応をする。 このために必要な体制としてPMS管理室執行部を「苦情・相談窓口」とし、受付から対応まで の一連の記録を「苦情・相談受付記録」に記す。個人情報保護管理者はこの記録により、苦情・ 相談の内容及び対策の結果を社長に報告する。3.7 点検
3.7.1 運用の確認
個人情報保護管理者は、PMSがすべての部門及び階層において適切に運用されていることを確 認するため、毎月月初、PMS管理室員を指名し、社内の運用状況を「月例点検シート」により 報告させる。3.7.2 監査
当社は、自ら定めたPMSの JIS Q 15001:2006 への適合状況及びPMSの運用状況を定期的に 監査する。 (1)個人情報保護監査責任者の任命 社長は、個人情報保護監査責任者として従業者の中から公平かつ客観的な立場にある者 1 名を任命し、個人情報保護監査責任者の統括の下に監査チームを組織化し、監査に関する 責任と権限を与える。なお、監査の客観性・公平性を確保するため、個人情報保護監査責 任者及び監査員は自らの業務・部門については監査しない。 (2)監査の実施と報告個人情報保護監査責任者は、規程に従い全部門を対象として、毎年8月の定期、及び必要 により随時監査を実施し、監査報告書を作成し、社長に提出・報告する。 (3)監査時に発見された不適合への対応 監査時に不適合が発見された場合、社長は問題の重大性によって判断し、被監査部門のP MS責任者に対して是正処置又は予防処置を要求する。要求を受けた被監査部門のPMS 責任者は、是正処置又は予防処置を実施し、その結果を「是正処置確認書」又は「予防処 置提案書」により社長に報告する。 個人情報保護監査責任者は社長の指示により、「是正処置確認書」又は「予防処置提案書」 と、実際にとられた是正処置又は予防処置の結果を検証し、再度社長に報告する。 (4)監査計画書と実施記録 監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任と権限を規程 に定める。
