個人情報保護方針
社会福祉法人よつ葉の会 個人情報保護管理規程
第1章 総則
(目的)
第1条 本規程は、社会福祉法人よつ葉の会(以下「法人」という。)が取り扱う個人情報の適切な使用と保護のため、法人の行う取組みについて定
めることを目的とする。
2 個人情報保護の取組みについての詳細な手順等は、各施設、事業所ごとに別途定める「個人情報保護細則」に記述するものとする。
(適用範囲)
第2条 法人の事業の用に供している個人情報を適用範囲とし、法人の全従業者の個人情報はこれに含まれるものとする。
2 本規程は、電算処理、書面を問わず、法人において記録・処理されるすべての個人情報を対象とする。
3 本規程は法人の全従業者に適用され、全従業者は規程に定められた事項を遵守するものとする。
(定義)
第3条 この基本規程で用いる用語の定義は、次によるものとする。ただし、以下で定めがある場合を除き、個人情報保護法の第2条に定義があるものについては、個人情報保護法の定義を準用する。
(1)個人情報
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)をいう。
(2)本人
個人情報によって識別される特定の個人をいう。
(3)従業者
法人内で、直接又は間接に法人の指揮監督を受けて法人の業務に従事している者をいい、雇用関係にある従業員(正職員、有期契約職員、アルバ
イトなど)のみならず、理事、監事、評議員、派遣社員、実習生、ボランティア等も含まれる。
(4)本人の同意
本人が、個人情報の取扱いに関する情報を与えられた上で、自己に関する個人情報の取扱いについて承諾する意思表示をいう。ただし、本人が子
ども又は事理を弁識する能力を欠く者の場合は、法定代理人などの同意も得るものとする。
(個人情報保護方針)
第4条 法人の理事長は、個人情報保護の理念を明確にした上で、個人情報保護方針を定め、これを文書(電子的方式、磁気的方式等の記録を含む。)化し、従業者に周知させるとともに、一般の人が入手可能な措置を講じるものとする。
第2章 体制及び責任
(資源、役割、責任及び権限)
第5条 法人の理事長は、個人情報保護の取組みにあたり必要な経営資源を用意するものとする。
2 法人の理事長は、個人情報保護の取組みを効果的に実施するために役割、責任及び権限を定め、文書化し、かつ、従業者に周知するものとする。
3 法人の理事長は、個人情報保護の取組みの統括責任者として個人情報保護管理者を法人の内部の者から指名し、他の責任に関りなく個人情報保護に関連する業務を行わせるものとする。
4 個人情報保護管理者は、個人情報の取扱い及び個人情報保護の取組みに関しての本人からの苦情及び相談を受け付けて対応する窓口を常設し、当該窓口の連絡先を本人に告知するものとする。
(*以下、法人の人的規模に応じて規定する)
5 法人の理事長は、個人情報保護に関する監査を行う個人情報保護監査責任者を法人の内部の者から指名し、内部監査に関する責任及び権限を与え、監査を行わせるものとする。
6 法人の理事長は、個人情報保護に関する適切な教育を行う個人情報保護教育責任者を法人の内部の者から指名し、個人情報保護の教育に関する責任及び権限を与え、従業者及び委託先の教育を行わせるものとする。
第3章 計画、実施および運用
(個人情報の特定)
第6条 法人は、事業の用に供するすべての個人情報を特定することとする。
(法令、国が定める指針その他の規範)
第7条 法人は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し、参照できるようにすることとする。
(リスク等の認識・分析及び対策)
第8条 法人は、特定した個人情報について、目的外利用を防ぐ処置を講じるものとする。
2 法人は、特定した個人情報について、その取扱いの各局面におけるリスク(個人情報の漏えい、法令違反、経済的不利益、信用失墜、本人への影
響など)を認識し、分析し、必要な対策を講じるものとする。
(内部規程)
第13条 法人は、個人情報保護マネジメントシステムの要求事項であるJIS Q 15001が要求する次の事項について、内部規程を策定し、維持する。
(1)個人情報を特定する手順に関する事項(対応規程:PMS運営細則第4章)
(2)法令、国が定める指針およびその他の規範の特定、参照および維持に関する事項(対応規程:PMS運営細則第5章)
(3)個人情報に関するリスクの認識・分析および対策の手順に関する事項(対応規程:PMS運営細則第4章)
(4)事業者の各部門及び階層における個人情報を保護するための権限および責任に関する事項(対応規程:PMS運営細則第2章)
(5)緊急事態(個人情報が漏えい、滅失またはき損した場合)への準備および対応に関する事項(対応規程:PMS運営細則第3章)
(6)個人情報の取得、利用および提供に関する事項(対応規程:個人情報取扱細則第1,2,3章)
(7)個人情報の適正管理に関する事項(対応規程:個人情報安全管理細則、個人情報取扱細則第4,5章)
(8)本人からの開示等などの求めへの対応に関する事項(対応規程:個人情報取扱細則第6章)
(9)従業者への教育に関する事項(対応規程:PMS運営細則第6章)
(10)PMS文書の管理に関する事項(対応規程:PMS運営細則第7章)
(11)苦情及び相談への対応に関する事項(対応規程:個人情報取扱細則第6章)
(12)PMSの点検(運用の確認、内部監査)に関する事項(対応規程:PMS運営細則第8章)
(13)是正処置及び予防処置に関する事項(対応規程:PMS運営細則第9章)
(14)代表者による見直しに関する事項(対応規程:PMS運営細則第10章)
(15)内部規程の違反に関する罰則の事項(対応規程:就業規則)
2 法人は、個人情報保護の取組みが確実に適用されるように、事業内容、社会的要請、または法令などの変更に応じ、内部規定を適宜改定するものとする。
(緊急事態への準備)
第10条 法人は、緊急事態の特定、また、その対応についての手順を定めるものとする。
(運用手順)
第11条 法人は、個人情報保護の取組みを確実に実施するために、運用の手順を各施設、事業所ごとに別途定める「個人情報保護細則」等に記述するものとする。
(利用目的の特定)
第12条 法人は、個人情報を取得するに当たっては、その利用目的をできる限り特定し、その目的の達成に必要な限度において行うものとする。
(適正な取得)
第13条 法人は、適法、かつ、公正な手段によって個人情報を取得するものとする。
(特定の機微な個人情報の取得・利用及び提供の制限)
第14条 法人は、次に示す内容を含む個人情報の取得、利用又は提供を行ってはならない。
(1)思想、信条又は宗教に関する事項
(2)人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
(3)勤労者の団結権、団体交渉その他団体行動の行為に関する事項
(4)集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項
(5)保健医療又は性生活に関する事項
2 ただし、これらの取得、利用又は提供について、明示的な本人の同意がある場合及び人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
(本人から直接書面によって取得する場合の措置)
第15条 法人は、本人から、書面(電子的、磁気的方式等の記録を含む。以下、同じ)に記載された個人情報を直接に取得する場合には、あらかじめ、書面によって、利用目的、第三者提供の有無、問合せ窓口等を本人に明示し、本人の同意を得なければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合、第16条のただし書き(1)~(4)及び第17条のただし書き(1)~(4)のいずれかに該当する場合は、この限りでない。
(個人情報を直接書面以外の方法によって取得した場合の措置)
第16条 法人は、個人情報を本人から直接書面によって同意を得る以外の方法によってその個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知し、又は公表するものとする。ただし、次に示すただし書き(1)~(4)のいずれかに該当する場合は、この限りではない。
(1)利用目的を本人に通知し、又は公表することによって本人若しくは第三者の生命身体、財産その他の権利利益を害するおそれがある場合
(2)利用目的を本人に通知し、又は公表することによって法人の権利又は正当な利益を害するおそれがある場合
(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することによって事務の遂行に支障を及ぼすおそれがあるとき
(4)取得の状況からみて利用目的が明らかであると認められる場合
(利用に関する措置)
第17条 法人は、特定した利用目的の達成に必要な範囲内で個人情報を利用するものとする。特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、その旨を本人に通知し、本人の同意を得なければならない。ただし、次に示すただし書き(1)~(4)のいずれかに該当する場合は、この限りではない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上又は児童・利用者の健全な育成及び援助・支援の推進のために特に必要がある場合であって、本人の同意を得ることが困難であ
るとき
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の
同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき2 また、従業者は目的外利用に該当するかどうか判断に迷う場合、個人情報保護管理者の判断を求めるものとする。
(本人にアクセスする場合の措置)
第18条 法人は、個人情報を利用して本人にアクセスする場合には、あらかじめ本人の同意を得なければならない。
(提供に関する措置)
第19条 法人は、個人情報を第三者に提供する場合には、あらかじめ本人の同意を得なければならない。ただし、次に示すいずれかに該当する場合は、この限りではない。
(1)第15条又は第18条の規定によって、既に利用目的、第三者提供の有無、問合せ窓口等を本人に明示又は通知し、本人の同意を得ているとき
(2)大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難な場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ本人に通知し、又はそれに代わる同等の措置を講じているとき
①第三者への提供を利用目的とすること
②第三者に提供される個人情報の項目
③第三者への提供の手段又は方法
④本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること
⑤取得方法
①第三者への提供を利用目的とすること
②第三者に提供される個人情報の項目
③第三者への提供の手段又は方法
④本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること
⑤取得方法
(3)法人その他の団体に関する情報に含まれる当該法人その他の団体の役員等に関する情報であって、かつ、法令に基づき又は本人若しくは当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって、(2)で示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
(4)特定した利用目的の達成に必要な範囲内において、個人情報の取扱いの全部又は一部を委託するとき
(5)合併その他の事由による事業の承継に伴って個人情報を提供する場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき
(6)個人情報を特定の者との間で共同して利用する場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているとき
①共同して利用すること
②共同して利用される個人情報の項目
③共同して利用する者の範囲
④共同して利用する者の利用目的
⑤共同して利用する個人情報の管理について責任を有する者の氏名又は名称
⑥取得方法
(個人情報の正確性の確保)
第20条 法人は、利用目的の達成に必要な範囲内において、個人情報を、正確、かつ、最新の状態で管理するものとする。
(安全管理措置)
第21条 法人は、個人情報のリスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要かつ適切な措置を講じるものとする。
(従業者の監督)
第22条 法人は、従業者に個人情報を取扱わせるに当たっては、個人情報の安全管理が図られるよう、従業者に対し必要かつ適切な監督を行うものとする。
(委託先の監督)
第23条 法人は、個人情報の取扱いの全部又は一部を委託する場合は、十分な個人情報の保護水準を満たしている者を選定するものとし、委託を受ける者を選定する基準を確立するものとする。
2 法人は、個人情報の取扱いの全部又は一部を委託する場合は、委託する個人情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行うものとする。
3 法人は、次に示す事項を契約によって規定し、十分な個人情報の保護水準を担保するものとする。
①委託者及び受託者の責任の明確化
②個人情報の安全管理に関する事項
③再委託に関する事項
④個人情報の取扱い状況に関する委託者への報告の内容及び頻度
⑤契約内容が遵守されていることを委託者が確認できる事項
⑥契約内容が遵守されなかった場合の措置
⑦事件・事故が発生した場合の報告・連絡に関する事項
4 法人は、前項の当該契約書などの書面を、少なくとも個人情報の保有期間にわたって保存するものとする。
(開示対象個人情報に関する権利)
第24条 法人は、本人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの(以下「開示対象個人情報」という。)に関して、本人から利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止(以下、「開示等」という。)を求められた場合は、第27条から第30条の規定によって、遅滞なくこれに応じるものとする。ただし、次のいずれかに該当する場合は、開示対象個人情報ではない。
(1)当該個人情報の存否が明らかになることによって、本人若しくは第三者の生命、身体若しくは財産に危害が及ぶおそれのあるもの
(2)当該個人情報の存否が明らかになることによって、違法又は不当な行為を助長し、又は誘発するおそれのあるもの
(3)当該個人情報の存否が明らかになることによって、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ、又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの
(4)当該個人情報の存否が明らかになることによって、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序維持に支障が及ぶおそれのあるもの
(開示対象個人情報の開示等の求めに応じる手続)
第25条 法人は、開示対象個人情報の開示等の求めに応じる手続を定めるものとする。
2 法人は、本人からの開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮するものとする。3 法人は、第27条又は第28条によって本人からの求めに応じる場合に、手数料を徴収するときは、実費を勘案して合理的であると認められる範囲内において、その額を定めることとする。
(開示対象個人情報に関する事項の周知など)
第26条 法人は、開示対象となる個人情報とその開示について、次の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くものとする。
(1)法人の名称
(2)個人情報保護管理者又はその代理人の氏名、所属及び連絡先
(3)すべての開示対象個人情報の利用目的。ただし、第16条第1項(1)~(3)に該当する場合を除く
(4)開示対象個人情報の取扱いに関する苦情の申し出先
(5)第25条によって定めた手続
(開示対象個人情報の利用目的の通知)第27条 法人は、本人から、その本人の開示対象個人情報について、利用目的の通知を求められた場合には、遅滞なくこれに応じるものとする。
(開示対象個人情報の開示)
第28条 法人は、本人から、その本人の個人情報の開示(当該本人が識別される開示対象個人情報が存在しないときにその旨を知らせることを含む。)を求められたときは、法令の規定によって特別の手続が定められている場合を除き、本人に対し、遅滞なく、当該開示対象個人情報を書面(開示の求めを行った者が同意した方法があるときは、当該方法)によって開示するものとする。ただし、開示することによって次の(1)~(3)のいずれかに該当する場合は、その全部又は一部を開示する必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明するものとする。
(1)本人若しくは第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)法人の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)法令に違反することとなる場合
(開示対象個人情報の訂正、追加又は削除)
第29条 法人は、本人から、当該本人が識別される開示対象個人情報の内容が事実でないという理由によって当該開示対象個人情報の訂正(追加又は削除含む。)を求められた場合は、法令の規定によって特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該開示対象個人情報の訂正等を行うものとする。また、法人は、訂正等を行ったときは、その旨及びその内容を、本人に対し、遅滞なく通知し、訂正等を行わない旨の決定をしたときは、その旨及びその理由を、本人に対し、遅滞なく通知するものとする。
(開示対象個人情報の利用又は提供の拒否権)
第30条 法人が、本人から当該本人が識別される開示対象個人情報の利用の停止(消去又は第三者への提供の停止を含む。)を求められた場合、これに応じるものとする。また、措置を講じた後は、遅滞なくその旨を本人に通知するものとする。ただし、次の(1)~(3)のいずれかに該当する場合は、利用停止等を行う必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明するものとする。
(1)本人若しくは第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)法人の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)法令に違反することとなる場合
(教育)
第31条 法人は全ての従業者に、定期的に、個人情報保護についての重要性、利点、役割や責任、規定に違反した場合に予想される結果等を踏まえた適切な教育を行うものとする。
(文書の範囲)
第32条 法人は、次の個人情報保護の取組みの基本となる要素を書面で記述するものとする。
(1)個人情報保護方針
(2)内部規程
(3)計画書
(4)この規程が要求する記録及び法人が個人情報保護の取組みを実施する上で必要と判断した記録
(文書の管理)
第33条 法人はこの規程が要求するすべての文書(記録を除く)を管理する手順を確立し、実施し、維持するものとする。
(記録の管理)
第34条 法人は、個人情報保護の取組みを実証するために必要な記録を作成し、維持するものとする。
(苦情及び相談)
第35条 個人情報の取扱い及び個人情報保護の取組みに関して、本人からの苦情及び相談を受け付けて、適切、かつ、迅速な対応を行うものとする。
2 法人は、上記の目的を達成するために必要な体制の整備を行うものとする。
(運用の確認)
第36条 個人情報保護の取組みが適切に実施・運用されていることを法人の各部門及び階層において定期的に確認するものとする。
(監査)
第37条 個人情報保護の取組みを規定に照らし合せ、その運用状況を定期的に監査するも のとする。
(是正処置及び予防処置)
第38条 法人は、運用の確認及び監査の結果、不適切・不十分とされた事項について是正処置及び予防処置を実施するものとする。
(理事長による見直し)
第39条 理事長は、個人情報の適切な保護を維持するために、定期的に個人情報保護の取組みを見直し、必要な処置があれば、個人情報保護管理者に指示する。
2 理事長は、当該見直しを、各施設長もしくは所長に委任し、実施することができる。
第4章 罰則
(本規程に違反した場合の措置)
第40条 法人は、本規程に故意に違反した者、または自己の職務を適正に遂行していれば違反を回避し得た者に対し、法人の就業規則の定めにもとづいて懲戒を行うものとする。
附 則
(施行)
附則 本規程は平成29年4月1日より施行する。 平成29年3月18日理事会
(規則等)
第41条 本規程の運用に必要な規則等は別途定める。
(規程の制定と改廃)
第42条 本規程の制定および改廃は、法人の理事会の議決を経て行う。
CookieとWebビーコンの利用
当サイトでは、ご利用者様のアクセス情報を取得するために「Cookie」や「Webビーコン」といった技術を利用しております。これらにより取得した情報はいずれも個人を特定することはできません。
なお、当サイトを、お使いのブラウザーにおいてCookieを受け付けない設定や、画像を表示しない設定でご利用いただく場合、Webサイトで提供している機能の一部がご利用できない場合がございます。
なお、当サイトを、お使いのブラウザーにおいてCookieを受け付けない設定や、画像を表示しない設定でご利用いただく場合、Webサイトで提供している機能の一部がご利用できない場合がございます。
Googleアナリティクスの利用について
当サイトでは、Googleアナリティクスを利用することがあります。GoogleアナリティクスはCookieを利用して当サイトへのアクセス情報を収集します。アクセス情報の収集及び利用方法については、Googleアナリティクスサービス利用規約及びGoogleプライバシーポリシーによって定められています。
詳細は以下のページをご参照ください。
https://www.google.com/intl/ja/policies/privacy/partners/
詳細は以下のページをご参照ください。
https://www.google.com/intl/ja/policies/privacy/partners/