（有）トータルプラン長山個人情報保護規定

第１章　総則

（目的）
第１条　この規定は、当社個人情報保護方針に基づく当社が取り扱う当社従業者以外の個人情報の適切な保護のための基本規定であり、本規定に基づき「個人情報保護計画」を策定し、実施、評価、改善を行っていくとともに、当社従業者はこの規定に従って個人情報を保護していかなければならない。当社従業者の個人情報の取り扱いについては別に定める。

（本規定の対象）
第２条　この規定は、当社において、その全部又は、一部がコンピュータ等の自動的手段により処理されている個人情報及び手作業により処理されている個人情報であって、組織的に保有するファイリングシステムの全部又は一部をなすものを対象とする。

（定義）
第３条　この規定において、次の各号に掲げる用語の意義は当該各号に定めるところによる。
　（１）個人情報
　生存する個人の情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。
　（２）情報主体
　一定の情報によって識別される、又は識別され得る個人をいう。
　（３）個人情報管理責任者
　当社役員のなかから代表者によって選任された者であって、個人情報保護計画の策定、実施、評価、改善等の個人情報保護のための業務について、統括的責任と権限を有する者をいう
　（４）個人情報管理者
　個人情報管理責任者によって選任され、各部において個人情報保護計画等に基づく個人情報保護のための業務について、統括的責任と権限を有する者をいう。
　（５）個人情報取扱担当者
　個人情報のコンピュータへの入力・出力、台帳・申込書等の個人情報を記載した帳票・帳表を保管・管理する担当者をいう。
　（６）担当者
　日常業務上、個人情報を取り扱う担当者をいう。
　（７）個人情報保護監査責任者
　当社代表者から選任され、個人情報管理責任者から独立した公平かつ客観的な立場にあり、監査の実施及び報告を行う権限を有する者をいう。
　（８）個人情報保護計画
　個人情報を保護するための方針、組織、計画、実施、監査及び見直しを含むマネジメントシステムをいう。
　（９）預託
　当社以外の者にデータ処理等の委託のために当社が保有する個人情報を預けることをいう。
　（１０）当社従業者
　当社の役員及び当社の指揮・監督のもとで就業する者で賃金、給料等が支払われる者並びに当社の指揮・監督下にある派遣労働者をいう。

第２章　個人情報の収集

（収集の原則）
第４条　個人情報の収集は、収集目的を明確に定め、その目的の達成に必要な限度において行わなければならない。
　２　新しい目的で個人情報を収集するときは、担当者は個人情報管理者に届け出なければならない。
　３　前項の届け出を受けた個人情報管理者は、直ちに個人情報管理責任者と協議して、その届け出の承認を得なければならない。
　４　新しい目的における個人情報の収集にあたっては、個人情報管理責任者の承認を得、かつ、その個人情報管理責任者が必要な措置を講じた後に行われなければならない。

（収集方法の制限）
第５条　個人情報の収集は、適法、かつ、公正な手段によって行われなければならない。
　２　新しい方法又は間接的に個人情報を収集するときは、担当者は個人情報管理者に届け出なければならない。
　３　前項の届け出を受けた個人情報管理者は、直ちに個人情報管理責任者と協議して、その届け出の承認を得なければならない。
　４　新しい方法又は間接的な個人情報の収集は、個人情報管理責任者の承認を得、かつ、その個人情報管理責任者が必要な措置を講じた後に行われなければならない。

（特定の機微な個人情報収集の禁止）
（情報主体から対面で個人情報を直接収集する場合の措置）
第６条　情報主体から対面で個人情報を直接収集する場合、担当者は情報主体に対して、次に示す事項を記載した書面を交付し、情報主体の同意を得なければならない。
　（１）個人情報に関する問い合わせ部署名及び連絡先
　（２）収集目的
　（３）個人情報を第三者に提供することが予定される場合には、その目的、当該情報の受領者及び個人情報の取り扱いに関する契約の有無
　（４）個人情報をデータ処理等のために第三者に預託することが予定される場合には、その旨
　（５）個人情報の開示を求める権利及び開示の結果、当該情報が誤っている場合に訂正、追加、削除を要求する権利の存在並びに情報主体が当該権利を行使するための具体的な方法
　（６）個人情報の収集後における利用を拒絶する権利の存在及び情報主体からの当該個人情報の消去、利用停止等の具体的な方法
　（７）情報主体が個人情報を与えることの任意性
　（８）情報主体が当該情報を与えなかった場合及び情報主体が当該個人情報の消去・利用停止措置をとった場合に情報主体に生ずる結果
　（９）個人情報を第三者と共同で使用する場合は、その旨
　（１０）廃棄する場合の基準と廃棄方法
　（１１）その他個人情報保護法が定める事項

（情報主体から対面ではなくて個人情報を直接収集する場合の措置）
第７条　個人情報管理責任者は、担当者が情報主体から直接に個人情報を収集する場合で、第６条に定めた方法での同意がとれなかったときのために、当社個人情報保護方針及び第６条各号に掲げる事項を当社インターネットホームページに掲示しなければならない。

（間接的に個人情報を収集する場合の措置）
第８条　情報主体以外から間接的に個人情報を収集する場合、個人情報管理責任者は、以下の措置を講じなければならない。
　（１）当社インターネットホームページに第６条各号に掲げる事項を掲示すること。
　（２）個人情報の提供者が適法かつ公正な手段によって当該個人情報を収集し、第三者へ提供するために必要な情報主体の同意若しくは必要な措置を講じていることを確認すること。
　（３）個人情報の提供者より当該個人情報が適法かつ公正な手段により収集されたことを記した書面の交付を受けること。

第３章　個人情報の利用

（利用範囲の制限）
第９条　個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ権限を与えられた者のみが、業務の遂行上必要な限りにおいて行うものとする。
　２　個人情報管理責任者の承諾を得ないで、個人情報の目的外利用、第三者への提供・預託、通常の利用場所からの持ち出し、外部への送信等の個人情報の漏えい行為をしてはならない。
　３　当社従業者は、業務上知り得た個人情報の内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退いた後も、同様とする。

（目的内の利用の場合の措置）
第１０条　収集目的の範囲内で行う当社の個人情報の利用は、次の（１）から（５）までに掲げるいずれかの場合にのみ行うことができる。
　（１）情報主体が同意を与えた場合若しくは同等の措置を講じた場合
　（２）情報主体が当事者である契約の準備又は履行のために必要な場合
　（３）当社が従うべき法的義務の履行のために必要な場合
　（４）情報主体の生命、健康、財産等の重大な利益を保護するために必要な場合
　（５）警察、税務署、裁判所等の公的機関からの法令に基づく権限の行使による開示請求等があった場合

（目的外の利用の場合の措置）
第１１条　収集目的の範囲を超えて個人情報の利用を行う場合又は前条（１）号から（５）号までに掲げるいずれの場合にも当たらない個人情報の利用を行う場合においては、個人情報管理責任者は第６条各号に掲げる事項を書面により通知し、あらかじめ情報主体の同意を得るか、又はその旨を事前に当社インターネットホームページに掲示して情報主体に拒絶の機会を与えなければならない。

（個人情報の入出力、保管等）
第１２条　個人情報のコンピュータへの入力・出力、台帳・申込書等の個人情報を記載した帳票・帳表の保管・管理等は、個人情報取扱担当者が行わなければならない。

第４章　個人情報の適正管理

（個人情報の正確性の確保）
第１３条　個人情報管理責任者は、個人情報を利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しなければなら
　２　定期的に情報主体に通知等をしている場合、担当者は、通知の中に次の事項を記した届け出様式等を入れて通知しなければならない。
　（１）個人情報の開示を求める権利及び開示の結果、当該情報が誤っている場合に訂正、追加、削除を要求する権利の存在並びに情報主体が当該権利を行使するための具体的な方法
　（２）個人情報の収集後における利用を拒絶する権利の存在及び情報主体からの当該個人情報の消去、利用停止等の具体的な方法

（個人情報の安全性の確保）
第１４条　個人情報管理責任者は、個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏えい等の危険に対して、「セキュリティ管理計画」を策定し、実施、普及、評価、改善をしなければならない。

（個人情報の委託処理等に関する措置）
第１５条　情報処理や作業を第三者に委託するために、個人情報を第三者に預託する場合においては、担当者は事前に個人情報管理者に　届け出なければならない。
　２　個人情報管理者は、以下の各号の措置を講じ個人情報管理責任者の承認を得てから基本契約を締結しなければならない。基本契約締結後に個別契約を締結し、当該個人情報の預託は、個別契約締結後にしなければならない。
　（１）個人情報の預託先について預託先責任者との面接等、預託先の情報処理施設の現場状況の調査を実施し、個人情報保護・セキュリティ管理の水準が当社と同等以上であること及び預託先の財務的な安全性を確認すること。
　（２）次の事項を入れた基本契約書案を作成すること。
　　　①守秘義務の存在、取扱うことができる者の範囲に関する事項
　　　②預託先における個人情報の秘密保持方法、管理方法についての事項
　　　③預託先の個人情報取扱担当者に対する個人情報保護のための教育・訓練に関する事項
　　　④契約終了時の個人情報の返却及び消去に関する事項
　　　⑤個人情報が漏えい、その他事故の場合における措置、責任分担についての事項
　　　⑥再委託に関する事項
　　　⑦当社からの調査の受け入れについての事項
　３　個別契約に基づき個人情報を預託先に提供するときは、担当者は前項（２）号の事項を記した書面を預託先に交付して、注意を促さなければならない。
　４　委託中に担当者は、預託先が当社との契約を遵守しているかどうかを確認し、万一契約に抵触する事項を発見したときは、その旨を個人情報管理者に通知しなければならない。
　５　前項の通知を受けた個人情報管理者は、直ちに個人情報管理責任者と協議して個人情報の預託先に対して必要な措置を講じなければならない。
　６個人情報管理者は、定期的に個人情報の預託先責任者との面接等、預託先の情報処理施設の現場状況の調査をしなければならない。
　７　個人情報管理責任者は、本条に基づき作成された基本契約、個別契約、調査報告書、通知書等の文書（電磁的記録を含む）を当該個人情報の預託先との個別契約終了後７年間保存しなければならない。

（個人情報の第三者への提供）
第１６条　個人情報の第三者への提供を原則禁止する。ただし、担当者が業務上第三者への提供をやむを得ないと判断した場合、これを個　人情報管理者に届け出るものとする。
　２　前項の通知を受けた個人情報管理者は、直ちに個人情報管理責任者と協議して、個人情報管理責任者の承認を得なければならない。
　３　第三者への提供は、個人情報管理責任者の承認を得て、個人情報管理責任者が必要な措置を講じた後でなければならない。

（個人情報の共同利用）
第１７条　個人情報を第三者との間で共同利用する場合、担当者は個人情報管理者に届け出なければならない。
　２　前項の通知を受けた個人情報管理者は、直ちに個人情報管理責任者と協議して、個人情報管理責任者の承認を得なければならない。
　３　個人情報の共同利用は、個人情報管理責任者の承認を得て、個人情報管理責任者が必要な措置を講じた後でなければならない。

第５章　自己情報に関する情報主体からの諸請求に対する対応

（自己情報に関する権利）
第１８条　当社が保有している個人情報について、情報主体から自己の情報について開示を求められた場合、個人情報管理責任者は、遅滞なく当該情報主体に対して当社が保有している当該情報主体の個人情報（当該個人情報が存在しない場合はその旨）を、当該情報主体の希望する方法で開示しなければならない。
　２　開示した結果、誤った情報があった場合で、訂正、追加又は削除を求められたときは、個人情報管理責任者は遅滞なく訂正等を行い、訂正等の後、遅滞なく情報主体に対して通知しなければならない。

（自己情報の利用又は提供の拒否権）
第１９条　当社が保有している個人情報について、情報主体から自己情報についての利用又は第三者への提供を拒まれた場合は、これに応じなければならない。ただし、警察、税務署、裁判所等の公的機関からの法令に基づく権限の行使による開示請求等又は当社の法令に定められている義務の履行のために必要な場合については、この限りでない。

第６章　管理組織・体制

（個人情報管理責任者・個人情報管理者・個人情報取扱担当者・担当者）
第２０条　個人情報管理責任者は、個人情報の保護についての統括的責任と権限を有する責任者であって、当社代表者から選任された当社情報処理責任者（ＣＩＯ）が就任して「情報セキュリティ管理責任者」を兼務し、次項に定める業務を行わなければならない。
　２　個人情報管理責任者は、各部に１名以上の個人情報管理者を選任し、自己に代わり必要な個人情報保護についての業務を行わせ、これを管理・監督しなければならない。
　３　個人情報管理者は、部に所属する者のなかから、必要な人数の個人情報取扱担当者及び担当者を選任しなければならない。

（個人情報保護監査責任者）
第２１条　個人情報保護監査責任者は、個人情報管理責任者から独立した公平かつ客観的な立場で監査の実施及び報告を行う権限を有し、この者を当社代表者が選任する。ただし、社外の第三者に監査業務を委託することを妨げない。
　２　個人情報保護監査責任者は、個人情報保護計画に従い、年１回監査を実施し、監査結果を取締役会に報告しなければならない。

（個人情報保護苦情・相談窓口の設置）
第２２条　個人情報管理責任者は、個人情報及び個人情報保護計画に関しての苦情・相談を受け付けて対応する窓口を常設し、この連絡先を情報主体に告知しなければならない。

第７章　個人情報管理責任者の職務

（個人情報の特定とリスク調査）
第２３条　個人情報管理責任者は、当社が保有する全ての個人情報を特定し、危機を調査・分析するための手順・方法を確立し、維持しなければならない。
　２　個人情報管理責任者は、各部ごとに前項の手順に従い各部における個人情報を特定して、その特定した個人情報に関する危機（個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど）を調査・分析の上、適切な保護措置を講じない場合の影響を認識し、必要な対策を策定し維持しなければならない。

（法令及びその他の規範）
第２４条　個人情報管理責任者は、個人情報に関する法令及びその他の規範を特定し、参照できる手順を確立・維持しなければならない。

（個人情報保護計画の策定）
第２５条　個人情報管理責任者は、個人情報管理者の協力を得て個人情報を保護するために必要な個人情報保護計画を年１回立案して文　書化し、かつ実施、評価、改善をしなければならない。
　２　個人情報保護計画には次の事項を入れなければならない。
　（１）個人情報の特定と危機対策
　　　①個人情報を記録したシステム、媒体の特定
　　　②個人情報に対する危機の識別
　　　③危機の調査・分析に基づく対応策の策定、実施、評価、改善
　（２）個人情報保護のための責任者、管理者、担当者の業務と業務方法
　　　①個人情報管理責任者
　　　②個人情報管理者
　　　③個人情報取扱担当者
　　　④個人情報保護苦情及び相談窓口
　　　⑤担当者
　　　⑥個人情報保護監査責任者
　（３）研修実施計画
　　　①個人情報管理者、個人情報取扱担当者、苦情及び相談窓口、個人情報保護監査責任者に対する研修実施計画（研修項目、時間割、講師、日程、予算）
　　　②一般社員に対する研修実施計画（研修項目、時間割、講師、日程、予算）
　（４）委託先に対する監査計画及び必要な場合の研修計画
　　　①監査体制、日程、監査方法、監査報告様式
　　　②委託先研修実施計画（研修項目、時間割、講師、日程、予算）

（本規定等の見直し）
第２６条　個人情報管理責任者は、監査報告書及びその他の経営環境等に照らして、適切な個人情報の保護を維持するために、少なくとも　年１回本規定及び本規定に基づく個人情報保護計画を見直し、取締役会の承認を得なければならない。

（文書の管理）
第２７条　個人情報管理責任者は、この規定に基づき作成される文書（電磁的記録を含む）を管理しなければならない。

（研修実施）
第２８条　個人情報管理責任者は、当社従業者その他個人情報の預託先等の関係者に対して、個人情報保護計画に基づき次のような研修を行い、評価しなければならない。
　（１）個人情報保護法の内容
　（２）個人情報保護方針、本規定の内容
　（３）個人情報保護計画の内容と役割分担
　（４）セキュリティ教育
　２　個人情報管理責任者は、個人情報管理者に対して下記のような研修を行い、評価しなければならない。
　（１）個人情報保護法の内容
　（２）個人情報保護方針、本規定の内容と個人情報管理者の役割
　（３）個人情報保護計画の内容と個人情報管理者の役割
　（４）セキュリティ管理教育
　（５）個人情報の預託先の調査
　（６）個人情報の漏えい事故等が発生した場合の対応
　３　個人情報管理責任者は、第１項及び前項の研修を効果的に行い、個人情報の重要性を自覚させる手順・方法を確立し維持しなければならない。

第８章　監査

（監査計画）
第２９条　個人情報保護監査責任者は、年１回個人情報保護のための監査計画を立案し、取締役会の承認を得なければならない。
　２　監査計画には、次の事項を入れなければならない。
　（１）監査体制
　（２）日程
　（３）監査方法
　（４）監査報告様式

（監査の実施）
第３０条　個人情報保護監査責任者は、本規定及び個人情報保護計画を一般水準を満たしているか確認するとともにその運用状況を監査しなければならない。
　２　個人情報保護監査責任者は、監査の指揮及び監査報告書を作成して当社取締役会に報告しなければならない。
　３　個人情報管理責任者は、監査報告書を管理し、保管しなければならない。

第９章　廃棄

（個人情報の廃棄）
第３１条　紙面等による個人情報を廃棄する場合は、情報そのものや印章などをシュレッダー等にかけ、読み取り不能にした上で信頼できる　廃棄物処理業者に廃棄の委託をする。
　２　個人情報を記録したコンピュータ、記憶媒体を廃棄するときは、特別のソフトウェアを使用して個人情報を完全に消去するか、記憶媒体を物理的に破壊してから廃棄する。
　３　個人情報を記録したコンピュータを他に転用するときは、特別のソフトウェアを使用して個人情報を完全に消去してから転用する。
　４　個人情報の廃棄作業は個人情報取扱担当者が行う。
　５　廃棄の基準について、情報主体に告知しなければならない。

第１０章　罰則

（罰則）
第３２条　当社は、本規定に違反した従業員に対して就業規則に基づき懲戒を行わなければならない。懲戒の手続きは別に定める。

第１１章　規定の改廃

（規定の改廃）
第３３条　この規定の改廃は、「規定制定改廃規定」に従う。

　以上

　　※このほか未成年者との取引がある場合は、本人（未成年者）と保護者（親権者など）を定義し両者の同意を得ること、及び両者に対する手続きを規定しておく。