個人情報取扱規程
第1条(目的)
本規程は、アプセル株式会社(以下「当社」という。)が、個人情報の保護に関する法律(以下「法」という。)、個人情報の保護に関する法律施行令、個人情報の保護に関する基本方針(閣議決定)及び個人情報の保護に関する法律についてのガイドライン(通則編)等を踏まえ、当社における個人情報の適正な取扱いを確保するため、当社が講ずべき具体的措置等を定めるものである。
第2条(定義)
本規程において、次の各号に掲げる用語の定義は、当該各号に定めるところによる。
(1) 個人情報
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)又は個人識別符号(当該情報単体から特定の個人を識別できるものとして個人情報の保護に関する法律施行令に定められた文字、番号、記号その他の符号)が含まれるものをいう。
「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。
「他の情報と容易に照合することができ」るとは、個々の事例ごとに判断されるべきであるが、通常の業務における一般的な方法で、他の情報と容易に照合することができる状態をいい、例えば、他の事業者への照会を要する場合等であって照合が困難な状態は、一般に、容易に照合することができない状態である。
なお、生存しない個人に関する情報が、同時に、遺族等の生存する個人に関する情報に当たる場合には、当該生存する個人に関する情報となる。
また、企業名等、法人その他の団体に関する情報は、基本的に「個人情報」には該当しないが、役員の氏名などの個人に関する情報が含まれる場合には、その部分については、「個人情報」に該当する。
さらに、「個人」には外国人も当然に含まれる。
(2) 個人情報データベース等
個人情報を含む情報の集合物であって、次に掲げるものをいう。
イ 特定の個人情報をコンピューターを用いて検索することができるように体系的に構成したもの
ロ イに掲げるもののほか、個人情報を一定の規則に従って整理・分類し、特定の個人情報を容易に検索することができるように体系的に構成したものであって、目次、索引、符号等により容易に検索可能な状態に置かれているもの
(3) 個人データ
個人情報データベース等を構成する個人情報をいう。
なお、個人情報データベース等から記録媒体へダウンロードされたもの及び紙面に出力されたもの(そのコピーを含む。)も含まれる。
(4) 保有個人データ
当社が、本人又はその代理人から請求される開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止に応じることのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして次に掲げるもの以外のもの及び6か月以内に消去すること(更新することを除く。)となるもの以外のものをいう。
イ 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
ロ 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
ハ 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
ニ 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
(5) 要配慮個人情報
人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実及び以下の記述等が含まれる個人情報をいう。
イ 身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。
ロ 本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果
ハ 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
ニ 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
ホ 本人を少年法(昭和二十三年法律第百六十八号)第三条第一項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。
(6) 本人
個人情報によって識別される特定の個人をいう。
第3条(情報管理統括責任者及び情報管理者)
1 当社は、個人情報保護に関する施策を効果的に実施するため、情報セキュリティ管理責任者をおく。
2 情報セキュリティ管理責任者は代表取締役社長がその任に当たる。
3 情報セキュリティ管理責任者は、個人情報保護に関する統轄責任者として当社における個人情報保護に関する業務全般の統轄管理を行う。
第4条(利用目的の特定)
当社は、取得した個人情報を次の目的で利用するものとする。
(1) EC ストアのアプリ企画・運営サービス「AppSule」その他の当社のサービスの提供のため
(2) 当社サービスに関するご案内、お問い合わせ等への対応のため
(3) 当社の商品、当社サービス等のご案内のため
(4) 当社サービスに関する当社の規約、ポリシー等(以下「規約等」といいます。)に違反する行為に対する対応のため
(5) 当社サービスに関する規約等の変更などを通知するため
(6) 当社サービスの改善、新サービスの開発等に役立てるため
(7) 当社サービスに関連して、個人を識別できない形式に加工した統計データを作成するため
(8) その他、上記利用目的に付随する目的のため
2 当社は、法第15条第2項に従い第1項に定めた利用目的を変更する場合には、変更後の利用目的が変更前の利用目的からみて、社会通念上本人が通常予期し得る限度と客観的に認められる範囲内を超えて行ってはならない。なお、この範囲を超える変更を行う場合には、法第16条第1項の規定により、本人の同意を得なければならない。
第5条(利用目的による制限)
1 当社は、あらかじめ本人の同意を得ることなく、第4条第1項に定めた利用目的の達成に必要な範囲を超えて、個人情報の取扱いは行わないものとする。ただし、あらかじめ本人の同意を得るために個人情報を利用することは、当初特定した利用目的にない場合にも、目的外利用には当たらない。
2 当社は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該他の個人情報取扱事業者の個人情報の利用目的の達成に必要な範囲を超えて当該個人情報の取扱いは行わないものとする。ただし、あらかじめ本人の同意を得るために個人情報を利用することは、承継前の利用目的にない場合にも、目的外利用には当たらない。
3 前二項の規定は、次に掲げる場合については適用しない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産(法人の財産を含む。)の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
第6条(要配慮個人情報の取得制限)
当社は、次に掲げる場合を除き、あらかじめ本人の同意を得ないで、要配慮個人情報を取得しないものとする。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 公衆衛生の向上又は児童の健全な育成の推進のため特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(5) 当該要配慮個人情報が、本人、国の機関、地方公共団体、法第76条第1項各号に掲げる者、外国政府、外国の政府機関、外国の地方公共団体、国際機関、又は外国において法第76条第1項各号に掲げる者に相当する者により公開されているとき
(6) 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得するとき
(7) 法第23条第5項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき
第7条(適正な個人情報の取得)
当社は、偽りその他不正の手段により個人情報を取得してはならない。また、当社は、第三者から個人情報を取得するに際して、不正な手段で取得された個人情報であることを知り又は容易に知ることができる場合には、当該個人情報を取得しないものとする。
第8条(個人情報取得時の利用目的の通知・公表、明示等)
1 当社は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表しなければならない。
2 当社は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面に記載された個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 当社は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については適用しない。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することにより当社の権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(4) 取得の状況からみて利用目的が明らかであると認められる場合
第9条(データ内容の正確性の確保)
当社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。このため、当社は、利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等は、当該個人データを遅滞なく消去するよう努める。ただし、法令等に基づく保存期間の定めがある場合には、この限りでない。
第10条(安全管理措置)
1 当社は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、安全管理に係る安全管理措置に係る実施体制の整備等の必要かつ適切な措置を講じるものとする。必要かつ適切な措置は、個人データの取得・利用・保管等の各段階に応じた組織的安全管理措置、人的安全管理措置及び技術的安全管理措置を含むものとする。当該措置は、個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)及び個人データを記録した媒体の性質等に起因するリスクに応じたものとする。
2 当社は、個人データの安全管理に係る実施体制の整備として、次に掲げる組織的安全管理措置、人的安全管理措置、物理的安全管理措置及び技術的安全管理措置を講じるものとする。
(1) 組織的安全管理措置
イ 組織体制の整備
ロ 本規程等の規律に従った運用
ハ 個人データの取扱状況を確認する手段の整備
ニ 漏えい等の事案に対応する体制の整備
ホ 取扱状況の把握及び安全管理措置の見直し
(2) 人的安全管理措置
役職員に対する個人データの取扱いに関する留意事項の周知徹底及び教育
(3) 物理的安全管理措置
イ 個人データを取り扱う区域の管理
ロ 機器及び電子媒体等の盗難等の防止
ハ 電子媒体等を持ち運ぶ際の漏えい等の防止
ニ 個人データの削除及び機器、電子媒体等の廃棄
(4) 技術的安全管理措置
イ 個人データを取り扱う役職員の特定とアクセス制御
ロ アクセス者の識別と認証
ハ 外部からの不正アクセス等の防止
ニ 情報システムの使用に伴う漏えい等の防止
第11条(役職員の監督)
情報セキュリティ管理責任者は、その役職員に個人データを取り扱わせるにあたっては、当該個人データの安全管理が図られるよう、その役職員に対する必要かつ適切な監督を行うものとする。当該監督は、個人データが漏えい、滅失又はき損をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じたものとする。
第12条(委託先の監督)
当社は、個人データの取扱いの全部又は一部を委託(契約の形態や種類を問わず、当社が他の者に個人データの取扱いの全部又は一部を行わせることを内容とする契約の一切を含む。)する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託契約等によって次の各号に定める内容を規定し、その保護水準を担保するほか、委託を受けた者に対する必要かつ適切な監督を行うものとする。当該監督は、個人データが漏えい、滅失又はき損をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じたものとする。
(1) 個人データに関する機密保護に関する事項(委託先における個人データの漏えい・盗用・改ざん及び目的外利用の禁止を含む。)
(2) 再委託に関する条件
(3) 漏えい等の事故発生時の委託先の責任
(4) 契約終了時の個人データの返却及び消去等に関する事項
2 当社は、個人データを適正に取り扱っていると認められる者を選定し委託するとともに、取扱いを委託した個人データの安全管理措置が図られるよう、個人データの安全管理のための措置を委託先においても確保しなければならない。なお、二段階以上の委託が行われた場合には、委託先の事業者が再委託先等の事業者に対して十分な監督を行っているかについても監督を行うものとする。
第13条(第三者提供の制限)
1 当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ることなく、個人データを第三者に提供しないものとする。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産(法人の財産を含む。)の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
2 当社は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項にかかわらず、当該個人データを第三者に提供することができる。
(1) 第三者への提供を利用目的とすること
(2) 第三者に提供される個人データの項目
(3) 第三者への提供の手段又は方法
(4) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
(5) 本人の求めを受け付ける方法
3 当社は、前項第2号、第3号又は第5号に掲げる事項を変更する場合は、変更する内容について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4 次に掲げる場合において、当該個人データの提供を受ける者は、第三者に該当しない。
(1) 当社が、利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
(2) 合併その他の事由による事業の承継に伴って個人データが提供される場合
(3) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者(共同して利用する者において第一次的に苦情を受け付け、その処理を行うとともに、開示、訂正等及び利用停止等の決定を行い、安全管理の責任を有する者をいう。第6項において「管理責任者」という。)の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
5 当社が、前項第3号の規定により行う通知は、原則として書面によることとし、共同して利用する者の範囲については、共同利用者を個別列挙するよう努めなければならない。
6 当社は、第4項第3号に規定する利用者の利用目的又は管理責任者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
第14条(外国にある第三者への提供の制限)
当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ることなく、個人データを外国にある第三者に提供しないものとする
(1) 個人情報保護委員会規則で定める外国における第三者に提供する場合
(2) 個人情報保護委員会規則で定める基準に適合する体制を整備している第三者に提供する場合
(3) 法令に基づく場合
(4) 人の生命、身体又は財産(法人の財産を含む。)の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(5) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(6) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
第15条 (第三者提供に係る記録の作成)
1 当社は、個人データを第三者に提供したときは、速やかに、当該データを提供した年月日(第13条第2項に基づき個人データの提供を行う場合に限る。)、本人の同意を得ている旨(本人の同意に基づき個人データの提供を行う場合に限る。)、当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)、当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項及び当該個人情報の項目に関する記録(既に記録されている事項と内容が同一であるものを除く。)を作成する。ただし、国の機関、地方公共団体、独立行政法人等又は地方独立行政法人に提供した場合、並びに第13条第1項各号及び同条第4項各号に基づき提供した場合を除く。
2 前項の規定にかかわらず、特定の第三者に対し個人データを継続的に若しくは反復して提供したとき(第13条第2項に基づき個人データの提供を行う場合を除く。)、又は特定の第三者に対し個人データを継続的に若しくは反復して提供することが確実であると見込まれるときは、一括して記録を作成することができる。
3 第1項の規定にかかわらず、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に前項に規定する事項が記載されているときは、当該書面をもって前項の記録に代えることができる。
4 記録の保存期間は、次の各号に掲げる区分に応じて、それぞれ当該各号に定める期間とする。
(1) 第3項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間
(2) 第2項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間
(3) 前二号以外の場合 3年
第16条(第三者提供を受ける際の確認等)
1 当社は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行う。ただし、第13条第1項各号及び同条第4項各号に基づき提供した場合を除く。
(1) 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理者の定めのあるものにあっては、その代表者又は管理人)の氏名
(2) 当該第三者による当該個人データの取得の経緯
2 当社は、前項に規定による確認を行ったときは、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項に関する記録を作成する。
(1) 個人情報取扱事業者から法第23条第2項の規定による個人データの提供を受けた場合
イ 個人データの提供を受けた年月日
ロ 前項各号に掲げる事項
ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
ニ 当該個人データの項目
ホ 法第23条第4項により公表されている旨
(2) 個人情報取扱事業者から本人の同意に基づき個人データの提供を受けた場合
イ 本人の同意を得ている旨
ロ 前号ロからニまでに掲げる事項
(3) 個人情報取扱事業者以外の者から個人データの提供を受けた場合 第1号ロからニまでに掲げる事項
3 前項の規定にかかわらず、特定の第三者から継続的に若しくは反復して個人データの提供を受けたとき(第13条第2項に基づき個人データの提供を行う場合を除く。)、又は特定の第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときは、一括して記録を作成することができる。
4 第2項の規定にかかわらず、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に第2項に規定する事項が記載されているときは、当該書面をもって第2項の記録に代えることができる。
5 記録の保存期間は、次の各号に掲げる区分に応じて、それぞれ当該各号に定める期間とする。
(1) 第4項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して1年を経過する日までの間
(2) 第3項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して3年を経過する日までの間
(3) 前二号以外の場合 3年
第17条(保有個人データに関する事項の公表等)
1 当社は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くものとする。なお、利用目的に第三者提供が含まれる場合には、第2号の内容として、その旨を記載しなければならない。
(1) 当社の名称
(2) すべての保有個人データの利用目的(ただし、第8条第4項第1号から第3号に該当する場合を除く。)
(3) 次項の規定による求め又は次条第1項、第19条第1項若しくは第20条第1項若しくは第2項の規定による求めに応じる手続(第23条の規定により手数料の額を定めたときは、その手数料の額を含む。)
(4) 保有個人データの取扱いに関する当社における苦情の申出先
(5) 認定個人情報保護団体の名称及びその苦情の解決の申出先
2 当社は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知するものとする。ただし、次の各号のいずれかに該当する場合は、この限りではない。
(1) 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
(2) 第8条第4項第1号から第3号に該当する場合
3 当社は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
第18条(開示)
1 当社は、本人から、当該本人が識別される保有個人データについて開示を求められたときは、本人に対し、書面の交付による方法又は開示の求めを行った者が同意した方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3) 他の法令に違反することとなる場合
2 当社は、前項の規定に基づき、求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。また、その決定の理由について、根拠とした法の条文及び判断の基準となる事実を示して遅滞なく説明を行うこととする。
第19条(訂正等)
1 当社は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下「訂正等」という。)を求められた場合には、利用目的の達成に必要な範囲内において、遅滞なく、事実の確認等の必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
2 当社は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なくその旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。なお、当社が訂正等を行わない場合は、訂正等を行わない根拠及びその根拠となる事実を示し、その理由を説明することとする。
第20条(利用停止等)
1 当社は、本人から、当該本人が識別される保有個人データが第5条の規定に違反して取り扱われているという理由又は第7条の規定に違反して取得されているという理由その他本規程に違反して取り扱われているという理由(ただし、次項に定めるものを除く。)によって、当該保有個人データの利用停止又は消去(以下「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2 当社は、本人から、当該本人が識別される保有個人データが第13条第1項又は第14条の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止が求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止するものとする。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するために必要なこれに代わるべき措置をとるときは、この限りでない。
3 当社は、第1項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨を決定したときは、本人に対し、遅滞なく、その旨(本人から求められた措置と異なる措置を行う場合にはその措置内容を含む。)を通知しなければならない。
第21条(理由の説明)
当社は、第17条第3項、第18条第2項、第19条第2項又は第20条第3項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、措置をとらないこととし、又は異なる措置をとることとした判断の根拠及び根拠となる事実を示し、その理由を説明するよう努めなければならない。
第22条(開示等の求めに応じる手続)
1 当社は、第17条第2項、第18条第1項、第19条第1項又は第20条第1項若しくは第2項の規定による求め(以下「開示等の求め」という。)に関し、次のとおりその受付けの方法を定めることとする。この場合において、当社は、第26条に定めるプライバシーポリシーと一体として、インターネットのホームページでの常時掲載等を行うよう努めることとする。
(1) 開示等の求めの申出先
(2) 開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式
(3) 開示等の求めをする者の本人確認方法
(4) 第23条に規定する手数料の金額とその徴収方法(無料とする場合を含む。)
(5) 開示等の求めの対象となる保有個人データの特定に必要な事項
(6) 開示等の求めに対する回答方法等
2 当社は、代理人(未成年者若しくは成年被後見人の法定代理人、又は本人が委任した任意代理人をいう。以下本項において同じ。)が開示等の求めを行う場合の手続きとして、前項各号に加えて次の事項を定めるものとする。なお、代理人による開示等の求めに対して、本人のみに直接開示等を行うことができる。
(1) 代理人の本人確認方法
(2) 代理人の代理権を確認する方法
3 当社は、前二項の規定に基づき開示等の求めに関する手続きを定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
第23条(手数料)
1 当社は、第17条第2項の規定による利用目的の通知又は第18条第1項の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。
2 当社は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。この場合において、当社は、同様の内容の開示等手続の平均的実費の予測等に基づき、合理的な手数料の額を定めなければならない。
第24条(当社における苦情の処理)
1 当社は、個人情報の取扱いに関する苦情を受けたときは、その内容について調査し、合理的期間内に、適切かつ迅速な処理に努めることとする。
2 当社は、苦情処理手順の策定、苦情受付窓口の設置、苦情処理に当たる役職員への十分な教育・研修など、苦情処理を適切かつ迅速に行うために必要な体制の整備に努めることとする。
第25条(漏えい事案等への対応)
1 当社は、個人情報の漏えい事案等の事故が発生した場合には、直ちに情報セキュリティ管理責任者に報告するとともに、被害が発覚時よりも拡大しないよう必要な措置を講ずる。
2 当社は、前項の場合において、事故に係る事実関係の調査及び原因の究明に必要な措置を講じ、影響範囲を特定するとともに、再発防止策の検討及び実施に必要な措置を速やかに講じる。
3 当社は、個人情報の漏えい事案等の事故が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、事実関係について、速やかに影響を受ける可能性のある本人に連絡し、又は本人が容易に知りうる状態に置くとともに、漏えい事案等の事実関係及び再発防止策等を早急に公表することとする。
4 当社は、個人情報の漏えい事案等の事故が発生した場合には、実質的に個人データが外部に漏えいしていないと判断される場合、及びFAX若しくはメールのご送信又は荷物の誤配等のうち軽微なものの場合を除き、個人情報保護委員会に速やかに報告することとする。
第26条(プライバシーポリシーの策定)
当社は、個人情報に対する取組み方針をあらかじめわかりやすく説明することの重要性に鑑み、プライバシーポリシーを策定し、公表するものとする。
附 則
第1条(施行期日)
本規程は、令和3年1月1日から施行する。
第2条(規程の改廃)
本規程の改廃は、当社代表取締役社長の決議による。
以上
令和3年1月1日制定