第2章 個人情報の取得、利用
利用目的の特定
第4条 法人は、個人情報を取り扱うにあたっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 法人は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
利用目的による制限
第5条 法人は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 法人は、合併その他の事由により他の事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。
(1)法令、条例又はこれらに基づく行政通知等(以下「法令等」という。)に基づく場合
(2)出版、報道等により公にされているとき。
(3)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(5)法令等の定める事務を遂行することに対して法人が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
取得の制限
第6条 法人は、個人情報保護を取得するときは、個人情報を取り扱う事業の目的を明確にし、当該事業の目的を達成するために必要な範囲で、適法かつ公正な手段により取得しなければならない。
2 法人は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)法令等の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5)当該要配慮者個人情報が、本人、国の機関、地方公共団体、出版、報道等により公にされているとき。
(6)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得するとき。
(7)第14条第2項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。
3 法人は、個人情報を収集するとき(前項の規定により要配慮個人情報を取得する場合を除く。)には、本人からこれを取得しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りではない。
(1)本人の同意があるとき。
(2)法令等に定めがあるとき。
(3)出版、報道等により公にされているとき。
(4)個人の生命、身体又は財産の安全を守るため、緊急かつやむを得ないと認められるとき。
(5)所在不明、その他の事由により、本人から取得することができないとき。
(6)争訟、選考、指導、相談等の事業で本人から取得したのではその目的を達成し得ないと認められるとき、又は事業の性質上本人から取得したのでは事業の適正な執行に支障が生じると認められるとき。
取得に際しての利用目的の通知等
第7条 法人は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 法人は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 法人は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前3項の規定は、次に掲げる場合については、適用しない。
(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)利用目的を本人に通知し、又は公表することにより法人の権利又は正当な利益を害するおそれがある場合
(3)法令等の定める事務を遂行することに対して法人が協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(4)取得の状況からみて利用目的が明らかであると認められる場合
第3章 個人データの安全・適正な管理
データ内容の正確性の確保等
第8条 法人は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
安全管理措置
第9条 法人は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
職員等の監督
第10条 法人は、職員等に個人データを取り扱わせるにあたっては、当該個人データの安全管理が図られるよう、職員等に対する必要かつ適切な監督を行わなければならない。
委託先の監督
第11条 法人は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
委託等に伴う措置
第12条 法人は、委託を受けた者を監督するにあたっては、個人情報の保護に関し次の各号に定める措置を講じなければならない。
(1)再委託の禁止
(2)第三者への提供の制限
(3)委託された事業以外への使用の禁止
(4)複写及び複製の制限
(5)秘密保持の義務
(6)返還及び廃棄の義務
(7)事故発生時における報告の義務
受託者等の責務
第13条 法人から個人情報を取り扱う事業を受託した者は、前条に基づき個人情報の漏えい、滅失及びき損防止その他個人情報の適正な管理のために必要な措置を講ずるよう努めなければならない。
2 前項の受託事業に従事している者又は従事していた者は、その事業に関して知り得た個人情報をみだりに他人に知らせ、又は不当な目的に使用してはならない。
第4章 個人データの第三者提供の制限
第14条 法人は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(1)法令等に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)法令等の定める事務を遂行することに対して法人が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。
(1)法人が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2)合併その他の事由による事業の承継に伴って個人データが提供される場合
(3)特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
3 法人は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名もしくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
第三者提供をする際の記録
第14条の2 法人は、個人データを第三者に提供したときは、次に掲げる事項に関する記録を作成しなければならない。ただし、当該個人データの提供が前条第1項各号又は第2項各号のいずれかに該当する場合は、この限りでない。
(1)前条第1項の本人の同意を得ている旨
(2) 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
(3) 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
(4)当該個人データの項目
2 前項の記録は、個人データを第三者に提供した都度、速やかに作成しなければならない。
3 第1項の記録は、その作成日から3年間保存しなければならない。
第三者提供を受ける際の確認及び記録
第14条の3 法人は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第14条第1項各号又は第2項各号のいずれかに該当する場合は、この限りでない。
(1)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
(2)当該第三者による当該個人データの取得の経緯
2 法人は、前項による確認を行ったときは、次に掲げる事項に関する記録を作成しなければならない。
(1)本人の同意を得ている旨(個人情報取扱事業者以外の第三者から個人データの提供を受けた場合を除く。)
(2)第1項各号に掲げる事項
(3)当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
(4)当該個人データの項目
3 前項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。
4 第2項記録は、その作成日から3年間保存しなければならない。
第5章 本人関与のしくみ
第三者提供を受ける際の確認及び記録
第15条 法人は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
(1)法人の名称
(2)すべての保有個人データの利用目的(第7条第4項第一号から第四号までに該当する場合を除く。)
(3)第17条第1項、第23条第1項又は第24条第1項もしくは第2項の規定による求めに応じる手続(第19条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
(4)前3号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項
2 法人は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
(1)前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
(2)第7条第4項第一号から第四号までに該当する場合
3 法人は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
開示の請求
第16条 本人は、法人に対し、法人の職員等が作成し、又は取得した文書等であって、組織的に用いるものとして、法人が保有しているもの(新聞、雑誌、書籍その他の不特定多数の者に販売することを目的として発行されるものを除く。以下「請求対象文書」という。)に記録されている、当該本人が識別される保有個人データの開示を請求すること(以下「開示請求」という。)ができる。
2 保有個人データの開示請求は、本人に代わって、未成年者もしくは成年被後見人の法定代理人、又は開示請求をすることにつき本人が委任した代理人によって行うことができる。
開示
第17条 法人は、前条第1項の規定による保有個人データの開示請求を受けたときは、本人に対し、第21条に定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1)法令等の定めるところにより本人に開示することができないと認められるとき。
(2)個人の評価、診断、判断、選考、指導、相談等に関する保有個人データであって、開示することにより、事業の適正な執行に支障が生ずるおそれがあるとき。
(3) 調査、争訟等に関する保有個人データであって、開示することにより、事業の適正な執行に支障が生ずるおそれがあるとき。
(4)開示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき。
(5)県・市その他関係機関との間における協議、協力等により作成し、又は取得した保有個人データであって、当該機関が開示することに同意しないとき。
(6)未成年者又は成年被後見人の法定代理人による開示請求がなされた場合であって、開示することが当該未成年者又は成年被後見人の利益に反すると認められるとき。
2 法人は、前項の規定による開示請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければならない。
開示請求の方法
第18条 第16条第1項の規定に基づき開示請求をしようとする者は、法人に対して、別に定める保有個人データ開示等請求書を提出しなければならない。
2 開示請求をしようとする者は、法人に対して、自己が当該開示請求に係る保有個人データの本人又はその代理人であることを証明するために必要な書類を提出し、又は提示しなければならない。
3 法人は、本人に対し、開示請求に関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、法人は、本人が容易かつ的確に開示請求をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
4 法人は、開示請求書に形式上の不備があると認めるときは、開示請求をした者(以下「開示請求者」という。)に対し、相当の期間を定めてその補正を求めることとし、開示請求者が補正を行わない場合には、当該開示請求に応じないことができる。
手数料
第19条 法人は、第15条第2項の規定による利用目的の通知又は第16条第1項の規定による開示請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。
2 法人は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
開示請求に対する決定
第20条 法人は、開示請求があった日から原則として10日以内に、開示請求者に対して、開示請求に係る保有個人データの全部もしくは一部を開示する旨の決定又は開示しない旨の決定(第22条の規定により開示請求を拒否するとき及び開示請求に係る保有個人データが記録された請求対象文書を保有していないときの当該決定を含む。)をするものとする。ただし、第18条第4項の規定により、補正を求めた場合にあっては、当該補正に要した日数は、当該期間に算入しない。
2 法人は、前項の決定(以下「開示決定等」という。)をしたときは、開示請求者に対し、遅滞なく書面によりその旨通知するものとする。
3 法人は、やむを得ない理由により、第1項に規定する期間内に開示決定等をすることができないと認められる場合には、30日以内に決定するものとする。
4 法人は、第1項の規定により開示請求に係る保有個人データの全部又は一部を開示しないときは、開示請求者に対し、第2項に規定する書面によりその理由を示すものとする。
5 法人は、開示決定等をする場合において、当該決定に係る保有個人データに法人以外の者との間における協議、協力等により作成し、又は、取得した保有個人データがあるときは、あらかじめ、これらの者の意見を聴くことができる。
開示の方法
第21条 保有個人データの開示は、保有個人データが記録された請求対象文書の当該保有個人データに係る部分につき、文書、図画又は写真にあっては閲覧もしくは視聴又は写しの交付により、フィルムにあっては視聴又は写しの交付により、磁気テープ、磁気ディスク等にあっては視聴、閲覧、写しの交付等で適切な方法により行う。
2 前項の視聴又は閲覧の方法による保有個人データの開示にあっては、法人は、当該個人情報が記録された請求対象文書の保存に支障が生ずるおそれがあると認めるときその他合理的な理由があるときは、当該保有個人データが記録された請求対象文書の写しにより開示することができる。
保有個人データの存否に関する情報
第22条 開示請求に対し、当該開示請求に係る保有個人データが存在しているか否かを答えるだけで、非開示情報を開示することとなるときは、法人は、当該保有個人データの存否を明らかにしないで、当該開示請求を拒否することができる。
訂正等
第23条 本人は、法人に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。
2 法人は、前項の規定による訂正等の請求を受けた場合には、その内容の訂正等に関して法令等の規定により特別の手続きが定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
3 法人は、第1項の規定による請求に係る保有個人データの内容の全部もしくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。
利用停止等
第24条 本人は、法人に対し、当該本人が識別される保有個人データが第5条の規定に違反して取り扱われているとき又は第6条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
2 法人は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3 本人は、法人に対し、当該本人が識別される保有個人データが第14条第1項の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
4 法人は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
5 法人は、第1項の規定による請求に係る保有個人データの全部もしくは一部について利用停止等を行ったときもしくは利用停止等を行わない旨の決定をしたとき、又は第3項の規定による請求に係る保有個人データの全部もしくは一部について第三者への提供を停止したときもしくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
第6章 苦情等の手続き
苦情の処理
第25条 法人は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 法人は、前項の目的を達成するために必要な体制の整備に努めなければならない。
理由の説明
第26条 法人は、第15条第3項、第17条第2項、第23条第3項又は第24条第5項の規定により、本人から求められ又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。
異議の申出
第27条 第15条における利用目的を通知しない旨の決定、第17条における開示しない旨の決定、第23条における訂正等を行わない旨の決定又は第24条における利用停止等を行わない旨の決定及び第三者への提供停止を行わない旨の決定について異議があるときは、本人は、法人に対して書面により異議の申出(以下「異議申出」という。)ができる。
2 前項の異議申出は、前項の決定があったことを知った日の翌日から起算して60日以内に行わなければならない。
3 第1項の異議申出があった場合は、法人は、当該異議申出のあった日から原則として14日以内に対象となった決定について再度の検討を行なった上で、当該異議申出についての回答を書面により行うものとする。
4 法人は、やむを得ない理由により、前項に規定する期間内に異議申出に対する回答を行うことができないと認められる場合には、30日以内に行うよう努めるものとする。
5 第3項及び前項に定める異議申出に対する回答は、別に定める苦情解決に関する規程により行うものとする。
他の制度との調整等
第28条 法令等の規定により、法人に対して保有個人データの開示等の請求その他これに類する請求ができる場合は、その定めるところによる。
委任
第29条 この規程の施行に関し必要な事項は、理事長が別に定める。
付則
この規程は、令和2年6月30日より施行する。