個人情報保護方針

1.総則

目的

第1条 本規程は、当法人における個人情報の適法かつ適正な取扱いの確保に関する基本的事項を定めることにより、個人の権利・利益を保護することを目的とする。

適用範囲

第2条 本規程は、当法人が現に保有している個人情報(その取扱いを委託されている個人情報を含む)を対象とする。

定義

第3条 本規程で掲げる用語の定義は、次の各号のとおりとする。

(1)「法」とは、個人情報の保護に関する法律(平成15年法律第57号)をいう。
(2)「政令」とは、個人情報の保護に関する法律施行令(平成15年政令第507号)をいう。
(3)「規則」とは、個人情報保護委員会が定める規則をいう。
(4)「ガイドライン」とは、「個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年個人情報保護委員会告示第6号)、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成28年個人情報保護委員会告示第7号)及び「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)(平成28年個人情報保護委員会告示第8号)を総称したものをいう。
(5)「個人情報」とは、法第2条第1項に規定する個人情報であって、生存する個人に関する情報であり、次の定めに該当するものをいう。

  1.当該情報に含まれる氏名、生年月日その他の記述等(文書、図面若しくは電磁的記録(電磁的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、若しくは記載され、または音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
  2.個人識別符号が含まれるもの

(6)「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、法第2条第1項第2号で定めるもの(別紙1)をいう。

  1.特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
  2.個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、または個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者または発行を受ける者ごとに異なるものとなるように割り当てられ、または記載され、若しくは記録されることにより、特定の利用者若しくは購入者または発行を受ける者を識別することができるもの

(7)「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法第2条第3項、政令第2条各号、規則第5条各号に定める記述等(別紙2)が含まれる個人情報をいう。
(8)「個人情報データベース等」とは、特定の個人情報をコンピュータ等を用いて検索できるように体系的に構成したもの及びこれに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索することができるためのものを有するものをいい、利用方法からみて個人の権利利益を害するおそれが少ないものとして次のいずれにも該当するものを除く。

  1.不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法または法に基づく命令の規定に違反して行われたものでないこと。
  2.不特定かつ多数の者により随時に購入することができ、またはできてものであること。
  3.生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。

(9)「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者いう。ただし、次に掲げる者を除く。

   1.国の機関
   2.地方公共団体
   3.独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)第2条第1項に規定する独立法人等をいう。)
   4.地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。)

(10)「個人データ」とは、個人情報のうち、個人情報データベース等を構成するものをいう。
(11)「保有個人データ」とは、当法人が、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止を行うことができる権限を有する個人データであって、以下のものを除く。

   1.6か月以内に消去することとなるもの
   2.当該個人データの存否が明らかになることにより、本人または第三者の生命、身体または財産に危害が及ぶおそれがあるもの
   3.当該個人データの存否が明らかになることにより、違法または不当な行為を助長し、または誘発するおそれがあるもの
   4.当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれまたは他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
   5.当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

(12)個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
(13)「役職員」とは、当法人の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、理事、監事、派遣社員等も含まれる。なお、本規程における用語は、他に特段の定めのない限り、法またはその他の関係法令の定めに従う。

個人情報保護方針

第4条 当法人は、法に基づく個人データの適正な取扱いの確保について組織として取り組むために、以下の事項を定めた個人情報保護方針を定めるものとする。

   1.事業者の名称
   2.関係法令・ガイドライン等の遵守
   3.利用目的
   4.安全管理措置に関する事項
   5.ご質問及び苦情の窓口

2.管理体制

組織的人的安全管理措置

組織体制

第5条 理事長または理事長が任命する者(以下、「個人情報保護管理者」という。)が当法人において個人情報を取扱う事務取扱責任者及び事務取扱担当者(以下「事務取扱者等」という。)を統括する。
  2 個人データを取り扱う各部門の責任者または各部門の責任者が任命する者が事務取扱責任者として、各部の個人情報を取り扱う事務取扱担当者を統括する。
  3 個人情報保護管理者は、個人情報管理に関する監査を除き、下記各号その他当法人における個人情    報管理に関する全ての職責と権限を有する。

   1.個人情報保護方針の策定、従業員への周知、一般への公表
   2.個人情報の適正な取扱いの維持・推進を目的とした諸施策の策定・実施
   3.事故発生時の対応策の策定・実施
   4.内部監査担当者より監査報告を受けた場合の個人情報管理体制の改善実施

  4 個人情報保護管理者ならびに事務取扱責任者は、個人情報の適正な取扱いを維持・推進するため、定期に教育・訓練計画を策定する。
  5 内部監査担当者は、定期に個人情報の取扱いに関する監査の計画を策定する。

事務取扱責任者の責務

第6条 事務取扱責任者は、本規程に定められた事項を理解し、遵守するとともに、事務取扱担当者にこれを理解させ、遵守させるための教育訓練、安全対策の実施並びに周知徹底等の措置を実施する責任を負う。
  2 事務取扱責任者は、次の業務を所管する。

   1.委託先の選定基準の承認及び周知
   2.個人情報の安全管理に関する教育・研修の企画
   3.個人情報の利用申請の承認及び記録等の管理
   4.管理区域及び取扱区域の設定
   5.個人情報の取扱区分及び権限についての設定及び変更の管理
   6.個人情報の取扱状況の把握
   7.委託先における個人情報の取扱状況等の監督
   8.その他当法人における個人情報の安全管理に関すること

事務取扱担当者の監督

第7条 事務取扱責任者は、個人情報が本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。

事務取扱担当者の責務

第8条 事務取扱担当者は、個人情報の取扱いまたは委託処理等、個人情報を取扱う業務に従事する際、法、政令及び規則並びにその他の関連法令、ガイドライン、本規程及びその他の法人内規程並びに事務取扱責任者の指示した事項に従い、個人情報の保護に十分な注意を払ってその業務を行うものとする。
  2 事務取扱担当者は、個人情報の漏えい等、法、政令及び規則並びにその他の関連法令、ガイドライン、本規程またはその他の法人内規程に違反している事実または兆候を把握した場合、速やかに事務取扱責任者に報告するものとする。

教育・研修

第9条 事務取扱責任者は、本規程に定められた事項を理解し、遵守するとともに、事務取扱担当者に本規程を遵守させるための教育訓練を企画・運営する責任を負う。

2 事務取扱担当者は、事務取扱責任者が主催する本規程を遵守させるための教育を受けなければならない。研修の内容及びスケジュールは、事業年度毎に事務取扱責任者が定める。

本規程に基づく運用状況の記録

第10条 事務取扱担当者は、本規程に基づく運用状況を確認するため、システム上で下記の事項をログとして記録する。

   1.個人情報の取得及び個人情報ファイルへの入力状況
   2.個人情報ファイルの利用・出力状況の記録
   3.書類・媒体等の持出しの記録
   4.個人情報ファイルの削除・廃棄記録
   5.削除・廃棄を委託した場合、これを証明する記録等
   6.個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録

取扱状況の確認手段

第11条 事務取扱担当者は、個人情報ファイルの取扱状況を確認するための手段として、「個人情報管理台帳」に以下の事項を記録するものとする。なお、個人情報ファイル管理台帳には、個人情報自体は記載しないものとする。

   1.個人情報ファイルの種類、名称
   2.個人情報等の範囲
   3.利用目的
   4.記録媒体
   5.保管場所(管理区域)
   6.責任者
   7.取扱部署
   8.事務取扱担当者(アクセス権者)
   9.保存期間
   10.削除・廃棄方法

情報漏えい事案等への対応

第12条 事務取扱責任者は、個人情報等の漏えい、滅失または毀損による事故(以下「漏えい事案等」という)が発生したことを知った場合またはその可能性が高いと判断した場合は、本規程に基づき、適切に対処するものとする。
  2 事務取扱責任者は、個人情報保護管理者と連携して漏えい事案等に対応する。
  3 事務取扱責任者は、漏えい事案等が発生したと判断した場合は、その旨及び調査結果を理事長に報告し、当該漏えい事案等の対象となった情報主体に対して、事実関係の通知、謝意の表明、原因関係の説明等を速やかに行うものとする。
  4 事務取扱責任者は、漏えい事案等が発生した場合、個人情報保護委員会及び主務大臣等に対して必要な報告を速やかに行う。
  5 事務取扱責任者は、漏えい事案等が発生したと判断した場合は、情報漏えい等が発生した原因を分析し、再発防止に向けた対策を講じるものとする。
  6 事務取扱責任者は、漏えい事案等が発生したと判断した場合は、その事実を本人に通知するとともに、必要に応じて公表する。
  7 事務取扱責任者は、他社における漏えい事故等を踏まえ、類似事例の再発防止のために必要な措置の検討を行うものとする。
  8 事務取扱責任者は、漏えい事案等への対応状況の記録を分析するものとする。

苦情への対応

第13条 事務取扱担当者は、法、ガイドラインまたは本規程に関し、情報主体から苦情の申出を受けた場合には、その旨を事務取扱責任者に報告する。報告を受けた事務取扱責任者は、適切に対応するものとする。

監査

第14条 内部監査担当者は、当法人の個人情報等の適正な取扱いその他法令及び本規則の遵守状況について検証し、その改善を事務取扱責任者に促す。

取扱状況の確認並びに管理措置の見直し

第15条 事務取扱責任者は、1年に一回以上の頻度でまたは臨時に第10条に規定する個人情報等の運用状況の記録及び第11条に規定する個人情報ファイルの取扱状況の確認を実施しなければならない。
  2 事務取扱責任者は、前項の確認の結果及び前条の監査の結果に基づき、安全管理措置の評価、見直し及び改善に取り組むものとする。

物理的技術的安全管理措置

個人データを取り扱う区域の管理

第16条 当法人は個人情報取扱担当者及び本人以外が容易に個人データを閲覧等できないような措置を講ずるものとする。

機器及び電子媒体等の盗難等の防止

第17条 当法人は管理区域及び取扱区域における個人データを取扱う機器、電子媒体及び書類等の盗難または紛失等を防止するために、次の各号に掲げる措置を講じる。

   1.個人データを取扱う機器、電子媒体または書類等を、施錠できるキャビネット・書庫等に保管する。
   2.個人データを取扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。

電子媒体等を持ち運ぶ場合の漏えい等の防止

第18条 当法人の役職員が、個人データが記録された電子媒体または個人データが記載された書類等を持ち運ぶ場合、暗号化・パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずるものとする。なお、「持ち運ぶ」とは、個人データを、管理区域または取扱区域の外へ移動させることまたは当該区域の外から当該区域へ移動させることをいい、事業所内の移動等であっても持ち運びに該当するものとする。

個人データの削除及び機器、電子媒体等の廃棄

第19条 個人データを削除し、または、個人データが記録された機器、電子媒体等を廃棄した場合には、個人情報取扱担当者がこれを確認するものとする。

アクセス制御

第20条 当法人は、個人データへの不正なアクセスを防止するため、個人データを取り扱うことのできる機器及び当該機器を取り扱う役職員を明確化するものとする。

アクセス者の識別と認証

第21条 当法人は、機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取り扱う情報システムを使用する役職者を識別・認証するものとする。

外部からの不正アクセス等の防止

第22条 当法人は、以下の各方法により、情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護するものとする。

   1.個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
   2.個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。

情報システムの使用に伴う漏えい等の防止

第23条 当法人は、メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定するものとする。

3.運用

利用目的の特定

第24条 個人情報の保有に当たっては、業務を遂行するため必要な場合に限り、かつ、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
  2 利用目的を変更する場合には、変更前の利用目的と関連性を有すると認められる範囲を超えて行ってはならない。また、変更された利用目的は遅滞なく本人に通知または公表しなければならない。

利用目的による制限

第25条 前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を保有してはならない。
  2 合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
  3 前二項の規定は、次に掲げる場合については、適用しない。

   1.法令に基づく場合
   2.人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
   3.公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
   4.国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

利用目的の通知等

第26条 個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、または公表するものとする。
  2 前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体または財産の保護のために緊急に必要がある場合は、この限りではない。
  3 利用目的を変更した場合は、変更された利用目的について、本人に通知し、または公表しなければならない。
  4 前三項の規定は、次に掲げる場合については、適用しない。

   1.利用目的を本人に通知し、または公表することにより本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
   2.利用目的を本人に通知し、または公表することにより当該個人情報取扱事業者の権利または正当な利益を害するおそれがある場合
   3.国の機関または地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、または公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
   4.取得の状況からみて利用目的が明らかであると認められる場合

個人情報の取得

第27条 偽りその他不正の手段により個人情報を取得してはならない。
  2 次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
(1)法令に基づく場合
(2)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき  
(5)当該要配慮個人情報が、本人、国の機関、地方公共団体、法第76条第1項各号に掲げる者、外国政府、外国の政府機関、外国の地方公共団体または国際機関、外国における法第76条第1項各号に掲げる者に相当する者により公開されている場合
(6)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
(7)法第23条第5項各号において、個人データである要配慮個人情報の提供を受けるとき
  3 本人以外の第三者から個人情報を取得する場合は、当該個人情報が当該第三者において適法、適正に取得されたものでなければならない。また、当該第三者において、当法人への個人情報の提供につき、適法な措置が講じられていなければならない。

データ内容の正確性の確保等

第28条 利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

第三者提供の制限

第29条 あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。ただし、下記各号に該当する場合、本人の同意なく第三者提供ができる。
(1)法令に基づく場合
(2)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
  2 次に掲げる場合において、当該個人データの提供を受ける者は、第1項の規定の適用については、第三者に該当しないものとする。
(1)当法人が利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託することに伴って当該個人データが提供される場合
(2)合併その他の事由による事業の承継に伴って個人データが提供される場合
(3)特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用するものの範囲、利用するものの利用目的及び当該個人データの管理について責任を有する者の氏名または名称について、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置いているとき
3 当法人は、前項第三号に規定する利用する者の利用目的または個人データの管理について責任を有する者の氏名もしくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置かなければならない。

第三者提供する際の記録

第30条 当法人は、個人データを第三者に提供したときは、法第25条に基づき記録を作成及び保存するものとする。なお、雇用管理に関する個人データを第三者に提供する場合には、前条第1項各号に該当する場合または同条第2項各号のいずれかに該当する場合を除き、下記各号に従わなければならない。
(1)提供先において、当法人が提供した個人情報を漏洩してはならないこと。また、盗用してはならないこととされていること。
(2)当法人が提供した個人情報を提供先が他の第三者に提供する場合には、書面による当法人の事前同意を要件とすること。ただし、当該再提供が本条第1項各号に該当する場合を除く。
(3)当法人が提供した個人情報の提供先における保有期間を明確化すること。
(4)当法人から提供を受ける目的達成後の個人情報の返却または提供先における破棄または削除が適切かつ確実に行われること。
(5)提供先における当法人が提供した個人情報の複写および複製(安全管理上必要なバックアップを除く)を禁止すること。

第三者提供を受ける際の確認及び記録

第31条 当法人は、第三者から個人データの提供を受けるに際しては、法第26条に基づき、確認並びに記録の作成及び保存をするものとする。

4.保有個人データの開示等の請求等及び苦情処理

個人情報保護窓口の設置等

第32条 保有個人データの開示請求、訂正請求、利用停止請求及びその他相談等に対応する窓口として、個人情報保護相談窓口(以下、「相談窓口」という。)を置き、当法人における個人情報の取扱い等に係る相談等の受付及び事務を事務取扱者等が行うものとする。

保有個人データに関する事項の公表等

第33条 保有個人データに関し、次に掲げる事項について、「個人情報保護方針」と一体としてインターネットのホームページでの常時掲載を行うこと、または事務所の窓口等での掲示・備付け等を行うこととする。
(1)当法人の名称
(2)すべての保有個人データの利用目的(第26条第4項第1号から第3号までに該当する場合を除く。)
(3)当法人が行う保有個人データの取扱いに関する苦情の申出先
  2 当法人は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知するものとする。ただし、次の各号のいずれかに該当する場合は、この限りでない。
(1)前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
(2)第26条第4項第1号から第3号までに該当する場合
  3 当法人は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。

保有個人データの開示

第34条 当法人は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)に係る請求を受けたときは、本人に対し、書面の交付による方法により、遅滞なく、当該保有個人データを開示するものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部または一部を開示しないことができる。
(1)本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)当法人の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  2 当法人は、前項の規定に基づき求められた保有個人データの全部または一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。この場合、当法人は本人に対して、当該通知においてその理由を説明するものとする。
  3 他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部または一部を開示することとされている場合には、当該全部または一部の保有個人データについては、同項の規定は、適用しない。

保有個人データの訂正等

第35条 当法人は、当該本人が識別される保有個人データの内容が事実でないことを理由に当該本人から訂正、追加または削除(以下「訂正等」という。)に係る請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行うものとする。
  2 当法人は、前項の請求に係る保有個人データの内容の全部または一部について訂正等を行ったとき、または訂正等を行わない旨を決定したときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知するものとする。この場合、当法人は本人に対して、当該通知においてその理由を説明するものとする。

保有個人データの利用停止等

第36条 当法人は、本人から、当該本人が識別される保有個人データが、法第16条の規定に違反して取得されているという理由、法第17条の規定に違反して取り扱われたものであるという理由によって、当該保有個人データの利用の停止、消去(以下、本条において「利用停止等」という。)に係る請求を受けた場合であって、利用停止等に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、保有個人データの利用停止等を行うものとする。ただし、利用停止等を行うことに多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、当該本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではない。
  2 当法人は、本人から、当該本人が識別される保有個人データが法第23条第1項または第24条の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止に係る請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの提供を停止するものとする。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではない。
  3 当法人は、第1項の規定に基づき求められた保有個人データの全部もしくは一部について利用停止等を行ったときもしくは利用停止等を行わない旨の決定をしたとき、または前項の規定に基づき求められた保有個人データの全部もしくは一部について第三者への提供を停止したときもしくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。この場合、当法人は本人に対して、当該通知においてその理由を説明するものとする。

苦情処理

第37条 当法人は、当法人における保有個人データの取扱いに関する苦情の適切かつ迅速な処理に努めるものとする。
  2 苦情処理に関する当法人の体制整備は、第13条に定めるところに従う。

その他

第38条 個人情報保護管理者は、個人情報の漏洩の事実または漏洩のおそれを把握した場合には、直ちに所管官庁に報告しなければならない。
  2 当法人は、本規程に違反した従業員に対して、就業規則に基づき、その他契約または法令に照らし て処分を決定する。

附則
1.本規程の改廃は、理事会の決議による。
2. 本規程は、2022年7月15日から施行する。

5.お問い合わせ先

特定非営利活動法人 エキスパートイメージングアンドインターベンショナルサポート
個人情報問合せ窓口 045-534-6115

9:00 ~ 18:00(土日祝日を除く)
直接ご来社頂いてのお問合せはお受け致しかねますので、ご了承下さいますようお願い申し上げます。

以上
2022年7月15日制定
特定非営利活動法人エキスパートイメージングアンドインターベンショナルサポート