電気通信大学生活協同組合個人情報保護規程
第1章 総則
(目
的)
第1条 この規定は、「個人情報保護に関する電気通信大学生協の基本方針」に基づく生協が取り扱う生協職員(生協役職員・パート職員・派遣労働契約等で生協に従事する者 以下生協職員という)以外の個人情報の適切な保護のための基本規定であり、生協職員はこの規定に従って個人情報を保護していかなければならない。生協職員の個人情報の取扱いについては別に定める。
第2条 この規定は、生協において、その全部又は一部がコンピュータ等の自動的手段により処理されている個人情報及び手作業により処理されている個人情報であって、組織的に保有するファイリングシステムの全部又は一部をなすものを対象とする。
第3条 この規定おいて、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1)
個人情報
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(2)
本人
一定の情報によって識別される、又は識別され得る個人をいう。
(3)
個人情報保護管理者
個人情報保護管理者は専務理事とする。個人情報保護のための業務について、統括的責任と権限を有する。
(4)
個人情報管理者
個人情報保護管理者によって選任され、各部門において個人情報保護のための業務について、統括的責任と権限を有する者をいう。
(5)
担当者
個人情報のコンピュータへの入力・出力、台帳・申込書等の個人情報を記載した帳票・帳表を取扱い・保管・管理等する担当者をいう。
(6)
個人情報保護監査責任者
専務理事から選任され、監査の実施及び報告を行う権限を有する者をいう。
(7)
預託
生協以外の者にデータ処理等の委託のために生協が保有する個人情報を預けることをいう。
(8)
生協職員
生協の役員及び当生協の指揮・監督のもとで就業する者で、賃金、給料等が支払われる者並びに生協の指揮・監督下にある派遣労働者をいう。
第2章 個人情報の収集
2 個人情報管理台帳以外に新しい目的で個人情報を収集するときは、担当者は個人情報管理者に報告し、個人情報管理者は、個人情報保護管理者の承認を得なければならない。
第5条 個人情報の収集は、適法、かつ公正な手段によって行わなければならない。
2 新しい方法で個人情報を収集するときは、担当者は個人情報管理者に申請し、個人情報管理者は、個人情報保護管理者の承認を得なければならない。
3 新しい方法での個人情報の収集は、個人情報保護管理者が必要な措置を講じた後でなければならない。
第6条 次に示す内容を含む個人情報の収集、利用又は提供を行ってはならない。
(1)
思想、信条及び宗教に関する事項
(2)
人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項
(ただし旅程手配に必要なパスポートの提示、コピーの取得の場合、Tuoカード申込時の身分証明書類の場合を除く)
(3)
勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項
(4)
集団示威行為への参加、請願権の行使及びその他の政治的権利の行使に関する事項
(5)
保健医療及び性生活に関する事項
(ただし学生総合共済その他保険の給付申請受付の情報の場合は除く)
第7条 本人から対面で直接に個人情報を収集する場合、担当者は本人に対して、次に示す事項を記載した書面を交付し、本人の同意を得なければならない。
2 各種サービスの申込にかかわる個人情報の取得の場合
(1)
収集目的、収集後の活用内容。尚担当者は本人に対し、申込対象となったサービス
に関連して、当該個人情報が関連業者に交付、移出されることをあらかじめ通知する。
3 組合員・共済・各種保険加入申込にかかわる個人情報の取得の場合
(1)
収集目的、収集後の活用内容。尚担当者は本人に対し、申込対象となったサービス
に関連して、当該個人情報が関連業者に交付、移出されることをあらかじめ通知する。
(2)個人情報を第三者に提供することが予定される場合には、その目的、当該情報の受領者及び個人情報の取扱いに関する契約の有無
(3)
個人情報をデータ処理等のために第三者に預託することが予定される場合には、その旨
(4)個人情報に関する問合せ部署名及び連絡先
(5)
個人情報の開示を求める権利及び開示の結果、当該情報が誤っている場合に訂正、追加、削除を要求する権利の存在並びに本人が当該権利を行使するための具体的な方法
(6)
個人情報の収集後における利用を拒絶する権利の存在及び本人からの当該個人情報の消去、利用停止等の具体的な方法
(7)
本人が個人情報を与えることの任意性
(8)
本人が当該情報を与えなかった場合及び本人が当該個人情報の消去・利用停止措置をとった場合に本人に生じる結果
(9)
個人情報を第三者と共同で使用する場合は、その旨
(10)
廃棄する場合の基準と廃棄方法
(11)
その他個人情報保護法が定める事項
第8条 個人情報保護管理者は、担当者が本人から直接に個人情報を収集する場合で、第7条に定めた方法での同意がとれなかったときのために、生協個人情報保護方針及び第7条各号に掲げる事項を生協インターネットホームページ・本部に掲示しなければならない。
第9条 本人以外から間接的に個人情報を収集する場合、個人情報保護管理者は、以下の措置を講じなければならない。
(1)
生協インターネットホームページ・本部に第7条各号に掲げる事項を掲示すること。
(2)
個人情報の提供者が適法かつ公正な手段によって当該個人情報を収集し、第三者へ提供するために必要な本人の同意若しくは必要な措置を講じていることを確認すること。
(3)
個人情報の提供者より当該個人情報が適法かつ公正な手段により収集されたことを記した書面の交付を受けること。
第3章 個人情報の利用
第10条 個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ権限を与えられた者のみが、業務の遂行上必要な限りにおいて行うものとする。
2 個人情報保護管理者の承諾を得ないで、個人情報の目的外利用、第三者への提供・預託、通常の利用場所からの持ち出し、外部への送信等の個人情報の漏えい行為をしてはならない。
3 生協職員は、業務上知り得た個人情報の内容をみだりに第三者に知らせ、又は違法な目的に使用してはならない。その業務に係る職を退いた後も、同様とする。
第11条 収集目的の範囲内で行う生協の個人情報の利用は、次の(1)号から(5)号までに掲げるいずれかの場合にのみこれを行うことができる。
(1)
本人が当事者である契約の準備又は履行のために必要な場合
(2)
生協が従うべき法的義務の履行のために必要な場合
(3)
本人の生命、健康、財産等の重大な利益を保護するために必要な場合
(4)
警察、税務署、裁判所等の公的機関からの法令に基づく権限の行使による開示請求等があった場合
(5)その他本人が同意を与えた場合若しくは同等の措置を講じた場合
第12条 収集目的の範囲を超えて個人情報の利用を行う場合又は前条(1)号から(5)号までに掲げるいずれの場合にも当たらない個人情報の利用を行う場合においては、個人情報保護管理者は第7条各号に掲げる事項を書面により通知し、本人の同意を得るか、又はその旨を事前に生協インターネットホームページ・本部に掲示して本人に拒絶の機会を与えなければならない。
第13条 個人情報のコンピュータへの入力・出力、台帳・申込書等の個人情報を記載した帳票・帳表の保管・管理等は、各担当者又は個人情報管理者が行わなければならない。
第4章 個人情報の適正管理
第14条 個人情報保護管理者は、個人情報を利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しなければならない。
第15条 個人情報保護管理者は、個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏えい等の危険に対して、合理的な安全策を講じなければならない。
第16条 情報処理や作業を第三者に委託するために、個人情報を第三者に預託する場合においては、担当者は個人情報管理者に報告し、個人情報管理者は、個人情報保護管理者の承認を得なければならない。
2 個人情報保護管理者は、前項の場合以下の各号の措置を講じ個人情報保護管理者の承諾を得た上で基本契約を締結しなければならない。当該個人情報を第三者に預託するにあたっては、基本契約締結後に、個別契約を締結し、その後に個人情報の預託をおこなわなければならない。
(1)
個人情報の預託先について預託先責任者との面接、アンケートなどを通じ、預託先の個人情報保護及びセキュリティ管理の水準が生協と同等以上であることを確認すること
(2) 次の事項を入れた基本契約書案を作成すること
@ 守秘義務の存在、取り扱うことのできる者の範囲に関する事項
A 預託先における個人情報の秘密保持方法、管理方法ついての事項
B 預託先の個人情報の取扱担当者に対する個人情報保護のための教育・訓練に関する事項
C 契約終了時の個人情報の返却及び消去に関する事項
D 個人情報の漏えい、その他事故の発生の場合の措置、並びに責任分担についての事項
E 再委託に関する事項
F 生協からの監査の受け入れについての事項
3 個別契約に基づき個人情報を預託先に提供するときは、担当者は前項(2)号の事項を記した書面を預託先に交付して、注意を促さなければならない。
4 委託期間中、担当者は、預託先が生協との契約を遵守しているか否かを確認し、万一、契約に抵触する事項を発見したときは、その旨を個人情報管理者及び個人情報保護管理者に報告しなければならない。
5 前項の通知を受けた個人情報保護管理者は、個人情報の預託先に対して必要な措置を講じなければならない。
6 個人情報保護管理者は、年に一度以上、個人情報の預託先責任者との面接、アンケート等の手段により、預託先の監督、監査をしなければならない。
7 個人情報保護管理者は、本条に基づき作成された基本契約、個別契約、監査報告書、通知書等の文書(電磁的記録を含む)を当該個人情報の預託先との個別契約終了後7年間保存しなければならない。
2 個人情報を第三者へ提供する時は事前に、個人情報保護管理者の承諾を得て、個人情報保護管理者が個人情報の安全管理上必要な措置を講じなければならない。
第18条 個人情報を第三者と共同利用する場合、担当者は個人情報管理者に報告し、個人情報管理者は、個人情報保護管理者の承認を得なければならない。
2 個人情報の共同利用は、個人情報保護管理者が個人情報の安全管理上必要な措置を講じなければならない。
第5章 自己情報に関する本人からの諸請求に対する対応
第19条 生協が保有している組合員台帳、共済加入者台帳、各種個人情報データーベース個人情報(以下保有個人情報という)について、本人から自己の情報について開示を求められた場合、個人情報保護管理者は、遅滞なく本人に対して生協が保有している本人の個人情報(当該個人情報が存在しない場合はその旨)を、開示しなければならない。
2 開示した個人情報について、誤りがあり本人から、訂正、追加又は削除(以下 訂正等という)を求められたときは、個人情報保護管理者は、遅滞なく訂正等を行い、訂正等の後、遅滞なく本人に対して通知をしなければならない。
第20条 生協の保有個人情報について、本人から自己情報についての利用又は第三者への提供を拒まれた場合、これに応じなければならない。ただし、警察、税務署、裁判所等の公的機関からの法令に基づく権限の行使による開示請求等又は、法令に定められた当組合の義務の履行のために必要な場合については、この限りでない。
第6章 管理組織・体制
第21条 個人情報保護管理者は、個人情報に関しての苦情・相談を受け付けて対応する窓口を設け、この連絡先を本人に告知しなければならない。
第7章 個人情報保護管理者の職務
第22条 個人情報保護管理者は、生協が保有するすべての個人情報を個人情報管理台帳で特定し、維持しなければならない。
第23条 個人情報保護管理者は、生協従業者その他個人情報の預託先等の関係者に対して、次のような研修を行う。また教育結果に基づく必要な手立てを講ずるものとする。
(2)
個人情報保護方針、本規程の内容
(3)
個人情報保護の内容と役割分担
(4)
セキュリティ教育
第8章 監査 自己点検
第24条 個人情報保護監査責任者は、年1回本規定の運用状況を監査しなければならない。
2 個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、個人情報保護管理者に報告しなければならない。
3 個人情報保護管理者は、監査報告書を管理し、保管しなければならない。
第9章 廃棄
第25条 個人情報を廃棄する場合は、シュレッダー処理をするか、信頼できる廃棄物処理業者に廃棄を委託する。
2 個人情報を記録したコンピュータ、記憶媒体を廃棄するときは、信頼できる廃棄物処理業者に廃棄を委託するか物理的に破壊をおこなう。
3 個人情報を記録したコンピュータを他に転用するときは、特別のソフトウェアを使用して個人情報を完全に消去してから転用する。
4 個人情報の廃棄作業は担当者が行う。
第10章 罰則
第26条 生協は、本規定に違反した職員に対して就業規則等に基づき注意・処分を行わなければならない。
第11章 規程の改廃
第27条
この規程の改廃は、個人情報保護管理者が理事会に提案しておこなう。
(付則)(1)個人情報保護体制監査・自己点検リスト
(2)個人情報問合せ対応基準
以 上
|
個人情報保護規程付則 個人情報の問合せ対応基準 |
第1条(目的)
この基準は,電気通信大学生協活協同組合(以下,当生協という)の組合員本人又は代理人から個人情報の開示,訂正,利用停止などの請求,および個人情報の取り扱いについての問合せや苦情などに対応するための手続について定めたものです。
2.
前項の「請求」,「問合せ」,「苦情」を「問合せ」と総称します。
第2条(「問合せ」の代表窓口,役職員の責務)
本人又は代理人からの「請求」,「問合せ」,「苦情」の問合せ先は,当生協本部の代表電話とします。
「問合せ」の内容は,「個人情報問合せ受付表」に記載され,「苦情・問合せ対応担当者」が保管,管理します。
2..担当者以外の役職員が対応する場合,対応内容を「個人情報問合せ受付表」に記載し,苦情・相談窓口担当者に責任を持って引き継ぎます。
第3条(開示請求への対応)
本人又は代理人から「当該本人が識別される保有個人データの開示」請求があった場合,苦情・問合せ対応担当者は速やかに開示します。
2.
開示方法は,別紙書面「個人情報の開示に対するご通知」によって行います。
ただし,次の場合(法第25条但書に該当)は,請求の一部または全部の開示を行いません。
@ 本人又は第三者の生命,身体,財産その他の権利利益を害する恐れがある場合
A 当生協の業務の適正な実施に著しい支障を及ぼす恐れがある場合
B 他の法令に違反することとなる場合
第4条(訂正,追加,削除請求への対応)
保有個人データについて,本人又は代理人から個人の情報が事実でないという理由で訂正,追加,削除を求められたときは,速やかに調査を行います。
2.
訂正,追加,削除請求への対応は,別紙書面「個人情報の訂正等のご通知」によって行います。訂正等を行わない場合も,同書面で対応します。
3.
苦情・問合せ対応担当者は,訂正等を行った場合,この対応結果を関係部署へもれなく伝達し,保有個人データを訂正させます。
第5条(利用停止,消去請求への対応)
保有個人データについて,本人又は代理人から利用目的や適正な取得に違反して取り扱われているという理由,あるいは第三者への提供が違反して行われているとの理由で,利用停止または消去を求められた場合,その求めに理由があるとき,苦情・問合せ対応担当者は違反を是正する適切な対策を実施します。
2.
当生協の加入申込書への記載事項,学生総合共済の請求からお支払過程で収集した個人情報,新生活用品のご利用の過程で収集した個人情報,旅行・サービスや各種講座のお申し込みにより収集した個人情報,ミールカードのご利用により収集した個人情報は,保存年限の対象期間は、消去の対象とすることはお断りします。
3.
利用停止又は消去への対応は,求めに応じられない場合を含め,別紙書面「個人情報の利用停止(消去)のご通知」で行います。
4.
苦情・問合せ対応担当者は,利用停止又は消去を行った場合,この対応結果を関係部署へ漏れなく伝達し,保有個人データの運用を変更させます。
第6条(開示等の請求に応じる手続き)
(1)
「請求」は,電話,FAX,手紙,電子メール,事務所への来所いずれの方法でも受け付けます。
(2)
「請求」の場合,組合員番号,生年月日をおたずねし,運転免許証など公の発行する本人を証明する書類の提示をもって本人を確認します。代理人の場合は本人情報と委任状の確認を行ないます。
(3)
「請求」への対応は,所定の書面を本人が登録している住所に送付することとします。
(4)
本人又は代理人の同意があった場合,口頭,電話,FAX,電子メールでの通知でもよいこととします。この場合でも同意したことを示す書類または電子メールを受領することとします。
以上