個人番号及び特定個人情報の適正な取扱いに関する基本方針
本協会は、個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いの確保について組織として取り組むために、本基本方針を定めます。
1.事業者の名称
公益社団法人日本精神保健福祉士協会
2.関係法令・ガイドライン等の遵守
本協会は、特定個人情報等の適正な取扱いに関して、行政手続における特定の個人を識別するための番号の利用等に関する法律及び特定個人情報の適正な取り扱いに関するガイドライン(事業者編)、個人情報の保護に関する法律、その他の関係法令・ガイドライン等の規範を遵守して、特定個人情報等の適正な取扱いを行います。
3.安全管理措置に関する事項
本協会は、特定個人情報等の安全管理措置に関して、別途「個人番号及び特定個人情報取扱規程」を定め、これを遵守します。
4.質問及び苦情処理の窓口
本協会の特定個人情報等の取扱いに関するご質問やご苦情は、次の窓口にご連絡ください。
[窓口]公益社団法人日本精神保健福祉士協会 事務局 総務班
(電話)03-5366-3152 (E-mail)privacy@jamhsw.or.jp
2016年3月5日
公益社団法人日本精神保健福祉士協会
2016年3月5日制定
規程第50号
第1章 総則
(目的)
第1条 この規程は、個人情報の保護に関する法律(以下「個人情報保護法」という。)及び行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「番号法」という。)に基づき、公益社団法人日本精神保健福祉士協会(以下「本協会」という。)における個人番号及び特定個人情報(以下「特定個人情報等」という。)の適正な取扱いの確保に関し必要な事項を定めることを目的とする。
(定義)
第2条 この規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1)個人番号
住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるもの(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって住民票コード以外のものを含む。以下同じ。)をいう。
(2)特定個人情報
個人番号をその内容に含む個人情報をいう。
(3)特定個人情報ファイル
個人番号をその内容に含む個人情報ファイル(個人情報データベース等であって、行政機関及び独立行政法人等以外の者が保有するものをいう。)をいう。
(4)個人番号関係事務
個人番号利用事務(行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が、その保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、又は管理するために必要な限度で個人番号を利用して処理する事務をいう。)に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(5)本人
個人情報保護法第2条第3項に規定する個人情報によって識別される特定の個人又は番号法第2条第6項に規定する個人番号によって識別される特定の個人をいう。
(6)従業者
本協会の組織内にあって直接間接に本協会の指揮監督を受けて本協会の業務に従事している者をいう。
(7)事務取扱担当者
本協会において、個人番号を取り扱う事務に従事する者をいう。
(8)特定個人情報等の取扱い
特定個人情報等の取得、安全管理措置、保管、利用、提供、委託及び廃棄・消去をいう。
(9)情報システム
パーソナルコンピュータ、LANネットワーク、サーバー、端末装置及びその他附帯設備の総体をいう。
(特定個人情報等の適正な取扱いに関する基本方針の策定)
第3条 本協会は、本協会における特定個人情報等の適正な取扱いを確保するため、次の事項を含む特定個人情報等の適正な取扱いに関する基本方針(以下「基本方針」という。)を定める。
(1)特定個人情報に関する法令を遵守するとともに、本協会の事業内容に照らし特定個人情報等を適切に取り扱う旨の宣言
(2)関係法令、ガイドライン等の遵守に関する事項
(3)安全管理措置に関する事項
(4)問い合わせに関する事項
第2章 管理体制
(個人番号を取り扱う事務の範囲)
第4条 本協会において個人番号を取り扱う事務は、次の各号に掲げる事務に限定する。
(1)従業者(扶養家族を含む。)に係る個人番号関係事務
ア 給与所得、退職所得等の源泉徴収関連事務
イ 社会保険関係事務
ウ 雇用保険関係事務
(2)従業者の配偶者に係る個人番号関係事務 国民年金の第三号被保険者の届出事務
(3)従業者以外の個人に係る個人番号関係事務 報酬、料金等の支払調書作成事務
(特定個人情報取扱責任者)
第5条 本協会においては、事務局長を特定個人情報取扱責任者とする。
2 特定個人情報取扱責任者は、次の各号に掲げる事項その他本協会における特定個人情報等に関するすべての権限と責務を有する。
(1)この規程の第3条に規定する基本方針の策定、従業者への周知、一般への公表
(2)この規程に基づく特定個人情報等の取扱いを管理する上で必要とされる事案の承認
(3)特定個人情報等に関する安全対策の策定・推進
(4)特定個人情報等の適正な取扱いの維持・推進等を目的とした諸施策の策定・実施
(5)事故発生時の対応策の策定・実施
3 特定個人情報取扱責任者の職務を補佐する者として特定個人情報取扱責任者補佐を置き、本協会事務処理規程第5条第2項に定める総務担当者をあてる。
(事務取扱担当部門)
第6条 本協会は、従業者等に係る個人番号関係事務に関する事務部門(総務班)が特定個人情報等に関する事務を行うものとする。
(事務取扱担当者)
第7条 事務取扱担当者は、前条に規定する部門の従業者で事務局長が指定する者とする。
2 事務取扱担当者は、次の各号に掲げる方法により特定個人情報等を取り扱うものとする。
(1)取得した特定個人情報等を含む書類等(電子媒体(フロッピーディスク、コンパクトディスク、デジタルバーサタイルディスク及びフラッシュメモリをいう。以下同じ。)を含む。)は、当該部門において安全に管理する。
(2)取得した特定個人情報等に基づき、特定個人情報ファイルを作成する。
(3)源泉徴収票等を作成し、行政機関等に提出するとともに、従業者等に交付する。
3 事務取扱担当者は、特定個人情報等を取り扱う情報システム及び機器(パーソナルコンピュータなどをいう。以下同じ)を適切に管理し、利用権限のない者には使用させてはならない。
4 事務取扱担当者は、執務記録を作成、保存し、特定個人情報等の取扱状況を明確にするものとする。
5 事務取扱担当者が変更となる場合、従前の事務担当者は、新たに事務担当となる者に対し、確実に引継ぎを行い、特定個人情報取扱責任者は、引継ぎが適正に行われたか確認するものとする。
(管理区域及び取扱区域)
第8条 本協会は、特定個人情報等の情報漏えい等を防止するため、第6条に規定する部門に特定個人情報ファイルを管理する区域(以下「管理区域」という。)及び特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にする。
2 管理区域とは、特定個人情報等を取り扱う機器及び特定個人情報ファイルを管理するキャビネット等のある区域とし、区域の明確化及びキャビネット等の施錠等の安全管理措置を講じるものとする。
3 取扱区域とは、事務取扱担当者の机周辺とし、座席配置等による安全管理措置を講じるものとする。
(従業者の教育)
第9条 本協会は、従業者に対して定期的な研修の実施又は情報提供等を行い、特定個人情報等の適正な取扱いを図るものとする。
(従業者の監督)
第10条 本協会は、従業者が特定個人情報等を取り扱うに当たり、必要かつ適切な監督を行うものとする。
(特定個人情報等の取扱状況の確認)
第11条 特定個人情報取扱責任者は、本協会における特定個人情報等の取扱いが関係法令及びこの規程に基づき適正に運用されていることを定期的に確認するものとする。
2 特定個人情報取扱責任者は、執務記録の内容を定期的に確認するものとする。
(体制の見直し)
第12条 本協会は、必要に応じて特定個人情報等の取扱いに関する安全対策の諸施策について見直しを行い、改善を図るものとする。
(苦情等への対応)
第13条 本協会における特定個人情報等の取扱いに関する苦情等があったときは、これに適切に対応するものとする。
2 特定個人情報取扱責任者は、前項の目的を達成するために必要な体制の整備を行うものとする。
第3章 個人番号の取得、利用等
(個人番号の取得、提供の求め)
第14条 本協会は、第4条に規定する事務を処理するために必要がある場合に限り、本人又は他の個人番号関係事務実施者に対して、その利用目的を記載した書類を提示するなどした上で、個人番号の提供を求めることができるものとする。
2 個人番号の提供を求める時期は、原則として個人番号を取り扱う事務が発生したときとする。ただし、個人番号を取り扱う事務が発生することが明らかなときは、契約等の締結時に個人番号の提供を求めることができるものとする。
(本人確認)
第15条 本協会は、本人又は代理人から個人番号の提供を受けたときは、関係法令に基づき本人確認を行うこととする。
2 書面の送付により個人番号の提供を受けるときは、併せて本人確認に必要な書面又はその写しの提供を求めるものとする。
(本人確認書類の保存)
第16条 提出された本人確認書類は、当該個人番号を利用する事務が終了するまでの間又は法定保存期間が終了するまでの間、これを適切に保管する。
(個人番号の利用)
第17条 本協会は、第4条に規定する事務を処理するために必要な場合に限り、個人番号を利用するものとする。
2 前項の規定は、次に掲げる場合については、適用しない。
(1)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があり、又は本人の同意を得ることが困難であるとき。
(2)番号法第9条第4項の規定に基づく場合
(特定個人情報ファイルの作成の制限)
第18条 本協会は、第4条に規定する事務を処理するために必要な場合に限り、特定個人情報ファイルを作成するものとする。
2 特定個人情報ファイルには、パスワードを付与する等の保護措置を講じた上で適切に保存する。
第4章 特定個人情報等の保管、管理等
(保管)
第19条 本協会は、第4条に規定する事務が終了するまでの間、特定個人情報等を保管する。ただし、所管法令等により保存期間が定められているものについては、当該期間を経過するまでの間、特定個人情報等を保管する。
2 特定個人情報等を取り扱う機器及び書類等は、特定個人情報等の漏えい、滅失又は毀損の防止その他の安全管理の確保のため、次の各号に掲げる方法により保管又は管理する。
(1)特定個人情報等を取り扱う機器は、施錠できるキャビネット等に保管するか、又は盗難防止用のセキュリティワイヤー等により固定する。
(2)特定個人情報等を含む書類等は、施錠できるキャビネット等に保管する。
(3)特定個人情報ファイルは、パスワードを付与する等の保護措置を講じた上でこれを保存し、当該パスワードを適切に管理する。
(4)特定個人情報等を含む書類等であって、法定保存期間を有するものは、期間経過後、速やかに廃棄することを念頭に保管する。
3 特定個人情報等を含む書類等又は特定個人情報ファイルを法定保存期間経過後も引き続き保管するときは、個人番号に係る部分をマスキング又は消去した上で保管する。
(情報システムの管理)
第20条 本協会において使用する情報システムにおいて特定個人情報等を取り扱うときは、次の各号に掲げる方法により管理する。
(1)特定個人情報取扱責任者は、情報システムを使用して個人番号を取り扱う事務を処理するときは、ユーザーIDに付与されるアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を限定する。
(2)事務取扱担当者は、情報システムを取り扱う上で正当なアクセス権を有する者であることを確認するため、ユーザーID、パスワード等により確証する。
(3)情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するため、情報システム及び機器セキュリティ対策ソフトウェア等を導入する。
(4)特定個人情報等をインターネット等により外部に送信するときは、通信経路における情報漏えい等を防止するため、通信経路の暗号化等の措置を講じる。
(特定個人情報等の持出し等)
第21条 本協会において保有する特定個人情報等を持ち出す場合は、紛失、盗難などを防ぐため、次の各号に掲げる方法により管理する。
(1)特定個人情報等を含む書類を持ち出すときは、外部から容易に閲覧されないよう封筒に入れる等の措置を講じる。
(2)特定個人情報等を含む書類を郵送等により発送するときは、簡易書留等の追跡可能な移送手段等を利用する。
(3)特定個人情報ファイルを電子媒体等で持ち出すときは、ファイルへのパスワードの付与等の措置を講じる。
第5章 特定個人情報等の提供
(特定個人情報等の提供)
第22条 本協会において保有する特定個人情報等の提供は、第4条に規定する事務に限るものとする。
2 人の生命、身体又は財産の保護のために必要がある場合を除き、本人の同意があったとしても、利用目的を超えて特定個人情報等を利用しないものとする。
(開示、訂正)
第23条 本協会において保有する特定個人情報等については、適法かつ合理的な範囲に限り開示することとし、特定個人情報等の本人から訂正の申出があったときは、速やかに対応する。
(第三者提供の停止)
第24条 特定個人情報等が違法に第三者に提供されていることを知った本人からその提供の停止が求められた場合であって、その求めに理由があることが判明したときは、第三者への提供を停止する。
第6章 委託
(委託先の監督)
第25条 本協会は、本協会の従業者等に係る個人番号関係事務の全部又は一部を他者に委託するときは、委託先において安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行うこととする。
2 本協会は、委託先に対して次の各号に掲げる事項を実施する。
(1)委託先における特定個人情報等の保護体制が十分であることを確認した上で委託先を選定する。
(2)委託先との間で、次の事項等を記載した契約を締結する。
ア 特定個人情報に関する秘密保持義務
イ 事業所内からの特定個人情報の持出しの禁止
ウ 特定個人情報の目的外利用の禁止
エ 再委託における条件
オ 漏えい事案等が発生した場合の委託先の責任
カ 委託契約終了後の特定個人情報の返却又は廃棄
キ 従業者に対する監督・教育
ク 契約内容の遵守状況についての報告
ケ その他必要事項
3 委託先が本協会の許諾を得て再委託するときには、再委託先の監督については、前2項の規定を準用する。
第7章 廃棄、消去
(特定個人情報等の廃棄、消去)
第26条 本協会は、第19条第1項に規定する保管期間を経過した書類等について、次により、速やかに廃棄する。
(1)特定個人情報等を含む書類は、焼却又は溶解等の復元不可能な手法により廃棄する。
(2)特定個人情報ファイルは、完全削除ソフトウェア等により完全に消去する。
(3)特定個人情報等を含む電子媒体は、破壊等により廃棄する。
(廃棄の記録)
第27条 本協会は、特定個人情報等を廃棄又は消去したときは、廃棄等を証明する記録等を保存する。
第8章 補則
(所管官庁等への報告)
第28条 特定個人情報取扱責任者は、特定個人情報等の漏えいの事実又は漏えいのおそれを把握した場合は、直ちに特定個人情報保護委員会及び所管官庁に報告する。
(委任)
第29条 この規程に定めるもののほか、特定個人情報等の取扱いに関して必要な事項は、会長が別に定める。
第9章 罰則
(罰則)
第30条 本協会は、従業者がこの規程に違反した場合は、本協会の就業規程により処分を行うことができる。
附則
この規程は、2016年3月5日から施行する。