個人情報取扱規程｜クラウリング

第1条（目的）

1.
本規程は、当社の取り扱う個人情報の適正な取扱いを確保するために定めるものである。
2.
「行政手続における特定の個人を識別するための番号の利用等に関する法律」（平成25 年法律第27 号）に基づく個人番号やその内容を含む個人情報に関しては、「特定個人情報等取扱規程」において、別途定めるところに従うものとする。

第2条（定義）

本規程における用語の定義は、次のとおりとする。なお、本規程における用語は、他に別段の定めのない限り、関係法令等の定めに従う。

1.
個人情報
生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
- ① 当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。）で作られる記録をいう。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別できることとなるものを含む。）
- ② 個人識別符号が含まれるもの
2.
個人識別符号
次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、法（法が委任する政令及び規則を含む。）で定めるものをいう。
- ① 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
- ② 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方法により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
3.
要配慮個人情報
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法（法が委任する政令及び規則を含む。）で定める記述等が含まれる個人情報をいう。
4.
個人情報データベース等
個人情報を含む情報の集合物であって、特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるものをいう。ただし、利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。
5.
個人データ
個人情報データベース等を構成する個人情報をいう。
6.
保有個人データ
個人データのうち、当社が開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものをいう。ただし、以下のものを除く。
- ① 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
- ② 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
- ③ 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
- ④ 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
7.
個人関連情報
生存する個人に関する情報であって、個人情報、仮名加工情報（法に規定する仮名加工情報をいう。）及び匿名加工情報（法に規定する匿名加工情報をいう。）のいずれにも該当しないものをいう。
8.
個人関連情報データベース等
①個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したもの、又は、②これに含まれる個人関連情報を一定の規則に従って整理することにより特定の個人関連情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものをいう。
9.
個人情報取扱事業者
個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
- ① 国の機関
- ② 地方公共団体
- ③ 独立行政法人等（独立行政法人等の保有する個人情報の保護に関する法律（平成15年法律第59号）第2条第1項に規定する独立行政法人等をいう。）
- ④ 地方独立行政法人（地方独立行政法人法（平成15年法律第118号）第2条第1項に規定する地方独立行政法人をいう。）
10.
本人
個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
11.
従業者
当社の組織内にあって直接又は間接に当社の指揮監督を受けて当社の業務に従事している者をいい、雇用関係にある従業員（正社員、契約社員、嘱託社員、パート社員、アルバイト社員等）のみならず、当社との間の雇用関係にない者（取締役、監査役、派遣社員等）を含む。
12.
事務取扱責任者
当社の個人データの管理に関する責任を担う者をいう。
13.
部門責任者
各部門における個人データの管理に関する責任を負う者をいう。
14.
事務取扱担当者
当社内において、個人データを取り扱う事務に従事する者をいう。
15.
法
個人情報の保護に関する法律（平成15年法律第57号）をいう。
16.
政令
個人情報の保護に関する法律施行令（平成15年政令第507号）をいう。
17.
規則
個人情報の保護に関する法律施行規則（平成28年個人情報保護委員会規則第3号）をいう。
18.
ガイドライン
以下のガイドラインの総称をいう。
- ① 個人情報の保護に関する法律についてのガイドライン（通則編）（個人情報保護委員会）
- ② 個人情報の保護に関する法律についてのガイドライン（第三者提供時の確認・記録義務編）（個人情報保護委員会）
- ③ 個人情報の保護に関する法律についてのガイドライン（匿名加工情報編）（個人情報保護委員会）
- ④ 個人情報の保護に関する法律についてのガイドライン（外国第三者提供編）（個人情報保護委員会）
19.
関係法令等
法、政令、規則及びガイドラインの総称をいう。

第3条（適用範囲）

本規程は、全ての従業者に適用する。

第4条（従業者の責務）

1.
従業者は、当社の事業に従事するに当たり、関係法令等を遵守するとともに、本規程その他の個人情報に関連する内部規程を遵守しなければならない。
2.
個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退いた後も同様とする。
3.
従業員が、故意に個人情報を漏えいし、又は転売目的で第三者に提供したとき、又はしようとしたときは、当社は、就業規則等に定めるところにより、懲戒を行う。
4.
従業員が、第1 項及び第2 項に違反したときは、当社は、就業規則等に定めるところにより、当該従業員に対して懲戒を行うことがある。

第5条（組織体制）

1.
当社は、個人情報の安全管理に関する業務を統括する総責任者として、事務取扱責任者を1 名選任する。
2.
当社は、事務取扱責任者が指名する者を個人データの取扱いに関する事務取扱担当者とする。
3.
事務取扱担当者が所属する部署の所属長を部門責任者とする。
4.
事務取扱担当者を変更することになる場合、事務取扱責任者は新たに事務取扱担当者となる者を指名するものとする。この場合、従前の事務取扱担当者は新たに事務取扱担当者となる者に対して確実に引継ぎを行わせるものとする。部門責任者はかかる引継ぎが行われたか確認するものとする。

第6条（事務取扱責任者の責務）

1.
事務取扱責任者は、当社における個人情報の取得及び個人データの安全管理に関する業務を統括するとともに、本規程に定められた事項を理解・遵守し、事務取扱担当者にこれを理解させ、遵守させるための教育訓練、安全対策の実施並びに周知徹底等の措置を実施する責任を負う。
2.
事務取扱責任者は、次の業務を所掌する。
- ① 本規程の作成及び運用に関すること。
- ② 個人データの安全管理に関する教育・研修の企画・実施に関すること。
- ③ 部門責任者及び事務取扱担当者への助言及び指導に関すること。
- ④ 部門責任者及び事務取扱担当者からの報告徴収に関すること。
- ⑤ 委託先及び再委託先の監督に関すること。
- ⑥ その他個人情報の安全管理に関する事項全般に関すること。

第7条（事務取扱担当者の責務）

1.
事務取扱担当者は、関係法令等及び本規程その他の社内規程並びに事務取扱責任者の指示した事項に従い、個人データの保護に十分な注意を払ってその業務を行うものとする。
2.
事務取扱担当者は、個人情報の漏えい等、関係法令等、本規程又はその他の社内規程に違反している事実又は兆候を把握した場合、速やかに所属部門の部門責任者又は事務取扱責任者に報告するものとする。

第8条（部門責任者の責務）

1.
部門責任者は、所属部門における個人情報の取得及び個人データを適切に管理する任にあたり、個人データの適切な管理のために必要な措置を講じ、個人データの安全確保に努める責任を負う。
2.
部門責任者は、所属部門の事務取扱担当者から前条2項の報告を受けた場合、速やかに事務取扱責任者に報告する。

第9条（監督）

1.
事務取扱責任者は、個人データが本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。
2.
部門責任者は、所属部門の事務取扱担当者に対して必要かつ適切な監督を行い、事務取扱責任者に対して必要な報告を行う。

第10条（運用状況・運用状況の記録）

1.
事務取扱担当者は、以下の個人データの運用状況について記録の整備・作成をするものとする。
- ① 個人情報データベース等の利用・出力状況
- ② 個人データが記載又は記録された書類・媒体等の持ち運び等の状況
- ③ 個人情報データベース等の削除・廃棄の状況
- ④ 削除・廃棄を委託した場合、これを証明する記録等
- ⑤ 個人情報データベース等を情報システムで取り扱う場合、情報システムの利用状況（ログイン実績、アクセスログ等）
2.
事務取扱担当者は、以下の個人データの取扱状況について記録をするものとする。
- ① 個人情報データベース等の種類、名称
- ② 個人データの項目
- ③ 責任者・取扱部署
- ④ 利用目的
- ⑤ アクセス権を有する者

第11条（情報漏えい事案等への対応）

個人データの漏えい、滅失又は毀損（以下「漏えい等」という。）の事案の発生又は兆候を把握した場合の対応は、「個人データの漏えい等の事案が発生した場合等の対応について」（平成29 年個人情報保護委員会告示第1号）に基づき、部門責任者の責任により必要に応じて、以下の対応を行う。

①
事務取扱責任者、代表取締役への報告及び被害の拡大の防止
②
事実関係の調査、原因の究明
③
影響範囲の特定
④
再発防止策の検討・実施
⑤
影響を受ける可能性のある本人への連絡等
⑥
事実関係、再発防止策等の公表
⑦
個人情報保護委員会等への報告

第12条（個人データの取扱状況の確認）

事務取扱担当者は、個人データの取扱状況について、1年に1回以上の頻度で確認を行い、安全管理措置の評価、見直し及び改善に取り組むものとする。

第13条（教育・研修）

事務取扱担当者は、個人データの取扱状況について、1年に1回以上の頻度で確認を行い、安全管理措置の評価、見直し及び改善に取り組むものとする。

1.
事務取扱責任者は、本規程に定められた事項を理解し、遵守するとともに、従業者に本規程を遵守させるための教育訓練を企画・運営する責任を負う。
2.
従業者は、事務取扱責任者が主催する本規程を遵守させるための教育を受けなければならない。研修の内容及びスケジュールは、事業年度毎に事務取扱責任者が定める。

第14条（個人データの管理）

当社は事務取扱担当者及び本人以外が容易に個人データを閲覧等できないような措置を講ずるものとする。

第15条（機器及び電子媒体等の盗難等の防止）

当社は管理区域（個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域をいう。）及び取扱区域（個人データを取り扱う事務を実施する区域をいう。）における個人データを取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。なお、管理区域及び取扱区域については、事務取扱責任者が定めるものとする。

①
個人データを取扱う機器、電子媒体又は書籍等を、施錠できるキャビネット・書庫等に保管する。
②
個人データを取扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。

第16条（電子媒体等を持ち運ぶ場合の漏えい等の防止）

当社の従業者が、個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ（個人データを、管理区域又は取扱区域の外へ移動させることをいい、事業者内での移動等も含まれる。）場合、データの暗号化、パスワードの設定、施錠できる搬送容器の使用、追跡可能な移送手段の利用、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずるものとする。

第17条（個人データの削除及び機器、電子媒体等の廃棄）

1.
個人データを削除し、又は個人データが記録された機器、電子媒体等を廃棄する場合には、復元不可能な手段で行わなけ
2.
個人データ又は電子媒体等を削除又は廃棄した場合、事務取扱担当者は、削除・廃棄日、廃棄方法等、削除又は廃棄に関する記録を保存しなければならない。

第18条（アクセス制御）

当社は、個人データへの不正なアクセスを防止するため、個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化するものとする。

第19条（アクセス者の識別と認証）

当社は、機器に標準装備されているユーザー制御機能（ユーザーアカウント制御）により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証するものとする。

第20条（外部からの不正アクセス等の防止）

当社は、以下の各方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。

①
情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し不正アクセスを遮断する方法。
②
個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する方法。
③
個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする方法。
④
ログ等の分析を定期的に行い、不正アクセス等を検知する方法。

第21条（情報システムの使用に伴う漏えい等の防止）

当社は、情報システムの使用に伴う個人データの漏えい等を防止するために以下の必要な措置を講じ、適切に運用するものとする。

①
情報システムの設計時に安全性を確保し、継続的に見直す。
②
個人データを含む通信の経路又は内容を暗号化する。
③
メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する。

第22条（利用目的の特定）

1.
当社は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。
2.
当社は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

第23条（利用目的による制限）

1.
当社は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2.
当社は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3.
前2項の規定は、次に掲げる場合については、適用しない。
- ① 法令に基づく場合
- ② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合
- ③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難である場合
- ④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある場合

第24条（利用目的の通知等）

1.
当社は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表するものとする。
2.
前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面（電磁的記録を含む。以下この項において同じ。）に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3.
当社は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4.
前3項の規定は、次に掲げる場合については、適用しない。
- ① 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- ② 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
- ③ 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがある場合
- ④ 取得の状況からみて利用目的が明らかであると認められる場合
- ⑤ 学術研究機関等（大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。）に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要がある場合（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）

第25条（不適正な利用の禁止）

当社は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないものとする。

第26条（適正な取得）

1.
当社は、偽りその他不正な手段により個人情報を取得してはならない。
2.
当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
- ① 法令に基づく場合
- ② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合
- ③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難である場合
- ④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある場合
- ⑤ 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要がある場合（当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）
- ⑥ 当該要配慮個人情報が、本人、国の機関、地方公共団体、法第57条第1項各号に掲げる者、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国における法第57条第1項各号に掲げる者に相当する者により公開されている場合
- ⑦ 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
- ⑧ 法第27条第5項各号に掲げる場合において、個人データである要配慮個人情報の提供を受ける場合

第27条（データ内容の正確性の確保等）

当社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

第28条（第三者提供の制限）

1.
当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
- ① 法令に基づく場合
- ② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合
- ③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難である場合
- ④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある場合
- ⑤ 当該第三者が当該個人データを学術研究目的で取り扱う必要がある場合（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）
2.
当社は、第三者に提供される個人データ（要配慮個人情報、及び第26条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者から法に基づき本項の方法により提供されたもの（その全部又は一部を複製し、又は加工したものを含む。）を除く。以下この項において同じ。）について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
- ① 当社の名称、住所及び代表者の氏名
- ② 第三者への提供を利用目的とすること
- ③ 第三者に提供される個人データの項目
- ④ 第三者に提供される個人データの取得方法
- ⑤ 第三者への提供の方法
- ⑥ 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
- ⑦ 本人の求めを受け付ける方法
- ⑧ その他個人の権利利益を保護するために必要なものとして規則で定める事項
3.
当社は、前項第1号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、第3号から第5号まで、第7号又は第8号に掲げる事項を変更する場合は、変更する内容について、規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4.
個人情報取扱事業者は、第2 項の規定による届出があったときは、規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
5.
次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
- ① 当社が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
- ② 合併その他の事由による事業の承継に伴って個人データが提供される場合
- ③ 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いている場合
6.
当社は、前項第3号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときは、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

第29条（外国への第三者提供）

1.
当社は、当社が外国（本邦の域外にある国又は地域をいう。以下同じ。）（個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として規則で定めるものを除く。以下この条において同じ。）にある第三者（個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置（第3項において「相当措置」という。）を継続的に講ずるために必要なものとして規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。）に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
2.
当社は、前項の規定により本人の同意を得ようとする場合には、規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
3.
当社は、個人データを外国にある第三者（第1 項に規定する体制を整備している者に限る。）に提供した場合には、規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

第30条（外国への第三者提供）

1.
当社は、個人データを第三者に提供したときは、第三者提供に係る記録を作成しなければならない。ただし、当該個人データの提供が第28条第1項各号に該当する場合又は同条第5項各号のいずれか（前条第1項の規定による個人データの提供にあっては、第28条第1項のいずれか）に該当する場合は、この限りでない。
2.
第三者に個人データの提供をする場合の記録の作成方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法によるものとする。
3.
第1項の記録は、次項又は第5 項に該当する場合を除き、第三者から個人データの提供をした都度、速やかに作成しなければならない。
4.
第2項の記録は、当該第三者から継続的に若しくは反復して個人データの提供（法第27条第2項の方法により個人データの提供を受けた場合を除く。）をしたとき、又は当該第三者から継続的に若しくは反復して個人データの提供をすることが確実であると見込まれるときの記録は、一括して作成することができる。
5.
第2項の記録は、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者から個人データの提供を受けたときの記録に代えることができる。
6.
第28条第2項に基づき個人データを第三者に提供した場合は以下の事項を記録するものとする。
- ① 当該個人データを提供した年月日
- ② 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項（不特定かつ多数の者に対して提供したときは、その旨）
- ③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- ④ 当該個人データの項目
7.
第28条第1項又は前条に基づく本人の同意を得て個人データを第三者に提供した場合は以下の事項を記録するものとする。
- ① 本人の同意を得ている旨
- ② 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項（不特定かつ多数の者に対して提供したときは、その旨）
- ③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- ④ 当該個人データの項目
8.
前項の記載事項のうち、第2項から第5項までの方法により作成した記録（保存している場合に限る。）に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。

9.

当社は、第6項から前項までの規定により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。

場所	保存期間
① 本人を当事者とする契約書等に基づく個人データの提供の場合	最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間
② 個人データを継続的に若しくは反復して提供する場合	最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間
③ 上記①又は②以外の場合	当該記録を作成した日から3年間

第31条（第三者提供を受ける際の確認及び記録）

1.
当社は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第28条第1項各号に該当する場合又は同条第5項各号のいずれかに該当する場合は、この限りでない。
- ① 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人）の氏名
- ② 当該第三者による当該個人データの取得の経緯

2.

当社は、第三者から個人データの提供を受ける際の確認を行う方法は、確認を行う事項の区分に応じて、それぞれ次のとおりとする。

場合	方法
① 前項1号に該当する事項	個人データを提供する第三者から申告を受ける方法その他の適切な方法
② 前項2号に該当する事項	個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法

3.
前項にかかわらず、第三者から他の個人データの提供を受けるに際して既に前項に規定する方法による確認（当該確認について記録の作成及び保存をしている場合におけるものに限る。）を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る確認事項の内容が同一であることの確認を行う方法によるものとする。
4.
当社は、前3 項に基づく確認を行ったときは、以下の区分に応じて以下の事項を記録しなければならない。
- (1) 法第27 条第2 項の方法により個人データの提供を受けた場合
- ① 個人データの提供を受けた年月日
- ② 当該第三者の氏名又は名称
- ③ 当該第三者の住所
- ④ 当該第三者が法人である場合は、その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人）の氏名
- ⑤ 当該第三者による当該個人データの取得の経緯
- ⑥ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- ⑦ 当該個人データの項目
- ⑧ 法に基づき個人情報保護委員会による公表がされている旨
- (2) 法第27条又は法第28条に基づく本人の同意を得て第三者に提供した場合
- ① 本人の同意を得ている旨
- ② 当該第三者の氏名又は名称
- ③ 当該第三者の住所
- ④ 当該第三者が法人である場合は、その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人）の氏名
- ⑤ 当該第三者による当該個人データの取得の経緯
- ⑥ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- ⑦ 当該個人データの項目
- (3) 法第27条又は法第28個人情報取扱事業者ではない第三者から提供を受けた場合
- ① 当該第三者の氏名又は名称
- ② 当該第三者の住所
- ③ 当該第三者が法人である場合は、その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人）の氏名
- ④ 当該第三者による当該個人データの取得の経緯
- ⑤ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- ⑥ 当該個人データの項目
5.
前項各号の記載事項のうち、既に作成した記録（保存している場合に限る。）に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
6.
第4項の記録は、次項又は第8項に該当する場合を除き、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。
7.
第4項の記録は、当該第三者から継続的に若しくは反復して個人データの提供（法第27条第2項の方法により個人データの提供を受けた場合を除く。）を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
8.
第4項の記録は、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者から個人データの提供を受けたときの記録に代えることができる。

9.

当社は、第4項又第5項により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。

場合	保管期間
① 本人を当事者とする契約書等に基づく個人データの提供の場合	最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間
② 個人データを継続的に若しくは反復して提供する場合	最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間
③ 上記①又は②以外の場合	当該記録を作成した日から3年間

第32条（共同利用）

1.
当社は、特定の者との間で共同して利用される個人データが当該特定の者に提供される場合は、次に掲げる事項をあらかじめ本人に通知するか、本人が容易に知り得る状態に置くとともに、共同利用する第三者にも同様の措置を講じさせなければならない。
- ① 個人データを特定の者との間で共同して利用する旨
- ② 氏名、住所等の共同利用される個人データの項目
- ③ 共同して利用する者の範囲
- ④ 共同して利用する個人データのすべての利用目的
- ⑤ 個人データの管理について責任を有する者の氏名又は名称
- ⑥ 取得方法
2.
当社は、前項に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、共同利用する第三者にも同様の措置を講じさせなければならない。

第33条（個人関連情報）

1.
当社は、個人関連情報取扱事業者から提供を受ける個人関連情報（個人関連情報データベース等を構成するものに限る。以下同じ。）を個人データとして取得することが想定される場合は、第28条第1項各号に掲げる場合を除き、当該個人データに関して識別される本人から、当該個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の同意を取得するものとする。
2.
当社は、偽りその他不正の手段により、個人関連情報を個人データとして取得してはならない。
3.
第1項の本人の同意の取得は、本人から同意する旨を示した書面や電子メールを受領する方法、確認欄へのチェックを求める方法によるものとする。ウェブサイト上で同意を取得する場合は、単にウェブサイト上に本人に示すべき事項を記載するのみでは足りず、それらの事項を示した上でウェブサイト上のボタンのクリックを求める方法等によるものとする。
4.
当社は、個人関連情報の提供元である個人関連情報取扱事業者から第1 項の同意を取得したことの確認が求められた場合は、口頭、書面その他適切な方法で申告するものとする。この場合、当社は、当該個人関連情報取扱事業者に対して、当該確認に係る事項を偽ってはならないものとする。
5.
当社は、個人関連情報の提供を受けて個人データとして取得する際は、「当該第三者（提供元の個人関連情報取扱事業者）の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名」を確認しなければならない。確認方法は、提供元の個人関連情報取扱事業者から申告を受ける方法その他の適切な方法によるものとする。既に当該確認方法により確認を行い、次項に規定する方法により作成し、かつ、その時点において記録している記録に記録された事項と同一であるものについては、当該事項の確認を省略することができる。
6.
当社は、第1項の規定による個人関連情報の提供（第28条第1項各号に該当する場合を除く。）を受けて個人データとして取得する場合は、以下のとおり記録するものとする。
- (1) 記録を作成する方法
  原則として、個人関連情報の提供を受けて個人データとして取得する都度、速やかに記録を作成する。但し、一定の期間内に特定の事業者から継続的に又は反復して個人関連情報の提供を受けて個人データとして取得する場合は、個々の提供に係る記録を作成する代わりに、一括して記録を作成することができる。また、本人に対する物品又は役務の提供に係る契約を締結し、かかる契約の履行に伴って、当該本人に係る個人関連情報の提供を受けて個人データとして取得する場合は、当該契約書その他の書面をもって記録とすることができる。
- (2) 記録事項
  ① 本人の同意を得ている旨
  ② 当該第三者の氏名又は名称及び住所並びに法人の場合は、その代表者の氏名
  ③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
  ④ 当該個人関連情報の項目
- (3) 記録事項の省略
  上記の方法により作成した記録（現に保存している場合に限る。）に記録された事項と内容が同一であるものについては、当該事項の記録を省略することができる。

7.

前項により作成した記録の保存期間は以下のとおりとする。

場合	保存期間
① 本人に対する物品又は役務の提供に関連して第三者から個人関連情報の提供を受ける場合	最後に当該記録に係る個人関連情報の提供を受けた日から起算して1年を経過する日までの間
② 継続的に若しくは反復して個人関連情報の提供を受ける場合	最後に当該記録に係る個人関連情報の提供を受けた日から起算して3年を経過する日までの間
③ 上記①又は②以外の場合	当該記録を作成した日から3年間

第34条（個人情報保護窓口の設置等）

1.
保有個人データの開示請求、訂正請求、利用停止請求及びその他相談等に対応する窓口として、個人情報保護相談窓口（以下「相談窓口」という。）をコーポレート部に置き、当社における個人情報の取扱い等に係る相談等の受付及び事務を行うものとする。
2.
相談窓口の住所、連絡先等は、当社の「プライバシーポリシー」に記載する。

第35条（保有個人データに関する事項の公表等）

1.
当社は、保有個人データに関し、次に掲げる事項について、「プライバシーポリシー」と一体としてインターネットのホームページでの常時掲載を行うこと、又は事務所の窓口等での掲示・備付け等を行うこととする。
- ① 当社の名称、住所及び代表者の氏名
- ② 全ての保有個人データの利用目的（第24条第4項第1号から第3号までに該当する場合を除く。）
- ③ 保有個人データの開示、訂正、追加、削除、利用の停止、削除の請求に応じる手続
- ④ 保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。）
- ⑤ 当社が行う保有個人データの取扱いに関する請求等及び苦情処理の申出先
2.
当社は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知するものとする。ただし、次の各号のいずれかに該当する場合は、この限りでない。
- ① 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
- ② 第24条第4項第1号から第3号までに該当する場合
3.
当社は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。

第36条（保有個人データの開示）

1.
当社は、本人から、当該本人が識別される保有個人データの開示（当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。）に係る請求を受けたときは、本人に対し、本人が請求した方法（法に定める方法に限るものとし、本人が請求した方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法）により、遅滞なく、当該保有個人データを開示するものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
- ① 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- ② 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- ③ 他の法令に違反することとなる場合
2.
当社は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたとき、又は本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知するものとする。この場合、当社は本人に対して、当該通知においてその理由を説明するものとする。
3.
他の法令の規定により、本人に対し第1項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は、適用しない。
4.
前各項の規定は、当該本人が識別される個人データに係る第30条第1項及び第30条第3項の記録（次の各号に掲げるものを除く。以下「第三者提供記録」という。）について準用する。
- ① 当該記録の存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
- ② 当該記録の存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
- ③ 当該記録の存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
- ④ 当該記録の存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

第37条（保有個人データの訂正等）

1.
当社は、当該本人が識別される保有個人データの内容が事実でないことを理由に当該本人から当該保有個人データの訂正、追加又は削除（以下本条において「訂正等」という。）に係る請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行うものとする。
2.
当社は、前項の請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨（訂正等を行ったときは、その内容を含む。）を通知するものとする。この場合、当社は本人に対して、当該通知においてその理由を説明するものとする。

第38条（保有個人データの利用停止等）

1.
当社は、本人から、当該本人が識別される保有個人データが、法第18条若しくは第19条の規定に違反して取り扱われているとき、又は法第20条の規定に違反して取得されているという理由によって、当該保有個人データの利用の停止、消去（以下本条において「利用停止等」という。）に係る請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行うものとする。但し、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではない。
2.

第39 条（個人データの開示等の請求の手続き）

1.
当社は、利用通知の求め又は開示請求（第36条）、訂正等の請求（第37条）、利用停止等の請求（第38条）（以下「開示等の請求等」という。）に関して、以下の手続きのとおり応ずるものとする。
- (1) 相談窓口への郵送
  本人に対して、以下のものを相談窓口宛に郵送することを求める。
  ① 保有個人データ開示等請求書（当社所定の書式）
  ② 本人確認書類
  ③ 手数料等相当分の郵便切手（振込ではなく郵便に同送する場合）
- (2) 本人確認手続・本人確認書類
  本人確認は以下の本人確認書類の写しを確認することによる。
  ① 運転免許証、パスポート、在留カード、特別永住者証明書、個人番号カード
  　　（個人番号の記載された面は送付しないことを求める。）等の官公庁が発行した顔写真付き本人確認書類の写し・・・1 点の送付を求める
  ② 健康保険被保険者証、年金手帳等の官公庁が発行した顔写真のない本人確認
  　　書類の写し・・・2 点の送付を求める
- (3) 手数料等
  本人から開示の請求があった場合、1つの請求につき、次の手数料等を振込又は郵便切手により収受する。なお、開示の請求に応じられない場合も手数料等は返金しないものとする。郵便制度が変更された場合、下記の手数料等を変更するものとする。
  1,650円（税込）
- (4) 代理人による開示等の請求等の場合
  開示等の請求は、政令で定めるところにより、代理人によってすることができる。
  代理人による請求の場合、第2 号に掲げる書類の他、次の書類を郵送させるものとする。
  ① 代理権を確認するための書類
  ア法定代理人の場合
  （ア）未成年の場合
  本人の戸籍抄本又は扶養家族が記入された保険証（写し）
  （イ）成年被後見人の場合
  後見登記等に関する法律第10 条に規定する登記証明事項
  イ任意後見人の場合
  委任状及び本人の印鑑登録証明書
  ② 代理人の本人確認をするための本人確認書類
  代理人について第2 号に掲げる本人確認書類を求める。
2.
当社は、開示等の請求等を受け付けたときは、原則として、当該受け付けをした日から起算して、1 週間以内に請求に係る可否を決定する。
3.
当社は、開示等の請求等のあった保有個人データの利用目的の通知をする旨決定したとき又は全部又はその一部を除いた部分について開示、訂正等若しくは利用停止等若しくは第三者提供の停止をする旨決定したときは、請求者である本人又は代理人に対し、当社所定の「保有個人データ開示等決定通知書」の送付により通知する。
4.
当社は、開示等の請求等のあった保有個人データの利用目的の通知をしない旨決定したとき又は全部について、開示、訂正等若しくは利用停止等若しくは第三者提供の停止をしない旨決定したときは、請求者である本人又は代理人に対し、当社所定の「保有個人データ不開示等決定通知書」の送付により通知する。

第40条（苦情処理）

当社は、当社における保有個人データの取扱いに関する苦情の適切かつ迅速な処理に努めるものとする。

第1条（改廃）

本規程は、コーポレート部が所管し、その改廃は代表取締役の決定による。

第2条（施行）

本規程は令和4年9月20日に制定し、令和4年10月5日から施行する。