第３部 安全管理措置及び取扱規程

個人データ等の安全管理措置

当社は、個人データ等の安全管理措置の共通手順についてについて次に定める。

1. 組織的安全管理措置

   1. 組織体制の整備、及び苦情・情報漏えい等事案に対応する体制の整備

      従業員は、個人情報等に関する苦情、インシデントや漏えい等発生時には、組織内においては24時間以内に個人情報管理責任者まで報告をあげる。個人情報管理責任者は、速やかに代表取締役に報告をし、協議する。

      【協議内容】

      1. 事実関係の調査及び原因の究明、
      2. 影響を受ける可能性のある本人への連絡、
      3. 個人情報保護委員会等の外部関係者への報告、
      4. 再発防止策の検討及び決定、
      5. 事実関係及び再発防止策等の公表
   2. 個人データの取扱状況を確認する手段の整備、取扱規程に基づく運用

      代表取締役は、「情報資産台帳」を作成し、個人データの取扱状況を把握可能とする。代表取締役は、取扱規程に従った運用を確保するため、個人データの取り扱いに係る様式を整備し、個人データの取り扱いの検証を可能にする。

   3. 取扱状況の把握及び安全管理措置の見直し

      個人情報管理責任者は、毎週金曜の終業時、従業員が取扱規程に従った運用を行っていることを点検する。代表取締役は、個人データの取扱状況を把握し、監査を実施する。監査では安全管理措置の評価、見直し及び改善に取り組む。

      役職名	役割と責任
      最高責任者宮本 太一	個人情報の取り扱いに関する責任者。決定権限を有するとともに、全責任を負う。
      個人情報管理責任者宮本 洋次	個人情報管理責任者。各部門における安全管理措置の実施などの責任を負う。
      教育責任者宮本 洋次	個人情報を取り扱う従業員への教育を企画・実施する。
      監査／点検責任者宮本 洋次	個人情報の取り扱いが適切に実施されているか個人情報保護関連規程を基準として検証または評価し、助言を行う。

2. 人的安全管理措置

   代表取締役は、従業員に個人情報等を取り扱わせるに当たっては、個人情報等の適正な取り扱いのため、個人情報等の安全管理措置が適切に講じられるよう、人的な安全管理措置として、次のとおり必要かつ適切な監督及び教育を行なう。

   1. 監督

      代表取締役は、従業員の監督として、個人情報等についての秘密保持に関する事項を就業規則、雇用契約書等に盛り込む。

   2. 教育

      代表取締役は、従業員の教育として、個人情報等の取り扱いに関する留意事項等についてeラーニングツールを用いて、従業者に定期的な研修を行なう。研修では、各自の研修結果を測定するテストを実施して、必要な力量が維持出来るようにする。従業員は、年１回、必修科目を受講しテストを実施し、必ず「合格」することとする。個人情報管理責任者は、研修の有効性を確保するために、eラーニン グツールの管理画面により確認し、必要な場合には再度研修を指示する。

3. 物理的安全管理

   代表取締役は、従業員に個人情報等を取り扱わせるに当たっては、個人情報等の適正な取り扱いのため、個人情報等の安全管理措置が適切に講じられるよう、物理的な安全管理措置として、次のとおり必要かつ適切な監督を行なう。

   1. 個人情報等を取り扱う区域の管理

      代表取締役は、個人情報等の情報漏えい等を防止するために、個人情報等を取り扱う情報システムを管理する区域(以下「管理区域」という。)及び個人情報等を取り扱う事務を実施する区域(以下「取扱区域」という。)を明確にし、物理的な安全管理措置を講ずる。

      1. 管理区域

         電子媒体：セキュリティが担保されたファイルサーバー
         紙媒体：施錠可能な棚及び倉庫

      2. 取扱区域

         全般とし、壁又は間仕切り等の設置、座席配置の工夫、のぞき込みを防止する措置の実施等により、権限を有しない者による個人データの閲覧等を防止する。

   2. 鍵の管理

      鍵の管理は、代表取締役が権限付与した鍵の管理者に限る。鍵を預かった管理者は無断で複製してはならない。代表取締役より返却を求められた場合は遅延なく返却する。

   3. 入退室管理の実施

      PC及びサーバー等個人データの保管されている機器はチェーンロックを行う。
      ノートPC及びタブレット、個人データの記載されている書類は、業務時間外は鍵付きのキャビネット等に保管する。

   4. 機器、装置等の固定など物理的な保護

      鍵の管理は、代表取締役が権限付与した鍵の管理者に限る。鍵を預かった管理者は無断で複製してはならない。代表取締役より返却を求められた場合は遅延なく返却する。

   5. 盗難等に対する予防対策の実施

      鍵及び機器、書類等を盗難及び紛失した場合は、代表取締役に報告するとともに警察に届け出る。キャビネットからの書類等の出し入れは、代表取締役が任命した者のみが扱う。他の人が扱っていることを発見した場合は、代表取締役に報告する。
      個人情報を持ち出す場合は、公共の場では常に携帯することとする。持ち運び可能な電子機器等の場合は暗号化し、書類の場合は個人情報が見えないような封筒やカバンに入れて持ち出す。また、鍵付きのカバン等で持ち運ぶこととする。

   6. 個人情報等の削除、機器及び電子媒体、書類等の廃棄

      必要がなくなった場合で、かつ、所管法令等において定められている保存期間等を経過したときには、個人番号をできるだけ速やかに復元できない手段で削除（「米陸軍準拠方式 (AR380-19)」に準拠した全箇所を３回上書き）又は廃棄（断片化、粉砕、焼却、融解）する。

4. 技術的安全管理

   代表取締役は、従業員に個人情報等を取り扱わせるに当たっては、個人情報等の適正な取り扱いのため、個人情報等の安全管理措置が適切に講じられるよう、技術的な安全管理措置として、次のとおり必要かつ適切な監督を行なう。

   1. アクセス制御

      代表取締役は、個人情報管理責任者に、個人データに対するアクセス管理(IDやパスワード等による認証、各従業者の業務内容に応じて業務上必要な範囲にのみアクセスできるようなシステム構成の採用等)を行わせる。また、個人データに対するアクセス記録の保存を推奨する。

      個人情報管理責任者は、従業員や委託先の担当者が個人番号関係事務を行う際、担当者の範囲及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために、適切なアクセス制御を行うものとする。

   2. アクセス者の識別と認証

      代表取締役は、個人情報管理責任者に従業員及び委託先の担当者に権限付与させ、個人情報等を取り扱う情報システムが正当なアクセス権を有する者であること、及び識別した結果に基づき認証できるようにする。

   3. 外部からの不正アクセス等の防止

      代表取締役は、個人情報等を取り扱う情報システムを調達する際には、個人情報管理責任者にあらかじめ外部からの不正アクセス又は不正ソフトウェアから保護する仕組みであることを確認した上で従業員及び委託先の担当者にこれを利用させ、適切に運用できるようにする。

      個人情報管理責任者は、個人データに対するファイアウォールの設置し、また当社で使用する無線LANは外部からの不正アクセスが行えないよう、パスワードを必ず設定し、暗号化を行うものとする。

   4. 情報漏えい等の防止

      代表取締役は、個人情報管理責任者に、個人情報等をインターネット等により外部に送信する場合、あらかじめ通信経路における情報漏えい等を防止するための措置を講じていることを確認させた上で従業員及び委託先の担当者にこれを利用させる。

      当社で使用するPCはウイルス対策ソフトを実装する。当社から持ち出すPCはディスクの暗号化を推奨する。個人データの保存されたPCは公共のWi-Fiスポット等、セキュリティレベルの低い回線へは接続しないこととする。

      外的環境の把握

      今後、個人データを外国に保管する場合は、個人データを保管する外国における個人情報の保護に関する制度を把握した上で安全管理措置を実施する。

      委託先の監督

      表取締役は、個人データ取扱の全部又は一部を委託する場合には、「委託を受けたいて、自らが果たすべき安全管理措置と同等の措置が講じられるよう、以下の手順い、「委託を受けた者」に対して必要かつ適切な監督を行なう。この監督義務は、再委、再々委託先以降に対しても間接的に監督義務を負うものとする。

   1. 評価選定

      代表取締役は委託する際、委託先が、自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認したうえで契約することとす る。個人情報等を適切に取り扱っているかについて、事業者ヒアリングによりリスクを判定した上で、事業者を委託先(受託者)として選定する。
      代表取締役は、委託先から、委託先が行なう再委託以降の委託について許諾を求められた場合、委託先と同様に、自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認したうえで許諾することとする。

   2. 契約

      契約内容には、次の事項を盛り込むものとする。また、委託先による再委託以降の委託においては、その委託契約には次の事項を盛り込んでいることを許諾の条件とする。

      1. 秘密保持義務
      2. 事業所内からの個人情報等の持出しの禁止
      3. 個人情報等の目的外利用の禁止
      4. 再委託における条件（再々委託以降も含む）
      5. 漏えい事案等が発生した場合の委託先の責任
      6. 委託契約終了後の個人情報の返却又は廃棄
      7. 従業者に対する監督・教育
      8. 契約内容の遵守状況について定期およびインシデント発生時の報告
      9. 当社の個人情報を取り扱う委託先従業者
      10. 当社による是正勧告および実地調査の権利
5. 監督

   個人情報管理責任者は、お客様の点検時およびインシデント発生時に、利用ログ・操作ログ、eラーニングツールの研修結果の管理画面、及び実地調査等により委託先の契約内容の遵守状況を確認する。個人情報管理責任者は上記確認の結果、是正が必要と判断した場合、代表取締役に報告を行なう。代表取締役は、報告を受けた問題・課題を評価した結果、委託先の是正が必要と判断した場合、委託先に是正勧告を行なう。個人情報管理責任者は、是正終結まで委託先の是正の進捗状況を管理し、終結の確認後、代表取締役に報告する。

特定個人情報等の取扱規程

当社は、特定個人情報の取り扱いについて次に定める。

1. 特定個人情報取扱事務

   1. 特定個人情報等の範囲
      1. 源泉徴収票等

         給与所得者の扶養控除等（異動）申告書、従たる給与についての扶養控除等（異動）申告書、給与所得者の保険料控除申告書兼給与所得者の配偶者特別控除申告書、退職所得の受給に関する申告書、給与所得の源泉徴収票、給与支払報告書、退職所得の源泉徴収票、特別徴収票

      2. 支払調書等作成事務

         報酬、料金、契約金及び賞金の支払調書、不動産の使用料等の支払調書、非居住者に支払われる給与・報酬・年金及び賞金の支払調書

      3. 雇用保険等関連事務

         雇用保険被保険者資格取得届、雇用保険被保険者資格喪失届・氏名変更届、健康保険・厚生年金保険被保険者資格取得届、健康保険・厚生年金保険被保険者資格喪失届、健康保険被保険者（異動）届、上記の各種届の作成に要する基礎資料

      4. 年金等関連事務

         国民年金第３号被保険者関係届

   2. 特定個人情報等取扱者
      1. 源泉徴収票等
      2. 支払調書等作成事務 個人情報管理責任者
      3. 雇用保険等関連事務
      4. 年金等関連事務
   3. 取扱事務
      1. 取得

         従業員は、番号法第19条各号に該当し特定個人情報の提供を受けることができる場合を除き、他人の個人番号の提供を求めてはならないものとする。従業員は、番号法第19条各号に該当する場合を除き、他人の個人番号を含む特定個人情報を収集してはならないものとする。

      2. 利用

         従業員は、範囲に掲げる個人番号関係事務を処理するために必要な範囲を超えて、特定個人情報ファイルを作成しないものとする。

         従業員は、各個人番号関係事務を行うために提供を受けた特定個人情報等は、本人の同意があったとしても、例外として認められる場合を除き、当該個人番号関係事務以外の事務において利用してはならない。また、利用目的を超えて特定個人情報を利用してはならない。（事業継承の場合には承継前に特定されていた利用目的を超えて特定個人情報を利用してはならない。）

         ただし、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知を行うことにより、変更後の利用目的の範囲内で利用することはできる。

         1. 源泉徴収票等作成事務

            従業員は、源泉徴収票等への記載、提出、写しの本人交付を行う。写しの本人交付は、相手先ごとに封緘し、交付するものとする。

         2. 支払調書等作成事務

            従業員は、支払調書への記載、提出、写しの本人交付を行う。写しの本人交付は、相手先ごとに封緘し、交付するものとする。

         3. 雇用保険等関連事務

            従業員は、雇用保険に関する資格取得届への記載、提出の取扱事務は委託先担当者が実施する。雇用保険被保険者証等の本人交付は、被保険者ごとに封緘し、交付するものとする。

      3. 提供

         代表取締役は、個人情報保護委員会が、特定個人情報の取り扱いに関し、番号法第52条第１項の規程により、特定個人情報の提供を求めた場合には、この求めに応じ、個人情報保護委員会に対し、特定個人情報を提供する。

         従業員は、番号法で限定的に明記された場合を除き、特定個人情報を「提供」しないものとする。また、従業員は、番号法第19条各号に該当しない場合には、特定個人情報を提供しないものとする。

      4. 保管・保存

         従業員は、番号法第19条各号に該当する場合を除き、他人の個人番号を含む特定個人情報を保管してはならないものとする。

         従業員は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅延なく消去するものとする。個人データを長期にわたって保存する場合には、保存媒体の劣化防止など個人データが消失しないよう適切に保存する。個人データの保存に当たっては、本人からの照会等に対応する場合など必要なときに迅速に対応できるよう、インデックスの整備など検索可能な状態で保存しておく。

      5. 廃棄・削除

         従業員は、個人番号関係事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除する。特定個人情報ファイルの廃棄又は削除は、次のとおりとする。

         1. 特定個人情報ファイルの削除及び廃棄の時期

            従業員は、法令等に定められた保存期間を経過した場合は、の確認を受けた上で、速やかに廃棄するものとする。

         2. 廃棄、削除の方法

            従業員は、特定個人情報ファイルについて、溶解、電子媒体等の破壊等の復元できない方法により適切に廃棄するものとする。

            廃棄が出来ない場合には、個人番号を復元出来ない方法により適切に削除するものとする。

            従業員は、特定個人情報等を取り扱う書類、機器及び電子媒体等を、委託して廃棄又は削除する場合には、セキュリティを確保した廃棄又は削除が可能な委託先に委託して行う。これらの廃棄業務を委託する場合には、個人データの取り扱いについても委託契約において明確に定める。廃棄を委託する場合は、廃棄業者から廃棄証明書を取得する。廃棄証明書を発行できない業者は利用しないこととする。

         3. 廃棄日時の記録

            従業員は、特定個人情報ファイルを廃棄又は削除したときは、当該特定個人情報ファイルの名称、取扱者、廃棄又は削除した件数及び内容の記録を作成し、並びに廃棄又は削除を委託した場合は委託先による廃棄又は削除を証明する記録等を受領する。