個人情報の保護に関する規則
第1章 総 則
(目的)
第1条 この規則は、生活協同組合エスコープ大阪が有する個人情報につき、「生活協同組合エスコープ大阪の個人情報保護ポリシー」に基づく適正な保護を実現することを目的とする。
(定義)
第2条 この規則における用語の定義は、次の各号に定めるところによる。
(1) 個人情報
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
(2) 本人
個人情報によって識別される特定の個人
(3) 役・職員
生活協同組合エスコープ大阪組織内で個人情報の取り扱いに従事する者(役員、正職員、契約職員、嘱託、派遣社員、パートタイマー、アルバイト等を含む)
(4) 活動組合員
生活協同組合エスコープ大阪の役・職員以外で活動に参加する者。
(5) 個人情報保護プログラム
生活協同組合エスコープ大阪が保有する個人情報を保護するための方針、組織、計画、監査及び見直しを含むグループ内のしくみのすべて
(6) 情報統括役員
理事会において選任され、個人情報保護プログラムの実施及び運用に関する責任と権限を有する理事
(7) 個人情報保護監査責任者
理事会により指名された者であって、公平かつ客観的な立場にあり、監査の実施及び報告を行う責任と権限を有する者
(8) 個人情報保護委員
情報統括役員により指名された者であって、個人情報保護プログラムの策定及びその実施のために、情報統括役員を補佐する者
(9) 個人情報管理者
情報統括役員により指名された者であって、生活協同組合エスコープ大阪各部門の個人情報保護に関する責任者として本規則に定められた事項を理解し遵守するとともに、当該部門における個人情報の収集、利用、または提供にかかわる者にこれを理解させ、安全対策の実施ならびに周知徹底等の措置を実施する責任と権限を有する者
(10) 利用
生活協同組合エスコープ大阪において個人情報を処理すること
(11) 提供
生活協同組合エスコープ大阪以外の者に、生活協同組合エスコープ大阪の保有する個人情報を利用可能にすること
(適用範囲)
第3条 この規則は、生活協同組合エスコープ大阪の役・職員及び活動組合員に対して適用する。
2.個人情報を取り扱う業務を外部に委託する場合も、この規則の趣旨に従って、個人情報の適正な保護を図るものとする。
第2章 個人情報の取得
(個人情報の取得の原則)
第4条 個人情報の取得は、利用目的を明確に定め、その利用目的の達成のために必要な限度においてのみ行うものとする。
2.個人情報の取得は、適法かつ公正な方法により行うものとする。
(特定の機微な個人情報の取得の制限)
第5条 以下の各号に掲げる特定の機微な個人情報については、業務の遂行上必要な限りにおいて、本人の明示的な同意があるとき、若しくは法令に特別の規定がある場合または司法手続き上必要な場合を除き、これを取得してはならない。
(1) 思想、信条及び宗教に関する事項
(2) 人種、民族、門地、本籍地(所在都道府県に関する情報を除く)、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項
(3) 勤労者の団結権、団体交渉及びその他団体活動の行為に関する事項
(4) 集団示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事項
(5) 保健医療及び性生活
2.取得した前項各号に掲げる特定の機微な個人情報については厳重に管理し、利用目的が終了した後すみやかに適切な方法で消去・廃棄しなければならない。
(取得の手続)
第6条 業務において新たに個人情報を取得する場合には、あらかじめ、情報統括役員に利用目的及び実施方法を届け出、承認を得るものとする。
(本人から直接に個人情報を取得する場合の措置)
第7条 本人から直接に個人情報を取得する場合は、本人に対して、次の各号に掲げる事項を書面またはこれに準ずる方法によって通知し、本人の同意を得るものとする。
(1) 情報統括役員又はその代理人の氏名または職名、所属及び連絡先
(2) 個人情報の取得及び利用の目的
(3) 個人情報の提供を行うことが予定されている場合は、その目的、当該情報の受領者または受領者の組織の種類、属性及び個人情報の取り扱いに関する契約の有無
(4) 個人情報の取り扱いを委託することが予定されている場合には、その旨
(5) 個人情報を与えることは、本人の任意であること、及び当該情報を与えなかった場合に本人に生ずる結果
(6) 個人情報の開示を求める権利、及び開示の結果、当該情報が誤っている場合に訂正または削除を要求する権利の存在、並びに当該権利を行使するための具体的な手続き
(本人以外から間接的に個人情報を取得する場合の措置)
第8条 本人以外から間接的に個人情報を取得する場合は、前条第1号ないし第4号及び第6号に掲げる事項を書面又はこれに準ずる方法によって通知し、本人の同意を得るものとする。ただし、次の各号に該当する場合は、この限りではない。
(1) 前条第3号に従って、本人の同意を得ている者から取得する場合
(2) 個人情報の取り扱いを委託される場合
(3) 本人の保護に値する利益が侵害されるおそれのない場合
第3章 個人情報の移送・送信
(個人情報の移送・送信の原則)
第9条 個人情報の移送・送信は、具体的な権限を与えられた者のみが、外部流出等の危険を防止するために必要かつ適切な方法により、業務の遂行上必要な限りにおいてなし得る。
第4章 個人情報の利用
(個人情報の利用の原則)
第10条 個人情報は、原則として、利用目的の範囲で、具体的な権限を与えられた者のみが、業務の遂行上必要な限りにおいて利用できるものとする。
(個人情報の目的外利用)
第11条 利用目的の範囲を超えて個人情報を利用する場合は、第7条第1号ないし第4号及び第6号に掲げる事項を書面又はこれに準ずる方法によって通知し、本人の同意を得るものとする。
2.利用目的の範囲を超えて個人情報を利用するために本人の同意を求める場合は、情報統括役員の承認を得るものとする。
(個人情報の共同利用)
第12条 個人情報を第三者との間で共同利用する場合は、情報統括役員の承認を得るものとする。
(個人情報の取り扱いの委託)
第13条 個人情報の取り扱いを第三者に委託する場合は、情報統括役員の承認を得るものとする。
2.前項に基づき、個人情報の取り扱いを第三者に委託する場合は、「外部委託管理細則」に定める手続きに従う。
第5章 個人情報の第三者提供
(個人情報の第三者提供の原則)
第14条 個人情報は、事前に本人の同意を得ることなく、第三者に提供してはならない。
2.個人情報を第三者に提供する場合は、第7条第1号ないし第4号及び第6号に掲げる事項を書面又はこれに準ずる方法によって通知し、本人の同意を得るものとする。
3.前項に基づき個人情報を第三者に提供する場合は、情報統括役員の承認を得るものとする。
第6章 個人情報の管理
(個人情報の管理の原則)
第15条 個人情報は、利用目的の達成に必要な範囲内において、正確かつ最新の状態で管理するものとする。
(個人情報の安全管理対策)
第16条 情報統括役員は、個人情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏洩など)に対して、必要かつ適切な安全管理対策を講じるものとする。
第7章 個人情報の開示・訂正・利用停止・消去
(自己情報に関する権利)
第17条 本人から自己の情報について開示を求められた場合は、合理的な期間内にこれに応じるものとする。
2.前項に基づく開示の結果、誤った情報があり、訂正又は削除を求められた場合は、原則として合理的な期間内にこれに応ずるとともに、訂正又は削除を行った場合は、可能な範囲で当該個人情報の受領者に対して通知を行うものとする。
(自己情報の利用又は提供の拒否)
第18条 本人から自己の情報について利用又は第三者への提供を拒否された場合は、これに応じるものとする。ただし、法令に基づく場合は、この限りでない。
第8章 個人情報の消去・廃棄
(消去・廃棄の手続)
第19条 個人情報の消去及び廃棄は、具体的な権限を与えられた者のみが、外部流出等の危険を防止するために必要かつ適切な方法により、業務の遂行上必要な限りにおいてなし得る。
第9章 組織及び体制
(情報統括役員)
第20条 理事会は、理事の中から情報統括役員1名を選任し、生活協同組合エスコープ大阪における個人情報の管理業務を行わせるものとする。
2.情報統括役員は、理事会の決定及びこの規則に定めるところに基づき、個人情報保護に関する内部規程の整備、安全対策の実施、教育訓練等を推進するための個人情報保護プログラムを策定し、周知徹底等の措置を実践する責任を負うものとする。
3.情報統括役員は、個人情報保護プログラムの策定及びその実施のために、個人情報保護委員を指名することができるものとする。
(教育)
第21条 情報統括役員は、個人情報保護プログラムの必要性を理解させ、確実な実施を図るため、所要の教育計画及び教育資料に従い、継続的かつ定期的に教育・訓練を行うものとする。
(個人情報管理者)
第22条 情報統括役員は、個人情報が取り扱われる部門ごとに、個人情報管理者を指名するものとする。
(監査)
第23条 理事会は、個人情報保護監査責任者を2名以上を指名し、生活協同組合エスコープ大阪における個人情報の管理が個人情報保護プログラムに従い適正に実施されているかにつき定期的に監査を行わせるものとする。
2.個人情報保護監査責任者は、監査計画を作成し実施するものとする。
3.個人情報保護監査責任者は、監査の結果につき監査報告書を作成し、理事会に対して報告を行うものとする。
4.理事会は、生活協同組合エスコープ大阪における個人情報の管理につき個人情報保護プログラムに違反する行為があった場合には、情報統括役員及び関係者に対し、改善指示を行うものとする。
5.前項に基づき改善指示を受けた者は、速やかに適正な改善措置を講じ、その内容を個人情報保護監査責任者に報告するものとする。
6.個人情報保護監査責任者は、前項によりなされた改善措置を評価し、理事会及び情報統括役員に対して報告するものとする。
(報告義務及び罰則)
第24条 個人情報保護プログラムに違反する事実又は違反するおそれがあることを発見した者は、その旨を個人情報管理者を通じて、もしくは直接に情報統括役員に報告するものとする。
2.情報統括役員は、前項による報告の内容を調査し、違反の事実が判明した場合には、遅滞なく、理事会に報告し、かつ、関係部門に適切な処置を行うよう指示するものとする。
3.個人情報保護プログラムに違反した役・職員に対しては、各々の組織が定める規定・就業規則及び機関の決定に基づき、制裁等必要な措置をとる。
(苦情及び相談)
第25条 生活協同組合エスコープ大阪は、個人情報及び個人情報保護プログラムに関して、本人からの 苦情及び相談を受け付ける「個人情報問い合わせ窓口」またはそれに相当する窓口を設置し、それらに対応するものとする。
第10章 雑 則
(見直し)
第26条 理事会は、監査報告書その他の事業環境などに照らして、適切な個人情報の保護を維持するために、定期的に、この規則の改廃を含む個人情報保護プログラムの見直しを行い、情報統括役員にその起案を 指示するものとする。
(運用細則)
第27条 情報統括役員は、この規則の運用のために必要な細則を定めるものとする。
附則
この規則は2013年10月21日より実施する。
パーソナルコンピュータ取り扱い細則
(目的)
第1条 この細則は、「個人情報の保護に関する規則」第27条に基づく運用細則であり、同規則が定める生活協同組合エスコープ大阪で業務に従事する者が、パーソナルコンピュータ(以下、パソコンという)等の情報端末を利用した業務で取り扱う情報を適切に管理・保護し、また、その情報を利用する場合のルールを定め、個人情報の保護、業務活動上の情報漏洩による損失を防ぐことを目的とする。
(情報の定義)
第2条 情報とは組合員情報、個人情報、利用情報、出資金情報、未収金情報、取扱品情報、仕入情報、資金情報、生活協同組合エスコープ大阪の事業を通じて取得もしくは組合員等より提供された個人に関する情報をいう。
(取扱者の管理)
第3条 情報の取扱は、業務指示により許可を受けた取扱者のみ当該許可の範囲内で業務を行うことができる。ただし、個人情報については、個人情報管理者より許可を受けた者とする。
(パスワードの管理)
第4条 情報の取扱者は、自己でパスワードを管理し適時パスワード変更を行わなければならない。
2.パスワードは、次項を除き個人管理とし複数人で共有してはならない。
3.パソコンを複数の者で共有することが前提で設置されている場合は、パスワードはグループ管理とし、グループのメンバーを限定してパスワードを利用することとする。
4.パスワードは、業務上の緊急の場合を除いて公開してはならない。公開した場合は、速やかにパスワードの変更を行わなければならない。
(パーソナルコンピュータの管理)
第5条 パソコンの利用は、生活協同組合エスコープ大阪の各組織の情報システム部門で当該パソコンの設置場所と利用者を特定する。
2.パソコンはあらかじめ特定された設置場所からの移動を禁止する。業務上やむを得ず移動する場合は目的・移動場所・期間を含めて個人情報管理者より許可を受けるものとする。
3.利用を中断してパソコンから離れる場合は、業務システム上の必要を除き、当該パソコンの電源を切ることを基本とし、短時間の場合でもネットワークから切り離すログアウトなどの適切な安全管理を行うことを義務付ける。
4.パソコンを不特定のものの出入りが想定できる場所に設置している場合は、次の管理を義務付ける。
(1) 当該パソコンの表示情報が取扱者以外に漏洩しない対策を行う。
(2) 当該パソコンの周辺が無人になる場合は前項を厳守する。
5.パソコンの廃棄は生活協同組合エスコープ大阪の各組織の情報システム部門が決定する。当該パソコンに係る個人情報管理者は廃棄前にハードディスクの物理的破壊またはデータ消去用ソフトウェアによる消去を行わなければならない。
(情報印字の管理)
第6条 パソコンの操作による情報の印字をみだりにしてはならない。印字した者は当該印字物がその利用目的が終了した時点で速やかにシュレッダー処理、焼却処理等により適切に廃棄処理されることに責任を持つ。
(個人情報の記録媒体の管理)
第7条 個人情報は、パソコン画面表示のみで利用することを基本として、個人情報管理者の許可無くFD、メモリカード、CD、DVD、HDなどの情報の記録方式・媒体を問わず、パソコンから取り外し可能な情報記録媒体への記録等をしてはならない。
2.利用目的が終了した記録媒体はすみやかに物理的破壊またはデータ消去用ソフトウェアによる消去を行い、その旨を個人情報管理者に報告する。
(個人情報の通信管理)
第8条 特定の機微な個人情報および100件以上の個人情報は、電子メールによる伝達を禁止する。暗号化を行った場合はこの限りでない。
2.電子メールで同時送信するときは宛先(T)への複数指定及びCC機能の使用を禁止し、BCC機能を使うことを義務づける。
(情報の取り扱い)
第9条 パソコンの操作による新たな情報の作成をみだりにしてはならない。作成したものは、当該情報の利用目的が終了した時点で、速やかに消去処理等で適切に廃棄処理されることに責任を持つ。また、アクセス制限のない共有スペース、パソコンのデスクトップ、HDへの一時保管以外の保存をしてはならない。
(改廃)
第10条 この細則の改廃は、関係する個人情報管理者の意見を聴いて情報統括役員が行う。
附則
この細則は2005年4月1日より実施する。
この細則は2013年10月21日より一部変更する。
個人情報文書管理細則
(目的)
第1条 この細則は、「個人情報の保護に関する規則」第27条に基づく運用細則であり、同規則が定める生活協同組合エスコープ大阪が業務で取り扱う組合員等(組合員の家族を含む)の個人に関する情報(以下、個人情報という)の記載された文書の取り扱いを定めて、個人情報の適正な管理を行うことを目的とする。
(個人情報文書の定義)
第2条 個人情報文書とは、作成中から廃棄までの個人情報の記載された文書、帳票、用紙、伝票、メモなどの紙類やハガキ、カード、ケース、シール(これらを総称して以下、文書という)等の一切のものをいう。
2.電磁情報によるものもこの細則において管理する。
(適用範囲)
第3条 この細則は、生活協同組合エスコープ大阪の役・職員及び活動組合員に対して適用する。
(管理の区分)
第4条 個人情報文書は、物品のお届けや仕分けのために使われるラベルを除き、次の3つに区分し管理して取り扱うものとする。
(1) 個人情報帳票用紙
個人情報が印刷や記入されたリスト、ハガキ、カード、ケース、シール、用紙、伝票類、また、これらと同様なもので保存期間がおおむね6ヶ月以上のもの。ただし、個人情報の記入前のものを除く。
(2) 個人情報書簡
個人情報が記載された対外文書、通達、通知、連絡、業務文書
(3) 個人情報メモ
個人情報が記入された一時的なメモ、覚書、また、これらと同様なもの。
(管理区分の決定)
第5条 個人情報文書の管理区分は、文書の作成者が決定する。
2.第4条の1項で規程する「個人情報帳票用紙」を新規に設計したときは、起案者(作成者)は所属する部門の個人情報管理者に「個人情報帳票用紙」に該当する文書であることを報告する。
(個人情報保護の届出)
第6条「個人情報帳票用紙」を新設した部門の個人情報管理者は、作成した文書について速やかに次の事項を情報統括役員に届け出なければならない。
(1)文書の名称
(2)利用目的
(3)個人情報の項目名
(4)件数
(5)作成年月日
(6)保管方法(場所)と保管責任者
(7)保管期限と廃棄方法
(個人情報文書管理簿の整備)
第7条 情報統括役員は、「個人情報帳票用紙」の所在と個人情報の保護を実施するために、次の事項を記載した「個人情報文書管理簿」を整備するものとする。
(1)文書の名称
(2)管理区分
(3)利用目的
(4)個人情報の項目名
(5)件数
(6)作成部署名
(7)作成年月日
(8)保管方法(場所)と保管責任者
(9)保管期限と廃棄方法
(管理の範囲)
第8条 「個人情報帳票用紙」は、その個人情報の主体、若しくは、個人情報の主体に届けるために郵便や運送を行う会社に渡った時点で個人情報文書の管理対象外となる。
2.「個人情報帳票用紙」は、個人情報の主体から生協に戻ってきた時点で、再び、個人情報文書の管理対象となる。
(保管責任者)
第9条 「個人情報帳票用紙」の保管責任者は、その文書を作成した部門の個人情報管理者とする。ただし、複数の事業所で分割して保管する場合は、該当する事業所の長が保管責任者となる。
(保管場所)
第10条 保管責任者は、情報統括役員が別に承認する保管方法がある場合を除き、「個人情報帳票用紙」を鍵のかかる金属製保管庫に保管しておかなければならない。また、電磁情報については容易に外部に持ち出せる状態で保管してはならない。
2.「個人情報帳票用紙」の複写を保有している者も、同様の取り扱いをしなければならない。
(閲覧、複写の手続き)
第11条 職員は、「個人情報帳票用紙」を閲覧または複写するときは、業務上あらかじめ確認された場合を除き、保管責任者に次の事項を申し出てその許可を得なければならない。
(1)所属、氏名、日時
(2)文書の名称
(3)利用目的
(4)複写の場合の廃棄時期と廃棄方法
(適正な廃棄処理)
第12条 保管責任者は保管期限を経過した「個人情報帳票用紙」を速やかに次の何れかの方法により廃案処理しなければならない。
(1)シュレッダーによる裁断、また、これに相当する裁断方法
(2)完全なデータ抹消(破壊)
(3)個人情報保護の取扱について生協と契約を締結している廃棄物処理会社への委託処理
2.使用しなくなった個人情報文書は、速やかに前項の方法により廃棄処理しなければならない。ただし、法律や生協で別に保存年限が定められているものを除くものとする。
(個人情報帳票用紙の廃棄の報告)
第13条 保管責任者は、「個人情報帳票用紙」を廃棄したとき、速やかに次の事項を情報統括役員に報告するものとする。
(1)文書の名称
(2)個人情報の項目名
(3)件数
(4)作成年月日
(5)保管方法(場所)と保管責任者
(6)保管期限と廃棄実施方法とその実施確認方法
(懲戒)
第14条 次のいずれかに該当するときは、就業規則に照らし合わせて相当する懲戒の処分を与える。
(1)「個人情報帳票用紙」を生協に無断で外部に持ち出したとき
(2)第11条の手続きを経ることなく「個人情報帳票用紙」を閲覧または複写したとき
(3)「個人情報帳票用紙」または、その写しを不注意によって盗まれたとき、または散逸したとき
(閲覧及び周知)
第15条 この細則は、全事業所に備え置き、職員がいつでも閲覧できるようにしなければならない。
(改廃)
第16条 この細則の改廃は、関係する個人情報管理者の意見を聴いて情報統括役員が行う。
附則
この細則は、2005年4月1日から施行する。
この細則は2013年10月21日より一部変更する。
外部委託管理細則
第1章 総 則
(目的)
第1条 この細則は、生活協同組合エスコープ大阪が有する個人情報の取り扱いを第三者に委託する場合につき、具体的な方法等を定め、「生活協同組合エスコープ大阪の個人情報保護ポリシー」に基づく適正な保護を実現することを目的とする。
(適用)
第2条 本細則は、個人情報の取り扱いを外部に委託する場合に適用する。
第2章 外部委託の手続
(情報統括役員の承認)
第3条 個人情報の取り扱いを第三者に委託する場合は、個人情報管理者は、事前に、所定の「個人情報外部委託届出書」に、委託先、個人情報の内容、利用目的、委託先における利用態様および委託処理期間等を記載の上、 情報統括役員の承認を得なければならない。
2.情報統括役員は、委託先の個人情報の管理体制につき調査し、所定の水準に達していると認められなければ、前項の承認をしてはならない。
(基本契約及び秘密保持契約の締結)
第4条 前条による情報統括役員の承認に基づき、個人情報の取り扱いを委託する場合には、事前に、委託契約及び秘密保持契約を締結しなければならない。
2.委託先との契約に際しては、次の各号に定める事項を明確かつ具体的に定めなければならない。
(1) 委託する個人情報の内容、範囲、利用目的、委託先における利用態様および委託処理期間
(2) 委託する個人情報に関する秘密保持義務の遵守に関する事項
(3) 委託する個人情報の安全管理体制に関する事項
(4) 委託する個人情報の複製及び複写委託に関する事項
(5) 委託する個人情報の取り扱いの再委託に関する事項
(6) 委託終了時における個人情報の返還及び廃棄に関する事項
(7) 委託先における個人情報保護に関する教育・研修に関する事項
(8) 生活協同組合エスコープ大阪からの監査の受入及び報告に関する事項
(9) 受託する個人情報の漏えいその他事故が発生した場合における措置及び責任分担に関する事項
3.情報統括役員は、本条に基づき作成された基本契約、秘密保持契約その他の文書を、合理的な期間保管する。
第3章 委託先に対する監督
(委託先に対する監督)
第5条 情報統括役員は、定期的に、委託先につき、契約違反の有無を調査し、監督しなければならない。
2.情報統括役員は、委託先が契約に違反し又は違反するおそれのあることを発見したときは、直ちに必要な措置を講じなければならない。
3.外部委託の担当者は、委託期間中、委託先における個人情報の取扱い状況を調査し、契約に違反し又は違反するおそれのあることを発見したときは、直ちに、その旨を情報統括役員に通知しなければならない。
4.情報統括役員は、前項の通知を受けた場合は、直ちに必要な措置を講じなければならない。
第4章 雑 則
(見直し)
第6条 情報統括役員は、適切な個人情報保護を維持するために、定期的に、本細則の改廃を検討する。
(様式)
第7条 情報統括役員は、本細則に定める届出書及び契約書等の書式を作成する。
附則
この細則は2013年10月21日より実施する。
(目的)
第1条 この規則は、生活協同組合エスコープ大阪が有する個人情報につき、「生活協同組合エスコープ大阪の個人情報保護ポリシー」に基づく適正な保護を実現することを目的とする。
(定義)
第2条 この規則における用語の定義は、次の各号に定めるところによる。
(1) 個人情報
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
(2) 本人
個人情報によって識別される特定の個人
(3) 役・職員
生活協同組合エスコープ大阪組織内で個人情報の取り扱いに従事する者(役員、正職員、契約職員、嘱託、派遣社員、パートタイマー、アルバイト等を含む)
(4) 活動組合員
生活協同組合エスコープ大阪の役・職員以外で活動に参加する者。
(5) 個人情報保護プログラム
生活協同組合エスコープ大阪が保有する個人情報を保護するための方針、組織、計画、監査及び見直しを含むグループ内のしくみのすべて
(6) 情報統括役員
理事会において選任され、個人情報保護プログラムの実施及び運用に関する責任と権限を有する理事
(7) 個人情報保護監査責任者
理事会により指名された者であって、公平かつ客観的な立場にあり、監査の実施及び報告を行う責任と権限を有する者
(8) 個人情報保護委員
情報統括役員により指名された者であって、個人情報保護プログラムの策定及びその実施のために、情報統括役員を補佐する者
(9) 個人情報管理者
情報統括役員により指名された者であって、生活協同組合エスコープ大阪各部門の個人情報保護に関する責任者として本規則に定められた事項を理解し遵守するとともに、当該部門における個人情報の収集、利用、または提供にかかわる者にこれを理解させ、安全対策の実施ならびに周知徹底等の措置を実施する責任と権限を有する者
(10) 利用
生活協同組合エスコープ大阪において個人情報を処理すること
(11) 提供
生活協同組合エスコープ大阪以外の者に、生活協同組合エスコープ大阪の保有する個人情報を利用可能にすること
(適用範囲)
第3条 この規則は、生活協同組合エスコープ大阪の役・職員及び活動組合員に対して適用する。
2.個人情報を取り扱う業務を外部に委託する場合も、この規則の趣旨に従って、個人情報の適正な保護を図るものとする。
第2章 個人情報の取得
(個人情報の取得の原則)
第4条 個人情報の取得は、利用目的を明確に定め、その利用目的の達成のために必要な限度においてのみ行うものとする。
2.個人情報の取得は、適法かつ公正な方法により行うものとする。
(特定の機微な個人情報の取得の制限)
第5条 以下の各号に掲げる特定の機微な個人情報については、業務の遂行上必要な限りにおいて、本人の明示的な同意があるとき、若しくは法令に特別の規定がある場合または司法手続き上必要な場合を除き、これを取得してはならない。
(1) 思想、信条及び宗教に関する事項
(2) 人種、民族、門地、本籍地(所在都道府県に関する情報を除く)、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項
(3) 勤労者の団結権、団体交渉及びその他団体活動の行為に関する事項
(4) 集団示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事項
(5) 保健医療及び性生活
2.取得した前項各号に掲げる特定の機微な個人情報については厳重に管理し、利用目的が終了した後すみやかに適切な方法で消去・廃棄しなければならない。
(取得の手続)
第6条 業務において新たに個人情報を取得する場合には、あらかじめ、情報統括役員に利用目的及び実施方法を届け出、承認を得るものとする。
(本人から直接に個人情報を取得する場合の措置)
第7条 本人から直接に個人情報を取得する場合は、本人に対して、次の各号に掲げる事項を書面またはこれに準ずる方法によって通知し、本人の同意を得るものとする。
(1) 情報統括役員又はその代理人の氏名または職名、所属及び連絡先
(2) 個人情報の取得及び利用の目的
(3) 個人情報の提供を行うことが予定されている場合は、その目的、当該情報の受領者または受領者の組織の種類、属性及び個人情報の取り扱いに関する契約の有無
(4) 個人情報の取り扱いを委託することが予定されている場合には、その旨
(5) 個人情報を与えることは、本人の任意であること、及び当該情報を与えなかった場合に本人に生ずる結果
(6) 個人情報の開示を求める権利、及び開示の結果、当該情報が誤っている場合に訂正または削除を要求する権利の存在、並びに当該権利を行使するための具体的な手続き
(本人以外から間接的に個人情報を取得する場合の措置)
第8条 本人以外から間接的に個人情報を取得する場合は、前条第1号ないし第4号及び第6号に掲げる事項を書面又はこれに準ずる方法によって通知し、本人の同意を得るものとする。ただし、次の各号に該当する場合は、この限りではない。
(1) 前条第3号に従って、本人の同意を得ている者から取得する場合
(2) 個人情報の取り扱いを委託される場合
(3) 本人の保護に値する利益が侵害されるおそれのない場合
第3章 個人情報の移送・送信
(個人情報の移送・送信の原則)
第9条 個人情報の移送・送信は、具体的な権限を与えられた者のみが、外部流出等の危険を防止するために必要かつ適切な方法により、業務の遂行上必要な限りにおいてなし得る。
第4章 個人情報の利用
(個人情報の利用の原則)
第10条 個人情報は、原則として、利用目的の範囲で、具体的な権限を与えられた者のみが、業務の遂行上必要な限りにおいて利用できるものとする。
(個人情報の目的外利用)
第11条 利用目的の範囲を超えて個人情報を利用する場合は、第7条第1号ないし第4号及び第6号に掲げる事項を書面又はこれに準ずる方法によって通知し、本人の同意を得るものとする。
2.利用目的の範囲を超えて個人情報を利用するために本人の同意を求める場合は、情報統括役員の承認を得るものとする。
(個人情報の共同利用)
第12条 個人情報を第三者との間で共同利用する場合は、情報統括役員の承認を得るものとする。
(個人情報の取り扱いの委託)
第13条 個人情報の取り扱いを第三者に委託する場合は、情報統括役員の承認を得るものとする。
2.前項に基づき、個人情報の取り扱いを第三者に委託する場合は、「外部委託管理細則」に定める手続きに従う。
第5章 個人情報の第三者提供
(個人情報の第三者提供の原則)
第14条 個人情報は、事前に本人の同意を得ることなく、第三者に提供してはならない。
2.個人情報を第三者に提供する場合は、第7条第1号ないし第4号及び第6号に掲げる事項を書面又はこれに準ずる方法によって通知し、本人の同意を得るものとする。
3.前項に基づき個人情報を第三者に提供する場合は、情報統括役員の承認を得るものとする。
第6章 個人情報の管理
(個人情報の管理の原則)
第15条 個人情報は、利用目的の達成に必要な範囲内において、正確かつ最新の状態で管理するものとする。
(個人情報の安全管理対策)
第16条 情報統括役員は、個人情報に関するリスク(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏洩など)に対して、必要かつ適切な安全管理対策を講じるものとする。
第7章 個人情報の開示・訂正・利用停止・消去
(自己情報に関する権利)
第17条 本人から自己の情報について開示を求められた場合は、合理的な期間内にこれに応じるものとする。
2.前項に基づく開示の結果、誤った情報があり、訂正又は削除を求められた場合は、原則として合理的な期間内にこれに応ずるとともに、訂正又は削除を行った場合は、可能な範囲で当該個人情報の受領者に対して通知を行うものとする。
(自己情報の利用又は提供の拒否)
第18条 本人から自己の情報について利用又は第三者への提供を拒否された場合は、これに応じるものとする。ただし、法令に基づく場合は、この限りでない。
第8章 個人情報の消去・廃棄
(消去・廃棄の手続)
第19条 個人情報の消去及び廃棄は、具体的な権限を与えられた者のみが、外部流出等の危険を防止するために必要かつ適切な方法により、業務の遂行上必要な限りにおいてなし得る。
第9章 組織及び体制
(情報統括役員)
第20条 理事会は、理事の中から情報統括役員1名を選任し、生活協同組合エスコープ大阪における個人情報の管理業務を行わせるものとする。
2.情報統括役員は、理事会の決定及びこの規則に定めるところに基づき、個人情報保護に関する内部規程の整備、安全対策の実施、教育訓練等を推進するための個人情報保護プログラムを策定し、周知徹底等の措置を実践する責任を負うものとする。
3.情報統括役員は、個人情報保護プログラムの策定及びその実施のために、個人情報保護委員を指名することができるものとする。
(教育)
第21条 情報統括役員は、個人情報保護プログラムの必要性を理解させ、確実な実施を図るため、所要の教育計画及び教育資料に従い、継続的かつ定期的に教育・訓練を行うものとする。
(個人情報管理者)
第22条 情報統括役員は、個人情報が取り扱われる部門ごとに、個人情報管理者を指名するものとする。
(監査)
第23条 理事会は、個人情報保護監査責任者を2名以上を指名し、生活協同組合エスコープ大阪における個人情報の管理が個人情報保護プログラムに従い適正に実施されているかにつき定期的に監査を行わせるものとする。
2.個人情報保護監査責任者は、監査計画を作成し実施するものとする。
3.個人情報保護監査責任者は、監査の結果につき監査報告書を作成し、理事会に対して報告を行うものとする。
4.理事会は、生活協同組合エスコープ大阪における個人情報の管理につき個人情報保護プログラムに違反する行為があった場合には、情報統括役員及び関係者に対し、改善指示を行うものとする。
5.前項に基づき改善指示を受けた者は、速やかに適正な改善措置を講じ、その内容を個人情報保護監査責任者に報告するものとする。
6.個人情報保護監査責任者は、前項によりなされた改善措置を評価し、理事会及び情報統括役員に対して報告するものとする。
(報告義務及び罰則)
第24条 個人情報保護プログラムに違反する事実又は違反するおそれがあることを発見した者は、その旨を個人情報管理者を通じて、もしくは直接に情報統括役員に報告するものとする。
2.情報統括役員は、前項による報告の内容を調査し、違反の事実が判明した場合には、遅滞なく、理事会に報告し、かつ、関係部門に適切な処置を行うよう指示するものとする。
3.個人情報保護プログラムに違反した役・職員に対しては、各々の組織が定める規定・就業規則及び機関の決定に基づき、制裁等必要な措置をとる。
(苦情及び相談)
第25条 生活協同組合エスコープ大阪は、個人情報及び個人情報保護プログラムに関して、本人からの 苦情及び相談を受け付ける「個人情報問い合わせ窓口」またはそれに相当する窓口を設置し、それらに対応するものとする。
第10章 雑 則
(見直し)
第26条 理事会は、監査報告書その他の事業環境などに照らして、適切な個人情報の保護を維持するために、定期的に、この規則の改廃を含む個人情報保護プログラムの見直しを行い、情報統括役員にその起案を 指示するものとする。
(運用細則)
第27条 情報統括役員は、この規則の運用のために必要な細則を定めるものとする。
附則
この規則は2013年10月21日より実施する。
パーソナルコンピュータ取り扱い細則
(目的)
第1条 この細則は、「個人情報の保護に関する規則」第27条に基づく運用細則であり、同規則が定める生活協同組合エスコープ大阪で業務に従事する者が、パーソナルコンピュータ(以下、パソコンという)等の情報端末を利用した業務で取り扱う情報を適切に管理・保護し、また、その情報を利用する場合のルールを定め、個人情報の保護、業務活動上の情報漏洩による損失を防ぐことを目的とする。
(情報の定義)
第2条 情報とは組合員情報、個人情報、利用情報、出資金情報、未収金情報、取扱品情報、仕入情報、資金情報、生活協同組合エスコープ大阪の事業を通じて取得もしくは組合員等より提供された個人に関する情報をいう。
(取扱者の管理)
第3条 情報の取扱は、業務指示により許可を受けた取扱者のみ当該許可の範囲内で業務を行うことができる。ただし、個人情報については、個人情報管理者より許可を受けた者とする。
(パスワードの管理)
第4条 情報の取扱者は、自己でパスワードを管理し適時パスワード変更を行わなければならない。
2.パスワードは、次項を除き個人管理とし複数人で共有してはならない。
3.パソコンを複数の者で共有することが前提で設置されている場合は、パスワードはグループ管理とし、グループのメンバーを限定してパスワードを利用することとする。
4.パスワードは、業務上の緊急の場合を除いて公開してはならない。公開した場合は、速やかにパスワードの変更を行わなければならない。
(パーソナルコンピュータの管理)
第5条 パソコンの利用は、生活協同組合エスコープ大阪の各組織の情報システム部門で当該パソコンの設置場所と利用者を特定する。
2.パソコンはあらかじめ特定された設置場所からの移動を禁止する。業務上やむを得ず移動する場合は目的・移動場所・期間を含めて個人情報管理者より許可を受けるものとする。
3.利用を中断してパソコンから離れる場合は、業務システム上の必要を除き、当該パソコンの電源を切ることを基本とし、短時間の場合でもネットワークから切り離すログアウトなどの適切な安全管理を行うことを義務付ける。
4.パソコンを不特定のものの出入りが想定できる場所に設置している場合は、次の管理を義務付ける。
(1) 当該パソコンの表示情報が取扱者以外に漏洩しない対策を行う。
(2) 当該パソコンの周辺が無人になる場合は前項を厳守する。
5.パソコンの廃棄は生活協同組合エスコープ大阪の各組織の情報システム部門が決定する。当該パソコンに係る個人情報管理者は廃棄前にハードディスクの物理的破壊またはデータ消去用ソフトウェアによる消去を行わなければならない。
(情報印字の管理)
第6条 パソコンの操作による情報の印字をみだりにしてはならない。印字した者は当該印字物がその利用目的が終了した時点で速やかにシュレッダー処理、焼却処理等により適切に廃棄処理されることに責任を持つ。
(個人情報の記録媒体の管理)
第7条 個人情報は、パソコン画面表示のみで利用することを基本として、個人情報管理者の許可無くFD、メモリカード、CD、DVD、HDなどの情報の記録方式・媒体を問わず、パソコンから取り外し可能な情報記録媒体への記録等をしてはならない。
2.利用目的が終了した記録媒体はすみやかに物理的破壊またはデータ消去用ソフトウェアによる消去を行い、その旨を個人情報管理者に報告する。
(個人情報の通信管理)
第8条 特定の機微な個人情報および100件以上の個人情報は、電子メールによる伝達を禁止する。暗号化を行った場合はこの限りでない。
2.電子メールで同時送信するときは宛先(T)への複数指定及びCC機能の使用を禁止し、BCC機能を使うことを義務づける。
(情報の取り扱い)
第9条 パソコンの操作による新たな情報の作成をみだりにしてはならない。作成したものは、当該情報の利用目的が終了した時点で、速やかに消去処理等で適切に廃棄処理されることに責任を持つ。また、アクセス制限のない共有スペース、パソコンのデスクトップ、HDへの一時保管以外の保存をしてはならない。
(改廃)
第10条 この細則の改廃は、関係する個人情報管理者の意見を聴いて情報統括役員が行う。
附則
この細則は2005年4月1日より実施する。
この細則は2013年10月21日より一部変更する。
個人情報文書管理細則
(目的)
第1条 この細則は、「個人情報の保護に関する規則」第27条に基づく運用細則であり、同規則が定める生活協同組合エスコープ大阪が業務で取り扱う組合員等(組合員の家族を含む)の個人に関する情報(以下、個人情報という)の記載された文書の取り扱いを定めて、個人情報の適正な管理を行うことを目的とする。
(個人情報文書の定義)
第2条 個人情報文書とは、作成中から廃棄までの個人情報の記載された文書、帳票、用紙、伝票、メモなどの紙類やハガキ、カード、ケース、シール(これらを総称して以下、文書という)等の一切のものをいう。
2.電磁情報によるものもこの細則において管理する。
(適用範囲)
第3条 この細則は、生活協同組合エスコープ大阪の役・職員及び活動組合員に対して適用する。
(管理の区分)
第4条 個人情報文書は、物品のお届けや仕分けのために使われるラベルを除き、次の3つに区分し管理して取り扱うものとする。
(1) 個人情報帳票用紙
個人情報が印刷や記入されたリスト、ハガキ、カード、ケース、シール、用紙、伝票類、また、これらと同様なもので保存期間がおおむね6ヶ月以上のもの。ただし、個人情報の記入前のものを除く。
(2) 個人情報書簡
個人情報が記載された対外文書、通達、通知、連絡、業務文書
(3) 個人情報メモ
個人情報が記入された一時的なメモ、覚書、また、これらと同様なもの。
(管理区分の決定)
第5条 個人情報文書の管理区分は、文書の作成者が決定する。
2.第4条の1項で規程する「個人情報帳票用紙」を新規に設計したときは、起案者(作成者)は所属する部門の個人情報管理者に「個人情報帳票用紙」に該当する文書であることを報告する。
(個人情報保護の届出)
第6条「個人情報帳票用紙」を新設した部門の個人情報管理者は、作成した文書について速やかに次の事項を情報統括役員に届け出なければならない。
(1)文書の名称
(2)利用目的
(3)個人情報の項目名
(4)件数
(5)作成年月日
(6)保管方法(場所)と保管責任者
(7)保管期限と廃棄方法
(個人情報文書管理簿の整備)
第7条 情報統括役員は、「個人情報帳票用紙」の所在と個人情報の保護を実施するために、次の事項を記載した「個人情報文書管理簿」を整備するものとする。
(1)文書の名称
(2)管理区分
(3)利用目的
(4)個人情報の項目名
(5)件数
(6)作成部署名
(7)作成年月日
(8)保管方法(場所)と保管責任者
(9)保管期限と廃棄方法
(管理の範囲)
第8条 「個人情報帳票用紙」は、その個人情報の主体、若しくは、個人情報の主体に届けるために郵便や運送を行う会社に渡った時点で個人情報文書の管理対象外となる。
2.「個人情報帳票用紙」は、個人情報の主体から生協に戻ってきた時点で、再び、個人情報文書の管理対象となる。
(保管責任者)
第9条 「個人情報帳票用紙」の保管責任者は、その文書を作成した部門の個人情報管理者とする。ただし、複数の事業所で分割して保管する場合は、該当する事業所の長が保管責任者となる。
(保管場所)
第10条 保管責任者は、情報統括役員が別に承認する保管方法がある場合を除き、「個人情報帳票用紙」を鍵のかかる金属製保管庫に保管しておかなければならない。また、電磁情報については容易に外部に持ち出せる状態で保管してはならない。
2.「個人情報帳票用紙」の複写を保有している者も、同様の取り扱いをしなければならない。
(閲覧、複写の手続き)
第11条 職員は、「個人情報帳票用紙」を閲覧または複写するときは、業務上あらかじめ確認された場合を除き、保管責任者に次の事項を申し出てその許可を得なければならない。
(1)所属、氏名、日時
(2)文書の名称
(3)利用目的
(4)複写の場合の廃棄時期と廃棄方法
(適正な廃棄処理)
第12条 保管責任者は保管期限を経過した「個人情報帳票用紙」を速やかに次の何れかの方法により廃案処理しなければならない。
(1)シュレッダーによる裁断、また、これに相当する裁断方法
(2)完全なデータ抹消(破壊)
(3)個人情報保護の取扱について生協と契約を締結している廃棄物処理会社への委託処理
2.使用しなくなった個人情報文書は、速やかに前項の方法により廃棄処理しなければならない。ただし、法律や生協で別に保存年限が定められているものを除くものとする。
(個人情報帳票用紙の廃棄の報告)
第13条 保管責任者は、「個人情報帳票用紙」を廃棄したとき、速やかに次の事項を情報統括役員に報告するものとする。
(1)文書の名称
(2)個人情報の項目名
(3)件数
(4)作成年月日
(5)保管方法(場所)と保管責任者
(6)保管期限と廃棄実施方法とその実施確認方法
(懲戒)
第14条 次のいずれかに該当するときは、就業規則に照らし合わせて相当する懲戒の処分を与える。
(1)「個人情報帳票用紙」を生協に無断で外部に持ち出したとき
(2)第11条の手続きを経ることなく「個人情報帳票用紙」を閲覧または複写したとき
(3)「個人情報帳票用紙」または、その写しを不注意によって盗まれたとき、または散逸したとき
(閲覧及び周知)
第15条 この細則は、全事業所に備え置き、職員がいつでも閲覧できるようにしなければならない。
(改廃)
第16条 この細則の改廃は、関係する個人情報管理者の意見を聴いて情報統括役員が行う。
附則
この細則は、2005年4月1日から施行する。
この細則は2013年10月21日より一部変更する。
外部委託管理細則
第1章 総 則
(目的)
第1条 この細則は、生活協同組合エスコープ大阪が有する個人情報の取り扱いを第三者に委託する場合につき、具体的な方法等を定め、「生活協同組合エスコープ大阪の個人情報保護ポリシー」に基づく適正な保護を実現することを目的とする。
(適用)
第2条 本細則は、個人情報の取り扱いを外部に委託する場合に適用する。
第2章 外部委託の手続
(情報統括役員の承認)
第3条 個人情報の取り扱いを第三者に委託する場合は、個人情報管理者は、事前に、所定の「個人情報外部委託届出書」に、委託先、個人情報の内容、利用目的、委託先における利用態様および委託処理期間等を記載の上、 情報統括役員の承認を得なければならない。
2.情報統括役員は、委託先の個人情報の管理体制につき調査し、所定の水準に達していると認められなければ、前項の承認をしてはならない。
(基本契約及び秘密保持契約の締結)
第4条 前条による情報統括役員の承認に基づき、個人情報の取り扱いを委託する場合には、事前に、委託契約及び秘密保持契約を締結しなければならない。
2.委託先との契約に際しては、次の各号に定める事項を明確かつ具体的に定めなければならない。
(1) 委託する個人情報の内容、範囲、利用目的、委託先における利用態様および委託処理期間
(2) 委託する個人情報に関する秘密保持義務の遵守に関する事項
(3) 委託する個人情報の安全管理体制に関する事項
(4) 委託する個人情報の複製及び複写委託に関する事項
(5) 委託する個人情報の取り扱いの再委託に関する事項
(6) 委託終了時における個人情報の返還及び廃棄に関する事項
(7) 委託先における個人情報保護に関する教育・研修に関する事項
(8) 生活協同組合エスコープ大阪からの監査の受入及び報告に関する事項
(9) 受託する個人情報の漏えいその他事故が発生した場合における措置及び責任分担に関する事項
3.情報統括役員は、本条に基づき作成された基本契約、秘密保持契約その他の文書を、合理的な期間保管する。
第3章 委託先に対する監督
(委託先に対する監督)
第5条 情報統括役員は、定期的に、委託先につき、契約違反の有無を調査し、監督しなければならない。
2.情報統括役員は、委託先が契約に違反し又は違反するおそれのあることを発見したときは、直ちに必要な措置を講じなければならない。
3.外部委託の担当者は、委託期間中、委託先における個人情報の取扱い状況を調査し、契約に違反し又は違反するおそれのあることを発見したときは、直ちに、その旨を情報統括役員に通知しなければならない。
4.情報統括役員は、前項の通知を受けた場合は、直ちに必要な措置を講じなければならない。
第4章 雑 則
(見直し)
第6条 情報統括役員は、適切な個人情報保護を維持するために、定期的に、本細則の改廃を検討する。
(様式)
第7条 情報統括役員は、本細則に定める届出書及び契約書等の書式を作成する。
附則
この細則は2013年10月21日より実施する。
生活クラブをはじめませんか?
42万人が選ぶ安心食材の宅配生協です
WEB加入申込
でお得な特典プレゼント!
エスコープ大阪 公式SNSでお役立ち情報を配信中!