文書管理情報 | |
---|---|
本文書番号 | JPNIC-01273 |
文書名 | JPNIC個⼈情報取扱規程 |
発効日 | 2022/6/13 |
最終更新日 | 2022/6/13 |
この文書によって無効となる文書 | なし |
この文書を無効とする文書 | なし |
JPNIC個⼈情報取扱規程
第1章 総則
(目的)
第1条 本規程は、
⼀般社団法⼈⽇本ネットワークインフォメーションセンター(以下「JPNIC」と⾔う)の個⼈情報の適正な取扱いに関する基本⽅針に基づく、
JPNICが取扱う個⼈情報の適切な保護のための基本規程であり、本規程に従い、
JPNIC役職員が個⼈情報の適正な取扱いを確保するため定めるものである。
なお、
「⾏政⼿続における特定の個⼈を識別するための番号の利⽤等に関する法律」(平成25年法律第27号)に基づく個⼈番号やその内容を含む個⼈情報の取扱いに関しては、
「特定個⼈情報等取扱規程」において、別途定める。
また、
「個⼈情報の保護に関する法律」(平成15年法律第57号)(以下「保護法」と言う)に基づく匿名加⼯情報の作成その他の取扱いについては、
今後定める「匿名加⼯情報等取扱規程」において、別途定める。
(本規程の対象)
第2条 本規程は、JPNICにおいて、
その全部⼜は⼀部がコンピュータ等の⾃動的⼿段により処理されている個⼈情報及び⼿作業により処理されている個⼈情報を対象とする。
(定義)
第3条 本規程おいて、次の各号に掲げる⽤語の意義は、当該各号に定めるところによる。
-
個⼈情報
⽣存する個⼈に関する情報であって、次の各号のいずれかに該当するものを⾔う。(ア) 当該情報に含まれる⽒名、 ⽣年⽉⽇その他の記述等により特定の個⼈を識別することが出来るもの(他の情報と照合することができ、 それにより特定の個⼈を識別することが出来ることとなるものを含む。) 「その他の記述等」とは、⽂書、図画若しくは電磁的記録(電磁的⽅式(電⼦的⽅式、 磁気的⽅式その他⼈の知覚によっては認識出来ない⽅式を⾔う。)で作られる記録を⾔う。) に記載され、若しくは記録され、 ⼜は⾳声、動作その他の⽅法を⽤いて表された⼀切の事項(個⼈識別符号を除く。)を⾔う。(イ) 個⼈識別符号が含まれるもの
「個⼈識別符号」とは、⽂字、番号、記号その他の符号のうち、法令で定めるものを⾔う。 -
要配慮個⼈情報
「要配慮個⼈情報」とは、本⼈の⼈種、信条、社会的⾝分、病歴、犯罪の経歴、 犯罪により害を被った事実その他本⼈に対する不当な差別、 偏⾒その他の不利益が⽣じないようにその取扱いに特に配慮を要するものとして法令で定める記述等が含まれる個⼈情報を⾔う。 -
個⼈データ
個⼈情報のうち、個⼈情報データベース等を構成するものを⾔う。 -
保有個⼈データ
個⼈データのうち、開⽰、訂正、利⽤停⽌等の権限を有するものであって、以下のものを除く。(ア) 当該個⼈データの存否が明らかになることにより、本⼈⼜は第三者の⽣命、 ⾝体⼜は財産に危害が及ぶおそれがあるもの。(イ) 当該個⼈データの存否が明らかになることにより、違法⼜は不当な⾏為を助⻑し、 ⼜は誘発するおそれがあるもの。(ウ) 当該個⼈データの存否が明らかになることにより、国の安全が害されるおそれ、 他国若しくは国際機関との信頼関係が損なわれるおそれ⼜は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの。(エ) 当該個⼈データの存否が明らかになることにより、犯罪の予防、 鎮圧⼜は捜査その他の公共の安全と秩序の維持に⽀障が及ぶおそれがあるもの。 -
個⼈情報データベース等
個⼈情報を含む情報の集合物であって、特定の個⼈情報を、 電⼦計算機を⽤いて検索することができるように体系的に構成したもの、 またはこれに含まれる個⼈情報を⼀定の規則に従って整理することにより特定の個⼈情報を容易に検索することができるように体系的に構成した情報の集合物であって、⽬次、 索引その他検索を容易にするためのものを有するものを⾔う。 但し、「個⼈情報の保護に関する法律施⾏令」第3条第1項に該当するものを除く。 -
本⼈
個⼈情報によって識別される、⼜は識別され得る特定の個⼈を⾔う。 -
役職員
総会で選任された役員並びに就業規則第7条の規定によりJPNICに採⽤された者、 その他直接間接に JPNIC の指揮監督を受けて業務に従事している者を⾔う。 -
学術研究機関等
大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。
第2章 組織体制等(組織的安全管理措置、⼈的安全管理措置)
(個⼈情報管理責任者等)
第4条 事務局に個⼈情報管理責任者を1名置く。
2 個⼈情報管理責任者は、
個⼈情報の保護についての統括的責任と権限を有する責任者であって、
第4項に定める業務を⾏わなければならない。
3 個⼈情報管理責任者は、事務局⻑とし、
総務部⻑⼜は総務課⻑を個⼈情報管理副責任者とする。
個⼈情報管理副責任者は個⼈情報管理責任者不在時等に業務を代⾏するものとする。
4 個⼈情報管理責任者は、各部署に1名以上の個⼈情報管理者を選任し、
⾃⼰に代わり各部署毎の必要な個⼈情報保護についての業務を⾏わせ、
これを管理・監督する。
(個⼈情報管理者等)
第5条 個⼈情報管理者は、原則として各部署の部⻑(次⻑)とし、
個⼈情報管理者は⾃⼰の属する部署の職員から個⼈情報副管理者を1名以上指名する。
個⼈情報副管理者は個⼈情報管理者不在時等に業務を代⾏するものとする。
2 個⼈情報管理者は、
各部署において個⼈情報保護ガイドライン等に基づく個⼈情報保護のための業務について、
統括的責任と権限を有する者を⾔う。
3 個⼈情報を取扱う者を個⼈情報取扱担当者と⾔い、個⼈情報管理者は、
⾃⼰の属する部署の個⼈情報取扱担当者を監督しなければならない。
(運⽤状況の記録)
第6条 個⼈情報管理者は、本規程に基づく個⼈情報取扱いの運⽤状況を確認するため、
個⼈情報取扱担当者に各種項⽬について記録させるものとする。
具体的な項⽬については、各部署にて定め、個⼈情報管理責任者へ報告を⾏うものとする。
(取扱状況の確認⼿段)
第7条 個⼈情報管理者は、個⼈情報管理責任者の求めに応じ、
定期的に⾃⼰の属する部署の個⼈情報データベース等の以下の事項を調査し、
適切な管理が⾏われていることも含め、報告する義務を負う。
- 個⼈情報データベース等の種類、名称
- 個⼈データの項⽬
- 個⼈データ管理数
- 利⽤⽬的
- データベース毎の取扱担当者(アクセス権者)
- 削除・廃棄⽅法
(情報漏洩等事案への対応)
第8条 個⼈情報取扱担当者、個⼈情報管理者⼜は個⼈情報副管理者は、
情報の漏洩の発⽣⼜は兆候を把握した場合⼜はその可能性が⾼いと判断した場合は、
速やかに個⼈情報管理責任者⼜は個⼈情報管理副責任者へ報告すること。
2 前項の報告を受けた個⼈情報管理責任者⼜は個⼈情報管理副責任者は、⼆次被害の防⽌、
類似事案の発⽣防⽌等の観点から速やかに、個⼈情報管理者⼜は個⼈情報副管理者と協議し、
次の各号の項⽬により対策を講じるものとする。
- 事実関係の調査及び原因の究明
- 法令に基づく本⼈への通知
- 法令に基づく個人情報保護委員会への報告
- 再発防⽌策の検討及び決定
- 事実関係及び再発防⽌策等の公表
(苦情等への対応)
第9条 個⼈情報取扱担当者、個⼈情報管理者⼜は個⼈情報副管理者は、
本⼈から苦情や相談の申出を受けた場合には、
その旨を個⼈情報管理責任者⼜は個⼈情報管理副責任者に報告する。
報告を受けた個⼈情報管理責任者⼜は個⼈情報管理副責任者は、適切に対応するものとする。
(監査)
第10条 監事は、JPNICの個⼈情報の適正な取扱い及び本規程の遵守状況について定期的に監査する。
(取扱状況の把握及び安全管理措置の⾒直し)
第11条 JPNICは、個⼈情報の取扱状況を把握し、安全管理措置の評価、
⾒直し及び改善のために個⼈情報の取扱状況について、
必要に応じて点検を⾏うものとする。
なお、個⼈情報管理責任者⼜は個⼈情報管理副責任者は、その判断により、
外部機関による監査を実施することが出来る。
(教育・研修)
第12条 個⼈情報管理責任者は、本規程に定められた事項を理解し、遵守するとともに、
個⼈情報管理者等に本規程を遵守させるための教育・研修を企画・運営する責任を負う。
第3章 個⼈情報の安全管理(物理的安全管理措置、技術的安全管理措置)
(個⼈情報を取扱う区域の管理)
第13条 JPNICが、
個⼈情報を取扱う区域は原則的に定款第2条によって定められた事務所(以下「事務所」という。)内とする。
2 個⼈情報取扱担当者以外が容易に個⼈データを閲覧等出来ないような措置を講ずるものとする。
(個⼈情報が記録された機器及び電⼦媒体等の事務所外への持出しの原則禁⽌)
第14条 個⼈情報を取扱う区域における個⼈情報を取扱う機器、
電⼦媒体及び書類等の盗難⼜は紛失等を防⽌するために、
原則として事務所外への持出しは出来ない。
なお、「持出し」とは、個⼈情報を、事務所の外へ移動させることを⾔う。
(個⼈情報が記録された機器及び電⼦媒体等の事務所外への持出しの特例)
第15条 個⼈情報を記録した電⼦媒体⼜は書類等の持出しは、次の各号に掲げる場合を除き禁⽌する。
- 個⼈情報に係る外部委託先に、 委託事務を実施するうえで必要と認められる範囲内でデータを提供する場合。
- 法定調書の提出等、個⼈情報が関わる事務に関して、 ⾏政機関等へデータ⼜は書類を提出する場合。
- 外部の事業者と共同で事業を⾏う際などに、 事業を実施するうえで必要と認められる範囲内でデータを提供する場合。
- その他、業務上やむを得ないと個⼈情報管理者が判断した場合
(電⼦媒体等を持出す場合の漏洩等の防⽌)
第16条 個⼈情報取扱担当者が個⼈情報を事務所外へ持出す必要が⽣じた場合、
個⼈情報管理者に対し、持出し理由等を⽰した個⼈情報持出し申請を⾏う。
また、個⼈情報管理者が個⼈情報を事務所外へ持出す必要が⽣じた場合は、
個⼈情報管理責任者に対し、持出し申請を⾏う。
但し、個⼈情報管理責任者が個⼈情報を事務所外へ持出す必要が⽣じた場合は、
個⼈情報管理責任者は個⼈情報管理副責任者及び全個⼈情報管理者にこの旨を連絡した上で、
持出しを⾏うものする。
なお、持出すデータはパスワードの設定、封筒への封⼊での運搬等、紛失、
盗難を防ぐための安全な⽅策を講ずるものとする。
(削除・廃棄段階における物理的安全管理措置)
第17条 利⽤の⾒込みのない個⼈情報は速やかに廃棄することとし、
廃棄・削除段階における記録媒体等の管理は次の各号のとおりとする。
- 個⼈情報が記録された書類等を廃棄する場合、 シュレッダー等による記載内容が復元不能までの裁断、 ⾃社⼜は外部の焼却場での焼却・溶解等の復元不可能な⼿段を⽤いるものとする。
- 個⼈情報が記録されたデータ等を廃棄する場合、 各職員が保有するPC上及び共有するサーバ上のデータを削除する。
2 廃棄等を実施した場合には、個⼈情報取扱担当者がこれを確認するものとする。
(アクセス制御)
第18条 個⼈情報への不正なアクセスを防⽌するため、
各部署で取扱う個⼈情報に関しては、
個⼈情報管理者が認めたもののみアクセス可能とする。
(アクセス者の識別と認証)
第19条 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、
個⼈情報データベース等を取扱う情報システムを使⽤する個⼈情報取扱担当者を識別・認証するものとする。
(外部からの不正アクセス及び情報漏洩等の防⽌)
第20条 以下の各号の⽅法により、
個⼈情報を取扱う情報機器を外部からの不正アクセス⼜は不正ソフトウェアから保護するものとする。
- 個⼈情報を取扱う情報機器と外部ネットワークとの接続箇所に、 ファイアウォール等を設置し、不正アクセスを遮断する⽅法
- 個⼈情報を取扱う情報機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導⼊する⽅法
- 導⼊したセキュリティ対策ソフトウェア等により、 ⼊出⼒データにおける不正ソフトウェアの有無を確認する⽅法
- 個⼈情報を取扱う情報機器やソフトウェア等に標準装備されている⾃動更新機能等の活⽤により、 ソフトウェア等を最新状態とする⽅法
- ログ等の分析を⾏い、不正アクセス等を検知する⽅法
(情報システムの使⽤に伴う漏洩等の防⽌)
第21条 メール等により個⼈データの含まれるファイルを送信する場合に、
当該ファイルへ秘匿化の処理を⾏うものとする。
2 メール等による個⼈データの含まれるファイルの送信は、
第15条第1号から第4号に定める個⼈情報の持ち出し要件のいずれかを満たす場合に限る。
第4章 個⼈情報の取扱い
(個⼈情報の適正な取得)
第22条 個⼈情報の取得を適法且つ公正な⼿段によって⾏うものとする。
2 次に掲げる場合を除くほか、予め本⼈の同意を得ないで、
要配慮個⼈情報を取得してはならない。
- 法令に基づく場合。
- ⼈の⽣命、⾝体⼜は財産の保護のために必要がある場合であって、 本⼈の同意を得ることが困難であるとき。
- 公衆衛⽣の向上⼜は児童の健全な育成の推進のために特に必要がある場合であって、 本⼈の同意を得ることが困難であるとき。
- 国の機関若しくは地⽅公共団体⼜はその委託を受けた者が法令の定める事務を遂⾏することに対して協⼒する必要がある場合であって、 本⼈の同意を得ることにより当該事務の遂⾏に⽀障を及ぼすおそれがあるとき。
- 当該要配慮個⼈情報が、本⼈、国の機関、地⽅公共団体、保護法57条1項各号に掲げる者、 外国政府、外国の政府機関、外国の地⽅公共団体⼜は国際機関、 外国における保護法第57条第1項各号に掲げる者に相当する者により公開されている場合。
- 本⼈を⽬視し、⼜は撮影することにより、その外形上明らかな要配慮個⼈情報を取得する場合。
- 第27条第2項各号において、個⼈データである要配慮個⼈情報の提供を受ける場合。
(個⼈情報の利⽤⽬的の特定)
第23条 役職員⼜は第三者から取得する個⼈情報の利⽤⽬的は、適法・適切であると同時に、
業務を遂⾏するため必要な場合に限り、且つ、
その利⽤の⽬的(以下「利⽤⽬的」と⾔う。)を出来る限り特定しなければならない。
2 利⽤⽬的を変更する場合には、
変更前の利⽤⽬的と関連性を有すると合理的に認められる範囲を超えて⾏ってはならない。
(利⽤⽬的による制限)
第24条 前条の規定により特定された利⽤⽬的の達成に必要な範囲を超えて、
個⼈情報を保有してはならない。
2 合併その他の事由により他の個⼈情報取扱事業者から事業を承継することに伴って個⼈情報を取得した場合は、
予め本⼈の同意を得ないで、
承継前における当該個⼈情報の利⽤⽬的の達成に必要な範囲を超えて、
当該個⼈情報を取扱ってはならない。
3 前⼆項の規定は、次に掲げる場合については、適⽤しない。
- 法令に基づく場合。
- ⼈の⽣命、⾝体⼜は財産の保護のために必要がある場合であって、 本⼈の同意を得ることが困難であるとき。
- 公衆衛⽣の向上⼜は児童の健全な育成の推進のために特に必要がある場合であって、 本⼈の同意を得ることが困難であるとき。
- 国の機関若しくは地⽅公共団体⼜はその委託を受けた者が法令の定める事務を遂⾏することに対して協⼒する必要がある場合であって、 本⼈の同意を得ることにより当該事務の遂⾏に⽀障を及ぼすおそれがあるとき。
- 学術研究機関等に個人データ等を提供する場合であって、 当該学術研究機関等が当該個人データ等を学術研究目的で取り扱う必要があるとき(当該登録情報等を取り扱う目的の一部が学術研究目的である場合を含み、 個人の権利利益を不当に侵害するおそれがある場合を除く)。
(個⼈情報取得時の利⽤⽬的の通知等)
第25条 個⼈情報を取得する場合は、予め利⽤⽬的を公表している場合を除き、
速やかにその利⽤⽬的を本⼈に通知⼜は公表するものとする。
2 前項の規定にかかわらず、
本⼈との間で契約を締結することに伴って契約書その他の書⾯(電⼦的⽅式、
磁気的⽅式その他⼈の知覚によっては認識することが出来ない⽅式で作られる記録を含む。
以下この項において同じ。)に記載された当該本⼈の個⼈情報を取得する場合、
その他本⼈から直接書⾯に記載された当該本⼈の個⼈情報を取得する場合は、
予め、本⼈に対し、その利⽤⽬的を明⽰するものとする。
但し、⼈の⽣命、⾝体⼜は財産の保護のために緊急に必要がある場合は、この限りでない。
3 利⽤⽬的を変更した場合は、変更された利⽤⽬的について、本⼈に通知し、
⼜は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適⽤しない。
- 利⽤⽬的を本⼈に通知し、⼜は公表することにより本⼈⼜は第三者の⽣命、 ⾝体、財産その他の権利利益を害するおそれがある場合。
- 利⽤⽬的を本⼈に通知し、 ⼜は公表することにより当該個⼈情報取扱事業者の権利⼜は正当な利益を害するおそれがある場合。
- 国の機関⼜は地⽅公共団体が法令の定める事務を遂⾏することに対して協⼒する必要がある場合であって、 利⽤⽬的を本⼈に通知し、 ⼜は公表することにより当該事務の遂⾏に⽀障を及ぼすおそれがあるとき。
- 取得の状況からみて利⽤⽬的が明らかであると認められる場合。
(個⼈データの正確性管理)
第26条 利⽤⽬的の達成に必要な範囲内において、
個⼈データを正確且つ最新の内容に保つよう努めなければならない。
第5章 第三者提供の制限等
(第三者提供の制限)
第27条 次に掲げる場合を除くほか、予め本⼈の同意を得ないで、
個⼈データを第三者に提供してはならない。
- 法令に基づく場合。
- ⼈の⽣命、⾝体⼜は財産の保護のために必要がある場合であって、 本⼈の同意を得ることが困難であるとき。
- 公衆衛⽣の向上⼜は児童の健全な育成の推進のために特に必要がある場合であって、 本⼈の同意を得ることが困難であるとき。
- 国の機関若しくは地⽅公共団体⼜はその委託を受けた者が法令の定める事務を遂⾏することに対して協⼒する必要がある場合であって、 本⼈の同意を得ることにより当該事務の遂⾏に⽀障を及ぼすおそれがあるとき。
- 当該第三者が学術研究機関等である場合であって、 当該第三者が当該個人データ等を学術研究目的で取り扱う必要があるとき(当該個人データ等を取り扱う目的の一部が学術研究目的である場合を含み、 個人の権利利益を不当に侵害するおそれがある場合を除く)。
- 法令に定めるオプトアウトによる第三者提供の⼿続、 要件を満たしている場合(但し、この場合でも、要配慮個⼈情報は除く)。
2 次に掲げる場合において、当該個⼈データの提供を受ける者は、第三者に該当しないものとする。
- 個⼈情報取扱事業者が利⽤⽬的の達成に必要な範囲内において個⼈データの取扱いの全部⼜は⼀部を委託することに伴って当該個⼈データが提供される場合。
- 合併その他の事由による事業の承継に伴って個⼈データが提供される場合。
- 特定の者との間で共同して利⽤される個⼈データが当該特定の者に提供される場合であって、 その旨並びに共同して利⽤される個⼈データの項⽬、共同して利⽤する者の範囲、 利⽤する者の利⽤⽬的及び当該個⼈データの管理について責任を有する者の⽒名⼜は名称について、予め、本⼈に通知し、⼜は本⼈が容易に知り得る状態に置いているとき。
3 前項第3号に規定する利⽤する者の利⽤⽬的⼜は個⼈データの管理について責任を有する者の⽒名若しくは名称を変更する場合は、 変更する内容について、予め、本⼈に通知し、 ⼜は本⼈が容易に知り得る状態に置かなければならない。
(外国にある第三者への提供の制限)
第28条 前条にかかわらず、外国(本邦の域外にある国⼜は地域を⾔う。
以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。
以下同じ。)にある第三者に個⼈データを提供する場合は、
前条第1項各号に該当する場合を除き、当該外国の名称、
当該外国における個人情報の保護に関する制度、
その他法令で定められた情報提供を行った上で、
予め当該外国の第三者への提供を認める旨の本⼈同意を得なければならない。
但し、外国にある事業者が「適切且つ合理的な⽅法」により、
「個⼈情報の保護に関する法律第4章第2節の規定の趣旨に沿った措置」を講じている場合、
または個⼈情報の取扱いに係る国際的な枠組みに基づく認定を受けている場合は、
前条を適⽤するものとする。
(第三者提供をする際の記録)
第29条 個⼈データを第三者に提供したときは、
法令の定めに従い第三者提供に係る記録を作成しなければならない。
但し、当該個⼈データの提供が第27条第1項各号に該当する場合⼜は同条第2項各号のいずれかに該当する場合は、この限りでない。
(第三者提供を受ける際の確認及び記録)
第30条 第三者から個⼈データの提供を受けるに際しては、
法令の定める事項の確認を⾏わなければならない。
但し、当該個⼈データの提供が第27条第1項各号に該当する場合⼜は同条第2項各号のいずれかに該当する場合は、この限りでない。
第6章 保有個⼈データの開⽰等の請求等
(個⼈情報保護相談窓⼝の設置等)
第31条 保有個⼈データの開⽰請求、訂正請求、
利⽤停⽌請求及びその他相談等に対応する窓⼝として、
個⼈情報保護相談窓⼝(以下「相談窓⼝」と⾔う。)を総務部に置き、
JPNICにおける個⼈情報の取扱い等に係る相談等の受付及び事務を⾏うものとする。
2 相談窓⼝の諸情報はwebに掲載し公開するものとする。
3 保有個⼈データの開⽰、訂正、利⽤停⽌等の対応は各部署によって、適宜対応するものとする。
第7章 個⼈データの委託の取扱い
(委託先における安全管理措置)
第32条 個⼈データの取扱いの全部⼜は⼀部を委託する場合には、
⾃らが果たすべき安全管理措置と同等の措置が委託先において適切に講じられるよう、
必要且つ適切な監督を⾏うものとする。
第8章 その他
(改廃)
第33条 本規程の改廃は、理事⻑の決裁による。
(細則)
第34条 この規程の実施に関して必要な事項は事務局⻑が別に定める。
附則
1 本規程は2017年5⽉25⽇から施⾏する。
なお、本規程の施⾏により、個⼈情報保護規程(2005年4⽉1⽇施⾏)は廃⽌する。
2 本規程の改正は2022年6⽉13⽇から施⾏する。
JPNIC公開文書著作権表示 (Copyright notice of JPNIC open documents)
この文書はJPNIC公開文書であり、 著作権は一般社団法人日本ネットワークインフォメーションセンター(JPNIC)が保持しています。
JPNIC公開文書は誰でも送付手数料のみの負担でJPNICから入手できます。 また、この著作権表示を入れるかぎり、 誰でも自由に転載・複製・再配布を行って構いません。
〒101-0047 東京都千代田区内神田2-12-6 神田OSビル4F
一般社団法人日本ネットワークインフォメーションセンター