個人情報保護に関する方針と規定をご案内しています。

第1条（目的）

この規定は千葉県防犯設備協会(以下「当協会」という。)「個人情報保護方針」に基づいて当協会が取り扱う個人情報の適切な保護のための基本規定である。 本規定に基づき「個人情報保護計画」を策定し、実施、評価、改善を行うとともに、当協会関係者はこの規定に従って個人情報を保護していかなければならない。

第2条（本規定の対象）

この規定は、当協会において、その全部又は一部がコンピュータ等の自動的手段により処理されている個人情報及び手作業により処理されている個人情報であって、 組織的に保有するファイリングシステムの全部又は一部をなすものを対象とする。

第3条（定義）

この規定において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

1. 個人情報
   生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)をいう。
2. 情報主体
   一定の情報によって識別される、又は識別され得る個人をいう。
3. 個人情報管理責任者
   当協会役員のなかから代表者によって選任された者であって、個人情報保護計画の策定、実施、評価、改善等の個人情報保護のための業務について、 統括的責任と権限を有する者をいう。
4. 個人情報管理者
   個人情報管理責任者によって選任され、各部において個人情報保護計画等に基づく個人情報保護のための業務について、 統括的責任と権限を有する者をいう。
5. 個人情報取扱担当者
   個人情報のコンピュータへの入力・出力、台帳・申込書等の個人情報を記載した帳票・帳表を保管・管理等する担当者をいう。
6. 担当者
   日常業務上、個人情報を取り扱う担当者をいう。
7. 個人情報保護監査責任者
   当協会代表者から選任され、個人情報管理責任者および個人情報管理者から独立した公平かつ客観的な立場にあり、 監査の実施及び報告を行なう権限を有する者をいう。
8. 個人情報保護計画
   個人情報を保護するための方針、組織、計画、実施、監査、及び見直しを含むマネジメントシステムをいう。
9. 預託
   当協会以外の者にデータ処理等の委託のために当協会が保有する個人情報を預けることをいう。
10. 当協会関係者
    当協会の理事及び会員と理事の指揮・監督のもとで就業する者で、賃金、給与等が支払われる者をいう。

第4条（収集の原則）

個人情報の収集は、収集目的を明確に定め、その目的の達成に必要な限度において行わなければならない。

2　新しい目的で個人情報を収集するときは、担当者は個人情報管理者に届け出なければならない。

3　前項の届け出を受けた個人情報管理者は、速やかに個人情報管理責任者と協議して個人情報管理責任者の承諾を得なければならない。

4　新しい目的での個人情報の収集は、個人情報管理責任者の承諾を得て、個人情報管理責任者が必要な措置を講じた後でなければならない。

第5条（収集方法の制限）

個人情報の収集は、適法、かつ公正な手段によって行わなければならない。

2　新しい方法又は間接的に個人情報を収集するときは、担当者は個人情報管理者に届け出なければならない。

3　前項の届け出を受けた個人情報管理者は、速やかに個人情報管理責任者と協議して、個人情報管理責任者の承諾を得なければならない。

4　新しい方法又は間接的な個人情報の収集は、個人情報管理責任者の承諾を得て、個人情報管理責任者が必要な措置を講じた後でなければならない。

第6条（特定の個人情報の収集の禁止）

次に示す内容を含む個人情報の収集、利用又は提供を行ってはならない。

1. 門地、本籍地(所在都道府県に関する情報を除く)、犯罪歴、その他社会的差別の原因となる事項 (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)をいう。
2. 思想、信条及び宗教に関する事項
3. 集団示威行為への参加、請願権の行使及びその他の政治的権利の行使に関する事項
4. 保健医療及び性生活に関する事項

第7条（情報主体から対面で個人情報を直接収集する場合の措置）

次情報主体から対面で直接に個人情報を収集する場合には、担当者は情報主体に対して、次に示す事情を記載した書面を交付し、情報主体の同意を得なければならない。

1. 個人情報に関する問合せ部署名及び連絡先
2. 収集目的
3. 個人情報を第三者に提供することが予定されている場合には、その目的、当該情報の受領者及び個人情報の取扱いに関する契約の有無
4. 個人情報をデータ処理のために第三者に預託することが予定される場合には、その旨
5. 個人情報の開示を求める権利及び開示の結果、当該情報が誤っている場合に訂正、追加、削除を要求する権利の存在並びに情報主体が当該権利を行使するための具体的な方法
6. 個人情報の収集後における利用を拒絶する権利の存在及び情報主体からの当該個人情報の消去、利用停止等の具体的な方法
7. 情報主体が個人情報を与えることの任意性
8. 情報主体が当該情報を与えなかった場合及び情報主体が当該個人情報の消去・利用停止措置をとった場合に情報主体に生じる結果
9. 個人情報を第三者と共同で使用する場合は、その旨
10. 廃棄する場合の基準と廃棄方法
11. その他個人情報保護法が定める事項

第8条（情報主体から対面ではなくて個人情報を直接収集する場合の措置）

個人情報管理責任者は、担当者が対面ではなくて情報主体から直接に個人情報を収集する場合では、 第7条に定められた方法での同意は取れないので、 当協会個人情報保護方針及び第7条各号に掲げる事項を当協会インターネットホームページに掲示しなければならない。

第9条（間接的に個人情報を収集する場合の措置）

情報主体以外から間接的に個人情報を収集する場合、個人情報管理責任者は、以下の措置を講じなければならない。

1. 当協会インターネットホームページに当協会個人情報保護方針及び第7条各号に掲げる事項を掲示すること。
2. 個人情報の提供者が適法かつ公正な手段によって当該個人情報を収集し、 第三者へ提供するために必要な情報主体の同意若しくは必要な措置を講じていることを確認すること。
3. 個人情報の提供者より当該個人情報が適法かつ公正な手段により収集されたことを記した書面の交付を受けること。

第10条（利用範囲の制限）

個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ権限を与えられた者が、業務の遂行上必要な限りにおいて行う。

2　個人情報管理責任者の承諾を得ないで、個人情報の目的外利用、第三者への提供・預託、通常の利用場所からの持ち出し、外部への送信等の個人情報の漏えい行為をしてはならない。

3　当協会関係者は、業務上知り得た個人情報の内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退いた後も、同様とする。

第11条（目的内の利用の場合の措置）

収集目的の範囲内で行なう当協会の個人情報の利用は、次の1.号から5.号までに掲げるいずれかの場合には、これを行なうことができる。

1. 情報主体が同意を与えた場合若しくは同等の措置を講じた場合
2. 情報主体が当事者である契約の準備又は履行のために必要な場合
3. 当協会が従うべき法的義務の履行のために必要な場合
4. 情報主体の生命、健康、財産等の重大な利益を保護するために必要な場合
5. 警察、税務署、裁判所等の公的機関からの法令に基づく権限の行使による開示請求等があった場合

第12条（目的外の利用場合の措置）

収集目的の範囲を超えて個人情報の利用を行う場合又は前条1.号から5.号までに掲げるいずれの場合にも当たらない個人情報の利用を行なう場合においては、個人情報管理責任者は第7条各号に掲げる事項を書面により通知し、あらかじめ情報主体の同意を得るか、又はその旨を事前に当協会インターネットホームページに掲示して情報主体に拒絶の機会を与えなければならない。

第13条（個人情報の入出力、保管等）

個人情報のコンピュータシステムへの入力・出力、台帳・申込書等の個人情報を記載した帳票・帳表の保管・管理等は、個人情報取扱担当者が行なわなければならない。

第14条（個人情報の正確性の確保）

個人情報管理責任者は、個人情報を利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理しなければならない。

2　定期的に情報主体に通知等をしている場合、担当者は、通知のなかに次の事項を記した届け出様式等を入れて通知しなければならない。

1. 個人情報の開示を求める権利及び開示の結果、当該情報が誤っている場合に訂正、追加、削除を要求する権利の存在並びに情報主体が当該権利を行使するための具体的な方法
2. 個人情報の収集後における利用を拒絶する権利の存在及び情報主体からの当該個人情報の消去、利用停止等の具体的な方法

第15条（個人情報の安全性の確保）

個人情報管理責任者は、個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏えい等の危険に対して、「セキュリティ管理計画」を策定し、実施、普及、評価、改善をしなければならない。

第16条（個人情報の委託処理等に関する措置）

情報処理や作業を第三者に委託するために、個人情報を第三者に預託する場合においては、担当者は事前に個人情報管理責任者に届け出なければならない。

2　第三者より個人情報の預託を受ける場合においては、第三者の定める管理計画を考慮し、かつ当協会規定に従うものとする。

3　個人情報管理責任者は、以下の各号の措置を講じなければならない。

1. 個人情報の預託先について預託先責任者との面接、必要に応じて預託先の情報処理施設の状況を視察あるいは把握し、個人情報保護及びセキュリティ管理が当協会の基準に合致することを確認すること。再委託に関しては、同様の取り扱いをするか、あるいは、委託先の責任で同様の取り扱いを保証することが必要である。
2. 個人情報保護に関する誓約書の差し入れを求めること。

4　委託中、担当者は、預託先が当協会の個人情報保護及びセキュリティ管理の基準を遵守しているかどうかを確認し、万一、基準に抵触する事項を発見したときは、その旨を個人情報管理責任者に通知しなければならない。

5　前項の通知を受けた個人情報管理責任者は、直ちに個人情報の預託先に対して必要な措置を講じなければならない。

第17条（個人情報の第三者への提供）

個人情報の第三者への提供を禁止する。ただし、業務上、担当者が第三者への提供の必要性を認めた場合、個人情報管理者に届け出るものとする。

2　前項の届け出を受けた個人情報管理者は、速やかに個人情報管理責任者と協議して、個人情報管理責任者の承諾を得なければならない。

3　第三者への提供は、個人情報管理責任者の承諾を得て、個人情報管理責任者が必要な措置を講じた後でなければならない。

第18条（個人情報の共同利用）

個人情報を第三者との間で共同利用する場合、担当者は個人情報管理者に届け出なければならない。

2　前項の通知を受けた個人情報管理者は、速やかに個人情報管理責任者と協議して、個人情報管理責任者の承諾を得なければならない。

3　個人情報の共同利用は、個人情報管理責任者の承諾を得て、個人情報管理責任者が必要な措置を講じた後でなければならない。

第19条（自己情報に関する権利）

当協会が保有している個人情報について、情報主体から自己の情報について開示を求められた場合、 個人情報管理責任者は、遅滞なく当該情報主体に対して当協会が保有している当該情報主体の個人情報 (当該個人情報が存在しない場合はその旨)を、当該情報主体の希望する方法で開示しなければならない。

2　開示した結果、誤った情報があった場合で、訂正、追加又は削除を求められたときは、 個人情報管理責任者は、遅滞なくその請求が妥当であるかを判断し、妥当であると判断した場合には、 訂正等を行い、遅滞なく情報主体に対してその内容を通知しなければならない。 訂正しない場合は、遅滞なく情報主体に対してその理由を通知しなければならない。

第20条（自己情報の利用又は提供の拒否権）

当協会が保有している個人情報について、情報主体から自己情報についての利用又は第三者への提供を拒まれた場合、 これに応じなければならない。 ただし、警察、税務署、裁判所等の公的機関からの法令に基づく権限の行使による開示請求等又は 当協会の法令に定められている義務の履行のために必要な場合については、この限りでない。

第21条（個人情報管理責任者）

個人情報管理責任者は、個人情報の保護についての統括的責任と権限を有する責任者であって、次項に定める業務を行なわなければならない。

2　個人情報管理責任者は、各部門に1名以上の個人情報管理者を選任し、自己に代わり必要な個人情報保護についての業務を行なわせ、これを管理・監督しなければならない。

3　個人情報管理者は部門に所属する者のなかから、必要な人数の個人情報取扱担当者を選任しなければならない。

第22条（個人情報保護監査責任者）

個人情報保護監査責任者は、個人情報管理責任者及び個人情報管理者から独立した公平かつ客観的な立場にあり、監査の実施及び報告を行なう権限を有し、代表者が選任する。ただし、社外の第三者に監査業務を委託することを妨げない。

第23条（個人情報保護苦情・相談窓口の設置）

個人情報管理責任者は、個人情報及び個人情報保護計画に関しての苦情・相談を受け付けて対応する窓口を常設し、この連絡先を情報主体に告知しなければならない。

第24条（個人情報の特定とリスク調査）

個人情報管理責任者は、当協会が保有するすべての個人情報を特定し、危機を調査・分析するための手順・方法を確立し、維持しなければならない。

2　個人情報管理責任者は、各部門ごとに前項の手順に従って各部門における個人情報を特定し、個人情報に関する危険要因 (個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えい等)を調査・分析の上、適切な保護措置を講じない場合の影響を認識し、 必要な対策を策定し、維持しなければならない。

第25条（法令及びその他の法規範）

個人情報管理責任者は、個人情報に関する法令及びその他の法規範を特定し、参照できる手順を確立し、維持しなければならない。

第26条（個人情報保護計画の策定）

個人情報管理責任者は、個人情報管理担当者の協力を得て個人情報を保護するために必要な個人情報保護計画を年1回立案して文書化し、 かつ実施、評価、改善をしなければならない。

2　個人情報保護計画には、次の事項を入れなければならない。

1. 個人情報の特定と危機対策
   1. 個人情報を記録したシステム、媒体の特定
   2. 個人情報に対する危機の識別
   3. 危機の調査・分析に基づく対応策の策定、実施、評価、改善
2. 個人情報保護のために責任者、管理者、担当者の業務と業務方法
   1. 個人情報管理責任者
   2. 個人情報管理者
   3. 個人情報取扱担当者
   4. 個人情報保護苦情及び相談窓口
   5. 担当者
   6. 個人情報保護監査責任者
3. 研修実施計画
   1. 個人情報管理者、個人情報取扱担当者、苦情及び相談窓口、個人情報保護監査責任者に対する研修実施計画 (研修項目、時間割、講師、日程、予算)
   2. 当協会関係者に対する研修実施計画 (研修項目、時間割、講師、日程、予算)
4. 委託先に対する監査計画及び必要な場合の研修計画
   1. 監査体制、日程、監査方法、監査報告様式
   2. 委託先研修実施計画 (研修項目、時間割、講師、日程、予算)

3　委託中、担当者は、預託先が当協会の個人情報保護及びセキュリティ管理の基準を遵守しているかどうかを確認し、 万一、基準に抵触する事項を発見したときは、その旨を個人情報管理責任者に通知しなければならない。

4　前項の通知を受けた個人情報管理責任者は、直ちに個人情報の預託先に対して必要な措置を講じなければならない。

第27条（本規定等の見直し）

個人情報管理責任者は、監査報告書及びその他の経営環境等に照らして、適切な個人情報の保護を維持するために、 少なくとも年1回本規定及び本規定に基づく個人情報保護計画を見直し、取締役会の承認を得なければならない。

第28条（文書の管理）

個人情報管理責任者は、この規定に基づき作成される文書(電磁的記録を含む)を管理しなければならない。

第29条（研修実施）

個人情報管理責任者は、当協会関係者その他個人情報の預託先等の関係者に対して、個人情報保護計画に基づき研修を行い、評価しなければならない。

2　個人情報管理責任者は、個人情報管理者に対して研修を行い、評価しなければならない。

3　個人情報管理責任者は研修を効果的に行い、個人情報の重要性を自覚させる手順・方法を確立し維持しなければならない。

第30条（監査計画）

個人情報保護監査責任者は、年1回以上個人情報保護のための監査計画を立案し理事会の承認を得なければならない。

2　監査計画には次の項目を入れなければならない。

1. 監査体制
2. 日程
3. 監査方法
4. 監査報告様式

第31条（監査の実施）

個人情報保護監査責任者は、本規定及び個人情報保護計画が、日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項」(JIS Q 15001)の要求事項と合致していること、及びその運用状況を監査しなければならない。

2　個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、当協会理事会に報告しなければならない。

3　個人情報管理責任者は、監査報告書を管理し、保管しなければならない。

第32条（個人情報の廃棄）

個人情報を廃棄する場合は、シュレッダーにかけて読み取り不能にした上で信頼できる廃棄物処理業者に廃棄を委託する。

2　個人情報を記録したコンピュータ、記憶媒体を廃棄するときは、特別のソフトウェア等を使用して個人情報を消去するか記憶媒体を物理的に破壊してから廃棄する。

3　個人情報を記録したコンピュータを他に転用するときは、特別のソフトウェア等を使用して個人情報を消去してから転用する。

4　個人情報の廃棄作業は個人情報取扱担当者が行う。

5　廃棄の基準について、情報主体に告知しなければならない。

第33条（罰則）

当協会は、本規定に違反した当協会関係者に対して会則に基づき懲戒を行わなければならない。

2　懲戒の手続きは会則にて別途定める。