特定個人情報等取扱規程
第1条(目的)
この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「番号法」という)及び特定個人情報保護委員会が定める「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に基づき、スマイエル株式会社(以下「会社」という)における個人番号及び特定個人情報(以下「特定個人情報等」という)の取扱いについて定めたものである。
第2条(定義)
この規程における各用語の定義は以下のとおりとする。
①個人情報
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記 述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
②個人番号
住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
③特定個人情報
個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第7条第1項及び第2項、第8条並びに第67条並びに附則第3条第1項から第3項まで及び第5項を除く。)をその内容に含む個人情報をいう。
④通知カード
平成27年10月以降、市区町村から住民票の住所に送付され、本人の氏名、住所、生年月日、性別、個人番号が記載される紙製のカードをいう。
⑤個人番号カード
氏名、住所、生年月日、性別、個人番号その他政令で定める事項が記載され、本人の写真が表示され、かつ、これらの事項その他総務省令で定める事項(以下「カード記録事項」という。)が電磁的方法(電子的方法、磁気的方法その他の人の知覚によって認識することができない方法をいう。)により記録されたプラスチック製のICチップ付カードをいう。
第3条(取扱い業務の範囲)
会社が取扱う特定個人情報等は、原則として以下のとおりとする。
①従業員の所得税法等の税務関連の届出事務
②社会保険及び労働保険関連の届出事務
③法定調書の作成事務
④上記に付随する行政機関への届出事務
第4条(組織体制)
特定個人情報等の取扱いについての組織体制は、以下のとおりとする。なお、退職や異動等によって担当が変更となった場合には、確実な引継ぎを行い、上長等がその状況を確認しなければならない。
特定個人情報等の取扱いに関する最高責任者(全体統括) | 代表取締役 岸見 隆之 |
運用責任者 | 代表取締役 岸見 隆之 |
安全管理対策責任者 | 代表取締役 岸見 隆之 |
第5条(守秘義務)
特定個人情報等を取り扱うすべての者は、徹底した守秘義務の中で業務を遂行しなければならない。
2.会社は、特定個人情報等を取り扱うすべての者に対して、特定個人情報の取扱いに関する誓約書を提出させるものとする。
第6条(法令の遵守)
会社は、番号法を遵守して特定個人情報等を取扱い運用する。
第7条(責任者の役割)
各責任者の役割は、以下のとおりとする。
特定個人情報等の取扱いに関する最高責任者(全体統括) | 運用責任者及び安全管理責任者を監督し、特定個人情報等の取扱い等についてのすべての責任を負う。 |
運用責任者 | 従業員への教育や啓蒙、更には安定的な継続運用のために企画を実施し、管理等を行う。 |
安全管理対策責任者 | システム及び物理的な対策を講じて情報が漏えいすることがないような体制を整える。 |
第8条(情報漏えい対応策)
各責任者及び事務取扱担当者は、情報漏えい発生時またはその可能性が疑われる場合には、速やかに所属長及び運用責任者に報告をするとともに漏えいの拡大を阻止するように対策を講じなければならない。
2.各責任者は、情報漏えい発生時またはその可能性が疑われる場合には、事後に速やかにその原因を究明して最高責任者に報告をしなければならない。
3.運用責任者は、情報漏えい時には、影響を受ける可能性がある本人への連絡を速やかに行わなければならない。
第9条(特定個人情報ファイル作成の制限)
個人番号を取扱う者は、法令に基づき行う事務手続きに限って、特定個人情報に関するファイルを作成することができる。
第10条(第三者提供の停止)
特定個人情報が違法に第三者に提供されていることを知った本人からその提供の停止を求められた場合であって、その求めに理由があることが判明したときには、第三者への提供を停止しなければならない。
第11条(取得)
事務取扱担当者は、特定個人情報等の提供を受けるにあたっては、その写しを紙によって受領しなければならない。ただし、個人番号カードの現認やオンライン環境によってその受領の必要性がない場合には、その限りではない。
2.事務取扱担当者は、通知カード及び個人番号カードを撮影してはならない。ただし、安全管理対策責任者が特別に認めた機器があれば、その機器によってのみ撮影をすることができる。
3.事務取扱担当者は、提出された特定個人情報等の写しを速やかに情報システムに入力し、その写しは速やかにシュレッダーにて裁断処分をしなければならない。
4.事務取扱担当者は、情報システムに入力をした特定個人情報等の確認のために印刷をしてはならない。
第12条(利用)
事務取扱担当者は、情報システムを利用して第3条に定める事項について申告書等を作成することができる。
2.前項の申告書等は、行政機関等への提出分につき印刷をすることができる。
3.情報システムの利用にあたっては、安全管理対策責任者の指示による方法でしか利用することができない。
4.事務取扱担当者は、行政機関への提出及び調査等の場合に限り、以下に定める者の許可を得て施設外(立入り禁止区域外の場所の移動も含む)に持出すことができる。この場合、紙媒体の資料のみ許可し、デジタル媒体による持出しを行ってはならない。
①従業員に関する特定個人情報等
運用責任者
②従業員以外に関する特定個人情報等
運用責任者
5.前項において、オンライン上で申請等を行う場合には、安全管理対策責任者が定めた手順によって行なうことができる。
6.安全管理対策責任者は、行政機関等への申請その他の利用状況につき、取扱い事務担当者のパソコン等の機器をモニタリングすることができる。取扱い事務担当者は、モニタリングを拒否することはできない。
7.支店や営業所から本社への特定個人情報等の連絡にあたっては、電子メールの場合には会社指定のアドレスを使用すると同時に、添付ファイルがある場合には必ずパスワードをつけて送信しなければならない。
8.特定個人情報等の利用にあたっては、如何なる場合であってもFAXによる送受信は行ってはならない。
第13条(保存)
特定個人情報等は、それが記載された書類等に係る関係法令に定める期間保存をする。
2.紙媒体の特定個人情報等が記載された資料は、鍵付きのキャビネットに保管する等の方法により管理をする。なお、この鍵は、総務部長または経理部長のみが所持することができ、原則として毎日始業時刻に開錠し、終業時刻に施錠をする。
3.特定個人情報等は、その情報がデジタル情報による場合には、情報システム等の安全管理対策責任者が定めた方法によってのみ保存することができる。
第14条(提供)
特定個人情報等は、関係法令により必要な場合においてのみ、関係行政官庁へ提供することができる。
2.前項の提供にあたっては、簡易書留その他安全性が確保できる方法により提供を行わなければならない。
第15条(削除・廃棄)
特定個人情報等は、関係法令により定められた保存期間を超えた場合に削除・廃棄を行うものとする。
2.特定個人情報等の紙媒体の廃棄にあたっては、運送会社による機密文書リサイクルサービスまたは同等のサービスを利用するものとし、利用後には「溶解処理証明書」を受領しなければならない。
3.デジタル情報によるデータの削除については、安全管理対策責任者が指示した者によって処理をするものとし、事務取扱担当者が自己の判断によって削除をしてはならない。
4.特定個人情報等を取扱ったパソコンを処分する場合は、会社が指定する業者により粉砕処理を施さなければならない。この場合、事後に証明書を発行してもらわなければならない。
第16条(収集の制限)
会社は、第3条に定める事務の範囲を超えて特定個人情報等を収集してはならない。
第17条(本人確認)
会社は、番号法第16条の定めにより個人番号所有者の番号確認及び身元確認を行うものとする。
第18条(組織的安全管理措置)
会社は、組織的安全管理措置を講じるために以下を実施する。
①情報漏えい等の事案発生時には、昼夜を問わず運用責任者及び安全管理対策責任者長の携帯電話へ連絡することができるようにそれぞれの責任者の携帯電話番号及びメールアドレスを社内に公開する。
②責任体制を明確化し、社内に公表する。
第19条(人的安全管理措置)
会社は、人的安全管理措置を講じるために以下を実施する。
①特定個人情報等の取扱いに関する留意事項等について、従業員に対して定期的な研修を実施する。
②特定個人情報等についての秘密保持については、特定個人番号を取扱う者すべてに誓約書を提出させる。
第20条(物理的安全管理措置)
会社は、物理的安全管理措置を講じるために以下を実施する。
①安全管理対策担当者が定めた者以外は立入ることができないように立入り禁止区域を定める。
②特定個人情報等を取扱うパソコンは、セキュリティワイヤーにより固定し、盗難防止対策を講じる。
第21条(技術的安全管理措置)
会社は、技術的安全管理措置を講じるために以下を実施する。
①情報システムへのアクセスは、アクセスすることができる担当者を限定し、そのアクセス状況を記録する。
②情報システムと外部ネットワークとの接続箇所にファイヤーウォールを設置し、不正アクセスを遮断する。
③電子メールの私的利用を禁止する。
④定期的にウイルスチェックを実施する。
第22条(特定個人情報等の取扱い委託)
会社は特定個人情報等の取扱いについて、外部業者等に委託をすることができる。この場合、委託先の選定にあたって役員会による承認を得なければならない。
2.前項における委託先は、組織的・人的・物理的・技術的な安全管理措置が客観的に講じられている企業等でなければ委託をしてはならない。
第23条(特定個人情報等の取扱い再委託)
特定個人情報等の取扱いの再委託は、役員会の承認により再委託することができる。
第24条(事務取扱い担当者への監督)
総務部長及び経理部長は、事務取扱担当者に対しての管理及び監督をするものとし、運用方法について情報漏えいの可能性がある場合には、是正に向けて指図をしなければならない。
第25条(苦情や相談等の対応)
特定個人情報等の取扱いについての苦情や相談等の対応は、運用責任者が担当する。
第26条(違反時の対応)
この規程に違反する行為が見られた場合には、就業規則に基づき制裁処分に課すことがある。
第27条(規程の改定)
会社は、必要に応じてこの特定個人情報等取扱規程を見直すものとする。
附 則
この規程は平成28年1月1日から施行する。
