高知県立大学生協個人情報保護規程

第1章　総則

(目的)
第１条　この規程は、高知県立大学生活協同組合(以下、当生協という)が有する個人情報につき、当生協の個人情報保護方針に基づく適正な保護を実現することを目的とする基本規程である。

(定義)
第２条　この規程おいて、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(１)個人情報
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号、画像若しくは音声により当該個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)をいう。
(２)個人情報データベース等
個人情報を含む情報の集合物であって、特定の個人情報について電子計算機を用いて検索できるように体系的に構成したもの及び一定の規則にしたがって整理することにより特定の個人情報を容易に検索できるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。
(３)個人データ
個人情報データベース等を構成する個人情報をいう。
(４)保有個人データ
当生協が開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データをいう。ただし、その存否が明らかになることにより公益その他の利益が害されるものとして以下のものに該当する場合及び6ヶ月以内に消去することとなるものは除く。
１)当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
２)当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
３)当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
４)当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
(５)本人
個人情報によって識別される特定の個人をいう。
(６)個人情報保護管理責任者
　当生協の理事会によって指名された者であって、当生協の個人情報保護方針・規程の実施・運用を行う総合責任者。当生協の個人情報の管理について決定する責任と権限を有する者をいう。
(７)役職員
当生協の役員、職員、パートタイム職員、アルバイト職員、派遣社員をさす。

(適用範囲)
第３条　本規程は、当生協の役職員に対して適用する。
２　個人情報を取り扱う業務を外部に委託する場合も、この規程の趣旨に従って、個人情報の適正な保護を図るものとする。

第2章　管理体制

(個人情報保護管理責任者の指名)
第４条　当生協理事会は、個人情報保護管理責任者を指名し業務を行わせるものとする。

(個人情報保護管理責任者の責務)
第５条　個人情報保護管理責任者は、当生協で取り扱う個人情報の漏えい、減失、き損を防ぎ、個人情報を安全に管理するため、個人情報保護方針(ポリシー)の策定をはじめ、必要な手順書等を整える。

(役職員の責務)
第６条　役職員は、法令の規定、就業諸規則、この個人情報保護規程または個人情報保護に関するルールに従い、個人情報の秘密の保持に充分な注意を払い、その業務に従事する。
２　役職員は、上記違反を見つけた場合には、速やかに個人情報保護管理責任者へ報告しなければならない

第3章　個人情報の取得等

(利用目的の特定)
第７条　個人情報を取扱うにあたっては、本人がその取扱いについての諾否を判断できる程度にその利用の目的(以下「利用目的」という)を特定しなければならない。

(利用目的による制限)
第８条　あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取扱ってはならない。
２　前項の規定は、次に掲げる場合については、適用しない。
(１)法令に基づく場合
(２)人の生命、身体又は財産の保護のために必要がある場合であって、本人との同意を得ることが困難であるとき
(３)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(４)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(適正な取得)
第９条　偽りその他不正の手段により個人情報を取得してはならない。

(取得に際しての利用目的の通知等)
第１０条　直接的または間接的に個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表しなければならない。

(書面やインターネット等の情報ネットワーク上等で本人から直接に取得する場合の措置)
第１１条　書面やインターネット等の情報ネットワークで本人から直接当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

(利用目的の変更時の措置)
第１２条　利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

(取得時及び利用目的の変更時の措置の適用除外)
第１３条　第10条、第11条及び第12条の規定は、次の各号に掲げる場合については適用しない。
(１)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(２)利用目的を本人に通知し、又は公表することにより当該事業者の権利又は正当な利益を害するおそれがある場合
(３)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(４)取得の状況からみて利用目的が明らかであると認められる場合

第4章　個人データの管理

(個人データの正確性の確保)
第１４条　利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。

(安全管理措置)
第１５条　当生協は、その取扱う個人データの漏洩、滅失又はき損の防止その他の個人データの安全管理(情報セキュリティ)のために、次の各号について合理的な措置を講じ情報セキュリティを保たなければならない。
(１)入退室管理に関する事項
(２)アクセス管理(ウイルス防止含む)に関する事項
(３)データ管理(バックアップ、保管、廃棄等)に関する事項
(４)委託処理に関する事項

(役職員の監督)
第１６条　役職員に個人データを取扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該職員に対する必要かつ適切な監督を行わなければならない。
２　前項の監督に当たっては少なくとも次の各号を行わなければならない。
(１)内部規程を策定し役職員に周知すること
(２)役職員に対して定期的に個人情報の保護に関する教育を実施すること
(３)個人データが適切に取扱われているかを必要に応じて確認すること

(委託先の監督)
第１７条　個人データの取扱の全部又は一部を委託する場合は、その取扱を委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
２　前項の監督は「外部管理委託基準」に基づき行う。

第5章　個人データの第三者提供

(第三者提供の制限)
第１８条　次に掲げる場合を除き、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(１)法令に基づく場合
(２)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(３)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(４)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

(第三者に提供できる場合)
第１９条　第三者に提供される個人データについて、本人の求めに応じてその提供を停止することとしている場合であって、次の各号に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前条の規定にかかわらず、当該個人データを第三者に提供することができる。
(１)第三者への提供を利用目的とすること
(２)第三者に提供される個人データの項目
(３)第三者への提供の手段又は方法
(４)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
２　前項(２)又は(３)に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

(第三者提供に該当しない場合)
第２０条　次の各号のいずれかに該当する場合は、第三者提供に該当しないものとする。
(１)当生協が利用目的の達成に必要な範囲内において個人データの取扱の全部又は一部を委託する場合
(２)合併その他の事由による事業の承継に伴って個人データが提供される場合
(３)個人データを特定の者との間で共同して利用する場合で以下の事項をあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
１)共同利用する旨
２)共同して利用される個人データの項目
３)共同して利用する者の範囲
４)利用する者の利用目的
５)当該個人データの管理について責任を有する者の氏名又は名称
２　前項(３)に規定する項目のうち、４)又は５)を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

第6章　保有個人データに関する開示・変更・利用停止等の求めへの対応

(保有個人データに関する事項の公表等)
第２１条　保有個人データに関し、次の各号に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
(１)当生協の名称
(２)すべての保有個人データの利用目的
(３)保有個人データの開示、訂正等、利用停止等の手続及び保有個人データの開示、利用目的の通知を求められたときの手数料の額
(４)当生協が行う保有個人データの取扱に関する苦情の申出先
２　本人から、当該本人が識別される個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、第13条(１)から(３)までのいずれかに該当する場合はこの限りでなく、利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

(開示)
第２２条　保有個人データに関し、本人から自己の情報について開示を求められた場合は、遅滞なくこれに応じなければならない。ただし、開示することにより次の各号に該当する場合はその全部又は一部を開示しないことができる。その場合はその旨を本人に対して遅滞なく通知を行う。開示に当たっては書面により交付することとする。ただし、開示の求めを行った者が同意した方法があるときは、当該方法で行うことができる。
(１)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(２)当該会員生協の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(３)他の法令に違反することとなる場合
2　前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

(訂正等)
第２３条　保有個人データに関し、本人から自己の情報に関して事実でないという理由で訂正、追加又は削除(以下「訂正等」という。)を求められたときは、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、これに応じなければならない。
２　前項の規定に基づき訂正等を行ったとき又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。

(利用停止等)
第２４条　保有個人データに関し、本人から自己の情報に関してその利用目的の制限や適正な取得に違反して取扱われているという理由及び第三者への提供が違反して行われているという理由により利用停止又は消去(以下「利用停止等」という。)を求められた場合で、その求めに理由があることが判明したときには、違反を是正するために必要な限度で、遅滞なく、これに応じ、その旨を本人に対して通知を行わなければならない。ただし、多額の費用を要する等、その実施について困難である場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
２　前項の規定に基づき既に保有している個人データについて利用停止等を行ったとき又は利用停止等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

(理由の説明)
第２５条　開示、訂正等及び利用停止等(以下「開示等」という。)の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。

(開示等の求めに応じる手続)
第２６条　保有個人データについての本人からの開示等の求めに関し、その求めを受け付ける方法として次の各号について定めることができる。この場合において、当生協は、当該方法に従って行われる本人の求めを受け付けることとする。
(１)開示等の求めの申し出先
(２)開示等の求めに際して提出すべき書面の様式その他の開示等についての求めの方式
(３)開示の求めをする者が本人又は本条第4項に規定する代理人であることの確認方法
(４)手数料の徴収方法
２　本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。
３　本人の求めに対する利用目的の通知及び開示についてその実施に関し、実費を勘案して合理的であると認められる範囲において定められた手数料を徴収することができる。
４　次の各号に掲げる代理人による開示の求めに応じなければならない。
(１)未成年者又は成年被後見人の法定代理人
(２)開示等の求めをすることにつき本人が委任した代理人

第7章　個人情報の取扱に関する苦情処理

(苦情処理)
第２７条　個人情報保護管理責任者は、個人情報の取扱に関する苦情の適切かつ迅速な処理を行うとともに、苦情全般の管理に努めなければならない。

(個人データの紛失等発生時の対応)
第２８条　個人データが紛失または漏洩した場合には、速やかに個人情報保護管理責任者に報告するとともに、適切な措置を取らなければならない。

第8章　教育

(教育)
第２９条　個人情報保護管理責任者は、役職員に対し、個人情報保護に関する教育を行う。

第9章　点検および見直し

(点検)
第３０条　個人情報保護監査責任者は、年1回以上個人情報保護方針の遂行状況について点検を行い、その結果をふまえて適切な措置を講じなければならない。

(見直し)
第３１条　理事会は、適切な個人情報の保護を維持するために、定期的に個人情報保護に関する方針・規程・基準等を見直さなければならない。

第10章　罰則

(罰則)
第３２条　個人情報保護規定や当生協の定めた所定の手続きに故意に違反し、または重大な過失を犯した役職員(派遣スタッフ除く)は、就業規則に基づく懲戒の対象となる。派遣スタッフの場合は、派遣会社に通告する。
２　当生協が経済的損害を受けた場合、当該役職員に対し、損害賠償の請求を行う場合がある。

第11章　規定の改廃

(規定の改廃)
第３３条　この規定の改廃は、理事会によって行うものとする。

付則

本規程は、２００５年３月３１日より施行する。