目的
第1条
この規則は、当社が保有する個人情報を適正に取扱い、個人の権利や利益を保護するための基本となる事項を定め、実践することにより、社会的信頼を得るとともに、企業活動の質的向上を図ることを目的とする。
- 「行政手続における特定の個人を識別するための番号の利用等に関する法律」(以下「番号法」という。)に係る特定個人情報の取扱いについては番号法、番号法施行令、番号法施行規則等の定めを優先して適用する。
- 当社は特定個人情報の適正な取扱いのために番号法、個人情報保護法及び「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を遵守する。
- 当社は特定個人情報の適正な取扱いのために社内規程として「特定個人情報保護管理規程」を定め、その他諸規程とあわせて安全管理措置を実行する。
- 当社は健康情報等の適正な取扱いのために社内規程として「健康情報等保護管理規程」を定め、その他諸規程とあわせて安全管理措置を実行する。
対象
第2条
この規則は、電子化情報であるか非電子化情報であるかを問わず、当社で取り扱うすべての個人情報を対象とする。
定義
第3条
この規則における用語の定義は次のとおりとする。
- 個人情報
生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。- (1)当該情報に含まれる氏名、生年月日その他の記述等(文書、図面若しくは電磁的記録(電磁的方式)、磁気的方式その他人の知覚によって認識できない方式をいう。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるものおよび他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの
- (2)個人識別符号が含まれるもの
- 個人識別符号
次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、別紙1で定めるものをいう。- (1)特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
- (2)個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
- 要配慮個人情報
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして別紙2で定める記述等が含まれる個人情報をいう。 - 健康情報等
心身の状態に関する情報のうち、個人情報保護法第2条第3項に規定する「要配慮個人情報」に該当するもの(以下「健康情報」という。)およびその他の健康に関するものをいい、健康情報等に該当するものの例として、以下の各号に掲げるものが挙げられる。- (1)健康診断にかかる情報
- (2)ストレスチェックにかかる情報
- (3)会社が法令または就業規則等にもとづき、従業員等の健康確保措置および安全配慮義務履行のために実施する、医師の面談結果、提出された診断書等の情報
- 個人情報データベース等
特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの及びこれに含まれる個人情報を一定の規則に従って整理することにより、特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいい、利用方法からみて個人の権利利益を害するおそれが少ないものとして次のいずれにも該当するものを除く。- (1)不特定かつ多数の者に販売することを目的として発行されたものであって、かつその発行が法又は法に基づく命令の規定に違反して行われたものでないこと
- (2)不特定かつ多数の者により随時に購入することができ、又はできたものであること
- (3)生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること
- 個人データ
個人情報データベース等を構成する個人情報をいう。 - 保有個人データ
当社が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データであって、次に掲げるもの以外のものをいう。- (1)6月以内に消去することとなるもの
- (2)当該個人データの存否が明らかになることにより、本人または第三者の生命、身体または財産に危害がおよぶおそれがあるもの
- (3)当該個人データの存否が明らかになることにより、違法または不当な行為を助長し、または誘発するおそれがあるもの
- (4)当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれまたは他国もしくは国際機関との交渉上不利益を被るおそれがあるもの
- (5)当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障がおよぶおそれがあるもの
- 匿名加工情報
次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。- (1)第1項第1号に該当する個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む) - (2)第1項第2号に該当する個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む)
- (1)第1項第1号に該当する個人情報
- 匿名加工情報データベース等
これに含まれる匿名加工情報を一定の規則に従って整理することにより特定の匿名加工情報を容易に検索することができるように体系的に構成した情報の集合体であって、目次、索引その他検索を容易にするためのものを有するものをいう。 - 本人
個人情報によって識別される特定の個人をいう。 - 個人番号
番号法の規定に基づき住民票コードを変換して得られる番号であり、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。 - 特定個人情報
個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。)をその内容に含む個人情報をいう。 - 個人番号関係事務
番号法に基づく個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
適用範囲
第4条
この規則は、当社のすべての取締役、監査役(以下「役員」という。)、および全ての従業員(以下、役員、従業員をあわせて「従業員等」という。))に対して適用する。
利用目的の特定
第5条
当社が個人情報を取り扱うにあたっては、利用の目的(以下「利用目的」という。)をできる限り特定する。
- 当社が利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行わない。
利用目的による制限
第6条
当社は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱わない。
- 当社は、特定個人情報については本人の同意の有無にかかわらず、利用目的の達成に必要な範囲を超えて利用しない。
- 当社は、他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わない。
- 第1項および第3項の規定は、次に掲げる場合については適用しない。
- (1)法令に基づく場合
- (2)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- (3)公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- (4)国の機関もしくは地方公共団体またはその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障をおよぼすおそれがあるとき
適正な取得
第7条
当社は、偽りその他不正の手段により個人情報を取得しない。
- 当社は、次の掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得しない。
- (1)法令に基づく場合
- (2)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- (3)公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- (4)国の機関もしくは地方公共団体またはその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障をおよぼすおそれがあるとき
- (5)当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報保護法第76条第1項各号に掲げる者、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国において個人情報保護法第76条第1項各号に掲げる者に相当する者により公開されている場合
- (6)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
- (7)個人情報保護法第23条第5項において、個人データである要配慮個人情報の提供を受けるとき
収集・取得に際しての利用目的の通知等
第8条
当社は、次に掲げる利用目的に基づき個人情報を取集・取得する場合を除き、速やかに、その利用目的を本人に通知し、または公表する。
- (1)当社が受託する医薬品等の品質、安全性または有効性に関する情報の収集および提供
- (2)官公署等への届出・報告
- (3)お得意先から受けるご相談、ご連絡等の内容の検討および対応
- (4)お得意先との取引に基づく各種契約書等の締結および管理業務
- (5)番号法に基づく個人番号関係事務
・ 源泉徴収事務
・ 健康保険・厚生年金保険・国民年金第3号被保険者届出等関係事務
・ 雇用保険届出等関係事務
・ 確定拠出年金
・ 持株会関係業務
・ 報酬・料金等の支払調書作成事務
・ 不動産の使用料等または不動産等の譲受けの対価の支払調書事務 - 当社は第1項に記載する利用目的を変更した場合は、変更された利用について、本人に通知し、または公表する。
- 第1項および第2項の規定は、次に掲げる場合については適用しない。
- (1)利用目的を本人に通知し、または公表することにより本人または第三者の生命、身体、財産その他の権利・利益を害するおそれがある場合
- (2)利用目的を本人に通知し、または公表することにより当社の権利または正当な利益を害するおそれがある場合
- (3)国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障をおよぼすおそれがあるとき
- (4)取得の状況からみて利用目的が明らかであると認められる場合
個人データの正確性の確保
第9条
当社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努める。
安全管理措置
第10条
当社は、個人データの紛失、破壊、改ざん並びに漏洩等を防止するために、必要かつ適切な安全管理措置を講じる。
従業員等の教育・監督
第11条
当社は、従業員等が個人データを取り扱うにあたり、当該個人データの安全管理がはかられるよう、受託した者に対し必要かつ適切な監督を行う。
委託先等の監督
第12条
当社は、個人データの取扱いの全部または一部を委託する場合は、当該個人データの安全管理が図られるよう、受託した者に対し必要かつ適切な監督を行う。
第三者への提供の制限
第13条
当社は、次の掲げる場合を除き、あらかじめ本人の同意を得ないで、保有する個人データを第三者に提供しない。特定個人情報については本条の規定を適用しない。
- (1)法令に基づく場合
- (2)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- (3)公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- (4)国の機関もしくは地方公共団体またはその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障をおよぼすおそれがあるとき
- 第1項にかかわらず、個人情報保護法第23条第2項の定めに基づき、当社は疫学研究・臨床研究等の受託を主たる目的とし、保有する個人データ(要配慮個人情報を除く。以下この項において同じ)を次に記載する第三者に対して提供する場合がある。
- 前項に基づき、保有する個人データを第三者に提供する場合、前項に掲げる事項について、個人情報保護委員会規則で定めるところにより、個人情報保護委員会に届け出る。
- 第2項について、当該本人が識別される保有個人データの提供を停止する事を希望する場合には、第24条第3項に基づき、第三者への提供を申し入れることができる。
- 当社は、第2項に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規定で定めるところにより、あらかじめ本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出る。
- 当社は、第3項による個人情報保護委員会に対する届出事項が同委員会により公表された後、速やかにインターネットの利用その他の適切な方法により、当該事項(変更があったときは、変更後の事項)を公表する。
- 次に掲げる場合において、当該個人データの提供を受ける者は、第1項から第6項の規定の適用については、第三者に該当しないものとする。
- (1)当社が利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託する場合
- (2)他の個人情報取扱事業者から事業を承継することに伴って個人データが提供される場合
外国にある第三者への提供の制限
第14条
当社は前条第1項各号に該当する場合を除き、あらかじめ本人の同意を得ないで、外国(本邦の域外にある国又は地域をいう。以下同じ。)にある第三者(個人情報取扱事業者に該当する者を除く。)に個人データを提供しない。
ただし、外国にある第三者が適切かつ合理的な方法により、個人情報保護法第4章第1節の規定の趣旨に沿った措置を講じている場合は、前条を適用するものとする。
第三者提供をする際の記録
第15条
当社は、個人データを第三者から提供したときは、第三者提供に係る記録を作成する。。ただし、当該個人データの提供が第13条第1項各号に該当する場合又は同条7項各号のいずれかに該当する場合は、この限りではない。
第三者提供を受ける際の確認及び記録
第16条
当社は、個人データを第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項を確認する。ただし、当該個人データの提供が第13条第1項各号に該当する場合又は同条7項各号のいずれかに該当する場合は、この限りではない。
- (1)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
- (2)当該第三者による当該個人データの取得の経緯
- 当社は、前項に基づく確認を行ったときは、個人情報保護委員会規則で定める事項に関する記録を作成する。
匿名加工情報の適正な加工
第17条
当社は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものつぃて個人情報保護委員会規則で定める基準に従い、当該個人情報を加工する。
匿名加工情報の作成時の公表
第18条
当社は、匿名加工情報を作成した後、遅滞なく、当社WEBサイトにおいて、当該匿名加工情報に含まれる「個人に関する情報の項目」を別に定める「匿名加工情報保護方針」において公表する。
匿名加工情報の第三者提供時の公表・明示
第19条
当社は、匿名加工情報を第三者に提供するときは、当社WEBサイトにおいて、あらかじめ、第三者に提供される匿名加工情報に含まれる「個人に関する情報の項目」及びその「提供の方法」について別に定める「匿名加工情報保護方針」に公表するとともに、当該第三者に対して、電子メールを送信する方法又は書面を交付する方法その他の適切な方法により、当該提供に係る情報が匿名加工情報である旨を明示する。
識別行為の禁止
第20条
当社は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは匿名加工情報の作成において行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合しない。
保有個人データに関する事項の公表等
第21条
当社は、保有個人データに関し、次に掲げる事項を本人の知り得る状態に置く。
- (1)保有個人データの利用目的(第8条第3項①から④までに該当する場合を除く)
- (2)第13条第4項、本条第2項、第22条第1項、第23条第1項または第24条第1項、第2項もしくは第3項の規定による求めに応じる手続(第26条の規定により、手数料の額を定めたときは、その手数料の額を含む。)
- (3)当社が行う保有個人データに関する各種手続等に関するお問い合わせ先
- 当社は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知する。ただし、次の各号のいずれかに該当する場合は、この限りでない。
- (1)第1項(1)の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
- (2)第8条第3項(1)から(4)までに該当する場合
- 当社は、第2項(1)および(2)の規定に基づき、求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する。
開示
第22条
当社は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、書面により、遅滞なく、当該保有個人データを開示することとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部または一部を開示しないことができる。
- (1)本人または第三者の生命、身体、財産その他の権利・利益を害するおそれがある場合
- (2)当社の業務の適正な実施に著しい支障をおよぼすおそれがある場合
- (3)法令に違反することとなる場合
- 当社は、第1項の規定に基づき求められた保有個人データの全部または一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する。
訂正等
第23条
当社は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加または削除等(以下「訂正等」という。)を求められた場合には、利用目的の達成に必要な範囲内において遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行う。
- 当社は、第1項の規定に基づき求められた保有個人データの訂正等を行ったとき、または訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する。
利用停止等
第24条
当社は、本人から、当該本人が識別される保有個人データが第6条の規定に違反して取り扱われているという理由、または第7条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止または消去(以下「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行う。
ただし、当該保有個人データの利用停止等を行う事が困難な場合であって、本人の権利・利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
- 当社は、本人から、当該本人が識別される保有個人データが第13条第1項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への停止を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの第三者への提供を停止する。
ただし、当該保有個人データの利用停止等を行うことが困難な場合であって、本人の権利・利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 - 当社は、本人から、当該本人が識別される保有個人データが第13条第2項の規定に基づいて第三者へ提供されることについて、個人情報保護法第23条第2項第4号の権利を行使し、当該保有個人データの全部もしくは一部について第三者への提供を停止することを希望するときは、この求めに応じ、第三者への提供を停止する。
- 当社は、第1項の規定に基づき求められた保有個人データの全部もしくは一部について利用停止等を行ったとき、もしくは利用停止等を行わない旨の決定をしたとき、または第2項の規定に基づき求められた保有個人データの全部もしくは一部について第三者への提供を停止したときは、本人に対し、遅滞なく、その旨を通知する。
開示等の求めに応じる手続
第25条
当社は、第13条第4項、第21条第2項、第22条第1項、第23条第1項、第2項もしくは第3項の規定による求め(以下「開示の求め等」という。)につき、その申出先として個人情報取扱窓口を設けるものとし、次に掲げる開示等の求めを受け付ける方法については別に定める。
- (1)開示の求めに際して提出すべき書面の方法、その他開示等を受け付ける方法
- (2)開示等の求めをする者が本人または第3項に規定する代理人であることの確認の方法
- (3)第26条第1項の手数料の徴収方法
- 当社は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、当社は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとる。
- 開示等の求めは、未成年者または成年後見人の法定代理人、または開示等の求めをすることにつき、本人が委任した代理人によって行うことができる。
手数料
第26条
当社は、第21条第2項の規定による利用目的の通知または第22条第1項の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。
個人情報保護管理者
第27条
当社が保有する個人情報の管理を統轄するため、個人情報保護管理者を置く。なお、個人情報保護管理者は取締役の役割についている者とする。
個人情報保護管理者の任務
第28条
個人情報保護管理者は、個人情報の保護に関し、内部規程の整備、安全対策および従業員等に対する教育・訓練を推進し、かつ、周知徹底させることを任務とする。
教育
第29条
個人情報保護管理者は、従業員等に対し、個人情報にかかる個人の権利保護の重要性を理解させ、かつ、個人情報保護の実施を図るため、教育計画を策定し、継続的かつ定期的に教育・訓練を行うように努める。
監査
第30条
代表取締役社長は、個人情報の管理の状況について監査を行うため、監査責任者を氏指名する。
- 代表取締役社長は、監査責任者の監査結果に基づき、個人情報の管理について改善すべき事項があると思科するときは、個人情報保護管理者および関係者に対し、改善のため必要な指示を行うものとする。
附則 この規定は、当社の取締役会の承認を得て、令和2年10月1日から施行する。