- この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「番号法」という。)に基づき、株式会社proof ninja(以下「会社」という。)における特定個人情報の取扱い方法及び会社の役員や会社に使用されている従業員(以下「従業員等」という。派遣等の特殊な形態の者も含む。)の責任を明記し、以て適切な特定個人情報の取扱いに資することを目的とする。
- この規程は、会社及び従業員等に適用する。
- 前項の従業員等は、離任した役員、退職した従業員等を含む。
- この規程において用語の定義は番号法に準じる他、次の各号に定めるところによる。
- 特定個人情報責任者 会社または本規程に基づき選任された、特定個人情報を管理し、事務取扱担当者を監督する責任者をいう。
- 事務取扱担当者 会社または本規程に基づき選任された、個人番号関係事務及び特定個人情報の事務に携わる従業員等をいう。
- 特定個人情報については、法令に定める他は会社が行う個人番号関係事務を実施する目的のみに利用する。
- 会社が行う個人番号関係事務の範囲は、次の各号に掲げるものとする。
- 従業員等(扶養親族等を含む。)に係る事務
- 源泉徴収票の作成
- 労働保険の届出
- 健康保険・厚生年金保険の届出
- 従業員等の配偶者に係る事務
- 国民年金の第三号被保険者の届出
- 従業員等以外の個人に係る事務
- 支払調書の作成
- 従業員等(扶養親族等を含む。)に係る事務
- 前項の個人番号関係事務は、特定個人情報責任者及び事務取扱担当者のみが行い、それ以外の従業員等は行うことができない。
- 会社は、特定個人情報責任者を選任する。
- 特定個人情報責任者は、次の各号に掲げる事柄を統括管理する。
- 特定個人情報の管理並びに個人番号関係事務の実施に関すること。
- この規程の変更及び運用に関すること。
- 従業員等の監督及び教育に関すること。
- 特定個人情報の安全管理に関する教育研修の企画・運営に関すること。
- 個人番号の取得・本人確認及び特定個人情報の管理に関すること。
- 特定個人情報ファイルの作成、管理に関すること。
- その他特定個人情報の安全管理に関する事項全般に関すること。
- 特定個人情報責任者は、会社の個人番号関係事務を処理するために必要な限度で、次の各号の事務を行う。
- 特定個人情報の取得・利用、保存、提供及び消去・廃棄等
- 個人番号が記載された書類等の作成、行政機関等への提出、本人への交付
- 従業員等の個人番号が記載された書類等の受領
- 特定個人情報責任者は、個人番号関係事務を処理するために必要な範囲に限って、アクセス制御等の措置を講じた特定個人情報ファイルを作成することができる。
- 会社は、事務取扱担当者を選任する。
- 事務取扱担当者は、特定個人情報の取扱いに関する留意事項について、定期的に教育研修を受けなければならない。
- 事務取扱担当者は、会社の個人番号関係事務を処理するために必要な限度で、次の各号の事務を行う。
- 特定個人情報の取得・利用、保存、提供及び消去・廃棄等
- 個人番号が記載された書類等の作成、行政機関等への提出、本人への交付
- 従業員等の個人番号が記載された書類等の受領
- 事務取扱担当者は、個人番号関係事務を処理するために必要な範囲に限って、アクセス制御等の措置を講じた特定個人情報ファイルを作成することができる。
- 特定個人情報は、事務取扱担当者のみが、その業務の遂行上の必要な限りにおいて取り扱うものとする。
- 個人番号関係事務は、座席の工夫等による覗き見防止策を講じた上で行うものとする。
- 特定個人情報ファイルは会社が指定するクラウドサービスにのみ保管できる。
- 会社が指定するクラウドサービスは、適切な安全管理措置(侵入防止措置、アクセス管理、ログ管理等)を備えたものでなければならず、限定された事務取扱担当者のみがアクセスできる等の適切な設定の下、特別に管理しなければならない。
- 特定個人情報を含む書類は、施錠できるキャビネットに保管し、業務終了後は当該キャビネットに収納する。鍵は特定個人情報責任者が管理し、特定個人情報責任者の許可なく特定個人情報を含む書類を持ち出してはならない。
- 特定個人情報の取扱いに関し、不正なアクセス、データの紛失・破壊・改ざん・漏えい等の事故又は法令若しくは当社諸規程に違反する行為の発生(その兆候を含む)を把握した場合には、直ちに特定個人情報責任者に報告しなければならない。
- 業務上の必要のため、特定個人情報を含む書類又はデータを外部に持ち出す場合は、紛失又は盗難に備え、細心の注意を払わなければならず、移送を委託する場合は、追跡可能な移送手段を選択しなければならない。
- 特定個人情報を含むデータの持ち出し及び電子メールによる送信を行う場合には、当該データの適切な暗号化を行わなければならない。
- 特定個人情報の取扱いは、運用状況が確認可能となるようシステムログ又は記録実績を記録しておかなければならない。
- 特定個人情報を含む書類又はデータは、その事務処理の目的のために保管されるべきものであり、その必要がなくなったときは、適切に廃棄又は削除しなければならない。
- 特定個人情報ファイルを処理するクラウドサービスへのアクセスは、原則として、事務取扱担当者に貸与された、ウイルス対策やファイアウォールの設定等の適切な安全管理措置が施されたPCでのみ行うことができる。
- 前項の事務取扱担当者に貸与されたPCは、事務取扱担当者以外の者が取り扱ってはならない。
- 台帳及び申込書等の個人情報を記載した帳票の保管及び管理等の業務は、事務取扱担当者以外の者が行ってはならない。
- 会社および従業員等は、特定個人情報について次に掲げる事項を遵守しなければならない。
- これを偽りその他不正な手段により収集してはならない。
- 本規程が定める利用目的以外で利用してはならない。
- 番号法で限定的に明記された場合を除き、これを第三者に提供してはならない。
- アクセスすることが認められていない特定個人情報に不正にアクセスしてはならない。
- 本人又は他の従業員等の特定個人情報を改ざん又は加工してはならない。
- 特定個人情報はノートやメモに書き写してはならない。
- 利用目的の範囲を超えて特定個人情報ファイルを作成してはならない。
- 利用目的の範囲を超えて特定個人情報を含む書類又はデータのコピーを作成してはならない。
- 目的の範囲を超えて特定個人情報を保管してはならない。
- 特定個人情報責任者は、事務取扱担当者に対し、特定個人情報の保護に必要な教育研修を行う。
- 教育研修を行っていない事務取扱担当者は特定個人情報を取り扱ってはならない。
- 会社は、個人番号関係事務を処理するために必要があるときに限り、本人に対し個人番号の提供を求めることができる。
- 会社は、あらかじめ利用目的を明示した上で、特定個人情報を従業員等本人から取得しなければならない。
- 従業員等は、個人番号の提供が個人番号関係事務に必要なものである限り、会社からの個人番号の提供の求めに応じなければならない。この場合において、協力しなかったことによる不利益は本人が負う。
- 個人番号の提供の拒否があった場合に生じる不利益は、協力をしなかった従業員等に帰する。
- 個人番号の提供の拒否があった場合、会社はその経緯を記録しなければならない。
- 会社及び従業員等は、次の各号のいずれかに該当して特定個人情報の提供を受けることができる場合を除き、他人に対し個人番号の提供を求め、収集してはならない。
- 本人又は代理人を通じた提供
- 事業承継に伴う提供(合併その他の事由による事業の承継に伴って特定個人情報が提供されるとき等をいう。以下同じ。)
- その他番号法に定める場合の提供
- 会社は、個人番号の提供を受けるときに行う本人確認(本人の個人番号の確認及び身元の確認をいう。以下同じ。)は、次の各号のいずれかにより行う事とする。
- 個人番号カードによる確認。
- 通知カードによる個人番号確認に加え、運転免許証等の公の機関が発行する写真付き身分証による確認。
- 本人確認に際しては、従業員等の個人番号カードおよび通知カードを現認するのみで足り、複写の保管は要しない。
- 従業員等は、会社が保管する自身の特定個人情報を確認するために、情報の開示を求めることができる。
- 従業員等は、会社が保管する特定個人情報に誤りがあった場合、または、変更があった場合、会社に対し訂正を申し出る事ができる。会社は、直ちにこれを訂正するものとする。
- 従業員等の退職等により、今後個人番号関係事務を行う見込みがなくなった場合、その事業年度の末日までに、個人番号が記載された書類の廃棄、データ等の削除を行わなければならない。ただし、法令で保存期間が定められている書類およびデータ等については、保存期間が経過した日の属する事業年度の末日までに廃棄および削除を実施すれば足る。
- 前項の廃棄および削除は、個人番号部分のみに対して行う事が出来る。
- 廃棄および削除は、当該個人番号が復元できないように行わなければならない。個人番号部分のみの廃棄および削除も同様とする。
- 廃棄又は削除を外部の業者に委託する場合は、処理をした日付および、当該個人番号が復元できない状態になった証明を受けなければならない。
- 会社は、次の各号のいずれかに該当する場合を除き、特定個人情報を外部に提供してはならない。
- 本人又は代理人を通じた提供
- 委託に伴う提供(公認会計士、税理士、社会保険労務士への提供)
- 事業承継に伴う提供
- 会社は、従業員等から求めがあった場合、番号法の定める場合を除き、第三者への提供を停止する。ただし、やむを得ない理由により、これに応じられないときは、その理由を書面で通知する。
- 会社および従業員等は、情報漏えい等の事案の発生又は兆候を把握した場合は、直ちに特定個人情報責任者に報告しなければならない。
- 情報漏えい等の事案が発生したときは、直ちに次の各号に掲げる措置を講じる。
- 影響を受ける可能性のある本人への連絡
- 事実関係の調査及び原因の究明
- 被害拡大防止に関する対応
- 漏えいした個人情報が個人番号を含むものであるときは、特定個人情報保護委員会及び主務大臣等への報告
- 会社は、情報漏えい等の事案が解消したら速やかに、再発防止に向けた対応を行わなければならない。
- 会社は、必要に応じて事実関係の公表と再発防止策等の公表を実施する。
- 会社及び従業員等は、特定個人情報を含むすべての個人情報の漏えいの事故が発生した場合及び番号法の規程その他情報に関する社内規程に違反する事実が生じた場合は、被害拡大防止のための措置を講じなければならない。
- 違反する事実が個人情報の漏えい、滅失又はき損(そのおそれがある場合を含む)であるときは、当該事実が生じた個人情報の内容を本人に速やかに通知し、又は本人が容易に知り得る状態に置かなければならない。この場合において、特定個人情報責任者は、速やかに事実関係を調査し、漏洩の対象となった本人に対する対応を行うとともに、被害拡大防止のための措置を講ずる。
- 会社は、情報漏えい等が発生した場合、必要に応じて社内処分を行う。
- 会社は、故意又は過失により法令または社内規程に違反し、情報漏えい等を招いた従業員等に対し、会社が受けた損害に基づき、賠償を請求する。
- 特定個人情報責任者は、個人情報の保護に関して苦情や相談を受け付けなければならない。
- この規程の措置に関して、この規程に定めのない事項については、番号法、個人情報保護法その他これに関連する法令ガイドラインに定めるところによる。
- この規程の改廃は、特定個人情報責任者が起案し、取締役会の決議により決定する。
- この規程は、就業規則の服務規律に類するものであり、起案の際に労働者代表の意見を聴取しなければならない。
- 本規則は2019年10月16日より施行する。