個人情報保護管理規程
アスペ・エルデの会個人情報保護管理規程
アスペ・エルデの会個人情報保護管理規程

第1章 総則

(目 的)

第1条 この規定は、特定非営利活動法人アスペ・エルデの会(以下、当会という)が取り扱う個人情報の取得、保有、利用、管理を適正に行い、流出や不正アクセスなどの問題を防止して当会の信頼を確保し、かつ、保有する個人情報を会の活動や研究に有効に活用できるようにすることを目的とする。

(適用対象)

第2条  この規定は、当会のスタッフに適用する。スタッフとは当会の全役員、会員(団体を含む)、顧問及び当会とスタッフ委嘱契約を締結するディレクター、協力専門家、共同研究者、無償支援専門家及びボランティアスタッフ等をいう。

(定 義)

第3条 この規定において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1)個人情報
 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)をいう。
(2)個人情報データベース
 紙媒体、電子媒体の如何を問わず特定の個人情報を容易に検索することができるよう、体系的に構成した情報の集合物をいう。
(3)個人データ
「個人情報データベース等」を構成する個人情報をいう。
(4)保有個人データ
 個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものをいう。ただし、1) その存否が明らかになることにより、公益その他の利益が害されるもの、2) 6ヶ月以内に消去する(更新することは除く)ものは除く。
(5)個人情報管理責任者
 個人情報保護計画の策定、実施、評価、改善等の個人情報保護のための業務について、統括的責任と権限を有する者をいう。
(6)個人情報取扱担当者
 個人情報のコンピュータへの入力・出力、台帳・申込書等の個人情報を記載した帳票・帳表を保管・管理等を担当する者をいう。
(7)個人情報保護監査責任者
 個人情報管理責任者から独立した公平かつ客観的な立場にあり、監査の実施及び報告を行う権限を有する者をいう。
(8)預託
 当会以外の者にデータ処理等の委託のために当会が保有する個人情報を預けること。

(適用の範囲)

第4条 この規定は当会が取り扱う個人情報のうち次に定める個人情報に適用する。
 1. 発達支援、発達支援のために必要な基礎研究、人材育成、啓発活動、及び会の運営など当会の活動に関して取得、保有、利用、管理する個人情報
 2. 雇用管理上の業務に関して取得、保有、利用、管理する個人情報


第2章 個人情報の収集

(収集の原則)

第5条 個人情報の収集は、収集目的(第7条に記載)を明確に定め、その目的の達成に必要な限度において行わなければならない。
2 新しい目的で個人情報を収集するときは、担当者は個人情報管理責任者に届け出なければならない。
3 前項の届け出を受けた個人情報管理責任者は、速やかに当会の代表の承諾を得なければならない。承諾後、新しい目的での個人情報の収集が可能となる。

(収集方法の制限)

第6条 個人情報の収集は、適法、かつ公正な手段(第8条に記載)によって行わなければならない。
2 新しい方法又は間接的に個人情報を収集するときは、担当者は個人情報管理責任者に届け出なければならない。
3 前項の届け出を受けた個人情報管理責任者は、速やかに当会の代表の承諾を得なければならない。承諾後新しい目的での個人情報の収集が可能となる。

(個人情報を収集する目的)

第7条 利用者・会員・関係者から個人情報を取得する目的は、利用者・会員・関係者に対する発達支援、発達支援に寄与する学術的貢献、発達障害に関する啓発及び人材育成等の事務、会員管理等、当会の運営に必要な事項などで利用することである。
職員に付いての個人情報収集の目的は雇用管理のためである。

(個人情報を収集する方法)

第8条 利用者・会員・関係者から個人情報を取得する方法は以下である
 1) 本人の申告および提供
 2) 直接の問診または面談
 3) 利用者家族、知人、目撃者、救急隊員、関係者等からの提供
 4) 他の研究機関、医療機関等からの紹介状等による提供
 2 15歳以下の方の個人情報については、発達支援に関して必要な事項以外は原則として保護者等から提供をうける。
 3 その他の場合は、本人、もしくは家族の(意識不明、理解不十分等で判断できない時)同意をえて収集する。


第3章 個人情報の利用

(利用範囲の制限)

第9条 個人情報の利用は、原則として収集目的の範囲内で、具体的な業務に応じ権限を与えられた者が、業務の遂行上必要な限りにおいて行う。
2 個人情報管理責任者の承諾を得ないで、個人情報の目的外利用、第三者への提供・預託、通常の利用場所からの持ち出し、外部への送信等の個人情報の漏えい行為をしてはならない。
3 当会スタッフ、委託外注職員および関係者は、業務上知り得た個人情報の内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退いた後も、同様とする。

(利用目的の範囲)

第10条 個人情報は、通常の業務で想定される個人情報の利用目的および、通常の業務以外として次の(1)号から(5)号について使用する。
(1)利用者・会員・関係者が同意した発達支援業務
(2)利用者・会員・関係者が当事者である契約の準備又は履行のために必要な場合
(3)当会が従うべき法的義務の履行のために必要な場合
(4)利用者・会員・関係者の生命、健康、財産等の重大な利益を保護するために必要な場合
(5)裁判所および令状に基づく権限の行使による開示請求等があった場合

(目的範囲外利用の措置)

第11条 収集目的の範囲を超えて個人情報の利用を行う場合は、利用者・会員・関係者本人の同意を必要とする。


第4章 個人情報の適正管理

(個人情報の正確性の確保)

第12条 個人情報管理責任者は、個人情報を利用目的に応じ必要な範囲内において、正確な状態で管理しなければならない。
2 利用者・会員・関係者から、個人情報の開示、当該情報の訂正、追加、削除、利用停止等の希望を受けた場合は、各部署責任者が窓口となり、個人情報管理責任者は、すみやかに処理しなければならない。

(個人情報の安全性の確保)

第13条 個人情報管理責任者は、個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏えい等の危険に対して、「セキュリティ管理計画」を策定し、実施、普及、評価、改善をしなければならない。

(個人情報の委託処理等に関する措置)

第14条 情報処理や作業を第三者に委託するために、個人情報を第三者に預託する場合においては、委託担当者は事前に個人情報管理責任者に届け出なければならない。
2 第三者より個人情報の預託を受ける場合においては第三者の定める管理計画を考慮して当会規定に従うものとする。
3 個人情報管理責任者は、以下の各号の措置を講じ、当会の代表の承諾を得てから基本契約を締結しなければならない。
(1)個人情報の預託先について預託先責任者との面接、必要に応じて預託先の情報処理施設の状況を視察あるいは把握し、個人情報保護及びセキュリティ管理が当会の基準に合致することを確認すること。再委託に関しては、同様の取り扱いをするか、あるいは、委託先の責任で同様の取り扱いを保証することが必要である。
(2)次の事項を入れた基本契約書案を作成すること。
1) 守秘義務の存在、取り扱うことのできる者の範囲に関する事項
2) 預託先における個人情報の秘密保持方法、管理方法ついての事項
3) 預託先の個人情報の取扱担当者に対する個人情報保護のための教育・訓練に関する事項
4) 契約終了時の個人情報の返却及び消去に関する事項
5) 個人情報が漏えい、その他事故の場合の措置、責任分担についての事項
6) 再委託に関する事項
7) 当会からの監査の受け入れについての事項
4 委託中、担当者は、預託先が当社との契約を遵守しているかどうかを確認し、万一、契約に抵触する事項を発見したときは、その旨を個人情報管理責任者に通知しなければならない。
5 前項の通知を受けた個人情報管理責任者は、直ちに当会の代表と協議して個人情報の預託先に対して必要な措置を講じなければならない。
6 個人情報管理責任者は、年に一度以上、個人情報の預託先責任者と面接し、必要に応じて預託先の情報処理を把握あるいは視察し、監査しなければならない。
7 個人情報管理責任者は、本条に基づき作成された基本契約、監査報告書、通知書等の文書(電磁的記録を含む)を当該個人情報の預託先との基本契約終了後7年間保存しなければならない。

(個人情報の第三者への提供)

第15条 個人情報の第三者への提供は本人の同意がない場合は禁止する。
例外として、以下の場合には第三者に提供することがある。
1) 令状等により要求された場合(届出、通知)
2) 発達支援に寄与する学術研究において特に必要な場合
3) 人の生命、身体又は財産の保護に必要な場合
2 第三者への提供は、原則として個人情報管理責任者の承諾を得て、必要な措置を講じた後でなければならない。
3 前記の通知あるいは報告を受けた個人情報管理責任者は、速やかにその是非を検討しなければならない。

(個人情報の共同利用)

第16条 個人情報を第三者との間で共同利用する場合、本人の同意をえた後、担当者は個人情報管理責任者に届け出なければならない。
2 前項の通知を受けた個人情報管理責任者は、直ちにその是非を検討し、当会の代表の承諾を得なければならない。


第5章 自己情報に関する情報主体からの諸請求に対する対応

(自己情報に関する権利)

第17条 当会が保有している個人情報について、利用者・会員・スタッフから自己情報の説明、開示を求められた場合、個人情報管理責任者は、遅滞なく当会が保有している利用者・会員・スタッフに関する個人情報を、希望する方法で説明、開示しなければならない。
2 家族あるいは第三者への個人情報の提供は、あらかじめ、本人に対象者を確認し、同意を得る。一方、本人が意識不明の場合や判断能力不十分などで合理的判断ができない場合は、本人の同意を得ずに家族等に提供する場合もある。この場合、本人の家族等であることを確認した上で、本人の意識が回復した際には、速やかに、提供及び取得した個人情報の内容とその相手について本人に説明する。
3 開示した結果、誤った情報があった場合で、訂正、追加又は削除を求められたときは、個人情報管理責任者は、遅滞なくその請求が妥当であるかを判断し、妥当であると判断した場合には、訂正等を行い、遅滞なく会員・利用者・スタッフに対してその内容を通知しなければならない。訂正しない場合は、遅滞なく会員・利用者・スタッフに対してその理由を通知しなければならない。

(自己情報の利用又は提供の拒否権)

第18条 当会が保有している個人情報について、利用者・会員から自己情報についての利用又は第三者への提供を拒まれた場合、これに応じなければならない。ただし、裁判所および令状に基づく権限の行使による開示請求等又は当会が法令に定められている義務を履行するために必要な場合については、この限りでない。


第6章 管理組織・体制

(個人情報管理責任者)

第19条 個人情報管理責任者は、個人情報の保護についての統括的責任と権限を有する責任者であって、別に定める業務を行わなければならない。
2 個人情報管理責任者は、各部局に1名以上の個人情報管理担当者を選任し、自己に代わり必要な個人情報保護についての業務を行わせ、これを管理・監督しなければならない。
3 個人情報管理担当者は部局に所属する者のなかから、個人情報取扱担当者を選任しなければならない。

(個人情報保護監査責任者)

第20条 個人情報保護監査責任者は、個人情報管理責任者から独立した公平かつ客観的な立場にあり、監査の実施及び報告を行う権限を有し、当会の代表が選任する。ただし、会外の第三者に監査業務を委託することを妨げない。
2 個人情報保護監査責任者は、年1回、個人情報保護計画に従い、監査を実施し、監査結果を当会の代表に報告しなければならない。

(個人情報保護苦情・相談窓口の設置)

第21条 個人情報管理責任者は、個人情報及び個人情報保護計画に関しての苦情・相談を事務局で受け、この連絡先を利用者・会員・スタッフに告知しなければならない。


第7章 個人情報管理責任者の職務

(個人情報の特定とリスク調査)

第22条 個人情報管理責任者は、当会が保有するすべての個人情報を特定し、危機を調査・分析するための手順・方法を確立し、維持しなければならない。
2 個人情報管理責任者は、各部局ごとに前項の手順に従って各部局における個人情報を特定し、個人情報に関する危険要因(個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えい等)を調査・分析の上、適切な保護措置を講じない場合の影響を認識し、必要な対策を策定し、維持しなければならない。

(法令及びその他の法規範)

第23条 個人情報管理責任者は、個人情報に関する法令及びその他の法規範を特定し、参照できる手順を確立し、維持しなければならない。

(個人情報保護計画の策定)

第24条 個人情報管理責任者は、個人情報管理担当者の協力を得て個人情報を保護するために必要な個人情報保護計画を立案して文書化し、かつ実施、評価、改善をしなければならない。
2 個人情報保護計画には次の事項を入れなければならない。
(1) 個人情報の特定と危機対策
1) 個人情報を記録したシステム、媒体の特定
2) 個人情報に対する危機の識別
3) 危機の調査・分析に基づく対応策の策定、実施、評価、改善
(2) 個人情報保護のための責任者、管理担当者、担当者の業務と業務方法
1) 個人情報管理責任者
2) 個人情報管理担当者
3) 個人情報取扱担当者
4) 個人情報保護苦情及び相談窓口
5) 個人情報保護監査責任者
(3) 研修実施計画
1) 個人情報管理担当者、個人情報取扱担当者、苦情及び相談窓口、個人情報保護監査責任者に対する研修実施計画(研修項目、時間割、講師、日程、予算)
2) 会員に対する研修実施計画(研修項目、時間割、講師、日程、予算)
4) 委託先に対する監査計画及び必要な場合の研修計画
1) 監査体制、日程、監査方法、監査報告様式
2) 委託先研修実施計画(研修項目、時間割、講師、日程、予算)

(本規定等の見直し)

第25条 個人情報管理責任者は、監査報告書及びその他の運営環境等に照らして、適切な個人情報の保護を維持するために、少なくとも年1回本規定及び本規定に基づく個人情報保護計画を見直し、当会の代表の承認を得なければならない。

(文書の管理)

第26条 個人情報管理責任者は、この規定に基づき作成される文書(電磁的記録を含む)を管理しなければならない。

(研修実施)

第27条 個人情報管理責任者は、当会会員・スタッフその他個人情報の預託先等の関係者に対して、個人情報保護計画に基づき次のような研修を行い、評価しなければならない。
(1) 個人情報保護法の内容
(2) 個人情報保護方針、本規定の内容
(3) 個人情報保護計画の内容と役割分担
(4) セキュリティ教育
2 個人情報管理責任者は、個人情報管理担当者に対して下記の如く研修を行い、評価しなければならない。
(1) 個人情報保護法の内容
(2) 個人情報保護方針、本規定の内容と個人情報管理担当者の役割
(3) 個人情報保護計画の内容と個人情報管理担当者の役割
(4) セキュリティ管理教育
(5) 個人情報の預託先の調査と監査
(6) 個人情報の漏えい事故等が発生した場合の対応
3 個人情報管理責任者は、第1項及び前項の研修を効果的に行い、個人情報の重要性を自覚させる手順・方法を確立し維持しなければならない。


第8章 監査

(監査計画)

第28条 個人情報保護監査責任者は、年1回個人情報保護のための監査計画を立案し、当会の代表の承認を得なければならない。監査に関する規定は別に定める。
2 監査計画には次の事項を入れなければならない。
(1) 監査体制
(2) 日程
(3) 監査方法
(4) 監査報告様式

(監査の実施)

第29条 個人情報保護監査責任者は、本規定及び個人情報保護計画が、個人情報保護法の趣旨に合致しているか、また、その運用状況を監査しなければならない。
2 個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、当会の代表に報告しなければならない。
3 個人情報管理責任者は、監査報告書を管理し、保管しなければならない。
監査の運用に関しては別に定める。


第9章 廃棄

(個人情報の廃棄)

第30条 個人情報を廃棄する場合は、匿名化もしくは、適切な廃棄物処理業者に廃棄を委託する。
2 個人情報を記録したコンピュータを廃棄するときは、特別のソフトウェア等を使用して個人情報を消去し,フロッピー、CD、MO等の記憶媒体は物理的に破壊する。
3 個人情報を記録したコンピュータを他に転用するときは、特別のソフトウェア等を使用して個人情報を消去してから転用する。
4 スタッフ等の雇用管理に利用した個人情報についても,同様の処理をする。
5 個人情報の廃棄作業は個人情報取扱担当者が行う。
6 廃棄の基準について、利用者・会員に告知しなければならない。


第10章 処分

(処分)

第31条 当会は、本規定に違反したスタッフに対して委嘱契約に基づき処分を行うことがある。


第11章 規定の改廃

(規定の改廃)

第32条 この規定の改廃は、個人情報管理責任者の意見を聞き、理事会構成員の過半数の賛成で議決し、当会の代表が施行を指示する。