第２章　利用・加工段階における取扱いについて

第１条（目的）

　　本章は、当社における個人データの安全管理措置のうち、個人データの「利用・加工」段階の取り扱いについて規定する。

 

第２条（定義）

１．「利用」とは、個人データを利用目的の範囲内で取扱うことなどをいう。

２．「加工」とは、個人データの更新を行うこと、または個人データを利用し、新たなデータベースを作成することなどをいう。

３．「管理区域」とは、営業範囲を勘案して予め指定した区域をいう。

 

第３条（利用・加工に関する取扱者の役割・責任および取扱者の限定）

１．個人データ管理責任者は、個人データの利用・加工に関する取扱者の役割・責任を定め、組織内に周知しなければならない。

２．個人データ管理者は、各部署において、業務上必要な者に限り個人データの利用・加工が行われるよう取扱者を限定しなければならない。

 

第４条（センシティブ情報の利用・加工に関する取扱者の限定）

個人データ管理者は、センシティブ情報の利用・加工の取扱者を必要最小限に限定しなければならない。

 

第５条（利用・加工の対象となる個人データの限定）

　　個人データ管理者は、利用・加工する個人データを業務上必要な範囲内のものに限定しなければならない。

 

第６条（利用・加工時の照合および確認手続き）

１．個人データの取扱者は、利用する個人データが対象データとして正しいかについて確認しなければならない。

２．個人データの取扱者は、利用する個人データが正しく加工されたかについて元データと照合しなければならない。

 

 

第７条（利用・加工の規程外作業に関する申請および承認手続き）

個人データの取扱者は、本規程に定める以外の方法で個人データを利用・加工する場合は、個人データ管理者に申請し、承認を得たうえで行わなければならない。

 

第８条（機器・記録媒体等の管理手続き）

１．個人データ管理者は、利用・加工する個人データが保存された機器・記録媒体等の設置場所の指定ならびに管理区分および権限の設定をし、必要に応じ変更しなければならない。

２．個人データの取扱者は、前項の指定および設定に従い、個人データが保存された機器・記録媒体等を適切に保管しなければならない。

 

第９条　利用・加工状況の記録および分析

１．個人データの取扱者は、個人データを利用・加工する場合、データの種類や形態等に応じて、必要に応じ、かつ適切に取得・入力状況について記録を行わなければならない。

２．個人データ管理者は、個人データの漏えい等の防止のため、必要に応じ、記録された状況を確認する。

 

第10条　センシティブ情報の利用・加工の制限

個人データの取扱者は、センシティブ情報については、次に掲げる場合を除くほか、利用・加工してはならない。

�@　事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲でセンシティブ情報を利用・加工する場合

�A　人の生命、身体及び財産の保護を図るために必要な範囲でセンシティブ情報を利用・加工する場合

�B　感染症防止など公衆衛生の維持・向上の必要からセンシティブ情報を利用・加工する場合

 

第11条　センシティブ情報の利用に際して本人同意が必要である場合における本人同意の取得および本人への説明事項

１．個人データの取扱者は、前条�@に基づきセンシティブ情報を利用する場合には、当該センシティブ情報を事業の適切な業務運営を確保する必要性から、本人の同意（原則として書面による。）に基づき業務遂行上必要な範囲で利用しなければならない。

２．個人データの取扱者は、前項において本人の同意に基づかない場合には、当該センシティブ情報を利用してはならない。

３．個人データの取扱者は、郵送等により取得した個人データが含まれる文書等にセンシティブ情報が含まれている場合は、原則として、本人の指定した方法により、当該情報を速やかに本人に返却もしくは廃棄する。

　　

第12条　個人データの管理区域外への持ち出しに関する措置

１．個人データ管理責任者は、個人データの管理区域外への持ち出しに関する取扱者の役割・責任を定め、組織内に周知しなければならない。

２．個人データ管理者は、個人データの管理区域外への持ち出しに関する取扱者を必要最小限に限定しなければならない。

３．個人データ管理者は、管理区域外に持ち出すことが可能な個人データを業務上必要最小限の範囲に限定しなければならない。

４．個人データ管理者は、個人データの管理区域外への持ち出しに際し、個人データを持ち出す者が第２項で限定された取扱者本人であることを確認しなければならない。

　　また、個人データ管理者は、持ち出す個人データが第３項により持ち出すことを限定した個人データの範囲内であるか確認しなければならない。

５．個人データの取扱者は、個人データを管理区域外に持ち出す場合には、個人データ管理者に申請し、承認を得たうえで行わなければならない。

６．個人データの取扱者は、個人データを管理区域外に持ち出す場合には、別に定める件数等に限ると共に、個人データが保存された機器・媒体等を常時携行するなど適切に管理しなければならない。

７．個人データの取扱者は、個人データを管理区域外に持ち出す場合には、データの種類や形態等に応じて、必要かつ適切に持ち出した個人データの状況について報告および記録を行わなければならない。

　　個人データ管理者は、個人データの漏えい等の防止のため、必要に応じ、報告および記録された状況を確認する。

 

第13条　個人データの漏えい・き損等防止策

個人データ管理者は、個人データの利用・加工段階における漏えい・き損等の防止策を講じなければならない。

 

第14条　個人データへのアクセス記録および分析

個人データ管理者は、個人データの利用・加工段階におけるアクセス記録を取得し、必要な期間保管するとともに、個人データの漏えい等の防止のため、必要に応じてこれを分析しなければならない。

 

第15条　個人データを取扱う情報システムの稼動状況の記録および分析

個人データ管理者は、個人データの利用・加工段階におけるシステムの稼動状況に関し記録を取得し、必要な期間保管するとともに、個人データの漏えい等の防止のため、必要に応じてこれを分析しなければならない。