第3章 保管・保存段階取扱規程

 

第1条 目的

本規程は、当社における個人データの安全管理措置のうち、個人データの「保管・保存」段階の取扱いについて定めたものである。

 

第2条 定義

1.「保管」とは、個人データを加工せず、オフィスフロア内に置き管理することなどをいう。

2.「保存」とは、個人データを加工せず、オフィスフロア外(書庫等)に置き廃棄に至るまで管理すること、およびパソコンや電子媒体等に電子データを格納し消去にいたるまで管理すること(個人データのバックアップを含む。)などをいう。

第3条 保管・保存に関する取扱者の役割・責任および取扱者の限定

1.個人データ管理責任者は、個人データの保管・保存に関する取扱者の役割・責任を定め、組織内に周知しなければならない。

2.個人データ管理者は、各部署において、業務上必要な者に限り個人データの保管・保存が行われるよう取扱者を限定しなければならない。

 

第4条 センシティブ情報の取得・入力に関する取扱者の限定

  個人データ管理者は、個人データのうち、政治的見解、信条(宗教、思想及び信条をいう。)、労働組合への加盟、人種及び民族、門地及び本籍地、健康状態、性生活、生活状況、家庭環境、資産状況および収入ならびに犯罪暦に関する情報(以下、「センシティブ情報」という。)の保管・保存の取扱者を必要最小限に限定して定めなければならない。

 

第5条 保管・保存の対象となる個人データの限定

個人データ管理者は、保管・保存する個人データを業務上必要な範囲内のものに限定しなければならない。

 

第6条 保管・保存の規程外作業に関する申請および承認手続き

個人データの取扱者は、本規程に定める以外の方法で個人データを保管・保存する場合は、個人データ管理者に申請し、承認を得たうえで行わなければならない。

 

第7条 機器・記録媒体等の管理手続き

1.個人データ管理者は、個人データ管理台帳を踏まえ、個人データが保存された機器・記録媒体等の保管場所等の指定ならびに管理区分および権限の設定をし、必要に応じ変更しなければならない。

2.個人データの取扱者は、前項の指定および設定に従い、個人データが保存された機器・記録媒体等を適切に保管しなければならない。

 

8条 保管・保存状況の記録および分析

1.個人データの取扱者は、個人データを保管・保存する場合、データの種類や形態等に応じて、必要に応じ、かつ適切に保管・保存状況について記録を行わなければならない。

2.個人データ管理者は、個人データの漏えい等の防止のため、必要に応じ、記録された状況を確認する。

 

9条 個人データに関する障害発生時の対応・復旧手続き

1.個人データ管理者は、保管・保存した個人データについて、取扱者に対し定期的にバックアップ等を行うよう徹底すると共に、保管・保存した個人データに障害が発生した際にはバックアップデータ等により復旧させなければならない。

2.個人データの取扱者は、作成したバックアップデータ等を適切に管理しなければならない。

10条 個人データの漏えい・き損等防止策

個人データ管理者は、個人データの保管・保存段階における漏えい・き損等の防止策を講じなければならない。

11条 個人データへのアクセス記録および分析

個人データ管理者は、個人データの保管・保存段階におけるアクセス記録を取得し、必要な期間保管するとともに、個人データの漏えい等の防止のため、必要に応じてこれを分析しなければならない。

 

12条 個人データを取扱う情報システムの稼動状況の記録および分析

個人データ管理者は、個人データの保管・保存段階におけるシステムの稼動状況に関し記録を取得し、必要な期間保管するとともに、個人データの漏えい等の防止のため、必要に応じてこれを分析しなければならない。