第６章　漏えい事案等対応規程

 

第１条　目的

本規程は、当社における個人データの安全管理措置のうち、個人データの漏えい事案等への対応の段階における取り扱いについて定めたものである。

 

第２条　定義

「漏えい事案等」とは、個人情報が記載・収録された帳票や電子記録媒体（FD、CD-ROM等）の盗難または紛失、郵便物の誤送付、電子メールやファックスの誤送信等の事故により、個人情報の漏えい、滅失または毀損が生じ、または生じるおそれが高い場合をいう。

 

第３条　漏えい事案等への対応に関する対応部署の役割・責任および取扱者の限定

１．個人データ管理責任者は、漏えい事案等への対応に関する対応部署（以下、「対応部署」という。）の役割・責任を定め、組織内に周知しなければならない。

２．対応部署の個人データ管理者は、各部署において、業務上必要な者に限り漏えい事案等への対応が行われるよう取扱者を限定しなければならない。

 

第４条　漏えい事案等への対応の規程外作業に関する申請および承認手続き

個人データの取扱者は、本規程に定める以外の方法で漏えい事案等に対応する場合は、個人データ管理者に申請し、承認を得たうえで行わなければならない

 

第５条　漏えい事案等の影響等に関する調査手続き

漏えい事案等が発生した部署の個人データ管理者は、個人データ管理責任者および対応部署と連携のうえ漏えいした個人データの取扱状況の記録内容の分析を行い、漏えいした個人データの量、質、事故の原因、態様、被害の程度等漏えい事案等の内容および影響の調査を行うこととする。

 

第６条　再発防止策・事後対策の検討に関する手続き

漏えい事案等が発生した部署の個人データ管理者は、対応部署と協議のうえ、漏えいした個人データの取扱状況の記録内容の分析を踏まえた再発防止策・事後対策を策定し、個人データ管理責任者へ報告することとする。

 

第７条　報告に関する手続き

１．漏えい事案等が発生した場合、発見者は、漏えい範囲の拡大防止等必要な措置をとると共に、直ちに対応部署に報告しなければならない。

２．対応部署は、報告を受けた漏えい事案等について、直ちに取引保険会社に報告しなければならない。

３．対応部署の個人データ管理者は取引保険会社の指示に従い、社外への報告等（警察への届出、本人への通知等、二次被害の防止・類似事案の発生回避の観点からの漏えい事案等の事実関係および再発防止策の公表）の要否およびその方法について決定しなければならない。

 

第８条　漏えい事案等への対応記録および分析

１．対応部署の個人データの取扱者は、漏えい事案等へ対応する場合、データの種類や形態等に応じて、必要に応じ、かつ適切に取得・入力状況について記録を行わなければならない。

２．対応部署の個人データ管理者は、個人データの漏えい等の防止のため、必要に応じ、記録された状況を確認する。