プライバシーポリシー
第1章 総則
(目的)
第1条
この規程は、株式会社鹿児島ディベロップメント(以下「会社」という。)が保有する個人情報につき、個人情報の保護に関する法律(以下「個人情報保護法」という。)その他関連法規の趣旨の下、これを適正に取り扱い、個人の権利利益を保護するための基本となる事項を定めることを目的とする。
(定義)
第2条
本規程において、次の各号に掲げる用語の意義は、個人情報保護法その他関連法規の定義に従い、当該各号に定めるところによる。
- 「個人情報」とは、生存する個人に関する情報であって、次のいずれかに該当するものをいう。
- ① 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
- ② 個人識別符号が含まれるもの
- 「個人識別符号」とは、次のいずれかに該当する文字、番号、記号その他の符号をいう。
- ① 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
- ② 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、または個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者または発行を受ける者ごとに異なるものとなるように割り当てられ、または記載され、若しくは記録されることにより、特定の利用者若しくは購入者または発行を受ける者を識別することができるもの
- 「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する個人情報をいう。
- 「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
- ① 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
- ② 特定の個人情報を容易に検索することができるように体系的に構成したもの
- 「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
- 「保有個人データ」とは、会社が、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ
- 「本人」とは、個人情報によって識別される特定の個人をいう。
- 「匿名加工情報」とは、次に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
- ① 第1号①に該当する個人情報については当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む)。
- ② 第1号②に該当する個人情報については当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む)。
- 「仮名加工情報」とは、前号各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
(基本理念)
第3条
会社は、個人情報が、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることに鑑み、その適正な取扱いを図るものとする。
(適用範囲)
第4条
本規程は、コンピュータ処理をなされているか否か、書面に記録されているか否かを問わず、会社において処理されるすべての個人情報、個人データ及び保有個人データ(以下「個人情報等」という。)の取扱いにつき定めるものとし、会社の業務に従事するすべての構成員(正社員・契約社員・嘱託社員・パート社員・アルバイト社員等の雇用関係にある従業員のほか、取締役・執行役・監査役・派遣社員・顧問等を含む、以下同じ)に対しこれを適用するものとする。
第2章 個人情報等の取扱いについて
第1節 個人情報等の利用について
(利用目的の特定)
第5条
会社は、個人情報を取り扱うにあたっては、利用目的をできる限り特定する。
2 会社は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行わない。
(利用目的による制限)
第6条
会社は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱わない。
2 会社は、他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わない。
(適正取得)
第7条
会社は、偽りその他不正の手段により個人情報を取得しない。また、要配慮個人情報に関しては、個人情報保護法に定める場合を除き、事前の同意なしに取得しない。
(取得に際しての利用目的の通知等)
第8条
会社は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合及び取得の状況からみて利用目的が明らかであると認められる場合を除き、速やかに、その利用目的を本人に通知し、または公表する。
2 会社は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示する。
3 会社は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、または公表する。
(第三者提供の制限、確認・記録義務の履行)
第9条
会社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供しない。
- 個人情報保護法第23条第1項第1号から第4号に定める例外に該当する場合
- 個人情報保護法23条第2項(オプトアウト〔ただし、要配慮情報は除く〕から同第4項第1号から第3号(外部委託、事業承継若しくは共同利用)の場合
2 会社は、個人データについて、その提供を第三者に対して行い、または第三者より提供を受けた場合、個人情報保護法第25条及び同第26条その他関係法令の規定に基づき、適切に確認・記録義務を履行する。
第2節 個人情報等の登録・保管・廃棄について
(データ内容の正確性・最新性の確保、消去義務)
第10条
会社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つように努める。また、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努める。
(安全管理措置)
第11条
会社は、取り扱う個人データの漏えい、滅失またはき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じる。
(データ管理に関する規程の整備)
第12条
会社は、個人データの登録・保管・廃棄に関し、前二条の趣旨に照らし必要な事項について規程を別途定め、これに基づき必要な措置を行うものとする。
第3節 構成員及び委託先の監督
(構成員に対する指導・監督)
第13条
会社は、本章第1節及び第2節の各規定にかかる各事項を具体的に実践するために必要な事項について規程を別途定め、すべての構成員にこれを遵守させるものとする。
2 会社は、構成員に個人情報等を取り扱わせるにあたり、これが適切に行われるよう監督を行う。
(委託先の監督)
第14条
会社は、個人データの取扱いの全部または一部を委託する場合は、当該第三者における個人情報保護へ向けた対応の状況等に照らし、委託を行うことの適切性を検討するとともに、当該第三者との間で秘密保持を含め適切な監督を行うために必要な事項を定めた業務委託契約を締結した上で提供を行うものとし、かつ、委託先に対しては適切な監督を行うものとする。
2 前項の適切性の判断に当たっては、本規程ほか、会社の定める規律の水準を基にこれを行うものとする。
第4節 本人からの開示等の請求に対する対応
(本人からの請求に対する対応)
第15条
会社は、保有個人データにつき個人情報保護法28条ないし30条の規定に基づき、請求が行われた場合は、これが個人情報に関する本人の権利に基づくものであることを十分に理解した上で、合理的な期間、適切な範囲でこれに応ずるものとする。
(規程の整備)
第16条
会社は、前条の規定にかかる義務を適切に履行するため必要な事項について規程を別途定め、これに基づき必要な措置を行うものとする。
第5節 会社に対する苦情への対応
(会社による苦情の処理)
第17条
会社は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努める。
2 会社は、前項の目的を達成するために、苦情処理窓口を設け、その他必要な体制の整備に努める。
第6節 匿名加工情報の利用
第18条
会社において匿名加工情報を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするため、個人情報保護法その他関係法令の定めに則り、会社において定められた加工基準に従い、当該個人情報を加工しなければならない。
2 会社において匿名加工情報を作成するときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要な安全管理のための措置を講ずる。
3 会社において匿名加工情報を作成するときは、当該匿名加工情報に含まれる個人に関する情報の項目を公表する。
4 会社において匿名加工情報を第三者に提供するときは、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示する。
5 会社は、匿名加工情報を作成・利用するにあたり、当該匿名加工情報を他の情報と照合せず、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別しない。
6 会社において匿名加工情報を作成・利用するときは、当該匿名加工情報の安全管理のために必要な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置をそれぞれ自ら講じ、かつ、当該措置の内容を公表する。
第7節 仮名加工情報の作成等
(仮名加工情報の作成等)
第18条の2
会社は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下この節において同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護法その他関係法令の定めに則り、会社において定められた加工基準に従い、個人情報を加工しなければならない。
2 会社は、仮名加工情報を作成したとき、または仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要な安全管理のための措置を講じなければならない。
3 会社は、個人情報保護法その他関係法令に基づく場合を除くほか、第5条第1項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下第8項を除いて同じ。)を取り扱わない。
4 会社は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去する。
5 会社は、個人情報保護法その他関係法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供しない。
6 会社は、仮名加工情報を取り扱うにあたっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合しない。
7 会社は、仮名加工情報を取り扱うにあたって、電話、送付、送信または住居訪問等をするために、当該仮名加工情報に含まれる連絡先その他の情報を利用しない。
8 会社は、個人情報保護法その他関係法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。)を第三者に提供しない。
第3章 個人情報保護へ向けた体制
(個人情報保護担当役員・個人情報保護管理者・現場管理者)
第19条
会社に個人情報保護担当役員及び個人情報保護管理者を置く。また、各部署ごとに適宜個人情報保護に関する現場管理者を配置する。
2 個人情報保護担当役員は、個人情報の保護に関する包括的な対応・施策を立案し、必要な組織体制を整えるとともに、実施事項を個人情報管理者に指示し、もって会社において個人情報保護に向けた態勢の整備を行う。
3 個人情報保護管理者は、個人情報担当役員の指揮の下、個人情報の保護に関し、内部規程の整備、安全対策及び教育・訓練を推進し、かつ、周知徹底することを任務とする。
4 個人情報保護管理者は、個人情報保護担当役員の指揮の下、この規程に定められた事項を遵守するとともに、現場管理者を指示し、適切な個人情報の収集、利用、提供または委託処理を行うため、すべての構成員にこれを理解・遵守させる。
5 現場管理者は、個人情報保護管理者の指揮の下、各部署の部員に対し、本規程に定める事項のほか、会社の定める個人情報保護に関する規律を遵守させる。
(教育)
第20条
個人情報保護管理者は、会社の業務に従事するすべての役員及び従業者に対し、個人情報にかかる個人の権利保護の重要性を理解させ、かつ、個人情報保護の確実な実施を図るため、教育担当者を指名し、継続的かつ定期的に教育・訓練を行うように努める。
(監査)
第21条
個人情報保護管理者は、会社における個人情報の管理の状況について監査させるため、監査責任者を指名し、必要に応じて監査を行う。
2 監査責任者の指名にあたっては被監査部門からの独立性に配慮しなければならない。
3 監査責任者は、監査計画を作成し、かつ、実施する。
4 監査責任者は、監査結果につき、監査報告書を作成して個人情報保護管理者に報告しなければならない。
5 個人情報保護管理者は、前項の報告により、個人情報の管理について改善すべき事項があると思料するときは、関係する役員あるいは構成員に対し、改善のため必要な指示を行わなければならない。
6 前項の指示を受けた者は、速やかに、改善のため必要な措置を講じ、かつ、その内容を個人情報保護管理者に報告しなければならない。
附則
(施行日)
第1条
この規程は、2022年4月1日から施行する。