(目的)
第1条 本規程は、個人の尊厳を最大限に尊重するという基本理念のもと、社会福祉法人ヒューマン・ネットワーク 結(以下「法人」という。)が保有する個人情報の適正な取り扱いに関して必要な事項を定めることにより「個人情報の保護に関する法律」及びその他の関連法令等を遵守することを目的とする。
(利用目的の特定)
第2条 法人が個人情報を取り扱うに当たっては、その利用目的をできる限り特定する。
2 法人が取得した個人情報の利用目的を変更する場合には、変更前の利用目的と変更
後の利用目的とが相当の関連性を有する合理的な範囲内になければならない。ただし、当該個人情報がプライバシー情報(私生活上の事実に関して一般的に公開を望まない内容の情報をいう。以下同じ。)を含む場合、利用目的を変更するには原則として本人の同意を必要とするものとする。
3 前項に従って個人情報の利用目的を変更した場合には、変更した利用目的について、
本人に通知又は公表しなければならない。
(利用目的外の利用の制限)
第3条 法人は、あらかじめ本人の同意を得ることなく、前条に定める利用目的を超えて個人情報を取り扱ってはならないものとする。
2 前条又は前項の規定にかかわらず、次の各号のいずれかに該当する場合には、あらかじめ本人の同意を得ることなく、前条によって特定された利用目的の範囲を超える必要かつ合理的な範囲において、個人情報を取り扱うことができるものとする。
(1)法令に基づくとき
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(取得に関する規律)
第4条 法人が個人情報を取得するときには、その利用目的を具体的に特定して明示し、適法かつ適正な方法で行うものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合には、利用目的を具体的に特定して明示することなく、個人情報を取得できるものとする。
2 法人が個人情報を取得したときには、あらかじめその利用目的を公表している場合
を除き、速やかにその利用目的を本人に通知又は公表するものとする。ただし、次の各号のいずれかに該当する場合には、本人に通知または公表しなくてもよいものとする。
(1)利用目的を本人に通知又は公表することによって、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき
(2)利用目的を本人に通知又は公表することによって、本会の権利又は正当な利益を害するおそれがあるとき
(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知又は公表することによって、当該事務の遂行に支障を及ぼすおそれがあるとき
(4)取得の状況からみて利用目的が明らかであると認められるとき
(個人データの適正管理)
第5条 法人は、利用目的の達成に必要な範囲内において、常に個人データを正確かつ最新の内容に保つよう努めるものとする。
2 法人は、取り扱う個人データの漏洩、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずるものとする。
3 法人は、個人データを取り扱わせる事業所の職員に対し、個人データの安全管理のために必要かつ適切な監督を行うものとする。
4 法人は、個人データの取り扱いの全部又は一部を第三者に委託する場合には、当該第三者に対し、個人データの安全管理のために必要かつ適切な監督を行うものとする。
5 法人は、利用目的に関して保有する必要のなくなった個人データにつき、6月を超えて保有することのないよう、確実かつ速やかに消去することとする。
(個人データの第三者提供の制限)
第6条 法人は、次の各号のいずれかに該当する場合を除き、あらかじめ本人の同意を得ることなく、個人データを第三者に提供しないものとする。
(1)法令に基づくとき
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
2 次に掲げる場合において、当該個人データの提供を受ける者は、前項の第三者に該当しないものとする。
(1)法人が利用目的の達成に必要な範囲内において個人データの取り扱いの全部又は一部を委託する場合。
(2)合併その他の事由による事業の承継に伴って個人データが提供される場合。
(3)個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いている場合。なお、利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合には、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くものとする。
(保有個人データに関する事項の公表)
第7条 法人は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くものとする。
(1)法人の名称
(2)すべての保有個人データの利用目的(第4条第2項第1号ないし第3号に該当する場合を除く。)
(3)次条第1項及び第9条第1項の規定による求めに応じる手続
(4)法人が行う保有個人データの取り扱いに関する苦情の申出先
(保有個人データの開示)
第8条 法人は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、身分証明書等によって本人であることを確認した上で、本人に対して保有個人データを開示するものとする。ただし、開示することによって次の各号のいずれかに該当する場合には、その全部又は一部を開示しないものとする。
(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)法人の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
2 前項に定める開示の方法は、書面の交付による方法とする。ただし、あらかじめ、本人との間で口頭での回答による開示を合意によって定めている場合には、その方法によるものとする。
(保有個人データの訂正、追加、削除、利用停止等)
第9条 法人は、本人から、書面又は口頭によって、開示に係る個人データの訂正、追加、
削除又は利用停止を求められたときは、利用目的の達成に必要な範囲内において、速やかに必要な調査を行い、理由があることが判明した場合には、その結果に基づいて当該保有個人データの訂正、追加、削除又は利用停止等の措置を採るものとする。
2 法人は、前項に基づいた措置を採ったとき、又は措置を採らない旨の決定をしたときは、本人に対して遅滞なくその旨(訂正又は追加した場合には、その内容を含む。)に理由を付して通知するものとする。
(開示申出に対する決定)
第10条 法人は、開示申出があった日から原則として10日以内に、開示申出者に対して、開示申出に係る個人情報の全部若しくは一部を開示する旨の決定又は開示しない旨の決定(第8条の規定により開示申出を拒否するとき及び開示申出に係る個人情報が記録された個人情報データベース等を保有していないときの当該決定を含む。)をするものとする。
2 法人は、前項の決定(以下「開示決定等」という。)をしたときは、開示申出者に対し、遅滞なく書面によりその旨通知するものとする。
3 法人は、やむを得ない理由により、第1項に規定する期間内に開示決定等をすることができないと認められる場合には、30日以内に決定するものとする。
4 法人は、第1項の規定により開示請求に係る個人情報の全部又は一部を開示しないときは、開示申出者に対し、第2項に規定する書面によりその理由を示すものとする。
5 法人は、開示決定等をする場合において、当該決定に係る個人情報に法人以外のものとの間における協議、協力等により作成し、又は、取得した個人情報があるときは、あらかじめ、これらのものの意見を聴くことができる。
(開示の方法)
第11条 個人情報の開示は、個人情報が記録された個人情報データベース等の当該個人情報に係る部分につき、文書、図画又は写真にあっては閲覧若しくは視聴又は写しの交付により、フィルムにあっては視聴又は写しの交付により、磁気テープ、磁気ディスク等にあっては視聴、閲覧、写しの交付等で適切な方法により行う。
2 前項の視聴又は閲覧の方法による個人情報の開示にあっては、事業所は、当該個人情報が記録された個人情報データベース等の保存に支障が生ずるおそれがあると認めるときその他合理的な理由があるときは、当該個人情報が記録された請求対象文書の写しにより開示することができる。
(異議の申出)
第12条 開示申出者又は訂正等の申出者は、第8条第よる開示決定等又は第9条による訂正決定等について不服があるときは、法人理事長に対して書面により異議の申出(以下「異議申出」という。)ができる。
2 前項の異議申出は、開示決定等又は訂正決定等があったことを知った日の翌日から起算して60日以内に行わなければならない。
3 第1項の異議申出があった場合は、法人は、当該異議申出のあった日から原則として14日以内に対象となった開示決定等又は訂正決定等について再度の検討を行なった上で、当該異議申出についての回答を書面により行うものとする。
4 法人は、やむを得ない理由により、前項に規定する期間内に異議申出に対する回答を行うことができないと認められる場合には、30日以内に決定するよう努めるものとする。
5 第3項及び前項に定める異議申出に対する対応は、別に定める苦情解決に関する規程(福祉サービスに関す苦情解決の実施規程)により行うものとする。
(個人情報保護管理者及び苦情対応)
第13条 法人は、個人情報の適正な管理を図るため、個人情報保護管理者及び雇用管理個人情報管理責任者を定め、法人における個人情報の管理に必要な措置を行うものとする。
2 前項に定める個人情報保護管理者は、事業所の管理者とする。
3 第1項に定める雇用管理個人情報管理責任者は、事業所の管理者とする。
(個人情報事故への対応)
第14条 法人の管理に係る個人データにつき個人情報事故が発生し、又は発生したと思料される場合には、これを知った役職員等(ボランティア等の従事者を含む。以下同じ。)は、直ちに個人情報保護管理者に通知する。
2 個人情報保護管理者は、個人情報事故の内容及び態様、被害の内容、態様及び範囲等の事情を考慮して、自ら又は個人情報保護事務担当者に指示し、必要な調査を実施する。この場合において、個人情報保護管理者は、外部の専門家を選任し、必要な調査を行わせることができる。
3 個人情報保護管理者は、前項の調査結果をふまえ、個人情報事故の内容及び態様、被害の内容、態様及び範囲等の事情を考慮し、直ちに、自ら必要な措置を講じ、又は必要な措置を講じることを理事長に助言する。個人情報保護管理者が自ら必要な措置を講じた場合には、直ちに理事長にその旨を報告する。
4 個人情報保護管理者又は理事長が前項の規定に基づき必要な措置を講じた場合には、理事長は、直近に開催される理事会においてその措置の経緯及び内容を報告する。
5 個人情報保護管理者又は理事長が第3項の規定に基づき必要な措置を講じた場合には、理事長は、直ちに東京都(又は区市町村)にその措置の経緯及び内容を報告する。
(役職員等の責務)
第15条 法人の役職員等又は役職員等であった者は、業務上知り得た個人情報の内容を第三者に漏洩し、又は不当な目的のために利用してはならない。
2 本規程は、個人情報保護を目的とした規程であって、法人の役職員等(ボランティア等の従事者を含む。以下同じ。)又は役職員等であった者は、プライバシー情報の保護に関しても別途厳格に法令を遵守するよう努めるものとする。
附則 この規程は、平成24年4月1日から施行する。