個人情報保護方針

特定個人情報等取扱規程

第1章 総則

(目的)

第1条 本規程は、岐阜中央森林組合(以下「本組合」という)が、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号、以下「番号法」という。)及び「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に基づき、本組合の取り扱う特定個人情報等の適正な取扱いを確保するために定めるものである。

(定義)

第2条 本規程で掲げる用語の定義は、次のとおりとする。なお、本規程における用語は、他に特段の定めのない限り番号法その他の関係法令の定めに従う。

①個人情報
生存する個人に関する情報であって、特定の個人を識別することができるもの、又は他の情報と容易に照合することができ、それにより特定の個人を識別することができるものをいう。

➁個人番号
番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう(番号法第2条第6項及び第7項、第8条並びに第67条並びに附則第3条第1項から第3項まで及び第5項における個人番号)。

➂特定個人情報
個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第7条第1項及び第2項、第8条並びに第67条並びに附則第3条第1項から第3項まで及び第5項を除く。)をその内容に含む個人情報をいう。

④個人情報ファイル(個人情報データベース等)
個人情報を含む情報の集合物であって、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの、又はコンピュータを用いない場合であっても、ファイルやカルテ等、個人情報を一定の規則に従って整理・分類することによって、特定の個人情報を容易に検索することができるように体系的に構成したものをいう。

⑤特定個人情報ファイル
個人番号をその内容に含む個人情報ファイル(他人情報データベース等)をいう。

⑥「個人番号関係事務」とは、番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
⑦「個人番号関係事務実施者」とは、個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。
⑧「役職員」とは、本組合の組織内にあって直接又は間接に本組合の指揮監督を受けて本組合の業務に従事している者をいい、雇用関係にある従業員(職員、嘱託職員、パート、アルバイト等)のみならず、本組合との間の雇用関係にない者(理事、監事、派遣労働者等)を含む。
⑨「事務取扱担当者」とは、本組合内において、個人番号を取り扱う事務に従事する者をいう。また、「事務取扱責任者」とは、「事務取扱担当者」を統括する者をいう。
➉「管理・取扱区域」とは、特定個人情報ファイルを取り扱う情報システムを管理し、特定個人情報等を取り扱う事務を実施する区域をいう。

第3条 本組合が個人番号を取り扱う事務の範囲は以下のとおりとする。

利用目的 利用事務
役職員に係る
個人番号関係事務を処理するため
給与・退職所得の源泉徴収票作成事務
雇用保険届出事務
健康保険・厚生年金保険届出事務
役職員の配偶者に係る
個人番号事務を処理するため
国民年金の第3号被保険者の届出事務
役職員以外の個人に係る
個人番号関係事務を処理するため
報酬・料金等の支払調書作成事務
配当、剰余金の分配および基金利息の支払調書作成事務
不動産の使用料等の支払調書作成事務
不動産等の譲受けの対価の支払調書作成事務
(取り扱う特定個人情報等の範囲)

第4条 前条において、本組合が個人番号を取り扱う事務において使用される特定個人情報等の範囲は以下のとおりとする。

①役職員及び扶養家族の個人番号及び個人番号と共に管理される氏名、生年月日、性別、住所、電話番号、Eメールアドレス、職員番号等
➁役職員以外の個人に係る個人番号関係事務に関して取得した個人番号及び個人番号と共に管理される氏名、生年月日、性別、住所、電話番号、Eメールアドレス等

2 第1項各号に該当するか否かが定かでない場合は、事務取扱責任者が判断する。

(秘密保持に関する責務)

第5条 特定個人情報に関する収集、利用、提供又は委託処理等、特定個人情報を取扱う事務取扱担当者は、この規程に定める事項に従い、特定個人情報の秘密保持に十分注意を払って業務を行うものとする。

(委託処理等に関する措置)

第6条 特定個人情報を取扱う業務を外部に委託する場合は、委託業務目的外の使用及び複製の禁止、秘密保持、作業状況の確認等について委託契約書に定める等、必要かつ適切な監督を行うものとする。

第2章 特定個人情報の取扱い

第1節 特定個人情報の取得

(特定個人情報の利用目的)

第7条 本組合が、役職員又は役職員以外の個人から取得する特定個人情報の利用目的は、第3条に掲げた個人番号を取り扱う事務の範囲内とする。

(個人番号の提供の要求)

第8条 本組合は、第3条に掲げる事務を処理するために必要がある場合に限り、本人又は他の個人番号関係事務実施者若しくは個人番号利用事務実施者に対して個人番号の提供を求めることができるものとする。

2 役職員又は役職員以外の個人が、本組合の個人番号の提供の要求又は第12条に基づく本人確認に応じない場合には、番号法に基づくマイナンバー制度の意義について説明をし、個人番号の提供及び本人確認に応ずるように求めるものとする。それにもかかわらず、個人番号の提供に応じない場合は、提供を求めた経緯等を記録するものとする。

(個人番号の提供を求める時期)

第9条 本組合は、第3条に定める事務を処理するために必要があるときに個人番号の提供を求めることとする。

2 前項にかかわらず、本人との法律関係等に基づき、個人番号関係事務の発生が予想される場合には、契約を締結した時点等の当該事務の発生が予想できた時点で個人番号の提供を求めることが可能であるものとする。たとえば、従業員等の給与の源泉徴収事務、健康保険・厚生年金保険届出事務等及びこれらに伴う給与所得の源泉徴収票、健康保険・厚生年金保険被保険者資格取得届等の作成事務の場合は、雇用契約の締結時点で個人番号の提供を求めることも可能である。

(特定個人情報の提供の求めの制限)

第10条 特定個人情報の「提供」とは、法的な人格を超える特定個人情報の移動を意味するものであり、同一法人の内部等の法的な人格を超えない特定個人情報の移動は「提供」ではなく「利用」に該当し、個人番号の利用制限(第14条)に従うものとする。

2 本組合は、番号法第19条各号のいずれかに該当し、特定個人情報の提供を受けることができる場合を除き、特定個人情報の提供を求めてはならない。

(特定個人情報の収集制限)

第11条 本組合は、第3条に定める事務の範囲を超えて、特定個人情報を収集しないものとする。

(本人確認)

第12条 本組合は、番号法第16条に定める各方法により、役職員又は役職員以外の個人の個人番号の確認及び当該人の身元確認を行うものとする。また、役職員の配偶者を含む扶養家族については、役職員に本人確認業務を委託することに同意を得て、役職員が扶養家族の個人番号の確認及び身元確認を行うものとする。

(取得段階における安全管理措置)

第13条 特定個人情報の取得段階における安全管理措置は、第3章(安全管理措置)に従うものとする。

第2節 特定個人情報の利用

(個人番号の利用制限)

第14条 本組合は、第7条に掲げる利用目的の範囲内でのみ利用するものとする。

2 本組合は、人の生命、身体又は財産の保護のために必要がある場合を除き、本人の同意があったとしても、利用目的を超えて特定個人情報を利用してはならないものとする。

(特定個人情報ファイルの作成の制限)

第15条 本組合が特定個人情報ファイルを作成するのは、第3条に定める事務を実施するために必要な範囲に限り、これらの場合を除き特定個人情報ファイルを作成しないものとする。

(利用段階における安全管理措置)

第16条 特定個人情報の利用段階における安全管理措置は、第3章(安全管理措置)に従うものとする。

第3節 特定個人情報の保管

(特定個人情報の保管制限)

第17条 本組合は、第3条に定める事務の範囲を超えて、特定個人情報を保管してはならない。

2 本組合は、所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、支払調書の再作成等の個人番号関係事務を行うために必要があると認められるため、当該書類だけでなく、支払調書を作成するシステム内においても保管することができる。

3 本組合は、番号法上の本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、通知カード、身元確認書類等)の写しや本組合が行政機関等に提出する法定調書の控えや当該法定調書を作成するうえで事業者が受領する個人番号が記載された申告書等を特定個人情報として保管するものとする。これらの書類については、法定調書の再作成を行うなど個人番号関係事務の一環として利用する必要があると認められるため、関連する所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間保存することができる。

(保管段階における安全管理措置)

第18条 特定個人情報の保管段階における組織的安全管理措置及び人的安全管理措置は、第3章(安全管理措置)に従うものとする。

第4節 特定個人情報の提供

(特定個人情報の提供制限)

第19条 本組合は、番号法第19条各号に掲げる場合を除き、本人の同意の有無に関わらず、特定個人情報を第三者(法的な人格を超える特定個人情報の移動を意味し、同一法人の内部等の法的な人格を超えない特定個人情報の移動は該当しないものとする。)に提供しないものとする。なお、本人の同意があっても特定個人情報の第三者提供ができないことに留意するものとする。

(提供段階における安全管理措置)

第20条 特定個人情報の提供段階における安全管理措置は第3章(安全管理措置)に従うものとする。

第5節 特定個人情報の開示、訂正等、利用停止等

(特定個人情報の開示)

第21条 本組合は、本人から当該本人が識別される特定個人情報について開示を求められた場合は、遅滞なく、当該情報の情報主体であることを厳格に確認した上で、当該本人が開示を求めてきた範囲内でこれに応ずるものとする。

(特定個人情報の訂正等)

第22条 本組合は、本人から当該本人が識別される特定個人情報の内容が事実でないという理由によって、当該特定個人情報の訂正、追加又は削除(以下「訂正等」という。)を求められた場合には、遅滞なく必要な調査を行い、その結果に基づき当該特定個人情報の内容の訂正等を行うものとする。ただし、以下の場合には訂正等の求めに応じないことができる。

①利用目的の達成に必要な範囲を超えている場合
➁他の法令の規定により、特別の手続が定められている場合

(特定個人情報の利用停止等)

第23条 本組合は、本人から、個人情報保護法又は番号法に違反するという理由によって、当該本人が識別される当該特定個人情報の利用停止または消去が求められた場合、及び当該特定個人情報の第三者提供の停止が求められた場合で、その求めに理由があることが判明した場合には、違反を是正するために必要な限度で、遅滞なく、当該求めに応じて当該措置(以下「利用停止等」という。)を講じなければならない。ただし、利用停止等を行うことが困難であって、本人の権利利益を保護するために必要なこれに代わるべき措置をとる場合には、当該措置を講じないことができる。

第6節 特定個人情報の廃棄・削除

(特定個人情報の廃棄・削除)

第24条 本組合は、第3条に規定する事務を処理する必要がある範囲内に限り特定個人情報等を収集又は保管し続けるものとする。なお、書類等について所管法令によって一定期間保存が義務付けられているものについては、これらの書類等に記載された個人番号については、その期間保管するものとし、それらの事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除するものとする。

(廃棄・削除段階における安全管理措置)

第25条 特定個人情報の廃棄・削除段階における安全管理措置は第3章(安全管理措置)に従うものとする。

第3章 安全管理措置

第1節 組織的安全管理措置・人的安全管理措置

(組織体制)

第26条 本組合は、組合長が指名する者を事務取扱担当者とする。

2 事務取扱担当者のうち、課長を事務取扱責任者とする。

3 事務取扱担当者は、特定個人情報等の保護に十分な注意を払ってその業務を行うものとする。

4 組合長は、事務取扱担当者を交代させる場合、確実に引継ぎを行わせるものとする。
  事務取扱責任者は、引継ぎを確認するものとする。

(事務取扱担当者の監督)

第27条 事務取扱責任者は、特定個人情報等が本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。

(教育・研修)

第28条 事務取扱責任者は、本規程に定められた事項を理解し、遵守するとともに、事務取扱担当者に本規程を遵守させるための教育訓練を企画・運営する責任を負う。

2 事務取扱担当者は、本規程を遵守させるための研修を受けなければならない。研修の内容及びスケジュールは、組合長及び事務取扱責任者が定める。

(取扱状況・運用状況の記録)

第29条 事務取扱担当者は、特定個人情報ファイルの取扱状況を確認するための手段として、特定個人情報管理台帳に以下の事項を記録するものとする。なお、特定個人情報管理台帳には、特定個人情報等は記載しないものとする。

(1)特定個人情報ファイルの種類、名称
(2)特定個人情報等の範囲
(3)利用目的
(4)記録媒体
(5)保管場所
(6)責任者
(7)取扱部署
(8)事務取扱担当者(アクセス権を有する者)
(9)保存期間
(10)削除・廃棄方法

2 事務取扱担当者は、本規程に基づく運用状況を確認するため、以下の項目につき、システムログ又は利用実績を記録するものとする。

(1)特定個人情報ファイルの利用・出力状況の記録
(2)書類・媒体等の持出しの記録
(3)特定個人情報ファイルの削除廃棄記録
(4)削除・廃棄を委託した場合、これを証明する記録等
(5)特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録

(情報漏えい事案等への対応)

第30条 事務取扱担当者は、特定個人情報等の漏えい、滅失又は毀損による事故が発生したことを知った場合又はその可能性が高いと判断した場合は、事務取扱責任者及び理事(総務担当)に直ちに報告する。

2 事務取扱責任者は、漏えい事案等が発生した場合、当局に対して必要な報告を速やかに行う。

3 事務取扱責任者は、漏えい事案等が発生したと判断した場合は、その原因を分析し、再発防止に向けた対策を講じるものとする。

4 事務取扱責任者は、漏えい事案等が発生したと判断した場合は、その事実を本人に通知するとともに、必要に応じて公表する。

5 事務取扱責任者は、他社における漏えい事故等を踏まえ、類似事例の再発防止のために必要な措置の検討を行うものとする。

(検証・改善)

第31条 組合長は、特定個人情報等の取扱状況について、1年に一回以上の頻度で検証し、安全管理措置の評価、見直し及び改善に取り組むものとする。

第2節 物理的安全管理措置

(特定個人情報等を取り扱う区域の管理)

第32条 本組合は、管理・取扱区域を明確にし、可能な限り壁又は間仕切り等の設置をしたり、事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等をするなど座席配置を工夫するものとする。

(機器及び電子媒体等の盗難等の防止)

第33条 本組合は、管理・取扱区域における特定個人情報等を取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。

①特定個人情報等を取扱う機器、電子媒体又は書類等を、施錠できるキャビネット・書庫等に保管する。
➁特定個人情報ファイルを取扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。

(電子媒体等を持ち出す場合の漏えい等の防止)

第34条 本組合は、特定個人情報等が記録された電子媒体又は書類等の持出しは、次に掲げる場合を除き禁止する。なお、「持出し」とは、特定個人情報等を、管理・取扱区域の外へ移動させることをいい、事業所内での移動等も持出しに該当するものとする。

①個人番号関係事務に係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
➁行政機関等への法定調書の提出等、本組合が実施する個人番号関係事務に関して個人番号利用事務実施者に対しデータ又は書類を提出する場合

2 事務取扱担当者は、特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、配達の記録が残る輸送手段を採用、封緘、目隠しシールの貼付等、紛失・盗難等を防ぐための安全な方策を講ずるものとする。

(個人番号の削除、機器及び電子媒体等の廃棄)

第35条 特定個人情報等の廃棄・削除段階における記録媒体等の管理は次のとおりとする。

(1)事務取扱担当者は、特定個人情報等が記録された書類等を廃棄する場合、シュレッダー等による記載内容が復元不能までの裁断、組合内又は外部の焼却場での焼却・溶解等の復元不可能な手段を用いるものとする。
(2)事務取扱担当者は、特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用データ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を用いるものとする。
(3)事務取扱担当者は、特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を用いるものとする。
(4)特定個人情報等を取り扱う情報システムにおいては、当該関連する法定調書の法定保存期間経過後の毎年度末に個人番号を削除するよう情報システムを構築するものとする。
(5)個人番号が記載された書類等については、当該関連する法定調書の法定保存期間経過後の毎年度末に廃棄をするものとする。

2 事務取扱担当者は、個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存するものとする。その記録に個人番号自体は含めないものとする。

第3節 技術的安全管理措置

(アクセス制御・アクセス者の識別と認証)

第36条 本組合は、以下の方法で特定個人情報へのアクセス制御を行うこととする。

(1)個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
(2)特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。
(3)ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。

2 本組合は、特定個人情報等を取り扱う情報システムにつき、ユーザーID、パスワード、磁気・ICカード等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証するものとする。

(外部からの不正アクセス等の防止)

第37条 本組合は、以下の各方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。

①情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する方法。
➁情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する方法。
➂導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する方法。
④機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする方法。
⑤ログ等の分析を定期的に行い、不正アクセス等を検知する方法。

(情報漏えい等の防止)

第38条 本組合は、特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等及び情報システムに保存されている特定個人情報等の情報漏えい等を防止するものとする。

①通信経路における情報漏えい等の防止策
 送信ファイルの暗号化又はパスワードによる保護等

➁情報システムに保存されている特定個人情報等の情報漏えい等の防止策
 データの暗号化又はパスワードによる保護等

第4章 その他

(改廃)

第39条 本規程の改廃は、理事会の決議による。

附則
本規程は平成28年2月18日から施行する。

お問い合わせ

森林と生きるみなさまが
安心して暮らせるように

自然災害に備えた伐採や木材搬出・間伐・植栽などのあらゆる森林整備において
岐阜中央森林組合へご連絡いただければ、スピーディかつ臨機応変にお応えします。

0581-55-3128

[受付時間]平日8:30 - 17:00