第1条　本規程は、岐阜中央森林組合（以下「本組合」という）が、「行政手続における特定の個人を識別するための番号の利用等に関する法律」（平成25年法律第27号、以下「番号法」という。）及び「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」に基づき、本組合の取り扱う特定個人情報等の適正な取扱いを確保するために定めるものである。

第3条　本組合が個人番号を取り扱う事務の範囲は以下のとおりとする。

第4条　前条において、本組合が個人番号を取り扱う事務において使用される特定個人情報等の範囲は以下のとおりとする。

①役職員及び扶養家族の個人番号及び個人番号と共に管理される氏名、生年月日、性別、住所、電話番号、Eメールアドレス、職員番号等
➁役職員以外の個人に係る個人番号関係事務に関して取得した個人番号及び個人番号と共に管理される氏名、生年月日、性別、住所、電話番号、Eメールアドレス等

2　第1項各号に該当するか否かが定かでない場合は、事務取扱責任者が判断する。

第5条　特定個人情報に関する収集、利用、提供又は委託処理等、特定個人情報を取扱う事務取扱担当者は、この規程に定める事項に従い、特定個人情報の秘密保持に十分注意を払って業務を行うものとする。

第6条　特定個人情報を取扱う業務を外部に委託する場合は、委託業務目的外の使用及び複製の禁止、秘密保持、作業状況の確認等について委託契約書に定める等、必要かつ適切な監督を行うものとする。

第7条　本組合が、役職員又は役職員以外の個人から取得する特定個人情報の利用目的は、第3条に掲げた個人番号を取り扱う事務の範囲内とする。

第8条　本組合は、第3条に掲げる事務を処理するために必要がある場合に限り、本人又は他の個人番号関係事務実施者若しくは個人番号利用事務実施者に対して個人番号の提供を求めることができるものとする。

2　役職員又は役職員以外の個人が、本組合の個人番号の提供の要求又は第12条に基づく本人確認に応じない場合には、番号法に基づくマイナンバー制度の意義について説明をし、個人番号の提供及び本人確認に応ずるように求めるものとする。それにもかかわらず、個人番号の提供に応じない場合は、提供を求めた経緯等を記録するものとする。

第9条　本組合は、第3条に定める事務を処理するために必要があるときに個人番号の提供を求めることとする。

2　前項にかかわらず、本人との法律関係等に基づき、個人番号関係事務の発生が予想される場合には、契約を締結した時点等の当該事務の発生が予想できた時点で個人番号の提供を求めることが可能であるものとする。たとえば、従業員等の給与の源泉徴収事務、健康保険・厚生年金保険届出事務等及びこれらに伴う給与所得の源泉徴収票、健康保険・厚生年金保険被保険者資格取得届等の作成事務の場合は、雇用契約の締結時点で個人番号の提供を求めることも可能である。

第10条　特定個人情報の「提供」とは、法的な人格を超える特定個人情報の移動を意味するものであり、同一法人の内部等の法的な人格を超えない特定個人情報の移動は「提供」ではなく「利用」に該当し、個人番号の利用制限（第14条）に従うものとする。

2　本組合は、番号法第19条各号のいずれかに該当し、特定個人情報の提供を受けることができる場合を除き、特定個人情報の提供を求めてはならない。

第11条　本組合は、第3条に定める事務の範囲を超えて、特定個人情報を収集しないものとする。

第12条　本組合は、番号法第16条に定める各方法により、役職員又は役職員以外の個人の個人番号の確認及び当該人の身元確認を行うものとする。また、役職員の配偶者を含む扶養家族については、役職員に本人確認業務を委託することに同意を得て、役職員が扶養家族の個人番号の確認及び身元確認を行うものとする。

第13条　特定個人情報の取得段階における安全管理措置は、第3章（安全管理措置）に従うものとする。

第14条　本組合は、第7条に掲げる利用目的の範囲内でのみ利用するものとする。

2　本組合は、人の生命、身体又は財産の保護のために必要がある場合を除き、本人の同意があったとしても、利用目的を超えて特定個人情報を利用してはならないものとする。

第15条　本組合が特定個人情報ファイルを作成するのは、第3条に定める事務を実施するために必要な範囲に限り、これらの場合を除き特定個人情報ファイルを作成しないものとする。

第16条　特定個人情報の利用段階における安全管理措置は、第3章（安全管理措置）に従うものとする。

第17条　本組合は、第3条に定める事務の範囲を超えて、特定個人情報を保管してはならない。

2　本組合は、所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間は、支払調書の再作成等の個人番号関係事務を行うために必要があると認められるため、当該書類だけでなく、支払調書を作成するシステム内においても保管することができる。

3　本組合は、番号法上の本人確認の措置を実施する際に提示を受けた本人確認書類（個人番号カード、通知カード、身元確認書類等）の写しや本組合が行政機関等に提出する法定調書の控えや当該法定調書を作成するうえで事業者が受領する個人番号が記載された申告書等を特定個人情報として保管するものとする。これらの書類については、法定調書の再作成を行うなど個人番号関係事務の一環として利用する必要があると認められるため、関連する所管法令で定められた個人番号を記載する書類等の保存期間を経過するまでの間保存することができる。

第18条　特定個人情報の保管段階における組織的安全管理措置及び人的安全管理措置は、第3章（安全管理措置）に従うものとする。

第19条　本組合は、番号法第19条各号に掲げる場合を除き、本人の同意の有無に関わらず、特定個人情報を第三者（法的な人格を超える特定個人情報の移動を意味し、同一法人の内部等の法的な人格を超えない特定個人情報の移動は該当しないものとする。）に提供しないものとする。なお、本人の同意があっても特定個人情報の第三者提供ができないことに留意するものとする。

第20条　特定個人情報の提供段階における安全管理措置は第3章（安全管理措置）に従うものとする。

第21条　本組合は、本人から当該本人が識別される特定個人情報について開示を求められた場合は、遅滞なく、当該情報の情報主体であることを厳格に確認した上で、当該本人が開示を求めてきた範囲内でこれに応ずるものとする。

第22条　本組合は、本人から当該本人が識別される特定個人情報の内容が事実でないという理由によって、当該特定個人情報の訂正、追加又は削除（以下「訂正等」という。）を求められた場合には、遅滞なく必要な調査を行い、その結果に基づき当該特定個人情報の内容の訂正等を行うものとする。ただし、以下の場合には訂正等の求めに応じないことができる。

①利用目的の達成に必要な範囲を超えている場合
➁他の法令の規定により、特別の手続が定められている場合

第23条　本組合は、本人から、個人情報保護法又は番号法に違反するという理由によって、当該本人が識別される当該特定個人情報の利用停止または消去が求められた場合、及び当該特定個人情報の第三者提供の停止が求められた場合で、その求めに理由があることが判明した場合には、違反を是正するために必要な限度で、遅滞なく、当該求めに応じて当該措置（以下「利用停止等」という。）を講じなければならない。ただし、利用停止等を行うことが困難であって、本人の権利利益を保護するために必要なこれに代わるべき措置をとる場合には、当該措置を講じないことができる。

第24条　本組合は、第3条に規定する事務を処理する必要がある範囲内に限り特定個人情報等を収集又は保管し続けるものとする。なお、書類等について所管法令によって一定期間保存が義務付けられているものについては、これらの書類等に記載された個人番号については、その期間保管するものとし、それらの事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除するものとする。

第25条　特定個人情報の廃棄・削除段階における安全管理措置は第3章（安全管理措置）に従うものとする。

第26条　本組合は、組合長が指名する者を事務取扱担当者とする。

2　事務取扱担当者のうち、課長を事務取扱責任者とする。

3　事務取扱担当者は、特定個人情報等の保護に十分な注意を払ってその業務を行うものとする。

4　組合長は、事務取扱担当者を交代させる場合、確実に引継ぎを行わせるものとする。
　　事務取扱責任者は、引継ぎを確認するものとする。

第27条　事務取扱責任者は、特定個人情報等が本規程に基づき適正に取り扱われるよう、事務取扱担当者に対して必要かつ適切な監督を行うものとする。

第28条　事務取扱責任者は、本規程に定められた事項を理解し、遵守するとともに、事務取扱担当者に本規程を遵守させるための教育訓練を企画・運営する責任を負う。

2　事務取扱担当者は、本規程を遵守させるための研修を受けなければならない。研修の内容及びスケジュールは、組合長及び事務取扱責任者が定める。

第30条　事務取扱担当者は、特定個人情報等の漏えい、滅失又は毀損による事故が発生したことを知った場合又はその可能性が高いと判断した場合は、事務取扱責任者及び理事（総務担当）に直ちに報告する。

2　事務取扱責任者は、漏えい事案等が発生した場合、当局に対して必要な報告を速やかに行う。

3　事務取扱責任者は、漏えい事案等が発生したと判断した場合は、その原因を分析し、再発防止に向けた対策を講じるものとする。

4　事務取扱責任者は、漏えい事案等が発生したと判断した場合は、その事実を本人に通知するとともに、必要に応じて公表する。

5　事務取扱責任者は、他社における漏えい事故等を踏まえ、類似事例の再発防止のために必要な措置の検討を行うものとする。

第31条　組合長は、特定個人情報等の取扱状況について、1年に一回以上の頻度で検証し、安全管理措置の評価、見直し及び改善に取り組むものとする。

第32条　本組合は、管理・取扱区域を明確にし、可能な限り壁又は間仕切り等の設置をしたり、事務取扱担当者以外の者の往来が少ない場所への座席配置や、後ろから覗き見される可能性が低い場所への座席配置等をするなど座席配置を工夫するものとする。

第33条　本組合は、管理・取扱区域における特定個人情報等を取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。

①特定個人情報等を取扱う機器、電子媒体又は書類等を、施錠できるキャビネット・書庫等に保管する。
➁特定個人情報ファイルを取扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。

第34条　本組合は、特定個人情報等が記録された電子媒体又は書類等の持出しは、次に掲げる場合を除き禁止する。なお、「持出し」とは、特定個人情報等を、管理・取扱区域の外へ移動させることをいい、事業所内での移動等も持出しに該当するものとする。

①個人番号関係事務に係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
➁行政機関等への法定調書の提出等、本組合が実施する個人番号関係事務に関して個人番号利用事務実施者に対しデータ又は書類を提出する場合

2　事務取扱担当者は、特定個人情報等が記録された電子媒体又は書類等を持ち出す場合、パスワードの設定、配達の記録が残る輸送手段を採用、封緘、目隠しシールの貼付等、紛失・盗難等を防ぐための安全な方策を講ずるものとする。

2　事務取扱担当者は、個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存するものとする。その記録に個人番号自体は含めないものとする。

第36条　本組合は、以下の方法で特定個人情報へのアクセス制御を行うこととする。

（1）個人番号と紐付けてアクセスできる情報の範囲をアクセス制御により限定する。
（2）特定個人情報ファイルを取り扱う情報システムを、アクセス制御により限定する。
（3）ユーザーIDに付与するアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。

2　本組合は、特定個人情報等を取り扱う情報システムにつき、ユーザーID、パスワード、磁気・ICカード等の識別方法により、事務取扱担当者が正当なアクセス権を有する者であることを、識別した結果に基づき認証するものとする。

第37条　本組合は、以下の各方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。

①情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設置し、不正アクセスを遮断する方法。
➁情報システム及び機器にセキュリティ対策ソフトウェア等（ウイルス対策ソフトウェア等）を導入する方法。
➂導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する方法。
④機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする方法。
⑤ログ等の分析を定期的に行い、不正アクセス等を検知する方法。

第38条　本組合は、特定個人情報等をインターネット等により外部に送信する場合、通信経路における情報漏えい等及び情報システムに保存されている特定個人情報等の情報漏えい等を防止するものとする。

①通信経路における情報漏えい等の防止策
　送信ファイルの暗号化又はパスワードによる保護等

➁情報システムに保存されている特定個人情報等の情報漏えい等の防止策
　データの暗号化又はパスワードによる保護等

第39条　本規程の改廃は、理事会の決議による。

附則
本規程は平成28年2月18日から施行する。