2　基本方針は、従業者に周知せしめるものとする。

第5条 　会社において個人番号を取り扱う事務は、次に掲げる事務に限定する。

第6条　会社は、特定個人情報等の取扱いに関して総括的な責任を有する特定個人情報保護責任者を設置するものとし、その責任者は総務担当者とする。

第7条　会社は、次の部門ごとに特定個人情報等に関する事務を行うものとする。

第8条　会社における特定個人情報等を取り扱う事務については、前条に規定する部門ごとに事務取扱担当者を明確にするものとする。

第9条　会社は、特定個人情報等の情報漏えい等を防止するため、第7条に規定する部門ごとに特定情報ファイルを管理する区域（以下、管理区域という。）および特定個人情報等を取り扱う事務を実施する区域（以下、取扱区域という。）を明確にする。

　2　管理区域とは、特定個人情報等を取り扱う機器等および特定個人情報ファイルを管理するキャビネット等のある区域とし、他の区域との間仕切りの設置およびキャビネット等の施錠等の安全管理措置を講じることとする。

　3　取扱区域とは、事務取扱担当者の机周辺とし、他の区域との間仕切りの設置および座席配置等による安全管理措置を講じることとする。

第10条　会社は、従業者に対して定期的な研修の実施または情報提供等を行い、特定個人情報等の適正な取扱いを図るものとする。

第11条　会社は、従業者が特定個人情報等を取り扱うに当たり、必要かつ適切な監督を行う。

第12条　特定個人情報保護責任者は、会社における特定個人情報等の取扱いが関係法令、本規程等に基づき適正に運用されていることを定期的に確認する。

第13条　会社は、必要に応じて特定個人情報等の取扱いに関する安全対策に関する諸施策について見直しを行い、改善を図るものとする。

第14条　会社における特定個人情報等の取扱いに関する苦情等があったときは、これに適切に対応する。

第15条　会社は、第5条に規定する事務を処理するために必要がある場合に限り、本人または他の個人番関係事務実施者もしくは個人番号利用事務実施者に対して個人番号の提供を求めることができるものとする。

　2　個人番号の提供を求める時期は、原則として個人番号を取り扱う事務が発生したときとする。ただし、個人番号を取り扱う事務が発生することが明らかなときは、契約等の締結時に個人番号の提供を求めることができるものとする。

第16条　会社は、本人または代理人から個人番号の提供を受けたときは、関係法令等に基づき本人確認を行うこととする。

第17条　提出された本人確認書類は、当該個人番号を利用する事務が終了するまでの間または法定保存期間が終了するまでの間、これを適切に保管する。

第18条　会社は、第5条に規定する事務を処理するために必要な場合に限り、個人番号を利用するものとする。なお、たとえ本人の同意があったとしても、利用目的を超えて個人番号を利用してはならない。

　2　人の生命、身体または財産の保護のために必要がある場合であって、本人の同意があり、または本人の同意を得ることが困難であるときは、前項の規定にかかわらず会社が保有している個人番号を利用することができる。

第19条　会社は、第5条に規定する事務を処理するために必要な場合に限り、特定個人情報ファイルを作成するものとする。

第20条　会社は、第5条に規定する事務が終了するまでの間、特定個人情報等を保管する。ただし、所管法令等により保存期間が定められているものについては、当該期間を経過するまでの間、特定個人情報等を保管する。

　2　特定個人情報等を取り扱う機器、磁気媒体等および書類等は、特定個人情報等の漏えい、滅失または毀損の防止その他の安全管理の確保のため、次の方法により保管または管理する。

(1) 特定個人情報等を取り扱う機器は、施錠できるキャビネット等に保管するか、または盗難防止用のセキュリティワイヤー等により固定する。

(2) 特定個人情報等を含む書類および磁気媒体等は、施錠できるキャビネット等に保管する。

(3) 特定個人情報ファイルは、パスワードを付与する等の保護措置を講じたうえでこれを保存し、当該パスワードを適切に管理する。

(4) 特定個人情報等を含む書類であって、法定保存期間を有するものは、期間経過後速やかに廃棄することを念頭に保管する。

　3　特定個人情報等を含む書類または特定個人情報ファイルを法定保存期間経過後も引き続き保管するときは、個人番号に係る部分をマスキングまたは消去したうえで保管する。

第21条　会社において使用する情報システムにおいて特定個人情報等を取り扱うときは、次に掲げる方法により管理する。

(1) 特定個人情報保護責任者は、情報システムを使用して個人番号を取り扱う事務を処理するときは、ユーザーIDに付与されるアクセス権により、特定個人情報ファイルを取り扱う情報システムを使用できる者を事務取扱担当者に限定する。

(2) 事務取扱担当者は、情報システムを取り扱う上で、正当なアクセス権を有する者であることを確認するため、ユーザーID、パスワード等により認証する。

(3) 情報システムを外部からの不正アクセスまたは不正ソフトウェアから保護するため、情報システムおよび機器にセキュリティ対策ソフトウェア等を導入する。

(4) 特定個人情報等をインターネット等により外部に送信するときは、通信経路における情報漏えい等を防止するため、通信経路の暗号化等の措置を講じる。

第22条　会社において保有する特定個人情報等を持ち出すときは、次に掲げる方法により管理する。

(1) 特定個人情報等を含む書類を持ち出すときは、外部から容易に閲覧されないよう封筒に入れる等の措置を講じる。

(2) 特定個人情報等を含む書類を郵送等により発送するときは、簡易書留等の追跡可能な移送手段等を利用する。

(3) 特定個人情報ファイルを磁気媒体等または機器にて持ち出すときは、ファイルへのパスワードの付与等またはパスワードを付与できる機器の利用等の措置を講じる。

第23条　会社にて保有する特定個人情報等の提供は、第5条に規定する事務に限るものとする。

　2　人の生命、身体または財産の保護のために必要がある場合であって、本人の同意があり、または本人の同意を得ることが困難であるときは、前項の規定にかかわらず会社で保有している特定個人情報等を提供することができる。

第24条　会社にて保有する特定個人情報等については、適法かつ合理的な範囲に限り開示することとし、特定個人情報等の本人より訂正の申出があったときは、速やかに対応する。

第25条　特定個人情報等が違法に第三者に提供されていることを知った本人からその提供の停止が求められた場合であって、その求めに理由があることが判明したときは、第三者への提供を停止する。

第26条　会社は、会社の従業員等に係る個人番号関係事務の全部または一部を他者に委託するときは、委託先において安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行うこととする。

(1) 委託先における特定個人情報等の保護体制が十分であることを確認した上で委託先を選定する。

(2) 委託先との間で次の事項等を記載した契約を締結する。

・ 特定個人情報に関する秘密保持義務、事業所内からの特定個人情報の持ち出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却または廃棄、従業者に対する監督・教育、契約内容の遵守状況についての報告 等

第27条　会社は、委託を受けた個人番号関係事務の全部または一部を他者に再委託するときは、委託者の許諾を得なければならない。

第28条　会社は、第20条第1項に規定する保管期間を経過した書類等について、次の通り速やかに廃棄する。

(1) 特定個人情報等を含む書類の廃棄は、焼却または熔解等の復元不可能な手法により廃棄する。

(2) 特定個人情報ファイルは、完全削除ソフトウェア等により完全に消去する。

(3) 特定個人情報等を含む磁気媒体等は、破壊等により廃棄する。

第29条　会社は、特定個人情報等を廃棄または消去したときは、廃棄等を証明する記録等を保存する。

第30条　特定個人情報保護責任者は、特定個人情報等の漏えいの事実または漏えいの恐れを把握した場合には、直ちに特定個人情報保護委員会および所管官庁に報告する。

第31条　会社は、本規程に違反した従業員に対して就業規則に基づき処分を行い、その他の従業者に対しては、契約または法令に照らして処分を決定する。

第32条　本規程の改廃は社員代表者の意見を聴き、取締役会の承認を得て会社が決定する。

第33条　本規程は、令和２年３月１日より実施する。