第1章 総則
第1節 通則
(目的)
第1条 この規則は、公益財団法人日本自転車競技連盟(以下「本財団」という。)の保有する個人情報について、その適切な管理に必要な事項を定めることにより、本財団の業務の適正かつ円滑な運営を図りつつ、個人の権利利益を保護することを目的とする。
(適用の範囲)
第2条 本財団の保有する個人情報及び個人情報ファイルの取扱いは、この規則の定めるところによる。
(用語の定義)
第3条 この規則における用語の定義は、次の通りとする。
(1) 「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(2) 「保有個人情報」とは、本財団の役職員が職務上作成し、又は取得した個人情報であって、本財団の役職員が組織的に利用するものとして、本財団が保有しているもの(法人文書に記載されているものに限る。)をいう。
(3) 「個人情報ファイル」とは、保有個人情報を含む情報の集合物であって、次に掲げるものをいう。
ア 一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
イ アに掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの
(4) 個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
(5) 「法人文書」とは、本財団の役職員が職務上作成し、又は取得した文書等(文書、図画及び電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られた記録をいう。以下同じ。)をいう。以下同じ。)であって、本財団の役職員が組織的に用いるものとして、本財団が保有しているものをいう。ただし、官報、白書、新聞、雑誌、書籍その他不特定多数の者に販売することを目的として発行されるものを除く。
(役職員の責務)
第4条 本財団の役職員は、個人情報の保護に関する法律(平成15年法律第57号)の趣旨に則り、関連する法令及び規則等の定め並びに総括個人情報保護管理者及び個人情報保護管理者の指示に従い、保有個人情報を取り扱わなければならない。
第2節 保有個人情報の管理体制等
(総括個人情報保護管理者等)
第5条 本財団に、総括個人情報保護管理者及び副総括個人情報保護管理者を置き、それぞれ総務委員長及び事務局長をもってこれに充てる。なお、総括個人情報保護管理者は、個人情報監査責任者を兼務するものとする。
2 総括個人情報保護管理者は、会長を補佐し、本財団における保有個人情報の管理に関する事務を総括する。
3 副総括個人情報保護管理者は、総括個人情報保護管理者の命を受けて、総括個人情報保護管理者を補佐する。
4 個人情報監査責任者は、保有個人情報の管理の状況について監査する任にあたる。
(個人情報保護管理者)
第6条 各課に個人情報保護管理者を1人置き、各課の長をもってこれに充てる。
2 個人情報保護管理者は、各課における保有個人情報を適切に管理する任にあたる。
(個人情報保護担当者)
第7条 各課に個人情報保護担当者を置き、個人情報保護管理者の指名する職員をもってこれに充てる。
2 個人情報保護担当者は、個人情報保護管理者の命を受けて、個人情報保護管理者を補佐する。
3 個人情報保護管理者は、個人情報保護担当者を指名したときは、直ちに、その氏名を副総括個人情報保護管理者及び総務部の長に通知しなければならない。これを変更したときも、同様とする。
第2章 個人情報の管理
第1節 個人情報の取得、利用等
(利用目的の特定)
第8条 本財団は、個人情報を保有するに当たっては、その利用の目的をできる限り特定しなければならない。
2 本財団は、前項の規定により特定された利用の目的(以下「利用目的」という。)の達成に必要な範囲を超えて、個人情報を保有してはならない。
3 本財団は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的の明示)
第9条 本財団は、本人から直接文書等に記録された当該本人の個人情報を取得するときは、次に掲げる場合を除き、あらかじめ本人に対し、その利用目的を明示しなければならない。
(1) 人の生命、身体又は財産の保護のために緊急に必要があるとき。
(2) 利用目的を本人に明示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき。
(3) 利用目的を本人に明示することにより、本財団の権利を害するおそれがあるとき。
(4) 利用目的を本人に明示することにより、国の機関又は地方公共団体が行う事務又は事業の適正な遂行に支障を及ぼすおそれがあるとき。
(5) 取得の状況からみて、利用目的が明らかであると認められるとき。
(提供の制限)
第10条 本財団は、次に掲げる場合を除き、あらかじめ本人の同意を得ないで、個人情報を第三者に提供してはならない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(業務を委託等する場合の措置)
第11条 個人情報保護管理者は、保有個人情報の取扱いに係る業務を外部に委託(請負を含む。以下本条において同じ。)する場合には、個人情報の適切な管理を行う能力を有しない者を選定することがないよう、その委託しようとする者が個人情報の取扱いについての内部規程を有するか否かを確認する等必要な措置を講じなければならない。
2 委託に関する契約書には、次に掲げる事項を記載するとともに、委託先における責任者等の管理体制及び個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認する。
(1) 個人情報に関する秘密保持等の義務
(2) 再委託の制限又は条件に関する事項
(3) 個人情報の複製等の制限に関する事項
(4) 個人情報の安全確保に関する事項
(5) 個人情報の漏えい等の事案の発生時における対応に関する事項
(6) 委託終了時における個人情報が記録された媒体の返却に関する事項
(7) 違反した場合における契約解除の措置その他必要な事項
(派遣労働者の派遣を受ける場合の措置)
第12条 個人情報保護管理者は、保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記しなければならない。
第2節 個人情報を保有する課において行う安全確保の措置
(アクセス制限)
第13条 個人情報保護管理者は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報にアクセスする権限を有するものをその利用目的を達成するために必要最小限の職員に限らなければならない。
2 アクセス権限を有しない職員は、保有個人情報にアクセスしてはならない。
3 職員は、アクセス権限を有する場合であっても、業務上の目的以外の目的で当該保有個人情報にアクセスしてはならない。
(複製等の制限)
第14条 職員は、業務上の目的で保有個人情報を取り扱う場合であっても、次に掲げる行為については、個人情報保護管理者の指示に従い行う。
(1) 保有個人情報の複製
(2) 保有個人情報の送信
(3) 保有個人情報が記録されている媒体の外部への送付又は持出し
(4) その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為
(誤り等の訂正等)
第15条 職員は、保有個人情報の内容に誤り等を発見した場合には、当該誤り等が明らかに軽微であると認められる場合を除き、個人情報保護管理者の指示に従い、当該誤り等の訂正等を行わなければならない。
(媒体の管理等)
第16条 職員は、個人情報保護管理者の指示に従い、保有個人情報が記録されている媒体を定められた場所に保管するとともに、保有個人情報の秘匿性等その内容に応じて、必要があると認めるときは、耐火金庫への保管、施錠等を行わなければならない。
(廃棄等)
第17条 職員は、保有個人情報又は保有個人情報が記録されている媒体(電子計算機内に内蔵されているものを含む。)が不要となった場合には、個人情報保護管理者の指示に従い、当該保有個人情報の内容が漏えいしないよう細断処分、電磁的記録の消去その他保有個人情報に応じた適切な方法により、当該情報の消去又は当該媒体の廃棄を行わなければならない。
(保有個人情報の取扱いの状況の記録)
第18条 個人情報保護管理者は、保有個人情報の秘匿性等その内容に応じて、台帳を整備し、当該保有個人情報の利用及び保管等の取扱いについて記録するものとする。
(電子計算機で取り扱う保有個人情報の安全の確保等)
第19条 電子計算機で保有個人情報を取り扱う課の個人情報保護管理者は、保有個人情報の秘匿性及びその内容、電子計算機の用途及び他の電子計算機との接続の状況等に応じ、当該保有個人情報の安全を確保するため、次に掲げるものの中から適切な措置を講じなければならない。
(1) 装置を設置する執務室への入退室の制限又は管理
(2) 装置を設置する執務室の施錠、装置の固定、装置の外部への持出し及び外部からの持込みの制限等、装置の盗難又は紛失の防止のための措置
(3) 認証機能による保有個人情報へのアクセスの制御(ログイン用パスワード、ファイル閲覧用パスワード等を設定し、これを定期的に変更すること等)
(4) 保有個人情報へのアクセス状況の記録及び分析
(5) ファイアウォールの設定等、情報システムへの外部からの不正アクセスの防止のため必要な措置
(6) コンピュータウイルスの感染防止のため必要な措置
(7) 保有個人情報の暗号化
(8) 他の資料との照合(入力原票との照合、既存の保有個人情報との照合等)
(9) 保有個人情報のバックアップの作成及び分散保管
(10) 情報システムの設計書、構成図等の文書の適切な管理
(11) 第三者による閲覧の防止のための措置(確実なログオフ等)
(12) 前各号に掲げるもののほか、電子計算機で取り扱われる個人情報の安全確保のため個人情報保護管理者が必要と認める措置
第3章 事故の報告及び再発防止措置
(事故の報告)
第20条 保有個人情報の漏えいその他個人情報の管理に関して問題となる事案が発生したことを知った職員は、直ちに、当該保有個人情報を管理する個人情報保護管理者にその旨を報告しなければならない。
2 個人情報保護管理者は、前項の規定により職員から報告を受けたときは、速やかに総括個人情報保護管理者に報告し、及び被害の拡大防止又は復旧等のために必要な措置を講じなければならない。
3 個人情報保護管理者は、前項の措置を講じた後、速やかに、事案の発生した経緯、被害状況等を調査し、その調査結果を総括個人情報保護管理者に報告しなければならない。
4 総括個人情報保護管理者及び個人情報保護管理者は、前2項の報告を受けたときは、その内容等に応じて、当該事案の内容、経緯、被害状況等を会長その他必要な者に報告しなければならない。
5 総括個人情報保護管理者は、事案の内容、影響等に応じて、事実関係の公表、当該事案に係る本人への対応等の措置を講じなければならない。
(再発防止措置)
第21条 個人情報保護管理者は、保有個人情報の漏えいその他個人情報の管理に関して問題となる事案が発生した場合には、前条第3項の規定により調査した結果に基づき、当該事案の発生した原因を分析し、再発防止のために必要な措置を講じるとともに、その調査結果を総括個人情報保護管理者に報告しなければならない。
2 総括個人情報保護管理者は、事案の内容、影響等に応じて、前項の規定により講じた措置について公表を行わなければならない。
第4章 点検及び監査
(点検)
第22条 個人情報保護管理者は、必要に応じて、その課で保有する保有個人情報について、その管理状況の点検を行い、その結果を総括個人情報保護管理者に報告しなければならない。
(監査)
第23条 個人情報監査責任者は、保有個人情報の管理及び利用の状況について、定期に又は随時に監査(外部監査を含む。)を行う。
(評価及び見直し)
第24条 総括個人情報保護管理者は、保有個人情報の適切な管理のための措置について、点検又は監査の結果等を踏まえ、実効性等の観点から評価し、必要があると認めるときは、その見直し等を行う。
第5章 補則
(他の法令との関係)
第25条 法令の規定により、個人情報の管理に関する事項について特別の定めが設けられている場合においては、当該事項については、当該法令の定めるところによるものとする。
(その他)
第26条 この規則に定めるもののほか、保有個人情報保護管理について必要な事項は、別に定める。
附 則
この規程は、平成26年3月13日から施行する。