個人情報取扱規程
規程0203 個人情報取扱規程
平成26年1月30日 第5回理事会承認
第1章 総 則
(目 的) 第1条 この規程は,一般社団法人日本原子力学会(以下,「本会」という)が取り扱う個人情報の安全かつ適切な保護管理のために定める。
(適用範囲) 第2条 この規程は,本会が扱う個人情報について適用する。
(責任と権限) 第3条 個人情報保護責任者をはじめとする個人情報保護組織(図 1)を構築する。 2 個人情報保護責任者は,会長により指名された副会長ないしは理事が担当する。 3 個人情報保護責任者は,日々の業務においてデータを取り扱う,個人情報保護事務責任者を次のとおり委任する。受任者は,委任者の求めに応じて適時適切な報告をおこなわなければならない。 (a)学会事務局における個人情報保護事務責任者:事務局長 4 各課に情報管理責任者を置く。情報管理責任者,作業担当者は,学会で扱う個人情報(以下「データ」という)を「個人情報取扱台帳」に記載し台帳管理する。この台帳には,データの名称,データ内容,収集目的,入手方法,情報管理責任者名,担当部署,保管方法,アクセス権限範囲を定め,データを明確にする。 5 情報管理責任者は,「個人情報取扱台帳」に分類された個人データに関し,自課の作業担当者が取り扱うデータについて,不正アクセス,データの紛失,改ざん,破壊,漏洩のリスクについて分析し,必要に応じて改善計画を立案する。また,情報管理責任者は,自課の分析結果を個人情報保護事務責任者に報告する。 6 情報管理責任者は,自課の作業担当者が「個人情報取扱作業マニュアル」に従い適切な取り扱いをおこなっているかを確認する。 7 従業者(事務局職員,嘱託員,派遣社員)は,個人情報取り扱い規程遵守誓約書に署名捺印し会長宛に提出する。
第2章 組織的安全管理措置
(データの取得と取り扱い) 第4条 データの取得および取り扱いは,「個人情報取扱台帳」で定められた方法によりおこなう。 2 データの取得および取り扱いは,次の場所でおこなわなければならない。 (a)本部:本部事務室内 (b)委託先:別途契約による 3 前項以外の場所へデータを持ち出さなければならない時は,個人情報保護事務責任者の承認を得て持ち出す。 4 作業担当者は,データ提供者本人からのデータ変更要求があった場合と明らかな誤りを修正する場合以外は,元データを変更してはならない。 5 「個人情報取扱台帳」にある管轄以外のものがデータの利用・加工を希望する場合(例えば,支部・部会・研究会・委員会等が本部のデータの利用を希望する場合)は,予め,個人情報利用申請書を事務局情報管理責任者経由作業担当者宛に提出しなくてはならない。また,作業担当者は「個人情報取扱作業マニュアル」にしたがいデータを適切に取り扱うと共に「個人データ送付管理簿」にてデータ送付を記録しなければならない。
第3章 人的・物理的安全管理措置
(非開示契約) 第5条 データを取り扱う者は,知り得た情報を他に漏らしてはならない。 2 本条は,当該就業(雇用)期間終了後においても適用する。
(盗難対策) 第6条 データを取り扱う者は,データが記された書類,媒体,コンピュータ等を,机上等に放置したまま長時間離席してはならない。
(物理的な保護) 第7条 従業者は,データを取り扱う機器・装置等について,破壊,破損,停電,漏水,火災等の脅威から,物理的な保護に努めなければならない。
第4章 技術的安全管理措置
(アクセス制御) 第8条 データが格納されたPC,サーバ等の情報システム(以下「情報システム」という)へのアクセスは次のとおりにおこなわれなければならない。 (1)情報システムへのアクセスは,ID,パスワード識別により制御されなければならない。 (2)情報管理責任者(事業課課長)は,ファイヤーウォールなどにより情報システムへの無権限アクセスからのデータ保護に努めなければならない。 (3)情報管理責任者(事業課課長)は,情報システムに導入したアクセス制御機能の有効性を「個人情報取扱作業マニュアル」に従い適宜検証しなければならない。 (4)不要となったID,パスワードは速やかに削除しなければならない。
(不正ソフトウェア対策) 第9条 情報システムに対する不正ソフトウェア対策は次のとおりにおこなわれなければならない。 (1)事務局は,ウィルス対策ソフトを導入し,データの保護に努める。 (2)事務局は,オペレーティングシステム(OS),アプリケーション等に対するセキュリティ対策用修正ソフトウェアを適用し,個人データの保護に努める。 (3)事務局は,不正ソフトウェア対策の有効性・安定性を適宜確認する。
第5章 委託先の監督
(委託先の監督) 第10条 情報管理責任者は,データの取り扱いの一部(または全部)を委託する場合,委託されたデータの安全管理が図られるよう,監督しなければならない。 2 契約書には,次の事項を盛り込まねばならない。 a)委託者および受任者の責任範囲 b)データの漏洩防止・盗用禁止 c)契約範囲外の加工・利用・複写・複製の禁止 d)処理期間 e)処理終了後のデータの返還・消去・廃棄に関する事項 f)受託者が再委託をおこなう場合には,学会の合意と文書による報告が必要 3 情報管理責任者は,前項の契約に盛込まれた内容が遵守されていることを確認し,その状況を個人情報保護事務責任者に報告しなければならない。
第6章 事故・違反への対処
(事故・違反への対処) 第11条 本規程に違反している事実または兆候があることに気づいた場合,およびデータの漏洩等の事故が発生した場合または発生の可能性が高いと判断した場合は,「個人情報取扱作業マニュアル」のとおり対応する。
第7章 規定の変更
(改定) 第12条 本規程の改定は,総務財務委員会が起案し,理事会の承認を得るものとする。 [別紙] ・個人情報保護組織図(図1) ・個人情報取扱台帳 ・個人情報取扱作業マニュアル ・個人情報利用申請書 ・個人情報取扱規程遵守誓約書 ・個人データ送付管理簿
附則
1 本規程は,平成18年1月31日から施行する。
2 改定履歴
① 平成18年1月31日 第478回理事会決定
② 平成23年1月20日 第22・4回総務財務委員会決定,平成23年2月1日 第514回理事会承認(一般社団法人移行による名称・採番変更のみ)
③ 平成26年1月30日 第6回総務財務委員会起案,平成26年1月30日 第5回理事会承認
附則
1 平成23年1月20日決定の規程は平成23年4月1日から施行する。
附則
1 平成26年1月30日起案の規程は承認の日から施行する。
以上