特定個人情報取扱規程

（目的）
第１条　この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律（以下「番号法」という。）及び特定個人情報保護委員会が定める「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」に基づき、コーヨー株式会社（以下「当事業者」という。）における特定個人情報の取扱いについて定めたものである。

（定義）
第２条　この規程における特定個人情報とは、個人番号（個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第７条第１項及び第２項、第８条並びに第67条並びに附則第３条第１項から第３項まで及び第５項を除く。）をその内容に含む個人情報をいう。

（取扱い業務の範囲）
第３条　当事業者が取り扱う特定個人情報は、原則として次のとおりとする。
(1) 当事業者ホームページの問い合わせフォームからの問い合わせ
(2) 健康保険・厚生年金保険・雇用保険関係届出事務
(3) 労働者災害補償保険法関係・国民年金第三号被保険者関係届出事務
(4) 給与所得・退職所得に係る源泉徴収票作成事務及び報酬料金及び不動産使用料等の法定調書作成事務

（適用の範囲及び組織体制）
第４条　本規程は当事業者に在籍する者に適用し、本規程は当事業者が現に保有している特定個人情報及び将来保有する特定個人情報を対象とする。
２　特定個人情報の取扱いについての組織体制は、次のとおりとする。
【総責任者 代表取締役社長（それぞれ職名、以下同じ。）】
【システム責任者 総務部課長】
【事務取扱担当者 総務部課長】

（守秘義務）
第５条　特定個人情報を取り扱うすべての者は、徹底した守秘義務の中で業務を遂行しなければならない。
２　前項を確認するため、特定個人情報を取り扱うすべての者は、原則３年に１回以上の頻度で、当事業者が定めた誓約書を提出しなければならない。

（責務）
第６条　特定個人情報の取扱い担当者は、特定個人情報等の漏えいの事実又は漏えいのおそれを把握した場合には、すみやかに総責任者に報告をするとともに、漏えいの拡大を阻止するように対策を講じなければならない。

（情報漏えい時の原因究明）
第７条　総責任者及びシステム責任者は、特定個人情報等の漏えいの事実又は漏えいのおそれを把握した場合には、速やかにその原因を究明するとともに当事業者の代表者及び関係者に報告をしなければならない。

（個人番号の取得、提供の求め）
第８条　事務取扱担当者は、従業者から特定個人情報の提供を受けるに当たっては、その写しを紙によって受領しなければならない。ただし、オンライン環境によってその受領の必要性がない場合には、その限りではない。
２　当事業者は、本人又は代理人から個人番号の提供を受けたときは、関係法令等に基づき本人確認を行うこととする。
３　事務取扱担当者は、従業者から提出された特定個人情報の写しを速やかに情報システムに入力し、その写しは速やかにシュレッダーにて裁断処分をしなければならない。
４　事務取扱担当者は、情報システムに入力した従業者の特定個人情報の確認のために印刷をしてはならない。
５　当事業者が保有する特定個人情報等については、適法かつ合理的な範囲に限り開示することとし、特定個人情報等の本人より訂正の申出があったときは、速やかに対応する。

（個人番号の使用）
第９条　事務取扱担当者は、第３条に定める事項について、必要な場合に限り申告書や申請書等を作成することができる。
２　前項の申告書や申請書等は、行政機関等への提出分につき印刷をすることができる。
３　情報システムの利用に当たっては、システム責任者の指示による方法でしか利用することができない。
４　システム責任者は、情報システムについて不正アクセスが行われないよう対策を講じなければならない。
５　事務取扱担当者は、行政機関への提出あるいは委託等の場合に限り、総責任者の許可を得て社外に持ち出すことができる。


（個人番号の保管）
第10条　特定個人情報は、それが記載された書類等に係る関係法令に定める期間、適切に保管をする。なお、第３条に定める事務を処理するために必要な場合に限り、特定個人情報ファイルを作成するものとし、同ファイルにはパスワードを付する等の保護措置を講じたうえで適切に保存する。
２　特定個人情報等を取り扱う機器、磁気媒体等及び書類等は、特定個人情報等の漏えい、滅失又は毀損の防止その他の安全管理の確保のため、次に掲げる方法により保管又は管理する。
(1) 特定個人情報等を取り扱う機器は、施錠できるキャビネット等に保管するか、又は盗難防止用のセキュリティワイヤー等により固定する。
(2) 特定個人情報等を含む書類及び磁気媒体等は、施錠できるキャビネット等に保管する。
(3) 特定個人情報等を含む書類であって、法定保存期間を有するものは、期間経過後速やかに廃棄する。
３　特定個人情報を含む書類又は同ファイルを法定保存期間経過後も引き続き保管するときは、個人番号に係る部分をマスキングまたは消去したうえで保管する。

（個人番号の持ち出し）
第11条　保有する特定個人情報等を持ち出すときは、次に掲げる方法により管理する。
(1) 特定個人情報等を含む書類を持ち出すときは、外部から容易に閲覧されないよう封筒に入れる等の措置を講じる。
(2) 特定個人情報等を含む書類を郵送等により発送するときは、簡易書留等の追跡可能な移送手段等を利用する。
(3) 特定個人情報ファイルを磁気媒体等又は機器にて持ち出すときは、ファイルへのパスワードの付与等又はパスワードを付与できる機器の利用等の措置を講じる。

（個人番号の提供）
第12条　特定個人情報は、関係法令により必要な場合においてのみ関係行政官庁へ提供することができる。
２　前項の提供に当たっては、簡易書留の利用等の方法により厳重な管理方法によって提供を行わなければならない。
３　特定個人情報が違法に第三者に提供又は使用されていることを知った者からその提供の停止が求められた場合であって、その求めに理由があるときは第三者への提供を停止しなければならない。

（委託先の監督）
第13条　個人番号関係事務の全部又は一部を他者に委託するときは、委託先において安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行うこととする。
２　当事業者は、委託先に対して次に掲げる事項を実施する。
(1) 委託先における特定個人情報等の保護体制が十分であることを確認した上で委託先を選定する。
(2) 委託先との間で次の事項等を記載した契約を締結する。
　　特定個人情報に関する秘密保持義務、事業所内からの特定個人情報の持ち出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況についての報告　等
３　委託先が当事業者の許諾を得て再委託するときには、再委託先の監督については、前２項の規定を準用する。

（特定個人情報等の廃棄、消去）
第14条　特定個人情報は、関係法令により定められた保存期間を超えた場合に廃棄、消去を行うものとする。
２　特定個人情報の紙媒体の廃棄に当たっては、焼却、シュレッダー又は溶解等の復元不可能な方法により廃棄する。
３　デジタル情報によるデータの削除については、システム責任者によって処理するものとし、事務取扱担当者が自己の判断によって削除をしてはならない。
４　特定個人情報等を廃棄又は消去したときは、廃棄等を証明する記録等を保存する。

（従業者教育）
第15条　総責任者は、事務取扱担当者に対して情報管理に関する教育を１年に１回以上実施をする。

（事務取扱担当者への監督）
第16条　総責任者は、事務取扱担当者に対しての管理及び監督をするものとし、運用方法について情報漏えいのおそれがある場合には、是正に向けて指図をしなければならない。

（立ち入り禁止区域の設定）
第17条　総責任者及びシステム責任者は、特定個人情報を取り扱う場所を定め、立ち入り禁止区域を設定する。この区域には総責任者が定めた者しか出入りをすることができない。

（機器の盗難防止）
第18条　システム責任者は、特定個人情報を取り扱うパソコン等の機器に対して、ワイヤーロックをかける等の盗難防止対策を講じなければならない。

（不正アクセスの監視）
第19条　システム責任者は、情報システムに対しての不正アクセスがないように専用ソフトウエア等を使用してアクセス状況について監視をしなければならない。

（アクセス記録の保存）
第20条　システム責任者は、情報システムの利用状況及びアクセス状況について、そのアクセス記録を取るとともに、保存をしなければならない。

（規程の改定）
第21条　総責任者は、必要に応じてこの特定個人情報取扱規程を見直すものとする。

附則
１　この規程は、２０１８年１月１日より実施する。