(目的)
第1条 この規程は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)に関し「国土交通省所管分野に係る個人情報保護に関するガイドライン」の趣旨を踏まえて、公益社団法人滋賀県建築士会(以下「本会」という。)が行う事業等において取得する個人情報の取り扱いを定めるものである。
(適用範囲)
第2条 この規程は、本会が行う事業等に関して、取得する個人情報の範囲とする。
(定義)
第3条 この規程において、次の各号に掲げる用語の定義は、当該各号に定めるところによる。
(1) 個人情報 …生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により、特定の個人を識別することができることとなるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(2) 個人情報データベース等 …個人情報を含む情報の集合物であって、次に掲げるものをいう。
ア) 特定の個人情報を電子計算機を用いて検索することができるように、体系的に構成したもの。
イ) 電子計算機を用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順、年月日順等)に従って整理・分類することにより、特定の個人情報を安易に検索することができるように、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているもの。
(3) 個人データ …個人データベース等を構成する個人情報をいう。
(4) 保有個人データ …本会が、開示、内容の修正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことができる権限を有する個人データをいう。ただし、次の場合を除く。
ア) 当該個人データの存否が明らかになることにより、公益その他の利益が害されるものとして、次に掲げるもの。
a. 本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの。
b. 違法又は不当な行為を助長し、又は誘発するおそれがあるもの。
イ) 6ヶ月以内に消去する(更新することは除く)こととなるもの。
(5) 本人 …個人情報によって識別される特定の個人をいう。
(利用目的の特定)
第4条 本会は、個人情報を取り扱うに当たっては、その利用目的(以下「利用目的」という。)をできる限り特定する。
2 本会は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行わない。
3 名簿発刊における利用については、その掲載内容について会員の同意を得ることとする。
(取得に際しての利用目的の通知等)
第5条 本会は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し又は公表する。
2 本会は、前項の規程に係らず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他、人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合、その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対してその利用目的を明示する。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りではない。
3 本会は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表する。
4 前項の規程は、次に掲げる場合については、適用しない。
(1) 利用目的を本人に通知し又は公表することにより、本人又は第三者の生命、身体、財産、その他の権利利益を害するおそれがあるとき。
(2) 利用目的を本人に通知し又は公表することにより、本会の権利又は正当な利益を害するおそれがあるとき。
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して、協力する必要がある場合であって、利用目的を本人に通知し又は公表することにより、当該事務の遂行に支障を及ぼすおそれがあるとき。
(4) 取得の状況からみて、利用目的が明らかであると認められるとき。
(利用目的による制限)
第6条 本会は、第4条の規程により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱わない。ただし、本人の同意を得た場合はこの限りではない。
2 本会は、合併その他の事由により、他の法第2条3項に定める個人情報取扱事業者から、事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わない。
3 前項の規程は、次に掲げる場合については、適用しない。
(1) 法令に基づくとき。
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 国の機関若しくは地方公共団体又はその委託を受けた者が、法令の定める事務を遂行することに対して、協力する必要がある場合であって、本人の同意を得ることにより、当該事務の遂行に支障を及ぼすおそれがあるとき。
(適正な取得)
第7条 本会は、偽り、その他不正の手段により、個人情報を取得しない。
(データ内容の正確性の確保)
第8条 本会は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努める。
(安全管理措置)
第9条 本会は、その取り扱う個人データの漏えい、滅失又は棄損(以下「漏えい等」という。)の防止、その他の個人データの安全管理のため、次項以下に従い、組織的、人的、物理的及び技術的安全管理措置を講ずる。その際、本人の個人データが漏えい等をした場合に、本人が被る権利利益の侵害の大きさを考慮し、必要かつ適切な措置を講じるものとする。
2 組織的安全管理については、第22条の規程により、設置された個人情報管理委員会(以下「管理委員会」という。)が所管し、以下の各号について適切な管理を行う。
(1) 個人情報保護管理者の設置
(2) 個人データの安全管理措置を講じるための組織体制の整備
(3) 個人データの安全管理措置を定める規程等の整備と規程等に従った運用
(4) 個人データの取扱台帳の整備
(5) 個人データの安全管理措置の評価、見直し及び改善
(6) 事故又は違反への対処について、手続きの策定、実施
3 本会は、人的安全管理のために、次に掲げる事項について措置を講じるものとする。
(1) 従業者の雇用及び委託契約時における非開示契約の締結
(2) 従業者に対する教育、啓発の実施
4 本会は、物理的安全管理のために、次に掲げる事項について、対策を講じるものとする。
(1) 盗難等に対する対策
(2) 機器、装置等の物理的な保護
5 本会は、技術的安全管理のために、次に掲げる事項について、対策を講じるものとする。
(1) 個人データへのアクセスにおける識別と認証
(2) 個人データへのアクセス制御
(3) 個人データへのアクセス権限の管理
(4) 個人データのアクセス記録
(5) 個人データを取り扱う情報システムに対する不正ソフトウエア対策
(6) 個人データの移送、通信時の対策
(7) 個人データを取り扱う情報システムの動作確認時の対策
(8) 個人データを取り扱う情報システムの監視
(従業者の監督)
第10条 本会は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する適切な監督を行う。
(委託先の監督)
第11条 本会は、個人データの取り扱いの全部又は一部を委託する場合は、その取り扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する適切な監督を行う。
2 本会は、個人情報の保護について十分な措置を講じている者を委託先として選定し、次に掲げる事項等について、委託契約時に明確化するものとするとともに「機密保持に係る誓約書」を締結する。
(1) 個人データの安全管理に関する、以下の事項等
ア) 個人データの漏えい等の防止、盗用の禁止に関する事項
イ) 委託契約範囲外の加工、利用の禁止
ウ) 委託契約範囲外の複写、複製の禁止
エ) 委託処理期間
オ) 委託処理終了後の個人データの返還、消去、破棄に関する事項
(2) 個人データの取り扱い再委託を行うに当たっての委託元への報告とその方法
(3) 個人データの取り扱い状況に関する委託者への報告の内容及び頻度
(4) 委託契約の内容、期間が遵守されていることの確認
(5) 委託契約の内容、期間が遵守されなかった場合の措置
(6) 個人データの漏えい等の事故が発生した場合の報告、連絡に関する事項
(7) 個人データの漏えい等の事故が発生した場合における委託元と委託先の責任の範囲
(第三者提供の制限)
第12条 本会は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供しない。
(1) 法令に基づくとき。
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 国の機関若しくは地方公共団体又はその委託を受けた者が、法令の定める事務を遂行することに対して、協力する必要がある場合であって、本人の同意を得ることにより、当該事務の遂行に支障を及ぼすおそれがあるとき。
2 本会は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ本人に通知し又は本人が容易に知り得る状態に置いているときには、前項の規程にかかわらず、当該個人データを第三者に提供することができる。
(1) 第三者への提供を利用目的とすること。
(2) 第三者に提供する個人データの項目。
(3) 第三者への提供の手段又は方法。
(4) 本人の求めに応じて、当該本人が識別される個人データの第三者への提供を停止すること。
3 本会は、前項2号又は3号に掲げる事項を変更する場合は、変更する内容について、あらかじめ本人に通知し又は本人が容易に知り得る状態に置くものとする。
4 次に掲げる場合において、当該個人データの提供を受ける者は、前項の規程の適用については、第三者に該当しないもととする。
(1) 本会が利用目的の達成に必要な範囲内において、個人データの取り扱いの全部又は一部を委託するとき。
(2) 合併その他の事由による事業の承継に伴って、個人データが提供されるとき。
(3) 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について、責任を有する者の氏名又は名称について、あらかじめ本人に通知し又は本人が容易に知り得る状態に置いているとき。
5 本会は、前項3号に規程する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合には、変更する内容について、あらかじめ本人に通知し又は本人が容易に知り得る状態に置くものとする。
(保有個人データに関する事項の公表等)
第13条 本会は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて、遅滞なく回答する場合を含む。)に置くものとする。
(1) すべての保有個人データの利用目的(第5条4項1号から3号までに該当する場合を除く。)
(2) すべての保有個人データの保存期間(第5条4項1号から3号までに該当する場合を除く。)
(3) 次項、第14条1項、第15条1項又は第16条1項若しくは2項の規程による求めに応じる。手続き(第19条2項の規程により、手数料の額を定めたときは、その手数料の額を含む。)
(4) 保有個人データの取り扱いに関する苦情の申出先
2 本会は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
(1) 前項の規程により当該本人が識別される保有個人データの利用目的が明らかなとき。
(2) 第5条4項1号から3号までに該当するとき。
3 本会は、前項の規程に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
(開示)
第14条 本会は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときに、その旨を知らせる場合を含む。以下同じ。)を求められたときは、本人に対し、書面の交付(開示の求めを行った者が同意した方法があるときは、当該方法)により、遅滞なく、当該保有個人データを開示するものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれのあるとき。
(2) 本会の業務の適正な実施に著しい支障を及ぼすおそれがあるとき。
(3) 他の法令に違反することとなるとき。
2 本会は、前項の規程に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨通知しなければならない。
3 他の法令の規程により、本人に対し1項本文に規程する方法に相当する方法により、当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規程は通用しない。
(訂正等)
第15条 本会は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して、他の法令の規定により特別の手続きが定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行う。
2 本会は、前項の規程に基づき求められた保有個人データの内容の全部若しくは一部について、訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容も含む。)を通知する。
(利用停止等)
第16条 本会は、当該本人が識別される保有個人データが、第6条の規程に違反して取り扱われているという理由又は第7条の規程に反して、取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止を行う。ただし、当該保有個人データの利用停止等に多額の費用を要する場合、その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため、必要なこれに代わるべき措置をとるときには、この限りでない。
2 本会は、本人から、当該本人が識別される保有個人データが、第12条1項の規程に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止する。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合、その他の第三者への提供することが困難な場合であって、本人の権利利益を保護するために必要なこれに代わるべき措置をとるときは、この限りでない。
3 本会は、1項の規程に基づき求められた保有個人データの全部若しくは一部について、利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規程に基づき求められた保有個人データの全部若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なくその旨を通知する。
(理由の説明)
第17条 本会は、第13条3項、第14条2項又は前条3項の規程により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合、又はその措置と異なる措置をとる旨を通知する場合は、本人に対してその理由を説明するよう努める。
(開示等の求めに応じる手続き)
第18条 本会は、第13条2項、第14条1項、第15条1項又は第16条1項もしくは2項の規程による求め(以下この条において「開示等の求め」という。)に関し、次の各号に掲げるとおり、その求めを受け付ける方法を開示等規則に定める。この場合において、本人は、当該方法に従って、開示等の求めを行うものとする。
(1) 開示等の求めの申出先
(2) 開示等の求めに際して、提出するべき書面(電子的方式、磁気的方式その他、人の知覚によっては認識することができない方式で作られる記録を含む。)の様式、その他の開示等の求めの方式
(3) 開示等の求めをする者が、本人又は3項に規程する代理人であることの確認方法
(4) 第19条1項の手数料の徴収方法
2 本会は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、本会は、本人が容易かつ的確に開示等の求めをすることができるように、当該保有個人データの特定に資する情報の提供、その他本人の利便を考慮した適切な措置をとるものとする。
3 開示等の求めは、次に掲げる代理人によってすることができる。
(1) 未成年者又は成年被後見人の法定代理人
(2) 開示等の求めをすることにつき、本人が委任した代理人
4 本会は、前項の規程に基づき、開示等の求めに応じる手続きを定めるに当たっては、本人に過重な負担を課するものとならないように配慮するものとする。
(手数料)
第19条 本会は、第13条2項の規程による利用目的の通知又は第14条1項の規程による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。
2 本会は、前項の規程により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定める。
(苦情の処理)
第20条 本会は、個人情報の取り扱いに関する苦情には適切かつ迅速な処理をするため、本会事務局内に窓口を設ける。
(漏えい等が発生した場合の対応)
第21条 本会は、個人データの漏えい等が発生した場合は、事実関係を本人に速やかに通知するものとする。
2 本会は、個人データの漏えい等が発生した場合は、二次被害の防止、類似事案の発生回等の観点から、可能な限り事実関係等を公表するものとする。
3 本会は、個人データの漏えい等が発生した場合は、事実関係を滋賀県に直ちに報告するものとする。
(個人情報管理委員会の設置)
第22条 この規程の円滑かつ適正な実施を図るため、本会に個人情報管理委員会を置く。
(施行期日)
第1条 この規程は、平成26年4月11日より適用する。
(見直し)
第2条 この規程は、諸環境の変化を踏まえて見直しを図るものとする。
以上