株式会社アレステラ・インターナショナル・トレーディング

個人情報保護規定Personal Information Protection Regulations

個人情報保護規程

第１章　総則

第１条（目的） この規程は、当社が事業を遂行するに際して取扱う個人情報を適切に保護し、漏洩防止とその適切な利用等を図ることを目的とする。
２　この規程は、当社のすべての役職員及び従業員に適用される。また、当社が個人情報を第三者に委託する場合には、委託先の第三者にも遵守させるよう努めるものとする。

第２条（定義） 個人情報とは、生存する個人に関する情報であって、特定の個人を識別することができるもの、又は他の情報と容易に照合することができ、それにより特定の個人を識別することができるものをいう。
２　個人情報データベース等とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。

特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの。
個人情報を一定の規則に従って整理することにより、特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。

３　個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者をいう。ただし、国の機関、地方公共団体、独立行政法人、地方独立行政法人及びその取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者（その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が６カ月以内のいずれの日においても5,000人を超えない者）を除く。
４　個人データとは、個人情報データベース等を構成する個人情報をいう。
５　保有個人データとは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止のすべてを行うことができる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は６ヶ月以内に消去することとなるもの以外のものをいう。
６　本人とは、個人情報によって識別される特定の個人をいう。
７　役職員とは、個人情報取扱事業者の組織内にあって、直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業員（正社員、契約社員、嘱託社員、パート社員、アルバイト社員等）のみならず、取締役、派遣社員等も含まれる。
８　提供とは、個人データを利用可能な状態に置くことをいう。

第２章　安全管理体制

第３条（安全管理体制の構築） 代表取締役は、個人情報の安全管理のための組織体制を定める。その権限及び責任は、本規程その他個人情報に関する規程に定めるものとする。

第４条（個人情報安全管理責任者）当社は、個人情報の安全管理の総責任者として、個人情報安全管理責任者１名を置く。
２　個人情報安全管理責任者は、以下の業務を行うものとする。

個人情報保護法マニュアル、個人データ取扱規程、個人情報取扱手順書、個人データ取扱台帳、プライバシーポリシー等の社内規程の作成に関する事項
個人情報安全管理措置に関する事項
役職員への助言・指導及び監督に関する事項
委託先の監督、再委託先の取扱いに関する事項
監査に関する事項
危機管理に関する事項
その他個人情報の安全管理に関する事項全般

第５条（安全管理措置） 代表取締役は、当社が管理する個人情報に関するリスク（不正アクセス、紛失、盗難、破壊、改ざん、漏洩等）を回避するために適切な人的・物的安全管理措置を講じるものとする。

第６条（役職員の教育研修） 個人情報安全管理責任者は、役職員に対し、個人情報に関する教育研修を実施する。
２　役職員は、前項の教育研修に参加しなければならない。

第７条（役職員の責務） 役職員は、当社の事業に従事するにあたり、個人情報保護法、本規程、個人情報保護法マニュアル、個人データ取扱規程、個人情報取扱手順書その他の社内規程を遵守しなければならない。

第３章　個人情報の取得

第８条（個人情報の取得原則） 個人情報の取得は、当社が行う事業の範囲内に限り、且つ、予め利用目的を明確に定め、その目的の達成に必要な限度において行うものとする。

第９条（不正な手段による取得の禁止） 個人情報の取得は適法な手段により行うものとし、窃取、脅迫、偽りその他不正な手段により取得してはならない。

第10条（センシティブ情報等の取得の原則的禁止） 下記のセンシティブ情報及びプライバシー侵害のおそれのある情報は、原則として取得してはならない。ただし、これらの情報を取得する事業上の必要性があり、且つ本人の予め明確な同意がある場合、又は法令の規定による場合は、この限りではない。

思想、信条及び宗教に関する事項
人種、民族、門地、本籍地、身体、精神障害、犯罪歴、その他社会的差別の原因となる事項
勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項
集団示威行為への参加、請願権の行使及びその他の政治的権利行使に関する事項
保険医療に関する事項

第11条（利用目的の公表） 次条の場合を除き、個人情報を取得する場合には利用目的をできる限り特定し、予めその利用目的を公表するよう努めるものとし、予め利用目的を公表しない場合は、取得後速やかにその利用目的を本人に通知し、又は公表しなければならない。ただし、以下の場合を除く。

本人又は第三者の生命、身体、財産その他の権利を害するおそれがある場合
当該個人情報取扱事業者の権利等を害するおそれがある場合
国の機関等に協力する場合
利用目的が自明である場合

第12条（直接本人から書面等により取得する場合） 本人との間で契約を締結することに伴って契約書その他の書面（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む）に記載された本人の個人情報を取得する場合、その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、予め本人に対し、利用目的を明示しなければならない。ただし、生命、身体又は財産の保護のために緊急に必要がある場合は除く。

第４章　個人情報の利用及び第三者提供

第13条（利用範囲） 予め本人の同意を得ないで、当社が特定した利用目的の達成に必要な範囲を超えて、個人情報を利用してはならない。ただし、以下の場合を除く。

合併、分社化、営業譲渡その他の事由（会社経営組織の変更）により、他の個人情報取扱事業者の事業を承継することに伴って個人情報を取得し、当該承継前の目的達成に必要な範囲内で利用する場合
法令に基づいて個人情報を取り扱う場合
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
公衆衛生の向上又は公共の福祉を推進するために特に必要がある場合であって、本人の同意を得ることが困難であるとき
国の機関又は地方公共団体又はその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

第14条（利用目的の変更） 利用目的を変更しようとする場合、従前の目的と比較して、相当な関連性を有すると合理的に認められる範囲を超えた変更を行ってはならない。また、利用目的を変更する場合、本人に通知し、又は公表しなければならない。

第15条（第三者提供の制限） 予め本人の同意を得ないで、個人データを第三者に提供してはならない。ただし、以下の場合を除く。

第三者に該当しない場合
個人情報の取扱いに関する業務の全部又は一部を委託する場合、合併、分社化、営業譲渡（会社経営組織の変更）などにより事業が承継され、それに伴い個人データが移転する場合、個人データを特定者間で共同利用している場合等
法令に基づいて個人情報を取り扱う場合
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
公衆衛生の向上又は児童の健全な育成の推進のために、特に必要がある場合であって、本人の同意を得ることが困難であるとき
国の機関又は地方公共団体又はその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
オプトアウトを行っている場合、ただし、センシティブ情報を除く

第16条（共同利用） 個人データを第三者と共同で利用しようとする場合、以下の事項を予め本人に通知するか、本人が容易に知り得る状態に置くとともに、共同利用する第三者にも同様の措置を講じさせなければならない。

個人データを特定の者との間で共同して利用する旨
共同利用される個人データの項目
共同して利用する者の範囲
利用する者の利用目的
個人データの管理について責任を有する者の氏名又は名称

第17条（オプトアウト） 予め本人の同意なく、個人データを第三者に提供する場合は、以下の事項を当社のホームページ上に公表しなければならない。

第三者提供を利用目的とすること
第三者に提供される個人データの項目
第三者への提供の手段又は方法
本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止する旨

第５章　個人データの管理

第18条（適正管理） 個人データを正確且つ最新の内容で管理するよう努めるものとする。

第19条（公表） 個人データの開示の手続を定め、以下の事項を公表するよう努めなければならない。

当該個人情報取扱事業者の氏名又は名称
個人データの利用目的（取得に際して通知等の例外にあたる場合を除く）
保有個人データの利用目的の通知、保有個人データの開示、保有個人データの内容の訂正、追加又は削除、保有個人データの利用の停止又は消去、保有個人データの第三者への提供の停止の手続き
保有個人データの取扱いに関する苦情及び申出先及び個人情報取扱事業者が認定個人情報団体に所属している場合は、その団体の名称及び苦情の解決の申出先

第20条（保有個人データの開示） 本人から当該個人が識別される保有個人データの開示を求められたときは、所定の本人確認手続を経た上で、書面により本人に当該保有個人データを開示しなければならない。
　ただし、①本人又は第三者の生命、身体、財産その他の権利や利益を害するおそれがある場合、②当該個人情報取扱事業者の業務の適正な実施に著しい障害を及ぼすおそれがある場合、③他の法令に違反する場合はこの限りではない。
　また、通知しない旨を決定したときは、遅滞なくその旨を通知しなければならない。

第21条（保有個人データの利用目的の通知） 本人から当該個人が識別される保有個人データの利用目的の通知を求められたときは、利用目的を本人に通知しなければならない。
　ただし、①保有個人データを本人の知り得る状態に置いているところにより保有個人データの利用目的が明かな場合、②本人又は第三者の生命、身体、財産その他の権利や利益を害するおそれがある場合、③当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合、④国の機関又は地方公共団体が法令の定める事務を遂行するときに協力する必要がある場合であって、当該事務の遂行に支障を及ぼすおそれがある場合はこの限りではない。
　また、通知しない旨を決定したときは、遅滞なくその旨を通知しなければならない。

第22条（保有個人データの訂正・追加・削除） 本人から、当該本人が識別される保有個人データの内容が事実でないという理由で、訂正・追加・削除（以下、「訂正等」という）を求められたときは、本人確認を経た上で、遅滞なく調査を行い、その結果に基づいて訂正等を行わなければならない。
２　調査の結果、保有個人データの内容の訂正等を行ったとき又は行わない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。

第23条（保有個人データの利用停止・消去・第三者提供の停止） 本人から、当該本人が識別される保有個人データが利用目的の制限に違反するという理由又は不正の手段により取得したものであるという理由で利用停止又は消去（以下、「利用停止等」という）を求められたときは、本人確認手続を経た上で、遅滞なく調査を行い、その結果に基づいてデータの利用停止等を行わなければならない。
２　本人から当該本人が識別される保有個人データが第三者提供違反であるとの理由で、第三者への提供の停止を求められたときは、本人確認手続を経た上で、遅滞なく調査を行い、その結果に基づいてこれを停止しなければならない。
３　保有個人データの利用停止等の措置を行ったとき又は行わない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。

第６章　監査・危機管理・その他

第24条（監査の実施） 個人情報安全管理責任者は、個人情報の安全管理に関する監査を行うため、役職員に対して、個人情報の安全管理状況等について報告徴収を求めることができ、役職員はこれに協力しなければならない。
２　個人情報安全管理責任者は、代表取締役に対して、定期的に書面による個人情報の安全管理に関する監査報告を行うものとする。
３　個人情報安全管理責任者は、必要に応じて、個人情報の安全管理に関する事項について、外部監査を委託することができる。

第25条（報告義務） 役職員が個人情報保護法、本規程、その他個人情報に関する社内規程に違反するおそれ又は違反する事実を知った場合、その旨を個人情報安全管理責任者に報告しなければならない。

第26条（危機管理対応） 役職員は、万一個人情報の漏洩等の事故が発生した場合、個人情報保護法、本規程、その他個人情報に関する社内規程に違反する事実が生じた場合、危機管理基本方針及び基本マニュアルに基づいて対応するものとする。
２　個人情報安全管理責任者は、速やかに事実関係を調査し、漏洩の対象となった本人に対する対応を行うとともに、被害拡大防止のための措置を講じるものとする。

第27条（苦情・相談窓口） 個人情報安全管理責任者は、個人情報の保護に関して苦情や相談を受け付け、対応する窓口を設置し、この連絡先を本人に告知するものとする。

第28条（罰則・損害賠償） 故意又は過失により本規程に違反した場合、その他個人情報保護法及びその他の個人情報に関する社内規程に違反した役職員に対しては、就業規則、契約等により処分を行うとともに、当社に損害を与えた場合は、損害賠償を請求するものとする。

第29条（規程の改訂）本規程条文の改廃は管理部長の決裁による。
２　前項のうち、条文字句の訂正、組織変更等に伴う部署名・役職名変更等の軽微な変更は法務担当役職者の決裁による。

第30条（実施期日）本規程は、2014年4月１日より実施する。但し、早期適用も可能である。

第31条（主管部署）本規程は、法務担当が主管する。