第1条(目的)
この規程は、個人情報の保護に関する法律(以下「法」という)、金融分野における個人情報保護に関するガイドライン等の規程の趣旨に沿って、当代理店が保険代理業者として取り扱う個人情報の適切な保護のため講ずべき事項につき、基本的な基準を定め、個人情報の適正な取扱を確保することを目的とする。この規定は、当社の定款に定めたすべての業務についても適用するものとする。
第2条(定義)
この規程の用語の定義は法および関係各省庁の個人情報保護に関するガイドラインによるものとする。
第3条(適用範囲)
この規程は、当代理店の事業遂行の過程において、書面、コンピュータシステム等で取り扱われているすべての個人情報および個人データを対象とする。
第4条(管理体制・責任)
1 個人データ管理責任者
個人情報保護体制を的確に運用するために、個人データの保護について統括する「個人データ管理責任者」を任命する。「個人データ管理責任者」の職務は次のとおりとする。
①個人データの安全管理に関する規程及び委託先の選定基準の承認および周知
②個人データ管理者および本人確認情報管理者の任命
③個人データ管理者からの報告徴収および助言・指導
④個人データの安全管理に関する教育・研修の企画
⑤その他個人データの安全管理に関する事項
2 個人データ管理者
個人データを取り扱う部署の部門長は、「個人データ管理者」として次の事項を担当する。
①個人データの取扱者の指定および変更等の管理
②個人データの利用申請の承認および記録等の管理
③個人データを取り扱う保管媒体の設置場所の指定および変更等
④個人データの管理区分および権限についての設定および変更の管理
⑤個人データの取扱状況の把握
⑥委託先における個人データの取扱状況等の監督
⑦個人データの安全管理に関する教育・研修の実施
⑧個人データ管理責任者に対する報告
⑨その他所管部署における個人データの安全管理に関すること
第5条(プライバシーポリシーの策定)
1 当代理店における個人情報の適正な取扱いを確保するため、次の事項を含むプライバシー・ポリシーを策定・公表するとともに、必要な体制整備措置を講ずる。
①個人情報取扱事業者の名称
②安全管理措置に関する質問および苦情処理の窓口
③個人データの安全管理に関する宣言
④基本方針の継続的改善の宣言
⑤関係法令遵守の宣言
⑥個人情報の利用目的
2 プライバシーポリシーは当代理店の従業員等に周知するとともに、適切な方法で公表するものとする。
第6条(研修の実施)
すべての従業員等は、次の研修を受けなければならない。
①法および関係法令の内容
②プライバシーポリシーおよびこの規程の内容
③個人情報保護のための役割および責任
④セキュリティ管理の実施策
⑤個人情報の漏えい事故等が発生した場合の対応
第7条(利用目的の公表・通知)
当代理店の利用目的はできる限り特定し、適切な方法により公表する。
第8条(目的外利用の禁止)
個人情報は、利用目的の達成に必要な範囲を超えて取扱わないものとする。やむを得
ずかかる取扱いを行なうときは、法令等に定める場合等の例外を除きあらかじめ本人の同意(原則として書面による。)を得る。
第9条(利用目的の変更)
利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲内で行なうものとし、変更後の利用目的を公表するものとする。
第10条(個人情報の取得)
1 個人情報は、業務上必要な範囲で、適法かつ公正な手段で、取得する。
2 個人情報を取得した場合、あらかじめ利用目的を公表している場合を除き、速やかにその利用目的を本人に通知または公表する。ただし、取得の状況からみて利用目的が明らかであると認められる場合は、この限りではない。
3 当代理店は、書面により個人情報を取得する場合には、あらかじめ本人に対し当代理店の利用目的を明示する。
第11条(センシティブ情報の取得)
1 本人の政治的見解、信教(宗教、思想および信条をいう)、労働組合への加盟、人種および民族、門地および本籍地、保健医療および性生活、並びに犯罪歴に関する情報(以下「センシティブ情報」という)については、原則として、取得、利用または第三者提供を行わない。
2 適切な業務運営を確保する必要性から、センシティブ情報を取得、利用または第三者提供する場合は、本人から同意を得ることとする。
第12条(取得情報の正確性の確保)
取得した個人データは、利用目的の達成に必要な範囲内で、正確かつ最新の内容に保つよう努める。
第13条(個人データの安全管理)
1 当代理店は個人データの漏えい、滅失または毀損の防止および個人データへの不当なアクセス防止のため、組織的、人的、技術的に適切な措置(以下「安全管理措置」という。)を講ずるものとする。
2 上記1の措置を具体的に実施するため、「個人情報安全管理規程」に基づき、当代理店全部門が、日常活動のなかで個人データの保護を徹底できるようにする。
第14条(個人データ管理台帳)
個人データ管理責任者は、取り扱う個人データの取扱い状況を確認できる手段として以下の事項を含む台帳等を整備し、適宜見直し等を図るものとする。
①取得項目
②利用目的
③保管場所・保管方法・保管期限
④管理部署
⑤アクセス制限の状況
第15条(従業員等の研修・監督)
1 従業員等に個人データを取り扱わせるにあたっては、当該データの安全管理が図れるよう、適切な内部管理体制を構築し、当該従業員等に対する必要かつ適切な監督を行う。
2 従業員等・退職者が業務に関して知りえた個人情報を第三者に知らせ、または目的外で使用しないよう、採用時および一定期間ごとに誓約書を提出させる等の方法で監督を強化する。
第16条(個人データ取扱委託先の監督)
1 個人データの全部または一部の取扱を外部事業者に委託する場合には、当該個人データの安全管理が図られるよう、委託を受けた者(委託先)に対する必要かつ適切な監督を行う。
2 個人データの安全管理のため、委託先の個人データ保護体制が十分であることを確認したうえで選定基準を定め、当該基準に従って委託先を選定する。
3 個人データの安全管理のため、委託先との委託契約書に盛り込む事項を定め、これに従って委託契約を締結する。
4 以上の取扱については、別に定める「個人データの外部委託に係る規程」に従う。
第17条(第三者提供の制限)
当代理店は、法令で定められた場合を除き、あらかじめ本人の同意なく個人データの第三者への提供を行わない。
第18条(開示・訂正・利用停止)
1 当代理店は、保険代理業に係る保有個人データに関し、法に基づく開示・訂正・利用停止等の求めを受けた場合は、保険会社の定める方法により保険会社にその旨を連絡するものとする。
2 法に基づかない一般的な契約照会等については、適切な本人確認を行ったうえで回答する。
第19条(苦情処理)
1 個人情報の取扱に関する苦情は、適切かつ迅速に処理する。
2 当代理店における個人情報の取扱に関する苦情の窓口は、個人データ管理責任者とし、その他の従業員等が個人情報の取扱に関する苦情を受けた場合は、速やかに個人データ管理責任者に報告しなければならない。
第20条(個人情報の漏えいへの対応)
個人情報の漏えい事故(漏えいのおそれのある場合を含む)が発生ないし判明した場合には、別に定める「個人データの安全管理に係る取扱規程(6.漏えい事案等への対応段階)」に従い、直ちに個人データ管理責任者に報告し、その指示を求めなければならない。
第21条(自主点検・監査の実施)
個人データ管理責任者は、別に定める「個人データの取扱状況の点検および監査に係る規程」に基づき、個人情報保護に関する法令および諸規程の遵守状況について、自主点検および監査の実施計画を策定し、これらを定期的に実施する。
第22条(自主点検・監査による体制の見直し)
個人データ管理責任者は、前条の自主点検または監査の結果に照らし、必要に応じ改善の措置をとらなければならない。
第23条(罰則)
この規程に違反した役員・従業員は、就業規則等に基づき懲戒の対象とする。
第24条(改廃)
この規程の改廃は、代理店主の決裁において行う。