第1章 総則
第1条 (目的)
この規程は、個人情報の保護に関する法律(平成15 年法律第57 号)及び同法施行令及び施行規則に基づき、一般社団法人日本リユース・リサイクル回収事業者組合(以下、「当法人」という。)が保有する個人情報及び当法人の活動で知り得た取引先等の個人情報に該当する情報の適正な取扱いの確保に関し必要な事項を定めることにより、当法人の事業の適正かつ円滑な運営を図りつつ、個人の権利利益を保護することを目的とする。
第2条 (定義)
この規程における用語の定義は、次の各号に定めるところによる。
(1) 「個人情報」とは、 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により当該個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できることとなるものを含む。)をいう。
(2) 「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものをいう。
(3) 「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合物、又はコンピュータを用いていない場合であっても、紙媒体で処理した個人情報を一定の規則にしたがって整理又は分類し、特定の個人情報を容易に検索することができる状態においているものをいう。
(4) 「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
(5) 「保有個人データ」とは、当法人が開示、訂正、追加、削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの、又は違法若しくは不当な行為を助長し、又は誘発するおそれがあるもの以外をいう。
(6) 個人情報について「本人」とは、個人情報から識別され、又は識別され得る個人をいう。
(7) 「従業者」とは、当法人の指揮命令を受けて当法人の業務に従事する者をいう。
(8) 「匿名化」とは、個人情報から当該情報に含まれる氏名、生年月日、住所の記述等、個人を識別する情報を取り除くことで特定の個人を識別できないようにすることをいう。
第3条 (当法人の責務)
当法人は、個人情報保護に関する法令等を遵守するとともに、実施するあらゆる事業を通じて個人情報の保護に努めるものとする。
第2章 個人情報の利用目的の特定等
第4条(利用目的の特定)
当法人は、個人情報の保有に当たっては、業務を遂行するため必要な場合に限り、かつ、その利用の目的(以下、「利用目的」という。)をできる限り特定しなければならない
2 当法人は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
3 当法人は、利用目的を変更した場合は、変更した利用目的について、本人に通知し、又は公表するものとする。
第5条(利用目的による制限)
当法人は、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を保有してはならない。
2 当法人は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
第3章 個人情報の取得の制限等
第6条 (取得の制限)
当法人は、個人情報を取得する場合には、その利用目的を明示するとともに、適法かつ適正な方法で行わなければならない。
2 個人情報は、原則として本人から取得しなければならない。ただし、本人の同意がある場合や、次項の各号の場合は除く。
3 当法人は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報
を取得してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
四 法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
五 当該要配慮個人情報が、本人、国の機関、地方公共団体、出版、報道等により公開されている場合
六 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
七 法第23 条第5項各号において、個人データである要配慮個人情報の提供を受けるとき
第7条 (利用目的の通知等)
当法人は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表するものとする。
2 当法人は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合には、この限りでない。
3 前2項の規定は、次に掲げる場合については適用しない。
(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
第4章 個人データの適正管理
第8条 (個人データの適正管理)
当法人は、利用目的の達成に必要な範囲内で、常に個人データを正確かつ最新の状態に保つものとする。
2 当法人は、個人データの漏えい、滅失、毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずるものとする。
3 当法人は、個人データの安全管理のために、個人データを取り扱う従業者に対する必要かつ適切な監督を行うものとする。
4 当法人は、利用目的に関し保存する必要がなくなった個人データを、確実、かつ速やかに破棄又は削除するものとする。
5 当法人は、個人情報の取扱いの全部又は一部を当法人以外の者に委託するときは、原則として委託契約において、個人データの安全管理について受託者が講ずべき措置を明らかにし、受託者に対する必要かつ適切な監督を行うものとする。
第5章 個人データの第三者提供の制限
第9条 (個人データの第三者提供)
当法人は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供しないものとする。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより、当該事務の遂行に支障を及ぼすおそれがあるとき
2 次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。
(1)当法人が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
(2)合併その他の事由による事業の承継に伴って個人データが提供される場合
(3)個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称についてあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているとき
3 当法人は、前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名又は名称を変更する場合は、変更する内容について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くものとする。
第10条 (外国にある第三者への提供の制限)
前条にかかわらず、当法人が外国(本邦の域外にある国又は地域をいう。以下同じ。)にある第三者(個人情報取扱事業者に該当する者を除く。)に個人データを提供する場合は、前条第1項各号に該当する場合を除き、あらかじめ当該外国の第三者への提供を認める旨の本人同意を得なければならない。ただし、外国にある事業者が「適切かつ合理的な方法」により、「法第4章第1節の規定の趣旨に沿った措置」を講じている場合は、前条を適用するものとする。
第11条 (第三者提供をする際の記録)
当法人は、個人データを第三者に提供したときは、第三者提供に係る記録を作成しなければならない。ただし、当該個人データの提供が第9条第1項各号に該当する場合又は同条2項各号のいずれかに該当する場合は、この限りでない。
2 第三者に個人データの提供をする場合の記録の作成方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法によるものとする。
3 前項の記録は、次項又は第5項に該当する場合を除き、第三者から個人データの提供をし都度、速やかに作成しなければならない。
4 第2項の記録は、当該第三者から継続的に若しくは反復して個人データの提供(第6条第3項の方法により個人データの提供を受けた場合を除く。)をしたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
5 第2項の記録は、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者から個人データの提供を受けたときの記録に代えることができる。
6 第6条第3項までに基づき個人データを第三者に提供した場合は以下の事項を記録するものとする。
① 当該個人データを提供した年月日
② 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
④ 当該個人データの項目
7 第6条第1項又は前条に基づく本人の同意を得て個人データを第三者に提供した場合は以下の事項を記録するものとする。
① 本人の同意を得ている旨
② 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
③ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
④ 当該個人データの項目
8 第6項及び前項の記載事項のうち、第2項から第5項までの方法により作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
9 当法人は、第6項から前項までの規定により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。
| 場合 | 保存期間 |
| ① 本人を当事者とする契約書等に基づく個人データの提供の場合 | 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 |
| ② 個人データを継続的に若しくは反復して提供する場合 | 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間 |
| ③ 上記①又は②以外の場合 | 当該記録を作成した日から3年間 |
第12条 (第三者提供を受ける際の確認及び記録)
当法人は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第9条第1項各号に該当する場合又は同条2項各号のいずれかに該当する場合は、この限りでない。
① 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の指名
② 当該第三者による当該個人データの取得の経緯
2 当法人は、第三者から個人データの提供を受ける際の確認を行う方法は、確認を行う事項の区分に応じて、それぞれ次のとおりとする。
| 場合 | 方法 |
| ① 前項1号に該当する事項 | 個人データを提供する第三者から申告を受ける方法その他の適切な方法 |
| ② 前項2号に該当する事項 | 個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法 その他の適切な方法 |
3 前項にかかわらず、第三者から他の個人データの提供を受けるに際して前項の方法による確認(当該確認について記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う場合は、当該事項の内容と当該提供に係る確認事項の内容が同一であることの確認を行う方法によるものとする。
4 当法人は、前3項に基づく確認を行ったときは、以下の区分に応じて以下の事項を記録しなければならない。
一 第9条第1項又は第10条に基づく本人の同意を得て第三者に提供した場合
① 本人の同意を得ている旨
② 当該第三者の氏名又は名称
③ 当該第三者の住所
④ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
⑤ 当該第三者による当該個人データの取得の経緯
⑥ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
⑦ 当該個人データの項目
二 個人情報取扱事業者ではない第三者から提供を受けた場合
① 当該第三者の氏名又は名称
② 当該第三者の住所
③ 当該第三者が法人である場合は、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
④ 当該第三者による当該個人データの取得の経緯
⑤ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
⑥ 当該個人データの項目
5 前項各号の記載事項のうち、既に作成した記録(保存している場合に限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
6 第4項の記録は、次項又は第8項に該当する場合を除き、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。
7 第4項の記録は、当該第三者から継続的に若しくは反復して個人データの提供を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
8 第4項の記録は、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者から個人データの提供を受けたときの記録に代えることができる。
9 当法人は、第4項又第5項により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。
| 場合 | 保存期間 |
| ① 本人を当事者とする契約書等に基づく個人データの提供の場合 | 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 |
| ② 個人データを継続的に若しくは反復して提供する場合 | 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間の間 |
| ③ 上記①又は②以外の場合 | 当該記録を作成した日から3年間 |
第6章 保有個人データの開示、訂正・追加・削除・利用停止
第13条(保有個人データの開示等)
当法人は、本人から、当該本人に係る保有個人データについて、書面又は口頭により、その開示(当該本人が識別される個人情報を保有していないときにその旨を知らせることを含む。以下同じ。)の申し出があったときは、身分証明書等により本人であることを確認の上、開示をするものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)当法人の事業の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
2 開示は、書面により行うものとする。ただし、開示の申出をした者の同意があるときは、書面以外の方法により開示をすることができる。
3 保有個人データの開示又は不開示の決定の通知は、本人に対し書面により遅滞なく行うものとする。
第14条(保有個人データの訂正、追加、削除、利用停止、等)
当法人は、保有個人データの開示を受けた者から、書面又は口頭により、開示に係る個人データの訂正、追加、削除又は利用停止の申出があったときは、利用目的の達成に必要な範囲内において遅滞なく調査を行い、その結果を申出をした者に対し、書面により通知するものとする。
2 当法人は、前項の通知を受けた者から、再度申出があったときは、前項と同様の処理を行うものとする。
第7章 安全管理措置
第15条(個人情報保護管理者)
当法人は、個人情報の適正管理のため個人情報保護管理者を定め、当法人における個人情報の適正管理に必要な措置を行わせるものとする。
2 個人情報保護管理者は、事務局長とする。
3 事務局長は、代表理事の指示及び本規程の定めに基づき、適正管理対策の実施、従業者に対
する教育・事業訓練等を行う責任を負うものとする。
4 事務局長は、適正管理に必要な措置について定期的に評価を行い、見直し又は改善を行うものとする。
5 事務局長は、個人情報の適正管理に必要な措置の一部を、各事業を分掌する従業者に委任することができる。
第16条(苦情対応)
当法人は、個人情報の取扱いに関し、本人又は第三者から苦情の申し出がなされた場合には、適切かつ迅速な対応に努めるものとする。
2 苦情対応の責任者は、担当理事とし、必要により、代表理事又は副代表理事が対応するものとする。
3 担当理事は、苦情対応の業務を従業者に委任することができる。その場合は、あらかじめ従業者を指定し、その業務の内容を明確にしておくものとする。
第17条(電子媒体等を持ち運ぶ場合の漏えい等の防止)
当法人は、個人データが記録された電子媒体又は書類等の持ち運びは、次に掲げる場合を除き禁止する。
① 個人データに係る外部委託先に、委託事務を実施する上で必要と認められる範囲内でデータを提供する場合
② 利用目的の範囲で個人データを利用する場合
2 前項により個人データが記録された電子媒体又は書類等の持ち運びを行う場合には、以下の安全策を講じるものとする。
(1)個人データが記録された電子媒体を安全に持ち運ぶ方法
① 持ち運びデータの暗号化
② 持ち運びデータのパスワードによる保護
③ 施錠できる搬送容器の使用
④ 追跡可能な移送手段の利用
(2)個人データが記載された書類等を安全に持ち運ぶ方法
① 封緘、目隠しシールの貼付
第18条(個人データの削除及び機器、電子媒体等の廃棄)
個人データの廃棄・削除段階における記録媒体等の管理は次のとおりとする。
① 個人データが記録された書類等を廃棄する場合、シュレッダー等による記載内容が復元不能までの裁断、自社又は外部の焼却場での焼却・溶解等の復元不可能な手段を用いるものとする。
② 個人データが記録された機器及び電子媒体等を廃棄する場合、専用データ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を用いるものとする。
③ 個人情報データベース等中の個人データを削除する場合、容易に復元できない手段を用いるものとする。
④ 個人データを取り扱う情報システムにおいては、法令及び当社が別途定める保存期間期間経過後の毎年度末に個人データを削除するよう情報システムを構築するものとする。
⑤ 個人情報が記載された書類等については、当該関連する書類等について当法人が定める保存期間経過後の毎年度末に廃棄をするものとする。
2 個人データ若しくは個人情報データベース等を削除した場合、又は電子媒体等を廃棄した場合には、記録を残すものとする。削除・廃棄の記録としては、個人情報データベース等の種類・名称、責任者・取扱部署、削除・廃棄状況を記録するものとし、当該個人データ自体は含めないものとする。
第19条(外部からの不正アクセス等の防止)
当法人は、以下の各方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。
① 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する方法。
② 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不正ソフトウェアの有無を確認する方法。
③ 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする方法。
④ ログ等の分析を定期的に行い、不正アクセス等を検知する方法。
第20条(情報システムの使用及び移送、送信時の漏えい等の防止)
当法人は、情報システムの使用及び移送、送信時の 個人データの漏えい等を防止するために以下の措置を講じ、適切に運用するものとする。
① 情報システムの設計時に安全性を確保し、継続的に見直す(情報システムのぜい弱性を突いた攻撃への対策を講じることも含む。)。
② 個人データを含む通信の経路又は内容を暗号化する。
③ 移送又は電子メール等を使って送信する個人データについて、パスワード等による保護を行う。
第21条(従業者の義務)
当法人の従業者又は従業者であった者は、業務上知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に使用してはならない。
2 本規程に違反する事実又は違反するおそれがあることを発見した従業者は、その旨を個人情報保護管理者に報告するものとする。
3 個人情報保護管理者は、前項による報告の内容を調査し、違反の事実が判明した場合には遅滞なく代表理事に報告するとともに、適切な措置を講ずるよう指示するものとする。
第8章 雑 則
第22条(その他)
この規程の実施に必要な事項は、別に定めるものとする。
附 則
この規程は、平成30年8月1日から施行する。