くらしのコープ個人情報保護方針

 (目的)
第1条 この規程は、生活協同組合くらしのコープ(以下「組合」という。)が取り扱う個人情報の適切な保護について定め、組合が業務運営に応じた個人情報保護のための法令遵守行動基準を設定し、事業内容に応じた個人情報保護を遵守することを目的とする。 

(定義)
第2条 この規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。定めのない用語は法令の定めるところによる。
(1) 個人情報:個人に関する情報であって、当該情報に含まれる氏名、生年月日等、又は個人別に付された番号、記号その他画像若しくは音声により当該個人を識別できるもの(当該情報では識別できないが、外の情報と容易に照合でき、それにより当該個人を識別できるものを含む。)をいう。
(2) 法令遵守管理者:組合の理事長(以下「理事長」という。)であり、個人情報保護規程の改廃決定を含む管理上の責任と権限を有する者
(3) 本人の同意:本人の情報の取得、利用について説明したうえで、説明した内容について承諾する意思表示(本人が18歳未満の場合は、親権者の同意)を行うことをいう。承諾は口頭又は文書でする。

(対象となる個人情報)
第3条 この規程は、組合において取り扱われるすべての個人情報を対象とする。パソコンにより処理されているか否か、又は書面に記録されているか否かを問わない。

(個人情報の特定)
第4条 第3条に定める個人情報については、取引先又は業務依頼先等及び本人から直接取得する場合に特定する。

 (取得範囲の制限)
第5条 個人情報の取得は、組合の業務遂行に必要な最低限度の範囲内とし、取得目的を明確に定め、その目的の達成に必要な限度においてこれを行うものとする。

(取得の方法)
第6条 個人情報の取得は、その業務にかかわる取引先等から適法かつ公正な手段によって行うものとする。

 (特定の機微な個人情報の取得の禁止)
第7条 次に掲げる種類の内容を含む個人情報については、原則としてこれを取得しない。ただし、法令及び業務上必要がある場合はこの限りでない。
(1) 本籍地(所在地都道府県に関する情報を除く。)身体・精神障害その他社会的差別の原因となる事項。
(2) その他業務上必要のない事項。

(本人から取得する場合)
第8条 本人から個人情報を取得する場合には、本人に対して書面又はこれに代わる方法により、 当該情報の取得又は利用に関する同意を得るものとする。

 

(本人以外から間接的に取得する場合)
第9条 原則として、本人以外から間接的に個人情報を取得しない。ただし、止むを得ず本人以外から間接的に個人情報を取得する必要がある場合は、あらかじめ、前条の規定による手続を行い本人から自己の情報提供を予定している旨の同意を得ている場合で、事実と認められる情報である場合はこの限りではない。

 (利用及び提供の原則)
第10条  個人情報の利用は、本人が同意を与えた取得目的の範囲内で行われなければならない。なお、次の各号のいずれかに該当する場合は、その限りではない。また、第三者への提供は行わない。 
(1) 法令の規定による場合
(2) 本人又は公衆の生命、健康、財産等の重大な利益を保護するために必要な場合

(目的外利用の場合の措置)
第11条 取得目的の範囲を超えて個人情報の利用及び提供を行う場合は、書面又はこれに代わる方法により本人に通知し、事前に本人の同意を得た上で行うものとする。

 (個人情報の正確性確保)
第12条  個人情報は利用目的に応じ必要な範囲内において、正確な状態で管理するものとする。

 (個人情報利用の安全性確保)
第13条 個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏えい等の危険に対応してパソコンの操作上、技術面、運用面及び組織体制面において合理的な安全対策を講ずるものとする。

(個人情報の秘密保持に関する職員の責務)
第14条 個人情報の取得、又は利用に従事する職員は、業務上の法令の規定又は本規程に従い、個人情報の保護の保持に十分な注意を払うものとする。

 (個人情報の委託処理に関する措置)
第15条 組合が、業務を委託する等のため個人情報を外部に提供する必要がある場合は、個人情報の保護について十分管理可能な者を選定し、契約等により、個人情報管理者の支持の遵守、個人情報に関する秘密保持、事故時の責任分担及び契約終了時の個人情報の返却及び消去等を担保するとともに、当該契約書等の書面又はこれに代わる記録を個人情報の保管期間にわたり保管するものとする。
2 原則として再委託は行わない。ただし、再委託を行うときは、個人情報の管理水準を満たしている委託先を選定し、受託先の了解の下に受託先との契約と同等以上の内容で委託契約書を締結し、必要に応じて業務の監督が可能とする。

 (電子メールに関する措置)
第16条 組合で取り扱う個人情報のデータを、電子メールにより受託先へ送信することを原則として禁止する。ただし、止むを得ないときは、暗号化又はパスワードの設定や認証を活用する。
2 受託先及び本人に対し、安全性確保のため、電子メールによる個人情報のデータの送信をしないよう要請する。ただし、止むを得ないときは、暗号化又はパスワードの設定や認証を活用する。

 (本人の情報開示)
第17条 本人から自己の情報について開示を求められた場合は、速やかにこれに応ずる。ただし、本人からのものであることを確認することができたときに限る。回答は受託契約者である理事長に行う。開示請求があった場合はこのことを説明し理解を求める。情報の削除又は訂正を求められた場合は、理事長と相談して対応する。
(本人情報の利用の拒否権)
第18条 組合が既に保有している個人情報については、本人から本人情報についての利用を拒否された場合は、これに応ずるものとする。ただし、公共の利益の保護又は組合若しくは法令に基づく権限の行使又は義務の履行のために必要な場合、及び組合内情報の適正な管理運営のために必要な場合については、この限りではない。

 (個人情報管理者)
第19条 理事長は、本規程の内容を理解し実践する能力のある者を指名し、個人情報保護管理者 としての責務を行わせることがある。

 (個人情報保護管理者の責務)
第20条 個人情報保護管理者は、本規程に定められた事項を理解し、遵守するとともに、法令遵守管理者を補佐し、個人情報の取得、又は利用等に従事する者に教育訓練、安全対策の実施並びに周知徹底等の措置を実施する責務を負うものとする。

 (苦情・相談窓口担当者の責務)
第21条 苦情・相談窓口の担当者は、本規程に定められた事項を理解し、遵守するとともに、ユーザー等からの個人情報に関する問い合わせ・苦情等を受け付けて対応するものとし、相談内容を分析し再発防止等を検討して本規程の運営に反映させる責務を負うものとする。

 (教育の実施)
第22条 組合は、職員に対し、本規程を遵守させるため教育及び指導を行わなければならない。

 (監査の実施)
第23条 法令遵守管理者は、個人情報保護監査実施計画を策定し、実施するものとする。

 (個人情報保護に対する基本方針)
第24条 理事長は、組合の個人情報保護方針を定め、いつでも閲覧できる状態にするものとする。

 (法令等の遵守)
第25条 組合及びその関係者は、個人情報に関する法令等を遵守しなければならない。

(罰則)
第26条 この規程に違反した者は、法令又は組合の就業規則等に基づき処分することがある。

 (その他)
第27条  この規程に定める事項の他、個人情報の保護について必要が生じたときは、法令等に基づき、理事長が定める。