1.利用目的の特定に関する事項(個人情報保護法第15条)
- 個人情報を取り扱うにあたっては、その利用目的をできる限り特定すること
- 個人情報において識別される本人が、自己の情報の利用範囲を予想できるようにするために、どのよう な目的で個人情報を取得し、取得した個人情報をどのように利用するかをできる限り明確にすること
- 他の目的に利用する可能性がある場合は、事前にそのことを明確にしておくこ
- 利用目的を変更する場合は、本来の利用目的と相当の関連性を有すると客観的、合理的に認められる 範囲を超えて取り扱ってはならない。
2.本人の同意に関する事項(個人情報保護法第16条、第23条)
- 個人情報を取り扱うにあたっては、その利用目的をあらかじめ通知し、または公表すること
- 「通知」の方法については、口頭、書面、電子メールなどで個別に伝達すること、「公表」の方法について は、掲示板やホームページ、チラシなどの広告媒体により、本人が容易に知りうる状態に置くこと
- 上述の個人情報の取り扱いについて、当該本人から口頭、書面等により承諾する意思表示を得ること。
特に、口頭の場合は、本人に直接、または本人の参加が確認できる説明会等に於いて、当該本人の個人情報の取り扱いについて異論がないことを口頭で明確に確認すること。
ただし、以下の場合には、あらかじめ本人の同意を得ないで当該本人の個人情報を取り扱うことが認められている。
a) 法令に基づく場合
学校教育法、私立学校法、刑事訴訟法、所得税法等、法令上の明確な根拠を持って行われる場合。
b)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
c)公衆衛生の向上、または児童生徒の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
d)国の機関若しくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
3.個人情報の安全管理に関する事項(個人情報保護法第20条、第21条)
- 人事体制およびその職務
- 個人情報の保護に関する最高責任者は、常務理事とする。
- 最高責任者は、日本YWCAにおける保有個人データの取り扱い状況を把握し、個人データの開示・非開示に関する決定を行う。
- 各部署に責任者兼取り扱い担当者を置く。
- 会員、賛助員等の個人データの取り扱いについては、その取り扱いの権限を与えられた者のみが業務の遂行上必要な限りにおいて取り扱うこととする。各部署の責任者兼取扱い担当者は以下の通り。
- 地域YWCA職員・役員情報 責任者兼取扱い担当者 総務担当職員
- 機関紙購読者情報 責任者兼取扱い担当者 編集担当職員
- 賛助員および寄付者情報 責任者兼取扱い担当者 財務担当職員
- 各部委員会担当プログラム 責任者兼取扱い担当者 各委員会担当職員
- コンピューターシステムに関すること 責任者権取扱い担当者 総務担当職員
- 責任者兼担当者は、自己の責任範囲における個人データの実態を把握し、個人データ管理マニュアルを作成し、適切な管理に努める。
- 個人データの廃棄については責任者兼担当者が判断して行う。
- 最高責任者は、当該部署の責任者兼担当者に個人データの適切な管理を行うよう意識の啓発を図り、その取り扱いに関する教育・研修・訓練を行う。
- 責任者兼担当者は、その取り扱う個人データについて、業務上知り得た内容を第三者に知らせたり、不当な目的に使用したりしてはならない。異動等によりその職を退いた後も同様とする。
責任者兼担当者以外の職員または会員が個人データの取り扱いを行う必要が生じた場合は、必ず責任者兼担当者の許可を得て、その指示に従って取り扱うこと。その場合、誤って滅失または毀損、漏洩する ことがないよう、細心の注意を持って行うこと。
- 物理的・技術的管理体制
- 個人情報を含む帳簿、書類やフロッピーディスク等記録メディアの保管に際しては、場所を特定し、保管庫に施錠するなど、個人情報の保護に努める。
- コンピューターシステムに関しては、外部からの不正なアクセスを防止するための策を講じる。
- 事務所のノート型パソコンは、鍵のかかるロッカーに保管し、外部に持ち出してはならない。
- 外部から持ち込んだノート型パソコンその他の携帯端末は、事務所のネットワークLAN につないではならない。
- 個人データファイルには個別のパスワードを設定し、第三者がアクセスすることを防止する。
- 個人情報をバックアップし、会館から持ち出してはならない。
- コンピューターを廃棄する場合は、ハードディスクに残ったデータを必ず消去すること。
- 印刷されたデータを廃棄する場合は、必ず粉砕処理を行うこと。
4.個人データの取り扱いの委託に関する事項(個人情報保護法第22条)
- 個人データの処理を外部の専門業者に委託する場合は、個人情報の漏洩等がないよう、適切な安全管理を行っている業者を選定すると共に、業者との委託契約の際に安全管理のために講ずべき措置の内容を明記し遵守させるものとする。
5.第三者提供に関する事項(個人情報保護法第23条)
- 個人データを第三者に提供する場合は、原則としてあらかじめ本人の同意を得ること。例外については、この取り決めの2-(3) a ~ c を参照のこと。
- 個人データを第三者に提供する場合は、提供先との間で個人情報保護についての安全管理責任について確認し、当該個人データ取り扱いに関する同意書を作成すること。同意書の内容については、次の事項 に留意すること。
- 提供先の従業員等が、当該個人データの取り扱いを通じて知り得た情報を漏らしたり、盗用したりしてはならないこと。
- 提供先における保管期間
- 利用目的達成後の個人データの返却または破棄等の処理の方法
- 個人データの複写および複製(安全管理上必要なバックアップを目的とするものを除く)をしてはならないこと。
- 当該個人データを再提供してはならないこと。
6.保有個人データの開示に関する事項(個人情報保護法第25条、第29条)
- 本人から本人に関する保有個人データの開示を求められたときは、原則として、本人確認を行った上で本人に対し、書面または開示請求者が同意した方法により、遅滞なく、当該保有個人データを開示するも のとする。
- 非開示の決定をすることが想定される保有個人データについては、各部署で定め、会員、賛助員その他利用者自身への周知を図る。
- 開示を求める手続き等については、情報の種類によって各部署で定め、会員、賛助員その他利用者自身への周知を図る。
- 本人の法定代理人から当該本人に関する保有個人データの開示を求められた場合における開示・非開示の決定にあたっては、当該本人に対する児童虐待の防止等に関する法律、および本人が同居する家庭 における配偶者からの暴力のおそれの有無を勘案すること。
7.苦情の処理に関する事項
- 個人情報の取り扱いに関する苦情の処理については、各部署の責任者兼担当者が行う。
8.この取り決めは、2009年4月1日より実施する。
(2009年3月13日理事会決議)