個人情報保護基本規定
本規定について
株式会社テレマーベル(以下、「当社」という。)は、個人情報の保護に関する法律を踏まえ、本規程に当社の事業の用に供す全ての個人情報を対象とした個人情報の適正な取扱いの確保に必要な事項を定める。ただし、特定個人情報については、別途定める規程に基づき取り扱うものとする。
本規定は、当社の全ての従業者(個人情報を取り扱う業務を外部に委託する場合の委託先及び労働者派遣法に基づく、派遣労働者も含む)に適用する。
なお、本規程における用語の定義については、本規程で特別に定めるもののほか、「個人情報の保護に関する法律についてのガイドライン」において定められた用語の定義による。
1. 個人情報の取得
1-1. 適正取得
偽り等の不正の手段により個人情報を取得してはならない。
1-2. 要配慮個人情報の取得
要配慮個人情報を取得する場合には、原則あらかじめ本人の同意を得なければならない。
1-3. 個人情報の利用目的
1-3-1. 利用目的の特定
個人情報を取り扱うに当たっては、利用目的を、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度にできる限り具体的に特定しなければならない。
(関係様式「個人情報保護方針」)
1-3-2.利用目的の通知又は公表
個人情報を取得する場合は、あらかじめその利用目的を公表していることが望ましいが、公表していない場合は、原則取得後速やかに、その利用目的を、本人に通知するか、又は公表しなければならない。
(関係様式「個人情報保護方針」)
1-3-3. 直接書面等による取得
契約書や懸賞応募はがき等の書面等による記載、ユーザー入力画面への打ち込み等の電磁的記録により、直接本人から個人情報を取得する場合には、あらかじめ、本人に対し、その利用目的を明示しなければならない。
2.個人データの管理
2-1. データ内容の正確性の確保等
利用目的の達成に必要な範囲内において、個人情報データベース等への個人情報の入力時の照合・確認の手続の整備、誤り等を発見した場合の訂正等の手続の整備、記録事項の更新、保存期間の設定等を行うことにより、個人データを正確かつ最新の内容に保つよう努めなければならない。
(関係様式「個人情報の取扱いに関する安全管理規程」)
なお、保有する個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足りる。
また、保有する個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等は、当該個人データを遅滞なく消去するよう努めなければならない 。なお、法令の定めにより保存期間等が定められている場合は、この限りではない。
2-2. 安全管理措置
取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならないが、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。) 、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。具体的に講じなければならない措置や当該項目を実践するための個人データの取扱いに係る規律については、別途「個人情報の取扱いに関する安全管理規程」に定める。
2-3.従業者の監督
従業者に個人データを取り扱わせるに当たって、別途定める「個人情報の取扱いに関する安全管理規程」を遵守させるよう、当該従業者に対し必要かつ適切な監督をしなければならない。その際、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、個人データを取り扱う従業者に対する教育、研修等の内容及び頻度を充実させるなど、必要かつ適切な措置を講ずることが望ましい。
2-4. 委託先の監督
個人データの取扱いの全部又は一部を委託する場合は、委託先において当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督をしなければならない。具体的には、自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行うものとする。
その際、委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次の(1)から(3)までに掲げる必要かつ適切な措置を講じなければならない。
(1)適切な委託先の選定
委託先の選定に当たっては、委託先の安全管理措置が、別途「個人情報の取扱いに関する安全管理規程」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。
(関係様式「委託企業確認書」)
(2)委託契約の締結
委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。
(関係様式「個人情報の取扱いに関する覚書」)
(3)委託先における個人データ取扱状況の把握
委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。
また、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が安全管理措置を講ずることを十分に確認することが望ましい。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様である。
(関係様式「委託企業確認書」)
3. 個人データの第三者への提供及び受領
3-1. 個人データの第三者提供
3-1-1. 本人同意による第三者提供
3-1-1-1. 原則
個人データの第三者への提供に当たり、あらかじめ本人の同意を得ないで提供してはならない。同意の取得に当たっては、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。
ただし、次の(1)から(4)までに掲げる場合については、第三者への個人データの提供に当たって、本人の同意は不要である。
(1)法令に基づいて個人データを提供する場合
(2)人(法人を含む。 )の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合
(3)公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合
(4)国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合
3-1-1-2. 記録
本人の同意に基づき個人データの第三者提供を行う場合は、次の項目を記録しなければならない。
(1)「本人の同意を得ている旨」
(2)「当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨) 」
(3)「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」
(4)「当該個人データの項目」
(関係様式「個人情報授受記録表」)
3-1-1-3. 第三者に該当しない場合
次の(1)から(3)までの場合については、個人データの提供先は形式的には第三者に該当するものの、本人との関係において提供主体である当社と一体のものとして取り扱うことに合理性があるため、第三者に該当しないものとする。
このような要件を満たす場合には、あらかじめの本人の同意又は第三者提供におけるオプトアウトを行うことなく、個人データを提供することができる。
(1)委託
利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴い、当該個人データが提供される場合は、当該提供先は第三者に該当しない。
(2)事業の承継
合併、分社化、事業譲渡等により事業が承継されることに伴い、当該事業に係る個人データが提供される場合は、当該提供先は第三者に該当しない。
また、事業の承継のための契約を締結するより前の交渉段階で、相手会社から自社の調査を受け、自社の個人データを相手会社へ提供する場合も、本号に該当し、あらかじめ本人の同意を得ることなく又は第三者提供におけるオプトアウト手続を行うことなく、個人データを提供することができるが、当該データの利用目的及び取扱方法、漏えい等が発生した場合の措置、事業承継の交渉が不調となった場合の措置等、相手会社に安全管理措置を遵守させるために必要な契約を締結しなければならない。
(3)共同利用
特定の者との間で共同して利用される個人データを当該特定の者に提供する場合であって、次の①から⑤までの情報を、提供に当たりあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときには、当該提供先は、本人から見て、当該個人データを当初提供した事業者と一体のものとして取り扱われることに合理性があると考えられることから、第三者に該当しない。
①共同利用をする旨
②共同して利用される個人データの項目
③本人がどの事業者まで将来利用されるか判断できる程度に明確にした、共同して利用する者の範囲
当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない。
④利用する者の全ての利用目的
利用目的が個人データの項目によって異なる場合には、当該個人データの項目ごとに利用目的を区別して記載することが望ましい。
⑤当該個人データの管理について責任を有する者の氏名又は名称
「個人データの管理について責任を有する者」とは、開示等の請求及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者をいう。
なお、ここでいう「責任を有する者」とは、共同して利用する全ての事業者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する者をいい、共同利用者のうち一事業者の内部の担当責任者をいうものではない。
共同利用を実施する場合には、共同利用者における責任等を明確にし、円滑に実施する観点から、上記①から⑤までの情報のほか、例えば、次の(ア)から(カ)までの事項についても、あらかじめ取り決めておくことが望ましい。
(ア)共同利用者の要件(グループ会社であること、特定のキャンペーン事業の一員であること等、共同利用による事業遂行上の一定の枠組み)
(イ)各共同利用者の個人情報取扱責任者、問合せ担当者及び連絡先
(ウ)共同利用する個人データの取扱いに関する事項
・個人データの漏えい等防止に関する事項
・目的外の加工、利用、複写、複製等の禁止
・共同利用終了後のデータの返還、消去、廃棄に関する事項
(エ)共同利用する個人データの取扱いに関する取決めが遵守されなかった場合の措置
(オ)共同利用する個人データに関する事件・事故が発生した場合の報告・連絡に関する事項
(カ)共同利用を終了する際の手続
個人データを共同利用する場合において、「共同利用する者の利用目的」については、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内で変更することができ、「個人データの管理について責任を有する者の氏名又は名称」についても変更することができるが、いずれも変更する前に、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
なお、 「共同して利用される個人データの項目」及び「共同して利用する者の範囲」について変更することは、原則として認められないが、例えば次のような場合は、引き続き共同利用を行うことができる。
3-1-2. オプトアウトによる第三者提供
3-1-2-1.原則
個人データの第三者への提供に当たり、次の(1)から(5)までに掲げる事項をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出た場合には、あらかじめ本人の同意を得ることなく、個人データを第三者に提供することができる。
また、必要な事項を個人情報保護委員会に届け出たときは、その内容を自らもインターネットの利用その他の適切な方法により公表するものとする。
なお、要配慮個人情報は、オプトアウトにより第三者に提供することはできず、第三者に提供するに当たっては、原則、必ずあらかじめ本人の同意を得る必要があるので、注意を要する。
(1)第三者への提供を利用目的とすること。
(2)第三者に提供される個人データの項目
(3)第三者への提供の方法
(4)本人の求めに応じて第三者への提供を停止すること。
(5)本人の求めを受け付ける方法
3-1-2-2. オプトアウトに関する事項の変更
オプトアウトにより個人データの第三者提供を行っている場合であって、提供される個人データの項目、提供の方法又は第三者への提供を停止すべきとの本人の求めを受け付ける方法を変更する場合は、変更する内容について、変更に当たってあらかじめ 、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。 なお、必要な事項を個人情報保護委員会に届け出たときは、その内容を自らも公表するものとする。
3-1-2-3. オプトアウトによる第三者提供をする場合
オプトアウトによる個人データの第三者提供を行う場合は、次の項目を記録しなければならない。
(1)「当該個人データを提供した年月日」
(2)「当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨) 」
(3)「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」
(4)「当該個人データの項目」
(関係様式「個人情報授受記録表」)
3-2. 個人データの第三者提供の受領
3-2-1. 受領者の確認事項
3-2-1-1. 確認方法
第三者から個人データの提供を受ける際は、当該第三者に対して、次のとおり確認を行わなければならない。
(1) 第三者の氏名及び住所並びに法人にあっては、その代表者の氏名
(2) 第三者による個人データの取得の経緯
取得先の別(顧客としての本人、従業員としての本人、他の個人情報取扱事業者、家族・友人等の私人、いわゆる公開情報等)、取得行為の態様(本人から直接取得したか、有償で取得したか、いわゆる公開情報から取得したか、紹介により取得したか、私人として取得したものか等)などを確認しなければならない。
(3) 法の遵守状況
利用目的、開示手続、問合せ・苦情の受付窓口の公表などについても確認することが望ましい。
なお、オプトアウトによる第三者提供により個人データの提供を受ける際には、当該個人情報取扱事業者の届出事項が個人情報保護委員会により公表されている旨を記録しなければならない
(関係様式「個人情報授受記録表」)
| 確認事項 | 確認方法 |
| (1) 第三者の氏名及び住所並びに法人にあっては、その代表者の氏名 | ・口頭で申告を受ける方法 ・所定の申込書等に記載をさせた上で、当該申込書等の提出を受け入れる方法 ・本人確認書類の写しの送付を受け入れる方法 ・登記されている事項を確認する方法 ・法人番号の提示を受けて、当該法人の名称、住所を確認する方法 ・当該第三者が自社のホームページなどで名称、住所、代表者の氏名を公開している場合において、その内容を確認する方法 ・信頼性のおける民間のデータ業者のデータベースを確認する方法 ・上場会社等の有価証券報告書等を確認する方法 |
| (2)第三者による個人データの取得の経緯 | ・提供者が別の者から個人データを買い取っている場合には売買契約書などを確認する方法 ・提供者が本人から書面等で当該個人データを直接取得している場合に当該書面等を確認する方法 ・提供者による取得の経緯が明示的又は黙示的に示されている、提供者と受領者間の契約書面を確認する方法 ・提供者が本人の同意を得ていることを誓約する書面を受け入れる方法 ・提供者のホームページで公表されている利用目的、規約等の中に、取得の経緯が記載されている場合において、その記載内容を確認する方法 ・本人による同意書面を確認する方法 |
| (3)法の遵守状況 | ・当該個人情報取扱事業者の利用目的、開示手続、問合せ・苦情の受付窓口の公表等の確認 ・当該個人情報取扱事業者の届出事項が個人情報保護委員会により公表されている旨を記録(オプトアウトによる第三者提供により個人データの提供を受ける際には必須) |
3-2-1-2. 既に確認を行った第三者に対する確認方法
同じ提供者から、既に確認・記録義務を履行した、特定の事業活動であることを認識しながら、個人データの提供を受ける場合は、提供者の名称、当該個人データの取得の経緯について「同一であることの確認」を行わなくてはならない。
(関係様式「個人情報授受記録表」)
3-2-2. 受領者の記録事項
3-2-2-1. 原則
本人の同意に基づく個人データの第三者提供を受けた場合は、次の項目を記録しなければならない。
(1)「本人の同意を得ている旨」
(2)「当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名」
(3)「当該第三者による当該個人データの取得の経緯」
(4)「当該個人データの項目」
(関係様式「個人情報授受記録表」)
3-2-2-2. オプトアウトによる第三者提供を受ける場合
オプトアウトによる個人データの第三者提供を受ける場合は、次の項目を記録しなければならない。
(1)「当該個人データを受けた年月日」
(2)「当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名」
(3)「当該第三者による当該個人データの取得の経緯」
「取得の経緯」については、取得先の別(顧客としての本人、従業員としての本人、他の個人情報取扱事業者、家族・友人等の私人、いわゆる公開情報等)」及び取得行為の態様(本人から直接取得したか、有償で取得したか、いわゆる公開情報から取得したか、紹介により取得したか、私人として取得したものか等)を記録する。
(4)「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」
(5)「当該個人データの項目」
(6)「個人情報保護委員会により公表されている旨」
(関係様式「個人情報授受記録表」)
3-2-2-3. 私人などから第三者提供を受ける場合
私人などから個人データの第三者提供を受ける場合は、次の項目を記録しなければならない。
(1) 「当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名」
(2)「当該第三者による当該個人データの取得の経緯」
「取得の経緯」については、取得先の別(顧客としての本人、従業員としての本人、他の個人情報取扱事業者、家族・友人等の私人、いわゆる公開情報等)」及び取得行為の態様(本人から直接取得したか、有償で取得したか、いわゆる公開情報から取得したか、紹介により取得したか、私人として取得したものか等)を記録する。
(3)「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」
(4)「当該個人データの項目」
(関係様式「個人情報授受記録表」)
3-3. 個人データの第三者提供等に係る記録の作成等
3-3-1. 原則
個人データの授受の都度、速やかに、記録を作成しなければならない。
なお、個人データを授受する前に記録を作成することもできる。本人別に記録を単体で作成する方法のほか、対象となる複数の本人の記録を一体として作成することもできる。
(関係様式「個人情報授受記録表」)
3-3-2. 契約書等の代替手段による方法
本人に対する物品又は役務の提供に係る契約を締結し、かかる契約の履行に伴って、契約の締結の相手方を本人とする個人データを第三者に提供する場合は、当該提供の際に作成した契約書その他の書面をもって個人データの流通を追跡することが可能であることから、当該契約書その他の書面をもって記録とすることができる。
3-3-3. 代行により記録を作成する方法
提供者・受領者のいずれも記録の作成方法・保存期間は同一であることに鑑みて、提供者(又は受領者)は受領者(又は提供者)の記録義務の全部又は一部を代替して行うことができる(提供者と受領者の記録事項の相違については留意する必要がある。)。なお、この場合であっても、提供者及び受領者は自己の義務が免責されるわけではないことから、実質的に自らが記録作成義務を果たしているものと同等の体制を構築しなければならない。
3-4. 個人データの第三者提供等に係る記録の保存期間
3-4-1. 「契約書等の代替手段による方法」により記録を作成した場合
最後に当該記録に係る個人データの提供を行った日から起算して 1 年を経過する日までの間、記録を保管しなくてはならない。
3-4-2. 「一括して記録を作成する方法」及び「その他の方法」により記録を作成した場合
最後に当該記録に係る個人データの提供を行った日から起算して 3 年を経過する日までの間、記録を保管しなくてはならない。
4. 保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等
4-1. 保有個人データに関する事項の公表等
4-1-1. 保有個人データに関する事項の本人への周知
保有個人データについて、次の①から⑤までの情報を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
①個人情報取扱事業者の氏名又は名称
②全ての保有個人データの利用目的(ただし、別途定める利用目的の通知等をしなくてよい場合を除く。)
③保有個人データの利用目的の通知の求め又は開示等の請求に応じる手続及び保有個人データの利用目的の通知の求め又は開示の請求に係る手数料の額(定めた場合に限る。)
④保有個人データの取扱いに関する苦情の申出先
⑤認定個人情報保護団体の対象事業者である場合は、その団体の名称及び苦情解決の申出先。
4-1-2. 保有個人データの利用目的の通知
別途定める利用目的の通知等をしなくてよい場合を除いて、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、遅滞なく、本人に通知しなければならない。
なお、通知しない旨を決定したときは、遅滞なく、その旨を本人に通知しなければならない。
4-2. 保有個人データの開示
本人から、当該本人が識別される保有個人データの開示(存在しないときにはその旨を知らせることを含む。)の請求を受けたときは、本人に対し、書面の交付による方法(開示の請求を行った者が同意した方法があるときはその方法) により、遅滞なく、当該保有個人データを開示しなければならない。
なお、消費者等、本人の権利利益保護の観点からは、事業活動の特性、規模及び実態を考慮して、個人情報の取得元又は取得方法(取得源の種類等)を、可能な限り具体的に明記し、本人からの求めに一層対応していくことが望ましい。
ただし、開示することにより次の(1)から(3)までのいずれかに該当する場合は、その全部又は一部を開示しないことができるが、これにより開示しない旨の決定をしたとき又は請求に係る保有個人データが存在しないときは、遅滞なく、その旨を本人に通知しなければならない。
(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
4-3. 保有個人データの訂正等
本人から、当該本人が識別される保有個人データに誤りがあり、事実でないという理由によって、内容の訂正、追加又は削除(以下「訂正等」という。)の請求を受けた場合は、利用目的の達成に必要な範囲で遅滞なく必要な調査を行い、その結果に基づき、原則として、訂正等を行わなければならない。
なお、請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を本人に通知しなければならない。
また、保有個人データの内容の訂正等に関して他の法令の規定により特別の手続が定められている場合には、当該他の法令の規定が適用されることとなる。
4-4. 保有個人データの利用停止等
本人から、当該本人が識別される保有個人データが、本人の同意なく目的外利用がされている、又は偽りその他不正の手段により個人情報が取得され若しくは本人の同意なく要配慮個人情報が取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下「利用停止等」という。)の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等を行わなければならない。
また、本人から、当該本人が識別される保有個人データが、本人の同意なく第三者に提供されているという理由によって、当該保有個人データの第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、第三者提供を停止しなければならない。
なお、上記により、利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は、第三者提供の停止を行ったとき若しくは第三者提供を停止しない旨の決定をしたときは、遅滞なく、その旨を本人に通知しなければならない。
なお、消費者等、本人の権利利益保護の観点からは、事業活動の特性、規模及び実態を考慮して、保有個人データについて本人から求めがあった場合には、ダイレクトメールの発送停止等、自主的に利用停止に応じる等、本人からの求めにより一層対応していくことが望ましい。
4-5. 理由の説明
保有個人データの利用目的の通知の求め、又は保有個人データの開示、訂正等、利用停止等若しくは第三者提供の停止に関する請求(以下「開示等の請求等」という。)に係る措置の全部又は一部について、その措置をとらない旨又はその措置と異なる措置をとる旨を本人に通知する場合は、併せて、本人に対して、その理由を説明するように努めなければならない。
4-6. 開示等の請求等に応じる手続
開示等の請求等において、これを受け付ける方法として次の(1)から(4)までの事項を定めることができる。
なお、開示等の請求等を受け付ける方法を合理的な範囲で定めたときは、本人は、当該方法に従って開示等の請求等を行わなければならず、当該方法に従わなかった場合は、当該開示等の請求等を拒否することができる。
また、円滑に開示等の手続が行えるよう、本人に対し、開示等の請求等の対象となる当該本人が識別される保有個人データの特定に必要な事項(住所、ID、パスワード、会員番号等)の提示を求めることができるが、その際には、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データの特定に資する情報を提供するなど、本人の利便性を考慮しなければならない。
(1)開示等の請求等の申出先 (担当窓口名・係名、郵送先住所、受付電話番号、受付 FAX 番号、メールアドレス等 )
(2)開示等の請求等に際して提出すべき書面(電磁的記録を含む。)の様式、その他の開示等の請求等の受付方法 (郵送、FAX、電子メールで受け付ける等)
(3)開示等の請求等をする者が本人又はその代理人(①未成年者又は成年被後見人の法定代理人、②開示等の請求等をすることにつき本人が委任した代理人)であることの確認の方法
(4)保有個人データの利用目的の通知又は保有個人データの開示をする際に徴収する手数料の徴収方法
4-7. 手数料
保有個人データの利用目的の通知を求められ、又は保有個人データの開示の請求を受けたときは、当該措置の実施に関し、手数料の額を定め、これを徴収することができる。
なお、当該手数料の額を定めた場合には、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置いておかなければならない。
また、手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
4-8. 裁判上の訴えの事前請求
自己が識別される保有個人データの開示、訂正等又は利用停止等若しくは第三者提供の停止の請求について裁判上の訴えを提起しようとするときは、あらかじめ裁判外において当該請求を当社に対して行い、かつ、当該請求が当社に到達した日から 2 週間を経過した後でなければ、当該訴えを提起することができない。
ただし、当社が当該裁判外の請求を拒んだときは、2 週間を経過する前に、当該請求に係る裁判上の訴えを提起することができる。
5. 個人情報の取扱いに関する苦情処理
個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
また、苦情の適切かつ迅速な処理を行うに当たり、苦情処理窓口の設置や苦情処理の手順を定める等必要な体制の整備に努めなければならない。もっとも、無理な要求にまで応じなければならないものではない。
6. 本規定の見直し
6-1. 見直し
個人情報の保護についての考え方は、社会情勢の変化、国民の認識の変化、技術の進歩等に応じて変わり得るものであり、本規定は、法の施行後の状況等諸環境の変化を踏まえて定期的に見直しを行うよう努めるものとする。
6-2. 改訂
本規定の見直しは、個人情報保護管理者が行い、代表者の承認を経て改訂を行うものとする。
| 版数 | 改訂年月日 | 改訂内容 | 作成 | 承認 |
| 第1版 | 【2021年3月1日】 | 新規制定 | 大野賢仁 | 大野賢仁 |
個人情報の取扱いに関する安全管理規程
本規定について
株式会社テレマーベル(以下、「当社」という。)は、は、個人情報の保護に関する法律を踏まえ、本規程に当社の事業の用に供す全ての個人情報を対象とした個人情報の適正な取扱いの確保に必要な安全管理措置に関する事項を定める。ただし、特定個人情報については、別途定める規程に基づき取り扱うものとする。
本規定は、当社の全ての従業者(個人情報を取り扱う業務を外部に委託する場合の委託先及び労働者派遣法に基づく、派遣労働者も含む)に適用する。
なお、本規程における用語の定義については、本規程で特別に定めるもののほか、「個人情報の保護に関する法律についてのガイドライン」において定められた用語の定義による。
1. 安全管理措置
安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきである。
2. 基本方針の策定
個人データの適正な取扱いの確保について組織として取り組むために、基本方針として「事業者の名称」、 「関係法令・ガイドライン等の遵守」、 「安全管理措置に関する事項」 、 「質問及び苦情処理の窓口」等を含む、個人情報保護方針を策定する。
(関係様式「個人情報保護方針」)
3. 個人データの取扱いに係る規律
3-1. 個人情報の取扱いについて
個人情報の取扱い方法について、下記の通り定める。該当する権限を与えられた従業者のみがその権限の中で取扱いを実施するものとする。また、各取扱いに当たっては、次の許可されたエリアでのみ実施が認められており、許可なく持出すことを禁止する。
4. 組織的安全管理措置
組織的安全管理措置として、次に掲げる措置を講じなければならない。
4-1. 組織体制の整備
組織体制整備を整備するため、個人データの取扱に関する規律の整備及び運用に関する統括的責任と権限を有する個人情報保護管理者を選任する。各個人データを取扱う従業者は、その取扱いに係る規律に違反又は個人データの漏えい等の事案の発生又は兆候を把握した場合は、別途定める「緊急連絡網」に基づき、個人情報保護管理者に報告する。
4-2. 個人データの取扱いに係る規律に従った運用
個人データの取扱いに係る記録等の検証を可能とするため、別途「個人情報管理台帳」にて削除廃棄等の管理を行うと共に、個人データを取扱う情報システムの利用状況につき、イベントログ又は当該専用ソフト等を利用し、「アクセス権限管理表」に基づきアクセスログを残す。また、個人データを保管した各情報システムは定められた仕様に基づきバックアップを取得する。
4-3. 個人データの取扱状況を確認する手段の整備
個人データの取扱い状況を確認するため、別途「個人情報管理台帳」を作成する。
4-4. 漏えい等の事案に対応する体制の整備
漏洩等の事案に対応するため、別途「緊急連絡網」及び「事故又は違反報告書」を整備する。
4-5. 取扱状況の把握及び安全管理措置の見直し
個人データの取扱状況の把握及び安全管理措置の見直しするため、内部監査体制を整備し、別途作成する「監査実施記録」にて毎年実施をする。
5. 人的安全管理措置
人的安全管理措置として、次に掲げる措置を講じなければならない。
5-1. 従業者の教育
個人データの取扱いに関する周知教育訓練を、別途作成する「教育実施記録」にて毎年実施をする。
5-2. 秘密保持
当社の業務に従事する者は、その個人データの取扱に関して、就業規則に記載される秘密保持義務を順守すること。
6. 物理的安全管理措置
物理的安全管理措置として、次に掲げる措置を講じなければならない。
6-1. 個人データを取り扱う区域の管理
各個人データを取扱う際には、次の区画区分に係る規律を順守し、個人データを取扱うことが許可されていない区画には、個人データが格納又は個人データにアクセス可能な情報システムを持ち込まないこと。また、権限を有しない者に個人データが閲覧されないよう、各パソコンのスクリーンセーバーを必ず設定すること。
6-2. 機器及び電子媒体等の盗難等の防止
個人データを取扱う持ち運び可能な電子媒体及び個人データが記載された書類等は、施錠できるキャビネット等に保管する事。
6-3. 電子媒体等を持ち運ぶ場合の漏えい等の防止
「アクセス権限管理表」において、個人情報保護管理者に許可を得て個人データを持ち運ぶ際には、データの暗号化又はパスワードの設定を行うこと。
6-4. 個人データの削除及び機器、電子媒体等の廃棄
個人データが記載されたメディア媒体又は書類等を廃棄する際には、焼却、溶解又はシュレッダー等を利用し、復元不可能な状態にすること。また、パソコン等の情報システムを廃棄する際には、必ず個人情報保護管理者の許可を得て、物理的に復元できないよう破壊する又は復元不可能な専用データ削除ソフトを利用すること。なお、外部に作業を委託する場合には、必ず削除及び廃棄証明書を記録として取得すること。
7. 技術的安全管理措置
情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、技術的安全管理措置として、次に掲げる措置を講じなければならない。
7-1. アクセス制御
「アクセス権限管理表」に基づき、個人情報データベース等へのアクセス及び取扱いについて、従業者とその情報システムを限定する。個人情報保護管理者の許可を得ずに、個人情報データベース等へアクセスしてはならない。
7-2. アクセス制御
従業者は、付与されたユーザーID、パスワード、ICカード等を使用して、情報システムにアクセスすること。パスワードについては、次のルールに基づき適切に取り扱う事。
受託元から付与されたパスワードを各自管理し、変更等は受託元が決めた通りとなる。
7-3. 外部からの不正アクセス等の防止
7-3-1. ファイアーウォールの設置
情報システムと外部ネットワークの間に、ファイアーウォールを設定する。
7-3-2. ウィルスソフトの導入
情報システム及び機器に、セキュリティ対策ソフトウェア等を導入する。また、標準装備されている自動更新機能を必ず起動させ、ソフトウェア等を最新の状態とすること。
7-3-3. システムログ
情報システム及び機器がアクセスログを取得している場合は、個人情報保護管理者の許可なく削除せず、指示に従い定期的に確認又は保管すること。
7-4. 情報システムの使用に伴う漏えい等の防止
情報システム及び機器に脆弱性が発見された場合には、個人情報保護管理者に報告し、指示に従って安全性の確保のために見直し、改善すること。また、個人情報保護管理者から指示があった際には、暗号化された通信経路により個人データを送信すること。
8. 本規定の見直し
8-1. 見直し
個人情報の保護についての考え方は、社会情勢の変化、国民の認識の変化、技術の進歩等に応じて変わり得るものであり、本規定は、法の施行後の状況等諸環境の変化を踏まえて定期的に見直しを行うよう努めるものとする。
8-2. 改訂
本規定の見直しは、個人情報保護管理者が行い、代表者の承認を経て改訂を行うものとする。
| 版数 | 改訂年月日 | 改訂内容 | 作成 | 承認 |
| 第1版 | 【2021年3月1日】 | 新規制定 | 大野賢仁 | 大野賢仁 |
個人情報保護方針
株式会社テレマーベル(以下、「当社」という。)は、個人情報の取り扱いにあたり「個人情報の保護に関する法律」を遵守し、個人情報を適正かつ安全に取り扱うため、個人情報保護方針を策定し個人情報の保護に努めます。
1. 関係法令・ガイドライン等の遵守
当社は、個人情報の取扱いに関し、「個人情報の保護に関する法律」及び「個人情報の保護に関する法律についてのガイドライン」その他関連法令・ガイドライン等を遵守いたします。
2. 個人情報の取得及び利用について
当社は、個人情報の利用目的を具体的に特定し、その特定された利用目的の達成に必要な範囲内でのみ個人情報を利用いたします。
3. 安全管理措置に関する事項
当社は、個人情報に対する不正アクセス、個人情報の紛失、改ざん、漏洩等を防止するため、個人情報の取扱いに関する規定等を定め、組織的、人的、物理的、技術的な安全管理体制を構築し、着実に運用するとともに、継続的に改善して参ります。
4. 個人情報の第三者への開示・提供について
当社は、ご本人の同意を得ている場合や以下の場合を除き、取得した個人情報を第三者に提供することは致しません。
(1)法令に基づいて個人データを提供する場合
(2)人(法人を含む。 )の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合
(3)公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合
(4)国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合
5. 個人情報保護に係る質問及び苦情処理の窓口について
当社は、当社における個人情報保護に係るご質問及び苦情処理につきまして、次の窓口でお受けいたします。
「株式会社テレマーベル 個人情報苦情・相談窓口」
info@telmarvel.com
営業時間 10:00~17:00(年末年始及び土日祝祭日を除く)
株式会社テレマーベル
代表取締役 大野賢仁
制定:2021年3月1日
個人情報の取扱いについて
1. 個人情報の利用目的について
当社は、個人情報の取得に際しては、次の通り取得目的を正当な事業の範囲内で明確に定め、その目的達成に必要な限度において、適法かつ公正な方法で取得し、利用いたします。
(1)お客様に関する個人情報
【コールセンター事業】
・商品の発送、お客様へのご連絡、商品のご案内等
(2)株主様に関する個人情報
・法令に基づく権利の行使・義務の履行
・法令に基づく株主管理(株主データ作成等)
(3)お取引先様各社、他社の役員・社員等の方に関する個人情報
・業務上必要な諸連絡・商談等
・取引先情報管理、支払・収入処理
(4)お取引先様から委託を受けた個人情報
・委託業務に関する契約の履行
(5)採用応募者・雇用者・退職者に関する個人情報
・採用応募者(インターンシップを含む)への採用情報等の提供・連絡
・当社での採用業務管理
・当社での雇用管理
・退職者への情報提供および連絡など
(6)当社お問い合わせ(WEBフォーム等)個人情報
・お問い合わせに対する回答の為
2. 委託について
当社は、上記利用目的の達成に必要な範囲で個人情報の記載されているデータに関わる業務を外部に委託する場合は、当社の厳正な管理のもとで行い、規模及び実態に応じ委託処理の透明化を進め、情報漏洩のないよう、その保護に努めます。
3.オプトアウト
当社は、オプトアウトを行う場合はオプトアウトの詳細について、あらかじめ当社のホームページに掲載するとともに、個人情報保護委員会へ届出いたします。現在、当社ではオプトアウトを行っておりません。
4. 共同利用
当社は、共同利用を行う場合は共同利用の詳細について、当社のホームページに掲載いたします。現在、当社では共同利用を行っておりません。
5.開示等の請求手続きについて
当社の保有個人データの開示等(利用目的の通知、開示、訂正、利用停止等)を求める手続は以下のとおりです。開示等の手続においていただきました個人情報は、当該開示等の回答及び記録の保管のため以外には利用いたしません。
(1)開示等の求めの手続ができる方
・ご本人様
・ご本人様が未成年者または成年被後見人の場合はご本人様の法定代理人
・開示等の求めの手続についてお客さまご本人が委任した代理人
(2)開示等の求めの際の必要書類
<ご本人様が手続きされる場合>
・当社所定の開示等申請書
・本人確認書類(次のいずれかの書類「旅券、運転免許証、外国人登録証明書、特別永住者証明書、学生証、健康保険、国民健康保険または船員保険等の被保険者証、会社の身分証明書または公の機関が発行した資格証明書で写真付のもの」)
<代理人の方が手続をされる場合>
・当社所定の開示等申請書
・本人確認書類(ご本人様・代理人様分両方)
・当社指定の委任状
(3)開示等の求めの受付先
株式会社テレマーベル個人情報苦情・相談窓口
メールアドレス:shimazaki@vocus.co.jp
(4)開示等の手数料
個人情報の開示・利用目的の通知をご請求される場合、1回のご請求ごとに、1,000円(税別)をいただきます。ご郵送にて切手の同封あるいは郵便小為替を同封にてお願いいたします。
(5)開示等に対する回答の方法・時期等
本人様の個人情報である事が確認できましたら、次の場合を除き、合理的期間内に、本人様あて、書面にてご回答いたします。回答ができない場合には、理由を明示した上でその旨をお知らせいたします。
・自己が識別される保有個人データの利用目的が明らかである場合
・本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
・当該個人情報取扱事業者の権利又は利害が侵害されるおそれがある場合
・法令の定める事務を実施する上で、当該事務の遂行に支障を及ぼすおそれがある場合
株式会社テレマーベル
代表取締役 大野賢仁
制定:2021年3月1日