本規程は、社会福祉法人ライフサポート協会(以下「法人」という)の情報の取扱いに関する体制・基本ルールを策定し、法人で保有する情報の漏洩を防ぎ、情報管理に関する法人の社会的責任を果たすことを目的とする。
本規定で使用する用語は以下の通りとする。
1)個人情報
前号の「情報」のうち、個人に関するもので、当該情報に含まれる氏名、生年月日等の記述により、特定の個人を識別できるものをいう。他の情報と容易に照合でき、それにより特定の個人が識別できるものを含む。
2)本人
法人が保有する個人情報で識別される個人をいう。
本規程の対象となる情報は、法人で保管する全ての情報をさし、電子データ、印字データの別を問わない。
法人における情報管理責任者は、村田 進常務理事とする。
2 情報管理責任者は、情報管理委員会を主宰し、法人における情報管理に関する取り組みの推進に関する責任を負う。
3 情報管理責任者は、上記責任を果たす上で必要な事項に関する決定権を有する。
法人における情報管理に関する意思決定機関として情報管理委員会を設置する。
2 委員長は情報管理責任者とし、委員は情報管理責任者が委託したものとする。
3 情報管理委員会の事務局は法人総務部とする。
4 情報管理委員会は、情報管理に関する法人の取り組みの計画立案、指示、監査を行う。
各部門長を所属部門における情報管理者とする。
2 情報管理者は、情報管理委員会の定めた方針に従って、所属部門における情報管理に関する取り組みを推進する責務を負う。
情報管理委員会は法人における情報管理に関し、取扱規則の策定、セキュリティー対策の実践等、必要な取り組みを行うものとする。
2 法人の管理する情報は、情報管理台帳により一括管理し、その重要度に応じて分類し、取扱について定める。
法人職員は、入社時に本規程及びその他情報管理に関する規則を遵守する旨の誓約書を法人に提出するとともに、これを遵守しなければならない。退職時においても、情報を開示しない旨の誓約書を提出しなければならない。
2 情報を取引先・委託先等、外部に開示・提供する場合は、情報管理者の承認を得た上で、機密保持契約を締結してこれを行うものとする。
各部門の情報管理者は、定期的に部門職員を対象とした情報管理に関する教育を行う。
情報管理委員会は、法人内における情報管理の適切性について適宜監査を行う。
2 監査を行った場合、情報管理委員会は監査結果を監査対象部門に伝達する。
3 監査対象部門は、監査結果に基づき、速やかに改善措置を実施し、結果を情報管理委員会に報告する。
情報管理委員会は、個人情報取扱に関する法人としての基本方針を定め、これを公表する。
収集する個人情報の利用目的を明文化し、法人外にホームページ等で公表する。
2 個人情報の収集は利用目的の達成に必要な限度において行う。
3 収集済みの個人情報の利用目的の変更を要する場合は、予め情報管理委員会の承認を得た上で、変更後の利用目的を公表する。
4 前項の規程にかかわらず、契約書等の書面やホームページへの入力結果等、本人から個人情報を直接取得する場合、書面上の明記等の手法により本人に対して利用目的を明示するものとする。
法人で保管する個人情報の所在は、情報管理台帳により一元管理するものとする。
2 法人で保管する個人情報は、施錠管理、アクセス権の制限等、合理的な安全管理対策を行う。
3 職員は自らが所属する部門長又は部門長が指名する代行権限者の承認なく、個人情報を社外に持ち出したり、漏らしたりしてはならない。
個人情報の利用は、予め開示した利用目的の範囲内で行い、その範囲を超えて利用を行ってはならない。ただし、法令の定めに基づく場合を除く。
2 データ入力等により、個人情報の取り扱いを外部業者に委託する場合、委託先の個人情報取り扱いが適切かどうか確認した上、業務委託契約に委託業務遂行以外の目的での利用禁止、業務終了後の情報の返還又は廃棄、違反時の損害賠償等の条項を設けるものとする。長期間継続して業務を委託する場合には、委託先の個人情報取扱状況について確認を行うものとする。
3 業務の遂行にあたり、個人情報を第三者に提供する必要がある場合は、予め情報管理委員会事務局に報告し、その指示に従って必要な対応を行う。
保管期限を経過した個人情報、又は当初の目的を達成して不要となった個人情報は速やかに廃棄するものとする。
2 個人情報の廃棄にあたっては、外部漏洩しないよう、印字データについてはシュレッダー処理、電子データについてはデータを復元できないよう消去を行わなければならない。なお、廃棄を外部業者に委託する場合は、外部業者が確実に廃棄したことを確認するものとする。
本人からの情報開示・訂正・利用停止等の請求等、外部からの照会の受付窓口部門を法人総務部とする。
2 受付窓口部門は対応に関する手続きを定め、これに従い速やかに必要な対応を行う。
情報管理責任者は、個人情報に関わる漏洩事故等の緊急対応に関する業務を指揮する。
本規程への違反が明らかになった場合、法人は就業規則の定めに従い、違反を行った従業員に対する懲戒処分を行うものとする。
情報管理責任者は、必要に応じ情報管理に関する細則を制定するものとする。
本規程は2005年4月27日より施行する。
本規程の改定は情報管理委員会の発議によるものとする。