Privacy Policy
個人情報の取扱いについて
ロジック・アンド・デザインは、当社事業における様々な場面で個人情報をご提供いただくことがあります。
法令および社内規程等を遵守するとともに、次のとおり「個人情報取扱規程」を定め、個人情報の適切な管理および保護に努めます。を定め、個人情報の適切な管理および保護に努めます。
個人情報取扱規程
第1章 総則
第1条(目的)
規程は、当社(当社の役員、従業者を含む。以下同じ。)が、個人情報保護法(以下「法」という。)並びに関係する政省令及びガイドラインに基づき、当社の取り扱う個人データの適正な取扱いを確保するために定めるものである。
この規程において、次に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
1. 「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
- (1)当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の近くによっては認識できない方式をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて評された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
- (2) 個人識別符号が含まれるもの
2. 「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、法において定めるものをいう。
- (1) 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
- (2)個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方法により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
3.「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法で定める記述等が含まれる個人情報をいう。
4.「個人情報データベース等」とは、(i)特定の個人情報をコンピュータ等を用いて検索できるように体系的に構成したもの及び(ii)これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものをいい、利用方法からみて個人の権利利益を害するおそれが少ないものとして次のいずれにも該当するものを除く。
- (1) 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
- (2) 不特定かつ多数の者により随時に購入することができ、又はできたものであること。
- (3) 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
5. 「個人データ」とは、個人情報のうち、個人情報データベース等を構成するものをいう。
6. 「保有個人データ」とは、個人データのうち、開示、訂正、利用停止等の権限を有するものであって、以下のものを除く。
- (1) 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
- (2) 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
- (3) 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
- (4) 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
第2章 安全管理措置
第1節 組織的安全管理措置
第3条(事務取扱責任者等)
代表取締役社長を当社における個人データの取扱いに関する責任者とする。
第4条(監督)
事務取扱責任者は、個人データが本規程に基づき適正に取り扱われるよう、当社役員及び従業者に対して必要かつ適切な監督を行うものとする。
第5条(役員及び従業者の責務)
1.個人データを取り扱う当社の役員及び従業者は、個人データを取扱う業務に従事する際、本規程及びその他の社内規程並びに事務取扱責任者の指示した事項に従い、個人データの保護に十分な注意を払ってその業務を行うものとする。
2.個人データを取り扱う当社の役員及び従業者は、個人情報の漏えい等、本規程並びにその他の社内規程に違反している事実又は兆候を把握した場合、速やかに事務取扱責任者に報告するものとする。
第6条(本規程に基づく運用状況の記録)
1. 事務取扱責任者は、以下の個人データの運用状況を確認するものとする。
- (1) 個人情報データベース等の利用・出力状況の記録
- (2) 個人データが記載又は記録された書類・媒体等の持ち運び等の状況
- (3) 個人情報データベース等の削除・廃棄の状況
- (4) 削除・廃棄を委託した場合、これを証明する記録等
- (5) 個人情報データベース等を情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)
2. 事務取扱責任者は、以下の個人データの取扱状況を確認するものとする。
- (1) 個人情報データベース等の種類、名称
- (2) 個人データの項目
- (3) 利用目的
- (4) 責任者・取扱部署
- (5) アクセス権者
第7条(情報漏えい事態への対応)
個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の事案の発生又は兆候を把握した場合は、事務取扱責任者の責任により以下の対応を行う。
(1) 被害の拡大の防止
(2) 事実関係の調査、原因の究明
(3) 影響範囲の特定
(4) 再発防止策の検討・実施
(5) 影響を受ける可能性のある本人への連絡等
(6) 事実関係、再発防止策等の公表
(7) 関係当局への報告
第8条(取扱状況の確認並びに安全管理措置の見直し)
1. 事務取扱責任者は、1年に1回以上の頻度で又は臨時に第6条に規定する運用状況及び取扱状況の確認を行うものとする
2. 事務取扱責任者は、前項の確認の結果に基づき、安全管理措置の評価、見直し及び改善に取り組むものとする。
第2節 人的安全管理措置
第9条(教育・研修)
1. 事務取扱責任者は、本規程に定められた事項を理解し、遵守するとともに、従業者に本規程を遵守させるための教育訓練を企画・運営する責任を負う。
2. 従業者は、事務取扱責任者が主催する本規程を遵守させるための教育を受けなければならない。研修の内容及びスケジュールは、事業年度毎に事務取扱責任者が定める。
3. 当社は、個人データについての秘密保持に関する事項を就業規則に盛り込むものとする。
第3節 物理的安全管理措置
第10条(個人データを取り扱う区域の管理)
当社は事務取扱責任者及び事務取扱責任者が定めた者以外が容易に個人データを閲覧等できないような措置を講ずるものとする。
第11条(機器及び電子媒体等の盗難等の防止)
当社は個人データを取扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に掲げる措置を講じる。
(1) 個人データを取扱う機器、電子媒体又は書籍等を、施錠できるキャビネット・書庫等に保管する。
(2) 個人データを取扱う情報システムが機器のみで運用されている場合は、セキュリティワイヤー等により固定する。
第12条(電子媒体等を持ち運ぶ場合の漏えい等の防止)
当社の従業者が個人データが記録された電子媒体又は書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずるものとする。
第13条(個人データの削除及び機器、電子媒体等の廃棄)
個人データを削除し、又は個人データが記録された機器、電子媒体等を廃棄した場合には、事務取扱責任者がこれを確認するものとする。
第4節 技術的安全管理措置
第14条(アクセス制御)
当社は、個人データへの不正なアクセスを防止するため、個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確にするものとする。
第15条(アクセス者の識別と認証)
個人データを取り扱う情報システムは、ユーザー制御機能(ユーザーアカウント制御)により、当該情報システムを使用する従業者を識別・認証するものとする。
第16条(外部からの不正アクセス等の防止)
当社は、以下の各方法により、情報システムを外部からの不正アクセス又は不正ソフトウェアから保護するものとする。
(1) 個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
(2) 個人データを取り扱う機器等にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入し、自動更新機能等の活用により、これを最新状態とする。
第17条(情報システムの使用に伴う漏えい等の防止)
当社は、情報システムの使用に伴う個人データの漏えい等を防止するために、メール等により個人データの含まれるファイルを送信する場合は、当該ファイルへパスワード等による保護を行う。
第3章 個人情報の取扱い
第1節 個人情報の取得・保有等
第18条(利用目的の特定)
1. 当社は、個人情報の保有に当たっては、業務を遂行するため必要な場合に限り、かつ、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2. 当社は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
第19条(利用目的による制限)
1. 当社は、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を保有してはならない。
2.当社は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3. 前二項の規定は、次に掲げる場合については、適用しない。
- 一 法令に基づく場合
- 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 四国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
第20条(不適正な利用の禁止)
当社は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないものとする。
第21条(適正な取得)
1. 当社は、偽りその他不正な手段により個人情報を取得しないものとする。
2. 当社は、法で認められる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
第22条(データ内容の正確性の確保等)
当社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
第2節 第三者提供の制限
第23条(第三者提供の制限)
当社は、法で認められる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
第24条(第三者提供をする際の記録)
1. 当社は、個人データを第三者に提供したときは、法で定められた第三者提供に係る記録を作成しなければならない。
2. 第三者に個人データの提供をする場合の記録の作成方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法によるものとする。
3. 当社は、前項の規定により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。
場合 | 保存期間 |
(1) 本人を当事者とする契約書等に基づく個人データの提供の場合 | 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 |
(2) 個人データを継続的に若しくは反復して提供する場合 | 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日まの間 |
(3) 上記(1)又は(2)以外の場合 | 当該記録を作成した日から3年間 |
第25条(第三者提供を受ける際の確認及び記録)
1. 当社は、第三者から個人データの提供を受けるに際しては、法で求められる事項の確認を行わなければならない。
2. 当社は、前項に基づく確認を行ったときは、法で求められる事項を記録しなければならない。
3. 当社は、前項により作成した記録を、以下の場合に応じて、当該記録を作成した日から所定の期間保存するものとする。
場合 | 保存期間 |
(1) 本人を当事者とする契約書等に基づく個人データの提供の場合 | 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 |
(2) 個人データを継続的に若しくは反復して提供する場合 | 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日まの間 |
(3) 上記(1)又は(2)以外の場合 | 当該記録を作成した日から3年間 |
第4章 保有個人データの開示等の
請求等及び苦情処理
第26条(保有個人データの利用目的の通知)
1.当社は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、法で通知しないことが認められる場合を除き、本人に対し、遅滞なく、これを通知するものとする。
2. 当社は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。
第27条(保有個人データの開示)
1.当社は、本人から、当該本人が識別される保有個人データの開示に係る請求を受けたときは、当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示するものとする。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
- 一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 二 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 三 他の法令に違反することとなる場合
2.当社は、前項の規定に基づき求められた保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、又は本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知するものとする。この場合、当社は本人に対して、当該通知においてその理由を説明するものとする。
3. 前二項の規定は、当該本人が識別される個人データに係る第三者提供記録について準用する。ただし、次に掲げる場合は、この限りではない。
- 一 当該記録の存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
- 二 当該記録の存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
- 三 当該記録の存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
- 四 当該記録の存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
第28条(保有個人データの訂正等)
1.当社は、当該本人が識別される保有個人データの内容が事実でないことを理由に当該本人から訂正、追加又は削除(以下「訂正等」という。)に係る請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行うものとする。
2.当社は、前項の請求に係る保有個人データの内容の全部又は一部について訂正等を行ったとき、又は訂正等を行わない旨を決定したときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知するものとする。この場合、当社は本人に対して、当該通知においてその理由を説明するものとする。
第29条(保有個人データの利用停止等)
1.当社は、本人から、当該本人が識別される保有個人データが、利用目的による制限に違反して取得されているという理由、不適正な利用の禁止又は適正な取得の規定に違反して取り扱われたものであるという理由によって、当該保有個人データの利用の停止、消去(以下、本条において「利用停止等」という。)に係る請求を受けた場合であって、利用停止等に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、保有個人データの利用停止等を行うものとする。ただし、利用停止等を行うことに多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、当該本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではない。
2.当社は、本人から、当該本人が識別される保有個人データが第三者提供の制限の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止に係る請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの提供を停止するものとする。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3.当社は、第一項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。この場合、当社は本人に対して、当該通知においてその理由を説明するものとする。
4.(1)当該本人が識別される保有個人データを利用する必要がなくなった場合、(2)当該が識別される保有個人データに係る第7条(情報漏えい事態への対応)に規定する事態のうち、法の規定に違反する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合であって、本人から当該保有個人データの利用停止等又は第三者への提供の停止に係る請求があった場合、これに応じるものとする。
5.当社は、本人から前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行うものとする。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
第30条(苦情処理)
当社は、当社における保有個人データの取扱いに関する苦情の適切かつ迅速な処理に努めるものとする。
附 則
この規程は、令和4年4月1日から施行する。
令和4年4月1日制定