（目的） 第１条　この規程は、個人情報が個人の人格尊重の理念のもとに慎重に取り扱われるべきものであることにかんがみ、社会福祉法人久義会（以下「法人」という。）が保有する個人情報の適正な取扱いの確保に関し必要な事項を定めることにより、法人の事業の適正かつ円滑な運営を図りつつ、個人の権利利益を保護することを目的とする。

（定義） 第２条　この規程において「個人情報」とは、生存ずる個人に関する情報であって、次の各号のいずれかに該当するものをいう。 (1) 当該情報に含まれる氏名、生年月日その他の記述等（文書、図画もしくは電磁的記録＜電磁的方式（電子的方式、磁気的方式その他、人の知覚によっては認識することができない方式＞で作られる記録をいう。）に記載され、もしくは記録され、または音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。） (2) 個人識別符号が含まれるもの

２　この規程において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号をいう。

（1） 特定の個人の身体の一部の特徴（ＤＮＡ、容貌、声帯、指紋等）を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの

（2） 対象者ごとに異なるものとなるように、個人に提供される役務の利用もしくは個人に販売される商品の購入に関し割り当てられ、または個人に発行されるカードその他の符号であって、特定の利用者もしくは購入者または発行を受ける者を識別することができるもの（旅券番号、基礎年金番号、免許証番号、住民票コード、個人番号、被保険者証の記号番号等）

３　この規程において「要配慮個人情報」とは、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する個人情報であって、次の各号のいずれかの記述等が含まれるものをいう。

（1） 本人の人種、信条または社会的身分

（2） 病歴

（3） 身体障害、知的障害、精神障害（発達障害を含む。）その他の心身の機能の障害があること。

（4） 本人に対して医師その他医療に関連する職務に従事する者（次号において「医師等」という。）により行われた疾病の予防および早期発見のために健康診断その他の検査（次号において「健康診断等」という。）の結果

（5） 健康診断等の結果に基づき、または、疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導または診療もしくは調剤が行われた

（6） 犯罪の経歴または犯罪により害を被った事実

（7） 本人を被疑者または被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続きが行われたこと。

（8） 本人を、罪を犯した少年またはその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続きが行われたこと。

４　この規程において「個人情報データベース等」とは、個人情報を含む情報の集合物　であって、次に掲げるもの（利用方法からみて個人の権利利益を害するおそれが少ない　ものを除く。）をいう。

（1） 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

（2） 前号に掲げるもののほか、個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他の検索を容易にするためのものを有するもの

５　この規程において「個人情報取扱事業者」とは、個人情報データベース等を事業の用　に供している者をいう。ただし、国の機関、地方公共団体、独立行政法人等および地方　独立行政法人を除く。

６　この規程において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

７　この規程において「保有個人データ」とは、本法人が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして次に掲げるものまたは6月以内に消去することとなるもの以外のものをいう。

（1） 当該個人データの存否が明らかになることにより、本人または第三者の生命、身体または財産に危害が及ぶおそれのあるもの

（2） 当該個人データの存否が明らかになることにより、違法または不当な行為を助長し、または誘発するおそれがあるもの

（3） 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれまたは他国もしくは国際機関との交渉上不利益を被るおそれがあるもの

（4） 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

８　この規程において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。

第３条　本法人の役員、職員その他の従業者及び本法人の定款に定められた委員会の委員（以下「従事者等」という。）は、職務上もしくは活動上知り得た個人情報をみだりに個人に開示し、または正当な目的以外に使用してはならない。

2　前項による従業者等の義務は、その職を退いた後も存続する。

第４条　本法人は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。

2　本法人は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

第５条　本法人は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

2　本法人は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

3　前二項の規定は、次に掲げる場合については、適用しない。

（1） 法令に基づく場合

（2） 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難なとき。

（3） 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

（4） 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

第６条　本法人は、個人情報を取得するときは、個人情報を取り扱う事業の目的を明確にし当該事業の目的を達成するために必要な範囲で、適法かつ公正な手段により取得しなければならない。

２　本法人は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

（1） 法令に基づく場合

（2） 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

（3） 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

（4） 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

（5） 当該要配慮者個人情報が、本人、国の機関、地方公共団体、外国政府、外国の政府機関、外国の地方公共団体または国際機関、国内もしくは外国の放送機関、新聞社、通信社その他の報道機関、著述を業として行う者、大学その他の学術研究を目的とする機関・団体またはそれらに属する者、宗教団体、政治団体により公開されている場合

（6） 本人を目視し、または撮影することにより、その外形上明らかな要配慮個人情報を取得する場合

（7） 第13条第2項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。

３　前２項の規定にかかわらず、次の各号のいずれかに該当する場合には、あらかじめ本人の同意を得ないで前２条の規定により特定された利用目的の範囲を超えて個人情報を取り扱うことができるものとする。

(1)　法令に基づく場合

(2)　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

(3)　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

(4)　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより、当該事務の遂行に支障を及ぼすおそれがあるとき。

４　法人は、前項の規定に該当して利用目的の範囲を超えて個人情報を取り扱う場合には、その取扱う範囲を真に必要な範囲に限定するものとする。

第7条　本法人は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、または公表しなければならない。

２　本法人は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面（電磁的記録を含む。以下この項において同じ。）に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体または財産の保護のために緊急に必要がある場合は、この限りでない。

3　本法人は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、または公表しなければならない。

4　前三項の規定は、次に掲げる場合については、適用しない。

（1）利用目的を本人に通知し、または公表することにより本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

（2）利用目的を本人に通知し、または公表することにより本法人の権利または正当な利益を害するおそれがある場合

（3）国の機関または地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、または公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

（4）取得の状況からみて利用目的が明らかであると認められる場合

第３章　個人データの安全・適正な管理

  （データ内容の正確性の確保）

第８条　本法人は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

第９条　本法人はｍその取り扱う個人データの漏えい、滅失または棄損の防止その他の個人データの安全管理のために必要な措置として、次に掲げる適切な措置を講じる。

（1）　個人情報保護に関する規定の整備及び公表

（2）　個人情報保護推進のための組織体制等の整備

（3）　個人データの漏えい等の問題が発生した場合等における報告連絡体制の整備

（4）　雇用契約締結時における個人情報保護に関する規定の整備

（5）　従業者等に対する教育研修の実施

（6）　物理的安全管理措置

（7）　技術的安全管理措置

（8）　個人データの適切な保存

（9）　不要となった個人データの廃棄及び消去

第10条　本法人は、従業者等に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者等に対する必要かつ適切な監督を行う。

第11条　本法人は、個人データの取扱いの全部または一部を委託する場合は、個人データを適切に取り扱っている事業者を委託先に選定するとともに、取扱いを委託した個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行う。

第12条　本法人は、個人データの取扱いの全部または一部を委託する場合は、委託先との契約書に明記することにより、個人データの保護に関して委託先に次に掲げる義務を課さなければならない。

（1）　第9条に定めるのと同等の安全管理措置を講じること

（2）　従業者等の監督

（3）　委託した事業の再委託の禁止

（4）　委託した事業を遂行する目的以外の個人データの使用禁止

（5）　個人データの複写および複製の制限

（6）　個人データの取扱い状況の定期的な報告および説明

（7）　個人データの取扱い状況を委託者が確認することに応じること

（8）　個人データの取扱いが適切でない場合に委託者による改善の申入れに応じること

（9）　守秘義務（従業者等がその職を退いた後を含む。）

（10） 個人データの第三者提供の制限

（11） 個人データの返還および廃棄もしくは消去

（12） 事故発生時における報告および適切な措置

第13条　本法人は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

（1）　法令に基づく場合

（2）　人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

（3） 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

（4） 　国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を　遂行することに対して協力する必要がある場合であって、本人の同意をえることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

2　次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。

（1）　本法人が利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託することに伴って当該個人データが提供される場合

（2）　合併その他の事由による事業の継承に伴って個人データが提供される場合

（3）　特定の者との間で共同して利用される個人データが当該特定の者に提供される場　合であって、その旨並びに共同して利用される個人データの項目、共同して利用　する者の範囲、利用する者の利用目的および当該個人データの管理について責任を有する者の氏名または名称について、あらかじめ本人に通知し、または本人が容易に知り得る状態に置いているとき。

3　本法人は、前項第3号に規定する利用する者の利用目的または個人データの管理について責任を有する者の氏名もしくは名称を変更する場合は、変更する内容について、あらかじめ本人に通知し、または本人が容易に知り得る状態に置かなければならない。

第14条　本法人は、個人データを第三者（第2条第5項ただし書に掲げる者を除く。以下この条および次条において同じ。）に提供したときは、次に掲げる事項に関する記録を作成しなければならない。ただし、当該個人データの提供が前条第1項各号または第2項各号のいずれかに該当する場合は、この限りでない。

一、　前条第1項の本人の同意を得ている旨

二、　当該第三者の氏名または名称その他の当該第三者を特定するに足りる事項（不特定かつ多数の者に対して提供したときはその旨）

三、　当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項

四、　当該個人データの項目

2　前項の記録は、個人データを第三者に提供した都度、速やかに作成しなければならない。

3　第1項の記録は、その作成日から3年間保存しなければならない。

第15条　本法人は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第13条第1項各号または第2項各号のいずれかに該当する場合は、この限りでない。

一、　当該第三者の氏名または名称および住所並びに法人にあっては、その代表者（法人でない団体で代表者または管理人の定めのあるものにあっては、その代表者または管理人）の氏名

二、　当該第三者による当該個人データの取得の経緯

2　前項第1号に掲げる事項の確認は、個人データを提供する第三者から申告を受ける方法その他の適切な方法により行い、前項第２項に掲げる事項の確認は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法により行う。

3　本法人は、第1項の規定による確認を行ったときは、次に掲げる事項に関する記録を作成しなければならない。

一、　本人の同意を得ている旨（個人情報取扱事業者以外の第三者から個人データの提供を受けた場合を除く。）

二、　第1項各号に掲げる事項

三、　当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項

四、　当該個人データの項目

4　前項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。

5　第3項の記録は、その作成日から3年間保存しなければならない。  

第５章　本人関与のしくみ

第６章　苦情の解決

第７章　雑　則