第4章 個人情報の取得に関する措置
(取得範囲の制限)
第5条 個人情報の取得は、受託先との受託契約に基づく業務において、事務所の適正な事業遂行に必要な最低限度の範囲内で、取得目的を明確に定め、その目的の達成に必要な限度においてこれを行うものとする。
(取得方法の制限)
第6条 個人情報の取得は、事業主の指定した担当者を通じて適法かつ公正な手段によって行うものとする。
(特定の機微な個人情報の取得の禁止)
第7条 次に掲げる種類の内容を含む個人情報については、原則としてこれを取得し、利用しない。ただし、法令および届出業務上に必要がある場合においては、この限りではない。
- 思想、信条および宗教に関する事項。
- 人種、民族、門地、本籍地(所在地都道府県に関する情報を除く)、身体・精神障害・犯罪歴、その他社会的差別の原因となる事項。
- 勤労者の団結権、団体交渉およびその他の政治的権利の行使に関する事項。
- 集団示威行為への参加、請願権行使、およびその他の政治的権利の行使に関する事項。
- 保健医療および性生活に関する事項。
(本人から取得する場合)
第8条 止むを得ず、本人から個人情報を取得する際には、本人に対して、少なくとも、次に掲げる事項またはそれと同等以上の内容の事項を書面またはこれに代わる方法により通知し、当該情報の取得、または利用に関する同意を得るものとする。ただし、本人が次に掲げる事項の通知を受けていることが明白である場合、この限りではない。なお、社会保険労務士法に基づく業務上取得する個人情報は、受託契約書に明記されていればその都度本人の同意を得ないことができる。
- 個人情報の取得および利用の目的。
- 社会保険労務士法に基づく労働・社会保険諸法令に関する届出業務の委託を行うことが周知されている場合には、その旨。
- 個人情報の開示を求める権利および開示の結果、当該情報が誤っている場合に訂正または削除を要求する権利の存在ならびに当該権利を行使するための具体的方法。
(本人以外から間接的に取得する場合)
第9条 本人以外から間接的に取得することは原則として行わない。止むを得ず本人以外から間接的に個人情報を取得する際には、本人に対して、前条(1)から(3)に掲げる事項を書面またはこれに代わる方法により通知し、当該情報の取得、および利用に関する同意を得るものとする。ただし、次に掲げる場合においては、この限りではない。
- 本人からあらかじめ、自己の情報提供を予定している旨、本人の同意を得ている場合で事実と認められる情報である場合。
第6章 個人情報の適正管理義務
(個人情報の正確性確保)
第12条 個人情報は利用目的に応じ必要な範囲内において、正確な状態で管理するものとする。
(個人情報利用の安全性の確保)
第13条 個人情報への不当なアクセスまたは個人情報の紛失、破壊、改ざん、漏えい等の危険に対して、パソコンの操作上、技術面、運用面および組織体制面において合理的な安全対策を講ずるものとする。
(個人情報の秘密保持に関する事務所職員の責務)
第14条 個人情報の取得、または利用に従事する事務所職員は、業務上の法令の規定または本規程に従い、個人情報の保護に十分な注意を払うものとする。
(個人情報を伴なう処理の再委託に関する措置)
第15条 事務所が、情報処理を委託する等のため個人情報を外部に委託する場合においては、個人情報の保護水準が充分管理可能な者を選定し、契約等により、個人情報責任者の指示の遵守、個人情報に関する秘密保持、事故時の責任分担および契約終了時の個人情報の返却および消去等を担保するとともに、当該契約書等の書面またはこれに代わる記録を個人情報の保管期間にわたり保管するものとする。
2.原則として再委託は行わない。ただし再委託を行うときは、個人情報保護の管理水準を満たしている委託先を選定し、受託先の了解の下に受託先との契約と同等以上の内容で委託契約書を締結し、必要に応じて個人情報保護責任者による業務の監督を行うものとする。
(電子メールに関する措置)
第16条 事務所で取り扱う個人情報のデータを、電子メールにより受託先へ送信する場合は、安全性確保の為、有効なデータの暗号化またはパスワードの設定や認証を活用するものとする。
2.受託先および本人が、電子メールによる個人情報のデータ送信をする時は、安全性確保の為、データの暗号化またはパスワードの設定や認証を要請する。