個人データ取扱要領　 – Roccaon Networks K.K.

第１章　総則

（趣旨）

第１条　本要領は、個人情報の保護に関する法律（平成15年法律第57号。以下「個人情報保護法」という。）及び個人情報の保護に関する法律についてのガイドライン（以下「個情法ガイドライン」という。）に定める個人データの安全管理措置について、必要な措置を定めるものとする。

　（定義）

第２条　用語の意義は、個人情報保護法及び個情法ガイドラインに定めるところによる。

第２章　管理体制　

（責任者の設置）

第３条　個人データの取扱いに関する責任者（以下「責任者」という。）を置くこととし、代表取締役もしくはセキュリティ責任者をもって充てる。

２　責任者は、個人データの管理に関する事務を総括するとともに、自ら本要領に定められた事項を遵守し、かつ従業者に遵守させるために、本要領に定める措置その他必要な措置を実施する責任を負う。

（個人データを取り扱う従業者）

第４条　取り扱う個人データの内容に応じて、従業者の範囲を明確化する。

２　次に掲げる組織体制を整備する。　

⑴　従業者が、個人情報保護法、個人情報の保護に関する法律施行令（平成15年政令第507号。以下「政令」という。）、個人情報保護委員会が定める規則（以下「規則」という。）、個情法ガイドライン及び本要領（以下総称して「法令等」という。）に違反している事実又は兆候を把握した場合の責任者への報告連絡体制

⑵　個人データの漏えい等の事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための報告連絡体制

⑶　個人データを複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化

３　前項⑴及び⑵における報告連絡体制及び対応手順について、明確化する。

第３章　従業者の教育　

第５条　従業者に、個人データの取扱いに関する留意事項について、定期的な研修等の企画、実施等の適切な教育を行うことにより、個人データの適正な取扱いを周知徹底する。

第４章　個人データの取扱い

　（個人データの取扱いに係る規律に従った運用）

第６条　本要領に従った運用を確保し、個人データの取扱いの検証を可能とするために、次の項目を記録する。

　・個人情報データベース等の利用・出力状況

・個人データが記載又は記録された書類・媒体等の持ち運び等の状況

・個人情報データベース等の削除・廃棄の状況（委託した場合の消去・廃棄を証明する記録を含む。）

・個人情報データベース等を情報システムで取り扱う場合、担当者の情報システムの利用状況（ログイン実績、アクセスログ等）

（個人データの取扱状況の確認）　

第７条　本要領に従って個人データの取扱いがなされていることを確認するために、次の項目をあらかじめ明確化し、個人データの取扱状況を確認する手段を整備するとともに、個人データの取扱状況を把握する。

　・個人情報データベース等の種類、名称

　・個人データの項目

　・責任者・取扱部署

　・利用目的

　・アクセス権を有する者　等

（管理区域及び取扱区域）

第８条　個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報

システムを管理する区域（以下「管理区域」という。）及びその他の個人データを取り扱う事務を実施する区域（以下「取扱区域」という。）について、それぞれ適切な管理を行う。

２　管理区域について、入退室管理及び持ち込む機器等の制限を行う。

３　取扱区域について、権限を有しない者による個人データの閲覧等を防止する。

（機器及び電子媒体等の取扱い）　

第９条　個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するため、施錠可能な場所への保管等の措置を講ずる。

２　個人データが記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人データが判明しないよう、安全な方策を講じる。

　（廃棄等）　

第10条　個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行う。

２　個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄した場合には、その記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認する。

　（委託先の監督）　

第11条　個人データの取扱いの全部又は一部を委託する場合には、委託先を選定する際に、委託先が個人情報保護法に基づき自らが果たすべき安全管理措置と同等の措置が講じられることについて、あらかじめ確認する。

２　個人データの取扱いの全部又は一部を委託する場合には、委託先に安全管理措置を遵守させるための必要な契約を締結する。

３　個人データの取扱いの全部又は一部を委託した場合、委託先における個人データの取扱状況を把握する。

　（アクセス制御等）　

第12条　従業者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行う。

２　個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。

３　個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェア

から保護する仕組みを導入し、適切に運用する。

４　情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用する。

　（評価及び見直し）　

第13条　責任者は、個人データの取扱状況を把握し、その取扱状況について、定期的に自ら行う点検又は他部署等による監査を実施する。

２　責任者は、前項の点検等の結果を踏まえ、安全管理措置の評価、見直し及び改善に取り組む。

　（外的環境の把握）　

第14条　外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する

　制度等を把握する。

第５章　各管理段階における措置　

附則

　本要領は、令和5年9月20日から施行する。