プライバシーポリシー

第1章 総則

  • (趣旨)

    第1条 本要領は、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)及び個人情報の保護に関する法律についてのガイドライン(以下「個情法ガイドライン」という。)に定める個人データの安全管理措置について、必要な措置を定めるものとする。
  • 第2条 用語の意義は、個人情報保護法及び個情法ガイドラインに定めるところによる。

第2章 管理体制

  • (責任者の設置)

    第3条 個人データの取扱いに関する責任者(以下「責任者」という。)を置くこととし、代表取締役をもって充てる。
    2.責任者は、個人データの管理に関する事務を総括するとともに、自ら本要領に定められた事項を遵守し、かつ従業者に遵守させるために、本要領に定める措置その他必要な措置を実施する責任を負う

  • (個人データを取り扱う従業者)

    第4条 別紙1の様式により、取り扱う個人データの内容に応じて、従業者の範囲を明確化する。
    • 2.次に掲げる組織体制を整備する。
      • (1)従業者が、個人情報保護法、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「政令」という。)、個人情報保護委員会が定める規則(以下「規則」という。)、個情法ガイドラ イン及び本要領(以下総称して「法令等」という。)に違反している事実又は兆候を把握した場合の責任者への報告連絡体制
      • (2)個人データの漏えい等の事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための報告連絡体制
      • (3)個人データを複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化
    • 3.前項(1)及び(2)における報告連絡体制及び対応手順について、別紙2の様式により明確化する。

第3章 従業者の教育

  • 第5条 従業者に、個人データの取扱いに関する留意事項について、定期的な研修等の企画、実施等の適切な教育を行うことにより、個人データの適正な取扱いを周知徹底する。

第4章 個人データの取扱い

  • (個人データの取扱いに係る規律に従った運用)

    第6条 本要領に従った運用を確保し、個人データの取扱いの検証を可能とするために、次の項目を記録する。
    • ・個人データが記載又は記録された書類・媒体等の持ち運び等の状況
    • ・個人情報データベース等の削除・廃棄の状況(委託した場合の消去・廃棄を証明する記録を含む。)

  • (個人データの取扱状況の確認)

    第7条 本要領に従って個人データの取扱いがなされていることを確認するために、次の項目をあらかじめ明確化し、個人データの取扱状況を確認する手段を整備するとともに、個人データの取扱状況を把握する。
    • ・個人情報データベース等の種類、名称
    • ・個人データの項目
    • ・責任者・取扱部署
    • ・利用目的 <衣装貸出規約において明示し、その目的外の利用は一切しない。>
    • ・アクセス権を有する者 

  • (管理区域及び取扱区域) 

    第8条 個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置を講ずる。

  • (機器及び電子媒体等の取扱い) 

    第9条 個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するため、施錠可能な場所への保管等の措置を講ずる。
    • 2.個人データが記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人データが判明しないよう、安全な方策を講じる。

  • (廃棄等)

    第10条 個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行う。紙媒体については、機密文書として溶解処理を行う方法によって、廃棄する。
    • 2.個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄した場合には、その記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認する。

  • (委託先の監督)

    第11条 個人データの取扱いの全部又は一部を委託する場合には、委託先を選定する際に、委託先が個人情報保護法に基づき自らが果たすべき安全管理措置と同等の措置が講じられることについて、あらかじめ確認する。
    • 2.個人データの取扱いの全部又は一部を委託する場合には、委託先に安全管理措置を遵守させるための必要な契約を締結する。
    • 3.個人データの取扱いの全部又は一部を委託した場合、委託先における個人データの取扱状況を把握する。

  • (アクセス制御等)

    第12条 個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する。
    • 2.機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する。
    • 3.個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。
    • 4.個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。
    • 5.メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する。

  • (評価及び見直し)

    第13条 責任者は、個人データの取扱状況を把握し、その取扱状況について、定期的に自ら行う点検又は他部署等による監査を実施する。
    • 2.責任者は、前項の点検等の結果を踏まえ、安全管理措置の評価、見直し及び改善に取り組む。

本要領は、令和5年2月17日から施行する。

別紙1 別紙2