個人情報保護基本規程

【３】逐条解説

第1条（目的）

この条文は規程全体の基本理念を示しており、個人情報を適正に保護するための基本的な枠組みを定めています。企業が取り扱う個人情報の管理において、何を目指すべきかの方向性を明確にする役割を果たします。

第2条（適用範囲）

規程が対象とする個人情報の範囲と、規程に従うべき人の範囲を定めています。事業で使用するすべての個人情報と、正社員から派遣社員まで含むすべての従業者が対象となります。例えば、顧客データベースの情報だけでなく、採用活動で取得した応募者情報も含まれます。

第3条（用語及び定義）

個人情報保護に関する専門用語を詳しく解説しています。「個人情報」「個人データ」「要配慮個人情報」など、日常業務で頻繁に使用される用語の正確な意味を理解できます。例えば、病歴や犯罪歴は要配慮個人情報として、より厳格な取り扱いが求められることが分かります。

第4条（運用手順）

個人情報保護の具体的な運用方法を定める手順書の作成について規定しています。規程だけでは実務に落とし込めないため、より詳細な作業マニュアルの整備が必要であることを示しています。

第5条（組織の状況）

企業を取り巻く内外の環境を分析し、個人情報保護に影響する要因を把握することを求めています。競合他社の情報漏洩事件や、新しい技術の導入などが該当します。事業のすべての個人情報取り扱いを管理対象として明確化する必要があります。

第5条の2（リーダーシップ及びコミットメント）

社長が個人情報保護において果たすべき役割を具体的に示しています。単に制度を作るだけでなく、必要な予算を確保し、従業員への指導を行い、継続的な改善を推進する責任があることを明確にしています。

第6条（個人情報保護方針）

企業の個人情報保護に対する基本姿勢を対外的に示す方針の策定について定めています。ホームページへの掲載や、顧客への配布などにより一般に公開することが求められます。制定日や問い合わせ先の明記も必要です。

第7条（個人情報保護管理者）

個人情報保護の責任者となる管理者の選任について規定しています。プライバシーマーク認証などの専門知識を持つ人材を社内から指名し、任命書の発行により権限を明確化します。外部委託ではなく内部の人材が担当することが重要です。

第8条（個人情報保護管理者の責務）

管理者が担う具体的な業務内容を列挙しています。従業員教育の統括、安全対策の実施、社長への運用状況報告など、多岐にわたる責任を負います。例えば、新入社員研修での個人情報保護講習の企画・実施も含まれます。

第9条（個人情報保護推進事務局）

管理者を補佐する専門部署の設置について定めています。管理部門内に設置することで、日常的な個人情報保護活動を効率的に推進できます。管理者一人では対応しきれない業務を分担する体制を整えます。

第10条（個人情報責任者）

各部門レベルでの責任者配置について規定しています。営業部、人事部、システム部など、個人情報を取り扱う部門ごとに責任者を置くことで、現場に密着した管理体制を構築します。部長クラスの管理職が担当することが一般的です。

第11条（個人情報責任者の責務）

部門責任者の具体的な職務内容を示しています。規程の周知徹底、部門内教育の実施、監査への協力、従業員からの相談対応など、現場レベルでの実践的な責務を負います。

第12条（個人情報担当者）

部門責任者を補佐する担当者の配置について定めています。大規模な部門や個人情報の取り扱い量が多い部門では、複数の担当者を置くことも可能です。

第13条（個人情報保護監査責任者）

客観的な立場から監査を行う責任者の選任について規定しています。管理者とは別の人物を指名することで、公平性と独立性を確保します。内部監査の品質向上につながります。

第14条（個人情報保護監査責任者の責務）

監査責任者が実施すべき業務を明確化しています。監査人の選定から監査の指揮、結果の報告まで、一連の監査プロセスを統括します。客観性と公平性の維持が最重要の責務となります。

第15条（教育責任者）

従業員教育の責任体制について定めています。個人情報保護管理者が教育の企画から実施まで統括することで、一貫した教育方針を維持できます。

第16条（苦情及び相談対応責任者）

個人情報に関する苦情や相談への対応責任者を明確化しています。社外からの苦情は管理者が統括し、必要に応じて総務部長に委託することも可能です。従業員からの相談は所属部門の責任者が対応します。

第17条（従業者の責務）

すべての従業員が守るべき基本的な責務を定めています。規程の遵守はもちろん、誓約書の提出要請にも応じる義務があります。派遣社員やアルバイトも含む全従業員が対象となります。

第18条（個人情報の特定）

事業で取り扱うすべての個人情報を漏れなく把握するための手順を定めています。個人情報台帳の作成により、どこにどのような個人情報があるかを可視化します。年1回以上の定期的な見直しも必要です。

第19条（法令、国が定める指針その他の規範）

個人情報保護に関連する各種法令や指針を把握し、最新情報を維持する仕組みについて規定しています。個人情報保護法の改正や新しいガイドラインの公表に迅速に対応できる体制を整えます。

第19条の2（リスク及び機会に対処する活動）

個人情報保護におけるリスクを特定し、対策を講じる活動について定めています。情報漏洩リスクだけでなく、業務効率化の機会なども含めて総合的に検討します。

第20条（個人情報保護リスクアセスメント）

リスクの特定、分析、評価を行う具体的な手順を定めています。個人情報の取得から廃棄まで、各段階でのリスクを洗い出し、対策の優先順位を決定します。例えば、クラウドサービス利用時の情報漏洩リスクなどを評価します。

第20条の2（個人情報保護リスク対応）

特定されたリスクに対する具体的な対応策の策定と実施について規定しています。技術的対策、組織的対策、人的対策を組み合わせた包括的なアプローチが求められます。

第21条（役割、責任及び権限）

組織内での個人情報保護に関する役割分担を明確化しています。社長から一般従業員まで、各レベルでの責任と権限を文書化することで、責任の所在を明確にします。

第22条（内部規程）

個人情報保護の具体的な運用を定める詳細な規程の整備について規定しています。15項目にわたる内部規程により、日常業務での実践的な指針を提供します。

第22条の2（個人情報保護目的及びそれを達成するための計画策定）

個人情報保護の目標設定と、それを達成するための計画作りについて定めています。具体的な実施事項、必要な資源、責任者、期限、評価方法を明確化します。

第23条（計画策定）

年間の教育計画や監査計画など、個人情報保護活動の計画的実施について規定しています。PDCAサイクルを回すための基盤となる重要な条文です。

第23条の2（資源）

個人情報保護に必要な人的・物的資源の確保について定めています。予算配分や人員配置など、経営陣のコミットメントが求められる内容です。

第23条の3（コミュニケーション）

内外の関係者との効果的な情報共有について規定しています。何を、いつ、誰に、どのような方法で伝達するかを計画的に実施します。

第24条（緊急事態への準備）

情報漏洩事故などの緊急事態への対応手順を事前に定めることを求めています。本人への通知、公表、関係機関への報告など、迅速な初動対応が重要です。

第25条（運用）

個人情報保護システムの日常的な運用について包括的に定めています。計画的な変更管理や外部委託先の管理も含み、安定した運用を確保します。

第26条（利用目的の特定）

個人情報を取得する際の利用目的の明確化について規定しています。曖昧な表現ではなく、具体的で分かりやすい目的の設定が求められます。

第27条（適正な取得）

個人情報を適法で公正な手段により取得することを義務付けています。だまし取りや盗取などの不正な方法は禁止されます。

第28条（要配慮個人情報）

特に配慮が必要な個人情報の取り扱いについて詳細に規定しています。病歴や犯罪歴などは原則として書面による本人同意が必要で、例外的な場合も厳格に限定されています。

第29条（個人情報を取得した場合の措置）

個人情報取得時の本人への通知義務について定めています。利用目的の通知や公表により、透明性を確保します。名刺交換などで取得状況から利用目的が明らかな場合は例外となります。

第30条（前条のうち本人から直接書面によって取得する場合の措置）

書面による直接取得時の厳格な手続きについて規定しています。会社名、利用目的、第三者提供の有無など、詳細な情報を事前に明示し、書面同意を得る必要があります。

第31条（利用に関する措置）

取得した個人情報の適正な利用について定めています。違法・不当な目的での利用禁止や、目的外利用時の同意取得が求められます。

第32条（本人に連絡又は接触する場合の措置）

個人情報を使って本人に連絡する場合の手続きについて規定しています。ダイレクトメールや営業電話などが該当し、事前の同意取得が原則です。

第33条（個人データの提供に関する措置）

個人データを第三者に提供する際の厳格な手続きについて定めています。本人同意の取得が原則で、委託や事業承継など例外的な場合も明確に限定されています。

第34条（外国にある第三者への提供の制限）

海外への個人データ移転に関する特別な規制について規定しています。本人同意や十分性認定国への提供など、厳格な要件を満たす必要があります。

第35条（第三者提供に係る記録の作成など）

第三者提供時の記録作成と保管義務について定めています。提供先、提供日、データ項目などを記録し、一定期間保管する必要があります。

第36条（第三者提供を受ける際の確認など）

他社から個人データの提供を受ける際の確認義務について規定しています。提供元が適正な手続きを経ているかの確認と記録作成が求められます。

第36条の2（個人関連情報の第三者提供の制限など）

個人関連情報の第三者提供に関する新たな規制について定めています。Cookie情報などが個人データと組み合わされる可能性がある場合の取り扱いを規定します。

第37条（匿名加工情報）

個人を特定できないよう加工した情報の取り扱いについて規定しています。適切な加工方法の決定から安全管理まで、一連の手順を定める必要があります。

第37条の2（仮名加工情報）

仮名加工情報の取り扱いに関する詳細な手順について定めています。他の情報との照合禁止や利用目的の公表など、特有の制限があります。

第38条（正確性の確保）

個人データの正確性と最新性の維持について規定しています。古い情報や間違った情報により本人に不利益が生じないよう、適切な管理が求められます。

第39条（安全管理措置）

個人情報の漏洩や紛失を防ぐための技術的・組織的な対策について定めています。アクセス制御、暗号化、バックアップなど、総合的な安全対策の実施が必要です。

第40条（従業者の監督）

個人データを取り扱う従業員への適切な指導・監督について規定しています。定期的な研修実施や、違反行為の防止対策などが含まれます。

第41条（委託先の監督）

個人データの処理を外部委託する場合の監督義務について詳細に定めています。委託先選定から契約締結、定期的な監督まで、一連の管理プロセスを規定します。

第42条（個人情報に関する権利）

本人が持つ個人情報に関する各種権利について包括的に定めています。開示、訂正、利用停止など、本人からの請求に迅速に対応する体制を整備します。

第43条（開示等の請求等に応じる手続）

本人からの権利行使請求に対する具体的な手続きを定めています。申請窓口、必要書類、本人確認方法など、分かりやすい手続きの整備が求められます。

第44条（保有個人データ又は第三者提供記録に関する事項の周知など）

本人が知り得る状態に置くべき情報について規定しています。会社概要、利用目的、苦情申し出先など、透明性確保のための情報開示が必要です。

第45条（保有個人データの利用目的の通知）

本人からの利用目的通知請求への対応について定めています。遅滞のない回答が原則で、通知できない場合は理由説明が必要です。

第46条（保有個人データ又は第三者提供記録の開示）

本人からの開示請求への対応手続きについて規定しています。原則として書面での開示が必要で、開示できない場合は理由の説明が求められます。

第47条（保有個人データの訂正、追加又は削除）

間違った個人データの訂正等に関する手続きについて定めています。本人からの請求を受けて調査を行い、必要に応じて訂正し、結果を本人に通知します。

第48条（保有個人データの利用又は提供の拒否権）

本人からの利用停止や第三者提供停止の請求への対応について規定しています。本人の権利を尊重し、可能な限り請求に応じる姿勢が重要です。

第49条（力量）

個人情報保護に関わる従業員の能力向上について定めています。必要な能力の決定、教育の実施、効果の評価まで、計画的な人材育成を行います。

第49条の2（認識）

従業員への継続的な教育実施について規定しています。年1回以上の定期教育により、個人情報保護の重要性や規程の内容を浸透させます。

第50条（文書化した情報）

個人情報保護システムに必要な文書の整備について包括的に定めています。方針、規程、様式、記録など、体系的な文書管理が求められます。

第50条の2（文書化した情報の管理）

文書の適切な管理方法について規定しています。必要時の利用可能性確保と、機密性や完全性の保護を両立させる管理体制を構築します。

第51条（文書化した情報（記録を除く）の管理）

規程や手順書などの文書管理について詳細に定めています。発行・改正手続き、版管理、承認プロセスなど、品質確保のための管理が必要です。

第52条（文書化した情報のうち、記録の管理）

監査記録や教育記録など、各種記録の作成・保管について規定しています。12項目の記録により、個人情報保護活動の証拠を残します。

第53条（苦情及び相談への対応）

個人情報に関する苦情や相談への対応体制について定めています。適切で迅速な対応により、本人の権利保護と企業の信頼維持を図ります。

第54条（監視、測定、分析及び評価）

個人情報保護システムの運用状況を定期的に確認する仕組みについて規定しています。各部門での自己点検により、継続的な改善を推進します。

第55条（内部監査）

独立した立場からの内部監査実施について詳細に定めています。年1回以上の定期監査により、規程の遵守状況や制度の有効性を客観的に評価します。

第56条（マネジメントレビュー）

社長による個人情報保護システムの総合的な見直しについて規定しています。年1回以上のレビューにより、システム全体の適切性と有効性を確保します。

第57条（不適合及び是正処置）

規程違反や制度の不備が発見された場合の対応について定めています。原因分析から再発防止策の実施まで、体系的な是正プロセスを構築します。

第57条の2（継続的改善）

個人情報保護システムの継続的な改善について規定しています。運用を通じて得られた知見を活かし、より効果的な制度へと発展させていきます。

第58条（懲戒）

規程違反者への処罰について定めています。就業規則との連携により、適切な懲戒措置を実施し、規程の実効性を確保します。

【４】活用アドバイス

この個人情報保護基本規程を効果的に活用するためには、段階的なアプローチが重要です。まず、自社の事業内容と個人情報の取り扱い状況を詳しく把握することから始めましょう。どのような個人情報をどの部門で扱っているか、現在の管理体制はどうなっているかを整理することで、規程をより実情に合った内容にカスタマイズできます。

次に、組織体制の整備に取り組みます。個人情報保護管理者、各部門の責任者、監査責任者などの役職者を指名し、それぞれの役割と責任を明確にします。特に管理者については、プライバシーマーク制度や個人情報保護法の知識を持つ人材を選任することが成功の鍵となります。

従業員教育も欠かせない要素です。規程を制定しただけでは現場に浸透しません。定期的な研修の実施、具体的な事例を用いた説明、日常業務での注意点の共有などを通じて、全従業員の理解と協力を得ることが大切です。

継続的な見直しも重要なポイントです。法令の改正、事業内容の変化、新しいリスクの発見などに応じて、規程の内容を定期的に更新していく必要があります。年1回のマネジメントレビューを活用して、制度全体の有効性を検証し、必要な改善を行いましょう。

【５】この文書を利用するメリット

この個人情報保護基本規程を導入することで得られるメリットは多岐にわたります。最も重要な効果は、情報漏洩リスクの大幅な軽減です。体系的な管理体制と明確な手順により、人為的ミスや意図的な情報持ち出しを防止できます。万が一事故が発生した場合も、適切な対応手順が定められているため、被害を最小限に抑えることができます。

顧客や取引先からの信頼獲得も大きなメリットの一つです。

近年、個人情報保護への関心が高まる中で、しっかりとした管理体制を整備している企業は競争優位性を獲得できます。BtoB取引では特に、相手企業の情報管理レベルが契約の可否を左右することも珍しくありません。プライバシーマーク認証やISMS認証の取得を目指す際の基盤としても活用でき、認証取得によるブランド価値向上も期待できます。

業務効率の改善も見逃せないポイントです。個人情報の所在や取り扱い手順が明確になることで、必要な情報への迅速なアクセスが可能になり、同時に不要なアクセスは制限されます。従業員が迷うことなく適切な手順で業務を進められるため、全体的な生産性向上につながります。

コンプライアンスの観点からも大きな価値があります。個人情報保護法や各種ガイドラインの要求事項を網羅した規程により、法令違反のリスクを大幅に削減できます。監督官庁からの指導や処分を受けるリスクも軽減され、安定した事業運営が可能になります。

組織全体の情報セキュリティ意識の向上も重要な効果です。従業員一人ひとりが個人情報保護の重要性を理解し、日常業務の中で自然に配慮できるようになります。これは個人情報だけでなく、営業秘密や技術情報の保護にも波及効果をもたらします。

将来の事業展開への対応力も強化されます。新しいサービスの開始、海外展開、M&Aなど、事業環境の変化に伴う個人情報の取り扱い変更にも、確立された管理体制があれば柔軟かつ適切に対応できます。