| 第 |
1条 この指針は、「個人情報の保護に関する法律」(以下「法」という。)、「個人情報の保護に関する法律施行令」(以下「施行令」という。)および「個人情報の保護に関する基本方針(平成16年4月2日閣議決定)」(以下「基本方針」という。)に基づき、「金融分野における個人情報保護に関するガイドライン(平成16年12月6日金融庁告示第67号)」(以下「金融庁個人情報保護ガイドライン」という。)および「国土交通省所管分野における個人情報保護に関するガイドライン(平成16年12月2日国土交通省告示第1500号)」(以下「国土交通省個人情報保護ガイドライン」という。)を踏まえたうえで、損害保険料率算出機構(以下「本機構」という。)がその事業の遂行に際して個人情報を取り扱う際の具体的な基準を定めることにより、個人情報の適正な取扱いを確保することを目的として定めるものである。 |
| 2 |
本機構における雇用管理に関しては、「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針(平成16年厚生労働省告示第259号)」によるものとする。。 |
| 3 |
この指針において使用する用語は、別に定義する場合を除き、法、施行令、基本方針、金融庁個人情報保護ガイドラインおよび国土交通省個人情報保護ガイドラインにおいて使用する用語の例による。 |
| 第 |
2条 本機構は、金融庁個人情報保護ガイドライン第23条を踏まえ、個人情報保護に関する考え方および方針に関する宣言(以下「個人情報保護宣言」という。)を策定し、公表する。 |
| 2 |
本機構は、個人情報保護宣言を実効性あるものとすべく、内部体制の整備等に努める。 |
| 第 |
3条 本機構は、個人情報がどのような事業の用に供され、どのような目的で利用されるかを本人が合理的に予想できるようできる限り利用目的を特定する。 |
| 2 |
本機構は、利用目的を公表するとともに、事業の遂行に際して取得する個人情報の利用目的を明示する場合は、原則として書面に記載する。 |
| 3 |
本機構は、利用目的を変更する場合は、法第15条第2項に掲げる要件を満たすとともに、変更後の利用目的を公表する。 |
| 4 |
本機構は、利用目的の達成に必要な範囲を超えて個人情報を取り扱わない。やむを得ずかかる取扱いを行うときは、法第16条第3項各号に掲げる場合を除き、あらかじめ原則として書面により、本人の同意を得る。 |
| 第 |
4条 本機構は、業務上必要な範囲内で、かつ、適法で公正な手段により個人情報を取得する。 |
| 2 |
本機構は、個人情報を本人以外の者から取得する場合は、本人の利益を不当に侵害しないよう取り扱う。 |
| 3 |
本機構は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努める。 |
| 第 |
5条 本機構は、個人データを第三者に提供するときは、法第23条第1項各号および第2項に掲げる場合を除き、次に掲げる事項を示した上で、原則として書面による本人の同意を得る。
| (1) |
個人データを提供する第三者 |
| (2) |
提供を受けた第三者における利用目的 |
| (3) |
第三者に提供される情報の内容 |
|
| 2 |
本機構は、損害保険事業の健全な運営に資するため損害保険会社(外国損害保険会社等を含む。)および協同組合等との間において個人データを共同して利用する場合は、法第23条第4項第3号に規定する事項を本人が容易に知り得る状態に置く。 |
| 第 |
6条 本機構は、政治的見解、信教(宗教、思想および信条をいう。)、労働組合への加盟、人種および民族、門地および本籍地、保健医療および性生活ならびに犯罪歴に関する個人情報(以下「センシティブ情報」という。)を、次に掲げる場合を除くほか、取得、利用または第三者提供しない。
| (1) |
本機構の事業についてその適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲でセンシティブ情報を取得、利用または第三者提供する場合 |
| (2) |
相続手続を伴う自賠責損害調査の遂行に必要な限りにおいて、センシティブ情報を取得、利用または第三者提供する場合 |
| (3) |
前各号のほか、金融庁個人情報ガイドライン第6条第1項各号に掲げる場合 |
|
| 2 |
本機構は、センシティブ情報を、前項各号に定める事由により取得、利用または第三者提供する場合には、各号の事由を逸脱した取得、利用または第三者提供を行うことのないよう、特に慎重に取り扱う。 |
| 第 |
7条 本機構は、その取り扱う個人データの漏えい、滅失またはき損の防止その他の個人データの安全管理のため、個人データの取得・利用・保管等の各段階に応じた「組織的安全管理措置」、「人的安全管理措置」および「技術的安全管理措置」を含む、必要かつ適切な措置を講じる。
|
| 2 |
本条における「組織的安全管理措置」とは、個人データの安全管理措置について従業者の責任と権限を明確に定め、安全管理に係る基本方針・取扱規程等を整備・運用し、その実施状況の点検・監査を行うこと等、個人情報取扱事業者の実施体制整備および実施措置をいう。 |
| 3 |
本条における「人的安全管理措置」とは、従業者との個人データの非開示契約等の締結及び従業者に対する教育・訓練等を実施し、個人データの安全管理が図られるよう従業者を監督することをいう。 |
| 4 |
本条における「技術的安全管理措置」とは、個人データおよびそれを取り扱う情報システムへのアクセス制御、情報システムの監視等、個人データの安全管理に関する技術的な措置をいう。 |
| 5 |
本機構は、個人データの安全管理に係る基本方針・取扱規程等の整備として、以下の「組織的安全管理措置」を講じる。
(組織的安全管理措置)
| (1) |
規程等の整備
| ア |
.個人データの安全管理に係る基本方針 |
| イ |
.個人データの安全管理に係る取扱規程 |
| ウ |
.個人データの取扱状況の点検・監査に係る規程 |
| エ |
.外部委託に係る規程 |
|
| (2) |
各管理段階における安全管理に係る取扱規程の整備
| ア |
.取得・入力段階における取扱規程 |
| イ |
.利用・加工段階における取扱規程 |
| ウ |
.保管・保存段階における取扱規程 |
| エ |
.移送・通信段階における取扱規程 |
| オ |
.消去・廃棄段階における取扱規程 |
| カ |
.漏えい事案等への対応の段階における取扱規程 |
|
|
| 6 |
本機構は、個人データの安全管理に係る実施体制の整備として、以下の「組織的安全管理措置」、「人的安全管理措置」、および「技術的安全管理措置」を講じる。
| (組 |
織的安全管理措置)
| ア |
.個人データの管理責任者等の設置 |
| イ |
.就業規則等における安全管理措置の整備 |
| ウ |
.個人データの安全管理に係る取扱規程に従った運用 |
| エ |
.個人データの取扱状況を確認できる手段の整備 |
| オ |
.個人データの管理状況の点検・監査体制の整備と実施 |
| カ |
.漏えい事案等に対応する体制の整備 |
|
| (人 |
的安全管理措置)
| ア |
.従業者との個人データの非開示契約等の締結 |
| イ |
.従業者の役割・責任の明確化 |
| ウ |
.従業者への安全管理措置の周知徹底、教育および訓練 |
| エ |
.従業者による個人データの管理手続の遵守状況の確認 |
|
| (技 |
術的安全管理措置)
| ア |
.個人データの利用者の識別および認証 |
| イ |
.個人データの管理区分の設定およびアクセス制御 |
| ウ |
.個人データへのアクセス権限の管理 |
| エ |
.個人データの漏えい・き損等防止策 |
| オ |
.個人データへのアクセスの記録および分析 |
| カ |
.個人データを取り扱う情報システムの稼動状況の記録および分析 |
| キ |
.個人データを取り扱う情報システムの監視および監査 |
|
|
| 7 |
本機構は、個人データの取扱いの全部または一部を委託する場合は、委託先の選定の基準を定め、あらかじめ委託先の情報管理体制を確認し、委託後の業務遂行状況を監視し、事故発生時の責任関係を明確にするなど、委託先に対する必要かつ適切な監督を行う。 |
| 第 |
8条 本機構は、法第24条第1項各号に掲げる事項を本人が容易に知り得る状態に置く。 |
| 2 |
本機構は、本人から法第24条第2項、第25条第1項、第26条第1項または第27条第1項もしくは第2項の規定による求めを受けた場合は、各条項に定める適用除外要件に該当するときを除き、各条項に沿った適切な対応を行う。 |
| 3 |
本機構は、法第28条の通知をする場合は、本人に対して、判断の根拠および根拠となる事実を示すなど、その理由を十分説明する。 |
| 第 |
9条 本機構は、個人情報の取扱いに関する苦情を受けた場合は、その内容について調査し、合理的な期間内に、適切かつ迅速な対応に努める。 |
| 2 |
本機構は、前項の目的を達成するため、苦情対応手順の策定、苦情対応に当たる従業者への十分な教育・研修等、苦情対応を適切かつ迅速に行うために必要な体制の整備に努める。 |
| 第 |
10条 本機構は、個人情報の取扱いに関する照会、相談、第8条第2項および第9条第1項に定める対応を行うため、個人情報相談窓口を設置する。 |
| 2 |
本機構は前項窓口の業務を的確に行うため、別に規程を定める。 |
