第1章 総則

目的

第1条　本規程は、特定非営利活動法人　CeFIL（以下「当センター」という。）が取扱う個人情報の収集、利用または提供方法などを定めることにより、個人情報を適切に保護することを目的とする。

定義

第2条　本規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

1.個人情報：生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により当該個人を識別できる（他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。）ものをいう。

2.保有個人情報：当センターの役員または職員が職務上作成し、または取得した個人情報であって当センターが保有しているものをいう。

3.情報主体：一定の情報によって識別される、または識別され得る個人をいう。

4.情報の収集：個人情報の利用および提供の範囲を定め、情報主体の同意もとに当センターが個人情報を集めることをいう。

5.情報の利用：当センターが当センター内で個人情報を処理することをいう。

6.情報の提供：当センターが法人外の者に保有個人情報を渡し、利用可能にすることをいう。

7.情報の預託：当センターが法人外の者に情報処理を委託するなどのために保有個人情報を預けることをいう。

第2章 本規程の適用範囲

対象となる個人情報

第3条　本規程では、当センターにおいて処理されるすべての保有個人情報を対象とし、コンピュータ・システムにより処理されているか否か、および書面に記録されているか否か等を問わない。

2　当センターの役員、職員、派遣社員および委員の個人情報についても本規程の対象とする。

第3章 組織および実施責任

個人情報保護管理責任者の選任

第4条　本規程の実施および運用に関する責任と権限をもつ者として、事務局長を個人情報保護管理責任者に選任する。

個人情報保護管理責任者の責務

第5条　個人情報保護管理責任者は、本規程に定められた事項を理解し、および遵守するとともに、個人情報の収集、利用、または提供に従事する者にこれを理解させ、および遵守させるための教育訓練、安全対策の実施ならびに周知徹底等の措置を実施する責任を負うものとする。

2　個人情報保護管理責任者は、必要に応じ、個人情報保護担当者、教育研修責任者、苦情・相談窓口責任者を指名選任することができる。

個人情報保護担当者の責務

第6条　個人情報保護担当者は、個人情報保護管理責任者を補佐し保有個人情報の管理に関して責任を負うものとする。

教育研修責任者の責務

第7条　教育研修責任者は、本規程に定められた事項を理解し、および遵守するとともに、役員、職員および派遣社員に本規程を遵守させるための教育訓練を企画・運営する責任を負うものとする。

苦情・相談窓口責任者の責務

第8条　苦情・相談窓口責任者は、本規程に定められた事項を理解し、および遵守するとともに、情報主体からの保有個人情報に係る問い合わせ・苦情等を受け付けて対応するとともに、相談内容を分析し、再発防止等を検討して本規程の運営に反映させる責任を負うものとする。

個人情報保護監査責任者の責務

第9条　当センターは、本規程が適切かつ有効に実施されているかを定期的に監査する責任を負う者として監事を個人情報保護監査責任者に選任する。

第4章 役職員の責務等

役職員の責務等

第10条　保有個人情報の取り扱いに従事する役員、職員、派遣社員、および委員はその業務に関して知りえた個人情報の内容をみだりに他人に知らせ、または不当な目的に利用してはならない。

2　職員、派遣社員および委員は法の趣旨に則り関係する法令及び規程等の定め並びに個人情報保護管理責任者、並びに個人情報保護担当者の指示に従い個人情報を取り扱わなければならない。

第5章 個人情報の収集に関する措置

収集範囲の制限

第11条　個人情報の収集は、収集の目的を明確に定め、当センターの正当な事業の範囲内で、目的の達成に必要な限度においてこれを行うものとする。

収集方法の制限

第12条　個人情報の収集は、適法かつ適正な方法によって行うものとする。

個人情報の収集の禁止

第13条　次の各号に掲げる種類の内容を含む個人情報については、これを収集、利用または提供してはならない。ただし、当該情報の収集、利用または提供について、情報主体が明示的な同意を与えた場合、法令に特段の規定がある場合、または司法手続上必要不可欠である場合については、この限りではない。

1.思想、信条および宗教に関する事項

2.人種、民族、門地、本籍地（ただし都道府県に関する情報を除く）、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項

3.労働者の団結権、団体交渉およびその他団体行動の行為に関する事項

4.集団示威行為への参加、請願権の行使およびその他の政治的権利の行使に関する事項

5.保健医療および性生活に関する事項

情報主体から直接情報を収集する場合の措置

第14条　情報主体から直接に個人情報を収集する際は、情報主体に対して、次に掲げる事項を通知し、当該個人情報の収集、利用または提供に関する同意を得なければならない。

1.個人情報に関する当センターの管理者の氏名または職名、所属および連絡先

2.個人情報の収集目的

3.保有個人情報の提供を行うことが予定される場合には、その目的、当該個人情報の受領者または個人情報受領者の組織の種類、属性および個人情報の取扱いに関する契約の有無

4.情報主体が個人情報を与えることは任意である旨、および当該情報を与えなかった場合に生じる結果

5.保有個人情報の開示を求める権利、および開示の結果、当該情報が誤っている場合に訂正・削除を要求する権利の存在、ならびに当該権利を行使するための具体的方法

情報主体以外から間接的に情報を収集する場合の措置

第15条　情報主体以外から間接的に個人情報を収集する際には、情報主体に対して、前条に掲げる事項を書面またはこれに代わる方法によって通知し、情報主体の同意を得るものとする。ただし、次の各号のいずれかに該当する場合においては、この限りではない。

1.情報主体が第三者への情報の提供をし、または提供を予定している場合における当該第三者から情報収集することにつき、あらかじめ前条に掲げる事項につき情報主体の同意を得ている場合

2.情報処理を委託するために個人情報を預託される場合

3.正当な事業の範囲内であって、情報主体の保護に値する利益が侵害されるおそれのない収集を行う場合

第6章 保有個人情報の利用に関する措置

利用範囲の制限

第16条　保有個人情報の利用は、情報主体が同意を与えた収集目的の範囲内でのみ行うものとする。

目的内利用の場合の措置

第17条　次に示すいずれかに該当する場合は、前条に定める情報主体の同意を必要としないものとする。

1.法令の規定による場合

2.情報主体または第三者の生命、健康、財産等の重大な利益を保護するために必要な場合

目的外利用の場合の措置

第18条　情報主体が同意を与えた収集目的の範囲を超えて保有個人情報の利用を行う場合、または前条に掲げるいずれの場合にもあたらない保有個人情報の利用を行う場合においては、第14条第1項ないし第3号および第5号に掲げる事項を書面またはこれに代わる方法によって情報主体に通知し、利用の事前に情報主体の同意を得、または利用より前の時点で情報主体に拒絶の機会を与えなければならない。

第7章 保有個人情報の提供に関する措置

保有個人情報の提供

第19条　保有個人情報の提供については、第16条ないし第18条の規定を準用する。

保有個人情報提供における提供先との関係

第20条　保有個人情報を提供する場合原則として提供先と提供先における利用目的、利用する記録範囲及び記録項目、利用形態等について書面を取り交わすものとする。

2　職員、派遣社員および委員は法の趣旨に則り関係する法令及び規程等の定め並びに個人情報保護管理責任者、並びに個人情報保護担当者の指示に従い個人情報を取り扱わなければならない。

第8章 保有個人情報の適正管理義務

保有個人情報の正確性の確保

第21条　保有個人情報は、正確、かつ最新の状態で管理するものとする。

保有個人情報の利用の安全性の確保

第22条　保有個人情報の管理に関しては、保有個人情報への不正アクセス、保有個人情報の紛失、破壊、改ざんおよび漏えいなどのリスクに対して、万全の安全対策を講ずるものとする。

個人情報の秘密保持に関する従事者の責務

第23条　当センターにおいて個人情報の収集、利用および提供に従事する者は、法令または本規程もしくは個人情報保護管理責任者の指示に従い、個人情報の秘密の保持に十分な注意を払いつつその業務を行うものとする。

保有個人情報台帳

第24条　管理責任者は保有する個人情報に関する台帳を作成し管理するものとする。

保有個人情報の管理

第25条　保有個人情報の管理にあたっては文書で保管する場合には保管場所を施錠管理し、電子ファイルで保管する場合にはファイルにパスワードの設定を行うなどアクセス制限を設けなければならない。

複製等の制限

第26条　職員は業務上の目的で保有個人情報を取り扱う場合であっても、次の各号に挙げる行為については管理責任者の指示に従い行うものとする。

1.保有個人情報の複製

2.保有個人情報の送信

3.保有個人情報が記録されている媒体の外部への送付または持ち出し

4.その他保有個人情報の適切な管理に支障を及ぼす恐れのある行為。

保有個人情報を預託する場合の措置

第27条　保有個人情報の取り扱いにかかる業務を外部に委託するために保有個人情報を預託する者を選定する場合は、個人情報を適切に管理できる能力を有しないものを選定することが無いよう必要な措置を講ずるものとする。

2　前項の預託契約においては、次に掲げる事項を明らかにし、契約などの書面は個人情報の保有期間にわたって保存しなければならない。

1.個人情報に関する秘密保持に関する事項

2.再委託の制限または条件に関する事項

3.事故時の責任分担及び対応に関する事項

4.個人情報の複製等の制限に関する事項

5.契約終了時の個人情報の返却および消去に関する事項

6.違反した場合の契約解除の措置その他必要な事項

削除および消去

第28条　保有個人情報の削除および消去に当たっては、目的外利用または第三者に利用されないような措置を取らなければならない。

第9章 自己情報に関する情報主体の権利

自己情報に関する権利

第29条　情報主体から自己の情報について開示を求められた場合は、これに応じなければなければならない。また開示の結果、情報に誤りがあり、訂正または削除を求められた場合は、合理的な期間内にこれに応ずるとともに、訂正または削除を行った場合は、当該個人情報の提供を受けた者に対しても通知を行うものとする。

保有個人情報の利用または提供の拒否権

第30条　保有個人情報について、情報主体から自己の情報についての利用または第三者への提供を拒まれた場合は、これに応ずるものとする。ただし、第17条各号に掲げるいずれかに該当する場合は、この限りではない。

第10章 教育

教育の実施

第31条　役員および職員は、個人情報保護管理責任者または教育研修責任者が主催する本規程を遵守させるための教育を受けなければならない。教育の内容およびスケジュール等は、事業年度毎に個人情報保護管理責任者または教育研修責任者が定める。

第11章 個人情報保護監査

監査の実施

第32条　個人情報保護監査責任者は、個人情報保護法等の規程に則り本規程の運用状況を、定期的あるいは随時に監査しなければならないものとする。

第12章 罰則

本規程に違反した場合の措置

第33条　個人情報の取扱いにつき本規程に違反した場合は、職員就業規則に基づき懲戒に処す。

第13章 雑則

規程の改廃

第34条　本規程の改廃は理事会の決議を経て行う。