（目 的）

第 1 条

この規程は、行政手続における特定の個人を識別するための番号の利用等に関する法律（以下「番号法」という）及び特定個人情報保護委員会が定める「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」に基づき、株式会社 東北ロジサービス（以下「会社」という）における個人番号及び特定個人情報（以下「特定個人情報等」という）の取扱いについて定めたものである。

（定 義）

第 2 条

この規程における各用語の定義は以下の通りとし、番号法その他関係法令によるものとする。

(1) 個人情報

生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。

(2) 個人番号

住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。

(3) 特定個人情報

個人番号（個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第7条第1項及び第2項、第8条並びに第67条並びに附則第3条第1項から第3項まで及び第5 項を除く。）をその内容に含む個人情報をいう。

(4) 個人番号利用事務

行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第9条第１項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。

(5) 個人番号関係事務

番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。

(6) 個人番号関係事務実施者

個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。

（法令等の遵守）

第 3 条

会社は、番号法及び特定個人情報保護委員会が定めた「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」を遵守して運用をする。

（守秘義務）

第 4 条

特定個人情報等を取り扱う全ての者は、徹底した守秘義務の中で業務を遂行しなければならない。

（取扱い業務の範囲と制限）

第 5 条

会社が個人番号を取扱う事務の範囲は、以下の通りとする。

(1) 社員の所得税法等の税務関連の届け出事務
(2) 社会保険及び労働保険関連の届け出事務
(3) 報酬・料金等の支払調書作成事務
(4) 配当、余剰金の分配に関する支払調書作成事務
(5) 不動産の使用料等の支払調書作成事務
(6) 不動産等の譲受けの対価の支払調書作成事務
(7) 上記に付随する行政機関への届け出事務

2. 会社は、前項の事務の範囲での利用目的以外の為に、個人番号を収集、利用、提供、保管をしてはならない。

（組織体制）

第 6 条

特定個人情報等の取扱いについての組織体制は、以下の通りとする。なお、退職や異動等によって担当が変更となった場合には、確実な引継ぎを行い上長等がその状況を確認しなければならない。

特定個人情報等の取扱いに関する最高責任者（全体統括）	代表取締役社長
事務取扱責任者	管理部長
事務取扱担当者	管理部担当者

（責任者の役割）

第 7 条

各責任者の役割は、以下の通りとする。

特定個人情報等の取扱いに関する最高責任者（全体統括）	運用責任者及び安全管理責任者を監督し、特定個人情報等の取扱い等についてのすべての最終的な責任を負う
事務取扱責任者事務取扱担当者	特定個人情報にかかる事務が適正に行われるよう、取扱状況の把握、実務的な企画を行い、担当者への教育、監督を行う役割を担う

2 各責任者は、会社における個人情報の取扱状況を把握し、事務取扱担当者及び委託先に対し、これを理解させ適正に取り扱われるよう、必要かつ適切な監督を行う。

（事務取扱担当者の責務）

第 8 条

事務取扱担当者は、特定個人情報の取得、保管、利用、提供、廃棄、及び開示、訂正等、特定個人情報を取り扱う業務に従事する際、本規程及び番号法、責任者の指示した事項に従い、特定個人情報の保護に十分な注意を払ってその業務を行うものとする。

（情報漏えい対応策）

第 9 条

1．事務取扱担当者は、情報漏えい発生時またはその可能性が疑われる場合には、直ちに所属長及び取扱責任者に報告をするとともに漏えいの拡大を阻止するように対策を講じなければならない。
2．各取扱責任者は、情報漏えい発生時またはその可能性が疑われる場合には、やかに最高責任者に報告し、その原因を究明しなければならない。
3．最高責任者又は取扱責任者は、情報漏えい時には関係官庁及び影響を受ける可能性がある本人への連絡を行うとともに、 やかに原因や再発防止策を公表しなければならない。
4．会社は必要に応じて、外部の機関やコンサルティング会社等より監査を受ける等の対策を講じることがある。

（取 得）

第10条

会社は、特定個人情報等の取得を適法かつ公正な手段によって行うものとする。
2．個人情報を取得する場合は、予めその利用目的を通知または公表する。

（個人番号の提供の要求）

第11条

会社は、個人番号関係事務を行うために、本人または他の個人番号関係事務実施者若しくは個人番号利用事務実施者に対して、個人番号の提供を求めることができる。

（収集の制限）

第12条

会社は、第5条に定める事務の範囲を超えて特定個人情報等を収集してはならない。

（本人確認）

第13条

会社は、番号法第16条の定めにより個人番号所有者の番号確認及び身元確認を行う。代理人により身元確認等を行う場合には、同条に定める各方法により、当該代理人についても身元確認、及び代理権の確認を行うものとする。

（利 用）

第14条

会社は、取得した特定個人情報について、第5条に掲げる利用目的の範囲内でのみ利用する。但し、人の生命、身体又は財産の保護のために必要、かつ本人の同意がある場合は、この限りでない。

（特定個人情報ファイル作成の制限）

第15条

個人番号を取扱う者は、法令に基づいて行う事務手続きに限り、特定個人情報に関するファイルを作成することができる。この場合を除いて特定個人情報ファイルを作成してはならない。

（保 管）

第16条

会社は、特定個人情報を記載する書類等に係る関係法令に定める保存期間を経過するまで、特定個人情報を保管することができる。

（提 供）

第17条

会社は、番号法第19条各号に掲げる場合を除き、本人の同意の有無にかかわらず、特定個人情報を第三者に提供しないものとし、関係法令により必要な場合においてのみ特定個人情報を関係行政官庁へ提供することができる。
2．前項の第三者とは、法的な人格を超える特定個人情報の移動を意味し、同一法人内部等の法的な人格を超えない特定個人情報の移動は該当しないものとする。

（削除・廃棄）

第18条

特定個人情報等は、関係法令により定められた保存期間を超えた場合には削除・廃棄するものとする。

（取扱状況・運用状況の記録）

第19条

事務取扱担当者は、以下の取扱状況について確認する為、次に掲げる事項を記録、保存する。

(1) 特定個人情報等の入手日
(2) 特定個人情報の利用日と目的
(3) 特定個人情報の持ち出し及び記載書類の提出日
(4) 削除・廃棄日、及びその方法

（組織的安全管理措置）

第20条

会社は、組織的安全管理措置を講じるために以下の事項を実施する。
(1) 会社は第6条に基づき組織体制及びその責務、役割を明確化するとともに、連絡体制の整備を行い、継続的な改善を行うための運用状況の確認、評価、検討、監視を行う。
(2) 不定期による情報漏えい事故対策訓練を実施する。

（人的安全管理措置）

第21条

会社は、人的安全管理措置を講じるために以下の事項を実施する。
(1) 特定個人情報等の取扱いに関する留意事項等について、社員に対して定期的な研修を実施する。
(2) 特定個人情報等の守秘及び保護について就業規則に明確化し、その取扱い及び情報漏えい時の対策と違反時の罰則を周知させる。

（物理的安全管理措置）

第22条

会社は、物理的安全管理措置を講じるために以下の事項を実施する。
(1) 管理区域及び取扱区域を明確にし、それぞれの区域に対し、次に掲げる方法に従い
以下の措置を講じる。

• ① 管理区域 入退室及び持ち込み機器（電子媒体等も含む）の制限を行う。
• ② 取扱区域 間仕切りや壁を利用し、事務取扱担当者以外の者から容易に覗き見られないよう配置を工夫をする。

(2) 特定個人情報等を取扱う機器、電子媒体又は書類等については、施錠できるキャビネット・書庫等に保管する。情報システム等、パソコンで管理しているものは、セキュリティワイヤー等により固定する。
(3) 特定個人情報を本条第1号の区域から移動又は持ち出しするときは、その持ち出す
データ又は書類に応じ以下の適した安全対策を講じるものとする。

• ① 持ち出しデータの暗号化
• ② 持ち出しデータのパスワードによる保護
• ③ 施錠できる搬送容器、鞄等の使用
• ④ 封入又は目隠しシールの貼付
• ⑤ 追跡可能な移送手段の利用（配達記録、簡易書留等）

(4) 特定個人情報の廃棄、削除は次のとおりとする。

• ① 自社又は外部の焼却場での焼却、溶解等復元不可能な手段を用いる。
• ② 廃棄、削除をするときは、責任者が確実に復元不可能となったことを確認する。
• ③ 外部の廃棄サービス又はデータ削除サービスを利用するときは、廃棄証明書等を受領しなければならない。

（技術的安全管理措置）

第23条

会社は、技術的安全管理措置を講じるために、特定個人情報を取扱う機器、及び電子媒体について、次の措置を実施する。
(1) 情報へのアクセスは、アクセスすることができる担当者を限定し、その権限の有無を識別するパスワードを設定の上、アクセス状況を記録する。
(2) 前号のパスワードは、一定の期間ごとに変更、更新を行う。
(3) 特定個人情報を取扱う機器は、原則としてインターネット及び外部ネットワークとの接続を禁止し、接続が必要な場合はファイアウォールを設置しネットワーク保護、及び監視を行う。

（特定個人情報等の取扱い委託）

第24条

会社は、会社が行う安全管理措置と同等又はそれ以上の措置が適切に講じられている外部事業者等に、特定個人情報等の取扱い事務の全部又は一部を委託することができる。
2. 会社は、委託先において、組織的・人的・物理的・技術的な安全管理措置が客観的に講じられているか予め確認の上、選定を行い、以後、必要かつ適切な監督を行うものとする。

（特定個人情報等の取扱い再委託）

第25条

特定個人情報等の取扱いの委託先は、会社の承認を得た場合に限り、委託を受けた事項の全部又は一部を再委託することができる。 2．会社は、再委託先の適否の判断のみならず、委託先が再委託先に対しても、前条と同様の基準で選定し、必要かつ適切な管理を行っているか否かについても監督する。

（保有個人情報に関する事項の公表、訂正等）

第26条

会社は、個人情報保護法第23条第1項に基づき、特定個人情報に係る保有個人情報に関する事項を本人の知り得る状態に置くものとし、開示を求められた場合は、請求者にかかる事項を遅滞なく開示する。
2. 会社は、当該本人にかかる保有個人情報の内容が事実でないことを理由に、本人から訂正等を求められた場合は、必要な調査を行い、事実でないことが判明した場合には、その結果に基づき遅滞なく訂正する。
3. 前各号の開示、訂正等に応じることができないときは、請求者に対しその根拠とした個人情報保護法の条文及び判断の基準となる事実を示し、その理由を説明する。

（社員の教育）

第27条

会社は、社員に対して本規程を遵守させるために、定期的な研修の実施及び情報提供等を行い、特定個人情報等の適正な取扱いを図るものとする。

（苦情や相談等の対応）

第28条

特定個人情報等の取扱いについての苦情や相談等の対応は、最高責任者及び取扱責任者が連携の上、適切に対応するものとする。

（違反時の対応）

第29条

会社は本規程に違反する行為がみられた場合には、就業規則に基づき懲戒処分を行うと伴に、会社に損害を及ぼした場合は、損害の実費の範囲内において、その損害を賠償させることがある。

（規程の改定）

第30条

会社は、必要に応じ、本規程を見直すものとする。

附則
第1条 この規程は2022年3月1日から施行する。
第2条 この規程の改廃は取締役会が行う。

TOPに戻る