当事業所がご利用者の個人情報を収集する場合、ご利用者の介護・福祉に係る範囲で行います。 その他の目的に個人情報を利用する場合は利用目的を、あらかじめお知らせし、ご了解を得た上で実施いたします。 インターネット上で個人情報を必要とする場合も同様にいたします。

　当事業所は、ご利用者の個人情報の利用につきましては以下の場合を除き、本来の利用目的の範囲を超えて使用いたしません。
（1）ご利用者本人・身元引受人または成年後見制度により選任された者の了解・同意を得た場合
（2）個人を識別あるいは特定できない状態（匿名加工）に変えて利用する場合（仮名加工は不可）
（3）法令等により提供を要求された場合
　また、当事業所は、警察からの令状を用いての協力依頼があった場合等を除き、ご利用者の了解・同意なく、その情報を第三者に提供いたしません。

　当事業所は、ご利用者の個人情報について正確かつ最新の状態に保ち、ご利用者の個人情報の漏えい、紛失、破壊、改ざんまたはご利用者の個人情報への不正なアクセスの的確な防止に取り組みます。

　当事業所は、ご利用者の個人情報並びにサービス提供記録（第三者から取得のデータ含む）についてご利用者本人等（２．(1)に定める）から開示を求められた場合には、遅滞なく内容を確認し公益が害されるものを除きご利用者本人等の選択により「閲覧」「書面の交付」「電磁的記録の提供」その他「事業者が定める方法」で対応いたします。 なお、コピー（書面・電磁的記録媒体）が必要な場合の費用は実費を申し受けます。 また、その際内容が事実でない等の理由で訂正を求められた場合は、調査のうえ法令に照らし適切に対応いたします。

　当事業所の個人情報保護方針に関してのご質問やご利用者の個人情報のお問い合わせは、上記の個人情報保護相談窓口でお受けいたします。

　当事業所は運営法人と協力し、個人情報の保護に関する法令・規範を遵守するとともに、上記の各項目の見直しを適宜行い、個人情報保護の仕組みの継続的な改善を図ります。 万一、個人情報漏えい事故が発生し、個人の権利利益を害するおそれがあるときは、個人情報保護委員会への報告およびご本人への通知を行います。

（1）この方針は2015年9月1日から施行する。
（2）この方針は2022年6月10日から改正施行する。

この規程は、個人情報が個人の人格尊重の理念のもとに慎重に取り扱われるべきものであることにかんがみ、社会福祉法人 虹のまち福祉会（以下「当法人」という。）が保有する個人情報の適正な取扱いの確保に関し必要な事項を定めることにより、当法人の事業の適正かつ円滑な運営を図りつつ、個人の権利利益を保護することを目的とする。

この規程における用語の定義は、次の各号に定めるところによる。

• （1）個人情報
  生存する個人（組合員、当生協事業サービス利用者、役職員）に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録）で作られる記録をいう。 又は個人別に付された番号、記号その他の符号により当該個人を識別できるもの（当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できることとなるものを含む。）をいう。
• （2）個人情報データベース等
  特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合物、又はコンピュータを用いていない場合であっても、紙媒体で処理した個人情報を一定の規則にしたがって整理又は分類し、特定の個人情報を容易に検索することができる状態においているものをいう。
• （3）個人データ
  個人情報データベース等を構成する個人情報をいう。
• （4）保有個人データ
  当法人が開示、訂正、追加、削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの、又は違法若しくは不当な行為を助長し、又は誘発するおそれがあるもの以外をいう。
• （5）本人
  個人情報から識別され、又は識別され得る個人をいう。
• （6）従業者
  当法人の指揮命令を受けて当法人の業務に従事する者をいう。
• （7）匿名加工
  個人情報から当該情報に含まれる氏名、生年月日、住所の記述等、個人を識別する情報を取り除くことで全く特定の個人を識別できないようにすることをいう。
• （8）仮名加工
  他の情報と照合しない限り、特定の個人を識別することができないようにすること。
• （9）要配慮個人情報
  本人の人種、信条、社会的身分、病歴、犯罪の経歴、本人に対する不当な差別、偏見、その他の不利益が生じないようにその取扱いに特に配慮を要する個人情報をいう。

当法人は、個人情報保護に関する法令等を遵守するとともに、当法人の定款に実施することを定めたあらゆる事業を通じて個人情報の保護に努めるものとする。

• １ 当法人は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定するものとする。
• ２ 当法人は、合併その他の事由により他の法人等から事業を継承することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで継承前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わないものとする。
• ３ 当法人は、利用目的を変更した場合は、変更した利用目的について、本人に通知し、又は公表するものとする。

当法人は、別に定める「個人情報保護方針」により、個人情報を取り扱う事業（所）ごとに個人情報の種類、利用目的、利用・提供方法等を定めるものとする。

• １ 当法人は、あらかじめ本人の同意を得ることなく前２条の規定により特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱わないものとする。
• ２ 当法人は、合併その他の事由により他の法人等から事業を継承することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで継承前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わないものとする。
• ３ 前２項の規定にかかわらず、次の各号のいずれかに該当する場合には、あらかじめ本人の同意を得ないで前２条の規定により特定された利用目的の範囲を超えて個人情報を取り扱うことができるものとする。
• （1）法令に基づく場合。
• （2）人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
• （3）公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
• （4）国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより、当該事務の遂行に支障を及ぼすおそれがあるとき。
• （5）学術研究等の目的で個人情報を公表する場合は、仮名加工ではなく匿名加工することを条件とする。
• ４ 当法人は、前項の規定に該当して利用目的の範囲を超えて個人情報を取り扱う場合には、その取扱う範囲を真に必要な範囲に限定するものとする。

• １ 当法人は、個人情報を取得するときは、利用目的を明示するとともに、適法かつ適正な方法で行うものとする。
• ２ 当法人は、思想、信条及び宗教に関する個人情報並びに社会的差別の原因となる個人情報については取得しないものとする。
• ３ 当法人は、原則として本人から個人情報を取得するものとする。ただし、次の各号のいずれかに該当する場合は、この限りでない。
• （1）本人の同意があるとき。
• （2）法令等の規定に基づくとき。
• （3）個人の生命、身体又は財産の安全を守るため緊急かつやむを得ないと認められるとき。
• （4）所在不明、判断能力が不十分等の事由により、本人から取得することができないとき。
• （5）相談、援助、指導、代理、代行等を含む事業において、本人から取得したのではその目的を達成し得ないと認められるとき。
• ４ 当法人は、前項第４号又は第５号の規定に該当して本人以外の者から個人情報を取得したときは、その旨及び当該個人情報に係る利用目的を本人に通知するよう努めるものとする。

• １ 当法人は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表するものとする。
• ２ 当法人は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示するものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合には、この限りでない。
• ３ 前２項の規定は、次に掲げる場合については適用しない。
• （1）利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合。
• （2）国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

• １ 当法人は、利用目的の達成に必要な範囲内で、常に個人データを正確かつ最新の状態に保つものとする。
• ２ 当法人は、個人データの漏えい、滅失、き損の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずるものとする。
• ３ 当法人は、個人データの安全管理のために、個人データを取り扱う従業者に対する必要かつ適切な監督を行うものとする。
• ４ 当法人は、利用目的に関し保存する必要がなくなった個人データを、確実、かつ速やかに破棄又は削除するものとする。

• １ 当法人は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供しないものとする。また、オプトアウト規定による個人データの第三者への提供は実施しません。
• （1）法令に基づく場合。
• （2）人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
• （3）公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
• （4）国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより、当該事務の遂行に支障を及ぼすおそれがあるとき。
• ２ 次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。
• （1）法令に基づく場合。
• （2）人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
• （3）公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
• （4）国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより、当該事務の遂行に支障を及ぼすおそれがあるとき。
• ３ 当法人は、原則として本人から個人情報を取得するものとする。ただし、次の各号のいずれかに該当する場合は、この限りでない。
• （1）本人の同意があるとき。
• （2）法令等の規定に基づくとき。
• （3）個人の生命、身体又は財産の安全を守るため緊急かつやむを得ないと認められるとき。
• （4）所在不明、判断能力が不十分等の事由により、本人から取得することができないとき。
• （5）相談、援助、指導、代理、代行等を含む事業において、本人から取得したのではその目的を達成し得ないと認められるとき。
• ４ 当法人は、前項第４号又は第５号の規定に該当して本人以外の者から個人情報を取得したときは、その旨及び当該個人情報に係る利用目的を本人に通知するよう努めるものとする。

• １ 当法人は、本人から、当該本人に係る保有個人データについて、書面又は口頭により、その開示（当該本人が識別される個人情報を保有していないときにその旨を知らせることを含む。以下同じ。）の申し出があったときは、身分証明書等により本人であることを確認の上、開示をするものとする。その際、「閲覧」「書面の交付」「電磁的記録の提供」その他「当法人が定める方法」のうちから本人が選択することができる。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
• （1）本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
• （2）当法人の事業の適正な実施に著しい支障を及ぼすおそれがある場合
• （3）他の法令に違反することとなる場合
• ２ 保有個人データの開示又は不開示の決定の通知は、本人に対し遅滞なく行うものとする。

• １ 当法人は、保有個人データの開示を受けた者から、書面又は口頭により、開示に係る個人データの訂正、追加、削除又は利用停止の申出があったときは、利用目的の達成に必要な範囲内において遅滞なく調査を行い、その結果を申出をした者に対し通知するものとする。
• ２ 当法人は、前項の通知を受けた者から、再度申出があったときは、前項と同様の処理をおこなうものとする。

• １ 当法人は、個人情報の適正管理のため個人情報保護管理者を定め、当法人における個人情報の適正管理に必要な措置を行わせるものとする。
• ２ 個人情報保護管理者は、統括会計責任者とする。
• ３ 統括会計責任者は、理事長の指示及び本規程の定めに基づき、適正管理対策の実施、従業者に対する教育・事業訓練等を行う責任を負うものとする。
• ４ 統括会計責任者は、適正管理に必要な措置について定期的に評価を行い、見直し又は改善を行うものとする。
• ５ 統括会計責任者は、個人情報の適正管理に必要な措置の一部を各事業を分掌する従業者に委任することができる。

• １ 当法人は、個人情報の取扱いに関する苦情（以下「苦情」という。）について必要な体制整備を行い、苦情があったときは、適切かつ迅速な対応に努めるものとする。
• ２ 苦情対応の責任者は、統括会計責任者とする。
• ３ 統括会計責任者は、苦情対応の業務を従業者に委任することができる。その場合は、あらかじめ従業者を指定し、その業務の内容を明確にしておくものとする。

• １ 当法人の従業者又は従業者であった者は、業務上知り得た個人情報の内容をみだり他人に知らせ、又は不当な目的に使用してはならない。
• ２ 本規程に違反する事実又は違反するおそれがあることを発見した従業者は、その旨を個人情報保護管理者に報告するものとする。
• ３ 個人情報保護管理者は、前項による報告の内容を調査し、違反の事実が判明した場合には遅滞なく理事長に報告するとともに、関係事業部門に適切な措置をとるよう指示するものとする。

• １ 万一、個人情報漏えい等の事故が発生し、下記のとおり個人の権利利益を害する事実が発生した場合、あるいは発生するおそれある場合に、「個人情報保護委員会への届け出」と「本人への通知」を行うものとする。
• （1）要配慮個人情報が含まれる個人データの漏えい・滅失・毀損（漏えい等）
• （2）不正利用により財産的被害発生のおそれがある個人データの漏えい等
• （3）不正の目的をもって行われたおそれがある個人データの漏えい。
• （4）1000 名分を超える個人データの漏えい等
• ２ 個人情報保護委員会への報告の方法・内容は次のとおりとする。
• ■ 事態を知った後、速やかに事故に関する次の事項を報告＜速報：概ね3～5 日以内＞。「概要」「情報項目」「本人の数」「原因」「2 次被害やそのおそれの有無と内容」「本人への対応状況」「公表の実施状況」「再発防止措置」「その他参考事項」
• ■ 事態を知った日から30 日以内（不正目的による場合は60 日以内）に、上記の各事項について再報告＜確報＞。
• ■ 報告は次の方法で行う。
• ・ 委員会への報告の場合は、原則として「電子情報処理組織を使用する方法」（オンラインによる報告：入力フォームは別紙参照）。回線故障・災害などオンラインでの報告が困難な場合は所定の様式による報告書の提出。
• ・ 委員会から権限の委任を受けた事業所管大臣への報告の場合は、所定の様式による報告書の提出。ただし、当該大臣が別に定めた方法があればそれによる。
• ３ 本人への通知の内容は次のとおりとする。
• ■ 事態を知った後、状況に応じて速やかに、本人の権利利益の保護に必要な範囲内で、「概要」「情報項目」「原因」「二次被害やそのおそれの有無と内容」「その他参考事項」を通知しなければならない。
• ４ 行政報告要領及び本人への通知要領の詳細については、【巻末別表】によるものとする。

この規程の実施に必要な事項は、別に定めるものとする。

この規程は、２０１５年９月１日から施行する。（初版）

この規程は、２０２２年６月1０日から改正施行する。（全面改定）