保険代理店業務に係る個人情報取扱規程
第20条(安全管理措置)
1.当代理店は、取り扱う個人データの漏えい、滅失または毀損(以下「漏えい等」という)の防止その他個人データの安全管理のため、組織的、人的、物理的、技術的に必要かつ適切な措置(以下「安全管理措置」という。)を講じるものとする。
2.組織的安全管理措置として、個人データの安全管理に係わる取扱規程を整備する。取扱規程は、「取得・入力」「利用・加工」「保管・保存」「移送・送信」「消去・廃棄」「漏えい等事案への対応」の個人データの各管理段階毎に定めるものとする。
第21条(漏えい時の対応)
1.従業者は、個人情報または個人データの漏えい等事故またはそのおそれのある事案を発見した場合は、直ちにその旨を個人データ管理者に報告し、その指示を受けなければならない。
2.個人データ管理者は、個人情報または個人データの漏えい等事故またはそのおそれのある事案が発生した旨を直ちに個人データ管理責任者に報告しなければならない。
第24条(委託先の監督)
1.個人データ管理責任者は、個人データの取扱いの全部または一部を外部に委託する場合は、取扱いを委託した個人データの安全管理が図られるよう、別に定める個人データの外部委託に係わる規程に基づき、委託先に対する必要かつ適切な監督を行わなければならない。
2.個人データ管理責任者は、委託先に対し以下の各号の事項を実施しなければならない。
(1)委託先の個人情報保護体制が十分であることを確認した上で委託先を選定すること
(2)個人データの取扱いを外部委託するにあたっては、事前に保険会社に書面により申請し、承認を得ること
(3)委託先との間で、次の事項を含む委託契約書等を締結すること
① 委託者の監督・監査・報告徴収に関する権限
② 委託先における個人データの漏えい、盗用、改ざん及び目的外利用の禁止
③ 再委託における条件
④漏えい等事案が発生した際の委託先の責任
個人データの安全管理に係る取扱規程
保険代理店業務に係わる個人情報取扱規程第20条第2項に定める個人データの安全管理に係わる取扱規程を以下のとおり定める。
2.利用・加工段階における取扱規程
個人データ管理者は、個人データの利用・加工段階における漏えい等の防止策を講じなければならない。
3.保管・保存段階における取扱規程
第14条(個人データの漏えい等防止策)
個人データ管理者は、個人データの保管・保存段階における漏えい等の防止策を講じなければならない。
4.移送・送信段階における取扱規程
第15条(個人データの漏えい等防止策)
個人データ管理者は、個人データの移送・送信段階における漏えい等の防止策を講じなければならない。
第17条(個人データの漏えい等防止策)
6.漏えい等事案への対応の段階における取扱規程
第1条(目的)
本規程は、当代理店における個人データの安全管理措置のうち、個人データの漏えい等事案への対応の段階における取扱いについて定めたものである。
第2条(定義)
「漏えい等事案」とは、個人情報が記載・収録された帳票や電子記録媒体(USBメモリー・CD・DVD等)の盗難または紛失、郵便物の誤送付、電子メールやファックスの誤送信、システムの設定ミス等によるインターネット上で個人情報の第三者による閲覧、不正アクセス等での個人情報の窃取等の事故により、個人情報の漏えい、滅失または毀損が生じ、または生じるおそれがある場合をいう。
第3条(漏えい等事案への対応に関する対応部署の役割・責任及び取扱者の限定)
1.個人データ管理責任者は、漏えい等事案への対応に関する部署(以下、「対応部署」という。)の役割・責任を定め、組織内に周知しなければならない。
2.対応部署の個人データ管理者は、各部署において、業務上必要な者に限り漏えい等事案への対応が行われるよう取扱者を限定しなければならない。
第4条(漏えい等事案への対応の規程外作業に関する申請及び承認手続き)
個人データの取扱者は、本規程に定める以外の方法で漏えい等事案に対応する場合は、個人データ管理者に申請し、承認を得たうえで行わなければならない。
第5条(発見者の報告・被害拡大の防止)
漏えい等事案が発生した場合、発見者は、個人情報の回収を行うなど漏えい範囲の拡大防止等必要な措置をとると共に、直ちに対応部署に報告しなければならない。
第6条(漏えい等事案の影響等に関する調査手続)
第7条(再発防止策・事後対策の検討に関する手続)
漏えい等事案が発生した部署の個人データ管理者は、対応部署と協議のうえ、漏えいした個人データの取扱状況の記録内容の調査を踏まえた真因の分析、再発防止策・事後対策の策定を実施し、個人データ管理責任者へ報告することとする。
第8条(保険会社への報告・本人への通知に関する手続)
(削除)
1.対応部署は、報告を受けた漏えい等事案について、保険会社の定める手続きに従い直ちに保険会社に報告しなければならない。
2.対応部署の個人データ管理者は保険会社の指示に従い、社外への報告等(警察への届出、二次被害の防止・類似事案の発生回避の観点からの漏えい等事案の事実関係及び再発防止策の公表等)の要否及びその方法について決定しなければならない。
3.対応部署の個人データ管理者は保険会社の指示に従い、原則漏えい等事案の発生について本人に通知しなければならない。
第9条(漏えい等事案への対応記録及び分析)
1.対応部署の個人データの取扱者は、漏えい等事案へ対応する場合、データの種類や形態等に応じて、必要に応じ、かつ適切に漏えい事案への対応状況について記録を行わなければならない。
2.対応部署の個人データ管理者は、個人データの漏えい等の防止のため、必要に応じ、記録された状況を確認することとする。
個人データの取扱状況の点検及び監査に係る規程
保険代理店業務に係わる個人情報取扱規程第8条第1項に定める個人データの取扱状況の点検及び監査に係わる規程を以下のとおり定める。
個人データの外部委託に係る規程
(個人データの取扱いを海外にある委託先に委託する可能性がある場合に本条を追加する)
第8条(海外にある委託先に個人データの取扱いを委託する場合の追加措置)
個人データ管理者は、個人データの取扱いを海外にある外部に委託するにあたって、以下の安全管理措置を講じるとともに、個人情報保護法で求められる、委託先における個人データの安全管理措置に相当する措置(以下、「相当措置」という)を義務付けた委託契約を委託先との間で締結しなければならない。
(1)次の項目について年に1 回、定期的に書面等により確認を行う。
①移転先の第三者による相当措置の実施状況
②移転先の第三者の所在する外国における相当措置の実施に影響を及ぼすおそれのある制度の有無
(2)相当措置の実施に支障が生じた際には、是正を求め、当該相当措置の継続的な実施の確保が困難となったときは、当該個人データの提供を停止する。
(3)委託契約では、委託契約の範囲内で個人データを取り扱う旨、必要かつ適切な安全管理措置を講じる旨、従業者に対する必要かつ適切な監督を行う旨、再委託が必要な場合の事前承諾、個人データの第三者提供の禁止等を定める。