飯能自動車学校 飯能・日高・入間・狭山・青梅・瑞穂の方の教習所

プライバシーポリシー

プライバシーポリシー

はじめに
埼玉県公安委員会指定飯能自動車学校は、個人情報(生存する個人に関する情報であって、特定の個人を識別することができるものをいい、以下も同様とします)を取り扱う際に、個人情報の保護に関する法律をはじめ、個人情報の保護に関する関係法令、国家公安委員会が所管する事業を行う者等が構ずべき個人情報の保護のための措置に関する指針に定められた義務並びに本プライバシーポリシー(保護方針)を厳正に遵守します。

第1 個人情報の取扱いについて
1 利用目的をできる限り特定した上、あらかじめご本人の同意を得た場合又は法令により例外として扱われる場合を除き、利用目的の範囲内でのみ個人情報を取り扱います。
2 個人情報を取得する場合は、適正な手段で取得し、法令により例外として扱われる場合を除き、利用目的をあらかじめ公表するか、取得後速やかにご本人に通知又は公表します。なお、ご本人から書面で直接取得する場合には、あらかじめ利用目的を明示します。
3 法令により例外として扱われる場合を除き、あらかじめご本人の同意を得ることなく、個人情報を第三者に提供しません。
4 個人情報に関する情報処理等の業務を委託する場合は、業務委託先としての適格性を十分審査するとともに、契約書の内容についても個人情報の保護に配慮し、適正に取り扱われるようにします。

第2 保有する個人情報の管理について
1 職員に対して、個人情報の取扱い、管理等について、必要な研修を実施しています。
2 個人情報保護管理者を責任者として設置し、個人情報の取扱い、管理等について必要な監査をするなど、適切な管理に努めます。
3 個人情報保護に関する内部規程を整備し、個人情報の取扱い、管理等について明確な方針を示すとともに、不正アクセス、紛失、改ざん、漏えい等の予防や是正に関する適切なセキュリティ対策を講じるよう努めます。
4 万一、保有する個人情報の漏えい等の事案が発生した場合は、速やかに皆様にお知らせするとともに、必要な対策を講じます。

第3 お問い合わせ
ご本人から、ご本人の個人情報に関しての、お問い合わせ、開示、訂正、利用停止の申し出があったときは、適正に対応します。

平成17年3月15日
埼玉県公安委員会指定 飯能自動車学校 

株式会社飯能自動車学校 個人情報保護規程

第1章 総則

(趣旨)
第1条 この規程は、教習所事業者である株式会社飯能自動車学校(以下「教習所事業者」という。)が、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)その他の法令の規定に基づき、また、指定自動車教習所業における個人情報保護指針を踏まえ、その事業活動を通じ個人情報の適正な取扱いを確保するために必要な事項を定めるものとする。

(用語の定義)
第2条 この規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1) 個人情報
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)、又は個人識別符号が含まれるものをいう。
(2) 個人に関する情報
氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。
(3) 個人識別符号
当該情報単体から特定の個人を識別できるものとして個人情報の保護に関する法律施行令(平成15年政令第507号。以下「政令」という。)第1条に定められた文字、番号、記号その他の符号をいう。
(4) 要配慮個人情報
不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実のほか、政令第2条で定める記述等が含まれる個人情報をいう。
(5) 個人情報データベース等
特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物をいう。また、コンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当する(政令第3条第1項各号のいずれかに該当するものを除く。)。
(6) 個人データ
教習所事業者が管理する個人情報データベース等を構成する個人情報をいう。
(7) 保有個人データ
教習所事業者が、本人又はその代理人から請求される開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全て(以下「開示等」という。)に応じることができる権限を有する個人データをいう。ただし、その存否が明らかになることにより公益その他の利益が害されるものとして政令第4条で定めるもの又は6か月以内に消去する(更新することは除く。)こととなるものを除く。
(8) 匿名加工情報
個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいう。
(9) 個人情報保護管理者
個人データの取扱いに関する責任者をいう。
(10) 個人情報取扱担当者
個人データを取り扱う従業者をいう。

第2章 個人情報の利用目的

(利用目的の特定)
第3条 教習所事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り具体的に特定しなければならない。
(利用目的の変更)
第4条 教習所事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
2 教習所事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
(利用目的による制限)
第5条 教習所事業者は、あらかじめ本人の同意を得ないで、第3条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
(利用目的による制限の例外)
第6条 次に掲げる場合については、前条の規定にかかわらず、あらかじめ本人の同意を得ないで利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

第3章 個人情報の取得

(適正取得)
第7条 教習所事業者は、偽りその他不正の手段により個人情報を取得してはならない。
(要配慮個人情報の取得)
第8条 教習所事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 当該要配慮個人情報が、本人、国の機関、地方公共団体、法第76条第1項各号に掲げる者その他個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「規則」という。)第6条で定める者により公開されている場合
(6) 政令第7条で定める場合
(利用目的の通知又は公表)
第9条 教習所事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
(直接書面等による取得)
第10条 教習所事業者は、契約書や懸賞応募はがき等の書面等による記載、ユーザー入力画面への打ち込み等の電磁的記録により、直接本人から個人情報を取得する場合には、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
(利用目的の通知等をしなくてよい場合)
第11条 次に掲げる場合については、第4条第2項、第9条及び前条の規定にかかわらず、当該利用目的の通知等をしなくてよい。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することにより教習所事業者の権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4) 取得の状況からみて利用目的が明らかであると認められる場合

第4章 個人データの管理

(データ内容の正確性の確保等)
第12条 教習所事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
(安全管理措置)
第13条 教習所事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために、別添「講ずべき安全管理措置の内容」に基づき、必要かつ適切な措置を講じなければならない。
(責任体制)
第14条 教習所事業者は、個人データの安全管理について責任体制を確保するに当たり、次の各号に掲げる者を置く。
(1) 個人情報保護管理者
(2) 個人情報取扱担当者
2 前項第1号の個人情報保護管理者は、管理者がその任に当たる。
3 第1項第2号の個人情報取扱担当者は、個人情報保護管理者が指定した者がその任に当たる。
(従業者の監督)
第15条 教習所事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
(委託先の監督)
第16条 教習所事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

第5章 個人データの第三者への提供

(第三者提供の制限の原則)
第17条 教習所事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(第三者に該当しない場合)
第18条 次に掲げる場合において、当該個人データの提供を受ける者は、前条の規定の適用については、第三者に該当しないものとする。
(1) 教習所事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2) 合併その他の事由による事業の承継に伴って個人データが提供される場合
(3) 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
(共同利用に係る事項の変更)
第19条 教習所事業者は、前条第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(第三者提供に係る記録の作成)
第20条 教習所事業者は、個人データを第三者(国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除く。以下この条から第24条までにおいて同じ。)に提供したときは、次に掲げる事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第17条各号又は第18条各号のいずれかに該当する場合は、この限りでない。
(1) 第17条の本人の同意を得ている旨
(2) 当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項(不特定かつ多数の者に対して提供したときは、その旨)
(3) 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
(4) 当該個人データの項目
2 前項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
3 第1項の記録は、個人データを第三者に提供した都度、速やかに作成しなければならない。ただし、当該第三者に対し個人データを継続的に若しくは反復して提供したとき、又は当該第三者に対し個人データを継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。
4 前項の規定にかかわらず、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に第1項各号に定める事項が記載されているときは、当該書面をもって第1項の当該事項に関する記録に代えることができる。
5 第1項各号に定める事項のうち、既に作成した第1項の記録(保存しているものに限る。)に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
(第三者提供に係る記録の保存)
第21条 教習所事業者は、前条第1項の記録を、当該記録を作成した日から次に定める期間保存しなければならない。
(1) 前条第4項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間
(2) 前条第3項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間
(3) 前二号以外の場合 3年
(第三者提供を受ける際の確認)
第22条 教習所事業者は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第17条各号又は第18条各号のいずれかに該当する場合は、この限りでない。
(1) 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
(2) 当該第三者による当該個人データの取得の経緯
2 前項第1号に掲げる事項の確認を行う方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法とする。
3 第1項第2号に掲げる事項の確認を行う方法は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法とする。
4 前二項の規定にかかわらず、第三者から他の個人データの提供を受けるに際して既に前二項に規定する方法による確認(当該確認について記録の作成及び保存をしているものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。
(第三者提供を受ける際の記録の作成)
第23条 教習所事業者は、前条の規定による確認を行ったときは、次に掲げる事項に関する記録を作成しなければならない。
(1) 第17条の本人の同意を得ている旨
(2) 前条第1項各号に掲げる事項
(3) 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
(4) 当該個人データの項目
2 前項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
3 第1項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。ただし、当該第三者から継続的に若しくは反復して個人データの提供を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
4 前項の規定にかかわらず、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に第1項各号に定める事項が記載されているときは、当該書面をもって第1項の当該事項に関する記録に代えることができる。
5 第1項各号に定める事項のうち、既に作成した第1項の記録(保存しているものに限る。)に記録された事項と内容が同一であるものについては、第1項の当該事項の記録を省略することができる。
(第三者提供を受ける際の記録の保存)
第24条 教習所事業者は、前条第1項の記録を、当該記録を作成した日から次に定める期間保存しなければならない。
(1) 前条第4項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して1年を経過する日までの間
(2) 前条第3項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して3年を経過する日までの間
(3) 前二号以外の場合 3年

第6章 保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等

(保有個人データに関する事項の公表等)
第25条 教習所事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
(1) 教習所事業者の名称
(2) 全ての保有個人データの利用目的(第11条第1号から第3号までに該当する場合を除く。)
(3) 保有個人データの利用目的の通知の求め、又は保有個人データの開示、内容の訂正、追加若しくは削除(以下「訂正等」という。)、利用の停止若しくは消去(以下「利用停止等」という。)、第三者提供の停止の請求に応じる手続(手数料の額を定めたときは、その手数料の額を含む。)
(4) 教習所事業者が行う保有個人データの取扱いに関する苦情の申出先
(5) 一般社団法人全日本指定自動車教習所協会連合会(以下「全指連」という。)の名称及び苦情の解決の申出先
2 教習所事業者は、次に掲げる場合を除き、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。利用目的を通知しない旨の決定をしたときも、本人に対し、遅滞なく、その旨を通知しなければならない。
(1) 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
(2) 第11条第1号から第3号までに該当する場合
(保有個人データの開示)
第26条 教習所事業者は、本人から、当該本人が識別される保有個人データの開示の請求を受けたときは、 本人に対し、書面の交付による方法(開示の請求を行った者が同意した方法があるときはその方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 教習所事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3) 他の法令に違反することとなる場合
2 教習所事業者は、前項の規定による請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき、又は当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければならない。
3 他の法令の規定により、本人に対し第1項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第1項の規定は適用しない。
(保有個人データの訂正等)
第27条 教習所事業者は、本人から、当該本人が識別される保有個人データに誤りがあり、事実でないという理由によって、当該保有個人データの内容の訂正等の請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
2 教習所事業者は、前項の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。
(保有個人データの利用停止等)
第28条 教習所事業者は、本人から、当該本人が識別される保有個人データが、第5条若しくは第6条の規定に違反して本人の同意なく目的外利用がされている、又は第7条若しくは第8条の規定に違反して偽りその他不正の手段により個人情報が取得され若しくは本人の同意なく要配慮個人情報が取得されたものであるという理由によって、当該保有個人データの利用停止等の請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2 教習所事業者は、本人から、当該本人が識別される保有個人データが、第17条の規定に違反して本人の同意なく第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3 教習所事業者は、第1項又は前項に規定する請求に対し、保有個人データの全部若しくは一部について、その請求に応じたとき、又はその請求に応じない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(理由の説明)
第29条 教習所事業者は、保有個人データの利用目的の通知の求め、又は保有個人データの開示、訂正等、利用停止等若しくは第三者提供の停止に関する請求(以下「開示等の請求等」という。)に係る措置の全部又は一部について、その措置をとらない旨又はその措置と異なる措置をとる旨を本人に通知する場合は、併せて、本人に対して、その理由を説明するよう努めなければならない。
(開示等の請求等に応じる手続)
第30条 教習所事業者は、開示等の請求等において、これを受け付ける方法として、次に掲げる事項を定めるものとする。
(1) 担当窓口名・係名、郵送先住所、受付電話番号、受付FAX番号、メールアドレス等の開示等の請求等の申出先
(2) 開示等の請求等に際して提出すべき書面(電磁的記録を含む。)の様式、その他の開示等の請求等の受付方法
(3) 開示等の請求等をする者が本人又はその代理人(未成年者又は成年被後見人の法定代理人、開示等の請求等をすることにつき本人が委任した代理人)であることの確認の方法
(4) 保有個人データの利用目的の通知又は保有個人データの開示をする際に徴収する手数料の徴収方法
2 教習所事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、教習所事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
3 教習所事業者は、前2項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課すものとならないよう配慮しなければならない。
(手数料)
第31条 保有個人データの利用目的の通知を求められたとき、又は保有個人データの開示の請求を受けたときは、当該措置の実施に係る手数料は、項目1件につき1,000円とする。

第7章 個人情報の取扱いに関する苦情処理

(苦情処理に関する義務)
第32条 教習所事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 教習所事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。

第8章 匿名加工情報の作成に係る義務

(匿名加工情報の適正な加工)
第33条 教習所事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために、規則第19条各号で定める基準に従い、当該個人情報を加工しなければならない。
(加工方法等情報の安全管理措置)
第34条 教習所事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前条の規定により行った加工の方法に関する情報の漏えいを防止するために、規則第20条各号で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。
(匿名加工情報の安全管理措置等)
第35条 教習所事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
(匿名加工情報の作成時の公表)
第36条 教習所事業者は、匿名加工情報を作成したときは、規則第21条で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
(匿名加工情報の第三者提供)
第37条 教習所事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、規則第22条で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
(識別行為の禁止)
第38条 教習所事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。

第9章 漏えい等の事案が発生した場合等の対応

(対象とする事案)
第39条 この章において「漏えい等事案」とは、次の各号のいずれかに該当する事案をいう。
(1) 教習所事業者が保有する個人データ(特定個人情報に係るものを除く。)の漏えい、滅失又は毀損
(2) 教習所事業者が保有する加工方法等情報(規則第20条第1号に規定する加工方法等情報をいい、特定個人情報に係るものを除く。)の漏えい
(3) 第1号又は前号のおそれ
(漏えい等事案が発覚した場合に講ずべき措置)
第40条 教習所事業者は、漏えい等事案が発覚した場合は、次の各号に掲げる事項について必要な措置を講ずるものとする。
(1) 事業者内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。
(2) 事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。
(3) 影響範囲の特定
前号で把握した事実関係による影響の範囲を特定する。
(4) 再発防止策の検討及び実施
第2号の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を速やかに講ずる。
(5) 影響を受ける可能性のある本人への連絡等
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置く。
(6) 事実関係及び再発防止策等の公表
漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表する。
(全指連への報告)
第41条 教習所事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、次の各号のとおり速やかに報告するものとする。
(1) 報告の方法
埼玉県指定自動車教習所協会を通じて全指連に報告する。
(2) 報告を要しない場合
次のイ又はロのいずれかに該当する場合は、報告を要しない
イ 実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合
ロ FAX若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合

(別添)講ずべき安全管理措置の内容

1 基本方針の策定
教習所事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。
具体的に定める項目の例としては、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等が考えられる。

2 個人データの取扱いに係る規律の整備
教習所事業者は、その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備しなければならない。
取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について定める個人データの取扱規程を策定することが考えられる。なお、具体的に定める事項については、以降に記述する組織的安全管理措置、人的安全管理措置及び物理的安全管理措置の内容並びに情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)は技術的安全管理措置の内容を織り込むことが重要である。

3 組織的安全管理措置
教習所事業者は、組織的安全管理措置として、次に掲げる措置を講じなければならない。

(1) 組織体制の整備
安全管理措置を講ずるための組織体制を整備しなければならない。
(組織体制として整備する項目の例)
・ 個人情報保護管理者(個人データの取扱いに関する責任者)の設置及び責任の明確化
・ 個人情報取扱担当者(個人データを取り扱う従業者)及びその役割の明確化
・ 個人情報取扱担当者が取り扱う個人データの範囲の明確化
・ 法や教習所事業者において整備されている個人データの取扱いに係る規律に違反している事実又は兆候を把握した場合の責任者への報告連絡体制
・ 個人データの漏えい等の事案の発生又は兆候を把握した場合の責任者への報告連絡体制
・ 個人データを複数の部署で取り扱う場合の各部署の役割分担及び責任の明確化

(2) 個人データの取扱いに係る規律に従った運用
あらかじめ整備された個人データの取扱いに係る規律に従って個人データを取り扱わなければならない。
なお、整備された個人データの取扱いに係る規律に従った運用の状況を確認するため、システムログ又は利用実績を記録することも重要である。
個人データの取扱いに係る規律に従った運用を確保するため、例えば次のような項目に関して、システムログその他の個人データの取扱いに係る記録の整備や業務日誌の作成等を通じて、個人データの取扱いの検証を可能とすることが考えられる。
・ 個人情報データベース等の利用・出力状況
・ 個人データが記載又は記録された書類・媒体等の持ち運び等の状況
・ 個人情報データベース等の削除・廃棄の状況(委託した場合の消去・廃棄を証明する記録を含む。)
・ 個人情報データベース等を情報システムで取り扱う場合、担当者の情報システムの利用状況(ログイン実績、アクセスログ等)

(3) 個人データの取扱状況を確認する手段の整備
個人データの取扱状況を確認するための手段を整備しなければならない。
例えば次のような項目をあらかじめ明確化しておくことにより、個人データの取扱状況を把握可能とすることが考えられる。
・ 個人情報データベース等の種類、名称
・ 個人データの項目
・ 責任者・取扱部署
・ 利用目的
・ アクセス権を有する者 等

(4) 漏えい等の事案に対応する体制の整備
漏えい等の事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備しなければならない。
なお、漏えい等の事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要である。
漏えい等の事案の発生時に例えば次のような対応を行うための、体制を整備することが考えられる。
・ 事実関係の調査及び原因の究明
・ 影響を受ける可能性のある本人への連絡
・ 全指連への報告
・ 再発防止策の検討及び決定
・ 事実関係及び再発防止策等の公表 等

(5) 取扱状況の把握及び安全管理措置の見直し
個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければならない。
・ 個人データの取扱状況について、定期的に自ら行う点検又は他部署等による監査を実施する。
・ 外部の主体による監査活動と合わせて、監査を実施する。

4 人的安全管理措置
教習所事業者は、人的安全管理措置として、次に掲げる措置を講じなければならない。また、教習所事業者は、従業者に個人データを取り扱わせるに当たっては、第15条に基づき従業者に対する監督をしなければならない。

○ 従業者の教育
従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければならない。
・ 個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う。
・ 個人データについての秘密保持に関する事項を就業規則等に盛り込む。

5 物理的安全管理措置
教習所事業者は、物理的安全管理措置として、次に掲げる措置を講じなければならない。

(1) 個人データを取り扱う区域の管理
個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域(以下「管理区域」という。)及びその他の個人データを取り扱う事務を実施する区域(以下「取扱区域」という。)について、それぞれ適切な管理を行わなければならない。
(管理区域の管理手法の例)
・ 入退室管理及び持ち込む機器等の制限等
なお、入退室管理の方法としては、ICカード、ナンバーキー等による入退室管理システムの設置等が考えられる。
(取扱区域の管理手法の例)
・ 壁又は間仕切り等の設置、座席配置の工夫、のぞき込みを防止する措置の実施等による、権限を有しない者による個人データの閲覧等の防止

(2) 機器及び電子媒体等の盗難等の防止
個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、適切な管理を行わなければならない。
・ 個人データを取り扱う機器、個人データが記録された電子媒体又は個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管する。
・ 個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリティワイヤー等により固定する。

(3) 電子媒体等を持ち運ぶ場合の漏えい等の防止
個人データが記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人データが判明しないよう、安全な方策を講じなければならない。
なお、「持ち運ぶ」とは、個人データを管理区域又は取扱区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいい、事業所内の移動等であっても、個人データの紛失・盗難等に留意する必要がある。
・ 持ち運ぶ個人データの暗号化、パスワードによる保護等を行った上で電子媒体に保存する。
・ 封緘、目隠しシールの貼付けを行う。
・ 施錠できる搬送容器を利用する。

(4) 個人データの削除及び機器、電子媒体等の廃棄
個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行わなければならない。
また、個人データを削除した場合、又は、個人データが記録された機器、電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することや、それらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認することも重要である。
(個人データが記載された書類等を廃棄する方法の例)
・ 焼却、溶解、適切なシュレッダー処理等の復元不可能な手段を採用する。
(個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄する方法の例)
・ 情報システム(パソコン等の機器を含む。)において、個人データを削除する場合、容易に復元できない手段を採用する。
・ 個人データが記録された機器、電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等の手段を採用する。

6 技術的安全管理措置
教習所事業者は、情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、技術的安全管理措置として、次に掲げる措置を講じなければならない。

(1) アクセス制御
担当者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行わなければならない。
・ 個人情報データベース等を取り扱うことのできる情報システムを限定する。
・ 情報システムによってアクセスすることのできる個人情報データベース等を限定する。
・ ユーザーIDに付与するアクセス権により、個人情報データベース等を取り扱う情報システムを使用できる従業者を限定する。

(2) アクセス者の識別と認証
個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証しなければならない。
(情報システムを使用する従業者の識別・認証手法の例)
・ ユーザーID、パスワード、磁気・ICカード等

(3) 外部からの不正アクセス等の防止
個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用しなければならない。
・ 情報システムと外部ネットワークとの接続箇所にファイアウォール等を設置し、不正アクセスを遮断する。
・ 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入する。
・ 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。
・ ログ等の定期的な分析により、不正アクセス等を検知する。

(4) 情報システムの使用に伴う漏えい等の防止
情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用しなければならない。
・ 情報システムの設計時に安全性を確保し、継続的に見直す(情報システムのぜい弱性を突いた攻撃への対策を講ずることも含む。)。
・ 個人データを含む通信の経路又は内容を暗号化する。
・ 移送する個人データについて、パスワード等による保護を行う。

附 則
(施行期日)
第1条 この規程は、平成30年6月1日から施行する。

Copyright © 株式会社 飯能自動車学校 All Rights Reserved.
Powered by WordPress & BizVektor Theme by Vektor,Inc. technology.