個人情報保護方針

個人情報保護方針に関して

制定 2017年3月31日

第1章 総則

第1条 目的

本規程は、いろはビューティークリニック【IBC】(以下「当クリニック」)における個人情報の適法かつ適正な取扱いの確保に関する基本的事項を定めることにより、個人の権利・利益を保護することを目的とする。

第2条 定義

本規程において、各用語の定義は次の通りとする。

  1. 個人情報 生存する「個人に関する情報」であって、特定の個人を識別することができるもの、又は他の情報と容易に照合することができ、それにより特定の個人を識別することができるものをいう。
    「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声も含まれ、暗号化されているかどうかを問わない。
    なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報である場合には、当該生存する個人に関する情報となる。
    また、「生存する個人」は日本国民に限られず、外国人も含まれるが、法人その他の団体は「個人」に該当しないため、法人などの団体に関する情報は含まれない。
  2. 個人情報データベース 特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物、又はコンピュータを用いていない場合であっても、ファイルやカルテ、お客様台帳など個人情報を一定の規則(例えば、五十音順、生年月日順、作成日順等)に従って整理・ 分類し、他人によっても容易に検索可能な状態においているものをいう。
  3. 個人データ
    当クリニックが管理する「個人情報データベース等」を構成する個人情報をいう。
  4. 保有個人データ
    当クリニックが、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の全てを行う ことができる権限を有する「個人データ」をいう。ただし、以下に該当するものは除く。
    1. ⅰ.当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの。
    2. ⅱ.当該個人データの存否が明らかになることにより、違法又は不法な行為を助長し、又は誘発するおそれのあるもの。
    3. ⅲ.当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれ又は他国もしくは国際機関との交渉上不利益を被るおそれのあるもの。
    4. ⅳ.当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの。
    5. ⅴ.6ヶ月以内に消去する(更新することは除く)こととなるもの。
  5. 本人
    個人情報によって識別される特定の個人をいう。
  6. 部門長
    個人情報を取扱う部門の長をいう。
  7. 従業者 当クリニックにあって、直接間接に当クリニックの指揮監督を受けて、当クリニックの業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート7社員、アルバイト社員等)のみならず、 取締役、執行役、理事、監査役、監事、派遣社員も含まれる。
  8. 利用目的
    一連の個人情報の取扱いにより達成しようとする目的をいう。
  9. 個人情報の取扱い 個人情報の取得、整理、分類、照合、処理、複製、委託、第三者提供、共同利用その他一切の利用、保有及び個人情報の廃棄、消去、破壊をいう。
  10. 本人の同意 本人の個人情報が、当クリニックによって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう。 具体的には本人による署名・捺印、同意する旨のメールの受信、同意する旨の確認欄へのチェック、同意する旨のボタンのクリック、音声入力やタッチパネルによる承諾を得ること等が挙げられる。
  11. 明示 本人に対し明確に示すことをいい、本人の同意は要しない。本人に提示した契約書約款・アンケート用紙、または本人が閲覧できる掲示物・冊子等に明記する こと、情報ネットワーク上においては自社ホームページもしくは本人の端末装置上に表示すること 等をいう。
  12. 通知 直接知らしめることをいう。具体的には、面談、電話にて口頭で説明すること、電子メール、ファックスにて送信すること、文書を郵便で送付することなどが挙げられる。
  13. 公表 広く一般に自己の意思を知らしめること(不特定多数の人々が知ることができるように発表すること)をいう。具体的には、ホームページへの掲載をすること、店舗・事務所等に掲示あるいは備 付けること、商品・パンフレット等に掲載すること、新聞・雑誌等に掲載すること等が挙げられる。
  14. 本人が容易に知り得る状態
    本人が知ろうとすれば、時間的にも、その手段においても、容易に知ることができる状態に置く ことをいう。具体的には、ホームページへの掲載をすること、店舗・事務所等に掲示あるいは備え 付けすること、新聞・雑誌等に掲載すること等による公表が継続的に行われていること、当該事項 を知るための方法をあらかじめ通知しておくこと等が挙げられる。
  15. 本人が知り得る状態 問合せ窓口を設けるなど、本人の求めに応じて遅滞なく回答を行うこと等、本人が知ろうとすれば、知ることができる状態に置くことをいう。

第3条 適用

  1. 本規程は、従業者に適用する。
  2. 本規程は、当クリニックが現に保有している個人情報(その取扱いを委託されている個人情報を含む。)、及びその取扱いを委託している個人情報を対象とする。

第4条 個人情報保護方針

  1. 当クリニックにおける個人情報の適法かつ適正な取扱いを確保するため、次の事項を含む個人情報保 護方針を定める。
    1. (1) 個人情報に関する法令を遵守するとともに、当クリニックの事業内容に照らし適切に個人情報を取扱う旨の宣言文
    2. (2) 「個人情報の保護に関する法律」により「公表」すること、「容易に知り得る状態」にすること、または「本人の知り得る状態」に置くことを義務付けられている下記各号に関する事項
      1. ①第11条により特定した利用目的
      2. ②第三者提供に関する次の事項

        ・第三者提供を利用目的とすること

        ・第三者へ提供される個人データの項目

        ・第三者への提供の手段または方法

        ・本人の求めに応じて、当該本人が識別される個人データを第三者に提供することを停止すること

      3. ③共同利用に関する次の事項

        ・特定の者との間で共同利用する旨

        ・共同して利用される個人データの項目

        ・共同して利用する者の範囲

        ・利用する者の利用目的

        ・共同利用される個人データの管理について責任を有する者の氏名または名称

      4. ④問合せ窓口に関する事項

        ・当クリニックが対象事業者となる認定個人情報保護団体がある場合は、その名称及び申し出先を含む

      5. ⑤第23条乃至第25条に定める、本人による個人情報の開示、訂正等、利用停止等の求めに応じる 手続きに関する事項

        ・請求の受付窓口

        ・請求書の様式

        ・請求者が本人または代理人であることの確認の方法

        ・保有個人データを特定するため必要な事項

        ・手数料

    3. (3) 個人情報の安全管理措置及び個人情報管理技術に関する事項
    4. (4) 個人情報保護の社内体制に関する事項
    5. (5) 評価・見直しに関する事項
  2. 個人情報保護方針は、従業者に周知せしめるとともに、ホームページに掲載する等の措置を講じるものとする。
  3. 個人情報保護方針は、社外に対して、プライバシーポリシーと称することができる。

第2章 管理体制

第5条 個人情報保護管理者

  1. 当クリニックは、個人情報の取扱いに関して総括的な責任を有する個人情報保護管理者を設置する。
    1. (1) 個人情報保護管理者は取締役、執行役員の中より任命されるものとする。
    2. (2) 個人情報保護管理者の任期は、取締役会決議によりその任命を解かれるまで、または、取締役、執行役員のいずれにも属さなくなった時までとする。
    3. (3) 個人情報保護管理者は、個人情報管理担当者を指名し、個人情報管理に関する業務を分担させることができる。
  2. 個人情報保護管理者は、個人情報管理に関する監査を除き、下記各号その他当クリニックにおける個人情報管理に関する全ての職責と権限を有する。
    1. (1) 本規程第4条に基づく個人情報保護方針の策定及び取締役会への上程、従業者への周知、一般への公表
    2. (2) 本規程に基づき個人情報の取扱いを管理する上で必要とされる細則の承認
    3. (3) 個人情報に関する安全対策の策定・推進
    4. (4) 個人情報の適正な取扱いの維持・推進を目的とした諸施策の策定・実施
    5. (5) 事故発生時の対応策の策定・実施
  3. 個人情報保護管理者は、監査責任者より監査報告を受け、逐次個人情報管理体制の改善を行う。

第6条 部門長の責任

  1. 部門長は自らの部門に所属する従業者の個人情報の一切の取扱いにつき、責任を有するものとする。
  2. 本規程に基づき個人情報の取扱いを管理する上で必要とされる細則の策定
  3. 部門長は本規程及び個人情報取扱い細則に従い、自らの部門に存在する個人情報の所在、内容、利用者、規模等を把握し、個人情報の適正な取扱いを維持・管理しなければならない。
  4. 部門長は、自らの部門において個人情報の漏洩等の事故または違反の発生またはその疑いが生じた場合は、直ちにその旨個人情報保護管理者に報告し、指示を求めなければならない。

第7条 個人情報の取扱いの決定

第4章に定める個人情報の基本的取扱いに関しては、各部門長がその適否を判断し、例外的取扱いに関しては、個人情報保護管理者にその適否の判断を求めるものとする。

第8条 監査責任者

  1. 監査責任者は、取締役会が任命し、当クリニック内の個人情報を取扱う業務において、本規程及び第6条第2項に定める個人情報取扱細則が遵守され、個人情報の取扱いが適法かつ適切に行われているかについて、公平かつ客観的な立場で調査・確認・評価(以下「個人情報の取扱いに関する監査」 という)する責務を負い、その結果を個人情報保護管理者に報告する義務を負う。
  2. 監査責任者は、個人情報の取扱いに関する監査に必要な調査権限を有する。
  3. 監査責任者は、個人情報の取扱いに関する監査に必要な監査担当者を選任することができる。

第3章 計画

第9条 計画

  1. 個人情報保護管理者並びに個人情報管理担当者は、個人情報の適正な取扱いを維持・推進するため、定期に教育・訓練計画を策定する。
  2. 監査責任者は、定期に個人情報の取扱いに関する監査の計画を策定する。

第4章 運用

第1節 個人情報の取扱いの原則

第10条 管理原則

個人情報は、本規定に従い適切に分類・管理し、その重要度に応じて適切に取得、移送、利用、保管、廃棄されなければならない。

第11条 利用目的

  1. 当クリニックは、個人情報の利用目的をできる限り特定する。
  2. 個人情報は、あらかじめ本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて取扱ってはならない。利用目的の範囲内か否かが不明な場合は、都度、個人情報保護管理者に判断を求めなければならない。
  3. 利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると認められる範囲を超えて行ってはならず、変更された利用目的は遅滞なく本人に通知または公表しなければならない。

第2節 個人情報の取得

第12条 適正な取得

個人情報は、偽りその他不正の手段により取得してはならない。

第13条 特定の個人情報の取得の禁止

原則として、下記各号に示す内容を含む個人情報は、これを取得し、または第三者に提供してはならない。但し、業務上必要であり、かつ、本人に対し当該情報の利用目的及びその必要性等について適切な情報を明示した上で明確に本人の同意を得た場合、または法令に特別の規定がある場合、あるいは司法手続上必要不可欠な場合はこの限りでない。

  1. 思想、信条及び信教に関する事項
  2. 人種、民族、家柄、本籍地、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
  3. 勤労者の団結権の行使、団体交渉及びその他団体行動に関する事項
  4. 集団示威行為(デモ等)への参加、国または地方公共団体に対する請願権の行使及びその他の政治的権利の行使に関する事項
  5. 保健医療に関する事項
  6. その他個人情報保護管理者の定める事項
第14条 本人から直接個人情報を取得する際の措置

申込書・アンケート・契約書等、書面(電子メール、自社ホームページへの記入等電磁的方法も含む)により本人から直接個人情報を取得する場合は、本人に対してあらかじめ利用目的を明示しなければならない。但し、下記各号に該当する場合はこの限りでない。

  1. 人の生命、身体または財産その他の権利利益を保護するため必要な場合
  2. 当クリニックの権利または正当な利益を害するおそれがある場合
  3. 国または地方公共団体の法令に定める事務の遂行に支障を及ぼすおそれがある場合
  4. 取得の状況に照らし、利用目的が明らかであると認められる場合
第15条 間接的に個人情報を取得する際の措置

本人以外の第三者から個人情報を取得する場合は、当該個人情報が当該第三者において適法、適正に取得されたものでなければならず、かつ、当該第三者において、当クリニックへの個人情報の提 供につき、適法な措置が講じられていなければならない。

第3節 個人情報の管理

第16条 個人データの正確性の確保

個人データは、利用目的の達成に必要な範囲内において、正確かつ最新の内容に保つよう努めなければならない。

第17条 個人データ取扱台帳
  1. 個人情報保護管理者は、当クリニックの全ての「個人データ」の種類・内容・保管場所等を記載(デ ータベースへの入力を含む)した台帳を作成しなければならない。
  2. 個人情報保護管理者は、前項の台帳を定期に見直し、最新の状態を維持するよう努めなければならない。
  3. 部門長は、自らの部門における「個人データ」の種類・内容・保管場所等を、個人情報保護管理者の求めに応じ、定期に報告しなければならない。また、部門長は自らの部門における「保有個人データ」の種類・内容・保管場所等を変更する場合には、事前に個人情報保護管理者に報告し、承認を得なければならない。
第18条 安全管理措置
  1. 当クリニックにおいては、取扱う個人情報の漏洩、滅失または毀損の防止その他の安全管理のために、人的、物理的、技術的に適切な措置を講じるものとする。
  2. 各部門においては、下記各号に従って適切に個人情報を取り扱わなければならない。
    1. (1) 各部門において保管する個人情報を含む文書(磁気媒体を含む)は、施錠できる場所への保管、パスワード管理等により、散逸、紛失、漏洩の防止に努めなければならない。
    2. (2) 情報機器は適切に管理し、正式な利用権限のない者には使用させてはならない。
    3. (3) 個人情報を含む文書であって、保管の必要のないものは、速やかに廃棄しなければならない。
    4. (4) 個人情報を含む文書の廃棄は、シュレッダー裁断、焼却、溶解等により、完全に抹消しなければならない。
    5. (5) 個人情報を含む文書を他部門に伝達するときは、適切な方法・手順によることとし、必要な範囲を超えて控えを残さないよう扱うものとする。
    6. (6) 個人情報を含む文書は、みだりに複写してはならない。
    7. (7) その他個人情報の取扱いについて必要な事項は細則に定めるものとする。
第19条 従業者の監督
  1. 個人情報保護管理者は、従業者が個人データを取扱うにあたり、必要かつ適切な監督を行わなければならない。
  2. 部門長は、自らの部門に属する従業者に対し、個人データの取扱いに関して必要かつ適切な監督を行わなければならない。
  3. 個人情報保護管理者は、従業者に対して個人情報の保護及び適正な取扱いに関する誓約書の提出を命じることができる。
第20条 社内教育
  1. 従業者に対する個人情報の保護及び適正な取扱いに関する教育方針は、個人情報保護管理者が決定する。
  2. 従業者は、個人情報保護管理者の指名した部門が主催し、または個人情報保護管理者が決定した方針に基づく研修を受けなければならない。
第21条 委託先の監督
  1. 部門長は、個人データの取扱いの全部または一部を委託する場合(労働者派遣契約または業務委託等契約により派遣労働者を受け入れる場合を含む)は、その取扱いを委託した個人データの安全管理が図られるよう、委託を受けた者(以下「委託先」という)に対する必要かつ適切な監督を行わなければならない。
  2. 前項の委託を行う部門長は、委託先に対して下記各号の事項を実施しなければならない。
    1. (1) 委託先における個人情報の保護体制が十分であることを確認した上で委託先を選定すること
    2. (2) 委託先との間で次の事項を含む契約を締結すること
      1. ①個人情報の適法かつ適切な取扱い(個人データに対する人的、物理的、技術的な安全管理措置を委託先が講じることを含む)
      2. ②個人情報に関する秘密保持
      3. ③委託した業務以外の個人情報の使用禁止
      4. ④個人情報を取扱う上での安全対策
      5. ⑤再委託に関する事項 再委託は原則として禁止し、再委託がやむを得ない場合は事前に書面による当クリニックの同意を要し、 委託先が再委託先と連帯して責任を負うことの確認
      6. ⑥契約内容が遵守されていることの確認
      7. ⑦個人情報に関する事故が生じた際の責任
      8. ⑧契約終了時の個人情報の返却及び抹消
    3. (3) 個人情報の取得を委託する場合は、当クリニックが取得の主体であること並びに当クリニックの指定する利用目的 を明示するよう義務付けること
第22条 第三者提供の制限
  1. あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。但し、下記各号に該当する場合、本人の同意なく第三者提供ができる。
    1. (1) 個人情報保護方針に定めた範囲内で第三者提供、共同利用するとき
    2. (2) 人の生命、身体または財産の保護のために必要があり、かつ、本人の同意を得ることが困難であるとき
    3. (3) その他法令に基づく場合
  2. 第三者提供もしくは共同利用する場合、個人情報保護管理者の承認を得ること。
  3. 雇用管理に関する個人データを第三者に提供する場合には、本条第1項第2号乃至第3号に該当する場合を除き、下記各号に従わなければならない。
    1. (1) 提供先において、その従業者に対し、当クリニックが提供した個人データの取扱いを通じて知りえた個人 情報を漏洩してはならず、かつ、盗用してはならないこととされていること。
    2. (2) 当クリニックが提供した個人データを提供先が他の第三者に提供する場合には、書面による当クリニックの事前同意を要件とすること。但し、当該再提供が本条第1項各号に該当する場合を除く。
    3. (3) 当クリニックが提供した個人データの提供先における保有期間を明確化すること。
    4. (4) 当クリニックから提供を受ける目的達成後の個人データの返却または提供先における破棄または削除が 適切かつ確実に行われること。
    5. (5) 提供先における当クリニックが提供した個人データの複写及び複製(安全管理上必要なバックアップを除く)を禁止すること。

第4節 開示・変更・利用停止等の請求の対応

第23条 開示
  1. 当クリニックは、当該本人が識別される「保有個人データ」の開示(保有の有無を含む)請求には、 本人のプライバシー保護のため、本人(代理人を含み、以下本条及び次条において本人という)から 開示等請求窓口に対し、原則として本人確認書類を添付した開示請求書により請求があった場合にのみ応じるものとする。
    1. (1) 開示請求窓口は、お客様相談室とする。
    2. (2) 開示請求書の様式は、個人情報保護管理者が定めるものとする。
    3. (3) 本人確認書類は、個人情報保護管理者が定めるものとする。但し、開示請求者が本人であることが明らかな場合には、本人確認書類の提出を求めないことができる。
  2. 前項により本人による開示請求であることを確認した場合は、本人に対して書面または本人が同意した他の方法により、遅滞なく当該「保有個人データ」を開示するものとする。また、開示する書面の様式は、個人情報保護管理者が定めるものとする。
  3. 前項にかかわらず、開示することにより次の各号のいずれかに該当する場合は、個人情報保護管理者の決定により、その全部または一部を開示しないことができる。
    1. (1) 本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
    2. (2) 当クリニックの業務の適正な実施に著しい支障を及ぼすおそれのある場合
    3. (3) 法令に違反することとなる場合
  4. 前項の定めに基づき「保有個人データ」の全部または一部を開示しない旨の決定をしたときは、遅滞なく、本人に対しその旨通知するものとする。この場合、その理由を説明するよう努めなければならない。
  5. 他の法令により、本人に対し当該本人が識別される「保有個人データ」を開示することとされている場合には、第3項は適用しない。
  6. 本人に対し「保有個人データ」を開示する場合には、手数料を請求できるものとする。この手数料は、実費を勘案して、合理的な範囲で個人情報保護管理者が定めるものとする。
第24条 訂正等
  1. 本人から、当該本人が識別される「保有個人データ」の内容が事実でないという理由によって、当該「保有個人データ」の訂正、追加または削除(以下「訂正等」という)を求められた場合には、遅滞なく必要な調査を行い、その結果に基づき当該「保有個人データ」の内容の訂正等を行うものとする。但し、以下の場合には訂正等の求めに応じないことができる。
    1. (1) 利用目的の達成に必要な範囲を超えている場合。
    2. (2) 他の法令の規定により、特別の手続が定められている場合。
  2. 当該本人が識別される「保有個人データ」の訂正等の請求に対しては、本人のプライバシー保護のため、本人から訂正等請求窓口に対し、原則として本人確認書類を添付した訂正等請求書により請求があった場合にのみ応じるものとする。
    1. (1) 訂正等請求窓口は、お客様相談室とする。
    2. (2) 訂正等請求書の様式は、個人情報保護管理者が定めるものとする。
    3. (3) 本人確認書類は、個人情報保護管理者が定めるものとする。但し、訂正等請求者が本人であることが明らかな場合には、本人確認書類の提出を求めないことができる。
  3. 前2項により、「保有個人データ」の訂正等を行ったとき、または訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なくその旨(訂正等を行ったときはその内容を含む)を通知するものとする。
  4. 第1項ただし書により訂正等の求めに応じない場合は、その理由を説明するよう努めなければならない。
第25条 利用停止等
  1. 本人から、当該本人が識別される「保有個人データ」が、第11条第3項(同意のない利用目的外の利用)及び第12条(適正な取得)に違反しているという理由によって、当該「保有個人データ」の利用の停止または消去が求められた場合、及び、第23条(第三者提供の制限)に違反しているという理由によって、当該「保有個人データ」の第三者提供の停止が求められた場合で、その求めに理由があることが判明した場合には、遅滞なく、当該求めに応じて当該措置(以下「利用停止等」という)を講じなければならない。但し、以下の場合には当該措置を講じないことができる。
    1. (1) 違反を是正するために必要な範囲を超えている場合。
    2. (2) 指摘された違反がなされていない場合。
  2. 前条第2項乃至第4項は本条に準用する。但し、同各項における「訂正等」を「利用停止等」に改める。

第5節 苦情処理

第26条 苦情の処理
  1. 個人情報の取扱いに関する苦情の窓口業務は、お客様相談室が担当し、必要に応じて法務関連部門が対応するものとする。
  2. 個人情報保護管理者は、前項の目的を達成するために必要な体制の整備を行う。
  3. お客様相談室の部門長は、適宜、個人情報保護管理者に苦情の内容を報告するものとする。

第6節 監査

第27条 監査の実施
  1. 監査責任者は、当クリニックにおける個人情報の取扱いが法令、本規程(本規程に基づく細則を含む)、その他の規範と合致していることを定期に監査する。
  2. 監査責任者は、監査を指揮し、個人情報の取扱いに関する監査報告書を作成し、代表取締役及び個人情報保護管理者に報告するものとする。
第28条 体制の見直し

個人情報保護管理者は、前条の監査結果に照らし、必要に応じて個人情報の取扱いに関する安全対策、諸施策を見直し、改善しなければならない。

第5章 その他

第29条 所管官庁への報告

個人情報保護管理者は、個人データの漏洩の事実または漏洩のおそれを把握した場合には、直ちに所管官庁に報告しなければならない。

第30条 罰則

当クリニックは、本規定に違反した従業員に対して就業規則に基づき処分を行い、その他の従業者に対しては、契約または法令に照らして決定する。

第31条 改廃

本規程の改廃は、取締役会において行うものとする。

附 則

第1条 本規程は、2017年3月31日より実施する。

以 上

PAGE TOP