プライバシーポリシー

第１章　総則

第１条（目的）

本規程は、当社における個人情報の管理段階ごとの安全管理措置について定めたものである。

第２条（定義）

管理段階毎の規程を含み、本規程で用いられる、「個人情報」等の用語については、本規程に特段の定めがない限りは、「個人情報の保護に関する法律」(平成15年法律第57号)(以下、「個人情報保護法」という。)、個人情報保護委員会が定める「個人情報の保護に関する法律についてのガイドライン（通則編）」（以下、「通則ガイドライン」という）および金融庁が定める「金融分野における個人情報保護に関するガイドライン」（以下、「金融庁ガイドライン」という）の定義に従う。

第３条（規程の見直し）

管理段階ごとの規程を含み、本規程については、個人情報保護法、通則ガイドラインおよび金融庁ガイドラインをはじめとする関係する法令等の制改定に応じて適宜見直すものとする。

第４条（適正な取得）

1. 個人情報を取得するに当たっては、個人情報保護法や通則ガイドラインをはじめとした関連する法令等全般に照らして違法性のないように留意し、社会的良識からみて妥当と考えられる手段によって行わなければならない。
2. 個人情報を間接的に取得するに当たっては、不正取得等の不当な行為を行っている第三者から、当該情報が漏えいされた情報であること等を知った上で取得してはならない。
3. 個人情報を第三者から取得した場合、提供を受けた年月日、第三者の氏名等、取得の経緯、本人の氏名等、個人データの項目、個人情報保護委員会による公表、本人の同意等、法令で定められた項目について確認し、記録を行わなければならない。

第５条（機微情報・クレジットカード情報等の保有等の禁止）

告知書記載情報その他医療情報、クレジットカード番号・クレジットカード有効期限（自社のカード会員に係るものを除く）および保険料払込方法等の個人情報を、代理店業務遂行（申込書類等の保険会社への送達および不備処理等、保険契約の締結までの業務）以外の目的で、保有、利用、加工、または複製しない。代理店業務遂行上の必要性から複製した場合は、利用目的を達成した時点で当該個人情報の複製を情報漏えいを防止できる方法により速やかに廃棄する。

第６条（目的外利用の禁止）

予め本人の同意を得た場合又は個人情報保護法第16条3項に定める場合を除いて、当社が別に定める利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。

第７条（個人情報管理責任者）

1. 当社は、個人情報の安全管理に係る業務遂行の総責任者である個人情報管理責任者は、業務管理責任者とする。
2. 個人情報管理責任者は、以下の業務を所管する。
   ① 個人情報の安全管理に関する規程及び委託先の選定基準の承認及び周知
   ② 個人情報管理者および個人情報の利用者を識別・認証するための「本人確認に関する情報」の管理者の任命
   ③ 個人情報管理者からの報告徴収及び助言・指導
   ④ 個人情報の安全管理に関する教育・研修の企画
   ⑤ その他当社全体における個人情報の安全管理に関すること

第８条（個人情報管理者）

1. 個人情報管理責任者は、各拠点管理者を個人情報管理者として任命する。
2. 個人情報管理者は以下の業務を所管する。
   ① 個人情報の取扱者の指定及び変更等の管理
   ② 個人情報の利用申請の承認及び記録等の管理
   ③ 個人情報を取り扱う保管媒体の設置場所の指定及び変更等
   ④ 個人情報の管理区分及び権限についての設定及び変更の管理
   ⑤ 個人情報の取扱状況の把握
   ⑥ 委託先における個人情報の取扱状況等の監督
   ⑦ 個人情報の安全管理に関する教育・研修の実施
   ⑧ 個人情報管理責任者に対する報告
   ⑨ その他所管部署における個人情報の安全管理に関すること

第９条（個人情報・データ管理台帳）

個人情報管理責任者は、個人情報の取扱状況を確認できる手段として、以下の項目を含む台帳を整備し、適宜見直しを行う
　①取得項目
　②利用目的
　③保管場所・保管方法・保管期限
　④管理部署
　⑤アクセス制御の状況

第１０条（教育・研修の実施）

当社の役員および保険募集人等の従業員（以下、従業員等という）は、個人情報保護法や金融庁ガイドラインをはじめとする関係法令等及び管理段階毎の規程を含む本規程の内容を踏まえた、個人情報の保護や適切な取扱いに関して、入社時及び入社後定期的に実施する当社の定例研修（コンプライアンス研修）を受講しなければならない。

第１１条（漏えい事案等への対応）

個人情報の漏えい・流出・盗用・紛失等の事案が発生し、又はそのおそれのある事実を知った従業員等(以下、「発見者」という。)は、Aipoの申請「不祥事案・事故に関する報告・指導」に入力し、同時に個人情報管理責任者にも、迅速に報告し、対応方法等の支持を仰がなければならない。また、事案に関連する保険会社（支社・担当者）にも速やかに報告し、支持を仰がないといけない。

第１２条（点検実施）

個人情報管理責任者は、当社の個人情報の取扱状況について、個人情報保護法、関係法令等及び管理段階毎の規程を含む本規程が遵守されているかの点検実施計画を立案し、個人情報を取り扱う部署毎に定期的に実施させる。

第１３条（委託先管理の実施）

個人情報管理責任者は、別に定める「外部委託先に関する規程」に基づき、委託先における当社の個人情報の取扱状況について、個人情報保護法、関係法令等及び管理段階毎の規程を含む本規程が遵守されているかを個人情報管理者に定期的又は随時に監督させるとともに、その評価を実施する。

第１４条（個人情報の開示・訂正・利用停止）

1. 保険契約に係わる個人情報に関し、個人情報保護法第28条ないし第30条の規定に基づく開示・訂正・利用停止等の求めを受けた場合は、保険会社にその旨連絡する。
2. 保険契約に係わるものでかつ、当社が保有している個人情報に関し、個人情報保護法に基づかない照会等を受けた場合は、氏名、住居、電話番号及び証券番号等、適切な方法で本人確認を行ったうえで当社から回答を行うことができる。

第１５条（苦情への対応）

1. 当社における個人情報に関する苦情対応の窓口は個人情報管理責任者とする
2. 従業員等が個人情報に関する苦情を受け付けた場合は、直ちに、「Aipo」にて苦情報告を入力・報告をする。また、個人情報管理責任者にも報告し、その指示を受けなければならない。
3. 個人情報管理責任者は、個人情報に関する苦情を受け付けた旨を速やかに個人情報管理責任者に報告するとともに、当該苦情の内容について調査し、適切かつ迅速に対応するよう努めなければならない。

第１６条（個人情報の管理区域について）

原則、個人情報の管理区域は、社内、契約者自宅・勤務先（法人契約者については法人事業者）とする。

第２章　取得・入力段階取扱規程

第１条（目的）

本規程は、当社における個人情報の安全管理措置のうち、「取得・入力」段階の取扱いについて定めたものである。

第２条（定義）

1. 「取得」とは、本人又は第三者から個人情報を物理的及び電子的手段により取得することなどをいう(社内の他部門からの 　取得は含まない)。
2. 「入力」とは、取得した個人情報をデータベース等の情報システムに物理的及び電子的に入力することなどをいう。

第３条（取得・入力に関する取扱者の役割・責任及び取扱者の限定）

1. 個人情報管理責任者は、本規程に定める個人情報の取得・入力に関する取扱者の役割・責任を、組織内に周知しなければ ならない。
2. 個人情報管理者は、各部署において業務上必要な者に限り個人情報の取得・入力が行われるよう取扱者(以下、「個人情報 　の取扱者」といい、管理段階毎の規程において同じ。)を限定しなければならない。

第４条（センシティブ情報の取得・入力に関する取扱者の限定）

個人情報管理者は、個人情報のうち、要配慮個人情報（人種、信条、社会的身分、病歴、前科・前歴、犯罪被害情報などをいう）ならびに労働組合への加盟、門地および本籍地、保険医療および性生活（これらのうち要配慮個人情報に該当するものを除く）に関する情報(以下、「センシティブ情報」という。)の取得・入力の取扱者を必要最小限に限定しなければならない。

第５条（取得・入力の対象となる個人情報の限定）

個人情報管理者は、取得・入力する個人情報を業務上必要な範囲内のものに限定しなければならない。

第６条（取得・入力時の照合及び確認手続）

1. 個人情報の取扱者は、個人情報を取得するときには、情報提供者の本人確認及び権限等の確認を行わなければならない。
2. 個人情報の取扱者は、個人情報を入力するときには、入力データが正確であることを確認しなければならない。

第７条（取得・入力の規程外作業に関する申請及び承認手続）

個人情報の取扱者は、本規程に定める以外の方法で個人情報を取得・入力する場合は、個人情報管理者に申請し、承認を得たうえで行わなければならない。

第８条（機器・記録媒体等の管理手続）

1. 個人情報管理者は、取得・入力した個人情報が保存された機器・記録媒体等の設置場所の指定並びに個人情報の重要性に応じた管理区分及び権限の設定をし、必要に応じ変更しなければならない。
2. 個人情報の取扱者は、前項の指定及び設定に従い、個人情報が保存された機器・記録媒体等を適切に保管しなければならない。

第９条（個人情報へのアクセス制御）

個人情報管理者は、取得・入力した個人情報へのアクセスを制御するために、取得・入力した個人情報が保存された機器・記録媒体等に関して以下の措置を講じなければならない。
　① 個人情報の入力に必要なID及びパスワードの管理の徹底
　② 個人情報が保存された機器・記録媒体等を保管するスペースへの部外者の立入りの制限
　③ 受信した郵便物やFAX等の個人情報の適切な管理

第１０条（取得・入力状況の記録及び分析）

1. 個人情報の取扱者は、個人情報を取得・入力する場合、情報の種類や形態等に応じて、必要に応じ、かつ適切に取得・入力状況について記録を行わなければならない。
2. 個人情報管理者は、個人情報の漏えい等に対する防止のため、必要に応じ、記録された状況を確認する。
3. 個人情報管理者は、取得・入力状況の記録及び状況の確認結果を1年以上保管・保存しなければならない。

第１１条（センシティブ情報の取得の制限）

個人情報の取扱者は、センシティブ情報については、次に掲げる場合を除くほか、取得してはならない。
　① 保険募集代理店業務の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲でセンシティブ情報を取得する場合
　② 保険金・給付金支払事務等の遂行に必要な限りにおいて、センシティブ情報を取得する場合
　③ 保険料収納事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等のセンシティブ情報を取得する場合
　④ 前各号のほか、金融分野における個人情報保護に関するガイドライン第５条第１項各号に掲げる場合

第１２条（センシティブ情報の取得に際して本人同意が必要である場合における本人同意の取得及び本人への説明事項）

1. 個人情報の取扱者は、前条①及び②に基づきセンシティブ情報を取得する場合には、保険会社での保険契約の引受け、継続・維持管理や、保険金・給付金等の支払等に関し、適切な業務運営を確保する必要性から当該センシティブ情報を取得する旨を説明のうえ、本人の同意(原則として書面による。)に基づき業務遂行上必要な範囲で取得しなければならない。
2. 個人情報の取扱者は、前条③に基づきセンシティブ情報を取得する場合には、保険集団全体の公平性を確保する必要性から当該センシティブ情報を取得する旨を説明のうえ、本人の同意(原則として書面による。)に基づき業務遂行上必要な範囲で取得しなければならない。
3. 個人情報の取扱者は、前２項において本人の同意に基づかない場合には、当該センシティブ情報を取得してはならない。
4. 個情報の取扱者は、郵送等により取得した個人情報が含まれる文書等に業務上不要なセンシティブ情報が含まれている場合は、原則として、本人の指定した方法により、当該情報を速やかに本人に返却若しくは廃棄する。ただし、当該文書等に記載された他の情報が業務遂行上必要な場合、個人情報の取扱者は、直ちに当該センシティブ情報の記載部分を判読不能な状態にして取得するものとする。

第３章　利用・加工段階取扱規程

第１条（目的）

本規程は、当社における個人情報の安全管理措置のうち、「利用・加工」段階の取扱いについて定めたものである。

第２条（定義）

1. 「利用」とは、個人情報を利用目的の範囲内で取り扱うことなどをいう。
2. 「加工」とは、個人情報の更新を行うこと、又は個人情報を利用し、新たなデータベースを作成することなどをいう。
3. 「管理区域」とは、営業・業務範囲を勘案して予め指定した区域をいう。

第３条（利用・加工に関する取扱者の役割・責任及び取扱者の限定）

1. 個人情報管理責任者は、本規程に定める個人情報の利用・加工に関する取扱者の役割・責任を、組織内に周知しなければならない。
2. 個人情報管理者は、各部署において、業務上必要な者に限り個人情報の利用・加工が行われるよう取扱者を限定しなければならない。

第４条（センシティブ情報の利用・加工に関する取扱者の限定）

個人情報管理者は、個人情報のうち、要配慮個人情報（人種、信条、社会的身分、病歴、前科・前歴、犯罪被害情報などをいう）ならびに労働組合への加盟、門地および本籍地、保険医療および性生活（これらのうち要配慮個人情報に該当するものを除く）に関する情報(以下、「センシティブ情報」という。) の利用・加工の取扱者を必要最小限に限定しなければならない。

第５条（利用目的内での利用）

当社は、取得した個人情報を、お客様の同意なくして利用目的の範囲を超えて利用することはございません。当社は、個人情報に関するお客様の権利を尊重し、お客様により個人情報の開示・訂正・利用停止または消去を求められたときは、法令の定めに従い誠意をもって対応いたします。当社が取得した個人情報は、以下の目的に利用いたします。

1. 本サービス実施のため当社より本人確認のご連絡。
2. 本サービス実施のため提携保険代理店及びその募集人への提供。
3. セミナー情報などのご連絡。
4. 保険事業における、サービスの案内。
5. メールマガジンでの利用。

第６条（利用・加工の対象となる個人情報の限定）

個人情報管理者は、利用・加工する個人情報を業務上必要な範囲内のものに限定しなければならない。

第７条（利用・加工時の照合及び確認手続）

1. 個人情報の取扱者は、利用する個人情報が対象データとして正しいかについて確認しなければならない。
2. 個人情報の取扱者は、利用する個人情報が正しく加工されたかについて元データと照合しなければならない。

第８条（利用・加工の規程外作業に関する申請及び承認手続）

個人情報の取扱者は、本規程に定める以外の方法で個人情報を利用・加工する場合は、個人情報管理者に申請し、承認を得たうえで行わなければならない。

第９条（機器・記録媒体等の管理手続）

１　個人情報管理者は、利用・加工する個人情報が保存された機器・記録媒体等の設置場所の指定並びに管理区分及び権限の設定をし、必要に応じ変更しなければならない。
２　個人情報の取扱者は、前項の指定及び設定に従い、個人情報が保存された機器・記録媒体等を適切に保管しなければならない。

第１０条（個人情報へのアクセス制御）

1. 個人情報管理者は、利用・加工する個人情報へのアクセスを制御するために、利用・加工する個人情報が保存された機器・記録媒体等に関して以下の措置を講じなければならない。
   ① 個人情報を利用・加工する取扱者をID及びパスワード等により識別及び認証する仕組みの構築
   ② 前号のID及びパスワード等の管理の徹底
   ③ 個人情報が保存された機器・記録媒体等を保管するスペースへの部外者の立入りの制限
2. 個人情報管理者は、センシティブ情報へのアクセス制御について、当該情報の利用・加工を認められた必要最小限の取扱者に限り利用・加工が行われるようID及びパスワードを付与するとともに、ID及びパスワードの管理を徹底しなければならない。

第１１条（利用・加工状況の記録及び分析）

1. 個人情報の取扱者は、個人情報を利用・加工する場合、データの種類や形態等に応じて、必要に応じ、かつ適切に用・加工状況について記録を行わなければならない。
2. 個人情報管理者は、個人情報の漏えい等に対する防止のため、必要に応じ、記録された状況を確認する。
3. 個人情報管理者は、利用・加工状況の記録及び状況の確認結果を1年以上保管・保存しなければならない。

第１２条（個人情報を取り扱う情報システムの稼働状況の記録及び分析）

個人情報の利用・加工段階におけるシステムの稼動状況に関し記録を取得し、必要な期間保管するとともに、個人情報の漏えい等に対する防止のため、必要に応じてこれを分析しなければならない。

第１３条（センシティブ情報の利用・加工の制限）

個人情報の取扱者は、センシティブ情報については、次に掲げる場合を除くほか、利用・加工してはならない。

• ①保険募集代理店業務の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲でセンシティブ情報を利用・加工する場合
• ②保険金・給付金支払事務等の遂行に必要な限りにおいて、センシティブ情報を利用・加工する場合
• ③保険料収納事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等のセンシティブ情報を利用・加工する場合
• ④前各号のほか、金融分野における個人情報保護に関するガイドライン第５条第１項各号に掲げる場合

第１４条（センシティブ情報の利用に際して本人同意が必要である場合における本人同意の取得及び本人への説明事項）

1. 個人情報の取扱者は、前条①及び②に基づきセンシティブ情報を利用する場合には、保険会社での保険契約の引受け、継続・維持管理や、保険金・給付金等の支払等に関し、適切な業務運営を確保する必要性から当該センシティブ情報を利用する旨を説明のうえ、本人の同意(原則として書面による。)に基づき業務遂行上必要な範囲で利用しなければならない。
2. 個人情報の取扱者は、前条③に基づきセンシティブ情報を利用する場合には、保険集団全体の公平性を確保する必要性から当該センシティブ情報を利用する旨を説明のうえ、本人の同意(原則として書面による。)に基づき業務遂行上必要な範囲で利用しなければならない。
3. 個人情報の取扱者は、前２項において本人の同意に基づかない場合には、当該センシティブ情報を利用してはならない。

第１５条（個人情報の管理区域外への持ち出しに関する措置）

1. 個人情報管理責任者は、本条に定める個人情報の管理区域外への持ち出しに関する取扱者の役割・責任を、組織内に周知しなければならない。
2. 個人情報管理者は、個人情報の管理区域外への持ち出しに関する取扱者を必要最小限に限定しなければならない。
3. 個人情報管理者は、管理区域外に持ち出すことが可能な個人情報を業務上必要最小限の範囲に限定しなければならない。
4. 個人情報管理者は、個人情報の管理区域外への持ち出しに際し、個人情報を持ち出す者が第２項で限定された取扱者本人であることを確認しなければならない。また、個人情報管理者は、持ち出す個人情報が第３項により持ち出すことを限定した個人情報の範囲内であるか確認しなければならない。
5. 個人情報の取扱者は、個人情報を管理区域外に持ち出す場合には、個人情報管理者に申請し、承認を得たうえで行わなければならない。
6. 個人情報の取扱者は、個人情報を管理区域外に持ち出す場合には、必要最小限の件数等に限ると共に、個人情報が保存された機器・媒体等を常時携行するなど適切に管理しなければならない。
7. 個人情報の取扱者は、個人情報を管理区域外に持ち出す場合には、その種類や形態等に応じて、必要かつ適切に持ち出た状況について報告及び記録を行わなければならない。個人情報管理者は、個人情報の漏えい等に対する防止のため、必要に応じ、報告及び記録された状況を確認する。

第１６条（個人情報の漏えい・き損等防止策）

個人情報管理者は、個人情報の利用・加工段階における漏えい・き損等の防止策を講じなければならない。

第４章　保管・保存段階取扱規程

第１条（目的）　

本規程は、当社における個人情報の安全管理措置のうち、「保管・保存」段階の取扱いについて定めたものである。

第２条（定義）

1. 「保管」とは、個人情報をオフィスフロア内に置き管理することなどをいう。
2. 「保存」とは、個人情報をオフィスフロア外(書庫等)に置き廃棄に至るまで管理すること、及び電子機器類や電子媒体等に電子データを格納し消去に至るまで管理すること(個人情報のバックアップを含む。)などをいう。

第３条（保管・保存に関する取扱者の役割・責任及び取扱者の限定）

1. 個人情報管理責任者は、本規程に定める個人情報の保管・保存に関する取扱者の役割・責任を、組織内に周知しなければならない。
2. 個人情報管理者は、各部署において、業務上必要な者に限り個人情報の保管・保存が行われるよう取扱者を限定しなければならない。

第４条（センシティブ情報の保管・保存に関する取扱者の限定）

個人情報管理者は、個人情報のうち、要配慮個人情報（人種、信条、社会的身分、病歴、前科・前歴、犯罪被害情報などをいう）ならびに労働組合への加盟、門地および本籍地、保険医療および性生活（これらのうち要配慮個人情報に該当するものを除く）に関する情報(以下、「センシティブ情報」という。)の保管・保存の取扱者を必要最小限に限定して定めなければならない。

第５条（保管・保存の対象となる個人情報の限定）

個人情報管理者は、保管・保存する個人情報を業務上必要な範囲内のものに限定しなければならない。

第６条（保管・保存の規程外作業に関する申請及び承認手続）

個人情報の取扱者は、本規程に定める以外の方法で個人情報を保管・保存する場合は、個人情報管理者に申請し、承認を得たうえで行わなければならない。

第７条（機器・記録媒体等の管理手続）

1. 個人情報管理者は、個人データ管理台帳を踏まえ、個人情報が保存された機器・記録媒体等の保管場所等の指定並びに管理区分及び権限の設定をし、必要に応じ変更しなければならない。
2. 個人情報の取扱者は、前項の指定及び設定に従い、個人情報が保存された機器・記録媒体等を適切に保管しなければならない。

第８条（個人情報へのアクセス制御）

1. 個人情報管理責任者は、保管・保存する個人情報へのアクセスを制御するために、個人情報が保存された機器・記録媒体等に関して以下の措置を講じなければならない。① 個人情報を保管・保存する取扱者をID及びパスワード等により識別及び認証する仕組みの構築② 前号のID及びパスワード等の管理の徹底③ 個人情報が保存された機器・記録媒体等を保管するスペースへの部外者の立入りの制限
2. 個人情報管理者は、センシティブ情報へのアクセス制御について、当該情報の保管・保存を認められた必要最小限の取扱者に限り保管・保存が行われるようID及びパスワードを付与するとともに、ID及びパスワードの管理を徹底しなければならない。

第９条（保管・保存状況の記録及び分析）

1. 個人情報の取扱者は、個人情報を保管・保存する場合、その種類や形態等に応じて、必要に応じ、かつ適切に保管・保存状況について記録を行わなければならない。
2. 個人情報管理者は、個人情報の漏えい等に対する防止のため、必要に応じ、記録された状況を確認する。
3. 個人情報管理者は、保管・保存状況の記録及び状況の確認結果を1年以上保管・保存しなければならない。

第１０条（個人情報を取り扱う情報システムの稼働状況の記録及び分析）

個人情報の保管・保存段階におけるシステムの稼動状況に関し記録を取得し、必要な期間保管するとともに、個人情報の漏えい等に対する防止のため、必要に応じてこれを分析しなければならない。

第１１条（個人情報に関する障害発生時の対応・復旧手続）

1. 個人情報管理者は、保管・保存した個人情報について、取扱者に対し定期的にバックアップ等を行うよう徹底するとともに、障害が発生した際にはバックアップデータ等により復旧させなければならない。
2. 個人情報の取扱者は、作成したバックアップデータ等を適切に管理しなければならない。

第１２条（個人情報の漏えい・き損等防止策）

1. 個人情報管理者は、個人情報の保管・保存段階における漏えい・き損等の防止策を講じなければならない。
2. 個人情報の取扱者は、机上等に個人情報が放置されないよう、個人情報を適切に保管・保存しなければならない。

第５章　移送・送信段階取扱規程

第１条（目的）

本規程は、当社における個人情報の安全管理措置のうち、「移送・送信」段階の取扱いについて定めたものである。

第２条（定義）

1. 「移送」とは、物理的な手段により個人情報を異なる場所や人に移すことなどをいう。
2. 「送信」とは、電子的な手段により個人情報を異なる場所や人に移すことなどをいう。

第３条（移送・送信に関する取扱者の役割・責任及び取扱者の限定）

1. 個人情報管理責任者は、本規程に定める個人情報の移送・送信に関する取扱者の役割・責任を、組織内に周知しなければならない。
2. 個人情報管理者は、各部署において業務上必要な者に限り個人情報の移送・送信が行われるよう取扱者を限定しなければならない。

第４条（センシティブ情報の移送・送信に関する取扱者の限定）

個人情報管理者は、個人情報のうち、 要配慮個人情報並びに労働組合への加盟、門地、本籍地、保険医療情報および性生活（これらのうち要配慮個人情報に該当するものを除く。）に関する情報(以下、「センシティブ情報」という。)の移送・送信の取扱者を必要最小限に限定して定めなければならない。

第５条（移送・送信の対象となる個人情報の限定）

個人情報管理者は、移送・送信する個人情報を業務上必要な範囲内のものに限定しなければならない。

第６条（移送・送信時の照合及び確認手続）

個人情報の取扱者は、個人情報を移送・送信するときには事前に、情報漏えい等を防止するため、宛先に相違がないか、電子的な手段での送信の場合に暗号化が適切に行われているか等の照合及び確認を行わなければならない。

第７条（移送・送信の規程外作業に関する申請及び承認手続）

個人情報の取扱者は、本規程に定める以外の方法で個人情報を移送・送信する場合は、個人情報管理者に申請し、承認を得たうえで行わなければならない。

第８条（個人情報へのアクセス制御）

1. 個人情報管理者は、移送・送信する個人情報へのアクセスを制御するために、移送・送信する個人情報が保存された機器・記録媒体等に関して以下の措置を講じなければならない。
   ①個人情報を移送・送信する取扱者をID及びパスワード等により識別及び認証する仕組みの構築
   ②前号のID及びパスワード等の管理の徹底
   ③個人情報が保存された機器・記録媒体等を保管するスペースへの部外者の立入りの制限
2. 個人情報管理者は、センシティブ情報へのアクセス制御について、当該情報の移送・送信を認められた必要最小限の取扱者に限り移送・送信が行われるようID及びパスワードを付与するとともに、ID及びパスワードの管理を徹底しなければならない。

第９条（移送・送信状況の記録及び分析）

1. 個人情報の取扱者は、個人情報を移送・送信する場合、その種類や形態等に応じて、必要に応じ、かつ適切に移送・送信状況について記録を行わなければならない。
2. 個人情報管理者は、個人情報の漏えい等に対する防止のため、必要に応じ、記録された状況を確認する。
3. 個人情報管理者は、移送・送信状況の記録及び状況の確認結果を1年以上保管・保存しなければならない。

第１０条（センシティブ情報の移送・送信の制限）

個人情報の取扱者は、センシティブ情報については、次に掲げる場合を除くほか、移送・送信してはならない。
　①保険募集代理店業務の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲でセンシティブ情報を移送・送信する場合
　②保険金・給付金支払事務等の遂行に必要な限りにおいて、センシティブ情報を移送・送信する場合
　③保険料収納事務等の遂行上必要な範囲において、政治・宗教等の団体若しくは労働組合への所属若しくは加盟に関する従業員等のセンシティブ情報を移送・送信する場合
　④前各号のほか、金融分野における個人情報保護に関するガイドライン第５条第１項各号に掲げる場合

第１１条（個人情報に関する障害発生時の対応・復旧手続）

1. 個人情報管理者は、移送・送信する個人情報について、取扱者に対し定期的にバックアップ等を行うよう徹底すると共に、障害が発生した際にはバックアップデータ等により復旧させなければならない。
2. 個人情報の取扱者は、作成したバックアップデータ等を適切に管理しなければならない。

第１２条（個人情報の漏えい・き損等防止策）

個人情報管理者は、個人情報の移送・送信段階における漏えい・き損等の防止策を講じなければならない。

第６章　消去・廃棄段階取扱規程

第１条（目的）

本規程は、当社における個人情報の安全管理措置のうち、「消去・廃棄」段階の取扱いについて定めたものである。

第２条（定義）

1. 「消去」とは、個人情報が保存されている媒体から個人情報を電子的な方法その他の方法により削除することなどをいう。
2. 「廃棄」とは、個人情報が保存されている媒体を物理的に廃棄することなどをいう。

第３条（消去・廃棄に関する取扱者の役割・責任及び取扱者の限定）

1. 個人情報管理責任者は、本規程に定める個人情報の消去・廃棄に関する取扱者の役割・責任を、組織内に周知しなければならない。
2. 個人情報管理者は、業務上必要な者に限り個人情報の消去・廃棄が行われるよう取扱者を限定しなければならない。

第４条（センシティブ情報の消去・廃棄に関する取扱者の限定）

個人情報管理者は、個人情報のうち、 要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活（これらのうち要配慮個人情報に該当するものを除く。）に関する情報(以下、「センシティブ情報」という。)の消去・廃棄の取扱者を必要最小限に限定して定めなければならない。

第５条（消去・廃棄時の照合及び確認手続）

1. 個人情報の取扱者は、個人情報の消去・廃棄に際し、当該個人情報について、個人データ管理台帳等により保管期間を照合又は消去・廃棄理由を確認のうえ、消去・廃棄しなければならない。
2. 個人情報の取扱者は、個人情報を消去・廃棄する際には、当該情報が保存されている機器・記録媒体等の性質に応じ、例ば紙媒体は裁断・溶解、機器・記録媒体等は物理的な破壊や意味のないデータを上書きする等、適正な方法で消去・廃棄しなければならない。
3. 個人情報管理者は、使用人の退職時に、使用人が業務上知り得た個人情報を返却、破棄または削除していることを確認しなければならない。

第６条（保管期間等の厳守）

個人情報管理者は、保管期間や利用期間が終了した個人情報を含む帳票や、機器・記録媒体等について、速やかに消去・廃棄することを徹底する。

第７条（消去・廃棄の規程外作業に関する申請及び承認手続）

個人情報の取扱者は、本規程に定める以外の方法で個人情報を消去・廃棄する場合は、個人情報管理者に申請し、承認を得たうえで行わなければならない。

第８条（機器・記録媒体等の管理手続）

1. 個人情報管理者は、消去・廃棄する個人情報が保存された機器・記録媒体等の設置場所の指定並びに管理区分及び権限の設定をし、必要に応じ変更しなければならない。
2. 個人情報の取扱者は、前項の指定及び設定に従い、個人情報が保存された機器・記録媒体等を消去・廃棄が行われるまで、適切に保管しなければならない。

第９条（個人情報へのアクセス制御）

個人情報管理者は、消去・廃棄する個人情報へのアクセスを制御するために、消去・廃棄する個人情報が保存された機器・記録媒体等に関して以下の措置を講じなければならない。
　①個人情報へアクセスするために必要なID及びパスワードの管理の徹底
　②個人情報が保存された機器・記録媒体等を保管するスペースへの部外者の立入りの制限

第１０条（消去・廃棄状況の記録及び分析）

1. 個人情報取扱者は、個人情報を消去・廃棄する場合、データの種類や形態等に応じて、必要に応じ、かつ適切に消去・廃棄状況について記録を行わなければならない。
2. 個人情報管理者は、個人情報の消去・廃棄を委託先にて実施する場合は、委託先から廃棄証明書を取得しなければならない。
3. 個人情報管理者は、個人情報の漏えい等に対する防止のため、必要に応じ、記録された状況を確認する。
4. 個人情報管理者は、消去・廃棄状況の記録及び状況の確認結果を1年以上保管・保存しなければならない。

第１１条（顧客からの消去・廃棄依頼についての対応）

1. 個人情報管理者は、顧客から個人情報の消去・廃棄依頼があった場合、適切な手段で消去・廃棄を実施の上、必要に応じ顧客に対し「個人情報消去・廃棄証明書」を発行しなければならない。発行者はコンプライアンス担当部長とする。
2. 個人情報管理者は、発行済み「個人情報消去・廃棄証明書」について、指定の保管場所に保管・保存しなければならない。保管場所はkintone【コンプラ部】不祥事案・事故・指導アプリとする。

第７章　漏えい事案等対応規程

第１条（目的）

本規程は、当社における個人情報の安全管理措置のうち、個人情報の漏えい事案等への対応の段階における取扱いについて定めたものである。

第２条（定義）

「漏えい事案等」とは、個人情報が記載・収録された帳票や電子機器類・記録媒体(USBメモリ､CD-ROM等)の盗難又は紛失、郵便物の誤送付、電子メールやファックスの誤送信等の事故により、個人情報の漏えい、滅失又はき損が生じ、又は生じるおそれが高い場合をいう。

第３条（漏えい事案等への対応に関する対応部署の役割・責任及び取扱者の限定）

1. 個人情報管理責任者は、本規程に定める役割・責任を、組織内に周知しなければならない。
2. 対応部署の個人情報管理者は、漏えい事案等が発生した際、当該漏えい事案等への対応を行う取扱者(以下、「取扱者」という。)を限定しなければならない。

第４条（漏えい事案等への対応の規程外作業に関する申請及び承認手続）

取扱者は、本規程に定める以外の方法で漏えい事案等に対応する場合は、対応部署の個人情報管に申請し、承認を得たうえで行わなければならない。

第５条（漏えい事案等の影響等に関する調査手続）

漏えい事案等が発生した部署の個人情報管理者は、個人情報管理責任者と連携のうえ漏えいした個人情報の取扱状況に関する記録内容の分析を行い、漏えいした個人情報の量、質、事故の原因、態様、被害の程度等漏えい事案等の内容及び影響の調査を行うこととする。

第６条（再発防止策・事後対策の検討に関する手続）

漏えい事案等が発生した部署の個人情報管理者は、漏えいした個人情報の取扱状況に関する記録内容の分析を踏まえた再発防止策・事後対策を策定する。

第７条（報告に関する手続）

1. 漏えい事案等が発生した場合、発見者は、漏えい範囲の拡大防止等必要な措置をとるとともに、直ちにAipo（不祥事案・事故等に関する報告・指導）に申請し、個人情報管理責任者に報告しなければならない。
2. 個人情報管理責任者は、報告を受けた漏えい事案等について、直ちに所属保険会社に報告しなければならない。
3. 個人情報管理責任者は所属保険会社の指示に従い、社外への報告等(警察への届出、本人への通知等、二次被害の防止・類似事案の発生回避の観点からの漏えい事案等の事実関係及び再発防止策の公表)の要否及びその方法について決定しなければならない。

第８条（漏えい事案等への対応記録及び分析）

1. 対応部署の取扱者は、漏えい事案等へ対応する場合、社内外の報告、お客様対応や再発防止策・事後対策等の実施状況について（不祥事案・事故等に関する報告・指導）で記録、申請を行わなければならない。
2. 業務管理責任者は、前項の記録を分析し、必要に応じて漏えい事案等への対応方法や再発防止策・事後対策等の見直しを行う。

第８章　点検・監査に関する規程

第１条（目的）

本規程は、当社における個人情報の取扱状況に関する点検及び監査について定めたものである。

第２条（実施部署）

1. 個人情報管理責任者は、個人情報を取り扱う部署において個人情報の点検に関する点検責任者及び点検担当者を選任し、当該部署が自ら点検を実施するよう指示しなければならない。
2. 点検責任者と点検担当者は兼務することができる。
3. 個人情報管理責任者は、監査を実施する部署を指定し、その部署から個人情報の監査に関する監査責任者及び監査担当者を選任し、監査を実施するよう指示しなければならない。ただし、監査を実施する部署が個人情報を取り扱うときには、個人情報管理責任者は、当該部署以外の部署から当該部署を監査する監査責任者及び監査担当者を選任しなければならない。

第３条（点検）

1. 個人情報管理責任者は、個人情報の取扱状況の点検に関する計画を立案し、点検責任者に対し、定期的及び臨時の点検を実施するよう指示しなければならない。
2. 点検担当者は、点検責任者の指示に基づいて確実に点検を実施しなければならない。
3. 点検担当者は、点検により個人情報の取扱いに関する規程に違反する事項などを発見した場合には、点検責任者に報告しなければならない。
4. 点検責任者は、前項の違反事項について、個人情報管理責任者に報告すると共に個人情報管理責任者の指示を踏まえ、改善のための措置を講じなければならない。

第４条（監査）

1. 個人情報管理責任者は、個人情報の取扱状況の監査に関する計画を立案し、監査責任者に対し、定期的及び臨時の監査を実施するよう指示しなければならない。
2. 監査担当者は、監査責任者の指示に基づいて確実に監査を実施しなければならない。
3. 監査担当者は、監査により個人情報の取扱いに関する規程に違反する事項などを発見した場合には、監査責任者に報告しなければならない。
4. 監査責任者は、前項の違反事項について、個人情報管理責任者に報告すると共に個人情報管理責任者の指示に従い、被監査部署の個人情報管理者に対して改善のための措置を講じさせなければならない。

第９章　外部委託に関する規程

第１条（目的）

本規程は、当社の個人情報の取扱いを委託するにあたって、個人情報を適正に取り扱っていると認められる者を選定すること、及び委託先における個人情報に対する安全管理措置が図られることを確保するため定めたものである。

第２条（定義）

1. 「委託」とは、契約の形態や種類を問わず、当社が他の者に個人情報の取扱いの全部又は一部を行わせることを内容とする契約の一切を含む。
2. 「委託先」とは、当社が、個人情報の取扱いの全部又は一部を第三者に委託する場合の当該第三者のことをいう。

第３条（委託にあたっての所属保険会社への報告）

個人情報管理責任者は、個人情報の取扱いを委託するにあたって、所属保険会社が指定する手続を経なければならない。

第４条（委託先選定の基準）

1. 個人情報管理者は、委託先を選定するにあたって、「委託先選定チェックリスト」を別に定め、これを定期的に見直さなければならない。
2. 個人情報管理者は、「委託先選定チェックリスト」の策定及び見直しにあたっては個人情報管理責任者の承認を得なければならない。
3. 個人情報管理責任者は、承認した「委託先選定チェックリスト」を組織内に周知しなければならない。

第５条（委託契約）

1. 個人情報管理責任者は、選定した委託先との間で、以下の安全管理に関する事項を盛り込んだ契約の締結等をしなければならない。
   ①当社の委託先に対する監督及び監査報告徴収に関する権限
   ②委託する個人情報に係る秘密保持義務
   ③委託先における個人情報の漏えい、盗用、改ざん及び目的外利用の禁止
   ④再委託における条件
   ⑤漏えい等が発生した際の委託先の責任
   ⑥委託終了時における個人情報の返却、消去及び廃棄
2. 個人情報管理責任者は、定期的に委託契約等に盛り込む安全管理に関する事項を見直さなければならない。

第６条（委託先の管理台帳の整備）

個人情報管理責任者等は、委託先を管理する台帳を作成し、委託先、委託する業務、委託先の管理者、委託する個人情報の項目、委託先評価日を含む管理状況を明確にしなければならない。

第７条（委託先の監督）

個人情報管理責任者等は、委託契約後に「委託先選定チェックリスト」に定められた事項の委託先における遵守状況を定期的又は随時に確認するとともに、委託先が当該基準を満たしていない場合には、委託先に対して改善を求めなければならない。

第８条（再委託先等の監督）

委託先が個人情報の取扱いを再委託する場合は、委託先が再委託先に対して当規程と同等の安全管理措置を講じることを確認する。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。

第９条（委託終了時の手続き）

1. 個人情報管理者は、委託終了時に、委託先に保管、及び保存していた個人情報の返却、消去及び廃棄の実施状況を確認しなければならない。
2. 委託先にて個人情報の廃棄が発生する場合は、廃棄証明書等事後検証が可能なものを取得のうえ、保管する。

第１０章　電子機器等の取扱に関する規程

第１条（目的）

本規程は、当社の業務従事者が使用する電子機器等に対する安全管理措置が図られることを確保するため定めたものである。

第２条（定義）

1. 「業務従事者」とは当社の業務に従事する者をいう。また、「管理者」は、業務管理責任者とする。
2. 「電子機器」とは、当社の業務に使用するサーバ（ASPの利用含む）、パソコン、タブレット、スマートフォンを含む携帯電話等をいい、「外部記憶媒体」とは、電子機器に接続してデータの保管が可能なUSB、DVD、CD等をいう。また、電子機器及び外部記憶媒体をまとめて「電子機器等」という。
3. 「ID」には、電子機器へアクセスする際に使用するIDに加え、保険会社から付与されたIDを含めるものとする。

第３条（電子機器の管理）

1. 業務従事者は、業務に使用するパソコンは貸与パソコンのみとし、私有のパソコンを業務に使用してはならない。
2. 業務従事者は、電子機器の盗難・紛失等が発生しないよう、電子機器を適切に保管・管理しなければならない。電子機器の盗難・紛失等が発生した場合、直ちにその状況を確認し、社内外への必要な報告及び事態の収拾に努めなければならない。
3. 電子機器には、ウィルス対策ソフトの導入、セキュリティパッチの適用等、必要なセキュリティ対策を講じなければならない。また、ウィルス等の不正なプログラムに感染もしくはその疑いがある場合は、当該電子機器の利用を直ちに停止のうえ社内ネットワークから切り離し、速やかに管理者へ報告し、管理者の指示に従わなければならない。
4. 電子機器には、ファイル共有ソフト等、業務に不要なソフトウェアを導入してはならない。
5. 電子機器には、パスワード付スクリーンセーバを設定しなければならない。なお、パスワード付スクリーンセーバの設定が不可である場合、適切な代替策を講じるものとする。
6. 電子機器のセキュリティ対策の設定状況等について、使用開始時及び定期的に検査を行わなければならない。
7. 業務従事者が所有する電子機器等で代理店業務を実施することを認める際には、管理者は代理店のものと同様のセキュリティ対策が講じられていることを確認し、当該電子機器等での代理店業務を終了する場合は、保存されていた個人情報が削除されていることを確認しなければならない。
8. 電子機器から、インターネット上のWeb メール、ファイルをアップロードできるストレージサイトなど情報漏えいに繋がる恐れのあるサイトを利用してはならない。
9. 電子機器から、メールを使用する場合、以下を遵守しなければならない。①社外宛に個人情報を送信する場合は、個人情報をメールの本文に記載せず、添付ファイルに入力する②個人情報を含む添付ファイルにはパスワードの付与または暗号化を行う③社外宛にメールを発信する場合は、管理者をCCに設定する④宛先確認および受領確認を実施する
10. 個人情報を保管する電子機器については、当該電子機器へのアクセスログを取得し、定期的に分析してその記録を残さなければならない。また、当該アクセスログ及び分析記録は1年以上保管しなければならない。

第４条（外部記憶媒体の管理）

外部記憶媒体の利用については、原則使用禁止とする。
ただし、やむを得ず使用する場合は、拠点管理者の承認を受け、以下を遵守しないといけない。

1. 業務従事者は、盗難・紛失等が発生しないよう、外部記憶媒体を適切に保管・管理しなければならない。
2. 業務従事者は、外部記憶媒体の盗難・紛失等が発生した場合、直ちにその状況を確認し、社内外への必要な報告及び事態の収拾に努めなければならない。
3. 外部記憶媒体は必要最小限の使用とする。ただし、個人情報の保管は禁止とする。

第５条（IDの管理）

1. IDは個人別に付与するものとし、付与された者以外と共有してはならない。
2. IDはパスワードとともに使用することとし、IDのみ、またはパスワードのみによる認証は原則認めない。
3. IDのパスワードは8文字以上、英数記号混在とし、定期的に変更しなければならない。
4. IDを付与する際は、管理者が、付与対象者の担当する業務の実施に必要な最小限の権限であることを確認しなければならない。
5. 異動、退職等が発生した場合は、速やかにIDの変更または削除を行わなければならない。
6. IDは定期的に棚卸を実施し、その実施記録を残さなければならない。
7. IDのパスワードは他人に知られないよう、厳重に管理しなければならない。

第６条（障害発生時の対応・復旧）

1. 管理者は、不正アクセス等のセキュリティインシデントが発生した場合は、原因・影響等に関する調査、復旧対応、再発防止策の策定、対応状況の記録を行わなければならない。
2. 原因・影響等に関する調査においては、セキュリティインシデントの内容、発生原因、被害程度等の調査を行わなければならない。
3. 復旧対応においては、あらかじめ取得していたバックアップデータ等により、通常稼動できるよう情報システムを復旧させなければならない。
4. 再発防止策の策定においては、当該セキュリティインシデントの発生原因や対応策を検討のうえ、必要な改善を行い、再発防止策を講じなければならない。
5. セキュリティインシデントの発生から再発防止策の策定までの一連の対応状況について記録を行い、当該記録を1年以上保管しなければならない。

附則

第１条（改廃）

この規程の改廃は、取締役会の決議により行う。

第２条（施行）

この規程は、2017年5月30日の個人情報保護法改正にともない、2016年3月1日から適用した本規定を全面改訂し、2017年５月30日から施行する。

＊2019年4月　改訂（第9章文言追加他）

お問い合わせ先

電話番号：050-5491-7261
メールアドレス：info@hokengarden.com