第1章 総則

■目的

第1条
この規程は、一般社団法人東京都情報産業協会(以下「協会」という。)における個人情報の正確性及び安全性の確保、個人情報の秘密保持に関する従業者の責務並びに個人情報を取り扱う受託処理に関する措置等を講ずることにより、個人情報の適正管理を継続的に維持し、その品質を向上させることを目的とする。
2
この規程は、協会のすべての従業者に適用する。また、協会が個人情報を第三者に委託する場合には、委託先の第三者にも遵守させるよう、必要かつ適切な監督を行わなければならない。

■基本理念

第2条
個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。

■この規程の対象

第3条
この規程は、協会において、手作業により処理されている個人情報及びその全部又は一部がコンピュータにより処理されている個人情報であって、組織的に保有するファイリングシステムの全部又は一部をなすものを対象とする。
2
この規程を遵守すべき第1条の従業者とは、協会の業務に従事しているものであって、次の各号に掲げる者をいう。
(1)
就業規則に定める正職員、契約職員、嘱託職員、パート、アルバイト(以下「職員」という。)
(2)
理事、監査役及びその他取締役(以下「役員」という。)
(3)
協会の指揮監督を受ける派遣労働者等

■定義

第 4 条
この規程における用語の意義は、次の各号に掲げるとおりとする。
(1)
個人情報…個人に関する情報であって、当該情報に含まれる氏名、生年月日、個人別に付された符号(番号及び記号を含む。)、画像又は音声により特定の個人を識別できるもの(当該情報だけでは識別できないが、他の情報と容易に照合することができ、それにより特定の個人を識別できることとなるものを含む。)をいう。
(2)
本人…個人情報によって識別される特定の個人をいう。
(3)
事業者…事業を営む法人その他団体又は個人をいう。
(4)
個人情報保護管理者…代表者によって協会の内部から指名された者であって、この規程に定める安全管理体制の構築及びその運用に関する責任及び権限を有する者をいう。
(5)
個人情報保護監査責任者…代表者によって協会の内部から指名された者であって、公平、かつ、客観的な立場にあり、監査の実施及び報告を行う責任及び権限を有する者をいう。
(6)
個人情報担当者…個人情報保護管理者によって選任され、個人情報保護管理者を補助し、それぞれの部門若しくは事業所ごとに、又は個人情報の種別ごとに、個人情報保護のための業務を遂行する者をいう。
(7)
個人情報処理担当者…個人情報のコンピュータへの入力・出力、修正・削除、台帳・申込書等の個人情報を記載した帳票等を保管・管理等する担当者をいう。
(8)
本人の同意…本人が、個人情報の取扱いに関する情報を与えられたうえで、自己に関する個人情報の取扱いについて承諾する意思表示をいう。なお、本人が未成年者又は事理を弁識する能力を欠く者の場合は、法定代理人等の同意も得なければならない。
(9)
個人情報データベース等…個人情報を含む情報の集合物であって、次に掲げるものをいう。

① 特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの
② ①に掲げるもののほか、個人情報を一定の規則に従って整理、分類し、目次、索引、符号等を付すことによって特定の個人情報を容易に検索することができるように体系的に構成したもの
(10)
個人データ…個人情報データベース等を構成する個人情報をいう。
(11)
保有個人データ…事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって6か月以内に消去することとなるもの以外のものをいう。ただし、次に掲げるものを除くものとする。

① 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
② 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
③ 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
④ 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

■規程の改定

第5条
協会は、法令の改正、運用方法の見直しその他業務上の必要に応じて、この規程を改定するものとする

第2章 安全管理体制

■安全管理体制の構築

第6条
協会は、個人情報の安全管理のための組織体制を定めるものとし、その権限及び責任は、この規程及び手順書その他付属規程に定めるものとする。

■利用目的の特定

第7条
協会は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

■正確性の確保

第8条
協会は、利用目的の達成に必要な範囲内において、個人情報を、正確かつ最新の状態で管理するよう努めなければならない。

■安全管理措置

第9条
協会は、協会が管理する個人情報に関する漏えい、滅失又はき損等のリスクを回避するために、適切な人的及び物理的安全管理措置を講じなければならない。

■従業者の監督

第10条
協会は、その従業者に個人情報を取り扱わせるに当たっては、当該個人情報の安全管理を図るために当該従業者に対して必要かつ適切な監督を行わなければならない。

■個人情報保護管理者

第11条
協会は、個人情報の安全管理のための総責任者として、個人情報保護管理者を1名選任し、次の各号に掲げる業務を行わせるものとする。
(1)
この規程及び個人情報取扱手順書等の作成及び運用に関すること。
(2)
次条に定める個人情報担当者への助言及び指導並びに個人情報担当者からの報告徴収に関すること。
(3)
委託先及び再委託先の監督に関すること。
(4)
その他個人情報の安全管理に関する事項全般に関すること。

■個人情報担当者

第12条
協会は、個人情報を取り扱う部門ごとに、各1名の個人情報担当者を選任し、前条各号の事項につき、個人情報保護管理者を補佐させるものとする。

■従業者の教育研修

第13条
協会は、従業者に対し、継続的、かつ、定期的に個人情報に関する教育研修を実施するものとする。
2
従業者は、前項の教育研修に参加しなければならない。

■従業者の責務

第14条
従業者は、協会の事業に従事するにあたり、法令等を遵守するとともに、この規程、運用細則その他の個人情報に関連する内部規程を遵守しなければならない。
2
個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退いた後も同様とする。
3
職員が、故意に個人情報(「雇用管理情報保護規程」に定める雇用管理情報を含む。)を漏えいし、又は転売目的で第三者に提供したとき、又はしようとしたときは、協会は、就業規則に定めるところにより、懲戒を行う。
4
職員が、第1項及び第2項に違反したときは、協会は、就業規則に定めるところにより、当該職員に対して懲戒を行うことがある。

■委託先に対する安全管理措置

第15条
個人情報保護管理者は、個人情報の取扱いの全部又は一部を協会外の業者に委託するときは、適切な業者を選定するための基準(以下「委託先選定基準」という。)を定めるものとする。
2
個人情報保護管理者は、個人情報の取扱いを委託する場合において、委託契約において、法令を遵守し協会が定める安全管理措置をとることを契約に盛り込むとともに、あらかじめ定めた間隔で定期的に確認する等の方法等により、委託先に対する必要かつ適切な監督を行うものとする。
3
個人情報保護管理者は、個人情報の取扱いを委託する場合の委託先選定基準及び個人情報の安全管理に関する報告徴収の結果等により委託先の選定の見直しを実施するものとする。
4
個人情報保護管理者は、従業者が個人情報の取扱いを委託する場合において、委託する業務内容に対して必要のない個人データを提供しないよう必要かつ適切な監督を行うものとする。

■委託先選定基準

第16条
前条の委託先選定基準は、次の各号に掲げる事項について設定するものとし、委託契約に係る基本契約書に当該事項に関する規定を設け、協会と委託先の責任を明確化するものとする。
(1)
個人データの漏えい防止、盗用禁止その他個人データの安全管理に関する事項
(2)
守秘義務の存在に関する事項
(3)
個人情報を取り扱う者の適正な範囲に関する事項
(4)
委託先における個人情報の秘密保持及び管理の方法に関する事項
(5)
委託先の個人情報の取扱担当者に対する個人情報保護のための教育・訓練に関する事項
(6)
契約終了時の個人情報の返却及び消去に関する事項
(7)
個人情報の漏えいその他の事故が生じた場合の措置、責任分担に関する事項
(8)
再委託に関する事項
(9)
協会からの監査の受入れに関する事項
2
前項の委託先選定基準に基づく委託先の評価は、その必要に応じて適宜実施するものとする。

第3章 個人情報の取得

■個人情報の取得原則

第17条
個人情報の取得は、協会が行う事業の範囲内に限り、かつ、あらかじめ利用目的を明確に定め、その目的の達成に必要な限度内において行うものとする。

■不正な手段による取得の禁止

第18条
個人情報の取得は適正な手段により行うものとし、窃取、脅迫、偽りその他不正な手段により個人情報を取得してはならない。

■特定の機微な個人情報の取得、利用及び提供の制限

第19条
協会は、次の各号に掲げる内容を含む個人情報の取得、利用又は提供は、行わないものとする。ただし、これらの情報の取得、利用又は提供について、明示的な本人の同意がある場合又は法令等の要請からやむを得ない事情があるときは、この限りではない。
(1)
思想、信条及び宗教に関する事項
(2)
人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体又は精神の障害、犯罪歴その他社会的差別の原因となる事項
(3)
勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項
(4)
集団示威行為への参加、請願権の行使及びその他の政治的権利行使に関する事項
(5)
保健医療及び性生活に関する事項
2
前項ただし書のやむを得ない事情とは、次のいずれかに該当する場合とする。
(1)
法令に基づく場合
(2)
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)
公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)
国の機関又は地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

■取得に際しての利用目的の公表

第20条
次条に定める場合を除き、個人情報を取得する場合は、利用目的をできる限り特定し、あらかじめその利用目的を公表しなければならない。
2
前項にかかわらず、あらかじめ利用目的を公表することが困難である場合は、個人情報を取得した後、速やかにその利用目的を本人に通知し、又は公表(ウェブサイト上の掲載、パンフレット等への記載、協会内における掲示、備付けの方法等によるものとする。次条及び第24条において同じ。)しなければならない。ただし、次の各号に掲げる場合を除く。
(1)
利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)
利用目的を本人に通知し、又は公表することにより協会の権利又は正当な利益を害するおそれがある場合
(3)
国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4)
取得の状況からみて利用目的が明らかであると認められる場合

■直接本人から文書等により取得する場合

第21条
本人との間で契約を締結することに伴い契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。)に記載された本人の個人情報を取得する場合は、あらかじめ本人に対し、次のいずれかの方法により、利用目的を明示しなければならない。ただし、本人又は第三者の生命、身体又は財産の保護のために緊急の必要がある場合は、この限りでない。
(1)
相手方に手交し、又は送付する契約書等にその利用目的を記載する方法
(2)
ホームページ上の入力画面にその利用目的を明記する方法

第4章 個人情報の利用及び第三者提供の制限

■個人情報の利用原則

第22条
個人情報の利用は、原則として第17条の規定により特定された利用目的の達成に必要な範囲内で、具体的な業務に応じ権限を与えられた者のみが、業務の遂行上必要な限りにおいて行うものとする。

■利用目的による制限

第23条
協会は、あらかじめ本人の同意を得ないで、協会が特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
2
協会が合併その他の事由により他の個人情報取扱事業者の事業を承継することに伴って個人情報を取得した場合には、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3
前二項の規定は、次の各号のいずれかに該当する場合については、適用しない。
(1)
法令に基づく場合
(2)
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)
公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)
国の機関又は地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

■利用目的の変更

第24条
協会は、利用目的を変更しようとする場合は、変更前の利用目的と相当な関連性を有すると合理的に認められる範囲を超えた変更を行ってはならない。また、利用目的を変更する場合は、変更後の利用目的について、本人に通知し、又は公表しなければならない。

■第三者提供の制限

第25条
協会は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。ただし、次の各号のいずれかに該当する場合は、この限りではない。
(1)
法令に基づく場合
(2)
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)
公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)
国の機関又は地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2
次に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。以下、本章において同じとする。
(1)
委託の場合…個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
(2)
事業承継の場合…合併その他の事由による事業の承継に伴って個人データが提供される場合
(3)
共同利用の場合…個人データを特定の者との間で共同して利用する場合であって、第27条第1項各号の事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

■個人データに該当しない個人情報の第三者提供

第26条
協会は、あらかじめ本人の同意を得ないで、個人データに該当しない個人情報を第三者に提供しないようにするものとする。ただし、業務上の必要性がある場合には、協会が別に定める所定の手続きを経て、事前に個人情報管理責任者の了承を得たうえで第三者に提供することができる。

■共同利用

第27条
協会は、個人データを特定の者との間で共同して利用しようとする場合は、以下の事項をあらかじめ本人に通知するか、本人が容易に知り得る状態に置くとともに、共同利用する第三者にも同様の措置を講じさせなければならない。
(1)
個人データを特定の者との間で共同して利用する旨
(2)
氏名、住所等の共同利用される個人データの項目
(3)
共同して利用する者の範囲
(4)
共同して利用する個人データのすべての利用目的
(5)
個人データの管理について責任を有する者の氏名又は名称
(6)
取得方法
2
協会は、前項に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、共同利用する第三者にも同様の措置を講じさせなければならない。

■第三者提供のオプトアウト

第28条
協会は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、公表しているときは、第25条の規定にかかわらず、当該個人データを第三者に提供することができる。
(1)
第三者への提供を利用目的とすること。
(2)
第三者に提供される個人データの項目
(3)
第三者への提供の手段又は方法
(4)
本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
(5)
取得方法

第5章 保有個人データ等の管理

■個人データの入出力、保管等

第29条
個人データの個人情報データベースへの入力、出力及び記帳並びに台帳及び申込書等の個人情報を記載した帳票の保管及び管理等は、個人情報処理担当者が行わなければならない。ただし、個人情報処理担当者は、個人情報保護管理者の承諾を得て信頼できる履行補助者にこれを代行させることができる。

■保有個人データに関する事項の公表等

第30条
協会は、保有個人データに関し、次に掲げる事項をホームページ上に掲載し、パンフレット等に記載し、又は本人の求めに応じて遅滞なく回答するようにしなければならない。
(1)
協会の名称
(2)
すべての保有個人データ<開示対象個人情報>の利用目的(第20条第2項第1号から第3号までに該当する場合を除く。)
(3)
次条(保有個人データの開示)、第32条(保有個人データの利用目的の通知)、第33条(保有個人データの訂正、追加、削除)及び第34条(保有個人データの利用停止、消去、第三者提供の停止)の規定による求めに応じる手続き及びこれらの手続きに係る手数料の定め(手数料を定めた場合に限る。)
(4)
前号の手続きに際して提出すべき「個人情報開示等請求書」(様式第1号)の様式、その他の開示等の求めの受付方法
(5)
保有個人データ<開示対象個人情報>の取扱いに関する苦情の申出先及び協会が認定個人情報保護団体に所属している場合は、その団体の名称及び苦情の解決の申出先

■保有個人データの開示

第31条
協会は、本人から当該個人が識別される保有個人データ<開示対象個人情報>の開示(当該保有個人データが存在しないときにはその旨を含む。)を求められたときは、所定の本人確認手続を経たうえで、「個人情報の開示請求に対するご通知」(様式第2号)により当該保有個人データ<開示対象個人情報>を開示しなければならない。ただし、開示することにより、次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1)
本人又は第三者の生命、身体、財産その他の権利や利益を害するおそれがある場合
(2)
協会の業務の適正な実施に著しい障害を及ぼすおそれがある場合
(3)
他の法令に違反する場合
2
前項各号に該当し、保有個人データ<開示対象個人情報>の全部又は一部を開示しない旨の決定をしたときは、本人に対し、遅滞なくその旨を通知するとともに、その理由を説明しなければならない。

■保有個人データの利用目的の通知

第32条
協会は、本人から当該個人が識別される保有個人データ<開示対象個人情報>の利用目的の通知を求められたときは、その利用目的を、「個人情報の利用目的のご通知」(様式第3号)により、本人に通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
(1)
保有個人データ<開示対象個人情報>を本人の知り得る状態に置いていることにより保有個人データ<開示対象個人情報>の利用目的が明らかな場合
(2)
利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(3)
利用目的を本人に通知し、又は公表することにより協会の権利又は正当な利益を害するおそれがある場合
(4)
国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2
前項各号に該当し、求められた保有個人データ<開示対象個人情報>の利用目的を通知しない旨を決定したときは、遅滞なくその旨を通知しなければならない。

■保有個人データの訂正、追加、削除

第33条
協会は、本人から当該本人が識別される保有個人データ<開示対象個人情報>の内容が事実と異なるという理由で、訂正、追加、削除(以下「訂正等」という。)を求められたときは、本人確認手続を経たうえで遅滞なく調査を行い、その結果に基づいて訂正等を行わなければならない。
2
調査の結果、保有個人データ<開示対象個人情報>の訂正等を行ったとき又は行わない旨を決定したときは、「個人情報の訂正等のご通知」(様式第4号)により、本人に対し、遅滞なくその旨を通知しなければならない。

■保有個人データの利用停止、消去、第三者提供の停止

第34条
協会は、本人から、当該本人が識別される保有個人データ<開示対象個人情報>が利用目的の制限に違反するという理由、又は不正の手段により取得したものであるという理由で利用停止又は消去(以下「利用停止等」という。)を求められたときは、本人確認手続を経たうえで、遅滞なく調査を行い、その結果に基づいてデータの利用停止等を行わなければならない。
2
本人から当該本人が識別される保有個人データ<開示対象個人情報>が第三者提供違反であるとの理由で、第三者への提供の停止を求められたときは、本人確認手続を経たうえで遅滞なく調査を行い、その結果に基づいてこれを停止しなければならない。
3
保有個人データ<開示対象個人情報>の利用停止等の措置を行ったとき又は行わない旨を決定したときは、「個人情報の利用停止のご通知」(様式第5号)により、本人に対し遅滞なくその旨の通知をしなければならない。

第6章 個人情報管理委員会及び監査

■個人情報管理委員会

第35条
協会は、個人情報管理委員会を設置することができる。
2
個人情報管理委員会の議長は、個人情報保護管理者が務めるものとし、それ以外の構成員は、議長がこれを指名する。
3
個人情報管理委員会は、以下の職務を実施する。
(1)
個人情報の安全管理に関する代表者への助言
(2)
個人情報保護に関する内部規定の制定
(3)
個人情報の安全管理対策の企画、立案、評価及び見直し
(4)
個人情報に関する苦情窓口の設置及び苦情対応
(5)
個人情報保護監査責任者からの報告徴収
(6)
危機管理に関する対応
(7)
その他個人情報の安全管理に関する事項

■個人情報保護監査責任者

第36条
協会は、個人情報の安全管理に関する監査の総責任者として、個人情報保護監査責任者を1名定め、以下の業務を行わせるものとする。
(1)
個人情報の安全管理に関する個人情報保護管理者への助言
(2)
個人情報保護法、個人情報取扱規程及びその運用細則その他個人情報に関連する社内規程の遵守状況の監査
(3)
個人情報保護管理者からの報告徴収
(4)
危機管理への対応
(5)
個人情報管理委員会への監査報告(個人情報管理委員会を設置した場合に限る。)
(6)
その他個人情報の安全管理に関する監査全般

■監査

第37条
個人情報保護監査責任者は、個人情報の安全管理に関する監査を行うため、随時個人情報保護管理者、個人情報担当者その他の従業者に対して、個人情報の安全管理状況等について報告徴収を求めることができ、従業者はこれに協力しなければならない。
2
個人情報保護監査責任者は、個人情報保護管理者及び個人情報管理委員会に対して、定期的に書面による個人情報の安全管理に関する監査報告を行うものとする。
3
個人情報保護監査責任者は、必要に応じて、個人情報の安全管理に関する事項について外部監査を委託することができる。

第7章 危機管理、その他

■報告義務

第38条
協会は、従業者が個人情報保護法、この規程、その他個人情報に関する社内規程に違反するおそれ又は違反する事実を知った場合、その旨を個人情報保護管理者に報告しなければならない。

■危機管理対応

第39条
従業者は、個人情報の漏えいの事故が発生した場合及び個人情報保護法、この規程、その他個人情報に関する社内規程に違反する事実が生じた場合は、被害拡大防止のための措置を講ずる。
2
違反する事実が個人情報の漏えい、滅失又はき損であるときは、当該事実が生じた個人情報の内容を本人に速やかに通知し、又は本人が容易に知り得る状態に置くよう努めなければならない。

■苦情・相談窓口

第40条
個人情報保護管理者は、個人情報の保護に関して苦情や相談を受け付け、対応する相談窓口を常設し、当該相談窓口の連絡先を本人に告知するものとする。
2
前項の相談窓口の運営責任者は、個人情報保護管理者とする。

■懲戒及び損害賠償

第41条
協会は、故意又は過失により法令に違反し、又はこの規程及び運用細則その他の個人情報に関する社内規程に違反した従業者に対しては、就業規則又は誓約書等により処分を行うとともに、協会に損害を与えた場合には、損害賠償を請求するものとする。

■改廃

第42条
この規程の改廃は、個人情報保護管理者が、個人情報管理委員会の審議を経て起案し、取締役会の決議による。
2
事業の代表者は、個人情報の適切な保護を維持するため、定期にこの規程を見直し、必要と認められる場合には、その改廃を指示しなければならない。