個人情報管理規則
制定 平成16年3月20日 改訂 平成17年2月19日 改訂 平成17年3月19日 改訂 平成17年3月31日 改訂 平成18年8月19日
本規則を定めるに至った背景
全ての団体に対する個人情報管理の適正さへの要求は、昨今非常に厳しくなっており、一度トラブルが発生すると団体の存続に関わる場合もあり得る。特に当基金の様な弱小団体においては、トラブル発生に対処する能力は殆どないと言える。
一方、過去の当基金に於ける個人情報の扱いを反省すると、必ずしも適正であったとは言いがたい。
また、平成17年4月からは個人情報保護法(以下「法」という)が施行され、当基金は保有データ数が少ないため法の対象外とは言え、法に準じた情報管理をすることはNPO法人として当然の義務と言える。そこで、この際当基金なりの最低限の規則を決めてトラブルの発生を未然に防ぐと共に、貴重なデータの毀損の防止も計ることとした。
1 目的
本規則は、当基金のスタッフ各人が基金の活動で入手した全ての個人情報について以下各項の発生を防止し、情報提供者への迷惑と、基金の内部及び外部でのトラブル発生を予防することを目的とする。
@
情報の基金内、外への漏洩
A
不正、不適切な取り扱い
B
データの毀損
2 本規則での「個人情報」の定義
本規則の対象となる個人情報は、法に定めるものだけでなく、当基金が入手する可能性のあるもの全てとする。
具体的な項目を下記に示す。
@
氏名
A
郵便番号
B
住所
C
電話&FAX番号(携帯電話を含む)
D
メールアドレス(携帯電話を含む)
E
ホームページのURL
F
職業(学生の場合は学校名、専攻名)、所属団体
G
過去の職歴、学歴
H
家族の状況
I
病歴
J
身体状況
K
生年月日
L
その他個人に属する情報全て
3 情報管理者とその責務
@
基金に個人情報の管理責任者として、情報管理者を置く。
A 情報管理者は庶務・会計担当が兼務し、基金の活動でスタッフ各人が入手した全ての個人情報を収集、把握し、ディジタルデータ化して一括管理する。
B
この一括管理のディジタルデータファイルの名称を「基本名簿」とする。
C 基本名簿のファイルは適当なPCソフトで暗号化し、その暗証番号は8桁以上の数字と大小英字を含む構成とする。暗証番号の管理は、情報管理者がバックアップも含め確実に行う。暗号化PCソフト名称とバックアップの所在は事務局長に伝えるものとする。
D 基本名簿のバックアップは、情報管理者のPC本体以外のディジタル記憶媒体に、暗号化した状態で保管するものとする。バックアップは基本的に1回/日、終業時に行うものとする。
E 情報管理者は、使用PCへの外部からの不正侵入を防止するため、下記を実施するものとする。
a:ウィルス防止ソフトの導入と自動アップデート
b:マイクロソフト・ウィンドウズの自動アップデート
c:スパイウェア防止ソフトの導入と、1回/日のアップデートとスキャン
d:ルーターの導入
4 運用方法
4ー1 個人情報の伝達
@
個人情報のスタッフ間の伝達は原則としてメーリングリストは使わず、個人宛て メール、電話、FAXによるものとする。 ただし、スタッフのメールアドレス及び当事者の了解を得た情報はこの限りでない。
4ー2スタッフ個人情報
@
当基金スタッフはスタッフ登録時、メールアドレスをスタッフ用メーリングリス トに公開することに同意する。
A 当基金スタッフは、スタッフ登録時、別途定める「スタッフ登録書」により、所定の個人情報を情報管理者に申告すること及び情報管理者が基金の業務に必要と判断した時は、その情報をスタッフ間に限り申告者の許可を得ずに通知することに同意する。B 情報管理者は、業務上の必要以外では、スタッフ個人情報をスタッフ間でも通知してはならない。個人的に必要な場合は当事者間で連絡、入手する。
4ー3 外部個人情報
@ 外部個人情報とは、当会の会員、寄付者及び当会主催あるいは当会が参加したイベントの参加者(これらを以下「協力者」という)の開示した個人情報及び当基金スタッフが外部の研修、イベント参加時等に取得した個人情報をいう。
A
外部個人情報は情報管理者が一括管理し、スタッフは業務上必要時に情報管理者に問い合わせる。
B
協力者については住所、氏名、電話番号、FAX番号、E-メールアドレス及び本人が自主的に開示した個人情報以外は記録しない。
C
その他の外部個人情報は、情報提供者が自主的に開示した情報を記録する。
D
外部個人情報の使途は下記3項目に限定し、本人の同意を得ない限り他の目的に使用しない。但し法の定める場合はこの限りでない。
a:当基金からの書類の送付。
b:当基金からのイベント等の連絡
c:当基金からの各種問い合わせ
E
外部個人情報は本人の同意を得ない限り他への提供は行わない。但し法の定める場合はこの限りでない。
F
情報提供者本人から要請のあった場合は、基金の持つ該当データを提示しなければならない。
G
外部個人情報に変更があった事を把握した場合、当基金は速やかに改訂を行わなければならない。
4ー4 ディジタルデータファイルの運用
@ 個人情報を記録した全てのディジタルデータファイルは、必ず暗号化する。暗証番号は8桁以上とし、必ず数字と大小英字を含む構成とする。バックアップ、伝達等で記憶媒体にデータをコピーする時は特に注意する。
A ディジタルデータファイルのスタッフ間の伝達は原則としてメールでは行わず、記憶媒体の手渡しまたは郵送(宅配便を含む)とする。この場合、必要部分だけのコピーに止め、暗号化を解除し、別途暗証番号を付ける。暗証番号は8桁以上とし、数字、大小英字を含む構成とする。
B
上記の場合、暗証番号は、記憶媒体に同封せず別途伝えるものとする。
例
手渡し:口頭で伝え、手帳等に控える。
郵送:電話、個人当てメールで伝える。
4ー5 データの廃棄
当基金が情報を把握している個人、団体が、退会等により当基金の活動に関与しなくなったことが判明した場合、情報管理者は速やかに当該情報を廃棄する。
上記は、当人の申出による他、基金の活動に5年以上関与が無い場合及び住所が不明になった場合もこれに該当するものとする。
4ー6 スタッフの責務
@ 当基金のスタッフは、個人情報の適正管理が、あらゆる団体に求められている基本存続条件であることを良く認識し、業務上知り得た個人情報を善意の管理者として適正に管理することとする。
A また、各スタッフは本規則の発行以前に入手したディジタルデータファイルは廃却するものとする。
以上
参考:現有のファイルの種類
@ 基本名簿:Access表で構成、会員、寄付者名簿が主体
A スタッフ住所録:Excel表で構成