個人情報保護方針

第1章 総則

第1条(目的)

本規則は、個人情報の保護に関する法律、金融分野における個人情報保護に関するガイドラインおよび金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針(以下「個人情報保護法等」という。)を踏まえ、当社における顧客情報の取扱いおよび顧客情報の適正な安全管理に関する事項について定める。なお、本規則において「顧客情報」には、個人情報のほか、法人顧客に関する情報を含む。

第2条(個人情報保護宣言の策定)

経営陣は、個人情報に対する取組方針をあらかじめ分かりやすく説明することの重要性に鑑み、生命保険会社等の個人情報保護に関する考え方および方針に関する宣言(いわゆるプライバシーポリシー、プライバシーステートメント等)を策定し、例えば、次に掲げる内容をインターネットのホームページへの常時掲載または事務所の窓口等での掲示・備付け等により、公表する。

(1)関係法令等の遵守、個人情報を目的外に利用しないことおよび苦情処理に適切に取組むこと等、個人情報保護への取組方針の宣言
(2)個人情報の利用目的の通知・公表等の手続についての分かりやすい説明
(3)開示訂正等の手続等、個人情報の取扱いに関する諸手続についての分かりやすい説明
(4)個人情報の取扱いに関する質問および苦情処理の窓口

第3条(個人データ管理台帳の整備)

経営陣は、個人データの取扱状況を確認できる手段の整備として、次に掲げる事項を含む台帳等を整備し、役職員をして当該台帳等への記入させなければならない。

①取得項目
②利用目的
③保管場所・保管方法・保管期限
④管理部署
⑤アクセス制御の状況

第2章 顧客情報の取扱い

第4条(顧客情報の適正取得)

役職員は、顧客情報の取得にあたっては、個人情報保護法等をはじめとした法令全般に照らして違法性のないように留意し、社会的良識からみて妥当と考えられる手段によって行わなければならない。また、顧客情報の不正取得等の不当な行為を行っている第三者から、当該情報が漏えいされた情報であること等を知った上で取得してはならない。 2.役職員は、個人情報を取得するに際し、次の措置を遵守する。

(1) 本人からの直接取得 アンケート等の書面の提出またはユーザー入力画面へのデータ入力等により、直接本人から個人情報を取得する場合には、あらかじめ本人に対してその利用目的を明示しなければならない。口頭による個人情報の取得に当たっては、必ずしも利用目的の明示は要しないが、明示を行わない場合には、あらかじめ利用目的を公表し、または取得後速やかに、利用目的を本人に通知もしくは公表しなければならない。ただし、個人情報保護法等の定めにより例外的に適法かつ適正に行える場合はこれらの限りでない。

(2) 間接的な取得 個人情報を第三者から取得する場合、本人の利益を不当に侵害しないものとするとともに、あらかじめ利用目的を公表しなければならない。ただし、個人情報保護法等の定めにより例外的に適法かつ適正に行える場合はこれらの限りでない。

第5条(顧客情報の適切な取扱い)

役職員は、顧客情報を取り扱うにあたり、以下の定めを遵守する。ただし、個人情報保護法等の定めにより例外的に適法かつ適正に行える場合はこの限りでない。

(1)目的外利用の禁止 本人の同意を得ずして、通知、公表、または明示している利用目的以外の目的で個人情報を利用しない。なお、あらかじめ本人の同意を得るために個人情報を利用することは、たとえ当初特定した利用目的にない場合にも、目的外利用には当たらない。
(2)合併、会社分割、営業譲渡等の場合の取扱い 合併、会社分割、営業譲渡等により他の事業者から事業の承継をすることに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、当該個人情報に係る承継前の利用目的の達成に必要な範囲を超えて、当該個人情報を取扱ってはならない。
(3)利用目的の変更 利用目的を変更する場合には、本人の同意を得ずして、変更後の利用目的が変更前の利用目的からみて社会通念上本人が想定できる範囲を超えて行ってはならない。
(4)再委託の禁止 保険会社から委託を受けた顧客情報について、当該保険会社の事前の許可なく、第三者に取扱いを委託してはならない。
(5)第三者提供の禁止 本人の同意を得ずして、第三者に顧客情報を提供しない。なお、本人から第三者提供についての同意を得る際には、原則として、書面によることとし、当該書面における記載を通じて、次に掲げる事項を本人に認識させた上で同意を得ることとする。

①顧客情報を提供する第三者
②提供を受けた第三者における利用目的
③第三者に提供される情報の内容

第6条(機微(センシティブ)情報の取扱い)

役職員は、政治的見解、信教(宗教、思想および信条をいう。)、労働組合への加盟、人種および民族、門地および本籍地、保健医療および性生活、ならびに犯罪歴に関する情報(新聞または官報等に記載された公知の情報および外形から明白な身体等に関する情報を除く。以下「機微(センシティブ)情報」という。)の取扱いについては、次に掲げる場合を除くほか、取得、利用または第三者提供を行わない。

(1)法令等に基づく場合
(2)人の生命、身体または財産の保護のために必要がある場合
(3)公衆衛生の向上または児童の健全な育成の推進のため特に必要がある場合
(4)国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
(5)源泉徴収事務等の遂行上必要な範囲において、政治団体・宗教法人等の団体もしくは労働組合への所属もしくは加盟に関する従業員等の機微(センシティブ)情報を取得し、利用し、または第三者提供する場合
(6)相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用または第三者提供する場合
(7)保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得し、利用しまたは第三者提供する場合
(8)機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合

2.役職員は、機微(センシティブ)情報の取扱いに関し、前項に定めるもののほか、次の事項を遵守する。

(1)告知内容が機微(センシティブ)情報に該当すること、および保険契約者が被保険者の告知内容に関して第三者にあたることを念頭におき、被保険者の告知内容を契約者その他の第三者に伝えない。
(2)機微情報が含まれる申込書、告知書その他の保険会社に提出する保険申込書類について、複製または保管しない。

第7条(クレジットカード情報の取扱い)

役職員は、クレジットカードに関する情報(カード番号、有効期限等)を含む情報(以下「クレジットカード情報」という。)は、当該情報が漏えいした場合、不正使用によるなりすまし購入など二次被害が発生する可能性が高いことから特に厳格な管理が求められることを念頭におき、その取得、利用または第三者提供について機微(センシティブ)情報に準じて取り扱う。また、次項の措置を講じられる態勢にない場合、クレジットカードの取得および外部委託を行ってはならない。

2.第11条で定める個人データ管理責任者(以下同じ。)は、クレジットカード情報の取扱いに関し、次の措置を講じなければならない。

(1)保存期間・保存場所の設定 利用目的その他の事情を勘案した適切な保存期間を設定し、保存場所を限定したうえ、保存期間経過後適切かつ速やかに廃棄する。
(2)業務上必要とする場合を除き、クレジットカード情報等をコンピューター画面に表示する際には、カード番号を 全て表示させない等の適切な措置を講じる。
(3)クレジットカード情報等の取扱いを第三者に委託する場合は、第16条の定めのほか、外部委託先において、 クレジットカード情報等を保護するためのルールおよびシステムが有効に機能しているかについて、定期的また は随時に、点検または立入検査を行う。
(4)クレジットカード情報等について、二段階以上の委託が行われた場合には、外部委託先が再委託先等の事 業者を十分に監督していると認められる場合を除き、定期的または随時に、点検または立入検査を行う等、再委 託先等の事業者に対して自社による直接の監督を行う。

第8条(個人データの内容の正確性の確保)

役職員は、個人データの利用目的に照らして必要と判断した範囲内で、その正確性、最新性および適切な内容を維持することに努めなければならない。

第9条(保有する個人データの保存期間)

当社が固有に保有する個人データは、当該個人データの利用目的に照らして必要と認められる期間保存するものとし、当該期間を経過した個人データは消去する。ただし、法令等に基づく保存期間の定めがある場合には、この限りでない。

第10条(保有個人データの公表・開示・訂正・利用停止等)

当社固有の個人情報に関して、本人から個人情報保護法に定める開示・訂正・利用停止等(以下「開示等」という。)の求めがあった場合、個人データ管理責任者は、個人情報保護法に則して適切に対応し、または、他の役職員をして適切に対応させる。

2.保険会社から委託された個人情報に関して開示等の求めがあった場合、個人データ管理責任者は、その権限がない旨、および当該保険会社の個人情報の問合せ窓口を本人に伝える。

第3章 安全管理措置

第11条(個人データ管理責任者・個人データ管理者)

経営陣は、業務執行に責任を有する役職員(株式会社組織であれば取締役または執行役等)の中から、当社が取扱う顧客情報の安全管理に係る業務遂行の総責任者として個人データ管理責任者を選任する。

2.個人データ管理責任者は、下記事項を所管する。

(1)顧客情報の安全管理に関する規程、および、委託先選定基準の承認、周知
(2)個人データ管理者、個人データ利用者にかかる「本人確認に関する情報」の管理者の任命
(3)個人データ管理者からの報告徴収、助言・指導
(4)顧客情報の安全管理に関する教育・研修の企画
(5)その他当社全体における顧客情報の安全管理に関する事項

3.個人データ管理責任者は、顧客情報を取り扱う各部門における個人データ管理者を任命する。また、当社において個人データ取扱部署が単一である場合は、個人データ管理責任者が個人データ管理者を兼務することも認められる。

4.個人データ管理者は、次を所管する。

①顧客情報の取扱者の指定、変更等の管理
②顧客情報の利用申請の承認および記録等の管理
③顧客情報を取扱う保管媒体の設置場所の指定、変更等
④顧客情報の管理区分、権限についての設定、変更の管理
⑤顧客情報の取扱状況の把握
⑥委託先における顧客情報の取扱状況等の監督
⑦顧客情報の安全管理に関する教育・研修の実施
⑧個人データ管理責任者に対する報告
⑨その他所管部署における顧客情報の安全管理に関する事項

第12条(従業者の監督)

経営陣は、顧客情報の安全管理が図られるよう、次の措置を講じるとともに、顧客情報が漏えい、滅失またはき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質および顧客情報の取扱状況等に起因するリスクに応じて、従業者に対する必要かつ適切な監督を行わなければならない。なお、本規則において「従業者」とは、当社の組織内にあって直接または間接に当社の指揮監督を受けて生命保険会社等の業務に従事している者をいい、雇用関係にある従業者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、当社との間の雇用関係にない者(取締役、執行役、理事、監査役、監事、派遣社員等)も含まれる。

(1)従業者との顧客情報の非開示契約等の締結および就業規則の整備 採用時等に従業者と顧客情報の非開示契約等(従業者が在職中およびその職を退いた後において、その業務に関して知った顧客情報を第三者に知らせ、または利用目的外に使用しないことを内容とする契約等)を締結するとともに、次の事項を定めた就業規則等を整備する。

①顧客情報の取り扱いに関する従業者の役割・責任
②違反時の懲戒処分

(2)従業者の役割・責任等の明確化 従業者の役割・責任等を明確化として、次に掲げる措置を講じる。 1 各管理段階における顧客情報の取り扱いに関する従業者の役割・責任の明確化 2 顧客情報の管理区分およびアクセス権限の設定 3 違反時の懲戒処分を定めた就業規則等の整備 4 必要に応じた規程等の見直し

(3)従業者への安全管理措置の周知徹底、教育および訓練 従業者への安全管理措置の周知徹底、教育および訓練として、次に掲げる措置を講じる。

①従業者に対する採用時の教育および定期的な教育・訓練
②個人データ管理責任者および個人データ管理者に対する教育・訓練
③顧客情報の安全管理に係る就業規則等に違反した場合の懲戒処分の周知。なお、ここにいう「周知」と は、従業者に対する教育、訓練の中で徹底させることをいう。
④従業者に対する教育・訓練の評価および定期的な見直し

(4)従業者による顧客情報管理手続きの遵守状況の確認 従業者による顧客情報管理手続きの遵守状況の確認として、本規則その他の個人情報保護に関する規程の遵守状況について、記録および確認を行うとともに、第18条に基づく点検および監査を実施しなければならない。

第13条(技術的安全管理措置)

経営陣は、次の技術的安全管理措置を講じなければならない。

(1)顧客情報の利用者の識別および認証 顧客情報の利用者の識別および認証として、次に掲げる措置を講じる。

①本人確認機能の整備
②本人確認に関する情報の不正使用防止機能の整備
③本人確認に関する情報が他人に知られないための対策

(2)顧客情報の管理区分の設定およびアクセス制御 顧客情報の管理区分の設定およびアクセス制御として、次に掲げる措置を講じる。

①従業者の役割・責任に応じた管理区分およびアクセス権限の設定
②事業者内部における権限外者に対するアクセス制御
③外部からの不正アクセスの防止措置 このうち、「外部からの不正アクセスの防止措置」として、次に掲げる措置を講じる。

イ.アクセス可能な通信経路の限定
ロ.外部ネットワークからの不正侵入防止機能の整備
ハ.不正アクセスの監視機能の整備
ニ.ネットワークによるアクセス制御機能の整備

(3)顧客情報へのアクセス権限の管理 顧客情報ヘのアクセス権限の管理として、次に掲げる措置を講じる。

①従業者に対する顧客情報へのアクセス権限の適切な付与および見直し
②顧客情報ヘのアクセス権限を付与する従業者数を必要最小限に限定すること
③従業者に付与するアクセス権限を必要最小限に限定すること

(4)顧客情報の漏えい・き損等防止策 顧客情報の漏えい・き損等防止策として、顧客情報の保護策を講ずることとともに、障害発生時の技術的対応・復旧手続を整備する。
このうち「顧客情報の保護策を講ずること」として、次に掲げる措置を講じる。

イ.蓄積データの漏えい防止策
ロ.伝送データの漏えい防止策
ハ.コンピュータウィルス等不正プログラムへの防御対策

このうち「障害発生時の技術的対応・復旧手続の整備」として、次に掲げる措置を講じる。

イ.不正アクセスの発生に備えた対応・復旧手続の整備
ロ.コンピュータウィルス等不正プログラムによる被害時の対策
ハ.リカバリ機能の整備

(5)顧客情報ヘのアクセスの記録および分析 顧客情報へのアクセスや操作を記録するとともに、当該記録の分析・保存を行う。また、不正が疑われる異常な記録の存否を定期的に確認する。

(6)顧客情報を取り扱う情報システムの稼動状況の記録および分析 顧客情報を取り扱う情報システムの稼動状況を記録するとともに、当該記録の分析・保存を行う。

(7)顧客情報を取り扱う情報システムの監視および監査 顧客情報を取り扱う情報システムの利用状況、顧客情報へのアクセス状況および情報システムへの外部からのアクセス状況を本項(5)および(6)により監視するとともに、監視システムの動作の定期的な確認等、監視状況についての点検および監査を行う。また、セキュリティパッチの適用や情報システム固有の脆弱性の発見・その修正等、ソフトウェアに関する脆弱性対策を行わなければならない。

第14条(段階ごとの安全管理措置)

個人データ管理責任者は、別紙に定める個人データの①取得・入力、②利用・加工、③保管・保存、④移送・送信、⑤消去・廃棄の各段階ごとに、組織的安全管理措置、人的安全管理措置および技術的安全管理措置を含む安全管理措置を講じる。なお、組織的安全管理措置、人的安全管理措置および技術的安全管理措置の各定義は次のとおりである。

・「組織的安全管理措置」とは、個人データの安全管理措置について従業者の責任と権限を明確に定め、安全管理に関する規程等を整備
・運用し、その実施状況の点検・監査を行うこと等の当社における体制整備および実施措置をいう。
・「人的安全管理措置」とは、従業者との個人データの非開示契約等の締結および従業者に対する教育・訓練等を実施し、個人データの安全管理が図られるよう従業者を監督する措置をいう。
・「技術的安全管理措置」とは、個人データおよびそれを取扱う情報システムへのアクセス制御および情報システムの監視等の、個人データの安全管理に関する技術的な措置をいう。

第15条(情報漏えい等の防止措置)

役職員は、顧客情報漏えい等を防止するため、次の事項を遵守しなければならない。

(1)事務所内の情報管理 顧客情報を含む書類等は放置せず、保管場所を定め、適切な施錠管理を行う。また、パーティション等により事務所スペースと接客スペースの分離を行う等外部者の無断立入りを防止する。

(2)携帯電話の紛失防止 携帯電話には電話番号、氏名、メールアドレス等の大量の顧客情報が登録されていることをふまえ、紛失しない、もしくは、盗難されないよう、最大限の注意を払う。

(3)業務用パソコンについて、次の事項を確認および整備する。

①ファイル交換ソフトを導入していないこと
②ウィルス対策ソフトを導入している、また、最新バージョンに更新していること
③使用制限されている外部記憶媒体へ書き込みしていないこと
④他人に見破られない適切なパスワードを作成している、定期的変更していること

(4)顧客情報照会サービス利用時 保険会社から提供を受ける契約照会システム等は、機密性を保つために特定の端末で利用する。また、業務上必要な帳票やデータ以外にダウンロードしてはならない。

(5)外部メール・FAX送信時

①業務用パソコンから私用パソコンへ業務外にメールしてはならない。
②顧客情報を含むデータ等の外部メール送信時は、パスワード保護を設定する。
③複数相手先への外部メール送信時は、bcc(ブラインド・カーボン・コピー)を利用する。
④FAX送信時は、短縮ダイヤル、親展FAX等、誤送信をさけ、慎重に使用する。

(6)外部持ち出し時

①個人データ管理台帳上の顧客情報を事務所外に持ち出すときは、その所在、管理状況が把握できるよう記 録する。
②顧客情報(パソコン・携帯電話・書類等)を車内放置したまま、車から離れてはならない。
③電車の網棚などへの顧客情報が入ったかばんを置いてはならない。
④顧客情報を持ったまま飲酒してはならない。
⑤不要な書類は事務所外へ持ち出さない。

(7)顧客情報の廃棄

①顧客情報を含む書類等の廃棄は、シュレッダー等による裁断、焼却または溶解処理としなければならない。 
②顧客情報を含む書類等の廃棄を外部業者へ依頼するときは、「廃棄証明」を徴求する。
③顧客情報を含むパソコン等電子機器類の廃棄は、データ消去ソフト等でハードディスクのデータを確実に消 去する。
④顧客情報を含むCD-ROM等電子媒体の廃棄は、保存データを消去し、破壊処理(はさみ等を使用)を行う。

(8)外部からの電話照会時 架電者(照会者)が本人であることを、氏名、生年月日、住所および証券番号で確認する。また、契約情報上の電話番号へ折り返す、あるいは、同住所へ書面送付する等の慎重な対応に努める。

第4章 外部委託に係る安全管理措置

第16条(顧客情報取扱いの外部委託)

1.委託先の監督 個人データ管理責任者は、当社が顧客情報の取扱いの全部または一部を委託する場合、顧客情報が漏えい、滅失またはき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模および性質ならびに顧客情報の取扱状況等に起因するリスクに応じて、その取扱いを委託された顧客情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならず、二段階以上の委託が行われた場合には、委託先の事業者が再委託先等の事業者に対して十分な監督を行っているかについても監督を行わなければならない。なお、本規則において「委託」には、契約の形態や種類を問わず、当社が他の者に顧客情報の取扱いの全部または一部を行わせることを内容とする契約の一切を含む。

2.委託先選定基準 個人データ管理責任者は、次に掲げる事項を委託先選定の基準として定め、当該基準に従って委任先を選定するとともに、当該基準を定期的に見直さなければならない。

(1)委託先における顧客情報の安全管理に係る基本方針・取扱規程等の整備 「委託先における顧客情報の安全管理に係る基本方針・取扱規程等の整備」として、次に掲げる事項を定めなければならない。

①委託先における顧客情報の安全管理に係る基本方針の整備
②委託先における顧客情報の安全管理に係る取扱規程の整備
③委託先における顧客情報の取扱状況の点検および監査に係る規程の整備
④委託先における外部委託に係る規程の整備

(2)委託先における顧客情報の安全管理に係る実施体制の整備 「委託先における顧客情報の安全管理に係る実施体制の整備」として、本規則第3章に記載された事項を定めるとともに、委託先から再委託することを許容する場合は、再委託先の顧客情報の安全管理に係る実施体制の整備状況に係る基準を定めなければならない

(3)実績等に基づく委託先の顧客情報の安全管理上の信用度。なお、過去に漏えい事案等の発生があった委託 先であっても、事後に適切な措置がなされていれば、それらを一律に排除するものではない。

(4)委託先の経営の健全性。なお、財務状況が悪化している企業を一律に排除するものではない。

2.委託先選定の基準に定める事項の委託先における遵守状況の確認等 個人データ管理責任者または個人データ管理者は、委託契約後に前項の委託先選定の基準に定められた事項の委託先における遵守状況を定期的または随時に確認するとともに、委託先が当該基準を満たしていない場合には、委託先に対して改善を求めなければならない。

3.委託契約に盛り込む安全管理事項 役職員は、選定した委託先との間の委託契約において、次に掲げる安全管理に関する事項を盛り込まなければならない。

(1)当社の委託先に対する監督・監査・報告徴収に関する権限

(2)委託先における顧客情報の漏えい、盗用、改ざんおよび目的外利用の禁止

(3)再委託における条件。なお、再委託の可否および再委託を行うに当たっての委託元への文書による事前報告または承認等を、委託契約に盛り込むことが望ましい。

(4)漏えい事案等が発生した際の委託先の責任

4.委託契約に盛り込む安全管理事項の定期的見直し 個人データ管理責任者は、前項の委託契約に盛り込む安全管理に関する事項を定期的に見直さなければならない。

5.安全管理措置の遵守状況の確認等 個人データ管理者は、第18条の監査を行う等により、定期的または随時に委託先における委託契約上の安全管理の遵守状況を確認するとともに、これが遵守されていない場合には、委託先に対して改善を求めなければならない。

6.所属保険会社の許可 取扱いの委託を行おうとする顧客情報の中に所属保険会社から委託を受けた個人情報を含む場合、当該個人情報の再委託が原則として禁止されていることに留意し(第5条4号)、個人データ管理責任者は、顧客情報の委託にあたって、あらかじめ所属保険会社に申請し、その許可を得なければならない。ただし、所属保険会社が別に定める場合はこの限りではない。

7. 再委託を認める場合の措置 委託先が顧客情報の再委託を行おうとする場合、個人データ管理責任者は、委託を行う場合と同様、再委託の相手方、再委託する業務内容および再委託先の顧客情報の取扱方法等について、委託先に事前報告または承認手続を求める、直接または委託先を通じて定期的に監査を実施する等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、再委託先が個人情報保護法第20条に基づく安全管理措置を講ずることを確認する。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。

第5章 情報漏えい時の対応

第17条(漏えい事案等の対応)

役職員は、顧客情報(機微情報含む)を漏えい事案等において、以下の対応を行う。 なお、ここでいう「漏えい事案等」とは、個人情報が記載・収録された帳票や電子記録媒体(FD、CD-ROM等)の盗難または紛失、郵便物の誤送付、電子メールやファックスの誤送信等の事故により、個人情報の漏えい、滅失、または、き損が生じ、または、生じるおそれが高い場合をいう。

(1)漏えい事案等への対応に関する対応部署の役割・責任および取扱者の限定

①個人データ管理責任者は、漏えい事案等への対応に関する対応部署(以下、「対応部署」という。)の役割・ 責任を定め、組織内に周知しなければならない。対応部署には、個人データ管理者を1人以上置かなければ ならない。
②対応部署の個人データ管理者は、各部署において、業務上必要な者に限り漏えい事案等への対応が行わ れるよう取扱者を限定しなければならない。

(2)漏えい事案等への対応の規程外作業に関する申請および承認手続き 顧客情報の取扱者は、本規程に定める以外の方法で漏えい事案等に対応する場合は、個人データ管理者に申請し、承認を得たうえで行わなければならない。

(3)漏えい事案等の影響等に関する調査手続き 漏えい事案等が発生した部署の個人データ管理者は、個人データ管理責任者および対応部署と連携のうえ漏えいした顧客情報の取扱状況の記録内容の分析を行い、漏えいした顧客情報の量、質、事故の原因、態様、被害の程度等漏えい事案等の内容および影響の調査を行うこととする。

(4)再発防止策・事後対策の検討に関する手続き 漏えい事案等が発生した部署の個人データ管理者は、対応部署と協議のうえ、漏えいした顧客情報の取扱状況の記録内容の分析を踏まえた再発防止策・事後対策を策定し・個人データ管理責任者へ報告することとする。

(5)報告に関する手続き

①漏えい事案等が発生した場合、発見者は、漏えい範囲の拡大防止等必要な措置をとるとともに、直ちに対  応部署に報告しなければならない。
②対応部署は、報告を受けた漏えい事案等について、直ちに当該漏えいに係る個人情報を保有する保険会社 に報告しなければならない。
③対応部署の個人データ管理者は取引保険会社の指示に従い、社外への報告等(警察、監督当局への届出、 本人への通知等、二次被害の防止・類似事案の発生回避の観点からの漏えい事案等の事実関係および再発 防止策の公表)の要否およびその方法について決定しなければならない。
④漏えいに係る個人情報が当社固有のものである場合、対応部署は次の措置を講じる。ただし、公表によりか えって二次被害を誘引する場合など、個人の権利利益を保護するため公表しない方が望ましいと認められるよ うな場合はロ.の措置を、高度な暗号化処理等が施されている場合や即時に回収出来た場合等、本人の権利 利益が侵害されておらず、今後も権利利益の侵害の可能性がないまたは極めて小さい場合等はハ.の措置を それぞれ省略することができる。

イ. 監督当局に直ちに報告する。
ロ. 二次被害の防止、類似事案の発生回避等の観点から、漏えい等の事実関係および再発防止策等を早急に公表することとする。
ハ. 個人情報の漏えい事案等の事故が発生した場合には、漏えい事案等の対象となった本人に速やかに漏えい事案等の事実関係等の通知を行う。

(6)漏えい事案等への対応記録および分析

①対応部署の顧客情報の取扱者は、漏えい事案等へ対応する場合、データの種類や形態等に応じ、かつ、 適切に取得・入力状況について記録を行わなければならない。
②対応部署の個人データ管理者は、顧客情報の漏えい等の防止のため、必要に応じ、記録された状況を確 認する。

第6章 点検・監査

第18条(顧客情報管理の点検・監査)

役職員は、顧客情報管理実態の点検・監査において、以下の取扱いを遵守する。ただし、当社において顧客情報取扱部署が単一である場合は、点検により監査を代替することも認められる。

(1)実施部署

①個人データ管理責任者は、顧客情報を取り扱う部署において顧客情報の点検に関する点検責任者およ び点検担当者を選任し、当該部署が自ら点検を実施するよう指示しなければならない。
②点検責任者と点検担当者は兼務することができる。
③個人データ管理責任者は、監査を実施する部署を指定し、その部署から顧客情報の監査に関する監査責 任者および監査担当者を選任し、監査を実施するよう指示しなければならない。ただし、監査を実施する部署 が顧客情報を取り扱うときには、個人データ管理責任者は、当該部署以外の部署から当該部署を監査する 監査責任者および監査担当者を選任しなければならない。

(2)点検

①個人データ管理責任者は、顧客情報の取扱状況の点検に関する計画を立案し、点検責任者に対し、定期 的および臨時の点検を実施するよう指示しなければならない。
②点検担当者は、点検責任者の指示に基づいて確実に点検を実施しなければならない。
③点検担当者は、点検により顧客情報の取り扱いに関する規程に違反する事項などを発見した場合には、 点検責任者に報告しなければならない。
④点検責任者は、規程に違反する事項について、個人データ管理責任者に報告すると共に個人データ管理責 任者の指示を踏まえ、改善のための措置を講じなければならない。

(3)監査

①個人データ管理責任者は、顧客情報の取扱状況の監査に関する計画を立案し、監査責任者に対し、定期 的および臨時の監査を実施するよう指示しなければならない。
②監査担当者は、監査責任者の指示に基づいて確実に監査を実施しなければならない。
③監査担当者は、監査により顧客情報の取り扱いに関する規程に違反する事項などを発見した場合には、 監査責任者に報告しなければならない。
④監査責任者は、規程に違反する事項について、個人データ管理責任者に報告すると共に個人データ管理責 任者の指示に従い、改善のための措置を講じなければならない

第7章 雑則

第19条( 規則の改廃 )

本規則の改廃は、業務管理責任者が立案し、取締役会の承認を要する。ただし、他規則等の変更にともない当然に字句修正を要するときはその限りでない。

附則

  1. この規則の主管者は業務管理責任者とする。
  2. この規則は2016年5月29日より実施する。