第１条（目的）

この規程は、一般社団法人東京国際大学霞会（以下「この法人」という。）において、一般社団法人及び一般財団法人に関する法律施行規則第14条に定める損失の危機の管理の規程及びその体制の本旨に従い、個人情報の取扱いに関する基本的事項を定めることにより、事業の適性かつ円滑な運営を図るとともに、個人の権利利益を保護することを目的とする。

第２条（適用範囲）

この規程は、この法人の役員等、ならびに職員、パートタイマー職員等（以下「役職員」という。）に適用する。

第３条（定義）

この規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

• 個人情報
  生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう（個人情報の保護に関する法律（以下「情報保護法」という。）２条１項）。
• 個人情報取扱事業者
  個人情報データベース等を事業の用に供している者をいう（情報保護法２条３項）。ただし、国の機関、地方公共団体、独立行政法人、地方独立行政法人及びその取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令（個人情報の保護に関する法律施行令・平成15年12月10日政令第507号）で定める者（その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去６箇月以内のいずれの日においても5,000人を超えない者）を除く。
• 個人データ
  個人情報データベース等を構成する個人情報をいう（情報保護法２条４項）。
• 保有個人データ
  個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は１年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。（情報保護法２条５項）
• センシティブ情報
  思想、信条及び宗教に関する事項、人種、民族、門地、本籍地、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項、勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項、集団示威行為への参加、請願権の行使及びその他の政治的権利の行使に関する事項、保険医療及び性生活に関する事項いう。
• 本人
  個人情報によって識別される特定の個人をいう。
• 個人情報保護コンプライアンス・プログラム
  この法人が保有する個人情報を保護するための組織、権限、方針、取扱ルール及び計画、実施、監査、見直し等のマネジメントシステムをいう。
• 個人情報管理責任者
  会長から任命された者であって、個人情報保護コンプライアンス・プログラムの実施及び運用に関する責任と権限を有する者をいう。担当理事がこれにあたる。
• 個人情報監査責任者
  会長から任命された者であって、公平かつ客観的な立場で、監査の実施及び報告を行う権限を有する者をいう。監事が兼任する場合を含む。
• 役職員
  この法人の組織内にあって、直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある職員（正規職員、契約職員、嘱託職員、パート職員、アルバイト職員等）のみならず、役員、派遣職員等も含まれる。
• 提供
  個人データを利用可能な状態に置くことをいう。

第４条（適正な取得）

個人情報は、偽りその他不正の手段により取得してはならない。

第５条（個人情報の取得の原則）

個人情報の取得は、この法人が行う事業の範囲内に限り、かつ、あらかじめ利用目的を明確に定め、その目的の達成に必要な限度において行うものとする。

第６条（センシティブ情報の取得の禁止）

センシティブ情報は、これを取得し又は第三者に提供してはならない。ただし、明示的な本人の同意がある場合、法令に特別の規定がある場合及び司法手続上不可欠である場合については、この限りではない。

第７条（取得に際しての利用目的の公表）

次条の場合を除き、個人情報を取得する場合には、利用目的をできる限り特定し、あらかじめその利用目的を公表するよう努めることとし、公表をしていない場合は、取得後速やかにその利用目的を本人に通知し、又は公表しなければならない。ただし、次の各号の場合を除く。

• 本人又は第三者の生命、身体、財産その他の権利等を害するおそれがある場合
• この法人の権利等を害するおそれがある場合
• 国の機関等に協力する場合
• 利用目的が明らかであると認められる場合

第８条（直接本人から書面等により取得する場合）

本人との間で契約を締結することに伴って契約書その他の書面（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。）に記載された本人の個人情報を取得する場合、その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のため緊急に必要がある場合は、この限りではない。

第９条（本人以外から間接的に個人情報を取得する場合）

本人以外から間接的に個人情報を取得する場合（公開情報から取得する場合も含む。）には、その利用目的等について本人に対し通知し、又は公表しなければならない。ただし、次の各号のいずれかに該当する場合には、この限りではない。

• 本人の同意を得ている者から取得する場合
• 情報処理を委託するなどのために個人情報の取扱いを預託されている場合
• 本人の保護に値する利益が侵害されるおそれがない場合

第10条（利用目的による制限）

あらかじめ本人の同意を得ないで、この法人が特定した利用目的の達成に必要な範囲を超えて、個人情報を利用してはならない。ただし、次に掲げる場合については、この限りではない。

• 合併その他の事由により他の個人情報取扱事業者の事業を承継することに伴って個人情報を取得し、当該承継前の目的達成に必要な範囲内で利用する場合
• 法令に基づいて個人情報を取り扱う場合
• 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
• 公衆衛生上特に必要がある場合であって、本人の同意を得ることが困難であるとき。
• この法人が国の機関又は地方公共団体から委託を受け、法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

第11条（利用目的の変更）

1. 利用目的を変更しようとする場合には、従前の目的と比較して、相当の関連性を有すると合理的に認められる範囲を超えて変更を行ってはならない。
2. 利用目的を変更した場合には、変更された利用目的について、本人に通知し、又は公表しなければならない。

第12条（第三者提供の制限）

個人データは、あらかじめ本人の同意を得ないで、第三者に提供してはならない。ただし、次に掲げる場合については、この限りではない。

• 第三者に該当しない場合　利用目的の達成に必要な範囲において個人データの取扱いの全部又は一部を委託する場合、合併その他の事由による事業の承継に伴って個人データが提供される場合、個人データを特定の者との間で共同して利用する場合等
• 法令に基づいて個人情報を取扱う場合
• 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
• 公衆衛生上特に必要がある場合であって、本人の同意を得ることが困難であるとき。
• この法人が国の機関又は地方公共団体から委託を受け、法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
• 個人情報保護法のとおり、オプトアウト条項の原則にもとづき、個人情報を運用管理している場合。　ただし、センシティブ情報は除く。

第13条（個人データに該当しない個人情報の第三者提供）

あらかじめ本人の同意を得ないで、個人データに該当しない個人情報を第三者に提供しないものとする。ただし、必要性がある場合には、所定の手続を経て、事前に個人情報管理責任者の書面による了承を得た上で行うものとする。

第14条（共同利用）

個人データを特定の者との間で共同で利用しようとする場合には、次の各号に定める事項をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、共同利用する特定の者に対しても同様の措置を講じさせなければならない。

• 個人データを特定の者との間で共同して利用する旨
• 共同して利用される個人データの項目
• 共同して利用する者の範囲
• 利用するものの利用目的
• 個人データの管理について責任を有する者の氏名又は名称

第15条（オプトアウト）

あらかじめ本人の同意なく、個人データを第三者に提供する場合には、次の各号に定める事項をウェブ上に公表しなければならない。

• 第三者への提供を利用目的とすること。
• 第三者に提供される個人データの項目
• 第三者への提供の手段又は方法

本人の求めに応じて第三者への提供を停止すること。

第16条（個人データの正確性の確保）

個人データは、利用目的の達成に必要な範囲内において、正確かつ最新の状態で管理するものとする。

第17条（安全管理措置）

個人情報管理責任者は、その取り扱う個人データの漏えい、滅失、改ざん、き損、不正アクセスの防止その他の個人データの安全管理のために、適切な組織的、人的、物理的及び技術的安全管理措置を講ずるものとする。

第18条（役職員の監督）

個人情報管理責任者は、その役職員に個人データを取り扱わせるに当たっては、当該個人データについて安全管理が図られるよう、当該役職員に対し、継続的かつ定期的に個人情報に関する教育研修を行うものとする。

第19条（役職員の責務）

役職員は、この法人の事業に従事するに当たり、個人情報保護法、この規程、その他個人情報に関する規程を遵守しなければならない。

第20条（委託先の監督）

個人情報管理責任者は、個人データの取扱いの全部又は一部を委託する場合は、外部委託管理規程に定める手続に従い、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対し、必要かつ適切な監督を行うものとする。

第21条（保有個人データに関する事項の公表等）

個人情報管理責任者は、保有個人データに関し、次の各号に掲げる事項について、本人の知り得る状態（本人の求めに応じて、遅滞なく回答する場合を含む。）に置かなければならない。

• 当該個人情報取扱事業者の氏名又は名称
• すべての保有個人データの利用目的（取得に際して通知等の例外に当たる場合を除く。）
• 保有個人データの利用目的の通知、保有個人データの開示、保有個人データの内容の訂正、追加又は削除、保有個人データの利用の停止又は消去、保有個人データの第三者への提供の停止の手続及び
• 保有個人データの利用目的の通知、保有個人データの開示に係る手数料の定め
• 保有個人データの取扱いに関する苦情及び問い合わせの申出先

第22条（保有個人データの開示）

本人から、当該本人が識別される保有個人データの開示を求められたときは、所定の本人確認手続を経た上で、書面の交付（開示を求めた本人が同意した方法があるときはその方法）により、遅滞なく、本人に当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

• 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
• この法人の業務の適正な実施に著しい支障を及ぼすおそれがある場合
• 他の法令に違反することとなる場合

前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。

第23条（保有個人データの訂正等）

• 本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって、当該保有個人データの内容の訂正、追加又は削除（以下「訂正等」という。）を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行うものとする。
• 前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨（訂正等を行ったときは、その内容を含む。）を通知するものとする。

第24条（利用停止等）

• 本人から、当該本人が識別される保有個人データが利用目的の制限に違反するという理由又は不正の手段により取得したものであるという理由に よって、当該保有個人データの利用の停止又は消去（以下「利用停止等」という。）を求められた場合であって、その求めに理由があると判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行うものとする。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他利用停止等を行うことが困難な場合は、本人の権利利益を保護するため必要なこれに代わるべき措置をとるものとする。
• 本人から、当該本人が識別される保有個人データが第三者提供違反であるという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく当該保有個人データの第三者への提供を停止するものとする。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合は、本人の権利利益を保護するために必要なこれに代わるべき措置をとるものとする。
• 第１項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨を決定したときは、本人に対し、遅滞なく、その旨を通知するものとする。

第25条（保有個人データの利用目的の通知）

本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、通知しないことができる。

• 保有個人データを本人の知り得る状態に置いていることにより保有個人データの利用目的が明らかな場合
• 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
• 利用目的を本人に通知し、又は公表することにより当法人の権利又は正当な利益が害されるおそれがある場合
• 国の機関又は地方公共団体が、法令の定める事務を遂行することに対して協力する必要がある場合で
• あって、利用目的を本人に通知し、又は公表することにより、当該事務の遂行に支障を及ぼすおそれが
• あるとき。

前項の規定に基づき、求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知するものとする。

第26条（理由の説明）

個人情報管理責任者は、情報保護法第24条第３項、第25条第２項、第26条第２項又は第27条第３項の規定により、本人から求められた措置の全部若しくは一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するものとする。

第27条（開示等の求めに応じる手続）

本人が、保有個人データの利用目的の通知、保有個人データの開示、保有個人データの内容訂正、追加又は削除、保有個人データの利用停止又は消去、保有個人データの第三者への提供停止等の求めをこの法人に対して行う場合には、別途定める書面にて開示等の申請手続を行うものとする。

第28条（安全管理体制の構築）

会長は、個人情報の安全管理のための組織体制を定める。その権限及び責任は、本規程その他別に定めるものとする。

第29条（個人情報管理責任者）

1. 会長は、個人情報管理責任者を任命し、個人情報保護コンプライアンス・プログラムの実施及び運用の業務を担当させるものとする。
2. 個人情報管理責任者は、この規程に定めるところに従い、個人情報安全管理措置に関する事項、役職員の監督に関する事項、危機管理に関する事項等についての業務を行うものとする。
3. 個人情報管理責任者は、前２項のため必要があるときは、会長の承認を得て、個人情報管理担当者を定め、その業務を分担させることができる。

第30条（個人情報監査責任者）

会長は、個人情報の安全管理に関する監査の責任者として、個人情報監査責任者を任命し、この法人における個人情報の取扱いが、個人情報保護コンプライアンス・プログラムに従い適切に行われているかにつき、監査を実施させるものとする。なお、個人情報監査責任者は監事が兼任する場合を含む。

第31条（監査の実施）

1. 個人情報監査責任者は、個人情報保護コンプライアンス・プログラムが法令等と合致していること及びコンプライアンス・プログラムが適切に実施されていることを、定期的に監査する。
2. 個人情報監査責任者は、監査を実施したときは、監査報告書を作成し、会長に報告するものとする。
3. 監査報告書は、永久保存とする。

第32条（報告義務）

役職員は、個人情報保護法、この規程、その他個人情報に関する規程に違反するおそれ又は違反する事実を知ったときは、その旨を個人情報管理責任者に報告しなければならない。

第33条（リスク管理対応）

1. 役職員は、万一個人情報の漏えい等の事故が発生した場合、個人情報保護法、この規程、その他個人情報に関する規程に違反する事実が生じた場合には、個人情報保護法、この規程、その他個人情報に関する規程に基づいて対応するものとする。
2. 前項の場合にあっては、個人情報管理責任者は、速やかに事実関係を調査し、漏えい等の対象となった本人に対する対応を行うとともに、被害拡大防止のための措置を講じなければならない。

第34条（苦情及び相談）

1. 本人からの個人情報の取扱いに関する苦情及び相談は、事務局にて対応するものとする。
2. 前項の窓口相談の運営責任者は、事務局長とする。

第35条（罰則）

会長は、故意又は過失によりこの規程に違反した役職員に対しては、行為者に対して、相応の処分を科すものとする。

第36条（規程の改廃）

この規程の改廃は、理事会の決議を経て行うものとする。

第37条（補則）

この規程に定めるもののほか、必要な事項は理事会が別に定める。