POLICY

PRIVACY POLICY
個人情報保護方針
個人情報の取り扱いについて

株式会社バルケッタ(以下、「当社」という。)は、ワンブラシ one BRUSH(以下、「本プロジェクト」という。)の活動の一つである、one BRUSH SHOPでの売り上げの一部を活動費および支援金、物資支援活動費として受け入れ、政治、思想、宗教、国境を越えて、人道的支援を基本理念に活動を行っています。これからも当社は、社会のニーズに対して迅速かつ柔軟に対応するとともに、先駆的な事業の開発と支援を通じて、「豊かな笑顔があふれる世界を目指し、健康を支える」の実現を目指し、社会に貢献していきます。そうした活動を行っていく上で、個人情報を正しく扱うことは当社にとり重要な責務であると考えています。
この度、個人情報の保護を強化する目的で、個人情報保護に関する法令及びその他の規範を遵守し、自主的なルールと体制をもって個人情報を適正に取り扱うために、以下のとおり個人情報保護方針を定めました。この方針が実効あるものとするために、個人情報保護を常に意識し、行動していきます。

  1. 個人情報に関する個人の尊重
    個人情報は、利用目的を明確にし、本人の同意を得た上で収集し、利用目的の達成に必要な範囲内で利用します。また、個人情報を第三者に提供する場合は、利用目的の達成に必要な範囲であり、かつ、本人の同意を得た後に提供します。なお、個人情報の開示、訂正等の要請があった場合に対応するため、必要な窓口を設置するとともに、適正な期間で対応します。
  2. 個人情報保護体制
    当方針を実施するに当たり、個人情報を取り扱う部門ごとに個人情報管理責任者を配置し、役割と責任を明確にした体制を整備します。
  3. 個人情報の安全管理
    全ての個人情報は不正アクセス、盗難、持ち出し等による、紛失、破壊、改ざん及び漏えい等が起こらないように適正に管理し、必要な予防・是正措置を講じます。また、個人情報を外部に委託する場合は、守秘義務契約を締結するとともに、適正な管理が行われるよう管理・監督いたします。
  4. 個人情報に関する法令及びその他の規範の遵守
    個人情報保護に関する法令、国が定める指針、その他の規範を遵守します。
  5. コンプライアンス・プログラム(法令遵守のための取組み)の維持及び継続的改善
    当社が保有する個人情報を保護するための方針、体制、計画、実施及び監査については、当社の事業内容の変化及び事業を取り巻く法令、社会環境、IT環境の変化等に応じて、継続的に見直し、改善します。

2019年3月1日 株式会社バルケッタ 代表 藤田純一

個人情報保護方針

第1章 総則

(基本理念)
第1条 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることに鑑み、プライバシー保護に配慮し適正な取扱いが図られなければならない。
2 前項に基づき、株式会社バルケッタ(以下、「当社」という。)は、個人情報保護に関する基本理念及び当社の役員及び職員、嘱託職員等(以下「役職員等」という。)が遵守すべき基本事項を定めた個人情報保護方針を実行するとともに維持しなければならない。

(目的)
第2条 この規程は、前条の基本理念に基づき、当社における個人情報の取扱いに関する必要な事項を定め、当社の業務の適性かつ円滑な運営を図りつつ、個人の権利利益を保護することを目的とする。

(対象となる個人情報)
第3条 管理対象とする個人情報は、当社において取扱っている次に掲げるもので、紙媒体、電磁媒体等、その記録媒体等の形態は問わない。
(1)個人及び法人等
(2)当社の職員等
2 個人が自己のために収集する個人情報等は、当社が管理の対象とするものではないが、当社の個人情報保護に対する基本理念に基づき、職員として、十分理解の上、取扱わなければならない。

(適用範囲)
第4条 この規程は、当社の役員及び職員が扱う個人情報について、役職員等に適用する。

(定義)
第5条 この規程において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
(1)個人情報  個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(2)保有個人情報  役職員等が職務上作成し、又は取得した個人情報であって、当社の役職員等が組織的に利用するものとして、当社が保有しているものをいう。ただし、法人文書(法人文書処理規則(平成14年達第245号。)第3条に規定する文書をいう。)に記録されているものに限る。
(3)個人情報ファイル 保有個人情報を含む情報の集合物であって、次に掲げるものをいう。
イ  一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
ロ  前号に掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの
(4)本人  個人情報によって識別される特定の個人をいう。

第2章 個人情報保護の管理体制

(総括保護管理者)
第6条 当社においては、代表を個人情報管理責任者とする。
2 個人情報管理責任者は、必要に応じて、当社で取り扱う個人情報について、この規程に定める諸事項を実施・徹底するため、細則を策定する権限を有する。
3 個人情報管理責任者は、この規程等の適正な実施及び運用を図り、個人情報が外部に漏えいしたり、不正に使用されたり、あるいは改ざんされたりすること等がないように管理する責を負う。

第3章 個人情報の取扱い

(個人情報の保有の制限等)
第7条  当社は、個人情報を保有するに当たっては、当社が行う事務又は事業を遂行するため必要な場合に限り、かつ、その利用の目的をできる限り特定しなければならない。
2 当社は、前項の規定により特定された利用の目的(以下「利用目的」という。)の達成に必要な範囲を超えて、個人情報を保有してはならない。
3 当社は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(適正な取得)
第8条  当社は、適法かつ適正な方法で個人情報を取得しなければならない。

(本人取得の原則)
第9条 当社は、個人情報を取得するときは、次の各号のいずれかに該当する場合を除き、本人から取得しなければならない。
(1)法令、条例又は規程(以下「法令等」という。)の規定に基づくとき。
(2)本人の同意があるとき。
(3)人の生命、身体又は財産の保護のために緊急に必要があるとき。

(利用目的の明示)
第10条 当社は、本人から直接書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録(以下「電磁的記録」という。)を含む。)に記録された当該本人の個人情報を取得するときは、次の各号のいずれかに該当する場合を除き、あらかじめ、本人に対し、その利用目的を明示しなければならない。
(1)人の生命、身体又は財産の保護のために緊急に必要があるとき。
(2)利用目的を本人に明示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるとき。
(3)利用目的を本人に明示することにより、当社又は国、独立行政法人等若しくは地方公共団体が行う事務又は事業の適正な遂行に支障を及ぼすおそれがあるとき。
(4)取得の状況からみて利用目的が明らかであると認められるとき。

(正確性の確保)
第11条 当社は、利用目的の達成に必要な範囲内で、保有個人情報が過去又は現在の事実と合致するよう努めなければならない。

(安全確保の措置)
第12条 当社は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない。
2 前項の規定は、当社から個人情報を取り扱う業務の委託を受けた者が受託した業務を行う場合について準用する。

(従事者の義務)
第13条 個人情報の取扱いに従事する当社の役職員若しくは役職員であった者又は前条第2項に規定する受託業務に従事している者若しくは従事していた者は、その業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。

(利用及び提供の制限)
第14条 当社は、法令等に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。
2 前項の規定にかかわらず、当社は、次の各号のいずれかに該当すると認めるときは、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。ただし、保有個人情報を利用目的以外の目的のために自ら利用し、又は提供することによって、本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは、この限りでない。
(1)本人の同意があるとき又は本人に提供するとき。
(2)当社が行う事務又は事業の遂行に必要な限度で保有個人情報を内部で利用する場合であって、当該保有個人情報を利用することについて相当な理由のあるとき。
(3)行政機関、独立行政法人等又は地方公共団体に保有個人情報を提供する場合において、保有個人情報の提供を受ける者が、法令等の定める事務又は事業の遂行に必要な限度で提供に係る個人情報を利用し、かつ、当該個人情報を利用することについて相当な理由のあるとき。
(4)前3号に掲げる場合のほか、専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき、本人以外の者に提供することが明らかに本人の利益になるときその他保有個人情報を提供することについて特別の理由のあるとき。
3 前項の規定は、保有個人情報の利用又は提供を制限する法令等の規定の適用を妨げるものではない。
4 当社は、個人の権利利益を保護するため特に必要があると認めるときは、保有個人情報の利用目的以外の目的のための当社の内部における利用を特定の役員又は職員に限るものとする。

(保有個人情報の提供を受ける者に対する措置要求)
第15条 当社は、前条第2項第3号又は第4号の規定に基づき、保有個人情報を提供する場合には、保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求めるものとする。

第4章 保有個人情報の管理

(役職員等の責務)
第16条 職員は、法令等の趣旨に則り、関連する法令等の定め並びに保護管理者の指示に従い、保有個人情報を取り扱わなければならない。

(アクセス制限)
第17条 保護管理者は、保有個人情報の秘匿性等その内容に応じて、当該保有個人情報にアクセスする権限を有する者をその利用目的を達成するために必要最小限の役職員等に限る。
2 アクセス権限を有しない役職員等は、保有個人情報にアクセスしてはならない。
3 役職員等は、アクセス権限を有する場合であっても、業務上の目的以外の目的で保有個人情報にアクセスしてはならない。

(複製等の制限)
第18条 役職員等は、業務上の目的で保有個人情報を取り扱う場合であっても、次に掲げる行為については、保護管理者の指示に従い行う。
(1)保有個人情報の複製
(2)保有個人情報の送信
(3)保有個人情報が記録されている媒体の外部への送付又は持出し
(4)その他保有個人情報の適切な管理に支障を及ぼすおそれのある行為

(媒体の管理等)
第19条 役職員等は、保護管理者の指示に従い、保有個人情報が記録されている媒体を定められた場所に保管するとともに、必要があると認めるときは、耐火金庫への保管、施錠等を行う。

(保有個人情報の管理方法)
第20条 保護管理者は、当社で扱う全ての保有個人情報を「個人情報資産台帳」により統括管理する。この台帳には、個人情報の名称、内容、収集目的、入手方法、担当部署、管理責任者名、保管方法、アクセス権限範囲等を定め、部門で所管する個人情報を明確にしなければならない。

第5章 情報システムにおける安全の確保等

(アクセス制御)
第21条 システム管理者は、保有個人情報(情報システムで取り扱うものに限る。)の秘匿性等その内容に応じて、パスワード等(パスワード、ICカード、生体情報等をいう。以下同じ。)を使用して権限を識別する機能(以下「認証機能」という。)を設定する等のアクセス制御のために必要な措置を講ずる。
2 システム管理者は、前項の措置を講ずる場合には、パスワード等の管理に関する定めの整備(その定期又は随時の見直しを含む。)、パスワード等の読取防止等を行うために必要な措置を講ずる。

(外部からの不正アクセスの防止)
第22条 システム管理者は、保有個人情報を取り扱う情報システムへの外部からの不正アクセスを防止するため、ファイアウォールの設定による経路制御等の必要な措置を講ずる。

(コンピュータウイルスによる漏えい等の防止)
第23条 システム管理者は、コンピュータウイルスによる保有個人情報の漏えい、滅失又は毀損の防止のため、コンピュータウイルスの感染防止等に必要な措置を講ずる。

(入力情報の照合等)
第24条 役職員等は、情報システムで取り扱う保有個人情報の重要度に応じて、入力原票と入力内容との照合、処理前後の当該保有個人情報の内容の確認、既存の保有個人情報との照合等を行う。

(バックアップ)
第25条 システム管理者は、保有個人情報の重要度に応じて、バックアップを作成し、分散保管するために必要な措置を講ずる。

(第三者の閲覧防止)
第26条 役職員等は、端末の使用に当たっては、保有個人情報が第三者に閲覧されることがないよう、使用状況に応じて情報システムからログオフを行うことを徹底する等の必要な措置を講ずる。

第6章 保有個人情報の提供及び業務の委託等

(保有個人情報の提供)
第27条 保護管理者は、行政機関及び独立行政法人等以外の者に保有個人情報を提供する場合には、原則として、提供先における利用目的、利用する業務の根拠法令、利用する記録範囲及び記録項目、利用形態等について書面で確認するものとする。
2 保護管理者は、前項の場合において、必要があると認めるときは、提供前又は随時に実地の調査等を行い措置状況を確認し、その結果を記録するとともに、改善要求等の措置を講ずる。
3 保護管理者は、行政機関又は独立行政法人等に保有個人情報を提供する場合において、必要があると認めるときは、前2項に規定する措置を講ずる。

(業務の委託等)
第28条 保有個人情報の取扱いに係る業務を外部に委託する場合には、個人情報の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置を講ずる。また、契約書に、次に掲げる事項を明記するとともに、委託先における責任者等の管理体制、個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認する。
(1)個人情報に関する秘密保持等の義務
(2)再委託の制限又は条件に関する事項
(3)個人情報の複製等の制限に関する事項
(4)個人情報の漏えい等の事案の発生時における対応に関する事項
(5)委託終了時における個人情報の消去及び媒体の返却に関する事項
(6)違反した場合における契約解除の措置その他必要な事項
2 保有個人情報の取扱いに係る業務を派遣労働者によって行わせる場合には、労働者派遣契約書に秘密保持義務等個人情報の取扱いに関する事項を明記する。

第7章 安全確保上の問題への対応

(事案の報告及び再発防止措置)
第29条 保有個人情報の漏えい等安全確保の上で問題となる事案が発生した場合に、その事実を知った役職員等は、速やかに当該保有個人情報を管理する保護管理者に報告する。
2 保護管理者は、被害の拡大防止又は復旧等のために必要な措置を講ずる。
3 保護管理者は、事案の発生した経緯、被害状況等を調査、原因を分析し、再発防止のために必要な措置を講ずる。

(公表等)
第30条 事案の内容、影響等に応じて、事実関係及び再発防止策の公表、当該事案に係る本人への対応等の措置を講ずる。

第8章 苦情及び相談等

(苦情及び相談)
第31条 当社は、当社における個人情報の取扱いに関する苦情及び相談に対して適切かつ迅速な処理に努めるものとする。
2 苦情・相談の受付及び対応は、代表が別に定めるところの個人情報保護窓口を設置して行い、個人情報保護窓口責任者が、「苦情・相談記録」に記録し、必要な場合は事実関係について関係するグループ等の保護管理者と連携し、迅速に調査のうえ対応する。
3 保護管理者は、必要な場合には苦情・相談案件を審議し、対応策を検討し実施しなければならない。

(開示請求等をしようとする者に対する情報の提供等)
第32条 当社は、開示請求等をしようとする者がそれぞれ容易かつ的確に開示請求等をすることができるよう、当社が保有する保有個人情報の特定に資する情報の提供その他開示請求等をしようとする者の利便を考慮した適切な措置を講ずるものとする。
2 前項の対応及び受付等は、個人情報保護窓口で行う。
3 開示、訂正及び利用停止等について必要な事項は代表が別に定める。

第9章 補則

(他の法令との関係)
第33条 法令の規定により、個人情報の管理に関する事項について特別の定めが設けられている場合においては、当該事項については、当該法令の定めるところによるものとする。

附 則

この規程は、平成31年4月1日から施行する。