第1章 総則
第1条(目的)
本細則は、株式会社thestory(以下、「当社」と言う。)が取り扱う個人データについて、個人情報保護方針及び個人情報保護規程に基づく適切な保護を図るため、個人データの具体的な安全管理措置方法を定めるものである。
第2条(定義)
本細則において定義されない用語の定義は、個人情報保護規程に定めるところによる。
第2章 組織的安全管理措置
第3条(個人データ取扱記録の整備)
- 個人情報保護管理担当者は、当社で有する個人データについて、次に掲げる事項を記録し、(以下「個人データ取扱記録」と言う。)、これを管理する。
- 個人情報の項目
- 利用目的
- 保管場所及び保管方法
- 個人データへのアクセス権限を有する者の範囲
- その他個人データの適正な取扱いに必要な情報
- 個人情報保護管理担当者は、個人データ取扱記録を定期的に確認し、常に最新の状態に保つものとする。
第4条(個人データ安全管理措置の点検等)
- 個人情報保護管理担当者は、定期又は随時に、個人データの管理状況を個人情報保護管理責任者に報告するものとする
- 個人情報保護管理責任者は、本細則及びその他の社内規則に従った個人データの管理を推進するため、定期又は随時に個人データの管理状況を点検し、個人情報保護管理担当者に対し、状況に応じて、適宜、必要な指示を与えるものとする。
- 個人情報保護管理責任者は、前項の内容を取締役に報告すると共に、前項の点検の結果、本細則又はその他の社内規則の見直しが必要であると判断した場合、その見直し策を検討して取締役に報告するものとする。
第3章 人的安全管理措置
第5条(誓約等)
従業者を採用する場合は、当該従業者をして、個人データの保護に関する事項について誓約させ、当該従業者に対し、当該誓約の内容を周知徹底するものとする。
第6条(教育・訓練の実施)
個人情報保護管理責任者は、従業者に対し、個人情報の保護に関する意識の向上を図り、個人データの適切な取扱いに関する理解を深めるよう努めるものとする。
第4章 物理的安全管理措置
第7条(情報システムの設置及び管理)
個人情報保護管理担当者は、セキュリティ対策が施された情報システム等を設置し、これを管理するものとする。
第8条(盗難防止措置等)
- 個人情報保護管理担当者は、個人データの盗難を防止するため、情報システム等につき、個人データの分離保管、個人データ記録媒体の施錠保管、ID、パスワードの設定その他の必要な措置を講じるものとする。
- 個人情報保護管理担当者は、個人データの部門外への持ち出しを原則として 禁止し、必要がある場合は、予め個人情報保護管理担当者の承諾を得て持ち出すよう従業者に指示するものとする。
- 個人情報保護管理担当者は、個人データの破損又は毀損を防止するため、必要に応じてバックアップの作成又は分散管理その他の必要な措置を講じるものとする。
- 業務上保有する必要がなくなった個人データは、媒体の焼却、裁断、物理的破壊、復元不可能な方法による消去等適切な方法により完全に抹消した上で廃棄するものとする。
第5章 技術的安全管理措置
第9条(個人データへのアクセスの制限)
- 個人情報保護管理担当者は、個人データへのアクセスを制限するため、個人データへのアクセスに必要なID及びパスワードを設定し、必要最小限の従業者に対してのみ当該ID及びパスワードを通知するものとする。
- 個人情報保護管理担当者は、個人データへのアクセス制限が常に維持されるよう、前項のパスワードの定期的な更新を行う等の措置を講じるものとする。
第10条(情報システムの管理)
- 個人情報保護管理担当者は、情報システムについて、必要に応じて他の部門又は従業者との間にファイアウォールを設定する等の措置を講じるものとする。
- 個人情報保護管理担当者は、情報システムのセキュリティ状況が常に維持されるよう定期的に監視を行い、必要に応じて、ウイルス対策ソフトウエアの導入、セキュリティパッチの適用その他の対策を実施するものとする。
- 情報システム等に障害が生じた場合、個人情報保護管理担当者は、その内容及び実施した措置等について記録し、一定期間これを保存する。
第6章 改廃
第11条(改廃)
本細則の改廃は、個人情報保護管理責任者が立案し、取締役の過半数の賛成により決定する。
附則
本細則は、2022年4月8日より施行する。