プライバシーポリシー

群馬県学校生活協同組合 個人情報保護方針

I.基本的考え方

群馬県学校生活協同組合（以下「学校生協」という）は、個人番号及び特定個人情報（以下、「特定個人情報等」という）及び個人情報の保護が国民の基本的人権の不可欠な一部であり、これを保護するコンプライアンス経営は学校生協に課せられた法的及び社会的責務と考えます。
組合員、取引先、委託先及び職員（以下「組合員等」という。）の個人情報及び特定個人情報等を、組合員等からお預りしたかけがえのない財産と考え、以下の考え方に基づき適切に管理及び利用いたします。

II.取得、利用、管理及び本人関与の考え方

１．利用目的の特定、目的外利用の制限及び適正な取得等

事業活動及び人事管理上必要な範囲に限定して、個人情報及び特定個人情報等を適正な方法により取得、利用及び提供いたします。

２．正確性及び安全性の確保

組合員等の個人情報及び特定個人情報等を、正確且つ最新の状況で保管・管理するために、必要かつ適切な安全管理措置を講じます。

３．第三者提供の制限並びに委託先の選定及び監督等

組合員等の個人情報を本人の同意を得ないで、法で許容される場合を除いて第三者に提供いたしません。なお、特定個人情報等は本人同意があった場合でも法で許容される場合を除いて第三者に提供いたしません。
また、業務委託により第三者に預託する場合は、個人情報及び特定個人情報等を適切に扱っていると認められる委託先を選定し、当該委託先を適切に監督し、教育いたします。

４．本人の関与

組合員等の個人情報及び特定個人情報等について、本人より開示、訂正、追加または削除、利用、提供の中止を求められた場合には、遅滞なく必要な調査を行い、その結果に基づき適切な措置を講じます。請求の窓口及び具体的な請求方法については文書で定め公表します。

５．職員及び委託先への教育及び啓発

学全職員及び委託先にこの方針を周知徹底させ且つ特定個人情報等及び個人情報保護に関する適切な教育及び啓発を行い、保護体制の意識昂揚に努めます。

６．法令等の遵守及び不断の改善

学校生協は、この方針を達成するため、「行政手続きにおける特定の個人を識別するための番号の利用に関する法律（マイナンバー法）」及び「特定個人情報の適正な取り扱いに関するガイドライン」並びに「個人情報の保護に関する法律」及び指示その他の規範を遵守し、この方針に基づく規則、基準及びマニュアル等の見直し及び改善を継続的に行います。

７．お問い合わせ対応窓口

組合員等からの個人情報及び特定個人情報等の取扱に関するお問い合わせ等を受け付けた場合、適切且つ迅速に対応するために、以下の対応窓口を設置いたします。

群馬県学校生活協同組合 群馬県前橋市大友町１−１３−１２
特定個人情報等及び個人情報保護対応担当
TEL　０１２０−３９−５３１８ FAX　０１２０−０３−５３１８

以上

理事長　高木　恵一

群馬県学校生活協同組合 個人情報管理規程

第１条（目的）

この規程は、群馬県学校生活協同組合（以下「学校生協」という。）の事業遂行に関連して、取り扱う個人情報を適切に管理するために、個人情報保護に関わる基本事項を定めたものである。
２．個人情報の取扱いに関し、この規程に定めのない事項については、「個人情報の保護に関する法律」及び「個人情報の保護に関する法律施行令」その他の関係法令の定めるところによる。

第２条（定義）

この規程において「個人情報」とは、学校生協の事業遂行に関連して収集された生存する個人に関する情報で、次に各号のいずれかに該当するものをいう。
1.当該情報に含まれる氏名、生年月日、その他の記述等（文書・図画若しくは電磁的記録）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項により特定の個人を識別できるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む）
2.個人識別符号が含まれるものをいう。
3.人種、信条、社会的身分、病歴、前科、犯罪被害情報など政令で定める記述等が含まれる要配慮個人情報

第３条（適用範囲）

この規程は、学校生協の役員及び職員に対して適用する。また、個人情報を取り扱う業務を外部に委託する場合及び労働者派遣に基づく派遣労働者を受け入れる場合等もこの規程の目的とするところに従って、個人情報の適切な保護を図るものとする。

第４条（収集の原則）

個人情報の収集は、次の原則に従って行うものとする。
（１）学校生協の運営上必要な範囲において、予め利用目的を特定すること。
（２）収集は適法且つ公正な手段によって行い、収集に際して本人に利用目的を明示すること。
（３）第三者からの個人情報を収集するに際しては、その手段が適法且つ公正な手段であることを確認し、当該個人の保護に値する正当な利益を侵害することのないように留意し、台帳に記録する。
（４）要配慮個人情報は事前に本人の同意を得て収集すること。

第５条（利用・提供）

個人情報を取得したときは、予め利用目的を公表している場合を除き、速やかにその利用目的を本人に通知し、または公表しなければならない。
２．個人情報の利用・提供は、次の原則に従って行うものとする。
（１）個人情報の利用は、予め明示した目的の範囲に限ること。
（２）利用目的を変更する場合は、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲で行うと共に、その変更目的と内容を本人に通知し、または公表すること。
（３）法令に基づく場合を除き、本人の同意を得ないで個人情報を第三者に提供してはならない。
（４）グループによる共同利用の場合は、共同利用者の範囲、利用する情報の種類、利用目的、情報管理の責任者の名称などについて、予め本人に通知し、または本人が容易に知り得る状況におくものとする。
（５）特定の個人を識別できる記述等の全部または一部を削除した匿名加工情報は学校生協の事業発展のために利活用できるものとする。
（６）他の情報と照合しない限り特定の個人を識別できないように個人情報を加工した仮名加工情報は学校生協の事業の発展のために利活用できるものとする。但し、法令に基づく場合を除き第三者提供はしてはならない。
（７）違法・不当な行為を助長・誘発する恐れがある方法による個人情報の利用はしてはならない。

第６条（個人情報の正確性の確保）

個人情報は、利用目的に応じ必要な範囲において、正確且つ最新の状態で管理するものとする。

第７条（個人情報の利用の安全性の確保）

個人情報に関するリスク（個人情報への不当なアクセス、個人情報の紛失、破壊、改ざん及び漏洩等）に対して、この規程に定める事項のほか、法令及び個人情報保護に関する安全管理措置（別表）に従い、合理的な安全対策を講ずるものとする。
２．不要になった個人情報及び所定の保存期間が終了した個人情報は、個人情報保護に関する安全管理措置（別表）に従って、遅滞なく破棄または消去するものとする。

第８条（個人情報の秘密保持に関する従業者の責務）

個人情報の収集、利用、提供または委託処理等、個人情報を取り扱う業務に従事する者は、この規程に定める事項のほか、法令及び個人情報保護に関する安全管理措置（別表）若しくは個人情報保護管理者の指示した事項に従い、個人情報の秘密保持に十分な注意を払ってその業務を行うものとする。

第９条（個人情報の委託処理に関する措置）

個人情報を取り扱う業務を外部に委託するときは、委託業務目的以外の使用及び複製の禁止、秘密保持、作業状況の確認等について委託契約書に定める等、委託を受けた者に対する必要且つ適切な監督を行うものとする。

第１０条（事項の公表）

学校生協は、保有する個人データに関する次の事項について、本人の求めに応じて延滞なく回答するものとする。
（１）保有個人データの利用目的
（２）第１１条、第１２条、第１３条に定める事項の手続き
（３）保有個人データの取り扱いについての苦情の申出先

第１１条（開示）

本人から自己の情報について開示の請求があったときは、本人であることを確認したうえで、本人に対して書面又は本人が同意した他の方法により、遅滞なく当該保有個人データを開示するものとする。但し、開示に係る様式は学校生協で定める。
２．前項に関わらず、次の場合には開示請求に応じない。
（１）法令に定めるとおり、本人に知らせることが不適当と認められたとき
（２）本人からの照会に合理的理由の明示がなく、それらに応えていけば業務に著しく支障が生じるおそれがあるとき
（３）記録の存在が明らかになることにより公益その他の利益が害されるとして政令で定める第三者提供の記録
３．前項に基づき開示請求に応じない場合には、原則として本人にその理由の説明を行うものとする。

第１２条（訂正、追加または削除）

個人情報の記載内容に誤りがあって、本人から訂正、追加または削除の請求を受けたときは、訂正、追加または削除すべき事項を確認のうえ、遅滞なくその請求に応ずるものとする。

第１３条（保有個人データの利用停止等）

学校生協が保有している個人情報については、本人から自己の情報についての利用または第三者への提供を正当な理由で拒まれたときは、これに応ずるものとする。ただし、法令に基づき本人の同意を得ずに第三者に個人情報を提供したことを理由とするときはこの限りでない。
２．学校生協で保有する個人データに違法な取得・利用、不適切な方法による個人情報の利用、漏洩等の事故が生じた場合及びその他本人の権利利益が害される恐れがある場合は利用停止・消去や第三者提供の停止の請求に応じるものとする。

第１４条（漏洩等の事故対応）

学校生協の有する個人情報の漏洩、滅失または毀損の事態が生じた場合は、個人情報保護に関する安全管理措置（別表）に基づき、遅滞なく対応をするとともに、再発防止策を講じるものとする。

第１５条（個人情報保護管理責任者）

学校生協は、この規程の厳正な運用を行うために、理事長を個人情報保護管理責任者とする。

第１６条（個人情報管理責任者の責任）

個人情報保護管理責任者は、この規程に定めるところに基づき、個人情報保護に関する内部規程の整備、安全対策の実施、教育訓練等を実施するための計画を策定し、周知徹底の措置を実践する責任を負うものとする。
２．個人情報保護管理責任者は、各部門での着実な運用のために、各部門ごとに個人情報保護管理者を任命する。

第１７条（報告義務）

学校生協の役職員は、法令及びこの規程を遵守するとともに、事故および法令違反となる行為を発見したときは、速やかに個人情報保護管理者へ報告しなければならない。

第１８条（懲戒）

法令及びこの規程に故意または重大な過失により違反した職員は、就業規則の定めるところにより懲戒に処するものとする。

第１９条（教育）

学校生協は、個人情報保護の重要性を理解させ、確実な実施を図るため、所要の教育計画及び教育資料に従い、継続的且つ定期的に教育・訓練を行なう。

第２０条（規程の改廃）

この規程の改廃は、理事会において行なう。

第２１条（施行）

この規程は、2005年4月1日より施行する。
この規程は、2017年10月4日一部改正
この規程は、2022年4月１日一部改正

個人情報の安全管理措置（別表）

学校生協では、組合員等の個人情報を保護するため、４つの安全管理措置に取り組む他、情報漏洩等が発生した場合の対応を定めます。なお、個人情報保護するため、役職員が遵守すべき主な規程・規約等を以下の通り整備しています。

整備している規程・規約等

• ・個人番号及び特定個人情報並びに個人情報保護方針
• ・保険代理店としての個人情報保護方針
• ・個人情報管理規程
• ・個人番号及び特定個人情報取扱規程
• ・個人情報取り扱い規則
• ・個人情報保護の教育に関する規則
• ・情報機器管理規程
• ・電子メール管理規程
• ・個人情報に関する外部委託管理規則

I．安全管理措置

１．組織的安全管理措置

個人情報保護に係る体制（個人情報管理規程　第１５条・第１６条）は以下の通りです。

２・人的安全管理措置

• 個人情報保護の教育に関する規則に基づき、定期的な教育研修及び指導の実施
• 職員との秘密保持に関する誓約書の取り交わし

３．物理的安全管理措置

（１）入退室管理の実施、電子機器及び電子媒体等の盗難防止

• ・退勤時のセコムの施錠
• ・退勤時の各デスク・キャビネットの施錠
• ・入退室記録簿の運用
• ・部外者、来訪者の立入制限

（２）電子媒体等を持ち運ぶ際の漏洩防止

• ＊個人データの暗号化、パスワードによる保護
• ＊事務所管理の電子媒体以外の使用禁止
• ＊施錠できる搬送容器の使用
• ＊書類の封緘等
• ＊外部持ち出し事前承認簿を使用したデータ管理

（３）個人データの削除及び機器・電子媒体・帳票の廃棄

• ＊シュレッダーによる裁断またはこれ相当する裁断方法
• ＊焼却・溶解
• ＊完全なデータ抹消（破壊）
• ＊個人情報保護の取扱いを契約する産業廃棄物処理会社への委託（証明書の取得）
• ＊廃棄書類記録簿の運用

4.技術的安全管理措置

（１）アクセス制御と管理

• ＊ID・パスワード管理
  ・役職員が使用するPC及びメールには個別ID・パスワードを設定
  ・一定期間でパスワードを変更
  ・ID・パスワードの露出・漏洩防止策
• ＊基幹システムのログ管理（入力・変更・削除等を記録）
• ＊マイページの適正管理（プロジェクトメンバーのみ）

（２）外部からの不正アクセス等の防止

• ＊ウイルス対策ソフトウエアの導入
• ＊ファイヤーウォール等の設置及びクラウドエッジによるセキュリティ対策の実施
• ＊定期的なログ解析による不正アクセス等の防止策

（３）情報システムの使用に伴う漏洩等の防止

• ＊スクリーンセーバーの実施
• ＊導入ソフトウエアの適正なバージョンアップ管理
• ＊個人データを含む通信の経路または内容の暗号化
• ＊移送する個人データへのパスワード等による保護
• ＊正規品以外のソフトウエアのダウンロードの禁止
• ＊私的な利用目的のソフトウエアのダウンロードの禁止

１．組織的安全管理措置

個人情報保護に係る体制（個人情報管理規程　第１５条・第１６条）は以下の通りです。

• ・退勤時のセコムの施錠
• ・退勤時の各デスク・キャビネットの施錠
• ・入退室記録簿の運用
• ・部外者、来訪者の立入制限

II．情報漏洩等に係る対応

IPA独立行政法人　情報処理推進機構が定める「情報漏洩発生時の対応ポイント集」を参考に、遅滞なく対応を進め信頼回復に努めます。

個人情報の利用目的

お預かりする組合員の個人情報は以下の目的のために利用させていただきます。

1. 1.学校生協組合員募集のご案内や出資金の管理・組合員台帳の管理・組合員証の発行業務
2. 2.デジタル組合員証及びマイページ等のＷＥＢサービスの提供
3. 3.商品・サービス情報のご案内・注文品の受付・商品のお届けまたはサービス提供やご利用明細のお届け
4. 4.商品・サービス提供の斡旋、アフターサービスのご提供、商品のお問い合せ、商品事故のご連絡
5. 5.ご利用いただいた商品・サービス等代金のご請求及び回収やご利用のお知らせのお届け
6. 6.組合員参加企画、セミナー等の組合員の生活改善及び文化の向上に関する活動の推進
7. 7.アンケート等による学校生協へのご意見ご要望の集約
8. 8.総代会など学校生協の機関運営を円滑に進めるため

＊＊学校生協における商品・サービスの範囲は以下の通りです＊＊

共同購入、宅配企画及び指定店、提携店などで取り扱う商品。保険・共済や住宅関連、提携店等学校生協が斡旋する様々なサービス事業。