資料1添付 参考2
| 2000年3月9日 経団連 産業本部 |
○就業規則あるいは服務規律として、業務上知り得た情報を他にもらさないように規定。
○就業規則に「従業員は会社の機密を他に漏らしてはならない」旨を明記している。この「会社の機密」には契約者等の個人情報も含まれる。
○従業員の個人情報の処理については、外部に委託せず、共済年金等の社外保険会社が扱うものについては本人が記入するなど徹底している。個人情報の取扱いについては企業と従業員との間の誓約書で規定している。
○個人情報管理規程及び個人情報保護ポリシー:「個人情報管理規程」を設けるとともに、自社の公開ホームページにおいて「個人情報保護ポリシー」を掲載している。
○電子計算機処理に関わる個人情報保護のための実践遵守規程及びマニュアル:事業者団体として定められたガイドラインをもとにして、自社として適正な個人情報保護を促進することを目的としたもの。具体的には、@個人情報の秘密保持に関する従業者の責務、A個人情報に関する管理責任者の選任および責務、B個人情報の委託処理に関する措置、C個人情報に関わる問合せ先等の掲示等を規定。
○個人情報管理規程:収集・利用・提供等の各場面における基本原則を定めるとともに、個人情報を収集しようとする部門は必ず、当該部門の業務内容等に応じた運用細則を定めなければならないこととしている。また、個人情報の取扱いを管理するための部門を設け、運用細則を定めようとする部門は、その部門に事前に相談することとしている。
○個人情報管理規程:グループ内各社に適用される個人情報管理規程を策定・運用している。
○情報管理規程:損保業界の「損害保険業における個人データ保護について」に基づき、自社の情報管理体制の基本規程として「情報管理規程」を1995年に制定。本規程は全社員が端末で参照することが可能となっている。
○情報管理規程:「経営情報管理規則」、「個人情報管理規則」、「業務委託細則」、「オンライン情報管理細則」等で構成する情報管理規程を策定・運用している。
○情報管理規程:情報管理規程に基づき、情報を保有する部門の管理者を責任者として、適切に管理している。違反した従業員に対しては、就業規則による懲罰規定を適用。電子化された個人情報については、ID・パスワードによるアクセス管理を行なう。媒体に格納された個人情報については、施錠管理するように規定。社外からのアクセスは、ファイアーウォールにて防止。
○文書管理基準:電子媒体を含む情報の運用方法を規制している。
○ビジネス・コンダクト・ガイドライン:全社員に配布している倫理基準を定めたガイドライン。従業員のプライバシー保護について、@企業として社員個人の雇用に関する情報を集積・保管していること、Aこれらの情報にアクセスできるのはマネジメントが承認した人に限られていること、B基本的にその社員の同意なしに社外に開示しないことを明記している。
○レコード保管管理手続:会社が保有する全ての記録情報の保管管理に関する基本事項を定める。情報の内容により、管理の区分や方法を規定。
○コンピューター・セキュリティ&ユース・ガイドライン:会社の保有情報、コンピュータ資産の保護のため、基本的なコンピュータ・セキュリティ基準を定めたもの。コンピューター資産への適切なアクセスや記録情報のセキュリティ確保の基準を規定。
○コーポレート・インストラクション・インターネット・プライバシー〜オンラインで蓄積された情報:外部ネットワークからオンラインで収集される個人情報を管理する方法を規定。これに基づいた関連諸規定を定め、オンライン・プライバシー保護の仕組みを確立。
○トレードシークレット保護に関する社内ガイドラインおよびその遵守のための社内体制の構築:個人情報もトレードシークレットの一部として位置づけ、保護を図っている。
○個人情報保護に関する社内ガイドライン(個人情報保護基本法の制定や所属工業界の動向を踏まえて制定予定):昨今の個人情報保護の気運の高まりの中では現行の取組みでは不十分と思われる面もあるので、これを補完するため、通産省の個人情報保護ガイドラインをベースに個人情報保護に関する社内ガイドラインの制定を現在検討中。
○個人情報が登録されたデータベースにアクセスするためのパスワードを定期的に変更(1ヶ月)。
○データベースを利用するたびに、利用状況が電子メールで管理者に通知される。
○新入社員研修、新任管理職研修等において、定期的に情報管理についての講義を行なっている。
○全国の本部(または部)に、情報管理の推進役となる情報管理キーパーソンを設置している。
(1)業界ガイドライン
○生命保険:1999年4月の金融情報センター(FISC)における「金融業界等における個人データ保護のための取扱い指針」の改訂にあわせ、生保業界においても6月に「生命保険業における個人情報保護のための取扱指針」を改訂した。
○損害保険:「損害保険業における個人データ保護について」を策定。
○クレジット:「個人情報保護に関するガイドライン」制定済み(今後の改定が課題)「自主ルール」制定検討中(日本クレジット産業協会・日本クレジットカード協会)。
(2)企業ガイドライン
○従来から担当役員を委員長とする「データ保護委員会」が組織化されており、1999年度には、法令遵守の強化の一環とし、コンプライアンス統括部を新設すると共に、各部,各支社に法令遵守責任者、推進者を任命している。また、顧客からの苦情窓口として顧客業務部にお客様相談室を設置しているほか、各支社の責任者を顧客業務部兼務とし対応強化を図っている。さらに東京、大阪、名古屋にコールセンターを開設し、顧客からの電話応対の一元化による電話受付サービスの向上を図っている。
○ウェブ上におけるプライバシー取扱基準について:インターネット・ホームページのすべての画面からアクセス可能なプライバシー・ポリシー・ステートメント。米国プライバシー・シール・プログラムであるTRUSTeのメンバーであることを表示するとともに、個人情報の取扱いについて、顧客に情報を提供している。
○個人情報保護ポリシー:自社のホームページにおいて「個人情報保護ポリシー」を掲載。
○Web上で収集する個人情報の取扱いについて:@利用目的の明示、A利用目的以外には原則として使用しない、B第三者には、原則として開示しない、C適切な管理を行なう、Dお客様自身に対しては、開示・修正・削除に応じる、E小さなお客様(16歳未満)については、保護者の同意のもとに個人情報を提供していただく、などを規定。
○ガイドラインをWEBで公開(99年9月から)。
○個人情報保護に関するセキュリティ・ポリシーの策定と公表。
○個人情報保護方針を策定し、近日中にホームページで社外公開すべく準備中。
○JISQ15001準拠のプライバシーマーク制度の認証:グループ3社で取得し、規格に定められた通り実行している。管理体制は以下の通り。
○自社のホームページに、プライバシーマークを掲示しており、マークの下に個人情報保護方針のボタンを用意し、そのボタンをクリックする事により、自社の個人情報に対する基本方針を見ることを可能としている。
○JISQ15001の精神に準拠した「個人情報保護方針」を策定し、近日中に、社外向けホームページで公開すべく、準備を進めている。
○プライバシーマーク・個人情報保護方針の掲示。
○個人情報を委託する可能性が有る企業に関して、通常の基本契約のほかに個人情報管理に関する覚書を締結している。通常の基本契約で守秘義務に関する条項はあるものの、具体的ではないため、覚書にて具体的な活動(例えば、監査する権限や情報主体からの問合せ対応)を取り決めている。
○第三者に委託もしくは顧客から受託する場合は、業務委託(受託)契約等において、秘密保持義務規定をおいて、適切に管理している。
○グループ企業においては、第三者への業務委託の過程で個人情報の取扱いが含まれることがある場合には、相手方との間で守秘や目的外利用の禁止を含めた個人情報の管理についての約定を交わすこととしている。
○アウトソーシング先との間で文書にて機密保持契約を行なっている。
○個人情報を漏洩した場合には、別途就業規則で決められる罰則を適用している。
○顧客からの苦情窓口として顧客業務部にお客様相談室を設置しているほか、各支社の責任者を顧客業務部兼務とし対応強化を図っている。さらに東京、大阪、名古屋にコールセンターを開設し、顧客からの電話応対の一元化による電話受付サービスの向上を図っている。
○PIC(パーソナル・インフォーメーションセンター)が個人情報保護規程を作成。適時、実務者の意見を聞き上記規定の見直しを行なう。
(1)民間セキュリティ製品、サービスの提供 ユーザーの情報システムのセキュリティ確保を支援するため、セキュリティ関連の各種ハードウェア、ソフトウェア、ソリューションを提供。また、プライバシー保護のためのコンサルテーション・サービスなども提供。
(2)民間主導の活動への参画
同社はプライバシー・シール・プログラムであるTRUSTeの創設企業のひとつであり、また、P3Pといったプライバシー管理技術の標準化やGBDe等の政策提言活動にも主導的立場で参画している。
以 上