個人情報保護方針
株式会社エンジニアズ(以下、「当社」という)は、Webシステム・業務システムのSE技術支援・開発を通して、お客様のDX推進(ICTによる業務の変革と競争優位の獲得)と顧客課題の解決を使命とし、取り組んでおります。
その中で、個人情報保護の重要性を認識し、全従業員が遵守すべき行動基準として本個人情報保護方針を定め、その遵守の徹底を図って参ります。
1.当社は、個人情報を取得する場合には、事前に利用目的及び提供の有無を明確にし、本人の同意を得た上で、目的の範囲内において適切に利用し、目的外利用を行わないための措置を講じます。
2.当社は、個人情報を本人の同意を得た場合及び法令に基づく場合などを除いて、第三者に提供いたしません。また、個人情報の取扱いの外部委託は行いません。
3.当社は、個人情報の漏えい、滅失、またはき損等を予防するための合理的な安全対策および是正措置を講じます。
4.当社は、個人情報の取扱いに関して、本人からの苦情及び相談を受け付けて、適切な対応を行います。また、当社が保有する開示対象個人情報の開示等の求めを受け付けます。 開示等の求めの手続きについては、以下の「個人情報相談窓口」が行います。
個人情報の取扱いに関する相談・苦情及び開示等請求窓口
株式会社エンジニアズ 個人情報相談窓口
〒530-0041 大阪府大阪市北区天神橋2-5-3 第5新興ビル503号室
電話番号:06-6467-4465、090-8529-4098
(受付時間 9:30~12:00 13:00~17:30 土曜・日曜・祝日・当社指定休業日を除く)
個人情報保護ガイドライン
目次
第1章: 総則
第2章: 個人情報の定義と分類
第3章: 個人情報の取得と利用
第4章: 個人情報の管理
第5章: 仮名加工情報および匿名加工情報の取扱い
第6章: 個人情報の第三者提供
第7章:第三者提供を受ける際の確認
第8章: 保有個人データに関する事項の公表
第9章: 外部委託とクラウドサービスの利用
第10章: 個人情報の開示・訂正・削除の請求
第11章: 個人情報の保管期間と廃棄
第12章: 個人情報保護のための教育と訓練
第13章: 個人情報漏洩事故への対応
第14章: 事業の承継
第15章: 学術研究目的の個人情報利用
第16章: ガイドラインの改定
第1章: 総則
1.1. 目的
本ガイドラインは、当社が業務を通じて取得、管理、利用する個人情報に関する基本的な取り扱い方針を定め、個人情報の保護を図ることを目的とします。具体的には、個人情報の漏洩、不正利用、改ざん、紛失などのリスクを最小限に抑えるために、技術的、組織的、物理的な安全管理措置を講じます。
1.2. 適用範囲
本ガイドラインは、当社が業務上取り扱う全ての個人情報に適用されます。対象には、顧客、取引先、従業員、外部委託先の個人情報が含まれ、あらゆるデジタルおよび物理的手段による情報の取扱いに適用されます。
1.3. 法令等の遵守
当社は、個人情報保護法(PIPA)、その他の国際的・国内的な法令およびガイドラインを遵守し、個人情報の保護を徹底します。また、法令改正や社会的要請に応じて、本ガイドラインの見直しを行います。
第2章: 個人情報の定義と分類
2.1. 個人情報の定義
本ガイドラインにおける「個人情報」とは、個人を識別できる情報を指します。これには、名前、住所、電話番号、メールアドレス、IPアドレス、クッキー情報、その他の識別情報が含まれます。また、個人識別符号、特定個人情報(マイナンバー等)、職種、肩書等、個人の属性や事実、判断、評価も含みます。
2.2. 個人情報の分類
個人情報は、以下のカテゴリに分類されます。
• 基本個人情報: 名前、住所、電話番号、メールアドレス等
• センシティブ情報: 人種、宗教、健康情報、財務情報等
• 識別子: クッキー、IPアドレス、デバイス識別子等
2.3. 個人関連情報
個人関連情報の例です。
• クッキー情報(Webブラウザの行動履歴)
• デバイスIDやIPアドレス
• 購買履歴
• 位置情報
• 閲覧履歴
• ウェブサイト上での行動情報
第3章: 個人情報の取得と利用
3.1. 個人情報の取得
当社は、業務上必要な範囲内で、適法かつ公正な手段により個人情報を取得します。情報を取得する際は、その利用目的を明示し、本人に通知または公表した上で、適切な同意を取得します。
3.2. 取得方法
個人情報は、以下の方法により取得されます。
• 書類: 従業員からのデジタルデータ・イメージデータ・紙での提出
• 作成: Excel・Word・テキスト文書などによる文書データ・イメージデータの作成・編集・加工
• メールなど: メ―ル・ウェブ・SNS(チャット・Slack・Line・AI)などによるデータの収集・編集
• オンラインフォーム: ウェブサイトやアプリケーションを通じた入力フォーム
• 契約書: サービス契約時に取り交わす契約書類
• クッキー: ウェブサイト閲覧時のユーザー行動データの取得
• 第三者提供: 提供元の同意を得た上での第三者からの情報取得
3.3. 個人情報の利用目的
個人情報は、以下の目的で利用されます。
• マーケティングおよびプロモーション活動
• 顧客サポートの提供、商品やサービスの提供
• サービスの開発および改善
• 従業員管理
• 契約履行および関連する業務活動
• 法令遵守や規制への対応
3.4. 目的外利用の禁止
当社は、取得した個人情報を、事前に明示した利用目的以外の用途で利用することを禁止します。目的外で利用する場合は、個人の明確な同意を事前に得るものとします。
※補足3-1.入社時に受け取る従業員管理情報
●必要項目
・提供者・作成者情報・・・氏名。
・提供情報・書類・・・書類名(リストボックスなどで)
・入手日
・保存期間(3年間)
・アクセス権限・アクセス許可対象者
・利用の目的・・・従業員管理
●対象書類
・履歴書・職務経歴書
・各種資格書・卒業証書
・住民票
・秘密保持誓約書(作業者ご署名・捺印).doc
・身元保証書.doc
・緊急連絡先.doc
・労働者名簿_xxx.xlsx
・給与振込依頼書.docx
・旧所属会社の源泉徴収票
・令和6年分 扶養控除等(異動)申告書.pdf
・マイナンバー情報
※補足3-2.入社後作成する個人情報
●必要項目
・提供者・作成者情報・・・氏名。
・提供情報・書類・・・書類名(リストボックスなどで)
・入手日
・保存期間(3年間)
・アクセス権限・アクセス許可対象者
・利用の目的・・・従業員管理
●対象書類
・採用試験解答
・労働条件通知書
・育成計画書
・人事評価制度書類
・通勤定期代申請書(氏名・年月).xlsx
・営業交通費精算書(氏名・年月).xlsx
・通勤交通費精算書(氏名・年月).xlsx
・勤務表(氏名)年月.xlsx・勤務報告書など
・休暇届.docx
・賃金台帳
・賃金明細書
・診療記録
・教育・消耗品などの立替払領収書
・教育受講・学習関連書類
・顧客向け業務関連書類
・社内向け業務関連書類
・税務関連書類
・社会保険関連書類
・技術調査・設計・製造・テストデータ・使用手引書
・プロジェクト管理書類
・コンサルティング書類
・経営関連書類
・営業・会計・税務・労務・サービス関連書類
第4章: 個人情報の管理
4.1. 安全管理措置
当社は、個人情報の安全管理のために、技術的、物理的、組織的な措置を講じます。これには、以下の措置が含まれます。
• 技術的対策: データ暗号化、アクセス制御、ファイアウォールの設定、不正アクセス防止
• 組織的対策: 個人情報保護責任者・個人情報保護推進者の任命、従業員に対する教育・訓練の実施、内部監査の実施
• 物理的対策: セキュリティゾーンへのアクセス制限、書類の施錠保管
4.2. 個人情報の正確性の確保
当社は、個人情報を正確かつ最新の状態に保つよう努めます。誤りや不正確な情報がある場合、迅速に修正します。
4.3. アクセス制限
当社は、個人情報へのアクセスを、業務上必要な従業員に限定し、適切な権限管理を行います。アクセス権限は、業務の変更に応じて適時見直し、不要なアクセスを防止します。
4.4. 物理的管理
物理的な書類やハードウェアに保存された個人情報は、適切な保管場所に保存し、アクセスを制限します。紙媒体の個人情報は、使用後にシュレッダー等で適切に処分します。
4.5. 個人関連情報
個人関連情報を本人、第三者から受け取る場合、その情報が個人を特定できる場合、個人情報として取り扱います。
※補足4.1. 組織的対策: 個人情報保護責任者・個人情報保護推進者の任命
●個人情報保護責任者は、当社の個人情報保護に関する管理・責任を負い、社内データ管理・第三者への提供・記録・社内への連絡などを実施します。
代表取締役 石川鉄三を任命します。
●個人情報保護推進者は、当社の個人情報保護に関する普及・教育・管理・事故発生時の対応などの責任を負い、社内データの管理・第三者への提供・記録・社内への連絡・本人への通知などを実施します。
課長 大平寿幸を任命します。
第5章: 仮名加工情報および匿名加工情報の取扱い
5.1. 仮名加工情報
仮名加工情報とは、特定の個人を識別できないように加工された情報です。当社は、仮名加工情報を利用する際、元の情報に戻すことがないよう管理し、適正に利用します。
5.2. 匿名加工情報
匿名加工情報は、特定の個人を識別できず、また元の状態に戻せないよう加工された情報です。当社は、匿名加工情報を統計分析やマーケティング目的で利用し、第三者に提供する場合には、その内容を公表します。
第6章: 個人情報の第三者提供
6.1. 第三者提供の原則
当社は、法令に基づく場合を除き、事前に本人の同意を得ずに第三者に個人情報を提供しません。ただし、以下の場合は例外とします。
• 法令に基づく場合
• 人の生命、身体、財産の保護のために必要な場合で、本人の同意を得ることが困難な場合
• 公衆衛生の向上や児童の健全な育成の推進に必要で、本人の同意を得ることが困難な場合
• 国の機関や地方公共団体が法令の定める業務を遂行するために協力が必要な場合
6.2. オプトアウト方式
当社は、オプトアウト方式による個人情報の提供を行う場合、事前にその内容を公表し、本人が提供を拒否できる手段を確保します。
※オプトイン方式との違い
• オプトイン方式: 個人の情報を第三者に提供するためには、個人が明示的に同意をする必要があります。同意が得られなければ提供はできません。
• オプトアウト方式: 事前の同意は不要で、個人に拒否する機会を提供することで、同意なしに情報提供が可能です。
6.3. 第三者提供の記録
当社は、個人情報を第三者に提供する場合、その提供先および提供内容の記録を適切に管理し、法令で定める期間(11.1. 保管期間)保存します。
6.4. 海外移転
当社が個人情報を国外に移転する場合、移転先国の個人情報保護法制を確認し、適切な保護措置が講じられていることを確認します。また、必要に応じて、本人の同意を取得します。
6.5. 個人関連情報の第三者提供の制限
当社は、第三者が個人関連情報を個人データとして取得することが想定されるときは、本人の同意なしで当該個人関連情報を当該第三者に提供しない。
※補足6-1. 第三者への提供書類
●必要項目
・作成者情報・・・氏名。
・提供先・・・社名・氏名など
・提供情報・書類・・・書類名(リストボックスなどで)
・保存期間(10年間)
・提供日
・利用の目的・・・下記
• マーケティングおよびプロモーション活動
• 顧客サポートの提供、商品やサービスの提供
• サービスの開発および改善
• 契約履行および関連する業務活動
• 法令遵守や規制への対応
●対象書類
・技術経歴書
・紹介文
・マーケティング書類
・各種技術・サービス情報書類
・誓約書(機密保持契約書など)
・契約書(注文書)
第7章:第三者提供を受ける際の確認
当社は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行なう。
• 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
• 当該第三者による当該個人データの取得の経緯
• 当該第三者から個人データの提供を受けた年月日
当社は、前項の記録を当該記録の作成した日からその利用目的に必要な範囲内で保存する。
※補足7-1 第三者提供を受ける際
●必要項目
• 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
• 当該第三者による当該個人データの取得の経緯
• 当該第三者から個人データの提供を受けた年月日
●対象書類
・パートナー会社の技術者情報など
第8章: 保有個人データに関する事項の公表
当社は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置く。
• 当社の名称及び住所並びに代表者の氏名
• 全ての保有個人データの利用目的
• 開示、訂正、追加、削除、第三者への提供の停止などの請求に応じる手続
※補足8-1 保有個人データに関する事項の公表
●当社の名称及び住所並びに代表者の氏名
・株式会社エンジニアズ
・〒530-0041 大阪府大阪市北区天神橋2-5-3 第5新興ビル503
・代表取締役 石川鉄三
●全ての保有個人データの利用目的
• マーケティングおよびプロモーション活動
• 顧客サポートの提供、商品やサービスの提供
• サービスの開発および改善
• 従業員管理
• 契約履行および関連する業務活動
• 法令遵守や規制への対応
●開示、訂正、追加、削除、第三者への提供の停止などの請求に応じる手続
顧客・関連会社・従業員からの請求
メール・電話・書面などによる受付
個人情報保護責任者・個人情報保護推進者による確認・承認
開示、訂正、追加、削除、第三者への提供の停止
顧客・関連会社・従業員に通知
第9章: 外部委託とクラウドサービスの利用
9.1. 外部委託の管理
当社は、個人情報の取り扱いを外部委託する場合、委託先に対して個人情報保護に関する同等の管理を義務付けます。また、定期的に委託先の個人情報保護体制を確認し、必要に応じて指導を行います。
9.2. クラウドサービスの利用
クラウドサービスを利用する場合、サービスプロバイダーが適切なセキュリティ対策を実施していることを確認し、契約において情報漏洩や不正利用防止のための対策を定めます。
※補足 9-1 外部委託の管理
●現在のところ、外部委託はありません。
※補足 9-2. クラウドサービスの利用
・個人情報保護責任者・個人情報保護推進者による個人PC内でのGoogle Driveによる保有
・(準備中) NTT西日本「クラウドストレージ」による管理・従業員公開
第10章: 個人情報の開示・訂正・削除の請求
10.1. 個人情報の開示請求
本人は、当社が保有する個人情報の開示を請求することができます。請求があった場合、当社は適切な本人確認手続きを行った上で、合理的な期間内(1週間以内)に対応します。
10.2. 訂正・利用停止・削除の請求
本人は、当社が保有する個人情報に誤りがある場合、その訂正、利用停止、削除を請求することができます。請求があった場合、当社は適切な調査を行い、誤りが確認された場合には迅速(2週間以内)に対応します。
10.3. 理由の説明
当社は、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合には、本人に対し、その理由を説明します。
10.4. 請求の訴え
本人は、開示、訂正、追加、削除、第三者への提供の停止などの請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から二週間を経過した後でなければ、その訴えを提起することができない。ただし、当該訴えの被告となるべき者がその請求を拒んだときは、この限りでない。
10.5. 苦情の処理
当社は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努める。
10.6. 手数料
開示請求に関しては、実費に基づき手数料を請求する場合があります。
※補足 10-1本人からの開示などの請求
●必要項目
・請求の種類。開示・訂正・利用停止・削除
・依頼者情報・・・氏名。
・提供情報・書類・・・書類名(リストボックスなどで)
・保存期間(3年間、または5年間、または7年間、または10年間)
・実施日・提供日
・請求の措置を取らない場合の理由
・手数料の額(発生した場合)
●対象書類
※補足3-1.入社時に受け取る従業員管理情報
※補足3-2.入社後作成する個人情報
※補足6-1. 第三者への提供書類
※補足7-1 第三者提供を受ける際
・履歴書・職務経歴書など
第11章: 個人情報の保管期間と廃棄
11.1. 保管期間
当社は、個人情報を利用目的に応じて必要な期間保管し、目的が達成された後は速やかに廃棄または削除します。法令等に定められた保管期間がある場合は、それに従います。
• 商法(商業帳簿) : 事業活動における商業帳簿や取引記録の保管。10年。
• 会社法(株主名簿) : 株主名簿の保存。株主名簿には氏名や住所などの個人情報が含まれます。会社法では、株主名簿の保存義務が規定されています。永続的に保存。
• 税法(所得税法・法人税法) : 税務関連の記録や書類には、従業員や取引先の個人情報が含まれることがあります。会計書類や給与台帳の保存。7年間。
• 労働基準法(労働者名簿や賃金台帳)労働者名簿や賃金台帳などの記録。従業員の氏名、住所、賃金情報。3年間
• 医療法(診療録): 診療記録には患者の個人情報や医療に関するデータが含まれます。5年間
• マイナンバー法 : マイナンバーを含む特定個人情報の保存は、利用目的を達成した後、速やかに削除
11.2. 廃棄手続き
個人情報を廃棄する際には、復元が不可能な方法で適切に処理します。電子データは安全に削除され、紙媒体はシュレッダーで破砕します。
補足 11-1 廃棄記録
●必要項目
・実施者情報・・・氏名。
・廃棄書類・・・書類名(リストボックスなどで)
・保存期間(3年間、または5年間、または7年間、または10年間)
・実施日
・実施方法(クラウドストレージからのファイル削除・紙書類のシュレッダー廃棄など)
●対象書類
※補足3-1.入社時に受け取る従業員管理情報
※補足3-2.入社後作成する個人情報
※補足6-1. 第三者への提供書類
※補足7-1 第三者提供を受ける際
・履歴書・職務経歴書など
・・・
第12章: 個人情報保護のための教育と訓練
12.1. 従業員教育
当社は、従業員に対して定期的に個人情報保護に関する教育を行います。これにより、全従業員がガイドラインに基づいた個人情報の適切な取り扱いを理解し、実践できるようにします。
12.2. 教育プログラムの内容
教育プログラムには、以下の内容が含まれます。
• 個人情報保護法の遵守事項
• 個人情報の取扱いに関する具体的な手順
• セキュリティ対策の実施方法
• 個人情報漏洩事故の対応策
12.3. 教育の方法
関連文書の配布・説明、勉強会、動画、YouTube、Udemyなどによる教育を実施します。
※補足 12-1 教育の実施記録
●必要項目
・教育の種類。説明・勉強会・動画・Udemyなど。
・教育対象者情報・・・氏名。
・教育講師・・・氏名
・使用した文書・データ
・実施日
第13章: 個人情報漏洩事故への対応
13.1. 事故対応の基本方針
当社は、個人情報漏洩等の事故が発生した場合、速やかに対応策を講じ、被害を最小限に抑えることを目指します。
13.2. 事故発生時の対応手順
事故が発生した際には、以下の手順に従って対応します。
- 事故の確認と報告: 事故発生時には、直ちに管理者に報告し、状況を確認します。
- 影響範囲の調査: 影響を受けた個人情報の範囲を特定し、被害を評価します。
- 原因究明と再発防止策: 事故の原因を究明し、再発防止策を策定します。
- 関係者への通知: 被害を受けた本人および関係当局(個人情報保護委員会など)に速やかに通知します。
※補足13-1個人情報保護漏洩事故記録
●必要項目
・発生日
・連絡者
・受付者
・事故の概要
・事故の詳細(時系列など)
・影響範囲
・原因
・再発防止策
・通知先・・・個人情報保護委員会など
第14章: 事業の承継
14.1. 会社の事業承継
当社は、合併、分割、譲渡等による事業の承継に伴い、個人情報を新たな事業主体に引き継ぐ場合、本人に通知し、法令に基づく適切な手続きを行います。
14.2. 代表者・管理者の承継
当社は、代表取締役など個人情報保護責任者・個人情報保護推進者が交代する場合、適切に引継ぎを行い、本人に通知します。
第15章: 学術研究目的の個人情報利用
当社は、学術研究を目的として個人情報を利用する際には、利用目的を限定し、必要な保護措置を講じます。
第16章: ガイドラインの改定
16.1. 改定の方針
本ガイドラインは、法令の変更や業務の実態に応じて、必要に応じて改定されます。改定が行われた場合、全従業員に対して改定内容を周知徹底します。
16.2. 改定履歴の管理
改定されたガイドラインの履歴を記録し、過去のバージョンを適切に管理します。
以上