第1章 総則
(目的)
第1条
本規程は、医療用医薬品卸売業公正取引協議会(以下、「当会」という。)における個人情報の適法かつ適正な取扱いの確保に関する基本的事項を定めることにより、個人の権利・利 益を保護することを目的とする。
(定義)
第2条
本規程において、各用語の定義は次の通りとする。
(1)個人情報とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
①当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の近くによっては認識できない方式をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて評された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
②個人識別符号が含まれるもの
(2)個人識別符号とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、法(法が委任する令及び規則を含む。)において定めるものをいう。
①特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
②個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方法により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
(3)要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法(法が委任する令及び規則を含む。)で定める記述等が含まれる個人情報をいう。
(4)個人情報データベースとは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物、又はコンピュータを用いていない場合であっても、ファイルやカルテ、お客様台帳など個人情報を一定の規則(例えば、五十音順、生年月日順、作成日順等)に従って整理・分類し、他人によっても容易に検索可能な状態においているものをいう。
(5)個人データとは、当会が管理する「個人情報データベース等」を構成する個人情報をいう。
(6)保有個人データとは、当会が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の全てを行うことができる権限を有する「個人データ」をいう。ただし、以下に該当するものは除く。
①当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの。
②当該個人データの存否が明らかになることにより、違法又は不法な行為を助長し、又は誘発するおそれのあるもの。
③当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれ又は他国もしくは国際機関との交渉上不利益を被るおそれのあるもの。
④当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの。
(7)「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報(法に規定する仮名加工情報をいう。)及び匿名加工情報(法に規定する匿名加工情報をいう。)のいずれにも該当しないものをいう。
(8)「個人関連情報データベース等」とは、①「個人関連情報」を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したもの、または、②これに含まれる「個人関連情報」を一定の規則に従って整理することにより特定の個人関連情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。
(9)本人とは、個人情報によって識別される特定の個人をいう。
(10)部門長とは、個人情報を取扱う部門の長をいう。
(11)従業者とは、当会にあって、直接間接に当会の指揮監督を受けて、当会の業務に従事している者をいい、雇用関係にある従業員(職員、嘱託職員等)のみならず、役員等(理事、監事、委員等)も含まれる。
(12)利用目的とは、一連の個人情報の取扱いにより達成しようとする目的をいう。
(13)個人情報の取扱いとは、個人情報の取得、整理、分類、照合、処理、複製、委託、第三者提供、共同利用その他一切の利用、保有及び個人情報の廃棄、消去、破壊をいう。
(14)本人の同意とは、本人の個人情報が、当会によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう。
具体的には本人による署名・捺印、同意する旨のメールの受信、同意する旨の確認欄へのチェック、同意する旨のボタンのクリック、音声入力やタッチパネルによる承諾を得ること等が挙げられる。
(15)本人が容易に知り得る状態とは、本人が知ろうとすれば、時間的にも、その手段においても、容易に知ることができる状態に置くことをいう。具体的には、雑誌、ホームページへの掲載をすること、事務所等に掲示あるいは備え付けすること等による公表が継続的に行われていること、当該事項を知るための方法をあらかじめ通知しておくこと等が挙げられる。
(16) 本人が知り得る状態とは、問合せ窓口を設けるなど、本人の求めに応じて遅滞なく回答を行うこと等、本人が知ろうとすれば、知ることができる状態に置くことをいう。
(適用)
第3条
本規程は、従業者に適用する。
2 本規程は、当会が現に保有している個人情報(その取扱いを委託されている個人情報を含む。)、及びその取扱いを委託している個人情報を対象とする。
(個人情報保護方針)
第4条
当会における個人情報の適法かつ適正な取扱いを確保するため、次の事項を含む個人情報保護方針を定める。
(1)個人情報に関する法令を遵守するとともに、当会の事業内容に照らし適切に個人情報を取扱う旨の宣言文
(2)個人情報の保護に関する法律」により「公表」すること、「容易に知り得る状態」にすること、または「本人の知り得る状態」に置くことを義務付けられている下記各号に関する事項
①第11条により特定した利用目的
②第三者提供に関する次の事項
⚫第三者提供を利用目的とすること
⚫第三者へ提供される個人データの項目
⚫第三者への提供の手段または方法
⚫本人の求めに応じて、当該本人が識別される個人データを第三者に提供することを停止すること
③共同利用に関する次の事項
⚫特定の者との間で共同利用する旨
⚫共同して利用される個人データの項目
⚫共同して利用する者の範囲
⚫共同利用される個人データの管理について責任を有する者の氏名または名称
⚫利用する者の利用目的
④問合せ窓口に関する事項
⚫当会が対象事業者となる認定個人情報保護団体がある場合は、その名称及び申し出先を含む
⑤第22条乃至第24条に定める、本人による個人情報の開示、訂正等、利用停止等の求めに応じる手続きに関する事項
⚫請求の受付窓口
⚫請求書の様式
⚫請求者が本人または代理人であることの確認の方法
⚫保有個人データを特定するため必要な事項
⚫手数料
(3)個人情報の安全管理措置及び個人情報管理技術に関する事項
(4)個人情報保護の社内体制に関する事項
(5)評価・見直しに関する事項
第2章 管理体制
(事務取扱責任者等)
第5条
本部事務局を当会における個人データの取扱いに関する責任部署とする。
(1)当会に事務取扱責任者1人を置く。
(2)事務取扱責任者には、事務局長をもってこれに充てるものとする。
(3)部門責任者には、個人データを取り扱う各部における事務局長がその任に当たる。
2 個人情報保護方針は、従業者に周知せしめるとともに、ホームページに掲載する等の措置を講じるものとする。
(1)本規程及の承認及び周知
(2)個人データの安全管理に関する教育・研修の企画・実施
(3)個人データの利用申請の承認及び記録等の管理
(4)管理区域及び取扱区域の設定
(5)個人データの取扱区分及び権限についての設定及び変更の管理
(6)個人データの取扱状況の把握
(7)その他当社における個人データの安全管理に関すること
3 個人情報保護方針は、会外に対して、プライバシーポリシーと称することができる。
(部門長の責任)
第6条
部門長は自らの部門に所属する従業者の個人情報の一切の取扱いにつき、責任を有するものとする。
2 本規程に基づき個人情報の取扱いを管理する上で必要とされる細則の策定
3 部門長は本規程及び個人情報取扱い細則に従い、自らの部門に存在する個人情報の所在、内容、利用者、規模等を把握し、個人情報の適正な取扱いを維持・管理しなければならない。
4 部門長は、自らの部門において個人情報の漏洩等の事故または違反の発生またはその疑いが生じた場合は、直ちにその旨事務取扱責任者に報告し、指示を求めなければならない。
(個人情報の取扱いの決定)
第7条
第4章に定める個人情報の基本的取扱いに関しては、各部門長がその適否を判断し、例外的取扱いに関しては、事務取扱責任者にその適否の判断を求めるものとする。
(監査)
第8条
事務局長は、当会の個人データの適正な取扱いその他法令及び本規則の遵守状況について定期的に公平かつ客観的な立場で調査・確認・評価(以下、「個人情報の取扱いに関する監査」という。)し、その改善を事務取扱責任者及び各部の部門責任者に促す。
第3章 計画
(計画)
第9条
事務取扱責任者は、個人情報の適正な取扱いを維持・推進するため、定期に教育・訓練計画
を策定する。
第4章 運用
第1節 個人情報の取扱いの原則
(管理原則)
第10条
個人情報は、本規定に従い適切に分類・管理し、その重要度に応じて適切に取得、移送、利用、保管、廃棄されなければならない。
(利用目的)
第11条
当会は、個人情報の利用目的をできる限り特定する。
2 個人情報は、あらかじめ本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて取扱ってはならない。利用目的の範囲内か否かが不明な場合は、都度、事務取扱責任者に判断を求めなければならない。
3 利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると認められる範囲を超えて行ってはならず、変更された利用目的は遅滞なく本人に通知または公表しなければならない。
4 当会は、違法又は不法な行為を助長し、又は誘発するおそれのある方法により個人情報を利用してはならない。
第2節 個人情報の取得
(適正な取得)
第12条
個人情報は、偽りその他不正の手段により取得してはならない。
(特定の個人情報の取得の禁止)
第13条
原則として、下記各号に示す内容を含む個人情報は、これを取得し、または第三者に提供してはならない。但し、業務上必要であり、かつ、本人に対し当該情報の利用目的及びその必要性等について適切な情報を明示した上で明確に本人の同意を得た場合、または法令に特別の規定がある場合、あるいは司法手続上必要不可欠な場合はこの限りでない。
(1)思想、信条及び信教に関する事項
(2)人種、民族、家柄、本籍地、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
(3)勤労者の団結権の行使、団体交渉及びその他団体行動に関する事項
(4)集団示威行為(デモ等)への参加、国または地方公共団体に対する請願権の行使及びその他の政治的権利の行使に関する事項
(5)保健医療に関する事項
(6)その他個人情報保護管理者の定める事項
(本人から直接個人情報を取得する際の措置)
第14条
申込書・アンケート・契約書等、書面(電子メール、自社ホームページへの記入等電磁的方法も含む)により本人から直接個人情報を取得する場合は、本人に対してあらかじめ利用目的を明示しなければならない。但し、下記各号に該当する場合はこの限りでない。
(1)人の生命、身体または財産その他の権利利益を保護するため必要な場合
(2)当会の権利または正当な利益を害するおそれがある場合
(3)国または地方公共団体の法令に定める事務の遂行に支障を及ぼすおそれがある場合
(4)取得の状況に照らし、利用目的が明らかであると認められる場合
(間接的に個人情報を取得する際の措置)
第15条
本人以外の第三者から個人情報を取得する場合は、当該個人情報が当該第三者において適法、適正に取得されたものでなければならず、かつ、当該第三者において、当会への個人情報の提供につき、適法な措置が講じられていなければならない。
2 当会においては個人データに該当しないが、提供先で個人データになることが想定される情報については、提供時には本人から同意を得られていることを確認するものとする。
(個人関連情報取扱事業者から個人関連情報を個人データとして取得することが想定される場合)
第16条
当会は、個人関連情報取扱事業者から提供を受ける個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定される場合は、第28条第1項各号に掲げる場合を除き、当該個人データに関して識別される本人から、当該個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の同意を取得するものとする。
2 当会は、偽りその他不正の手段により、個人関連情報を個人データとして取得してはならない。
第3節 個人情報の管理
(個人データの正確性の確保)
第17条
個人データは、利用目的の達成に必要な範囲内において、正確かつ最新の内容に保つよう努めなければならない。
(個人データ取扱台帳)
第18条
事務取扱責任者は、当会の全ての「個人データ」の種類・内容・保管場所等を記載(データベースへの入力を含む)した台帳を作成しなければならない。
2 事務取扱責任者は、前項の台帳を定期に見直し、最新の状態を維持するよう努めなければならない。
3 部門長は、自らの部門における「個人データ」の種類・内容・保管場所等を、個人情報保護管理者の求めに応じ、定期に報告しなければならない。また、部門長は自らの部門における「保有個人データ」の種類・内容・保管場所等を変更する場合には、事前に個人情報保護管理者に報告し、承認を得なければならない。
(安全管理措置)
第19条
当会においては、取扱う個人情報の漏洩、滅失または毀損の防止その他の安全管理のために、人的、物理的、技術的に適切な措置を講じるものとする。
2 各部門においては、下記各号に従って適切に個人情報を取り扱わなければならない。
(1)各部門において保管する個人情報を含む文書(磁気媒体を含む)は、施錠できる場所への保管、パスワード管理等により、散逸、紛失、漏洩の防止に努めなければならない。
(2)情報機器は適切に管理し、正式な利用権限のない者には使用させてはならない。
(3)個人情報を含む文書であって、保管の必要のないものは、速やかに廃棄しなければならない。
(4)個人情報を含む文書の廃棄は、シュレッダー裁断、焼却、溶解等により、完全に抹消しなければならない。
(5)個人情報を含む文書を他部門に伝達するときは、適切な方法・手順によることとし、必要な範囲を超えて控えを残さないよう扱うものとする。
(6)個人情報を含む文書は、みだりに複写してはならない。
(7)その他個人情報の取扱いについて必要な事項は細則に定めるものとする。
3 当会は、個人情報の漏洩等が発生し、個人の権利利益を害するおそれが大きい場合には、個人情報保護委員会へ報告及び本人へ通知するものとする。
(従業者の監督)
第20条
事務取扱責任者は、従業者が個人データを取扱うにあたり、必要かつ適切な監督を行わなければならない。
2 部門長は、自らの部門に属する従業者に対し、個人データの取扱いに関して必要かつ適切な監督を行わなければならない。
3 事務取扱責任者は、従業者に対して個人情報の保護及び適正な取扱いに関する誓約書の提出を命じることができる。
(教育)
第21条
事務取扱責任者は、本規程に定められた事項を理解し、遵守するとともに、従業者に本規程を遵守させるための教育訓練を企画・運営する責任を負う。
2 従業者は、事務取扱責任者が主催する本規程を遵守させるための教育を受けなければならない。研修の内容及びスケジュールは、事業年度毎に事務取扱責任者が定める。
3 当会は、個人データについての情報管理に関する事項を就業規則に盛り込むものとする。
(第三者提供の制限)
第22条
あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。但し、下記各号に該当する場合、本人の同意なく第三者提供ができる。
2 第三者提供もしくは共同利用する場合、事務取扱責任者の承認を得ること。
(1)個人情報保護方針に定めた範囲内で第三者提供、共同利用するとき
(2)人の生命、身体または財産の保護のために必要があり、かつ、本人の同意を得ることが困難であるとき
(3)その他法令に基づく場合
3 雇用管理に関する個人データを第三者に提供する場合には、本条第1項第2号乃至第3号に該当する場合を除き、下記各号に従わなければならない。
(1)提供先において、その従業者に対し、当社が提供した個人データの取扱いを通じて知りえた個人情報を漏洩してはならず、かつ、盗用してはならないこととされていること。
(2)当会が提供した個人データを提供先が他の第三者に提供する場合には、書面による当社の事前同意を要件とすること。但し、当該再提供が本条第1項各号に該当する場合を除く。
(3)当会が提供した個人データの提供先における保有期間を明確化すること。
(4)当会から提供を受ける目的達成後の個人データの返却または提供先における破棄または削除が適切かつ確実に行われること。
(5)提供先における当会が提供した個人データの複写及び複製(安全管理上必要なバックアップを除く)を禁止すること。
第4節 開示・変更・利用停止等の請求の対応
(開示)
第23条
当会は、当該本人が識別される「保有個人データ」の開示(保有の有無を含む)請求には、本人のプライバシー保護のため、本人(代理人を含み、以下本条及び次条において本人という)から開示等請求窓口に対し、原則として本人確認書類を添付した開示請求書により請求があった場合にのみ応じるものとする。
(1)開示請求窓口は、本部事務局とする。
(2)開示請求書の様式は、事務取扱責任者が定めるものとする。
(3)本人確認書類は、個人情報保護管理者が定めるものとする。但し、開示請求者が本人であることが明らかな場合には、本人確認書類の提出を求めないことができる。
2 前項により本人による開示請求であることを確認した場合は、本人に対して書面または本人が同意した他の方法により、遅滞なく当該「保有個人データ」を開示するものとする。また、開示する書面の様式は、個人情報保護管理者が定めるものとする。
3 前項にかかわらず、開示することにより次の各号のいずれかに該当する場合は、個人情報保護管理者の決定により、その全部または一部を開示しないことができる。
(1)本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)当社の業務の適正な実施に著しい支障を及ぼすおそれのある場合
(3)法令に違反することとなる場合
4 前項の定めに基づき「保有個人データ」の全部または一部を開示しない旨の決定をしたときは、遅滞なく、本人に対しその旨通知するものとする。この場合、その理由を説明するよう努めなければならない。
5 他の法令により、本人に対し当該本人が識別される「保有個人データ」を開示することとされている場合には、第3項は適用しない。
6 本人に対し「保有個人データ」を開示する場合には、手数料を請求できるものとする。この手数料は、実費を勘案して、合理的な範囲で個人情報保護管理者が定めるものとする。
(訂正等)
第24条
本人から、当該本人が識別される「保有個人データ」の内容が事実でないという理由によって、当該「保有個人データ」の訂正、追加または削除(以下「訂正等」という)を求められた場合には、遅滞なく必要な調査を行い、その結果に基づき当該「保有個人データ」の内容の訂正等を行うものとする。但し、以下の場合には訂正等の求めに応じないことができる。
(1)利用目的の達成に必要な範囲を超えている場合。
(2)他の法令の規定により、特別の手続が定められている場合。
2 当該本人が識別される「保有個人データ」の訂正等の請求に対しては、本人のプライバシー保護のため、本人から訂正等請求窓口に対し、原則として本人確認書類を添付した訂正等請求書により請求があった場合にのみ応じるものとする。
(1)訂正等請求窓口は、本部事務局とする。
(2)訂正等請求書の様式は、個人情報保護管理者が定めるものとする。
(3)本人確認書類は、個人情報保護管理者が定めるものとする。但し、訂正等請求者が本人であることが明らかな場合には、本人確認書類の提出を求めないことができる。
3 前2項により、「保有個人データ」の訂正等を行ったとき、または訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なくその旨(訂正等を行ったときはその内容を含む)を通知するものとする。
4 第1項ただし書により訂正等の求めに応じない場合は、その理由を説明するよう努めなければならない。
(利用停止等)
第25条
本人から、当該本人が識別される「保有個人データ」が、第11条第2項(同意のない利用目的外の利用)及び第12条(適正な取得)に違反している場合及び個人の権利または正当な利益が害されるおそれがある場合という理由によって、当該「保有個人データ」の利用の停止または消去が求められた場合、及び、第21条(第三者提供の制限)に違反しているという理由によって、当該「保有個人データ」の第三者提供の停止が求められた場合で、その求めに理由があることが判明した場合には、遅滞なく、当該求めに応じて当該措置(以下「利用停止等」という)を講じなければならない。但し、以下の場合には当該措置を講じないことができる。
(1)違反を是正するために必要な範囲を超えている場合。
(2)指摘された違反がなされていない場合。
2 前条第2項乃至第4項は本条に準用する。但し、同各項における「訂正等」を「利用停止等」に改める。
第5節 苦情処理
(苦情の処理)
第26条
個人情報の取扱いに関する苦情の窓口業務は、本部事務局が担当するものとする。
2 個人情報保護管理者は、前項の目的を達成するために必要な体制の整備を行う。
3 本部事務局長は、適宜、個人情報保護管理者に苦情の内容を報告するものとする。
第6節 監査
(監査の実施)
第27条
監査責任者は、当社における個人情報の取扱いが法令、本規程その他の規範と合致していることを定期に監査する。
2 監査責任者は、監査を指揮し、個人情報の取扱いに関する監査報告書を作成し、会長及び個人情報保護管理者に報告するものとする。
(体制の見直し)
第28条
個人情報保護管理者は、前条の監査結果に照らし、必要に応じて個人情報の取扱いに関する安全対策、諸施策を見直し、改善しなければならない。
第5章 その他
(所管官庁への報告)
第29条
個人情報保護管理者は、個人データの漏洩の事実または漏洩のおそれを把握した場合には、直ちに所管官庁に報告しなければならない。
(罰則)
第30条
当会は、本規定に違反した従業員に対して就業規則に基づき処分を行う。
(改廃)
第31条
本規程の改廃は、理事会において行うものとする。
附 則
第1条
本規程は、令和6年11月14日より実施する。
以 上