広島大学消費生活協同組合は、組合が取得し利用する個人情報の適正な取扱いの確保について組織として取り組むために、その保護・取り扱いに関する方針を、以下のとおり定めます。

事業者の名称等

名称 : 広島大学消費生活協同組合
住所 :広島県東広島市鏡山 1-7-1

関係法令・ガイドライン等の遵守

当生協は、個人情報の取扱に関し、「個人情報の保護に関する法律」(個人情報保護法)及び 関連する政省令、ガイドライン等を遵守します。

個人情報の利用目的

生協の加入及び事業の利用等で提供いただいた個人情報は、以下の目的のために利用させていただきます。

  • 出資金や組合員名簿の管理
  • 定款に定められた事業の案内、受注、請求、代金決済、事故対応、アフターサービス及びこれに付随する業務
  • アンケート・キャンペーン・イベント等のご案内の送付
  • 生協の基本会議や総代・役員選出に関わる事項、組合員企画等のため
  • 保護者の方の個人情報については上記のほか、ご本人に連絡が取れず重要なお知らせができない場合の連絡のため
  • 大学の福利厚生事業や学生生活支援業務の遂行に必要な範囲で、広島大学に個人情報を提供するため(要配慮個人情報を除きます)
  • 以下のとおり個人データを共同利用するため
    • 共同して利用する者の範囲
      日本コープ共済生活協同組合連合会ならびに団体契約の引受保険会社および保険代理店
    • 利用目的
      • 共済および保険契約の締結・維持管理・共済金の支払および各種案内・サービスのため
      • 上記の業務、及び関連・付随する業務を適切かつ円滑に履行するため
    • 共同して利用する項目
      • 氏名、生協コード、組合員番号、生協加入日、生協脱退日その他の基本情報
      • 生年月日、性別、住所、電話番号その他の属性情報
      • 組合員登録口座、商品代金最終振替日、請求金額その他の取引関連情報
      • その他共同利用者の利用目的のために必要な情報
    • 共同利用する個人データの管理についての責任を有する者の名称・住所・代表者氏名
      名称:広島大学消費生活協同組合
      住所:広島県東広島市鏡山 1-7-1
      代表者:末尾に記載の窓口にお問い合わせください。

個人情報の第三者への提供

次に掲げる場合を除き、取得した個人情報を第三者に提供することはありません。

  • ご本人の同意に基づき提供するとき(旅行事業、各種斡旋・取次の事業等をはじめとした各事業のお申込み等に取得する個人情報であって、取得の状況からみて当該個人情報をそれぞれの事業者に提供することが明らかである場合を含みます)
  • 人の生命、身体または財産の保護のために必要がある場合であって、ご本人の同意を得ることが困難な場合
  • 広島大学の福利厚生や学生生活支援業務に関連して、大学の福利厚生事業や学生生活支援業務の遂行に必要な範囲で、広島大学に個人情報を提供する場合
  • 法令に基づく場合
  • 他の生協や会社等と共同利用する場合(この場合、各申込書等にその旨を明記します)
  • 利用目的の達成に必要な範囲内において、個人情報の取扱いの全部または一部を委託する場合

安全管理措置に関する事項

当生協は、個人データの漏えい、滅失または毀損の防止等、その管理のために必要かつ適切な安全管理措置を講じます。また、個人データを取り扱う従業者や委託先に対して、必要かつ適切な監督を行います。これら個人データの適切な管理のために、別途「個人情報保護規則」を定め、これを遵守します。

保有個人データの開示等の手続き

当生協は、ご本人またはその代理人から、当該保有個人情報データについて、開示、訂正、利用停止等のご請求をいただいたときは、次の各号の場合を除き、遅滞なく回答します。

  • 本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  • 当生協の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  • 法令に違反することとなる場合
    当生協の保有個人データの開示等に関するお問い合わせは下記まで郵便または電子メールでお問い合わせください。お問い合わせの際には、請求者がご本人又は正当な代理人であることを確認させていただくため、または、当生協が当該お問い合わせに適切に対応するため、追加の情報のご提供をお願いする場合があります。あらかじめご了承ください。なお、利用目的の通知及び個人情報の開示につきましては、手数料(1,000円)をいただきます。

ご質問等のお問い合わせ窓口

個人情報のお問い合せ・相談窓口(苦情等)
広島大学消費生活協同組合 個人情報保護管理者
Email:honbu@hucoop.jp
〒739-0046 広島県東広島市鏡山 1-7-1
広島大学構内

2022年10月1日
広島大学消費生活協同組合 理事会

<改訂履歴>

改訂
版数
制・改訂日 改訂理由・改定内容
第1版 2005年
4月1日
施行
第2版 2011年
1月27日
「全国大学生協共済生活協同組合連合会」への変更及び広島大学への個人情報の提供を追加
第3版 2013年
8月9日
個人情報を活用する保険の引受会社に、三井住友海上火災保険(株)、(株)損害保険ジャパンを追加
第4版 2017年
10月25日
全国大学生協連合会の参考例を基に全面改定し理事会決定
第5版 2021年
11月24日
改正個人情報保護法の全面施行に伴い、一部改定し、理事会決定
第6版 2022年
10月1日
共済事業を大学生協共済連から日本コープ共済生活協同組合連合会へ全部譲渡することに伴う一部改訂
個人情報保護規則

総則

目的

この規則は、広島大学消費生活協同組合(以下、「組合」という。)が取扱う個人情報について、個人情報の保護に関する法律(以下、「個人情報保護法」という。)等の法令を遵守し、個人の権利利益を適切に保護し、個人情報を利用し、安全に管理することを目的とする。

用語の定義

この規則において、各用語の定義は次のとおりとする。

  • 個人情報
    生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
    1. その情報に含まれる氏名、生年月日その他の記述又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別できるものを含む。)
    2. 個人識別符号(個人情報保護法第2条第2項)が含まれるもの
  • 要配慮個人情報
    本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により被害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして個人情報の保護に関する法律施行令(以下「施行令」という。)で定める記述等(健康診断等及び診療内容その他)が含まれる個人情報
  • 本人
    個人情報によって識別される特定の個人
  • 個人情報データベース等
    個人情報を含む情報の集合物であって、次に掲げるもの(施行令第3条第1項が定めるものを除く。)
    1. 特定の個人情報についてコンピューターを用いて検索することができるように体系的に構成したもの
    2. 一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの
  • 個人データ
    個人情報データベース等を構成する個人情報
  • 保有個人データ
    組合が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限をもつ個人データをいう。ただし、施行令第4条が定めるものを除く。
  • 役職員
    役員、正規職員、嘱託職員、パート職員、アルバイト、組織部員を含め、組合の業務に従事するすべての者

適用範囲等

この規則は、組合のすべての役職員に適用する。

2 組合が個人情報を取扱う業務を外部に委託する場合も、この規則の趣旨を遵守させるよう監督するものとする。

個人情報保護方針の制定と公表

組合は個人情報保護方針を定め、役職員に周知徹底するとともに、組合のウェブサイトに公表する。

安全管理体制

個人情報の安全管理体制の構築

個人情報保護管理責任者は専務理事とし、個人情報保護及び安全管理の統括、実施状況の理事会への報告、個人情報保護管理者の指名を行うものとする。

2 個人情報保護管理者は、個人情報保護管理責任者を補佐し、役職員に対する個人情報保護関連の教育等の実施、個人情報の適正な取扱いの確保、安全管理の点検、指導を行うものとする。

安全管理措置の見直し

個人情報保護管理者は、個人データの取扱状況について点検を実施し、その結果は個人情報保護管理責任者に報告するものとする。

2 個人情報保護管理者は、個人データの取扱状況の点検結果にもとづき必要に応じて適切な是正措置を講じ、個人情報を保護し、安全に管理するために、その個人情報保護の方針・規則等を見直すものとする。

役職員の義務

役職員は、組合の業務に従事するにあたって法令及びこの規則をはじめとする組合の諸規則等を遵守し、個人情報保護管理責任者又は個人情報保護管理者の指示に従って個人情報の保護及び安全管理に充分な注意を払うものとする。

2 役職員は、個人情報に関する事故(滅失、盗難、毀損又は漏えい等)、規則違反又はその可能性等に気づいた場合は、速やかに上司、専務理事又は個人情報保護管理者へ報告しなければならない。
3 前項の報告を受けた者は、この規則の趣旨を踏まえ、適切に対処するものとする。

苦情対応

個人情報保護管理者は、個人情報の取扱に関する苦情を適切かつ迅速に対応するよう 努めるものとする。

2 個人情報保護管理者は、個人情報の取扱に関する重大な苦情事案については、遅滞なく個人情報保護管理責任者に報告するものとする。

事故対応

個人情報保護管理者は、個人情報に関する事故が発生し、または発生した恐れがある場合、個人情報保護管理責任者に報告するとともに、適切かつ迅速に対応するものとする。この場合において、事故の規模、影響の大きさ、事案により必要に応じて以下を実施する。

  • 影響を受ける可能性のある本人への連絡等
  • 大学・行政庁等への報告及び被害の拡大防止
  • 事実関係の調査及び原因の究明
  • 再発防止策の検討及び実施
  • 事実関係及び再発防止策等の公表

2 個人情報保護管理責任者は、前項の規定にかかわらず、当該事態が次の各号のいずれかに該当するときは、個人情報保護委員会に報告するとともに本人に当該事態が生じた旨を通知しなければならない。

  • 要配慮個人情報が含まれる個人データに関する事故が発生し、または発生したおそれがある事態
  • 不正に利用されることにより財産的被害が生じるおそれがある個人データに関する事故が発生し、または発生したおそれがある事態
  • 不正の目的をもって行われたおそれがある個人データに関する事故が発生し、または発生したおそれがある事態
  • 個人データに係る本人の数が千人を超える事故が発生し、または発生したおそれがある事態

3 前項により個人情報保護委員会に報告をする場合には、前項各号の事態を知った後、速やかに、次に掲げる事項(報告の時点で把握しているものに限る)を報告しなければならない。

  • 概要
  • 当該事故に係る個人データの項目
  • 当該事故に係る本人の数
  • 原因
  • 二次被害またはそのおそれの有無およびその内容
  • 本人への対応の実施状況
  • 公表の実施状況
  • 再発防止のための措置
  • その他参考となる事項

4 前項の場合において、当該事態を知った日から30日以内(当該事態が第2項第3号に定めるものである場合には、60日以内)に、当該事態に関する前項各号に定める事項を報告しなければならない。この場合、一部の事項が判明しておらず、すべての事項を報告できないときは、その時点で把握できた内容を報告し、判明次第、さらに報告を行うものとする。

5 第2項の規定により、本人に対し、通知をする場合には、第2項各号の事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、第3項第1号、第2号、第4号、第5号及び第9号に定める事項を通知しなければならない。この場合、本人への通知が困難であるときは、事案を公表するとともに問合せ窓口を用意して本人が自らの個人データが対象となっているか否かを確認できるようにするものとする。
6 第三者から委託を受けて取扱っている個人データに関して第2項各号に定める事態が生じた場合は、当該事態を知った後、速やかに、第3項各号に定める事項を当該委託元に通知しなければならない。

個人情報の取得

個人情報の取得

組合は、あらかじめ利用目的を定め、その目的を達成するために必要な限度で、個人情報を取得する。

適正な取得

組合は、個人情報を適正な手段で取得するものとし、偽りその他不正な手段によって取得しない。

2 組合は、要配慮個人情報を取得するときは、個人情報保護法第17条第2項各号に掲げる場合を除き、あらかじめ本人の同意を得るものとする。
3 前項の場合において、書面または口頭等により、組合が本人から適正に直接取得する場合は、本人の同意があったものとする。

取得にあたっての利用目的の通知等

個人情報を取得するときは、あらかじめ利用目的をできる限り特定して公表するよう努めるものとし、取得前に公表しなかった場合は、取得後速やかにその利用目的を本人に通知し、又は公表する。ただし、個人情報保護法第18条第4項の場合を除く。

本人から文書等により取得する場合

前条の定めにかかわらず、申込書・契約書その他の書面(インターネット・電磁記録 を含む。)等によって本人の個人情報を取得するときは、あらかじめその利用目的を本人に対し明示する。ただし個人情報保護法第18条第4項の場合を除く。

個人情報の利用と第三者提供の制限

利用範囲

組合は、あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を利用しない。ただし、個人情報保護法第16条第3項の場合を除く。

利用目的の変更

利用目的を変更する場合は、変更前の利用目的と関連性を有すると合理的に認められる範囲で行うものとする。

2 前項の変更をしたときは、変更後の利用目的を本人に通知し、又は速やかに公表する。ただし、個人情報保護法第18条第4項の場合を除く。
3 利用目的を第1項の範囲を超えて変更しようとするときは、あらかじめ本人の同意を得なければならない。

不適正な利用の禁止

組合は、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない。

第三者提供の制限

組合は、あらかじめ本人の同意を得ないで、個人データを第三者に提供しない。ただし、個人情報保護法第23条の場合を除く。

個人データの安全管理

役職員の監督等

組合は、利用目的の達成に必要な範囲で、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めるものとする。

2 組合は、個人情報に関する事故を防止し、その他個人情報を安全に管理するために、必要かつ適切な措置を講じるものとする。
3 組合は、役職員が個人データを取扱うにあたって、個人データを適切に管理するため、必要かつ適切な監督を行う。
4 前項の監督は、各部門の長が行うものとする。

委託先の選定

組合は、個人データの取扱いの全部又は一部を組合以外の者に委託するときは、組合が定める書類の提出を求め選定するものとする。ただし、組合が提出を要しないと特に認めた書類についてはこの限りでない。

2 委託先は個人情報保護管理責任者が決定する。

委託先の監督

組合は、原則として委託契約(付随する覚書等を含む。)において、個人データの安全管理について受託者が講ずべき措置を明らかにし、受託者に対する必要かつ適切な監督を行うものとする。

物理的安全管理措置

個人情報データベース等を取り扱う区域はのぞき込みを防止する措置の実施等により、 権限を有しない者による個人データの閲覧等を防止する。

2 個人データを取り扱う機器、電子媒体又は書類等は、施錠できるキャビネット等への保管により、盗難または紛失等を防止する。
3 個人データが記録された電子媒体または書類等を取扱区域の外に持ち出す場合は、データの暗号化またはパスワードによる保護、書類等の封緘を実施し、漏えいを防止する。
4 個人データの削除または廃棄にあたっては、電子データを削除し、または、個人データが記録された機器、電子媒体、書類等を廃棄したことを、個人情報保護管理者が適切に処理されたことを確認するものとする。

技術的安全管理措置

個人データを取り扱うことのできる機器及びこれを取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する。

2 機器のユーザーアカウント制御機能により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する。
3 個人データを取り扱う機器等のオペレーティングシステム及びセキュリティ対策ソフトウェア等を自動更新機能等の活用により、最新状態とする。
4 メール等により個人データの含まれるファイルを送信する場合には、当該ファイルへのパスワードを設定し、データと別のメールでパスワードを通知するものとする。

保有個人データの開示、訂正・追加・削除・利用停止

保有個人データの利用目的の通知

組合は、本人から、本人が識別される個人データの利用目的について問い合わせがあったときは、これを通知する。ただし、個人情報保護法第27条第2項ただし書きに定める場合を除く。

2 組合は利用目的を通知しない旨の決定をしたときは、その旨を本人に対し、遅滞なく通知する。

保有個人データ等の開示、訂正等、利用停止等

組合は、保有個人データについて、本人から開示を求められたときは、これに応じる。ただし、開示することによって次の各号に該当する場合には、その全部又は一部を開示しないこととする。

  • 人の生命、身体、財産その他の権利利益を害するおそれがある場合
  • 組合の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  • 法令に違反することとなる場合
2 組合は、保有個人データの第三者提供の記録(提供を受けた際の記録を含む。)について、本人から開示を求められたときは、これに応じる(存在しないときはその旨を知らせることを含む)。ただし、開示することによって次の各号に該当する場合には、その全部又は一部を開示しないこととする。
  • 人の生命、身体、財産に危害が及ぶおそれがある場合
  • 違法又は不当な行為を助長・誘発するおそれがある場合
  • 国の安全が害され、又は他国もしくは国際機関との信頼関係が損なわれ、又は他国若しくは国際機関との交渉上不利益を被る等のおそれがある場合
  • 公共の安全と秩序の維持に支障が及ぶおそれがある場合
3 保有個人データの内容が事実でないという理由で、本人から訂正、追加又は削除(以下、「訂正等」という。)を求められた場合は、利用目的の達成に必要な範囲において、遅滞なく調査を行い、その結果に基づき、これに応じる。
4 保有個人データに関し、本人から自己の情報に関して個人情報保護法に違反して取扱われているという理由、組合が当該本人に係る保有個人データを利用する必要がなくなったという理由または当該本人に係る保有個人データが第9条第2項各号のいずれかの事態(漏えい等)が生じたという理由により利用停止又は消去(以下「利用停止等」という。)を求められた場合で、その求めに理由があることが判明したときには、違反を是正するために必要な限度で、遅滞なく、これに応じる。ただし、多額の費用を要する等、その実施について困難である場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
5 前四項の求めに対して、開示しない旨の決定をしたときはその旨を、訂正等を行ったとき又は訂正等を行わない旨の決定をしたときはその旨(訂正等を行ったときは、その内容を含む。)を、利用停止等を行ったとき又は利用停止等を行わない旨の決定をしたときはその旨を、本人に 対し、遅滞なく通知する。
6 前項の場合において、開示・訂正等・利用停止等を行なわないことを決定したときは、その理由を説明するよう努めるものとする。

保有個人データの開示等の請求の受付

開示、訂正等及び利用停止等(以下「開示等」という。)は、本人から組合の担当窓口へ次の書類等が郵便または電子メールで提出されたときに、対応する。

  • 本人であることを確認するための証明書類
  • 請求事項及び請求理由を記載した書面
  • 利用目的の通知(第23条)、開示の請求(第24条第1項)に係る事務処理手数料1,000円
2 組合は、開示等の請求の受付けにあたって、請求者である本人に対して、対象となる保有個人データを特定するために必要な事項の提示を求めることができる。
3 組合は、本人に代えて代理人から開示等の請求があったときは、正当な代理人であることを確認のうえ、その請求を受付ける。

罰則その他

罰則

役職員がこの規則に違反した場合には、就業規則等の制裁に関する定めを適用する。

規則の改廃

この規則の改廃は、理事会の議決による。

施行期日

この規則は2021年12月1日より施行する。
この規則は2021年11月24日一部改正した。

改訂
版数
制・改訂日 改訂理由・改定内容
第1版 2017年
10月25日
理事会決定により制定
第2版 2021年
11月24日
改正個人情報保護法の全面施行により一部改定し、理事会決定

Loading...