個人情報取扱ガイドライン

本ガイドラインは、本法人の「個人情報保護規程」に基づき、個人情報の具体的な取扱手順を定め、法人内のすべての役職員・関係者が遵守すべき実務的基準を示すことを目的とする。
適用対象は、役員、職員、実働社員、委託先、ボランティア、その他本法人の業務に関与する者とする。

個人情報の取得は、目的を明示し、本人の同意を得た上で行う。
取得方法は書面・電子データ・Webフォーム等とする。

取得した情報は、同意を得た利用目的の範囲内でのみ使用する。
目的外利用が必要な場合は、本人の再同意を得る。

紙媒体は施錠保管、電子データはパスワード管理とし、外部共有フォルダの使用は管理者承認制とする。

原則として契約・事業終了後5年間とし、経過後は速やかに裁断またはデータ削除を行う。

紙資料はシュレッダー処理、電子データは復元不能な削除を実施する。

１．業務委託先（会計、印刷、システム管理等）に個人情報を預託する場合は、守秘義務条項を含む契約書または覚書を締結する。
２．委託先の選定時には、個人情報管理体制を確認する。
３．本人の同意なしに第三者へ提供しない。ただし、法令に基づく場合を除く。

１．組織的措置：管理責任者を代表理事とし、実務担当者を各部署に置く。
２．人的措置：関係者に対して年1回以上の個人情報保護教育を実施する。
３．物理的措置：書類・PC・USBの持ち出し禁止。事務所施錠・入退室管理を徹底。
４．技術的措置：アクセス権限の制限、ウイルス対策、定期バックアップを行う。

１．漏えい・紛失・不正アクセス等が発生した場合、速やかに代表理事へ報告し、理事会で対応を協議する。
２．必要に応じて本人・関係機関（自治体、委託元等）へ報告・公表する。
３．再発防止策をまとめ、監査顧問へ報告する。

１．本法人は、年1回以上、個人情報管理の実施状況を点検し、改善を行う。
２．新たなシステム導入・事業変更時には、改めてリスク評価を行う。
３．本ガイドラインの改訂は理事会の承認を経て行う。

本ガイドラインは、定款施行の日より施行する。
本法人の「個人情報保護規程」と併せて運用し、規程に定めのない事項は代表理事が別途定める。