目的

第1条

この規程は、当社が業務上取り扱う個人情報の適切な使用と保護を目的として、個人情報の取扱いに関する基本的な事項を定めることを目的とする。


定義

第2条

この規程において、以下の各号に掲げる用語の定義は、当該各号に定めるところによる。

(1)「協会」とは、一般社団法人日本クレジット協会をいう。

(2)「個人信用情報機関」とは、個人の支払能力に関する情報の収集及び与信事業者に対する当該情報の提供を業とする者をいう。

(3)「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)又は個人識別符号が含まれるものをいう。

(4)「個人識別符号」とは、当該情報単体から特定の個人を識別できるものとして法令で定められた文字、番号、記号その他の符号をいう。

(5)「機微(センシティブ)情報」とは、要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要配慮個人情報に該当するものを除く。)に関する情報(本人、国の機関、地方公共団体、個人情報保護法第76条第1項各号若しくは法令で定める範囲の外国政府等により公開されている もの、又は、本人を目視し、若しくは撮影することにより取得するその外形上明 らかなものを除く。)をいう。

(6)「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして次の1から11までの記述等が含まれる個人情報をいう。

  1. 人種
  2. 信条
  3. 社会的身分
  4. 病歴
  5. 犯罪の経歴
  6. 犯罪により害を被った事実
  7. 身体障害、知的障害、精神障害(発達障害を含む。)その他の法令で定める心身の機能の障害があること
  8. 本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果
  9. 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと
  10. 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと(犯罪の経歴を除く。)
  11. 本人を少年法(昭和23年法律第168号)第3条第1項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと

(7)「個人情報データベース等」とは、1特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物、及び2紙面で処理した個人情報を一定の規則に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものをいう。ただし、次のアからウまでのいずれにも該当するものは、利用方法からみて個人の権利利益を害するおそれが少ないため、個人情報データベース等には該当しない。

ア.  不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が個人情報保護法又は同法に基づく命令の規定に違反して行われたものでないこと

イ. 不特定かつ多数の者により随時に購入することができ、又はできたものであること

ウ. 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること

(8)「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

(9)「保有個人データ」とは、当社が、本人又はその代理人から請求される開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全てに応じることができる権限を有する個人データをいう。ただし、個人データのうち、次に掲げるもの又は6か月以内に消去する(更新することは除く。)こととなるものは保有個人データに該当しない。

  1. 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
  2. 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
  3. 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
  4. 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

(10)「匿名加工情報」とは、個人情報を個人情報の区分に応じて定められた措置を講じ て特定の個人を識別することができないように加工して得られる個人に関する情報 であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいう。

(11)「本人に通知」とは、本人に直接知らしめることをいう利用目的を本人に通知する方法は、原則として、書面(電磁的記録を含む。以下同じ。)によることとする。

(12)「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいう。

(13)「本人の同意」とは、本人の個人情報が、当社によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう。なお、クレジット事業においては、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)第16条、第23条及び第24条に定める本人の同意を得る場合には、原則として、書面(電磁的記録を含む。)によることとする。

(14)「従業者」とは、当社の組織内にあって直接・間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。

(15)「提供」とは、個人データ、保有個人データ又は匿名加工情報を、当社以外の者が利用可能な状態に置くことをいう。


利用目的の特定

第3条

個人情報を取り扱うに当たっては、利用目的をできる限り具体的に特定しなければならない。クレジット事業における利用目的の特定に当たっては、個人情報の各項目と利用目的の各項目との対応関係を明らかにすることとする。

2 前項のほか、個人信用情報機関に個人情報を提供し、又は個人信用情報機関から必要な個人情報を取得することについても、利用目的において特定しなければならない。この場合、特定した利用目的について本人の同意を得ることとする。

3 あらかじめ個人情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるよう特定しなければならない。

4 前三項により特定した利用目的については、変更前の利用目的と関連性を有すると合理的に認められる範囲で変更することができることとする。


利用目的の制限

第4条

前条第1項、第2項及び第3項により特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意を得なければならない。

2 前項にかかわらず、次に掲げる場合については、特定された利用目的の達成に必要な範囲を超えて本人の同意を得ることなく個人情報を取り扱うことができる。

(1)法令に基づく場合

(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、当社が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

3 クレジット事業においては、ダイレクトメールの発送等の販売促進の目的で個人情報を利用することについて本人が同意しなかったときは、そのことを理由に信用供与に係る契約の締結を拒否しないこととする。

4 クレジット事業において個人信用情報機関から得た支払能力に関する情報を当該個人の支払能力の調査以外の目的に使用しないこととする。


適正な取得

第5条

偽り等の不正の手段により個人情報を取得してはならない。


機微(センシティブ)情報

第6条

機微(センシティブ)情報については、次に掲げる場合を除くほか、取得、利用又は第三者提供を行わないこととする。

(1)法令等に基づく場合 

(2)人の生命、身体又は財産の保護のために必要がある場合 

(3)公衆衛生の向上又は児童の健全な育成の推進のため特に必要がある場合 

(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合 

(5)機微(センシティブ)情報が記載されている戸籍謄本その他の本人を特定できる書類を本人特定のために取得、利用又は保管する場合 

(6)相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者提供する場合 

(7)信用分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用又は第三者提供する場合 

(8)機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合

2 機微(センシティブ)情報を、前項に掲げる場合に取得、利用又は第三者提供する場合には、前項に掲げる事由を逸脱した取得、利用又は第三者提供を行うことのないよう、特に慎重に取り扱うこととする。

3 機微(センシティブ)情報を、第1項に掲げる場合に取得、利用又は第三者提供する場合には、個人情報保護法等に従い適切に対応するものとする。

4 機微(センシティブ)情報を第三者へ提供するに当たっては、個人情報保護法第23条第2項(オプトアウト)の規定を適用しないこととする。

5 要配慮個人情報を取得する場合には、あらかじめ本人の同意を得なければならない。ただし、次の(1)から(7)までに掲げる場合については、この限りではない。

(1)法令に基づく場合 

(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき 

(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき 

(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき 

(5)当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報保護法第76条第1項各号に掲げる者その他個人情報保護法施行規則で定める者により公開されている場合 

(6)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合 

(7)個人情報保護法第23条第5項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき


取得に際しての利用目的の通知等

第7条

個人情報を取得する場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知又は公表しなければならない。

2 前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

3 クレジット事業において、本人から直接書面に記載された当該本人の個人情報を取得する場合には、本人の同意を得ることとする。その際、利用目的の明示の方法については、第3条各項に定める方法によることとする。

4 利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

5 前四項の規定は、次に掲げる場合については、適用しない。

(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

(2)利用目的を本人に通知し、又は公表することにより当社の権利又は正当な利益を害するおそれがある場合 

(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき 

(4)取得の状況からみて利用目的が明らかであると認められる場合


データ内容の正確性の確保等

第8条

利用目的の達成に必要な範囲内において、個人情報データベース等への個人情報の入力時の照合及び確認の手続の整備、誤り等を発見した場合の訂正等の手続の整備、記録事項の更新、保存期間の設定等を行うことにより、個人データを正確かつ最新の内容に保つよう努めるものとする。

2 保有する個人データについて利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めるものとする。ただし、法令の定めにより個人データの保存期間等が定められている場合は、この限りではない。

3 前二項にかかわらず、クレジット事業において保有する個人データの利用目的に応じて保存期間を定め、当該保存期間経過後には当該保有する個人データを消去することとする。


安全管理措置

第9条

当社の取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じるものとする。

2 前項で講じる措置については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とする。


従業者の監督

第10条

従業者に個人データを取り扱わせるに当たって、個人情報保護法第20条に基づく安全管理措置を遵守させるよう、当該従業者に対し必要かつ適切な監督を実施するものとする。

2 監督の結果、従業者に問題があった場合には適切な指示・命令を行うものとする。


委託先の監督

第11条

個人データの取扱いの全部又は一部を委託する場合は、委託を受けた者(以下「委託先」という。)において当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督をしなければならない。

2 前項の委託先の監督に関し、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次の(1)から(3)までに掲げる必要かつ適切な措置を講じなければならない。

(1)適切な委託先の選定

(2)委託契約の締結

(3)委託先における個人データ取扱状況の把握


教育・研修活動等の実施

第12条

従業者に対し、個人情報の保護と適正な取扱い等に資するための教育及び研修を実施することとする。

2 前項の教育・研修においては、当社は協会が行う教育・研修又は同等の内容の研修に参加することとする。


第三者提供の制限

第13条

個人データの第三者への提供に当たり、あらかじめ本人の同意を得ないで提供してはならない。当該同意の取得に当たっては、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示すこととする。

2 クレジット事業において個人データを提供する第三者については、原則としてその氏名又は名称を記載することにより、特定することとし、個人データを提供される第三者における利用目的は、できる限り具体的に記載しなければならない。

3 クレジット事業において、第三者としての個人信用情報機関に対し個人データを提供する場合には、あらかじめ本人の同意を得なければならない。その場合には、個人データが個人信用情報機関の会員企業及び当該個人信用情報機関と提携する個人信用情報機関並びにこれらの会員企業にも提供されることを書面に明記することとする。その際、個人信用情報機関についての消費者の理解を容易にするための措置を講じることとする。

4 個人信用情報機関の加入資格に関する規約、個人信用情報機関及び当該個人信用情報機関と提携する個人信用情報機関に加入する会員企業のリストについては、本人が容易に知り得る状態に置くこととし、個人信用情報機関の規約等においては、加入資格のある企業の外延が明確になるよう、加入資格、加入企業の業務、業務違反に対する制裁措置等について、できる限り具体的に記載することとする。

5 第1項から第3項までにかかわらず、次に掲げる場合については、第三者への個人データの提供に当たって、本人の同意は不要とする。

(1)法令に基づいて個人データを提供する場合

(2)人(法人を含む。)の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合

(3)公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合

(4)国の機関等が法令の定める事務を実施する上で、当社の協力を得る必要がある場合であって、協力する当社が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合

6 以下に掲げる場合において、個人データの提供を受ける者は、本条にいう第三者に該当しないものとする。

(1)当社が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

(2)合併その他の事由による事業の承継に伴って個人データが提供される場合

(3)特定の者との間で共同して利用される個人データが当該特定の者に提供される場合。この場合、共同利用をする旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くものとする。


オプトアウトによる第三者提供

第14条

個人データ(要配慮個人情報を除く。以下この条において同じ。)の第三者への提供に当たり、次の(1)から(5)までに掲げる事項をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出た場合には、前条にかかわらず、あらかじめ本人の同意を得ることなく、個人データを第三者に提供することができる。

(1)第三者への提供を利用目的とすること

(2)第三者に提供される個人データの項目

(3)第三者への提供の方法

(4)本人の求めに応じて第三者への提供を停止すること

(5)本人の求めを受け付ける方法

2 前項に基づき、必要な事項を個人情報保護委員会に届け出たときは、その内容を当社自らもインターネットの利用その他の適切な方法により公表するものとする。

3 第1項及び第2項に基づきオプトアウトにより個人データの第三者提供を行っている場合であって、提供される個人データの項目、提供の方法又は第三者への提供を停止すべきとの本人の求めを受け付ける方法を変更する場合は、変更する内容について、変更に当たってあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。なお、本項に基づき、必要な事項を個人情報保護委員会に届け出たときは、その内容を当社自らも公表するものとする。

4 クレジット事業において、個人の支払能力に関する情報を個人信用情報機関へ提供するに当たっては、第1項及び第2項の規定を適用しないこととし、前条に従い本人の同意を得ることとする。


外国にある第三者への提供の制限

第15条

外国(本邦の域外にある国又は地域をいう。以下同じ。)にある第三者に個人データを提供する場合には、次の各号のいずれかに該当するときを除き、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。

(1)当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として法令で定める国にあるとき。

(2)当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として以下のいずれかの基準に適合する体制を整備しているとき。

ア. 当社と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、個人情報保護法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること。

イ. 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。

(3)第13条第5項各号に該当するとき。


第三者提供に係る記録の作成等

第16条

個人データを第三者に提供したときは、以下の表で定める事項に関する記録を都度作成しなければならない。ただし、当該個人データの提供が第13条第5項各号又は同条第6項各号のいずれか(前条の規定による個人データの提供にあっては、第13条第5項各号のいずれか)に該当する場合は、この限りでない。


(記録事項)

 

本人の同意による第三者提供

オプトアウトによる第三者提供

提供年月日

×

第三者の氏名等

本人の氏名等

個人データの項目

本人の同意を得ている旨

×


2 前項にかかわらず、一定の期間内に特定の事業者との間で継続的に又は反復して個人データを授受する場合は、個々の授受に係る記録を作成する代わりに、一括して記録を作成することができる。

3 第1項にかかわらず、当社が、本人に対する物品又は役務の提供に係る契約を締結し、かかる契約の履行に伴って、契約の締結の相手方を本人とする個人データを当社から第三者に提供する場合は、当該提供の際に作成した契約書その他の書面をもって個人データの流通を追跡することが可能であることから、当該契約書その他の書面をもって記録とすることができる。

4 前項までに基づき作成した記録を、以下の各号の規定に基づく期間、保存しなければならない。

(1)本条第3項に規定する方法により記録を作成した場合

最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間

(2)本条第2項に規定する方法により記録を作成した場合

最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間

(3)前二号以外の場合 3年


第三者提供を受ける際の確認及び記録の作成等

第17条

第三者から個人データの提供を受けるに際しては、以下の各号に定める方法により、以下の各号に定める事項の確認を行わなければならない。ただし、当該個人データの提供が13条第5項各号又は第13条第6項各号のいずれかに該当する場合は、この限りでない。

(1)当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名

個人データを提供する第三者から申告を受ける方法その他の適切な方法

(2)当該第三者による当該個人データの取得の経緯

個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法

2 第1項の規定による確認を行ったときは、以下の表で定める事項に関する記録を都度作成しなければならない。ただし、当該個人データの提供が第13条第5項各号又は同条第6項各号のいずれか(第15条の規定による個人データの提供にあっては、第13条第5項各号のいずれか)に該当する場合は、この限りでない。


(記録事項)



本人の同意による提供を受けた場合

オプトアウトによる提供を受けた場合

私人等から提供を受けた場合

個人情報保護委員会により公表がなされている旨

×

×

提供を受けた年月日

×

×

第三者の氏名等

取得の経緯

本人の氏名等

個人データの項目

本人の同意を得ている旨

×

×


3 前項にかかわらず、当社が一定の期間内に特定の事業者との間で継続的に又は反復して個人データを授受する場合は、個々の授受に係る記録を作成する代わりに、一括して記録を作成することができる。

4 第2項にかかわらず、当社が、本人に対する物品又は役務の提供に係る契約を締結し、かかる契約の履行に伴って、契約の締結の相手方を本人とする個人データについて他の事業者から提供を受ける場合は、当該提供の際に作成した契約書その他の書面をもって個人データの流通を追跡することが可能であることから、当該契約書その他の書面をもって記録とすることができる。

5 前項までに基づき作成した記録を、以下の各号の規定に基づく期間、保存しなければならない。

(1)第4項に規定する方法により記録を作成した場合  最後に当該記録に係る個人データの提供を受けた日から起算して1年を経過する日までの間

(2)第3項に規定する方法により記録を作成した場合  最後に当該記録に係る個人データの提供を受けた日から起算して3年を経過する日までの間

(3)前二号以外の場合 3年


保有個人データに関する事項の公表等

第18条 

保有個人データについて、以下の(1)から(4)までの情報を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

(1)当社の名称 (2)全ての保有個人データの利用目的(ただし、第7条第5項第1号から第3号までに該当する場合を除く。) (3)保有個人データの利用目的の通知の求め又は開示等の請求に応じる手続及び保有個人データの利用目的の通知の求め又は開示等の請求に係る手数料の額(定めた場合に限る。) (4)保有個人データの取扱いに関する苦情の申出先

2 以下の(1)及び(2)の場合を除いて、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、遅滞なく、本人に通知しなければならない。なお、通知しない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。

(1)前項の措置により、本人が識別される保有個人データの利用目的が明らかである場合

(2)第7条第5項第1号から第3号までに該当する場合


開示

第19条 

当社は、本人から、当該本人が識別される保有個人データの開示(存在しないときにはその旨を知らせることを含む。)の請求を受けたときは、本人に対し、書面(電磁的記録を含まない。)の交付による方法(開示の請求を行った者が同意した方法があるときはその方法。なお、当該者が同意した場合、電磁的記録の交付も可能とする。)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の(1)から(3)までのいずれかに該当する場合には、この限りでない。

(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合 (2)当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合 (3)他の法令に違反することとなる場合

2 前項ただし書に基づき保有個人データの全部又は一部を開示しない旨の決定をしたとき又は請求に係る保有個人データが存在しないときは、遅滞なく、その旨を本人に通知しなければならない。


訂正等

第20条 

当社は、本人から、当該本人が識別される保有個人データに誤りがあり、事実でないという理由によって、内容の訂正、追加又は削除(以下「訂正等」という。)の請求を受けた場合は、利用目的の達成に必要な範囲で遅滞なく必要な調査を行い、その結果に基づき、原則として、訂正等を行わなければならない。

2 前項の規定に基づき請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を本人に通知しなければならない。


利用停止等

第21条 

当社は、本人から、当該本人が識別される保有個人データが、第4条の規定に違反して本人の同意なく目的外利用がされている、又は第5条の規定に違反して偽りその他不正の手段により個人情報が取得され若しくは本人の同意なく要配慮個人情報が取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下「利用停止等」という。)の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等を行わなければならない。

2 当社は、本人から、当該本人が識別される保有個人データが、第13条第1項又は第15条の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、第三者提供を停止しなければならない。

3 前二項により、利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は、第三者提供の停止を行ったとき若しくは第三者提供を停止しない旨の決定をしたときは、遅滞なく、その旨を本人に通知しなければならない。


理由の説明

第22条 

保有個人データの利用目的の通知の求め、又は保有個人データの開示、訂正等、利用停止等若しくは第三者提供の停止に関する請求(以下「開示等の請求等」という。)に係る措置の全部又は一部について、その措置をとらない旨又はその措置と異なる措置をとる旨を本人に通知する場合は、併せて、本人に対して、その理由を説明するように努めるものとする。


開示等の請求等に応じる手続

第23条 

開示等の請求等において、これを受け付ける方法として次の(1)から(4)までの事項を定めることができるものとする。

(1)開示等の請求等の申出先 (2)開示等の請求等に際して提出すべき書面の様式、その他の開示等の請求等の受付方法 (3)開示等の請求等をする者が本人又はその代理人(1未成年者又は成年被後見人の法定代理人、2開示等の請求等をすることにつき本人が委任した代理人)であることの確認の方法 (4)保有個人データの利用目的の通知又は保有個人データの開示をする際に徴収する手数料の徴収方法

2 クレジット事業に関して開示等の請求等をする者が本人又は代理人であることの確認の方法を定めるに当たっては、十分かつ適切な確認手続とすることとする。なお、代理人による開示等の請求等に対して、本人にのみ直接開示等することができるものとする。


手数料

第24条 

保有個人データの利用目的の通知を求められ、又は保有個人データの開示の請求を受けたときは、当該措置の実施に関し、手数料の額を定め、これを徴収することができるものとする。

2 手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。


苦情の処理

第25条 

当社は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めるものとする。

2 当社は、苦情の適切かつ迅速な処理を行うに当たり、苦情処理窓口の設置や苦情処理の手順を定める等必要な体制の整備に努めるものとする。


匿名加工情報の取扱い

第26条 

当社による匿名加工情報の取扱いについては、法令を遵守し、協会が別途取扱手順等を定めた場合には当該取扱手順等に従って取り扱うこととする。


外国にある第三者から提供を受ける個人データの取扱い

第27条 

外国にある第三者から個人データの提供を受ける場合、その取扱いについて法令等において定められている場合は、当該定めに従って取り扱うこととする。


個人データ漏えい等の報告等

第28条 

当社は、保有する匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに個人情報保護法第36条第1項の規定により行った加工の方法に関する情報(以下「加工方法等情報」という。)の漏えいの事故が発生した場合には、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係等を遅滞なく公表するとともに、事実関係を本人に速やかに通知し又は本人が容易に知り得る状態に置くこととする。

2 当社の取り扱う個人データ(受託者が取り扱うものを含む。)の漏えい等の事故が発生した場合には、その事実関係、発生原因、対応策その他の漏えい等に関する事項を可能な限り速やかに、以下の(1)又は(2)に従い、経済産業省及び協会等に報告しなければならない。また、加工方法等情報の漏えいの事故が発生した場合にも同様に報告することとする。さらに所属する業界団体等の関係機関に報告するよう努めるものとする。

(1)クレジット事業において漏えい等の事故が発生した場合には、経済産業大臣への報告に代えて、協会に報告することができる。ただし、対象事業者は、以下の場合は、経済産業大臣に、逐次速やかに報告するよう努めるものとする。

  1. 機微(センシティブ)情報を含む個人データが漏えいした場合
  2. 信用情報、クレジットカード番号等を含む個人データが漏えいした場合であって、二次被害が発生する可能性が高い場合
  3. 同一事業者において漏えい等の事故(特に同種事案)が繰返し発生した場合
  4. 従業員が不正な利益を図る目的で個人データを持ち出した場合
  5. 漏えい等の発生規模が大きい場合(1,000人以上の規模)
  6. 公表する場合
  7. マスコミに対して報道発表を行う場合、またはマスコミで報道された場合
  8. その他協会が必要と考える場合

(2)クレジット事業以外の事業において漏えい等の事故が発生した場合には、協会及び必要に応じて当該情報(取引等)を所管する大臣等に報告する。

3 以下の各号のいずれかに該当する場合は、経済産業省及び協会への報告を要しないこととする。

(1)ファクシミリやメールの誤送信(宛名及び送信者名以外に個人情報が含まれていない場合に限る。)

(2)内容物に個人情報が含まれない荷物等の宅配を委託したところ、誤配によって宛名に記載された個人データが第三者に開示された場合

(3)郵便物が誤配された場合

(4)本人が申告した連絡先(住所、電話・FAX番号、メールアドレス等)に誤りがあったこと、又は本人が当社に連絡先の変更を申告しなかったことにより、第三者にFAX若しくはメールの送信、又は郵便物若しくは荷物の配送をした場合

(5)高度な暗号化等の秘匿化がなされている場合

(6)特定の個人を識別することが漏えい等事案を生じた事業者以外ではできない場合(ただし、漏えい等事案に係る個人データのみで、本人に被害が生じるおそれのある情報が漏えい等した場合を除く。)

(7)第三者に閲覧されないうちに(未開封で)全てを回収した場合

(8)滅失又は毀損にとどまり、第三者が漏えい等事案に係る個人データを閲覧することが合理的に予測できない場合


第29条 

規程の改廃 この規程の改廃は、取締役会の決議によるものとする。


附則

この規程は、2021年7月1日から施行する。


以上