個人データの安全管理措置に関する指針

１．安全管理措置

（１）当組合は、個人情報保護の重要性に鑑み、個人情報の保護に関する法律（平成１５年法律第57号）等の関係法令等
　　（以下、法等という。）を遵守してお客様の情報を厳格に管理し、お客様の希望に沿って取扱うとともに、その正確性・
　　機密保持に努める。

• （２）当組合は、個人データの漏洩等が生じた場合における対応手順等を整備するとともに、その実施状況を評価のうえ、
• 　　必要な見直しを行なうものとする。また、万が一個人データの漏洩等が生じた場合における対応手順等を整備する。

２．組織的安全管理措置

組織体制の整備

1. 個人データ管理責任者の設置
   イ．個人データの安全管理の徹底を図るため、個人データ管理責任者を置く。
   ロ．個人データ管理責任者は理事長が任命する。
   ハ．個人データ管理責任者の役割は次の通りとする。
   　Ａ．個人データの安全管理に関する規程の周知並びに委託先の選定基準の承認及び周知
   　Ｂ．個人データ管理者の任命
   　Ｃ．個人データ管理者からの報告徴収と助言・指導
   　Ｄ．個人データ安全管理についての教育・研修の企画
   　Ｅ．漏洩等が発生した場合の公表・通知に関する事項
   　Ｆ．組合全体における個人データの安全管理に関するその他事項
2. 個人データ管理者の設置
   イ．個人データの安全管理の徹底を図るため、個人データを取扱う部店毎に個人データ管理者を置く。
   ロ．個人データ管理者は個人データ管理責任者が任命する。
   ハ．個人データ管理者の役割は次のとおりとする
   　Ａ．個人データの取扱者の指定及び変更等の管理
   　Ｂ．個人データの利用申請の承認及び記録等の管理
   　Ｃ．個人データを取扱う保管媒体の設置場所の指定及び変更等
   　Ｄ．個人データの管理区分及び権限についての設定及び変更の管理
   　Ｅ．個人データの取扱い状況の把握
   　Ｆ．委託先における個人データの取扱い状況等の監督
   　Ｇ．個人データの安全管理に関する教育・研修の実施
   　Ｈ．安全管理措置に関する質問・苦情対応の窓口
   　Ｉ．個人データの取扱いに関する規程等に違反している事実
   　　　又は兆候があることに気付いた場合の個人データ管理責任者への報告
3. 個人データ管理委員会
   イ．個人データ管理を総合的な経営運営の立場から計画、推進、評価するため
   • 　　個人データ管理委員会（以下「委員会」という）を設置する。
   • ロ．委員会は個人データ管理責任者が、個人データ管理者およびコンプラインス課長の中から
   • 　　委員を任命して委員会を構成する。

     ハ．委員会の役割は次の通りとする。
     　　Ａ．個人データ管理態勢の把握・評価
     　　Ｂ．個人データ漏洩の防止策・対処策などの検討・評価

   • ニ．委員会の開催は半期に一度とする。
     　　また、必要に応じて臨時委員会をいつでも開催することができる。
     ホ．委員会の議事は、必要に応じて理事会・常勤理事会に付議・報告するものとする。

   • ヘ．委員会の統括部署は、リスク統括部が担当する。

個人データの取扱いの確認と見直し

　　個人データの授受、利用、保管・保存、廃棄の流れに沿った取扱いの実態を確認し、必要な見直しを行うものとする。
　 　Ａ．個人データの授受、利用・保管・保存、廃棄の経路を正確かつ漏れなく確認する。
　 　Ｂ．各取扱経路における個人データの取扱い（複写、保存等を含む）の目的とその必要性を確認する。
　 　Ｃ．各取扱経路における個人データの取扱いの作業担当者又はアクセス権限者の限定及び
　 　　　当該担当者・権限者以外の管理者による管理体制が構築されていることを確認する。
　 　Ｄ．個人データの授受において使用される回線・記録媒体等とそのセキュリティ（暗号化の有無等）を確認する。
　 　Ｅ．保管場所・記録媒体等の種類、保存期間、廃棄方法及びそのセキュリティ（暗号化の有無等）を確認する。
　 　Ｆ．規程等の整備状況及び取扱いの実態との乖離の有無を確認する。
　 　Ｇ．確認事項を管理簿にまとめ、定期的な再確認により最新の状態を把握する。

個人データ管理状況の監査体制

　　�@定められた規程等に従って業務手続が適切に行われていることを監査する。

　　�A監査結果は個人データ管理責任者に報告する。
　　�B個人データ管理責任者は監査結果に基づいて安全管理措置や規程等について必要な見直しを行なう。

漏洩事案等対応

　　万が一、個人データの漏洩等が生じた場合は迅速かつ適切な対応を講じることができるように、
　　漏洩等の発生時の連絡体制や具体的な対処方法をあらかじめ定め、従業者に周知徹底するものとし、
　　詳細は「個人情報漏洩事故対応マニュアル」の定めに準ずる。

３．人的安全管理措置

1. 職員の役割・責任の明確化
   個人データに関わる職員の権限を各階層毎に設定するものとし、詳細は「システム運用マニュアル」の定めに準ずる。
2. 職員との個人データの非開示契約の締結
   

   �@職務規程等の整備
   　 業務上知り得た秘密に関する守秘義務及びこれに違反した場合に適用されうる処分を職務規程等に定める。
   �A誓約書の取得等
   　役員就任時および職員（嘱託・パートなど正職員以外の者を含む。）入組時には、それぞれ業務上知り得た秘密に
   　関する守秘義務を含む誓約書（以下「誓約書」という。（別紙第１号））の内容を十分説明し、本人署名・押印の
   　うえ当該誓約書を徴求する。
   　当該誓約書は、退任・退職時まで有効とする。
   　尚、「誓約書」管理・保管は総務部が行う。

3. 職員への安全管理措置の周知徹底・教育及び訓練
   Ａ．個人データ管理責任者は職員に対する教育・研修を計画的に実施し、実施状況を確認する。
   Ｂ．教育・研修の対象者は、個人データの取扱いに係る業務に従事させている全ての職員とする。

４．技術的安全管理措置

記録媒体上の個人データに対する正当なアクセスであることを確認するためにアクセス権限を有する職員本人であることの識別と認証を行うこととし、詳細は「システム運用マニュアル」または「端末管理マニュアル」の定めに準ずる。

５．その他安全管理措置

• �@施設の管理
• 　侵入、破壊、漏洩等を防止するため、適切なセキュリティ障壁及び入退館（室）管理を伴う、明確なセキュリティ境界に
• 　よって保護された領域を構築し、個人データを扱う機器類はその中に設置するとともに、個人データを取扱う業務は
• 　その中で実施する。詳細は「セキュリティ管理マニュアル」の定めに準ずる。
• 　Ａ．不法侵入を防止するため、個人データを取扱う機器類を設置した建物又は室の出入口には出入管理設備、
• 　　　防犯設備を設置する。
• 　Ｂ．犯罪の未然防止と発生時の対応のため、防犯カメラ、非常通報装置等を設置することにより防犯措置を講ずる。
• 　Ｃ．個人データを扱う機器類、回線関連設備等の設置を知らせないため、個人データを取り扱っていることが推測
• 　　　されるような室名等の表示は付さない。
• 　Ｄ．安全管理の徹底のため、セキュリティが保たれた領域及び機器類の存在は、知る必要がある職員以外には
• 　　　極力知らせない。

�A入退館（室）管理
　個人データを取扱う機器類を保護するために、その重要度や建物の構造等に応じ、厳格な入退館(室)管理を実施するもの
　とし、詳細は「コンピュータ室入退室管理マニュアル」の定めに準ずる。
�B鍵の管理
　漏洩等の防止策として、建物（室）の施錠・解錠、鍵の保管及び受渡し等の記録をとり、鍵管理を行うものとし、詳細は
　「鍵管理機（システムキ―ボックス）取扱要領」の定めに準ずる。
�C機器類の管理
　コンピュータシステムを構成する各機器類の不正使用、破壊、盗難等を防止するため、部外者による機器類への
　接近の防止、機器類の盗難防止策等により、物理的に保護するものとし、詳細は「システム運用マニュアル」または
　「データファイル管理マニュアル」の定めに準ずる。
�D記録媒体等の管理
　記録媒体等の漏洩、不正使用、改ざん、紛失等を防止するため、記録媒体等の取得・入力・利用・加工、
　授受・配送・伝送、保管・保存、消去・廃棄の各段階における保護を図るものとし、
　詳細は「データファイル管理マニュアル」の定めに準ずる。

６．委託先の監督

個人データの取扱いの全部又は一部を委託する場合は、個人データの安全管理の徹底が図られるよう、委託先に対する必要かつ適切な監督を行うものとし、詳細は「外部委託に関する取扱マニュアル」の定めに準ずる。