個人データの安全管理に係る基本方針

個人データの安全管理に係る基本方針

当社は、個人情報保護の重要性に鑑み、個人データの適法かつ適正な取扱いを確保するため、 個人情報の保護に関する法律、番号法、金融分野における個人情報保護に関するガイドライン、 その他関係法令・ガイドライン等を遵守し、個人データの安全管理に係る基本方針を定めます。

第1条(目的)

本方針は、当社が取り扱う個人データについて、漏えい、滅失または毀損の防止その他の安全管理のため、 必要かつ適切な措置を講じることにより、お客さま、取引先、役職員その他関係者の権利利益を保護し、 保険代理店としての信頼性を確保することを目的とします。

第2条(当社の名称および管理体制)

事業者名 株式会社秋田ふれあい
代表者 代表取締役 石井 明
安全管理措置に関する質問・苦情処理窓口 内部監査室 018-896-6010(代表)
個人データ管理責任者 代表取締役または当社が定める個人データ管理責任者
点検・監査担当 内部監査室

第3条(個人データの安全管理に関する宣言)

当社は、お客さま、取引先、役職員その他関係者の個人データを適正かつ適切に取り扱い、 個人データの漏えい、滅失または毀損を防止するため、組織的、人的、物理的、技術的安全管理措置を講じます。

第4条(関係法令等の遵守)

当社は、個人データの取扱いに関し、個人情報保護法、番号法、金融分野における個人情報保護に関するガイドライン、 特定個人情報の適正な取扱いに関するガイドライン、所属保険会社の個人情報管理ルールその他関係法令・規範を遵守します。

第5条(継続的改善)

当社は、個人データの取扱状況、情報システムの利用状況、法令改正、事故・ヒヤリハット、内部監査の結果等を踏まえ、 個人データの安全管理に関する取組みを継続的に見直し、改善します。

第6条(安全管理措置の基本分類)

当社は、個人データの管理段階に応じ、次の安全管理措置を講じます。

  • 組織的安全管理措置:責任者・担当者の明確化、取扱規程の整備、点検・監査、事故対応体制の整備
  • 人的安全管理措置:役職員への教育、守秘義務の明確化、取扱手順の周知、遵守状況の確認
  • 物理的安全管理措置:取扱区域の管理、紙帳票・電子媒体・端末の盗難・紛失防止、廃棄管理
  • 技術的安全管理措置:利用者認証、アクセス制御、権限管理、ログ取得・分析、不正アクセス対策
  • 外的環境の把握:クラウドサービスその他外部サービスを利用する場合、個人データを取り扱う国・地域の制度を把握したうえで必要な措置を講じること
  • 委託先の監督:個人データの取扱いを外部委託する場合、委託先の選定、契約、再委託管理、事故時報告、定期確認を行うこと

第7条(取得・入力段階の安全管理措置)

1.組織的安全管理措置

  • 個人データの取得目的、取得方法、取得担当者、取得経路を明確にします。
  • 本人から直接取得する場合は、利用目的を明示または公表します。
  • 保険会社システム、申込書、意向確認書、本人確認書類等の取得・入力手順を整備します。

2.人的安全管理措置

  • 取得・入力担当者に対し、利用目的、本人確認、誤入力防止、センシティブ情報の取扱いについて教育します。
  • 重要情報の入力時は、必要に応じて担当者による確認またはダブルチェックを行います。

3.物理的安全管理措置

  • 申込書、本人確認書類、医的情報等を取り扱う場所を管理し、放置、紛失、覗き見を防止します。
  • 紙媒体は施錠可能な保管庫等で管理します。

4.技術的安全管理措置

  • 入力に使用する社内システム、保険会社システム等について、ID・パスワード、二要素認証等により利用者を識別・認証します。
  • 入力権限は業務上必要な者に限定し、定期的に見直します。

第8条(利用・加工段階の安全管理措置)

1.組織的安全管理措置

  • 個人データは、あらかじめ特定した利用目的の範囲内で利用します。
  • 比較推奨販売、契約管理、事故対応、保険金請求支援、内部監査、研修等の目的ごとに利用範囲を明確にします。

2.人的安全管理措置

  • 利用者ごとの役割と権限を明確にし、目的外利用を禁止します。
  • 個人データを加工して資料化する場合は、提出目的に応じてマスキング、匿名化、不要情報の削除を行います。

3.物理的安全管理措置

  • 個人データを利用する端末、帳票、ファイルを第三者が容易に閲覧できないよう管理します。
  • 離席時の画面ロック、帳票の裏返し・回収、会議資料の残置防止を徹底します。

4.技術的安全管理措置

  • 社内システムおよび保険会社システムのアクセス権限を業務上必要な範囲に限定します。
  • アクセスログ、ダウンロードログ、操作ログ等を取得し、必要に応じて確認します。
  • M-Filter、LANSCOPEその他導入済みの情報セキュリティ対策を活用し、不正利用、外部送信、端末利用状況を管理します。

第9条(保管・保存段階の安全管理措置)

1.組織的安全管理措置

  • 個人データの保存期間、保管場所、管理責任者を明確にします。
  • 保険契約関係書類、事故関係書類、本人確認書類、教育・監査記録等について、保存期間を定めて管理します。

2.人的安全管理措置

  • 保管担当者に対し、持出し禁止、施錠管理、閲覧制限、廃棄手順を周知します。
  • 保管状況について、定期的な自己点検または内部監査を実施します。

3.物理的安全管理措置

  • 紙媒体は施錠可能なキャビネット、書庫、保管庫等で管理します。
  • 電子媒体、バックアップ媒体、USB等可搬媒体は、業務上必要な場合を除き使用を制限し、使用する場合は管理責任者の承認を要します。

4.技術的安全管理措置

  • 保存システムについて、アクセス制御、パスワード管理、バックアップ、ウイルス対策、セキュリティパッチ適用を行います。
  • 重要データについては、必要に応じて暗号化、アクセス制限、バックアップ復旧手順の整備を行います。

第10条(移送・送信段階の安全管理措置)

1.組織的安全管理措置

  • 個人データを郵送、FAX、電子メール、クラウド、保険会社システム、外部媒体等により移送・送信する場合の手順を定めます。
  • 送信前に、宛先、添付ファイル、送信内容、送信方法を確認します。

2.人的安全管理措置

  • 誤送信、誤FAX、誤交付を防止するため、送信前確認、必要に応じた上長承認またはダブルチェックを行います。
  • 個人データを社外へ送信する場合は、業務上必要な範囲に限定します。

3.物理的安全管理措置

  • 郵送・持参する場合は、封緘、宛先確認、追跡可能な方法の利用等により紛失・誤交付を防止します。
  • 紙媒体や電子媒体を持ち出す場合は、管理責任者の承認、持出記録、返却確認を行います。

4.技術的安全管理措置

  • 電子メール送信時は、必要に応じてパスワード設定、暗号化、送信前確認、添付ファイル制限等を行います。
  • 外部サービスを利用する場合は、アクセス権限、共有範囲、公開設定、ログ等を確認します。

第11条(消去・廃棄段階の安全管理措置)

1.組織的安全管理措置

  • 保存期間を経過した個人データ、利用目的を達成し不要となった個人データについて、削除・廃棄手順を定めます。
  • 消去・廃棄を行った場合は、必要に応じて実施日、対象、方法、担当者を記録します。

2.人的安全管理措置

  • 消去・廃棄担当者に対し、復元不能な廃棄方法、誤廃棄防止、廃棄記録の作成について教育します。
  • 重要書類の廃棄は、担当者単独で行わず、必要に応じて確認者を置きます。

3.物理的安全管理措置

  • 紙媒体は、シュレッダー、溶解処理、専門業者による廃棄等、復元困難な方法で廃棄します。
  • 電子媒体、記録媒体、端末を廃棄する場合は、物理破壊、初期化、データ消去等を行います。

4.技術的安全管理措置

  • 電子データは、削除権限を限定し、誤削除・未削除を防止します。
  • 必要に応じて、データ消去ソフトウェア、初期化、暗号鍵削除等により復元防止措置を講じます。

第12条(漏えい等事案への対応)

  1. 個人データの漏えい、滅失、毀損、不正アクセス、誤送信、紛失、盗難等が発生し、または発生したおそれがある場合、発見者は直ちに上長および内部監査室へ報告します。
  2. 当社は、事実関係の確認、被害拡大防止、原因究明、再発防止策の策定、関係者への報告を速やかに行います。
  3. 必要に応じて、本人への通知、委託元保険会社への報告、個人情報保護委員会その他関係当局への報告を行います。
  4. 個人番号または特定個人情報を含む事案については、番号法および特定個人情報に関するガイドラインに従い対応します。
  5. 漏えい等事案の対応経過、判断根拠、再発防止策、完了確認は記録し、内部監査または経営陣への報告対象とします。

第13条(委託先の監督)

  1. 当社は、個人データの取扱いを外部に委託する場合、委託先の安全管理体制を確認したうえで選定します。
  2. 委託契約には、秘密保持、目的外利用の禁止、再委託の制限または管理、事故時の報告、返却・廃棄、監査または確認に関する事項を定めます。
  3. 委託先の管理状況について、契約内容、業務内容、取扱データの重要性に応じて、定期的に確認します。

第14条(外的環境の把握)

  1. 当社は、クラウドサービス、外部システム、海外に所在する事業者等を利用して個人データを取り扱う場合、当該国または地域における個人情報保護制度を把握するよう努めます。
  2. 外的環境を踏まえ、契約、アクセス制御、暗号化、ログ確認、委託先確認その他必要な安全管理措置を講じます。

第15条(点検・監査および改善)

  1. 当社は、個人データの取扱状況について、定期的な自己点検、内部監査、必要に応じた臨時点検を実施します。
  2. 点検・監査により不備、リスク、改善事項が確認された場合、責任者、期限、改善内容を明確にし、改善完了まで管理します。
  3. 本方針および関連規程は、法令改正、事故発生、システム変更、内部監査結果等を踏まえ、必要に応じて見直します。

以上のとおり、当社は、個人データについて、漏えい、滅失または毀損の防止その他の適切な管理のために必要かつ適切な措置を講じます。


FA経営サポートはTOUGH SHOP秋田Businessへ

TOUGH SHOP秋田ビジネスは「FA代理店経営課題の御用聞き」サイトです。 FA代理店の皆様が現在抱えている問題(広報強化策、経営資源発掘と有効活用、人材確保、保険事業強化等々)の解決支援をさせて頂きます。 FA代理店の皆様とTOUGH SHOP秋田の蓄積されたナレッジ活用で更なるビジネスチャンスを拡大していきます。