特定非営利活動法人くろのは、以下の方針に基づき、個人情報保護に努めます。

1.     当法人は、個人の人格尊重の理念のもとに、関係法令等を遵守し、実施するあらゆる事業において、個人情報を慎重に取り扱います。

2.     当法人は、個人情報を適法かつ適正な方法で取得します。

3.     当法人は、個人情報の利用目的をできる限り特定するとともに、法令等の規定に基づく場合を除いてその利用目的の範囲でのみ個人情報を利用します。

4.     当法人は個人情報の利用目的をウェブサイトで公表するほか、ご請求に応じて適切に開示いたします。また、利用目的の変更の際にはその内容をご本人に通知するほか、ウェブサイトで公表します。

5.     当法人は、法令等の規定に基づく場合を除いて、個人データを事前の本人の同意を得ることなく第三者に提供しません。

6.     当法人は、個人データを正確かつ最新な状態に保つとともに、漏洩、滅失、棄損などを防止するため、必要かつ適切な措置を講じます。

7.     当法人は、本人が自己の保有個人データについて、開示・訂正・追加・削除・利用停止・第三者提供の停止の申出があった場合には速やかに対応します。

8.     当法人は、個人情報の取扱いに関する苦情があったときは、適正かつ速やかに対応します。

9.     当法人は、個人情報を保護するために適切な管理体制を講じるとともに、役職員の個人情報保護に関する意識啓発に努めます。また、個人情報の取扱いを外部に委託する場合においても、委託先が適切な管理を行うよう監督いたします。

10. 当法人は、この方針を実行するため、個人情報保護規程を定め、これを当法人役職員に周知徹底し、確実に実施します。

20１５年１０月１５日

個人情報保護管理者

特定非営利活動法人くろの

理事長　羽賀茂樹

第１章　総則

（目的）

 第１条　本規程は、当法人内の個人情報の取扱いに関する体制・基本ルールを策定し、当法人が保有する情報の紛失、漏洩、改ざん等を防ぎ、情報管理に関する当法人としての社会的責任を果たすことを目的とする。

 （用語の定義）

 第２条　本規程で使用する用語は以下の通りとする。

 １　個人情報
個人に関する情報で、当該情報に含まれる氏名、生年月日等の記述により特定の個人を識別できるものをいう。他の情報と容易に照合でき、それにより特定の個人が識別できるものを含む。

 ２　本人
当法人が保有する個人情報で識別される個人をいう。

 ３　役職員
当法人の役員、正規職員、パート職員をいう。

 （対象となる情報）

 第３条　本規程の対象となる情報は、当法人で保管するすべての個人情報であり、電子データ、印字データの別を問わない。

 （適用範囲）

 第４条　本規程は、当役職員に対して適用する。ボランティア、実習生等、当法人に所属しないスタッフに対しても本規定の趣旨を踏まえた適切な取扱を求めるものとする。

 又、個人情報を取り扱う業務を外部に委託する場合、必要かつ適切な監督をし、この規定に従って個人情報の適切な保護を図るものとする。

第２章　個人情報管理体制

（個人情報管理責任者）

 第５条　当法人における個人情報管理責任者は、理事長とする。

 ２　個人情報管理責任者は、個人情報管理委員会を主宰し、当法人における個人情報に関する取り組みの推進に関する責任を負う。

 ３　個人情報管理責任者は、上記責任を果たす上で必要な事項に関する決定権を有する。

 （個人情報管理委員会）

 第６条　当法人における個人情報管理に関する意思決定機関として個人情報管理委員会を設置する。

 ２　委員長は個人情報管理責任者とし、委員は役員とする。

 ３　個人情報管理委員会は、個人情報管理に関する当法人取り組みの計画立案、指示、取扱規則の策定、セキュリティ対策の実践等、必要な取組を行う。

 (個人情報管理者）

 第７条　管理者を所属部門における個人情報管理者とする。　

 ２　個人情報管理者は、個人情報管理委員会の定めた取組み計画に従って、所属部門における個人情報管理に関する取組みを推進する責務を負う。

第３章　個人情報管理に係る完全措置の概要

（個人情報保護に対する基本方針）

 第８条　個人情報管理委員会は、個人情報保護に関する当法人としての基本方針を定め、これを公表する。

 （職員の個人情報の取扱い）

 第９条　職員は、採用時に本規程及びその他個人情報管理に関する規則を遵守する旨の誓約書を法人に提出すると同時に、これらを遵守しなければならない。退職時においても、在職中に得た個人情報を漏洩しない旨の誓約書を提出しなければならない。

 (個人情報の収集）

 第１０条　収集する個人情報の利用目的を明文化し、施設内の掲示やホームページ等適切な方法により外部に公表する。

 ２　個人情報の収集は利用目的の達成に必要な限度において行う。

 ３　収集済みの個人情報の利用目的の変更を要する場合は、予め個人情報管理委員会の承認を得た上で、変更後の利用目的を公表する。

 ４　前項の規程にかかわらず、契約書等の書面やホームページへの入力結果等、本人から個人情報を直接取得する場合、書面上の明記等の手法により本人に対して利用目的を明示するものとする。

 （個人情報の保管）

 第１１条　当法人で保管する個人情報は、一元管理するものとする。

 ２　当法人で保管する個人情報は、施錠管理、アクセス権の制限等、必要かつ合理的な安全管理対策を行う。

 ３　職員は事務局長の承認なく個人情報を法人外に持ち出し、あるいは、第三者に提供してはならない。

 ４　個人情報を取引先、委託先等、外部に開示・提供する場合は、事前に事務局長の承認を得た上で、これを行うものとする。

 （個人情報の利用）

 第１２条　個人情報の利用は、あらかじめ開示した利用目的の範囲内で行い、その範囲を超えて利用を行ってはならない。ただし、法令の定めに基づく場合を除く。

 ２　データ入力等の為、個人情報の取扱を外部業者に委託する場合、委託先の個人情報取扱いが適切かどうか確認した上、業務委託契約に、業務委託遂行以外の目的での利用の禁止、業務終了後の情報の返還又は廃棄、機密保持、違反の損害賠償等の条項を設けるものとする。長期間継続して業務を委託する場合には、委託先の個人情報取扱いについて確認を行い、必要に応じて指導・契約の見直し等を行うものとする。

 （個人情報の廃棄）

 第１３条　保管期限を経過した個人情報、又は当初の目的を達成して不要となった個人情報は速やかに廃棄するものとする。

 ２　個人情報の廃棄にあたっては、外部漏洩しないよう、印字データについてはシュレッダー処理、電子データについてはデータ消去を行わなければならない。なお、廃棄を外部業者に委託する場合は、外部業者が確実に廃棄したことを確認するものとする。

 （第三者提供）

 第１４条　業務の遂行にあたり、個人情報を第三者に提供する必要がある場合は、本人の同意を得るとともにあらかじめ個人情報管理委員会に報告し、その指示に従って必要な対応を行う。

 （本人からの照会対応等）

 第１５条　個人情報に関する本人からの問合せ、情報開示・訂正・利用停止当の請求等、苦情及び照会の受付窓口を各施設とする。

 ２　受付窓口部門は対応に関する手続きを定め。これに従い速やかに必要な対応を行う。

 （教育）

 第１６条　部門個人情報管理者は、定期的に管下の職員を対象とした個人情報管理に関する教育を行う。また、ボランティア、実習生等に対しても個人情報管理の必要性についての意識喚起を図り、適切な取扱いを行うよう指導・監督する。

 （監査）

 第１７条　監事は、当法人内における個人情報管理の適切性について、適宜審査を行う。

 ２　監査を行った場合、監事は監査結果を監査対象部門及び個人情報管理委員会に伝達する。

 ３　監査対象部門は、監査結果に基づき、速やかに改善措置を実施し、結果を監事及び個人情報管理委員会に報告する。

第４章　雑則

（本規程への違反）

 第１８条　本規程への違反が明らかになった場合、当法人は規程の定めに従い、違反を行った職員を懲戒処分の対象とする。

 （規則）

 第１９条　個人情報管理責任者は、必要に応じ個人情報に関する規則を制定するものとする。

 （施行）

 第２０条　本規程は平成２７年１０月１５日より施行する。

 (改定）

 第２１条　本規程の改定は個人情報管理員会の発議によるものとする。