お問い合わせフォーム

個人情報取扱規程

第１章　総則
（目的）
第１条　この規程（以下、「本規程」という。）は、アッシュ・ペー・フランス株式会社（以下、「当社」という。）における個人情報の適正な取扱いの確保に関し必要な事項を定めることにより、当社の事業の適正かつ円滑な運営を図りつつ、個人の権利利益を保護することを目的とする。
　　２　個人番号の取扱いについては、別途定める特定個人情報取扱規程に従う。

（定義）
第２条　本規程における用語の定義は、次の各号に定めるところによる。
　　 (1)　個人情報
　　　　　生存する個人に関する情報であって、次の各号のいずれかに該当するもの
　　　　①　当該情報に含まれる氏名、生年月日その他の記述等（文書、図面若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。）で作られる記録をいう。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）
　　　　②　個人情報の保護に関する法律（以下、「個人情報保護法」という。）第２条第２項に定める個人識別符号が含まれるもの
　　 (2)　要配慮個人情報
　　　　　本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして個人情報の保護に関する法律施行令（以下、「個人情報保護法施行令」という。）で定める記述等が含まれる個人情報であって、次の各号に該当するものも含む。
　　　　①　当社が行う定期健康診断の結果
　　　　②　就業規則に定める休業の請求の理由が私傷病である場合の当該休業の申請の事実及び申請内容
　　　　③　その他心身の機能や状態に関する情報であって、上記記述等が含まれるもの
　　 (3)　個人情報データベース等
　　　　　個人情報を含む情報の集合物であって、次に掲げるもの（利用方法からみて個人の権利利益を害するおそれが少ないものとして個人情報保護法施行令第４条第１項に定めるものを除く。）
　　　　①　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
　　　　②　含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの
　　 (4)　個人データ
　　　　　個人情報データベース等を構成する個人情報
　　 (5)　保有個人データ
　　　　　当社が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、次に掲げる以外のもの
　　　　①　当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
　　　　②　当該個人データの存否が明らかになることにより、違法又は不法な行為を助長し、又は誘発するおそれがあるもの
　　　　③　当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ、又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
　　　　④　当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
　　 (6)　雇用管理情報
　　　　　当社が、当社に使用されている労働者、当社に使用される労働者になろうとする者及びなろうとした者並びに過去において当社に使用されていた者の雇用管理のために収集、保管、利用等する個人情報
　　 (7)　本人
　　　　　個人情報によって識別され、又は識別され得る特定の個人
　　 (8)　従業者
　　　　　当社の組織内にあって直接間接に当社の指揮監督を受けて当社の業務に従事している者。雇用関係にある従業員（就業規則に定める社員）のみならず、取締役、監査役、派遣社員等も含まれる。
　　 (9)　仮名加工情報
　　　　　次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報
① 第1項第1号に該当する個人情報　当該個人情報に含まれる記述等の一部を削除すること（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。
② 第1項第2号に該当する個人情報　当該個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。
　　 (10)　匿名加工情報
　　　　　次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの
① 第1項第1号に該当する個人情報　当該個人情報に含まれる記述等の一部を削除すること（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。
② 第1項第2号に該当する個人情報　当該個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

（当社の責務）
第３条　当社は、個人情報保護法その他の個人情報保護に関する法令及びガイドライン等を遵守するとともに、実施するあらゆる事業を通じて個人情報の保護に努めるものとする。

第２章　個人情報の取得

（個人情報の利用目的）
第４条　当社が取り扱う個人情報の利用の目的（以下、「利用目的」という。）は、次の各号に定めるとおりとする。
（サービスへのログイン及びサービスの利用）
(1) お客様がサービスにログインするため
(2) お客様に適したサービスを提供・運用するため
(3) お客様と当社との間の取引の成立及び履行その他のお客様によるサービスの利用のため
(4) サービスの会員であるお客様の管理のため
(5) サービスの商品等の梱包・発送業務のため
(6) サービスの対価の請求のため
(7) ポイントサービスの運用のため
(8) サービスの運営上必要な事項の通知のため
(9) サービスの各種問合わせ、アフターサービス対応のため
(10) 退会したお客様へのご連絡・各種問合わせ対応のため
(11) 不正行為等の防止及び対応のため
(12) 当社が実施するサービス又は企画に関する連絡のため
(13) ユーザーの本人認証及び各種画面における登録情報の自動表示のため
(14) サービスのメンテナンスのため
（広告・マーケティングのための利用）
(15) サービス上又は第三者の媒体においてサービスの勧誘、広告その他のマーケティングをするため
(16) メールマガジンの送信のため
(17) ダイレクトメールの送付のため
(18) キャンペーン、懸賞企画、アンケートの実施のため
(19) サービス上又は第三者の媒体において第三者が広告主となる広告を配信するため
（従業者の管理のための利用）
(20) 採用選考
(21) 従業者の管理

（利用目的の特定、変更）
第５条　当社は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定するものとする。
　　２　当社は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲で行うものとする。
　　３　当社は、利用目的を変更した場合は、変更した利用目的について、本人に通知し、又は公表するものとする。

（取得に際しての利用目的の通知等）
第６条　当社は、個人情報を取得した場合は、あらかじめその利用目的を通知又は公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表するものとする。
　　２　当社は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ本人に対しその利用目的を明示するものとする。
　　　　ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合はこの限りでない。
　　３　当社は、雇用管理情報の利用目的を公表する際には、本人に内容が確実に伝わる媒体を選択する。
　　４　前三項の規定は、次に掲げる場合については、適用しない。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することにより当社の権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
(4) 取得の状況からみて利用目的が明らかであると認められる場合

（取得の制限）
第７条　当社は、偽りその他不正の手段により個人情報を取得しない。
　　２　就業規則に定める病気欠勤の場合の診断書の提出については、当該診断書の提出をもって、当該病気への罹患の事実及び診断書記載の内容に係る要配慮個人情報の取得に同意したものとみなす。
　　３　当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得しない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(5) 学術研究機関等（大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。以下同じ。）から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき（当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）（当社と当該学術研究機関等が共同して学術研究を行う場合に限る。）
(6) 当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報保護法第57条第１項各号に掲げる者その他個人情報の保護に関する法律施行規則（以下、「個人情報保護法施行規則」という。）第６条に定める者により公開されている場合
(7) その他前各号に掲げる場合に準ずるものとして個人情報保護法施行令第９条に定める場合

（第三者提供を受ける場合の記録の作成等）
第８条　当社は、第三者（国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除く。）から個人データの提供を受けるに際しては、個人情報保護法施行規則に定める方法により、次に掲げる事項の確認を行う。
　　　　ただし、当該個人データの提供が個人情報保護法第27条第１項各号又は第５項各号のいずれかに該当する場合は、この限りでない。
(1) 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人）の氏名
(2) 当該第三者による当該個人データの取得の経緯
　　２　当社は、前項に定める確認により当該個人情報が適法に取得されたことが確認できない場合は、その取得を自粛する。
　　３　当社は、第１項の規定による確認を行ったときは、個人情報保護法施行規則第23条に定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護法施行規則第24条に定める事項に関する記録を作成する。
　　４　当社は、前項の記録を、当該記録を作成した日から個人情報保護法施行規則第25条に定めるところにより同条に定める期間、保存する。

第３章　個人情報の利用

（利用目的外等の利用の制限）
第９条　当社は、利用目的の達成に必要な範囲を超えて個人情報を取り扱わないものとする。
　　２　前項は、次の各号のいずれかに該当する場合には適用しない。
(1) あらかじめ本人の同意があった場合
(2) 法令に基づく場合
(3) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(4) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(5) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(6) 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。
　　３　当社は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用しないものとする。

（データ内容の正確性の確保）
第10条　当社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努める。

第４章　個人データの提供

（個人データの提供）
第11条　当社は、次の各号に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供しない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
(5) 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。
　　２　次の各号に掲げる場合において、当該個人データの提供を受ける者は、前項の規定の適用については、第三者に該当しないものとする。
(1) 利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
(2) 合併その他の事由による事業の承継に伴って個人データが提供される場合
(3) 当社が当社グループ内で共同して利用される個人データを当該当社グループ会社に提供する場合であって、個人情報保護法第27条第５項第３号及び同条第６項に定める事項を、あらかじめ本人に通知し、又は当社ホームページに掲載する等本人が容易に知り得る状態においている場合

（第三者提供に係る記録の作成等）
第12条　当社は、個人データを第三者（国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除く。）に提供したときは、個人情報保護法施行規則第19条に定める方法により、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護法施行規則第20条に定める事項に関する記録を作成する。
　　　　ただし、当該個人データの提供が第11条第１項各号又は第２項各号のいずれかに該当する場合は、この限りでない。
　　２　当社は、前項の記録を、当該記録を作成した日から個人情報保護法施行規則第21条に定めるところにより同条に定める期間、保存する。

第５章　安全管理措置
第１節　総則

（個人データの安全管理）
第13条　当社は、個人データの取扱いに関する基本方針としてのプライバシーポリシーを別途定めるとともに、個人データの漏えい等の防止その他の個人データの安全管理のために、第２節乃至第５節に定める措置を講ずるものとする。

（委託先の監督）
第14条　当社は、個人データの取扱いの全部又は一部を当社以外の者に委託するときは、委託先における安全管理措置が個人情報保護法第23条及び本規程に定めるものと同等であることをあらかじめ確認する。
　　２　当社は、委託先との契約等において、個人データの安全管理について委託先が講ずべき措置を明らかにするよう努めるものとする。
　　３　前項の委託先との契約等においては、原則として委託先に対する実地調査を可能とする条項を含むものとし、必要に応じて個人データを取り扱う場所に赴く又はこれに代わる合理的な方法（口頭による確認を含む。）により、委託先における個人データの取扱状況を確認する。
　　４　委託先が個人データの取扱いの全部又は一部を再委託する場合には、当社の許諾を得るものとする。
　　　　また、再委託が行われた場合、当社は、委託先が再委託先に対して必要かつ適切な監督を行っているかについて監督するものとする。

第２節　組織的安全管理措置

（従業者の役割・責任）
第15条　当社の従業者は、本規程に基づき情報管理の維持向上に努めなければならない。

（個人情報データベース等の種類）
第16条　当社における個人情報データベースは、(i)実店舗において収集した個人情報に係るもの（以下、「実店舗個人情報データベース」という。）、(ii)ＥＣサイトにおいて収集した個人情報に係るもの（以下、「ＥＣ個人情報データベース」という。）、及び(iii)従業者の個人情報に係るもの（以下、「従業者個人情報データベース」という。）の３種類とする。

（総括部門及び個人情報保護責任者）
第17条　当社における個人情報の取扱いは人事総務部が総括するものとする。
　　　　人事総務部は次の業務を所管する。
(1) 従業者（個人情報保護責任者及び個人情報管理者を含む。）からの報告徴収及び従業者に対する助言・指導
(2) 委託先における個人情報の取扱状況等の監督
(3) 個人情報の安全管理に関する教育・研修の実施
(4) 第６章に定める個人情報の開示、訂正等、利用停止等の対応
(5) その他個人情報保護責任者が定める業務
　　２　管理本部長を個人情報保護責任者とする。
　　３　個人情報保護責任者は、次に掲げる業務を所管する。
(1) 個人情報の安全管理に関する規程（本規程を含む。）の制定及び変更の承認並びに周知
(2) 従業者及び個人情報管理者からの報告徴収及び取締役への報告
(3) 従業者に対する助言・指導
(4) 個人情報の記録等の管理
(5) 第14条に定める委託先における個人データ取扱状況の把握及び評価
(6) 第18条に定める苦情対応
(7) 第20条に定める情報漏えい等事案への対応
(8) 第22条に定める従業者に対する教育･研修の企画
(9) 個人情報を取り扱う保管媒体の設置場所の指定及び変更の管理
(10) 個人情報の管理区分及び権限についての設定及び変更の管理
(11) その他個人情報の安全管理に関する事項
　　４　個人情報保護責任者が別途指定する者（実店舗個人情報データベース、ＥＣサイト個人情報データベース及び従業者個人情報データベースについて、それぞれ５名程度を目安とする。）を個人情報管理者とする。
　　５　各個人情報管理者は、個人情報保護責任者の指定により、実店舗個人情報データベース、ＥＣ個人情報データベース及び従業者個人情報データベースのうちいずれか１種類のみを担当し、取り扱うものとする。
　　６　当社の個人情報データベースに係るアクセス権を有する者は、個人情報保護責任者及び個人情報管理者のみとし（ただし、実店舗において取得した個人情報を個人情報データベースに入力することを除く。）、個人情報保護責任者及び個人情報管理者は、その他の従業者が個人情報データベースにアクセスすることができないよう適切な処置を行うものとする。
　　７　個人情報管理者は、次に掲げる業務を所管する。
(1) 個人情報の利用申請の承認及び記録等の管理
(2) 個人情報の管理区分及び権限についての設定及び変更の管理
(3) 個人情報の取扱状況の把握
(4) 第23条に定める区域の指定及び変更の管理、並びに区域内の安全管理措置の実施
(5) 第26条第２項に定める削除記録の作成及び更新
(6) 従業者（各所属長を含む。）からの報告徴収及び個人情報保護責任者に対する報告
(7) その他所管部署における個人情報の安全管理に関する事項

（苦情対応）
第18条　当社は、個人情報の取扱いに関する苦情について必要な体制整備を行い、苦情があったときは、適切かつ迅速な対応に努めるものとする。
　　２　苦情対応の責任者は、個人情報保護責任者とする。

（従業者の義務）
第19条　当社の従業者又は従業者であった者は、業務上知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に使用してはならない。
　　２　個人情報の漏えい、滅失若しくは毀損（以下、「漏えい等」という。）の発生又は兆候を把握した従業者は、その旨を所属長、個人情報管理者又は個人情報保護責任者に報告するものとする。
　　３　本規程に違反している事実又は兆候を把握した従業者は、その旨を所属長、個人情報管理者又は個人情報保護責任者に報告するものとする。
　　４　所属長及び個人情報管理者は、前二項の報告を受けた際には、直ちにそれを個人情報保護責任者に報告するものとする。
　　５　個人情報保護責任者は、前三項による報告の内容を調査し、漏えい等の発生若しくは兆候があること、又は本規程に違反する事実が判明した場合には、遅滞なく代表取締役社長に報告するとともに、関係部門に適切な措置をとるよう指示するものとする。

（情報漏えい等への対応）
第20条　当社が個人データの漏えい等その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれがある事案（以下、「情報漏えい等事案」という。）の発生又は兆候を把握した場合には、個人情報保護責任者は、必要に応じて、適切かつ迅速に次の各号に定める対応を行う。
(1) 当社内部における報告及び被害の拡大防止
(2) 事実関係の調査及び原因の究明
(3) 影響範囲の特定
(4) 影響を受ける可能性のある本人への通知
(5) 再発防止策の検討及び実施
(6) 事実関係及び再発防止策等の公表
(7) 個人情報保護委員会への報告
　　２　当社は情報漏えい等事案のうち個人の権利利益を害するおそれが大きい次の各号に掲げる事案の発生又は兆候を把握した場合には、個人情報保護法施行規則で定めるところにより、個人情報保護委員会への報告及び本人への通知を行う。ただし、個人データの取扱いの全部又は一部の委託を受けた場合であって個人情報保護法施行規則の定めるところにより委託元に通知したときは個人情報保護委員会への報告及び本人への通知を、また、本人への通知が困難な場合であって本人の権利利益を保護するために必要なこれに代わるべき措置をとるときには本人への通知を、それぞれ行わないことができる。
(1) 要配慮個人情報が含まれる個人データ（高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。）の情報漏えい等事案
(2) 不正に利用されることにより財産的被害が生じるおそれがある個人データの情報漏えい等事案
(3) 不正の目的をもって行われたおそれがある個人データの情報漏えい等事案
(4) 個人データに係る本人の数が千人を超える情報漏えい等事案

（取扱状況の把握及び安全管理措置の見直し）
第21条　担当取締役又は取締役が指定する者は、個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組むため、年１回を目安に、取扱状況を点検し、安全管理措置を見直す。

第３節　人的安全管理措置

（従業者の監督・教育）
第22条　当社は、個人データの安全管理のために、従業者に対して年１回以上を目安に研修を行う。

第４節　物理的安全管理措置

（個人データを取り扱う区域の管理）
第23条　当社は、個人データを取り扱う事務を実施する区域（以下、「取扱区域」という。）について、次の各号に定める安全管理措置を講ずる。
(1) 個人データを電子媒体（ＰＣ、スマートフォン、タブレット等をいう。以下同じ。）で取り扱う場合、離席時にスクリーンセーバーの起動又はコンピュータのロック等で閲覧できないようにすること。
(2) 個人データを記した書類、電子媒体等を、机上等の容易に持ち出し又は閲覧可能な場所に放置しないこと。
(3) 座席配置を工夫し、権限を有しない者が後ろから容易に個人データを閲覧できないようにすること。

（機器及び電子媒体等の盗難等の防止）
第24条　当社は、個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、次の各号に定める安全管理措置を講ずる。
(1) 個人データを取り扱う書類等は、施錠できるキャビネット・書庫等に保管すること。
(2) 個人データを取り扱う電子媒体（ＰＣ、スマートフォン、タブレット等）は、(i)パスワードによるロックを行い、(ii)夜間その他店舗又は事務所を閉鎖する際は、施錠できるキャビネット・書庫等に保管するものとし、(iii)可能な場合には当該電子媒体にセキュリティワイヤーを付けて固定し、持ち出しをできないこととすること。

（電子媒体等を持ち出す場合の漏えい等の防止）
第25条　当社は、個人データが記録された電子媒体又は書類等を取扱区域の外に持ち出す場合、次の各号に定める措置を講じる。
(1) 個人データが記載された書類等は、封繊、目隠しシールの貼付、その他これらと同等の漏えい防止策を行うこと。
(2) 個人データを記した書類、電子媒体等を、机上等の容易に持ち出し又は閲覧可能な場所に放置しないこと。
(3) 個人データが記録された電子媒体（ＵＳＢ、ＣＤ－Ｒ、ＤＶＤ－Ｒ等）は持ち出しを禁止すること。

（個人データの削除、機器及び電子媒体等の廃棄）
第26条　当社は、個人データを削除又は廃棄する際には、次の各号に定める内容に従って、復元できない手段で削除又は廃棄する。
(1) 個人データが記載された書類を廃棄する場合、焼却、溶解、適切なシュレッダー処理等を行う。
(2) 個人データが記録された機器又は電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアを利用するか、又は物理的な破壊を行う。
　　２　個人データが記録された機器・電子媒体等を廃棄した場合には、個人情報管理者は、削除又は廃棄した事実を記録し保存する。
　　３　実店舗に勤務する従業者は、自らが勤務する実店舗において紙媒体にて個人情報を取得した場合、速やかに個人情報データベースに入力するものとし、当該入力後、当該紙媒体については速やかに廃棄するものとする。当該従業者は、当該廃棄後速やかに、当該廃棄の事実を社内メールにより、所属長又は個人情報管理者に対して報告するものとする。当該報告を受けた所属長は、個人情報管理者に対して当該内容を速やかに報告するものとする。

第５節　技術的安全管理措置

（技術的安全管理措置）
第27条　当社は、個人データ及びそれを取り扱う情報システムに対し次の各号に定める措置を講じる。
(1) 個人データへのアクセスにおける識別と認証
(2) 個人データへのアクセス制御
(3) 個人データへのアクセス権限の管理
(4) 個人データのアクセスの記録
(5) 個人データを取り扱う情報システムについてファイアウォールの設置及びセキュリティ対策ソフトウェアの導入による不正アクセスの防止
(6) 個人データの移送・送信時のパスワード設定等による保護
(7) 個人データを取り扱う情報システムのログの定期的な分析
(8) 個人データを取り扱う情報システムの監視
(9) 情報システムの設計の継続的な見直し

第６章　個人情報の開示、訂正等、利用停止等

（保有個人データに関する事項の公表等）
第28条　当社は、保有個人データに関し、個人情報保護法第32条第１項に定める事項をホームページ等で公表し、又は本人の求めに応じて遅延なく回答する方法により、本人の知り得る状態に置く。
　　２　当社は、本人から当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し遅延なくこれを通知する。
　　　　ただし、次の各号のいずれかに該当する場合は、この限りでない。
(1) 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
(2) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(3) 利用目的を本人に通知し、又は公表することにより当社の権利又は正当な利益を害するおそれがある場合
(4) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
　　３　当社は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し遅延なくその旨を通知する。

（個人情報の開示等）
第29条　当社は、本人から、当該本人が識別される保有個人データ又は第8条若しくは第12条に定める第三者提供に関する記録について、書面又は口頭により、その開示（当該本人が識別される保有個人データを保有していないときにその旨を知らせることを含む。以下同じ。）の請求があったときは、身分証明書等により本人であることを確認の上、開示をするものとする。
　　　　ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3) 他の法令に違反することとなる場合
　　２　開示は、電磁的記録の提供による方法又は書面の交付による方法のうち本人が請求した方法（電磁的記録の提供の方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法）により行うものとする。ただし、開示の請求をした者の同意があるときは、それ以外の方法により開示をすることができる。
　　３　保有個人データの開示又は不開示の決定の通知は、本人に対し、遅滞なく行うものとする。

（個人情報の訂正等）
第30条　当社は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除（以下、「訂正等」という。）を請求された場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行う。
　　２　当社は、前項の規定に基づき請求された保有個人データの内容の訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨（訂正等を行ったときは、その内容を含む。）を通知するものとする。
　　３　当社は、前項の通知を受けた者から、再度請求があったときは、前項と同様の処理を行うものとする。

（個人情報の利用停止等）
第31条　当社は、本人から、当該本人が識別される保有個人データについて、次の各号（第(3)号を除く。）のいずれかの理由によって、当該保有個人データの利用の停止又は消去（以下、「利用停止等」という。）を請求された場合、又は第(3)号乃至第(6)号のいずれかの理由によって、当該個人情報に係る保有個人データの第三者への提供の停止（以下、「第三者提供の停止」という。）を請求された場合で、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの利用停止等又は第三者提供の停止を行うものとする。
(1) 保有個人データが第9条の規定に違反して取り扱われている場合
(2) 保有個人データが第7条の規定に違反して取得されたものである場合
(3) 保有個人データが第11条の規定に違反して第三者に提供されている場合
(4) 保有個人データを利用する必要がなくなった場合
(5) 保有個人データに係る第20条第2項に掲げる報告事案が生じた場合
(6) その他、保有個人データの取扱いにより本人の権利又は正当な利益が害されるおそれがある場合
　　　　ただし、当該保有個人データの利用停止等又は第三者提供の停止に多額の費用を要する場合その他の利用停止等又は第三者提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
　　２　当社は、前項の規定に基づき請求された保有個人データについて、利用停止等を行ったとき、若しくは利用停止等を行わない旨の決定をしたとき、又は第三者提供の停止を行ったとき、若しくは第三者提供の停止を行わない旨の決定をしたときは、本人に対し遅滞なくその旨（本人から求められた措置と異なる措置を行う場合にはその措置内容を含む。）を通知するものとする。

（理由の説明）
第32条　当社は、第28条第３項、第29条第３項、第30条第２項又は第31条第２項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合、又はその措置と異なる措置をとる旨を通知する場合は、本人に対しその理由を説明するよう努める。

第７章　仮名加工情報及び匿名加工情報

（仮名加工情報及び匿名加工情報に係る取扱い等）
第33条　当社は、個人情報保護法、個人情報の保護に関する法律についてのガイドライン（仮名加工情報・匿名加工情報）その他関係法令及びガイドライン等に従い、仮名加工情報及び匿名加工情報を作成し、取り扱うものとする。

附則
2022年7月26日　制定