個人情報保護要綱

令和6年1月1日 理事長決定

第1章 総則

(目的)

第1条 この要綱は、公益財団法人東京都スポーツ文化事業団(以下「事業団」という。)の事業の用に供している個人情報の適切な保護に対する取組として、個人情報の適切な取扱い並びに、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ改善するための具体的な手順を定めるものである。本要綱に、個人情報保護マネジメントシステムの具体的な手順を定めるとともに、個人情報保護マネジメントシステム上利用する、記録類等との関係を示す。

(適用範囲)

第2条 この要綱の適用は事業団全体に渡るものであり、従業者を対象とする。

(定義)

第3条 この要綱の用語の定義は次のとおりとし、その他の用語の定義については、「公益財団法人東京都スポーツ文化事業団個人情報の保護に関する規程」(以下「保護規程」という。)に定めるところによる。
(1)「監査」 事業団の個人情報保護マネジメントシステムがJIS Q 15001:2017の要求事項に合致していること、及びその運用状況についての監査をいう。
(2)「監査員」 個人情報保護に関する監査業務を担当する者をいう。

(事業団等の責務)

第4条 事業団は、この要綱の目的を達成するため、個人情報の保護に関し必要な措置を講ずるとともに、個人情報がみだりに公にされることのないよう最大限の配慮をしなければならない。
2 事業団の従業者は、職務上知り得た個人情報をみだりに他人に知らせ、又は不当な目的に使用してはならない。その職を退いた後も同様とする。

(個人情報保護方針)

第5条 個人情報保護方針の管理手順は、保護規程に定めるところによる。

第2章 計画

(個人情報の特定)

第6条 各担当課長は、毎年4月及び新規個人情報取得時、既存個人情報の取扱変更時に、個人情報フロー及び個人情報リスク分析対応表(第5号様式)に業務ごとの個人情報の取扱いの流れを特定し、個人情報保護管理者の承認を得る。
2 各担当課長は、毎年4月及び新規個人情報取得時、既存個人情報の取扱変更時に、保護規程第27条に定める個人情報管理台帳に個人情報の利用目的・内容・件数・取得方法・媒体の把握、取扱状況(保管方法・利用/保管期間・廃棄方法)等を記録し、個人情報保護管理者の承認を得る。

(法令、国が定める指針その他の規範)

第7条 事務局は、毎年3月及び新規法令等制定時、既存法令等改正時に、インターネットや新聞等の情報から法令等の改正・新規制定の情報を得て、個人情報保護マネジメントシステムへの関連性があるものについて、個人情報に関する法令、国が定める指針その他の規範(第6号様式)に登録・更新し、個人情報保護管理者の承認を得る。
2 個人情報保護管理者は、登録・更新した個人情報に関する法令、国が定める指針その他の規範をサーバ内の所定のフォルダに格納し、従業者が閲覧可能な状態を維持する。

(リスクなどの認識、分析及び対策)

第8条 各担当課長は、毎年3月及び新規個人情報取得時、既存個人情報の取扱変更時に、個人情報フロー及び個人情報リスク分析対応表(第5号様式)により、ライフサイクルに応じた個人情報に関するリスクを特定し、リスク分析を実施し、リスクに応じた対策を講じ、残存リスクを把握して結果を記録し、個人情報保護管理者の承認を得る。

(資源、役割、責任及び権限)

第9条 理事長は、次のとおりに個人情報保護マネジメントシステムにおける各担当者の役割、責任及び権限を定める。
(1) 代表者 理事長 次の責任及び権限を持つ。
  ア 個人情報保護に関するすべての指揮権限を有し、事業団の保有する個人情報の保護に関する最終的な責任を負う。
  イ 個人情報保護方針を制定し、公表するとともに、これを実行し維持する。
  ウ 個人情報保護マネジメントシステムの見直しを定期的に行い、必要な場合改善の指示を出す。
(2) 個人情報保護管理者 事務局長 次の責任及び権限を持つ。
  ア 理事長により、JIS Q 15001:2017の内容を理解し実践する能力のある者が事業団の内部から指名され、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく持つ。
  イ 個人情報保護マネジメントシステム事務局を主催する。
  ウ 理事長による個人情報保護マネジメントシステムの見直し及び改善の基礎となる個人情報保護マネジメントシステムの実績に関する情報を取得し、状況を報告する。また見直し結果の改善指示の結果を確認する。
(3)個人情報保護監査責任者 事務局総務担当課長 次の責任及び権限を持つ。
   理事長により内部から指名され、公平かつ客観的な立場で、個人情報保護マネジメントシステムとその実施状況に係わる監査を計画・実施し、その結果を理事長に報告する。
(4)個人情報窓口責任者 個人情報保護管理者が指定する者 次の責任及び権限を持つ。
  ア 個人情報に関する開示等の手続き及び苦情・相談の窓口を運用する。
  イ 相談窓口の運用について、個人情報保護管理者に報告し、必要な場合対応する。
(5) 教育責任者 事務局人事給与担当課長 次の責任及び権限を持つ。
    従業者等に対する個人情報保護に関する教育を計画し、実施及び指導を行う。
(6) システム責任者 事務局経営企画担当課長 次の責任及び権限を持つ。
    事業団内情報システムを管理するとともに、情報システムの適正な利用が行えるよう、必要な対策を講じ、実施を指示する。
(7) 個人番号統括責任者 事業所長 次の責任及び権限を持つ。
    個人番号の取扱いに関する手順の決定、職員への周知教育及び指示、及び個人番号の取扱いに関する情報漏洩・規定違反及びその兆候の発見時に、報告を受けて対応を指揮する責任と権限を有する。
(8) 個人番号事務取扱者 事務局経理担当課長 次の責任及び権限を持つ。
    収集した個人番号を、安全管理手順に従い、利用目的の範囲内で適切に利用し、情報漏洩・規定違反及びその兆候を発見した場合、速やかに理事長に報告し、指示に従って対処を行う。
(9) 個人情報保護マネジメントシステム事務局 事務局次長 次の責任及び権限を持つ。
  ア 個人情報保護マネジメントシステムの策定及びその実施のために個人情報保護管理者を補佐する。
  イ 個人情報保護マネジメントシステム文書の作成及び見直しをする。

(内部規程)

第10条 個人情報保護管理者は、以下に示す、JIS Q 15001:2017が要求する内部規程及び事業団が必要と判断した内部規程を定め、本要綱第36条に従って作成、承認、配付、改訂を行い維持する。
(1)個人情報を特定する手順に関する規定 本要綱第6条
(2)法令、国が定める指針その他の規範の特定、参照及び維持に関する規定 本要綱第7条
(3)個人情報に関するリスクの認識、分析及び対策の手順に関する規定 本要綱第8条
(4)事業団の各部門及び階層における個人情報を保護するための権限及び責任に関する規定 本要綱第9条
(5)緊急事態(個人情報が漏えい、滅失又はき損をした場合)への準備及び対応に関する規定 本要綱第12条
(6)個人情報の取得、利用及び提供に関する規定 本要綱第15条〜第21条
(7)個人情報の適正管理に関する規定 本要綱第22条〜第26条
(8)本人からの開示等の求めへの対応に関する規定 本要綱第27条〜第33条
(9)教育に関する規定 本要綱第34条
(10)個人情報保護マネジメントシステム文書の管理に関する規定 本要綱第35条〜第37条
(11)苦情及び相談への対応に関する規定 本要綱第38条
(12)点検に関する規定 本要綱第39条~第40条
(13)是正処置及び予防処置に関する規定 本要綱第41条
(14)代表者による見直しに関する規定 本要綱第42条
(15)内部規程の違反に関する罰則の規定 事業団就業規則
2 個人情報保護管理者は、事業の内容に応じて、個人情報保護マネジメントシステムが確実に適用されるように内部規程を改訂する。

(計画書)

第11条 教育責任者は、理事長の承認のもとに、本要綱第34条に従い教育計画書(第7号様式)を作成し、関係者への周知を確実にし、教育を実施する。
2 個人情報保護監査責任者は、理事長の承認のもとに、本要綱第40条に従い監査計画書(第8号様式)を作成し、関係者への周知を確実にし、監査を実施する。

(緊急事態への準備)

第12条 従業者は、個人情報フロー及び個人情報リスク分析対応表によって、経済的不利益・社会的信用の失墜及び本人への影響の高さを判断し(本要綱第8条による)、すべての個人情報に関して、漏えい・滅失・き損等の事故が発生した場合、それらを緊急事態として特定する。
2 従業者は、緊急事態が発生した場合は、個人情報保護管理者及び理事長に報告する。
3 個人情報保護管理者及び理事長は、報告を受け、速やかに事実関係、発生原因及び対応策を調査・検討し、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれを考慮し、その影響を最小限するための手順として、個人情報保護管理者を中心とした情報収集を速やかに行い、かつ下記連絡先へ迅速に連絡するものとする。
(1) プライバシーマーク審査機関:一般財団法人放送セキュリティセンター
    プライバシーマーク推進部 03-5213-4712
(2) 主務官庁:文部科学省大臣官房総務課文書情報管理室:03-5253-4111
(3) 特定個人情報に関わる重大事故の場合:個人情報保護委員会 0120-95-0178
(4) 東京都教育庁生涯学習スポーツ部計画課:03-5320-6853
4 個人情報保護管理者及び理事長は、漏えい、滅失又はき損が発生した個人情報の本人及び3項に定める事業団内外の関係者に、以下の事項を遅滞無く、ウェブサイトへの掲載や個人情報に関する事故等の報告(第9号様式)の提出等の方法により、通知・公表する。
(1) 事件・事故の情報(経緯・原因・規模)
(2) 被害に遭った情報に対する機微情報の有無
(3) 事件・事故に関する相談窓口の連絡先
(4) 被害に遭った個人情報の内容とそれにより予想される被害者への影響
(5) 事業団が現在までに行なった対策・今後の予定

第3章 実施及び運用

(運用手順)

第13条 個人情報保護管理者は、個人情報保護マネジメントシステムを確実に実施するために、本要綱第4章、第5章、第6章及び第7章において運用の手順を明確にする。

第4章 取得、利用及び提供に関する原則

(利用目的の特定)

第14条 個人情報保護管理者は、個人情報を取得するに当たっては、本要綱第6条の手順に従って個人情報管理台帳にその利用目的をできる限り特定し、その目的の達成に必要な限度において行う。

(適正な取得)

第15条 従業者は、個人情報の取得を、次の手順により適法かつ公正な手段によって行う。
2 個人情報保護管理者は、業務担当者から新規個人情報取得・既存個人情報の取扱変更の必要性の連絡を受け、状況を調査する。
3 個人情報保護管理者は、個人情報の内容・取得方法・取扱方法、及び本要綱第16条から第21条までに関するただし書への該当の確認を含めて調査を行い、承認可否を検討する。
4 個人情報保護管理者は、本人から直接取得する以外の方法で個人情報を取得する場合(受託による取得を含む)は、提供元又は委託元が適正に個人情報を取り扱っているか確認する。
5 承認した場合は、必要な指示事項を担当者に伝達し、実施を確認する。
6 調査や承認の記録は個人情報取得・取扱届出書(第10号様式)に明記する。

(要配慮個人情報の取得、利用及び提供の制限)

第16条 従業者は、保護規程第16条に示す内容を含む個人情報の取得、利用又は提供は、行ってはならない。ただし、これらの取得、利用又は提供について、明示的な本人の同意がある場合及び保護規程第16条第1項及び第2項各号のいずれかに該当する場合で、個人情報取得・取扱届出書により個人情報保護管理者の承認を得た場合は、この限りでない。
2 従業者は、保護規程第16条ただし書により同意を得る場合は、本要綱第17条に定める手順に従って本人から明示的な同意を得た上で、要配慮個人情報を取得、利用、提供する。

(本人から直接書面によって取得する場合の措置)

第17条 従業者は、直接書面により、新規の種類の個人情報を取得する場合、本要綱第15条の手順に従い、個人情報取得・取扱届出書により個人情報保護管理者の承認を得た上で行うものとする。
2 事務局人事給与担当は、新規従業者採用時に、取得する社会保険・給与振込み等に関する個人情報について個人情報の取扱いについて(第11号様式)を提示し、署名により同意を得る。
3 従業者は、事業の申込時に、取得する申込者の所属先、氏名、連絡先等に関する個人情報について事業申込書(第12号様式)を提示し、本人の同意を得る。
4 特定個人情報の事務取扱担当者は、特定個人情報を取得する場合は、個人番号提供のお願い(第13号様式)を掲示・通知することにより利用目的を明示し、必要に応じて内閣府の定める本人確認の措置により、本人確認の上取得する。
5 従業者は、保護規程第17条から第19条までのただし書を適用する場合は、本要綱第15条に従って個人情報取得・取扱届出書により個人情報保護管理者の承認を得る。

(個人情報を前条以外の方法によって取得した場合の措置)

第18条 従業者は、個人情報を前条以外の方法によって新規の種類の個人情報を取得する場合、本要綱第15条の手順に従い、個人情報取得・取扱届出書により個人情報保護管理者の承認を得た上で行うものとする。ただし、保護規程第18条のただし書に示すいずれかに該当する場合は、この限りではない。また本人以外から個人情報を取得する場合、提供元・委託元が個人情報を適正に取り扱っていることを確認する。
2 従業者は、保護規程第18条のただし書を適用する場合は、本要綱第15条に従って個人情報取得・取扱届出書により個人情報保護管理者の承認を得る。
3 個人情報保護管理者は、次の利用目的に関する公表内容を事業団公式ウェブサイトに掲載して公表する。

当事業団が直接書面以外の方法で個人情報を取得する場合の利用目的は、以下のとおりです。
① 体育施設の運営管理
② 体育施設の利用状況の管理
③ 当事業団が主催する事業の運営管理等(外国にある第三者への提供を含む)
④ 当事業団の事業への参加者情報:参加者との御連絡、運営管理等
⑤ 大学等から提供される講師情報:当事業団の事業に参画いただく講師との業務連絡のため

(利用に関する措置)

第19条 従業者は、個人情報を利用する場合には、本人の同意の有無にかかわらず、違法または不当な行為(法令に違反する行為、法令の制度趣旨や公序良俗に反している等、社会通念上適正とは認められない行為。)を助長し、または誘発するおそれのある目的では利用しないものとする。
2 従業者は、特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならない。特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、個人情報の利用目的外の利用及び提供に関する同意書(第14号様式)により、少なくとも、保護規程第17条第1号から第6号までに規定する事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得なければならない。ただし、保護規程第19条第2項のただし書に示すいずれかに該当する場合は、この限りではない。
3 従業者は、第1項により利用目的の変更が生じる場合には、本要綱第15条に従って個人情報取得・取扱届出書により個人情報保護管理者の承認を得る。
4 従業者は、保護規程第19条第2項のただし書を適用する場合は、本要綱第15条に従って個人情報取得・取扱届出書により個人情報保護管理者の承認を得る。
5 従業者は、目的外利用に当たるかどうか判断に迷う場合は、本要綱第15条に従って個人情報取得・取扱届出書により個人情報保護管理者の判断を求め、承認を得る。

(本人にアクセスする場合の措置)

第20条 従業者は、個人情報を利用して本人にアクセスする場合には、本人に対して、個人情報の利用目的外の利用及び提供に関する同意書により、保護規程第17条第1号から第6号までに規定する事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得なければならない。ただし、保護規程第20条のただし書に示すいずれかに該当する場合は、この限りではない。
2 従業者は、個人情報を利用して本人にアクセスする場合は、本要綱第15条に従って個人情報取得・取扱届出書により個人情報保護管理者の承認を得る。
3 従業者は、保護規程第20条のただし書第2号から第6号までを適用する場合は、本要綱第15条に従って個人情報取得・取扱届出書により個人情報保護管理者の承認を得る。
4 保護規程第20条のただし書第4号に関する例外事項は該当がないため適用せず、共同利用が発生したときに手順を明確にする。

(提供に関する措置)

第21条 事業団は、個人情報を第三者に提供する場合には、あらかじめ、本人に対して、個人情報の利用目的外の利用及び提供に関する同意書(第14号様式)により、取得方法及び保護規程第17条第1号から第4号までに規定する事項又はそれと同等以上の内容の事項を通知し、本人の同意を得なければならない。ただし、保護規程第21条第1項第1号から第7号のただし書に示すいずれかに該当する場合は、この限りではない。
2 従業者は、個人情報を第三者に提供する場合は、本要綱第15条に従って個人情報取得・取扱届出書により個人情報保護管理者の承認を得る。
3 従業者は、第1項のただし書の保護規程第21条第1項第2号から第7号までを適用する場合は、本要綱第15条に従って個人情報取得・取扱届出書により個人情報保護管理者の承認を得る。
4 従業者は、第1項のただし書の保護規程第21条第1項第2号を適用する場合、必要な措置を講じる手順は書面によるものとし、本要綱第15条に従ってその旨を個人情報取得・取扱届出書に明示する。
5 従業者は、第1項のただし書の保護規程第21条第1項第3号を適用する場合、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く手順は書面又はウェブサイトによる公表によるものとし、本要綱第15条に従ってその旨を個人情報取得・取扱届出書に明示する。
6 第1項のただし書の保護規程第21条第1項第6号に関する例外事項に該当する場合は、第17条第3項に基づいて必要事項を事業申込書(第12号様式)に明記し、本人の同意を得る。
7 法令の定めに基づき、外国にある第三者に個人データを提供する場合には、保護規程第21条第9項に定める措置を行う。
8 個人データを第三者に提供した時は、保護規程第21条第10項の定めに従い、記録を作成する。
9 第三者から個人データの提供を受けるに際しては、保護規程第21条第11項の定めに従い、確認を行う。
10 保護規程第21条第12項は該当がないため適用せず、個人関連情報の利用が発生したときに手順を明確にする。
11 保護規程第21条第13項は該当がないため適用せず、匿名加工情報の利用が発生したときに手順を明確にする。
12 保護規程第21条第14項は該当がないため適用せず、仮名加工情報の利用が発生したときに手順を明確にする。

第5章 適正管理

(正確性の確保)

第22条 従業者は、利用目的の達成に必要な範囲内において、個人情報を、正確、かつ、最新の状態で管理しなければならない。
2 従業者は、データベース等に個人情報を入力する場合は、一度入力したデータを元の資料と照合して確認してから保存する。
3 従業者は、個人情報管理台帳に定められた保管期間を遵守する。

(安全管理措置)

第23条 事業団は、その取り扱う個人情報のリスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の安全管理のために、次に定める必要、かつ、適切な措置を講じなければならない。(学術研究目的で行う個人データの取り扱いについても対象となる)
(1) 入退管理
  ア 従業者は、以下の入退室管理を行う。
① 入退館管理台帳(第15号様式)に外来者の入館・退館の記録を残す。
② 室内管理簿(第16号様式)に、従業者の最初入室・最終退室及び電源・火の元等のチェック記録を残す。
③ 特定個人番号の管理区域・取扱区域は、事務室のみとする。
(2) 盗難防止
  ア 携帯可能なコンピュータ等の盗難防止として、次のいずれかの事項を行う。
① 本体をワイヤーロック等で固定する。
② 帰宅時に、机、キャビネット等に格納し施錠する。
  イ パソコンのパスワード付きスクリーンセーバーを10分に設定する。
  ウ 「個人情報管理台帳」に定められた保管方法を遵守し、物理的な媒体は施錠保管を行う。
  エ 廃棄する場合は「個人情報管理台帳」に定められた廃棄方法を遵守し、シュレッダー等による物理的廃棄、及びデータの完全削除によりセキュリティを保つ。
  オ 施設の鍵を管理鍵一覧表(第17号様式)に一覧化し、貸与状況を管理する。
  カ 携帯電話には、パスコードロック等を設定する。
(3) 物理的保護
  ア システム責任者は、機器・装置には以下の、盗難・破壊・停電・地震等への対策を実施する。
① サーバには転倒防止策を実施する。
② 事業団内利用中の携帯可能なコンピュータ等はワイヤーロックによる固定や施錠保管を行う。
③ サーバには無停電電源装置を設置する。
④ コピー機・ファクシミリ等は外部の者に容易に見られない場所に設置する。
(4) バックアップ
  ア システム責任者は、個人情報を格納するサーバについて、毎日外部サーバにバックアップを取る。バックアップに不具合が生じた場合は、システム管理委託先から連絡を受け、対処を実施する。
(5) アクセス権限管理
  ア システム責任者は、ユーザID・アクセス権限の申請を受け、承認可否を検討する。アクセス権は必要最小限とし、承認した場合はセキュリティカードを発行する。セキュリティカードの発行情報はシステム責任者が管理する。
  イ 従業者は、ログオンパスワードについて、以下の管理を実施する。
① パスワードを紙に記録して保管しない。ただし、記録がセキュリティを確保して保管される場合はその限りではない。
② パスワードが漏えいした場合、又はそのおそれのある場合、システム責任者に報告し、すみやかにパスワードを変更する。
③ パスワードは、8文字以上で設定する。
④ パスワードは、3か月に1回以上変更する。
⑤ パスワードには英数字や記号等を混在させる。
⑥ 本人の関連情報(例えば、名前、電話番号、誕生日)等他の者が容易に推測できる文字は使用しない。
⑦ 機能キーにパスワードを記憶させる等、自動ログオン処理にパスワードを含めない。
(6) アクセスログ管理
  ア システム責任者は、サーバ上のデータに対するアクセスのログを確保し、3か月に1回の運用点検の際、及び必要に応じて適宜分析し、個人情報保護マネジメントシステム運用状況報告書(第18号様式)に記録を残す。
  イ システム責任者は、サーバ上のデータに対するアクセスのログを、機密性を保って保管する。
(7) 不正ソフトウェア対策
  ア セキュリティ上問題のあるソフトウェア及びフリーソフトのインストールは禁止とする。
  イ 事業団指定のウイルス対策ソフトを常駐させ、パターンファイルの随時更新を指示する。
  ウ セキュリティパッチの適用を随時指示する。
  エ ウイルス感染が疑われる場合は、以下の措置を取る。
① 情報システムの利用を中止する。
② 電源は落とさずに、ネットワークケーブルを抜いて機器を隔離する。
③ 直ちにシステム責任者に報告する。
  オ 事業団の公式ソーシャルネットワークサービスの利用はシステム責任者が指名した者(外部委託先含む)が行うこととし、同意の無い個人情報の掲載を行わない様に配慮する。また、職員の私的なソーシャルネットワークサービスアカウントにおいて業務上知り得た個人情報や機密情報を掲載することは禁止とする。
  カ 公式ソーシャルネットワークサービスの運用を外部業者に委託する場合は、本要綱第25条に従って選定・取り交わしを行う。
(8)移送・送信対策
  ア 宅配伝票やメール、ファクシミリの送受信履歴により、個人情報の授受記録を残す。
  イ 電子メールに個人情報の含まれた添付ファイルを添付する場合には、ファイルにパスワードを掛けて送付する。
  ウ リモートアクセス・無線LANによる通信を行う場合は、システム責任者が許可した仮想専用回線を利用するものとし、暗号化等のセキュリティ設定を実施した上で利用する。
  エ インターネットを通じて個人情報を取得する場合は、SSLによる暗号化措置を講じる。

(従業者の監督)

第24条 事業団は、その従業者に個人情報を取り扱わせるに当たっては、次に定める監督を行うことで、当該個人情報の安全管理が図られるようにする。
2 事務局人事給与担当は、採用が決定した従業者及び雇用契約を結んだ従業者と保護規程第24条に定める誓約書を締結し、保管・管理する。当該誓約の効力は、従業者の退職後も一定期間有効であるものとする。
3 事業団は、従業者が個入情報保護マネジメントシステムに違反した場合は、就業規則に従って措置を行う。
4 事業団は、ビデオ及びオンラインによる従業者のモニタリングを実施しない。実施する場合は、以下の手順を定める。
(1) モニタリングの目的を特定し、事業団内規程に定め、目的を従業者に明示する。
(2) モニタリング実施に関する責任・権限を定める。
(3) モニタリングの実施に関する事業団内規程案を策定し、事前に事業団内に徹底する。
(4) モニタリングが適切に行われているか、監査又は確認を行う。

(委託先の監督)

第25条 個人情報保護管理者は、個人情報委託先選定確認書(第19号様式)に委託先の選定基準を定める。毎年3月に選定基準の見直しを行う。
2 個人情報保護管理者は、毎年3月に「個人情報委託先選定確認書」により、委託先の評価を行う。
3 個人情報保護管理者は、「個人情報委託先選定確認書」に定める選定基準を満たした委託先に対して、保護規程第25条に示す事項を機密保持契約書(第20号様式)に規定して取り交わし、十分な個人情報の保護水準を担保する。
4 事業団は、機密保持契約書や委託先が定める約款等の書面を少なくとも個人情報の保有期間にわたって保存する。

(都が保有する個人情報に係る受託等に伴う措置)

第26条 事業団は、都が保有する個人情報を取り扱う業務を受託しようとするとき(指定管理者(地方自治法(昭和22年法律第67号)第244条の2第3項に規定する指定管理者をいう。以下同じ。)として公の施設の管理を行うときを含む。)は、第23条の規定に従い、個人情報の保護に関し必要な措置を講じなければならない。

第6章 個人情報に関する本人の権利

(個人情報に関する権利)

第27条 部門長は、保護規程第27条に定める保有個人データへの該当性(ただし書に該当するか否かを含む)について、個人情報管理台帳を用いて個人情報保護管理者の承認を得なければならない。

(開示等の求めに応じる手続)

第28条 個人情報保護管理者は、開示等の求めに応じる手続として次の事項を定める。
(1)開示等の求めの申し出先
  ア 名称 公益財団法人東京都スポーツ文化事業団 お客さま相談窓口
  イ 住所 〒151-0051 東京都渋谷区千駄ヶ谷1-29-9 日本パーティビル3階
  ウ 電話番号 03-6380-4955
  エ FAX番号 03-6380-4877
  オ メールアドレス privacy@tef.or.jp
(2)開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式は、個人情報開示等申請書(第21号様式)を相談窓口に提出することによる。
(3)開示等の求めをする者が、本人又は代理人であることの確認の方法
  ア 次に明記する保有するデータと「個人情報開示等申請書」の内容を照合し、本人確認を行う。
  イ 従業者の場合は、履歴書にある氏名・住所
  ウ 代理人の場合は、委任状や、委任状に押印されている印鑑の印鑑証明をもって、正当な代理人かどうかを確認する。
(4)第30条又は第31条による場合の手数料(定めた場合に限る。)の徴収方法は、個人情報開示等申請書に定める。
2 事業団は、本人からの開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
3 事業団は、第30条又は第31条によって本人からの求めに応じる場合に、手数料を徴収するときは、実費を勘案して合理的であると認められる範囲内において、その額を定めなければならない。

(保有個人データ又は第三者提供記録に関する事項の周知など)

第29条 個人情報保護管理者は、保有個人データ又は第三者提供記録に関し、保護規程第29条に定める事項を事業団のウェブサイトに掲載し、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
2 ウェブサイトへの掲載文面は、次のとおりとする。

個人情報の開示について
公益財団法人 東京都スポーツ文化事業団
 理事長 氏 名
 個人情報保護管理者 事務局長  氏 名
1 保有個人データの利用目的
事業団が事業の用に供する個人情報は、次の目的で取得し、利用目的の範囲内で適正に取り扱います。
・人事管理情報:事業団従業者の採用選考、人事労務管理のため
・事業参加者情報:当事業団が主催する事業の運営管理等
2 個人情報の開示等に応じる手続き
事業団が保有している個人情報の利用目的の通知、個人情報の開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止又は第三者提供記録の開示等に誠実に対応いたします。手続きは下記の相談窓口までご連絡頂き、書面の提出及びご本人確認を実施の上、対応させていただきます。
※開示及び利用目的の通知手数料は、200円+書留郵送代金となります。
3 保有個人データの安全管理措置
① 事業団が保有する保有個人データに対しては、物理的・論理的なアクセス制御、移送・送信時における漏洩対策、厳重な保管及び廃棄時における対策等を実施しています。
②「個人情報保護に関する規程」に社内規程を定め、個人情報保護に努めています。
③運用状況の定期的な確認、内部監査などを実施し、運用状況の点検に努めています。
④職員には定期教育を実施し、「就業規則」に個人情報保護に関する服務規律を定めて運用しています。
4 個人情報の苦情・相談窓口
  個人情報の開示等、及び苦情・相談の窓口を次に示します。
公益財団法人東京都スポーツ文化事業団 お客さま相談窓口
 〒151-0051 東京都渋谷区千駄ヶ谷1-29-9 日本パーティビル3階
 Tel:03-6380-4955 Fax:03-6380-4877
 Mail: privacy@tef.or.jp
 受付時間:月曜日から金曜日までの午前9時から午後5時まで
 ただし、祝祭日・年末年始の休館日を除く。

(保有個人データの利用目的の通知)

第30条 個人情報窓口担当者は、本人から当該本人が識別される保有個人データについて、利用目的の通知を求められた場合には、保護規程第30条に基づく検討を実施する。検討の結果については、求めに応じない場合を含め、保護規程第30条に定める個人情報開示等報告書により個人情報保護管理者の承認を得た上で回答を行う。

(保有個人データ又は第三者提供記録の開示)

第31条 個人情報窓口担当者は、本人から当該本人が識別される保有個人データ又は第三者提供記録について、開示を求められた場合には、保護規程第31条に基づく検討を実施する。検討の結果については、求めに応じない場合を含め、個人情報開示等報告書により個人情報保護管理者の承認を得た上で回答を行う。

(保有個人データの訂正、追加又は削除)

第32条 個人情報窓口担当者は、本人から当該本人が識別される保有個人データについて、訂正、追加又は削除を求められた場合には、保護規程第32条に基づく検討を実施する。検討の結果については、求めに応じない場合を含め、個人情報開示等報告書により個人情報保護管理者の承認を得た上で回答を行う。

(保有個人データの利用又は提供の拒否権)

第33条 個人情報窓口担当者は、本人から当該本人が識別される保有個人データについて、利用又は提供の拒否を求められた場合には、保護規程第33条に基づく検討を実施する。検討の結果については、求めに応じない場合を含め、個人情報開示等報告書により個人情報保護管理者の承認を得た上で回答を行う。

第7章 教育

(教育)

第34条 教育責任者は、全ての従業者に毎年1回以上(及び新入職員入職時)及び適宜に個人情報保護に関する適切な教育を実施する。事業団は、従業者に、関連する各部門及び階層における保護規程第34条に定める事項を理解させなければならない。
2 教育責任者は、以下の手順で教育を実施する。
(1)計画 教育実施1週間前までに「教育計画書」を作成し、理事長の承認を得て教育内容を周知する。
(2)実施 当初指定した参加者全員に教育が行われるようにし、教育の有効性の確認のため、全体の7割を合格点とする理解度テストを実施する。
(3)結果の報告・レビュー 実施した教育の内容・参加者・理解度テスト結果等を教育実施記録(第22号様式)に記録する。
(4)計画の見直し 前年の教育結果を元に「教育計画書」の内容を見直し、教育計画を立案する。
(5)記録の保持 教育に関する記録は、教育責任者が事業継続中保管する。

第8章 個人情報保護マネジメントシステム文書

(文書の範囲)

第35条 事業団は、保護規程第35条に定める個人情報保護マネジメントシステムの基本となる要素を書面で記述しなければならない。
2 保護規程第35条第1項各号で規定する文書様式の名称については、文書・様式一覧表(第4号様式)に定めるものとする。

(文書管理)

第36条 個人情報保護管理者は、次の手順を実施する。
(1) 発行・改訂
  ア 文書を作成し、個人情報保護管理者の承認を得る。
  イ 文書の改訂が必要な場合は、文書を改訂し、個人情報保護管理者の承認を得る。個人情報保護管理者は、適切性及び妥当性の観点から改訂文書をレビューし、承認を行う。
(2) 版管理 文書に改訂日を記録する。
(3) 参照 文書の原本を、サーバの共有フォルダにて管理する。

(記録の管理)

第37条 従業者は、「文書・記録一覧表」に指定された記録類を、検索しやすく識別し、破損しにくい状態でファイル等に保管する。

第9章 苦情及び相談への対応

(苦情及び相談への対応)

第38条 個人情報窓口責任者は、個人情報の取扱い及び個人情報保護マネジメントシステムに関して苦情があった際は、その内容を個人情報保護マネジメントシステム苦情・相談処理報告書(第23号様式)に記録して、適切かつ迅速に対応する。
2 個人情報窓口責任者は、事実関係を調査し、本人に回答する対応内容を検討して個人情報保護管理者の承認を得た上で、謝罪及び対応を実施する。その際不当な要求等には十分注意し、必要に応じて個人情報保護管理者・理事長・警察に相談する。
3 個人情報窓口責任者は、対応内容を個人情報保護マネジメントシステム苦情・相談処理報告書に記録し、理事長に報告する。

第10章 点検

(運用の確認)

第39条 事業団は、運用の確認として次の事項を実施する。
(1)各部門長は、運用状況を確認し、3ヶ月に1度及び適宜、個人情報保護マネジメントシステム運用状況報告書に記録して個人情報保護管理者に報告する。
(2)個人情報保護管理者は、報告を受けて個人情報保護マネジメントシステム運用状況報告書を確認し、運用が不十分な点等があった場合、本要綱第41条に従って是正処置・予防処置を指示する。

(監査)

第40条 事業団は、個人情報保護マネジメントシステムのJISQ15001:2017への適合状況及び個人情報保護マネジメントシステムの運用状況を毎年1回、及び理事長・個人情報保護管理者・個人情報保護監査責任者が必要と認めた場合に監査を行う。
2 理事長は、個人情報保護監査責任者を第9条第3号に従って指名し、監査に関する業務を行わせなければならない。
3 個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、理事長に報告しなければならない。監査員の選定及び監査の実施においては、自ら所属する部門を監査しないこととし、監査の客観性及び公平性を確保しなければならない。
4 事業団は、次の手順を実施する。
(1)計画 内部監査実施の1週間前までに監査計画書を作成し、理事長の承認を得る。
(2)実施 監査チェックシート(第24号様式)及びJIS適合性チェックシート(第25号様式)を使用して監査を行い、文書類・JISQ15001:2017との整合性が確認できない部分を不適合として指摘する。
(3)是正処置 発見した不適合について是正・予防措置報告書(第26号様式)によって該当部門に改善を指示する。該当部門長は、本要綱第41条に従って是正処置を行い、是正・予防措置報告書に記録する。
(4)報告 内部監査の結果、及び改善結果を監査報告書(第27号様式)に記録して理事長に報告する。
(5)記録 内部監査に関る記録は、個人情報保護監査責任者が事業継続中保管する。

第11章 是正措置及び予防措置

(是正処置及び予防処置)

第41条 個人情報保護管理者及び個人情報保護監査責任者は、以下の事項に対して、理事長の承認を得た上で是正・予防措置報告書を発行し、期限を定めて是正処置・予防処置を指示する。
(1) 内部・外部監査結果
(2) 苦情
(3) 緊急事態
(4) 運用点検の結果
(5) 確認された不適合
(6) 情報システム等の不具合
(7) 事業団内の組織変更
(8) 新システムの導入
(9) 内部・外部監査での改善指示事項
(10) 他組織の事例
(11) セキュリティ技術動向
(12) 適用する法の制定・改正
2 従業者は、次の手順を実施する。
(1)確認した不適合の内容について是正・予防措置報告書により理事長の承認を得る。
(2)不適合の原因を特定し、立案した是正・予防処置について是正・予防措置報告書により理事長の承認を得る。
(3)その不適合に対処し、該当する場合には、必ず次の事項を行う。
  a)その不適合を管理し、修正するための処置をとる(手直し等の一次対応)。
  b)その不適合によって起こった結果に対処する(本人・相手方への影響への対処等)。
(4)期限を定め、立案された処置を実施する。
(5)是正・予防措置報告書に結果の記録を残す。
(6)是正・予防処置の有効性をレビューし、是正・予防措置報告書に記録する。

第12章 理事長による見直し

(理事長による見直し)

第42条 理事長は、毎年3月及び、理事長または個人情報保護管理者が必要と認めた場合に、個人情報保護管理者から報告を受けて個人情報保護マネジメントシステムの見直しを行い、結果を個人情報保護マネジメントシステム見直し表(第28号様式)に記録する。
2 理事長による見直しにおいては、保護規程第42条に定める事項を考慮しなければならない。

(改廃)

第43条 この要綱の改廃は、公益財団法人東京都スポーツ文化事業団諸規程管理規程に従うものとする。

 附 則 

1 この要綱は、令和6年1月1日から施行する。
2 公益財団法人東京都スポーツ文化事業団個人情報保護要綱(平成29年4月1日理事長決定)は、 廃止する。