| 一 |
法第十五条に規定する利用目的の特定に関する事項
労働組合は、個人情報の利用の目的(以下「利用目的」という。)を特定するに当たっては、当該個人情報の供される活動、目的等が一般的かつ合理的に想定できる程度に明確に行うものとすること。 |
| 二 |
法第十六条に規定する利用目的による制限に関する事項
| (一) |
労働組合は、法第十六条第一項及び第二項の本人の同意として、書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録(以下「電磁的記録」という。)を含む。)又は口頭による明示的な同意の意思表示を得ることが望ましいものであること。 |
| (二) |
労働組合は、その活動の遂行に必要な場合に限り、個人情報を取得するものとすること。 |
| (三) |
労働組合は、その取り扱う個人データについて、利用目的の達成に必要な範囲内で保存期間を定め、当該保存期間経過後又は利用目的を達成した後は、遅滞なくこれを消去することが望ましいものであること。 |
|
| 三 |
法第十八条に規定する取得に際しての利用目的の通知等に関する事項
労働組合は、法第十八条第一項及び第三項の本人への通知をするに当たっては、書面(電磁的記録を含む。)又は口頭により行うものとし、公表をするに当たっては、労働組合の事務所における書面の掲示若しくは備付け又はホームページ上での掲載その他の方法により継続的に行うことが望ましいものであること。 |
| 四 |
法第二十条に規定する安全管理措置に関する事項
| (一) |
労働組合は、その取り扱う個人データの漏えい、滅失又はき損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、組織的、人的、物理的及び技術的安全管理措置を講ずるものとすること。その際、個人データの漏えい等の事故が発生した場合に本人が被る権利利益の侵害の大きさを考慮し、必要かつ適切な措置を講ずるものとすること。 |
| (二) |
労働組合は、組織的安全管理のために次に掲げる事項について措置を講ずることが望ましいものであること。
| イ |
個人情報保護管理者の設置 |
| ロ |
個人データの安全管理措置を講ずるための組織体制の整備 |
| ハ |
個人データの安全管理措置を定める規程等の整備と規程等に従った運用 |
| ニ |
個人データ取扱台帳の整備 |
| ホ |
個人データの安全管理措置の評価、見直し及び改善 |
| ヘ |
事故又は違反への対処についての手続の策定 |
|
| (三) |
労働組合は、人的安全管理のために次に掲げる事項について措置を講ずることが望ましいものであること。
| イ |
雇用契約時及び委託契約時における非開示契約の締結 |
| ロ |
従業者に対する教育及び啓発の実施 |
|
| (四) |
労働組合は、物理的安全管理のために次に掲げる事項について措置を講ずることが望ましいものであること。
| イ |
入退館(室)管理の実施 |
| ロ |
盗難等に対する対策 |
| ハ |
機器、装置等の物理的な保護 |
|
| (五) |
労働組合は、電子計算機を用いて個人データを取り扱う場合は、技術的安全管理のために次に掲げる事項について措置を講ずることが望ましいものであること。
| イ |
個人データへのアクセスにおける識別と認証 |
| ロ |
個人データへのアクセス制御 |
| ハ |
個人データへのアクセス権限の管理 |
| ニ |
個人データのアクセスの記録 |
| ホ |
個人データを取り扱う情報システムに対する不正ソフトウェア対策 |
| ヘ |
個人データの移送・通信時の対策 |
| ト |
個人データを取り扱う情報システムの動作確認時の対策 |
| チ |
個人データを取り扱う情報システムの監視 |
|
|
| 五 |
法第二十二条に規定する委託先の監督に関する事項
| (一) |
労働組合は、個人情報の保護について十分な措置を講じている者を委託先として選定するための基準を設けることが望ましいものであること。 |
| (二) |
労働組合は、次に掲げる事項について、委託契約時に委託の内容に応じて明確化することが望ましいものであること。
| イ |
個人データの安全管理に関する事項で、例えば次に掲げるもの
| (イ) |
個人データの漏えい等の防止及び盗用の禁止に関する事項 |
| (ロ) |
委託契約範囲外の加工及び利用の禁止 |
| (ハ) |
委託契約範囲外の複写及び複製の禁止 |
| (ニ) |
委託契約期間 |
| (ホ) |
委託契約終了後の個人データの返還、消去及び破棄に関する事項 |
|
| ロ |
個人データの取扱いの再委託を行うに当たっての委託元への報告とその方法 |
| ハ |
個人データの取扱状況に関する委託者への報告の内容及び頻度 |
| ニ |
委託契約の内容及び期間が遵守されていることの確認 |
| ホ |
委託契約の内容及び期間が遵守されなかった場合の措置 |
| ヘ |
個人データの漏えい等の事故が発生した場合の報告・連絡に関する事項 |
| ト |
個人データの漏えい等の事故が発生した場合における委託元と委託先の責任の範囲 |
|
|
| 六 |
法第二十三条に規定する第三者提供の制限に関する事項
| (一) |
労働組合は、共済事業その他の活動の遂行に当たり、個人データを第三者に提供する場合には、法第二十三条第一項各号、第二項又は第四項各号に該当する場合を除き、あらかじめ本人の同意を得るものとすること。 |
| (二) |
労働組合は、法第二十三条第一項の本人の同意として、書面(電磁的記録を含む。)又は口頭による明示的な同意の意思表示を得ることが望ましいものであること。 |
| (三) |
労働組合は、法第二十三条第二項から第五項までの本人への通知をするに当たっては、書面(電磁的記録を含む。)又は口頭により行うものとし、本人が容易に知り得る状態に置く措置を講ずるに当たっては、労働組合の事務所における書面の掲示若しくは備付け又はホームページ上での掲載その他の方法により継続的に行うものとすること。 |
|
| 七 |
法第二十四条に規定する保有個人データに関する事項の公表等に関する事項
労働組合は、法第二十四条第一項の本人の知り得る状態に置く措置を講ずるに当たっては、労働組合の事務所における書面の掲示若しくは備付け又はホームページ上での掲載その他の方法により継続的に行うものとすること。 |
| 八 |
法第二十五条に規定する開示に関する事項
労働組合は、法第二十五条第一項の規定により求められた保有個人データの全部又は一部について開示しない旨の決定を本人に通知する際には、根拠となる法の規定(当該保有個人データの全部又は一部について開示しないことの根拠となる法第二十五条第一項各号のうち該当するものをいう。)を併せて通知することが望ましいものであること。 |
| 九 |
労働組合の個人情報保護に関する考え方や方針の明確化に関する事項
| (一) |
労働組合は、労働組合の個人情報の保護に関する方針等に関する宣言を定め、公表することが望ましいものであること。 |
| (二) |
労働組合は、(一)の宣言に、次に掲げる事項を定めることが望ましいものであること。
| イ |
取得した個人情報を目的外に利用しないこと。 |
| ロ |
苦情処理に適切に取り組むこと。 |
|
| (三) |
労働組合は、(一)の公表をするに当たっては、労働組合の事務所における書面の掲示若しくは備付け又はホームページ上での掲載その他の方法により継続的に行うことが望ましいものであること。 |
|
| 十 |
個人情報の漏えい等の事案が発生した場合の対応に関する事項
| (一) |
労働組合は、自己の取り扱う個人情報(委託を受けた者が取り扱うものを含む。以下この項において同じ。)の漏えい等の事実を把握した場合は、当該漏えい等に係る個人情報の内容を本人に速やかに通知し、又は本人が容易に知り得る状態に置くものとすること。 |
| (二) |
労働組合は、自己の取り扱う個人情報の漏えい等の事実を把握した場合は、遅滞なく、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係、発生原因及び対応策を公表するものとすること。 |
| (三) |
労働組合は、自己の取り扱う個人情報の漏えい等の事実を把握した場合は、事実関係、発生原因及び対応策を厚生労働省に直ちに報告するものとすること。 |
|
