マルハニチログループ個人情報保護取扱規程 Privacy policy

第１章 総 則

（目的）
第１条 本規程はマルハニチロ株式会社（以下、本社という。）およびその国内連結対象会社（以下、子会社という。本社と子会社を総称して「本規程対象会社」という。）が、「法」（第２条第１項 17 号に定義する法をいう。）、「政令」（第２条第１項 18 号に定義する政令をいう。）、「規則」（第２条第１項19 号に定義する規則をいう。）および「ガイドライン」（第２条第１項 20 号に規定するガイドラインをいう。）および本規程対象会社の個人情報保護方針に基づいて、本規程対象会社における個人情報の取扱いの基本的事項を定めたものであり、個人情報の保護と適法かつ適正な利用を図ることを目的とする。なお、「行政手続における特定の個人を識別するための番号の利用等に関する法律」（平成 25 年法律第 27 号）に基づく個人番号やその内容を含む個人情報に関しては、本規程対象会社において、別途定めるところに従うものとする。

（定義）
第２条 本規程において、次の各号に掲げる用語の定義は、当該各号に定めるところによる。
１）個人情報
生存する個人に関する情報であって、次の細分のいずれかに該当するものをいう。
①当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識できない方式をいう。）に記載され、若しくは記録され、または音声、動作その他の方法を用いて評された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。）
②個人識別符号が含まれるもの
２）個人識別符号
次の細分のいずれかに該当する文字、番号、記号その他の符号のうち、別紙１で定めるものをいう。
①特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
②個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、または個人に発行されるカードその他の書類に記載され、若しくは電磁的方法により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者または発行を受ける者ごとに異なるものとなるように割り当てられ、または記載され、若しくは記録されることにより、特定の利用者若しくは購入者または発行を受ける者を識別することができるもの
３）ＥＵ
欧州連合加盟国および欧州経済領域（EEA：European Economic Area）協定に基づきアイスランド、リヒテンシュタインおよびノルウェーを含む、欧州連合（European Union）をいう。
４）ＧＤＰＲ
個人データの取扱いに係る自然人の保護および当該データの自由な移転ならびに指令 95/46/EC の廃止に関する欧州議会および欧州理事会規則（一般データ保護規則（REGULATION OF THE EUROPEAN
PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC(General Data Protection Regulation)))をいう。
５）十分性認定
ＧＤＰＲ第 45 条に基づき、欧州委員会が、国または地域等を個人データについて十分な保護水準を確保していると認める決定をいう。
６）補完的ルール
個人情報の保護に関する法律に係るＥＵ域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルールをいう。

７）要配慮個人情報
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして別紙２で定める記述等が含まれる個人情報をいう。ただし、ＥＵ域内から十分性認定に基づき提供を受けた個人データにＧＤＰＲにおいて特別な種類の個人データと定義されている性生活、性的志向または労働組合に関する情報が含まれる場合には、本規程対象会社は、当該情報について要配慮個人情報と同様に取り扱うこととする。
８）個人情報データベース等
特定の個人情報をコンピュータ等を用いて検索できるように体系的に構成したもの、および特定の個人情報を容易に検索できるように体系的に構成したもので、これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。
９）個人データ
個人情報のうち、本規程対象会社が管理する個人情報データベース等を構成するものをいう。
10）保有個人データ
本規程対象会社が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データをいう。ただし、次に該当するものは除く。
①当該個人データの存否が明らかになることにより、本人または第三者の生命、身体または財産に危害が及ぶ恐れがあるもの
②当該個人データの存否が明らかになることにより、違法または不法な行為を助長し、または誘発する恐れがあるもの
③当該個人データの存否が明らかになることにより、国の安全が害される恐れ、他国もしくは国際機関との信頼関係が損なわれる恐れまたは他国もしくは国際機関との交渉上不利益を被る恐れがあるもの
④当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障が及ぶ恐れがあるもの
⑤６ヶ月以内に消去する（更新することは除く）こととなるもの（ただし、ＥＵ域内から十分性認定に基づき提供を受けた個人データについては、この限りではない。）
11）本人
個人情報によって識別される特定の個人をいう。
12）代理人
未成年者または成年被後見人の法定代理人および開示等の求めをすることにつき本人が委任した代理人をいう。
13）部署長
個人情報を取扱う部署の長をいう。
14）従業者等
本規程対象会社にあって直接間接に本規程対象会社の指揮監督を受けて、本規程対象会社の業務に従事している者をいい、雇用関係にある従業員（正社員、契約社員、嘱託社員、パート社員、アルバイト社員等）のみならず、取締役、監査役、執行役員、派遣社員等も含まれる。
15）健康情報
個人情報のうち、従業者等の健康診断の結果、病歴、その他健康に関するものをいう。
16）産業保健業務従事者
産業医、看護師、衛生管理者その他従業者等の健康管理に関する業務に従事する者をいう。
17）法
個人情報の保護に関する法律（平成 15 年法律第 57 号）をいう。
18）政令
個人情報の保護に関する法律施行令（平成 15 年政令第 507 号）をいう。
19）規則
個人情報保護委員会が定める規則をいう。
20）ガイドライン
個人情報保護委員会が定める「個人情報の保護に関する法律についてのガイドライン」一切をいう。

（適用）
第３条 本規程は、従業者等に適用する。
２．本規程は、本規程対象会社が現に保有している個人情報（その取扱いを委託されている個人情報を含む。）およびその取扱いを委託している個人情報を対象とする。


第２章 安全管理体制

第１節 組織的安全管理措置

（個人情報保護管理体制）
第４条 本規程対象会社は、個人情報保護に関わる管理体制を構築し、その管理責任と推進責任を次のとおり割り当てる。
１）個人情報保護総括責任者は、本社法務・リスク管理部担当役員が担当する。
２）個人情報管理監督者は、本社ユニット長が担当する。
３）個人情報管理責任者は、本社部署長および子会社社長が担当する。
４）個人情報保護推進責任者は、本社法務・リスク管理部長が担当する。
２．個人情報保護総括責任者は、本規程対象会社の個人情報管理の最高責任者としての責任と権限を有し、情報セキュリティの維持・向上のための方針、施策等の審議および評価を行う。
３．個人情報保護総括責任者は、本規程内での解決が困難な事象が発生した場合、マルハニチログループ情報管理委員会に付議し、解決を図る。
４．個人情報管理監督者は、配下の部署および子会社のセキュリティ管理の第一義的な責任を負い、配下の個人情報管理責任者に対する監督・指導を行う。
５．個人情報管理責任者は、次の各号に掲げるとおり、当該部署または子会社が保有する個人情報の一切の取扱いに対する管理責任を有する。
１）個人情報管理責任者は、個人情報保護推進責任者が制定する「マルハニチログループ個人情報取扱ガイドライン」等および施策に従い、当該部署または子会社にその周知徹底と運用を行う。
２）個人情報管理責任者は、当該部署または子会社の個人情報の管理を担う個人情報管理担当者を１名または複数名任命し、１）に定める役割を代行させることができる。
３）個人情報管理責任者は、個人情報の保護対策等を当該部署または子会社の細則として策定することができる。ただし、細則を策定した場合は個人情報保護総括責任者にその旨を届け出なければならない。
４）個人情報管理責任者は本規程（細則を策定した場合は、その細則を含む）にしたがい、当該部署または子会社に存在する個人情報の所在、内容、利用者、規模等を把握し、個人情報の適正な取扱いを維持・管理するために、当該部署または子会社に属する従業者等に対し、必要かつ適切な管理を行わなければならない。
５）個人情報管理責任者は、当該部署または子会社において個人情報の漏えい等の情報インシデントまたは本規程もしくは細則の違反の発生またはその疑いが生じた場合は、「マルハニチログループリスク管理基本規程」、「マルハニチログループ情報インシデント対応規程」および「マルハニチログループ情報インシデント対応規則」に従い、直ちにその旨を報告しなければならない。
６）個人情報管理責任者は、個人情報保護推進責任者の求めに応じ、当該部署または子会社の個人情報の管理状況について適宜報告しなければならない。
６．個人情報保護推進責任者は、本規程対象会社全体に対する個人情報保護に係る施策等を立案の上、その周知及び展開を推進する責任を負う。
７．個人情報保護推進責任者は、本規程対象会社の情報セキュリティの維持・向上のための「マルハニチログループ個人情報取扱ガイドライン」等を制定する。
８．個人情報保護推進責任者は、自らが任命する個人情報保護推進担当者に対して本条第６項及び第７項で定める役割を代行させることができる。

（個人データ管理台帳）
第５条 個人情報管理責任者は、個人データの種類・内容・保管場所等を記載（データベースへの入力を含む）した台帳を作成しなければならない。
２．個人情報管理責任者は、前項の台帳を随時見直し、最新の状態を維持するよう努めなければならない。

（個人情報監査責任者）
第６条 個人情報監査責任者は、本社監査部長が担当し、本規程対象会社内の個人情報を取扱う業務において、本規程および細則が遵守され、個人情報の取扱いが適法かつ適切に行われているかについて、公平かつ客観的な立場で調査･確認・評価(以下、個人情報の取扱いに関する監査という。)する責務を負い、その結果を個人情報保護総括責任者に報告する義務を負う。
２．個人情報監査責任者は、個人情報の取扱いに関する監査に必要な調査権限を有する。
３．個人情報監査責任者は、個人情報の取扱いに関する監査に必要な監査担当者を選任することができる。


第２節 人的安全管理措置

（教育・研修）
第７条 個人情報保護推進責任者は、個人情報保護の促進のために必要な教育を、従業者等に対し定期的に実施しなければならない。
２．個人情報管理責任者は、本規程に定められた事項を理解し、遵守するとともに、従業者等に本規程を遵守させるための教育訓練を行わなければならない。
３．従業者等は、個人情報管理責任者による本規程を遵守させるための教育を受けなければならない。


第３節 物理的安全管理措置

（各部署における安全管理措置）
第８条 個人情報管理責任者は、次の各号にしたがって、適切に管理下の個人情報を取り扱わなければならない。
１）個人情報を記載した文書または記録した記憶媒体は、適切な保管場所に施錠することにより、散逸、紛失、漏えいの防止に努めなければならない。
２）情報機器は適切に管理し、正式な利用権限のない者には使用させてはならない。
３）個人情報を記載した文書または記録した記憶媒体を他部署に伝達するときは、適切な手段・方法によることとし、必要な範囲を超えて控えを残さないよう扱うものとする。
４）個人情報を記載した文書または記録した記憶媒体は、みだりに複写または複製してはならない。
５）個人情報を記載した文書または記録した記憶媒体であって、保管の必要のないものは、速やかに廃棄または個人情報を完全に消去のうえで転用しなければならない。
６）個人情報を記載した文書の廃棄は、シュレッダー裁断、焼却、溶解等により、完全に抹消しなければならない。
７）個人情報を記録したコンピュータ記憶媒体の廃棄は、特別のソフトウェアを使用して個人情報を完全に消去するか記憶媒体を物理的に破壊してから廃棄しなければならない。
８）個人情報の廃棄を委託する場合は、シュレッダーにかけて読み取り不能にした上で信頼できる廃棄物処理業者に委託しなければならない。
９）個人情報を記録したコンピュータを他に転用するときは、特別のソフトウェアを使用して個人情報を完全に消去してから転用しなければならない。
10）その他個人情報の取扱いについて必要な事項は細則に定めるものとする。


第４節 技術的安全管理措置

（アクセス制限）
第９条 個人情報管理責任者は、管理下の情報端末機器や社内イントラに保管している個人データ、個人データを記録した記憶媒体に対し、パスワード管理等により、アクセス制限をしなければならない。

（不正アクセス・情報漏えい等の防止）
第 10 条 本社の個人情報管理責任者および従業者等は、「マルハニチロ株式会社 情報セキュリティ管理規則」、「マルハニチロ株式会社 情報セキュリティ対策基準」に基づき、外部からの不正アクセスおよび情報漏えいを防止し、管理下の個人データを保護する。
２．子会社の個人情報管理責任者および従業者等は、子会社で制定する情報セキュリティの管理規則および基準に基づき、外部からの不正アクセスおよび情報漏えいを防止し、管理下の個人データを保護する。


第３章 個人情報の取扱い

第１節 個人情報の取得・保有等

（利用目的）
第 11 条 本規程対象会社は、個人情報の利用目的をできる限り特定する。
２．個人情報は、次の各号に掲げる場合を除き、あらかじめ本人の同意を得ずに、特定された利用目的の達成に必要な範囲を超えて取り扱ってはならない。利用目的の範囲内か否かが不明な場合は、都度、個人情報保護総括責任者に判断を求めなければならない。
１）法令に基づく場合
２）人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
３）公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
４）国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼす恐れがあるとき
３．利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならず、変更された利用目的は遅滞なく本人に通知または公表しなければならない。

（適正な取得）
第 12 条 個人情報は、偽りその他不正の手段により取得してはならない。
２．個人情報は、利用目的を明確に定め、その目的の達成に必要な範囲を超えて取得してはならない。
３．本規程対象会社は、個人情報のうち従業者等の健康情報について、本人から提供された情報以外の事項を医療機関、健康保険組合等から取得する必要がある場合には、あらかじめ本人にこれらの情報を取得する目的を説明または通知のうえ、本人から直接情報の提供を受けることを原則とする。
ただし、あらかじめ利用目的を記載した書面等を本人に交付し、本人の書面等による同意を得た場合または従業者等の保護のために合理的な必要性がある等の場合には、医療機関、健康保険組合等から情報を受けることができるものとする。
４．本規程対象会社が指定した医療機関、健康保険組合等と共同で健康診断を実施する場合において、本規程対象会社が当該健康診断を通じて医療機関、健康保険組合等から取得する従業者等の健康情報については、前項の規定を適用しないものとする。なお、本規程対象会社が指定した医療機関、健康保険組合等と共同で健康診断を実施した場合は、当該健康診断を受けた従業者等に対し、遅滞なくその結果を通知するものとする。

（要配慮個人情報の取得等の禁止）
第 13 条 原則として、要配慮個人情報は、これを取得、利用または第三者に提供してはならない。ただし、前条第３項に該当する場合、業務上必要であり、かつ、本人に対して当該情報の利用目的およびその必要性等について適切な情報を明示した上で明確に本人の同意を得た場合、または法令に特別の規定がある場合もしくは司法手続上必要不可欠な場合はこの限りでない。

（本人から直接個人情報を取得する際の措置）
第 14 条 申込書・アンケート・契約書等、書面（電子メール、本規程対象会社ホームページへの記入等電磁的方法も含む）により本人から直接個人情報を取得する場合は、本人に対してあらかじめ利用目的を明示しなければならない。ただし、次の各号に掲げる場合はこの限りでない。

１）人の生命、身体または財産その他の権利利益を保護するために必要な場合
２）本規程対象会社の権利または正当な利益を害する恐れがある場合
３）国または地方公共団体の法令に定める事務の遂行に支障を及ぼす恐れがある場合
４）取得の状況に照らし、利用目的が明らかであると認められる場合


第２節 個人データの委託および共同利用

（委託および共同利用）
第 15 条 本規程対象会社は、利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託することができる。
２．本規程対象会社は、個人データを特定の者との間で共同利用することができる。この場合、共同利用される個人データの項目、共同利用する者の範囲、利用する者の利用目的および当該個人データの管理について責任を有する者の氏名または名称を、本社ホームページに掲載する等あらかじめ本人が容易に知り得る状態に置くものとする。なお、共同利用する者の利用目的および当該個人データの管理について責任を有する者の氏名または名称を変更する場合も、本社ホームページに掲載する等あらかじめ本人が容易に知り得る状態に置くものとする。

（委託先の監督）
第 16 条 個人情報管理責任者は、個人データの取扱いの全部または一部を委託する場合（労働者派遣契約または業務委託等契約により派遣労働者を受け入れる場合を含む。）は、その取扱いを委託した個人データの安全管理が図られるよう委託を受けた者（以下、委託先という。）に対する必要かつ適切
な監督を行わなければならない。
２．前項の委託を行う個人情報管理責任者は、委託先に対して次の各号に掲げる事項を実施しなければならない。
１）委託先の経営状況および委託先における個人情報の保護体制が十分であることを確認した上委託先を選定すること
２）委託先との間で適切な委託契約を締結すること
３）前号による委託契約が適切に遂行されていることを確認すること
４）個人情報の取得を委託する場合は、本規程対象会社が取得の主体であることならびに本規程対象会社の指示する利用目的を明示するよう義務付けること
３．前項３号等により万一契約に抵触する事項を発見したときは、個人情報管理責任者は「マルハニチログループリスク管理基本規程」、「マルハニチログループ情報インシデント対応規程」および「マルハニチログループ情報インシデント対応規則」に従い、直ちにその旨を報告し、委託先に対して必要な措置を講じなければならない。


第３節 個人データの第三者提供の制限

（第三者提供の制限）
第 17 条 本規程対象会社は、次の各号に掲げる場合を除き、個人データをあらかじめ本人の同意を得ることなく国内および外国の第三者に提供してはならない。
１）第 11 条第２項各号に掲げる場合
２）第 15 条第１項および第２項のいずれかに該当する場合
３）従業者等の出向等につき、出向予定先企業等の第三者と協議を行う必要が生じた場合
４）従業者等に対する福利厚生等の提供にかかる業務の遂行上、必要な限りにおいて、特定の第三者
（業務委託先企業、健康保険組合、企業年金基金、保険会社等）に当該個人データを提供する必要が生じた場合
２．本規程対象会社が、ＥＵ域内から十分性認定に基づき提供を受けた個人データについて、前項の本人の同意を得る場合には、次の場合を除き、本人が同意に係る判断を行うために必要な移転先の状況についての情報を提供した上で、あらかじめ外国にある第三者への個人データの提供を認める旨
の本人の同意を得ることとする。
１）当該第三者が、個人の権利利益の保護に関して、日本と同等の水準にあると認められる個人情報保護制度を有している国として規則で定める国にある場合

２）本規程対象会社と個人データの提供を受ける第三者との間で、当該第三者による個人データの取扱いについて、適切かつ合理的な方法（契約、その他の形式の拘束力のある取決めまたは企業グループにおける拘束力のある取扱い）により、補完的ルールを含め法と同等水準の個人情報の保護に関する措置を連携して実施している場合

（第三者提供をする際の記録）
第 18 条 本規程対象会社は、本人の同意を得て、個人データを第三者に提供したときは、第三者提供に係る記録を作成しなければならない。ただし、当該個人データの提供が第 11 条第２項各号に該当する場合または第 15 条第１項および第２項のいずれかに該当する場合は、この限りでない。
２．第三者に個人データの提供をする場合の記録の作成方法は、文書、電磁的記録またはマイクロフィルムを用いて作成する方法によるものとする。
３．前項の記録は、次項または第５項に該当する場合を除き、第三者に個人データの提供をした都度、速やかに作成しなければならない。
４．第２項の記録は、当該第三者に継続的に若しくは反復して個人データの提供をしたときは、一括して作成することができる。
５．第２項の記録は、本人に対する物品または役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者へ個人データを提供したときの記録に代えることができる。
６．本人の同意を得て個人データを第三者に提供した場合は以下の事項を記録するものとする。
１）個人データの提供をした年月日
２）本人の同意を得ている旨
３）当該第三者の氏名または名称その他の当該第三者を特定するに足りる事項（不特定かつ多数の者に対して提供したときは、その旨）
４）当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
５）当該個人データの項目
７．当該記録は、当該記録に係る個人データの提供を行った日から起算して３年を経過する日までの間、保管するものとする。

（第三者提供を受ける際の確認および記録）
第 19 条 本規程対象会社は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第 11 条第２項各号に該当する場合または第15 条第１項および第２項のいずれかに該当する場合は、この限りでない。
１）当該第三者の氏名または名称および住所ならびに法人にあっては、その代表者（法人でない団体で代表者または管理人の定めのあるものにあっては、その代表者または管理人）の氏名
２）当該第三者による当該個人データの取得の経緯（ただし、ＥＵ域内から十分性認定に基づき提供を受けた個人データについては、特定された利用目的を含む。）
２．本規程対象会社は、前項に基づく確認を行ったときは、以下の事項を記録しなければならない。なお、個人情報取扱事業者ではない第三者から提供を受けた場合は以下の２）および９）以外の項目を記載するものとする。
１）個人データの提供を受けた年月日
２）本人の同意を得ている旨
（本人の同意を得て第三者に提供を受けた場合のみ記載）
３）当該第三者の氏名または名称
４）当該第三者の住所
５）当該第三者が法人である場合は、その代表者（法人でない団体で代表者または管理人の定めのあるものにあっては、その代表者または管理人）の氏名
６）当該第三者による当該個人データの取得の経緯
７）当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
８）当該個人データの項目
９）法第 23 条第４項に基づき個人情報保護委員会による公表がされている旨
（本人の同意を得ない（オプトアウト）の方法により第三者が取得した個人データの提供を受けた場合のみ記載）

３．前項各号の記載事項のうち、既に作成した記録（保存している場合に限る。）に記録されている事項と内容が同一であるものについては、当該事項の記録を省略することができる。
４．第２項の記録は、本人に対する物品または役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に記録すべき事項が記載されているときは、当該書面をもって第三者から個人データの提供を受けたときの記録に代えることができる。
５．当該記録は、当該記録に係る個人データの受領を行った日から起算して３年を経過する日までの間、保管するものとする。


第４節 開示・変更・利用停止等の請求の対応

（公表）
第 20 条 本規程対象会社の保有する個人データに関し、次の事項をマルハニチログループ個人情報保護法に基づく公表事項として本社ホームページに掲載する等の方法により公表し、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）に置くものとする。
１）保有個人データの利用目的
２）保有個人データの利用目的の通知、開示、訂正、追加または削除、利用の停止または消去、第三者への提供の禁止の求めに応じる手続
３）保有個人データの利用目的の通知または開示の求めに応じる場合の手数料の額
４）本規程対象会社が行う保有個人データの取扱いに関する苦情の申出先

（利用目的の通知）
第 21 条 本社は、本人または代理人から、本規程対象会社の保有個人データの利用目的の通知を求められた場合は、遅滞なく請求人に通知する。なお、次の各号に掲げる場合は利用目的を通知しないものとし、その旨を請求人に通知するものとする。
１）保有する個人データの利用目的について、本社ホームページに掲載する等の方法により公表され、利用目的が明らかな場合
２）利用目的を本人に通知し、または公表することにより、本人または第三者の生命、身体または財産その他権利利益を害する恐れがある場合
３）利用目的を本人に通知し、または公表することにより、本規程対象会社の権利または正当な利益を害する恐れがある場合
４）国の機関または地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、または公表することにより当該事務の遂行に支障を及ぼす恐れがあるとき

（開示）
第 22 条 本社は、当該本人が識別される本規程対象会社の保有個人データの開示（保有の有無を含む）請求には、本人のプライバシー保護のため、本人または代理人から開示等請求窓口に対し、原則として本人確認書類を添付した開示請求書により請求があった場合のみ応じるものとする。
１）開示請求窓口は、個人情報保護総括責任者が定めるものとする。
２）本人確認書類は、個人情報保護総括責任者が定めるものとする。ただし、開示の請求人が本人または代理人であることが明らかな場合には、本人確認書類の提出を求めないことができる。
２．前項により本人または代理人による開示請求であることを確認した場合は、請求人に対して書面もしくは請求人が同意した他の方法により、遅滞なく当該保有個人データを開示するものとする。
また、開示する書面の様式は、個人情報保護総括責任者が定めるものとする。
３．前項にかかわらず、開示することにより次の各号に掲げる場合は、個人情報保護総括責任者の決定により、その全部または一部を開示しないことができる。
１）本人または第三者の生命、身体、財産その他の権利利益を害する恐れがある場合
２）本規程対象会社の業務の適正な実施に著しい支障を及ぼす恐れがある場合
３）法令に違反することとなる場合
４）保有個人データに該当しない個人情報である場合、または既に廃棄もしくは消去済みの場合
５）開示請求対象の個人情報が特定できない場合

６）開示請求の対象が採用選考に関する事項、未発表の人事情報である場合
７）開示請求書の記入内容に不備がある場合
４．前項の定めに基づき保有個人データの全部または一部を開示しない旨の決定をしたときは、遅滞なく、請求人に対しその旨通知するものとする。この場合、その理由を説明するよう努めなければならない。
５．個人情報の保護に関する法律以外の法令により、本人に対し当該本人が識別される保有個人データを開示することとされている場合には、第３項は適用しない。
６．請求人に対し保有個人データを開示する場合には、手数料を請求できるものとする。この手数料は、実費を勘案して、合理的な範囲で個人情報保護総括責任者が定めるものとする。

（訂正等）
第 23 条 本社は、本人または代理人から、当該本人が識別される本規程対象会社の保有個人データの内容が事実でないという理由によって、当該保有個人データの訂正、追加または削除（以下、訂正等という。）を求められた場合には、利用目的の達成に必要な範囲において遅滞なく必要な調査を行い、その結果に基づき当該保有個人データの内容の訂正等を行うものとする。ただし、他の法令の規定により、特別の手続が定められている場合、または次の各号に掲げる場合は、個人情報保護総括責任者の決定により、訂正等の求めに応じないことができる。
１）利用目的から考えて内容の訂正等が必要でない場合
２）内容が誤りである旨の指摘が正しくない場合
３）訂正等の対象が事実でなく評価に関する情報である場合
４）保有個人データに該当しない個人情報である場合、または既に廃棄もしくは消去済みの場合
５）訂正等の請求対象の個人情報が特定できない場合
２．当該本人が識別される保有個人データの訂正等の請求については、本人または代理人から訂正等請求窓口に対する電話または郵便等の方法による請求があった場合に応じるものとする。この場合、請求人であることを確認するため、請求人から氏名・住所・電話番号等保有個人データの内容の申告を受けるものとする。ただし、代理人からの訂正等の請求については、原則として本人確認書類を添付した書面により請求があった場合のみ応じるものとする。
１）訂正等請求窓口は、個人情報保護総括責任者が定めるものとする。
２）本人確認書類は、個人情報保護総括責任者が定めるものとする。ただし、訂正等の請求人が本人または代理人であることが明らかな場合には、本人確認書類の提出を求めないことができる。
３．前二項により、保有個人データの訂正等を行ったとき、または訂正等を行わない旨の決定をしたときは、請求人に対し、遅滞なくその旨（訂正等を行ったときはその内容を含む）を通知するものとする。
４．第１項但書により訂正等の求めに応じない場合は、その理由を説明するよう努めなければならない。

（利用停止等）
第 24 条 本社は、本人または代理人から、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて本規程対象会社が個人情報を取り扱っている、または偽りその他不正な手段により本規程対象会社が個人情報を取得している、もしくは、あらかじめ本人の同意を得ないで個人データを第三者に提供しているという理由によって、本規程対象会社の保有個人データの利用の停止または消去（以下、利用停止等という。）を求められ、その求めに理由があることが判明した場合は、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行い、その旨を請求人に通知するものとする。なお、次の場合は保有個人データの利用停止等を行わないものとし、その旨を請求人に通知するものとする。
１）同意のない目的外利用、不正な取得、同意のない第三者提供による理由以外で、利用停止等を請求された場合
２）指摘された違反がなされていない場合
３）当該保有個人データの利用停止等に多額の費用を要する場合その他利用停止等を行うことが困難な場合にあって、本人の権利利益保護に必要な代替措置をとる場合
４）保有個人データに該当しない個人情報である場合、または既に廃棄もしくは消去済みの場合
５）利用停止等の請求対象の個人情報が特定できない場合
２．前条第２項乃至第４項は、本条に準用する。ただし、同各項における訂正等を利用停止等に読み替える。

第５節 苦情処理

（苦情の処理）
第 25 条 個人情報の取扱いに関する苦情の窓口は、個人情報保護総括責任者が定めるものとする。
２．個人情報保護総括責任者は、前項の目的を達成するために必要な体制の整備を行う。
３．苦情窓口を担当する個人情報保護推進責任者は、適宜、個人情報保護総括責任者に苦情の内容を報告するものとする。

第４章 そ の 他

（所管官庁への報告）
第 26 条 個人情報保護総括責任者は、個人データの漏えいの事実または漏えいの恐れを把握した場合には、直ちに所管官庁に報告しなければならない。

（罰則）
第 27 条 本規程対象会社は、本規程に違反した従業員に対して就業規則に基づき処分を行い、その他従業者等に対しては、契約または法令に照らして決定する。

（マルハニチログループ個人情報取扱ガイドライン）
第 28 条 個人情報の取扱いについて、本規程を補完するものとして、「マルハニチログループ個人情報取扱ガイドライン」を定めるものとする。

（本規程の運用）
第 29 条 本規程は、個人情報保護推進責任者の権限と責任において運用するものとする。

（本規程の改廃）
第 30 条 本規程の改廃は、個人情報保護推進責任者の発議により経営会議の決定を得て行うものとする。

（本規程対象会社の個人情報保護取扱規程等の取扱い）
第 31 条 本規程対象会社が、既に策定している個人情報保護取扱規程等については、本規程と抵触しない限りにおいて、本規程対象会社の細則として効力を有するものとする。


附 則

本規程の改正の効力は、2020 年４月１日より生じるものとする。

以 上