個人情報保護マニュアル

1.目的

本マニュアルは、株式会社サンセイ(以下、「当社」という)が取り扱う個人情報の適切な保護 のための項目を定め、当社が、その活動の実態に応じた個人情報保護のためのマネジメントシステムを構築し、役員および全従業員がその事業内容に応じた個人情報保護を遵守することを目的とす る。

2.1適用範囲

1. 本マニュアルは、媒体に関係なく、当社において事業の用に供している取り扱われるすべての個人情報を対象とする。当社の全ての組織、従業員に適用する。
   （平成27年12月25日改訂）
2. 具体的には、総務部門、ＮＨＫ事業部門、営業部門、品質管理部門、札幌営業所で取り扱うすべての個人情報が対象となる。

2.2適用規格、ガイドラインなど

1. JISQ15001:2006 個人情報保護マネジメントシステムの要求事項
2. その他、当社の個人情報を取り扱う業務に適用される法令、国が定める指針及びその他の規範については、3.3.2に示す手順で特定する。

2.3用語の定義

本マニュアルに関する用語は、JISQ15001:2006に基づく。ただし当社独自の用語及び特殊な意味に用いる用語については、以下に定義する。

用語	内容
個人情報	個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む)
本人	個人情報によって識別される特定の個人
事業者	個事業を営む法人その他団体又は個人
個人情報保護管理者	代表者によって事業者の内部の者から指名された者であって、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者
監査責任者	代表者によって事業者の内部の者から指名された者であって、公平、かつ客観的な立場にあり、監査の実施及び報告を行う責任及び権限をもつ者
本人の同意	本人が、個人情報の取扱いに関する情報を与えられた上で、自己に関する個人情報の取扱いについて承諾する意思決定、本人が子ども又は事理を弁識する能力を欠く者の場合は、法定代理人等の同意も得なければならない。
個人情報保護 マネジメントシステム	事業者が、自らの事業の用に供する個人情報について、その有用性に配慮しつつ、個人の権利利益を保護するための方針、体制、計画、実施、点検及び見直しを含むマネジメントシステム
不適合	本規格の要求を満たしていないこと。
従業員	役員、正規社員、派遣社員、契約社員、アルバイト、パートの総称
個人情報管理台帳	当社において取り扱われる個人情報を台帳形式で一覧化したもの
個人情報リスク 認識シート	個人情報の取り扱い上のリスクを台帳形式で一覧化したもの
法的要求事項等一覧表	個人情報に関する法令、国が定める指針、その他の規範等を一覧化したもの

3.個人情報保護マネジメントシステム要求事項

3.1個人情報保護マネジメントシステムの確立～改善

当社は、JIS Q 15001:2006に準拠した個人情報保護マネジメントシステムを、「個人情報保護マニュアル(以下、本マニュアルという)」で確立し、実施し、維持し、かつ改善する。

3.2個人情報保護方針

代表取締役は、個人情報保護の理念を明確にした上で、次の事項を含む個人情報保護方針を定めるとともにこれを実行し、かつ、維持する。

1. 事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること「特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下、“目的外利用”という)を行わないこと及びそのための措置を講じることを含む。」
   （平成27年12月25日改訂）
2. 個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること。
3. 個人情報の漏えい、滅失又はき損の防止及び是正に関すること。
4. 苦情及び相談への対応に関すること。
5. 個人情報保護マネジメントシステムの継続的改善に関すること。
6. 代表取締役の氏名

代表取締役は、この方針を文書（電子的方式、磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下、同じ）化し、従業員に配布して周知するとともに、当社ウェブサイトへの掲載等によって、一般の人が入手可能な措置を講じる。
代表取締役は、個人情報保護方針の内容について、「マネジメントレビュー」の中で、定期的に見直すとともに、個人情報を取り扱う新たな事業を開始する場合など、個人情報に関する状況が変化する場合には、その適切性を持続するために、臨時の見直しを行う。

3.3計画

3.3.1個人情報の特定

当社は、自らの事業の用に供するすべての個人情報を特定するための手順を確立し、かつ維持する。

1. 個人情報保護管理者は毎年4月、個人情報保護部門管理者に命じ、『個人情報管理台帳』を用いて、当社におけるすべての個人情報を特定させる。なお、取り扱いが異なる個人情報がある場合は個別に特定する
2. 個人情報保護管理者は、『個人情報管理台帳』で特定された個人情報ごとに、下記3.3.3に従い、リスクの認識、分析及び対策を講じる。
3. 個人情報保護管理者は、上記手順を踏まえ特定された個人情報を『個人情報管理台帳』に登録する。
4. 代表取締役は、｢当社が取り扱うすべての個人情報が漏れなく抽出されているか｣、｢利用目的が明確になっているか｣、｢保管や廃棄のルールが明確になっているか｣といった観点から『個人情報管理台帳』の内容を確認し、承認する。
5. 当社は、期の途中であっても、新たな個人情報収集の計画、収集目的の変更計画及び法的要求事項の追加・変更等の事由が発生した場合は、その都度上記手順に従い、『個人情報管理台帳』の追記・修正を行う。
6. 毎年4月に個人情報管理台帳の見直し時に、個人情報の棚卸しを行い、実件数を特定する。

3.3.2法令、国が定める指針その他の規範

当社は、当社が該当する個人情報に関する法令、国が定める指針その他の規範を特定し、参照できる手順を確立し、維持する。

1. 当社は、個人情報に関する法令、国が定める指針（ガイドライン等）、条例及びその他の規範を遵守する。法令およびガイドライン等が改訂された場合や業務の拡大などにより新たに必要とされる場合は、個人情報保護管理者が情報収集を行い、最新の状態に維持するように努める。個人情報保護管理者は毎年４月または必要があれば随時、新聞やインターネットから個人情報に関する法令、その他の規範、ガイドライン及び各地方自治体の方針等の情報収集を行い、『法的要求事項等一覧表』に記載する。なお、法令及びその規範等が制定・改定された場合は、必要に応じてその都度『法的要求事項等一覧表』を追記・改定する。
2. 個人情報保護管理者は、法令及びその他の規範等が制定・改定された場合、当社の現行のマネジメントシステムの変更の必要性を鑑み、必要に応じて反映させる。
3. 個人情報保護管理者は『法的要求事項等一覧表』を各部門の責任者に配布する。
4. 教育担当者は、年度教育計画に従い、当社が関係する法令及びその他の規範等を従業員に教育する。法令及びその他の規範等が制定・改定された場合は、必要に応じて臨時の教育を行う。
5. 個人情報保護管理者は毎年4月、『法的要求事項等一覧表』の内容を見直す。

3.3.3リスクなどの認識、分析及び対策

当社は、前述3.3.1で特定した個人情報について、目的外利用を行わないため、必要な対策を講じる。当社は、目的外利用は行わず、都度必ず同意を取り付けるものとする。
当社は、前述3.3.1項で特定した個人情報について、その取扱いの各局面におけるリスク（個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持する。

1. 個人情報保護管理者は、前述3.3.1で特定された個人情報ごとに『個人情報リスク認識シート』を作成し、想定されるリスク及び同リスクに対する対応策、残存リスク及び同リスクに対する対応策を決定する。
2. 『個人情報リスク認識シート』を使用し、リスクを分析する際は、個人情報のプロセス(取り扱いの流れ)に留意し、それぞれどのライフサイクル(取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄)におけるリスクなのか明確にする。なお、顧客から預かった個人情報（名簿等）の返却の局面も漏らさず特定する。
3. 残存リスク(対応策を講じた後でも残っていると考えられるリスク)がある場合は、『残存リスク対応計画』で明確にし、残存リスクを認識するとともに対応策を計画する。
4. 代表取締役は、｢当社が取り扱うすべての個人情報がもれなくリスク分析されているか｣、｢ライフサイクルごとのリスクが評価されているか｣、｢妥当性のあるリスク対応策となっているか｣、「残存リスクがある場合、その留意点（対策）が明確になっているか」といった観点から、『個人情報プロセスリスク認識シート』及び『残存リスク対応計画』の内容を確認し、承認する。
5. 当社は、毎年4月定期的に、または期の途中であっても、新たな個人情報収集の計画、収集目的の変更計画及び法的要求事項の追加・変更等の事由が発生した場合は、その都度上記手順に従い、『個人情報リスク認識シート』及び『残存リスク対応計画』の追記・修正を行う。

3.3.4資源、役割、責任及び権限

1. 代表取締役は、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、改善するために不可欠な資源を用意する。
2. 代表取締役は、個人情報保護マネジメントシステムを効果的に実施するために役割、責任及び権限を下表のように定め、従業員に周知する。
3. 代表取締役は、この規格の内容を理解し実践する能力のある個人情報保護管理者を当社の内部の者から指名し、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行う。
4. 個人情報保護管理者は、個人情報保護マネジメントシステムの見直し及び改善の基礎として、代表取締役に個人情報保護マネジメントシステムの運用状況を報告する。

名称	責任と権限
代表取締役	経営最高責任者として、個人情報保護に関する全ての責任と権限を有する。
個人情報保護管理者	代表取締役により指名され、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を有する｡
監査責任者	個人情報保護マネジメントシステムの整備状況、体制整備状況及び運用状況に関する監査についての責任と権限を有する。個人情報保護管理者とは独立した立場から、代表取締役により指名される。
教育担当者	代表取締役により指名され、個人情報保護に関する従業員教育の責任と権限を有する。
苦情・相談窓口担当者	代表取締役により指名され、本人、顧客等からの個人情報に係わる問合せ並びに苦情に対する対応の責任と権限を有する。
情報システム管理責任者	代表取締役により指名され、当社の情報システム(ネットワーク、サーバ等のインフラ)の運用管理に関する責任と権限を有する。

3.3.5内部規程

当社は、次の事項を含む内部規程を文書化し、かつ、維持する。

1. 「個人情報を特定する手順に関する規定」は、本マニュアル3.3.1に明記する。
2. 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定」は、本マニュアル3.3.2に明記する。
3. 「個人情報に関するリスクの認識、分析及び対策の手順に関する規定」は、本マニュアル3.3.3に明記する。
4. 「当社の各部門及び階層における個人情報を保護するための権限及び責任に関する規定」は、本マニュアル3.3.4に明記する。
5. 「緊急事態(個人情報が漏えい、滅失又はき損をした場合)への準備及び対応に関する規定」は本マニュアル3.3.7に明記する。
6. 「個人情報の取得、利用及び提供に関する規定」は、本マニュアル3.4.2に明記する。
7. 「個人情報の適正管理に関する規定」は、本マニュアル3.4.3に明記する。
8. 「本人からの開示等の求めへの対応に関する規定」は、本マニュアル3.4.4に明記する。
9. 「教育に関する規定」は本マニュアル3.4.5及び『教育訓練手順書』に明記する。
10. 「個人情報保護マネジメントシステム文書の管理に関する規定」は、本マニュアル3.5及び『文書管理手順書』に明記する。
11. 「苦情及び相談への対応に関する規定」は、本マニュアル3.6及び『不適合是正予防手順書』に明記する。
12. 「点検に関する規定」は、本マニュアル3.7及び『運用の確認・監査手順書』に明記する。
13. 「是正処置及び予防処置に関する規定」は、本マニュアル3.8及び『不適合是正予防手順書』に明記する。
14. 「代表取締役による見直しに関する規定」は、本マニュアル3.9に明記する。
15. 「内部規程の違反に関する罰則の規定」は、本マニュアル3.4.3.3に明記する。

個人情報保護管理者は、毎年4月定期的に上記内部規程の内容を見直し、必要に応じて改定する。期の途中であっても、個人情報を取り扱う新たな事業を開始する場合など、個人情報に関する状況が変化する場合は、個人情報保護マネジメントシステムが確実に適用されるように内部規程を改定する。

3.3.6計画書

当社は、個人情報保護マネジメントシステムを確実に実施するために必要な教育、監査などの計画を立案し、文書化し、かつ、維持する。
教育責任者は毎年4月、教育の計画を策定し、代表取締役の承認を得る。詳細は、本マニュアル3.4.5及び『教育訓練手順書』に明らかにする。
監査責任者は毎年4月、内部監査の計画を策定し、代表取締役の承認を得る。詳細は、本マニュアル3.7及び『運用の確認・監査手順書』に明らかにする。

3.3.7緊急事態への準備

当社は、緊急事態を特定するための手順、また、それらにどのように対応するかの手順を確立し、実施し、かつ維持する。
当社は、個人情報を特定する際に、あわせて緊急事態を特定する。当社における緊急事態は、個人情報の漏えい、滅失又はき損とする(例:受託したメール業務における郵便物の紛失、顧客情報の第三者への漏えい等)。
個人情報保護管理者は、個人情報が漏えい、滅失又はき損をした場合に想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれを考慮し、その影響を最小限とするための手順を策定する。個人情報保護管理は、個人情報の漏えい、滅失又はき損が発生した場合に備え、次の事項を含む対応手順を維持する。

1. 当該漏えい、滅失又はき損が発生した個人情報の内容を本人に速やかに通知し、又は本人が容易に知り得る状態に置く(当社HPへの掲示もしくは張り紙)。
2. 二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因及び対応策を、遅滞なく公表する(当社HPへの掲示もしくは張り紙)。
3. 事実関係、発生原因及び対応策を関係機関に直ちに報告する。

当社は、個人情報の漏洩等が発生した場合に、次のとおり対応措置を行う。

個人情報に関するクレーム、漏えい、紛失、毀損等（疑いがある場合も含む）を発見した者(遭遇した者も含む)又は相談窓口担当は、当該事故に対する報告書(第一報は直ちに口頭)を速やかに作成し、個人情報保護管理者及び代表取締役に回報する。個人情報保護管理者及び代表取締役は、報告の内容を確認し緊急事態を宣言する。

個人情報保護管理者及び代表取締役は、直ちに事故の拡大防止を指示するとともに緊急連絡会を招集し、事故の規模及び影響等について検討、タイムリーな対策を講じる。 なお、その対策には、個人情報が漏えい、滅失又はき損した場合に想定される経済的な不利益及び社会的な信用の失墜、本人への影響を考慮し、最小限にするため迅速かつ的確に対処する。
調査項目は、次のとおり。

1. クレーム内容の確認（担当者へのヒアリングを含む）
2. 紛失・毀損状況の確認（担当者へのヒアリングを含む）
3. 外部流出の有無の確認
4. 流出先の特定
5. 流出した情報物・情報項目・件数の特定
6. 流出等があった部署・担当者の特定
7. 流出ルートの解明
8. 誤焼却の場合は、ルート・処理現場の確認。

個人情報保護管理者及び代表取締役は、本人・個人情報保護委員会(以下の連絡先)・一般財団法人日本情報経済社会推進協会プライバシーマーク推進センター(Webに記載された連絡先)・マスコミ対応を速やかに行い、本人に対し被る不利益を公表する。
なお、特定個人情報の緊急事態が発生した場合に「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(平成27年特定個人情報保護委員会規則第5号)に基づく個人情報保護委員会への報告の要否を判断の上で個人情報保護委員会へ報告する。
【個人情報保護委員会の報告先】
・個人情報の場合：
(TEL)03-6457-9685　(FAX)03-3597-4560
　(郵送)東京都千代田区霞が関3-2-1　霞が関コモンゲート西館32階
個人情報保護員会事務局　個人データ漏えい等報告窓口
・特定個人情報の場合：
(FAX)03-3593-7962　※第一報をFAXで報告につきFAX番号のみ表記
(郵送)東京都千代田区霞が関3-2-1　霞が関コモンゲート西館32階
個人情報保護員会事務局　特定個人情報漏えい等報告窓口
（平成30年2月8日改訂）

本人への第一報は、電話・郵便・訪問等の中で最も迅速かつ適切な手段を選択し、詳細は後日書面で報告する。また、可能な限り迅速に当社ＨＰトップに事故状況を掲示する。
個人情報保護管理者及び代表取締役は、再発防止策を検討するとともに情報主体に対し謝罪を含め適切な対応を行う。 個人情報保護管理者は『不適合是正予防手順書』に従い、原因の究明、再発防止策の立案・実施、是正処置のレビューを行い、その結果もＨＰトップに掲示する。
個人情報保護管理者は、上記の手順を毎年4月、定期的に見直す。また、万が一緊急事態が発生した後は、本手順の妥当性を評価し、必要に応じて改定する。

クリックで拡大表示

3.4実施及び運用

3.4.1運用手順

当社は、個人情報保護マネジメントシステムを確実に実施するために必要な運用の手順を、本マニュアル全体、『教育訓練手順書』、『文書管理手順書』、『記録管理手順書』、『運用の確認・監査手順書』、『不適合是正予防手順書』・・・・・に明確にする。

3.4.2取得、利用及び提供に関する原則

3.4.2.1利用目的の特定

当社は、個人情報を取得するに当たっては、その利用目的をできる限り特定し、その目的の達成に必要な限度において行う。
当社における個人情報の利用目的は、『個人情報データ・書類調査表』に明記する。

3.4.2.2適正な取得

第三者からの提供により、個人情報を取得する場合には、提供元及び委託先の法の遵守状況を確認し、個人情報を適切に管理しているものを提供元として選定する。当該個人情報が適法に取得されたことが確認できない場合は、その取得を自粛する。
（平成27年12月25日改訂）

3.4.2.3特定の機微な個人情報の取得、利用及び提供の制限

当社は、次に示す内容を含む個人情報の取得、利用又は提供は、行わない。ただし、これらの取得、利用又は提供について、明示的な本人の同意がある場合及び後述3.4.2.6のただし書きa)～d)のいずれかに該当する場合は、この限りでない。

1. 思想、信条又は宗教に関する事項
2. 人種、民族、門地、本籍地（所在都道府県に関する情報を除く）、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
3. 勤労者の団結権、団体交渉その他団体行動の行為に関する事項
4. 集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項
5. 保健医療又は性生活に関する事項

特定機微な個人情報を取得、利用、提供する場合は、『同意書』により本人の同意を得る。
当社は、上記ただし書きにより例外的かつ新たに機微な個人情報を取得、利用又は提供する場合は、事前に｢個人情報収集取扱申請書｣を作成し、個人情報保護管理者の承認を得る。

3.4.2.4本人から直接書面によって取得する場合の措置

当社は、本人から、書面（電子的方式、磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下、同じ）に記載された個人情報を直接に取得する場合には、以下の様に行う。

1. 採用応募者：応募者全員から「採用活動における個人情報の取扱について」への同意後に取得する。
2. 採用者（従業員）：採用時に「社員の個人情報の取扱いについての同意書」への同意後に取得する。
3. WEBサイトを利用した採用応募・お問合せ：当社WEBサイト上に「個人情報の取扱いについて」を明示し、同意後に送信する方式で取得する。

直接書面により新規の種類の個人情報を取得する場合、あらかじめ個人情報保護管理責任者に「個人情報収集・取扱申請書」にて申請し承認後、少なくとも、《取得時の明示及び同意事項》のａ）～ｆ）又はそれと同等以上の内容の事項を書面によって本人に通知し、本人の同意を得なければならない。

個人情報の開示等は、「問合せ窓口」または担当者への請求により無償で応ずる。 また、本人から直接書面によって取得する場合の措置等に、但書きを適用する場合、あらかじめ個人情報保護管理責任者に「個人情報収集・取扱申請書」（但書きを適用した個人情報の取得、利用又は提供）にて申請し承認後、取得する。
（平成27年12月25日改訂）
ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合、後述3.4.2.5のただし書きa)～d)のいずれかに該当する場合、及び後述3.4.2.6のただし書きa)～d)のいずれかに該当する場合は、この限りではない。

1. 当社の氏名又は名称
2. 個人情報保護管理者若しくはその代理人の連絡先、職名
3. 利用目的
4. 個人情報を第三者に提供することが予定される場合の事項
   -第三者に提供する目的
   -提供する個人情報の項目
   -提供の手段又は方法
   -当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
   -個人情報の取扱いに関する契約がある場合はその旨
5. 個人情報の取扱いの委託を行うことが予定される場合には、その旨
6. 後述3.4.4.4～3.4.4.7に該当する場合には、その求めに応じる旨及び問合せ窓口
7. 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
8. 本人が容易に認識できない方法によって個人情報を取得する場合には、その旨

当社は、直接書面により、新規の種類の個人情報を取得する場合は、事前に｢個人情報収集取扱申請書｣を作成し、個人情報保護管理者の承認を得る。
当社は、上記ただし書きを適用する場合は、事前に｢個人情報収集取扱申請書｣を作成し、個人情報保護管理者の承認を得る。

3.4.2.5個人情報を、前述3.4.2.4以外の方法によって取得した場合の措置

当社は、個人情報を前述3.4.2.4以外の方法によって取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を、本人に通知し、又はホームページに公表する。
ただし、次に示すいずれかに該当する場合は、この限りではない。

1. 利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
2. 利用目的を本人に通知し、又は公表することによって、当社の権利又は正当な利益を害するおそれがある場合
3. 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき
4. 取得の状況からみて利用目的が明らかであると認められる場合

当社は、直接書面以外の方法により、新規の種類の個人情報を取得する場合は、事前に｢個人情報収集取扱申請書｣を作成し、個人情報保護管理者の承認を得る。
当社は、上記ただし書きa)～d)を適用する場合は、事前に｢個人情報収集取扱申請書｣を作成し、個人情報保護管理者の承認を得る。

3.4.2.6利用に関する措置

当社は、特定した利用目的の達成に必要な範囲内で個人情報を利用する。
特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、少なくとも、前述3.4.2.4のa）～f）に示す事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得る。ただし、次に示すいずれかに該当する場合は、この限りではない。

1. 法令に基づく場合
2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
4. 国の機関若しくは地方公共団体又はその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき

当社は、収集時に本人から同意を得た利用目的を超えた個人情報の利用は行わない。
利用目的を超えて個人情報を利用する場合は、改めて本人から同意書を取得する。
当社は、利用目的を変更する場合、事前に｢個人情報収集取扱申請書｣を作成し、個人情報保護管理者の承認を得る。
当社は、上記ただし書きa)～d)を適用する場合は、事前に「個人情報収集取扱申請書」を作成し、個人情報保護管理者の承認を得る。
目的外利用に該当するかどうか判断に迷う場合は、個人情報保護管理者に判断を求める。

3.4.2.7本人にアクセスする場合の措置

当社は、個人情報を利用して本人にアクセスする場合には、本人に対して、3.4.2.4のa)～f)に示す事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得る。ただし、次に示すいずれかに該当する場合は、この限りではない。
当社の場合、個人情報の取得時に『同意書』で同意を取り付ける。

1. 3.4.2.4のa)～f)に示す事項それと同等以上の内容の事項を明示又は通知し、既に本人の同意を得ているとき
2. 個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報を、その利用目的の達成に必要な範囲内で取り扱うとき
3. 合併その他の事由による事業の承継に伴って個人情報が提供され、個人情報を提供する当社が、既に前述3.4.2.4のa)～f)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき
4. 個人情報が特定の者との間で共同して利用され、共同利用者が、既に前述3.4.2.4のa)～f)に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
   -共同して利用すること
   -共同して利用される個人情報の項目
   -共同して利用する者の範囲
   -共同して利用する者の利用目的
   -共同して利用する個人情報の管理について責任を有する者の氏名又は名称
   -取得方法(当社は取得した個人情報を共同利用することはない)
5. 3.4.2.5のただし書きd)に該当するため、利用目的などを本人に明示、通知又は公表することなく取得した個人情報を利用して、本人にアクセスするとき
6. 3.4.2.5のただし書きa)～d)のいずれかに該当する場合

当社は、新たなアクセスを行う場合は、事前に「個人情報収集取扱申請書」を作成し、個人情報保護管理者の承認を得る。
当社は、上記ただし書きa)～f)を適用する場合は、事前に「個人情報収集取扱申請書」を作成し、個人情報保護管理者の承認を得る。なお、上記ただし書きb)の場合は、委託元が個人情報保護法及びガイドライン等に沿って適切に個人情報を取り扱っていることを事前に確認する。

3.4.2.8提供に関する措置

当社は、個人情報を第三者に提供する場合には、あらかじめ、本人に対して、取得方法及び前述3.4.2.4のa)～d)の事項又はそれと同等以上の内容の事項を通知し、本人の同意を得る。ただし、次に示すいずれかに該当する場合は、この限りではない。

1. 前述3.4.2.4又は3.4.2.7の規定によって、既に3.4.2.4のa)～d)の事項又はそれと同等以上の内容の事項を本人に明示又は通知し、本人の同意を得ているとき
2. 大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難な場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又はそれに代わる同等の措置を講じているとき
   -第三者への提供を利用目的とすること
   -第三者へ提供される個人情報の項目
   -第三者への提供の手段又は方法
   -本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること
   -取得方法
   当社の場合、該当しない。
3. 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であって、かつ、法令に基づき又は本人若しくは当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって、b)で示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
4. 特定した利用目的の達成に必要な範囲内において、個人情報の取扱いの全部又は一部を委託するとき
5. 合併その他の事由による事業の承継に伴って個人情報を提供する場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき
6. 個人情報を特定の者との問で共同して利用する場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
   -共同して利用すること
   -共同して利用される個人情報の項目
   -共同して利用する者の範囲
   -共同して利用する者の利用目的
   -共同して利用する個人情報の管理について責任を有する者の氏名又は名称
   -取得方法（当社は、取得した個人情報を共同利用することはない）
7. 3.4.2.6のただし書きa)～d)のいずれかに該当する場合

当社は第三者に個人情報を提供する場合は、本人から同意書を取得する。
当社は、新たに第三者提供を行う場合は、事前に｢個人情報収集取扱申請書｣を作成し、個人情報保護管理者の承認を得る。
当社は、上記ただし書きb)～g)を適用する場合は、事前に「個人情報収集取扱申請書」を作成し、個人情報保護管理者の承認を得る。

3.4.3適正管理

3.4.3.1正確性の確保

当社は、利用目的の達成に必要な範囲内において、個人情報を、正確、かつ、最新の状態で管理する。
当社は誤入力を防止するため、読み合わせ確認を行う。

3.4.3.2安全管理措置

当社は、その取り扱う個人情報のリスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講じる。
個人情報への不当なアクセスまたは個人情報の紛失、破壊、改ざん、漏えい等の危険に対して、技術面および組織面において合理的な安全対策を講ずるものとする。

1. 電子メールに関する措置
   当社で取り扱う個人情報のデータを、電子メールにより顧客先等へ送信することを原則として禁止する。ただし、やむをえないときは、暗号かパスワードをかけること。
   顧客先および情報主体に対し、安全性確保の為、電子メールによる個人情報のデータの送信をしないよう要請する。ただし、やむをえないときは、暗号かパスワードをかけるよう要請する。
   無線LAN、リモートアクセスは使用しない。
2. 盗難等防止策
   携帯可能なノートパソコンは、施錠できるキャビネットで管理する。デスクトップパソコンは、スクリーンセーバーを起動状態にセットする。FDやMOは、施錠できるデスク及びキャビネットで管理する。
3. 機器・装置の保護策
   サーバーは、専用のサーバーキャビネットに保管し、施錠管理する。停電時は、予備電源が使用できる。火災の際は、可能であれば指定の場所に設置された消火器で初期消火を行う。
4. アクセスの記録
   LanScopeの活用により、アクセスログを記録する。この記録は、個人情報保護管理者が6ヶ月間保管する。
5. 個人情報の移送・通信時の対策
   個人情報の移送は、Nの専用便、配達記録郵便、クロネコメール等、記録の残る便を利用する。FAX送信に関しては、個人情報管理台帳で定めた者の許可を必要とする。
6. クリアデスク
   デスクの上は、整理整頓を常とし、個人情報を放置したりしない。
7. コピーの制限
   個人情報は、みだりにコピーを取らない。コピーが必要な場合は、必ず発信元の許可を得る。
8. 離席時の留意事項
   席を離れる際は、短時間(室内移動)の場合はディスプレイの電源を落とす。長時間(室外移動)の場合は、ログオフする。個人情報は、必ずデスク及びキャビネットに収納する。
9. WEBにおける入出力（平成27年12月25日追記）
   WEBを介して個人情報を提出・取得する際には、暗号化を実施する。

3.4.3.3従業員の監督

当社は、その従業員に個人情報を取り扱わせるに当たっては、当該個人情報の安全管理が図られるよう、当該従業員に対し必要、かつ、適切な監督を行う。詳細は、詳細は、本マニュアル3.4.5及び『教育訓練手順書』に明らかにする。
従業員との雇用契約時に『個人情報保護に関する誓約書』にて、退職後も含め、個人情報の非開示契約を締結する。
（平成27年12月25日訂正）

3.4.3.4委託先の監督

当社は、個人情報の取扱いの全部又は一部を委託する場合は、十分な個人情報の保護水準を満たしている者を選定する。
当社は、委託を受ける者を選定する基準を確立する。

個人情報保護管理者は、情報処理等のために個人情報を委託する場合において、十分な個人情報の保護水準を満たしている委託先を選定する基準を定め、これに運用するものとし、契約に際しては下記a)～ g)の内容を規定し、その保護水準を担保する。

当社は、個人情報の取扱いの全部又は一部を委託する場合は、委託する個人情報の安全管理が図られるよう、委託を受けた者に対する必要、かつ、適切な監督を行う。

当社は、委託（予定）先を『委託先評価シート』で評価した結果、決定ランク『不適合』の場合は、委託不可。決定ランク『Ｃ』となった委託先には『改善勧告』を通達し、１年間様子を見た後（取引も可）、再評価する。再評価の結果、再び（２年連続で）『Ｃ』となった場合は、取引を打ち切る。

委託先の選定評価、定期的な見直し状況は「委託先管理台帳」により管理する。
（平成26年2月28日追記）
当社は、2年に1回（4月頃）委託先の再評価を行うとともに、当該評価選定基準そのものも見直し、必要に応じて改訂する。（平成25年12月10日改訂）

当社は、次に示す事項を契約によって規定し、十分な個人情報の保護水準を担保する。

1. 委託者及び受託者の責任の明確化
2. 個人情報の安全管理に関する事項
3. 再委託に関する事項
4. 個人情報の取扱状況に関する委託者への報告の内容及び頻度
5. 契約内容が遵守されていることを委託者が確認できる事項
6. 契約内容が遵守されなかった場合の措置
7. 事件・事故が発生した場合の報告・連絡に関する事項

各部門の責任者は、当該契約書などの書面を少なくとも個人情報の保有期間にわたって、キャビネットで保管する。

3.4.4個人情報に関する本人の権利

3.4.4.1個人情報に関する権利

当社は、コンピューターを用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理、分類し、目次、索引、符号などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であって、当社が、本人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの(以下”開示対象個人情報”という)に関して、本人から利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止(以下、”開示等”という)を求められた場合は、後述3.4.4.4~3.4.4.7の規定によって、遅滞なくこれに応じる。 ただし、次のいずれかに該当する場合は、開示対象個人情報ではない。

1. 当該個人情報の存否が明らかになることによって、本人又は第三者の生命、身体又は財産に危害が及ぶおそれのあるもの
2. 当該個人情報の存否が明らかになることによって、違法又は不当な行為を助長し、又は誘発するおそれのあるもの
3. 当該個人情報の存否が明らかになることによって、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの
4. 当該個人情報の存否が明らかになることによって、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序維持に支障が及ぶおそれのあるもの

当社は、上記ただし書きa)～d)を適用する場合は、事前に「個人情報収集取扱申請書」を作成し、個人情報保護管理者の承認を得る。

3.4.4.2開示等の求めに応じる手続

当社は、開示等の求めに応じる手続として次の事項を定める。

1. 開示等の求めの申し出先
2. 開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式
3. 開示等の求めをする者が、本人、法定代理人又は代理人であることの確認の方法
   （平成27年12月25日改訂）
4. 後述3.4.4.4又は3.4.4.5による場合の手数料(定めた場合に限る)の徴収方法当社は、本人からの開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮する。

後述3.4.4.4又は3.4.4.5による場合の手数料（定めた場合に限る）の徴収方法
当社は、本人からの開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮する。
当社は個人情報の開示請求があった場合、『開示請求への対応について』に従い対応し、｢個人情報開示請求書兼報告書｣で個人情報の開示を受け付ける。
当社は、後述3.4.4.4又は3.4.4.5によって本人からの求めに応じる場合に、手数料を徴収するときは、実費を勘案して合理的であると認められる範囲内において、その額を定める。

3.4.4.3開示対象個人情報に関する事項の周知など

当社は、取得した個人情報が開示対象個人情報に該当する場合は、当該開示対象個人情報に関し、次の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む）に置く。当社は個人情報保護管理者の承認に基づき開示窓口を当社ホームページ（https://www.sansei-inc.com）上に掲載する。
（平成27年12月25日改訂）

1. 当社の氏名又は名称
2. 個人情報保護管理者の代理人の連絡先
3. すべての開示対象個人情報の利用目的[3.4.2.5のa)～c)までに該当する場合を除く]
4. 開示対象個人情報の取扱いに関する苦情の申し出先
5. 当社が個人情報の保護に関する法律(平成15年法律第57号)第37条第1項の認定を受けた者(以下、“認定個人情報保護団体”という)の対象会社である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申し出先
6. 前述3.4.4.2によって定めた手続

3.4.4.4開示対象個人情報の利用目的の通知

当社は、本人から、当該本人が識別される開示対象個人情報について、利用目的の通知を求められた場合には、遅滞なく1ヶ月以内にこれに応じる。 ただし、前述3.4.2.5のa)～c)のいずれかに該当する場合、又は前述3.4.4.3のc)によって当該本人が識別される開示対象個人情報の利用目的が明らかな場合は利用目的の通知を必要としないが、そのときは、本人に遅滞なく1ヶ月以内にその旨を通知するとともに、理由を説明する。

当社は、本人への回答(求めに応じない場合も含む)を行う場合は、「個人情報開示請求書兼報告書」を作成し、個人情報保護管理者の承認を得る。

当社は、上記ただし書きにより、利用目的を通知しない場合は、「個人情報開示請求書兼報告書」を作成し、個人情報保護管理者の承認を得る。

3.4.4.5開示対象個人情報の開示

当社は、本人から、当該本人が識別される開示対象個人情報の開示(当該本人が識別される開示対象個人情報が存在しないときにその旨を知らせることを含む。)を求められたときは、法令の規定によって特別の手続が定められている場合を除き、本人に対し、遅滞なく1ヶ月以内に、当該開示対象個人情報を書面(開示の求めを行った者が同意した方法があるときは、当該方法)によって開示する。
ただし、開示することによって次のa)～c)のいずれかに該当する場合は、その全部又は一部を開示する必要はないが、そのときは、本人に遅滞なく1ヶ月以内にその旨を通知するとともに、理由を説明する。

1. 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
2. 当該当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
3. 法令に違反することとなる場合

当社は、本人への回答(求めに応じない場合も含む)を行う場合は、「個人情報開示請求書兼報告書」を作成し、個人情報保護管理者の承認を得る。

当社は、上記ただし書きa)～c)により、利用目的を通知しない場合は、「個人情報開示請求書兼報告書」を作成し、個人情報保護管理者の承認を得る。

3.4.4.6開示対象個人情報の訂正、追加又は削除

当社は、本人から、当該本人が識別される開示対象個人情報の内容が事実でないという理由によって当該開示対象個人情報の訂正、追加又は削除(以下、この項において”訂正等”という)を求められた場合は、法令の規定によって特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく1ヶ月以内に必要な調査を行い、その結果に基づいて、当該開示対象個人情報の訂正等を行う。
当社は、訂正等を行ったときは、その旨及びその内容を、本人に対し、遅滞なく1ヶ月以内に通知し、訂正等を行わない旨の決定をしたときは、その旨及びその理由を、本人に対し、遅滞なく1ヶ月以内に通知する。
当社は、本人への回答(求めに応じない場合も含む)を行う場合は、「個人情報開示請求書兼報告書」を作成し、個人情報保護管理者の承認を得る。

当社は、訂正等を実施しない場合は、「個人情報開示請求書兼報告書」を作成し、個人情報保護管理者の承認を得る。

3.4.4.7開示対象個人情報の利用又は提供の拒否権

当社が、本人から当該本人が識別される開示対象個人情報の利用の停止、消去又は第三者への提供の停止（以下、この項において“利用停止等”という）を求められた場合は、これに応じる。
また、措置を講じた後は、遅滞なく1ヶ月以内にその旨を本人に通知する。
ただし、前述3.4.4.5のa）～c）のいずれかに該当する場合は、利用停止等を行う必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明する。
当社は、本人への回答(求めに応じない場合も含む)を行う場合は、｢個人情報開示請求書兼報告書｣を作成し、個人情報保護管理者の承認を得る。

当社は、上記ただし書きにより、利用停止等を実施しない場合は、｢個人情報開示請求書兼報告書｣を作成し、個人情報保護管理者の承認を得る。

3.4.5教育

当社は、従業員に、毎年10月～11月に適切な教育を行う。当社は、従業員に、関連する各部門及び階層における次の事項を理解させる手順を確立し、かつ、維持する。
（平成27年12月25日改訂）

1. 個人情報保護マネジメントシステムに適合することの重要性及び利点
2. 個人情報保護マネジメントシステムに適合するための役割及び責任
3. 個人情報保護マネジメントシステムに違反した際に予想される結果

当社は、教育の計画及び実施、結果の報告及びそのレビュー、計画の見直し並びにこれらに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施し、かつ、維持する。

教育担当者は、毎年研修の内容およびスケジュールを定め、これを主催する。 また、教育担当者は研修の効果を確認するため、理解度確認テストを行い、受講者に記入させる。研修はこれをもって受講完了とする。
当社における教育の手順は、『教育訓練手順書』に明確にする。

3.5個人情報保護マネジメントシステム文書

3.5.1文書の範囲

当社は、次の個人情報保護マネジメントシステムの基本となる要素を書面で記述する。

1. 個人情報保護方針
2. 内部規程
3. 計画書
4. この規格が要求する記録及び当社が個人情報保護マネジメントシステムを実施する上で必要と判断した記録

当社は、『JISQ15001要求事項/当社マネジメントシステムの対応表』にマネジメントシステムの基本となる要素を記述する。

3.5.2文書管理

当社は、この規格が要求するすべての文書(記録を除く)を管理する手順を確立し、実施し、かつ、維持する。詳細は、『文書管理手順書』に明確にする。
文書管理の手順には、次の事項が含まれる。

1. 文書の発行及び改訂に関すること
2. 文書の改訂の内容と版数との関連付けを明確にすること
3. 必要な文書が必要なときに容易に参照できること

3.5.3記録の管理

当社は、個人情報保護マネジメントシステム及びこの規格の要求事項への適合を実証するために必要な記録を作成し、かつ、維持する。

当社は、記録の管理についての手順を確立し、実施し、かつ、維持する。詳細は、『記録管理手順書』に明確にする。

3.6苦情及び相談への対応

当社は、個人情報の取扱い及び個人情報保護マネジメントシステムに関して、本人からの苦情及び相談を受け付けて、適切、かつ、迅速な対応を行う手順を確立し、かつ、維持する。

当社は、上記の目的を達成するために必要な体制の整備を行う。

苦情・相談窓口の担当者は、顧客等からの個人情報に係る問い合わせ・苦情等を『苦情・相談・受付票兼処理票』で受け付けて対応するとともに、相談内容を分析し再発防止等を検討し、本マニュアル等に反映させる責任を負うものとする。

3.7点検

3.7.1運用の確認

当社は、個人情報保護マネジメントシステムが適切に運用されていることが当社の各部門及び階層において、定期的に確認されるための手順を確立し、実施し、かつ、維持する。
詳細は、「運用の確認・監査手順書」に明確にする。

3.7.2監査

当社は、個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マネジメントシステムの運用状況を定期的に監査する。
表取締役は、公平、かつ、客観的な立場にある個人情報保護監査責任者を当社の内部の者から指名し、監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え、業務を行わせる。
監査責任者は毎年４月、｢年度内部監査計画書｣を策定する。
監査責任者は、監査を指揮し、監査報告書を作成し、代表取締役に報告する。
監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保する。
監査員は、自ら所属する部門を監査しない。
当社は、監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施し、かつ、維持する。詳細は、「運用の確認・適合性チェック・内部監査手順書」に明確にする。
（平成25年12月10日改訂）

3.8是正処置及び予防措置

当社は、不適合に対する是正処置及び予防処置を確実に実施するための責任及び権限を定める手順を確立し、実施し、かつ、維持する。詳細は、『不適合是正予防手順書』に明確にする。
その手順には、次の事項を含める。

1. 不適合の内容を確認する。
2. 不適合の原因を特定し、是正処置及び予防処置を立案する。
3. 期限を定め、立案された処置を実施する。
4. 実施された是正処置及び予防処置の結果を記録する。
5. 実施された是正処置及び予防処置の有効性をレビューする。

3.9代表取締役による見直し(マネジメントレビュー)

代表取締役は、個人情報の適切な保護を維持するために、定期的に個人情報保護マネジメントシステムを見直す。代表取締役による見直しにおいては、次の事項を考慮する。

1. 監査及び個人情報保護マネジメントシステムの運用状況に関する報告
2. 苦情を含む外部からの意見
3. 前回までの見直しの結果に対するフォローアップ
4. 個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
5. 社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
6. 当社の事業領域の変化
7. 内外から寄せられた改善のための提案

代表取締役は、毎年4月代表取締役による見直しを行い、その結果をマネジメントシステムに反映させる。
個人情報保護管理者は、『マネジメントレビューレポート』を管理する。

改訂履歴

改訂日	版	改訂の内容
2005年6月22日	2	4.3.1個人情報の特定において、個人情報及びリスクを特定する手順を明記。 4.3.2法令及びその規範において、関連する法規制等を特定する手順を追記。 4.3.3.2漏洩等の緊急措置において、緊急時の対応ルールを追記。 4.4.2.4情報主体から直接収集する場合の措置において、『警備業法に基づき本籍地等の機微情報を含む個人情報を収集する場合は、情報主体に対して業務上必要な手続きを行うための必須情報であることを書面等により通知し、同意を得た上で個人情報を収集する』旨、追記。 4.4.2.5情報主体から間接収集する場合の措置において、『当社は、情報主体以外から間接的に個人情報を収集することは、今のところない』旨、追記。 4.4.3.2収集目的の範囲外の利用及び提供の場合の措置において、『当社の場合『同意書』で同意を取り付ける。ただし、現状はなし』を追記。 4.4.4.2個人情報の利用の安全性の確保において、(b)~(h)を追記。 4.4.4.3個人情報の委託処理に関する措置において、評価のルールを追記。 4.4.5.1個人自己情報に関する権利において、『総務が窓口となる』ルールを追記。 4.4.5.2個人情報の利用または提供の拒否権において、『総務が窓口となる』ルールを追記。 4.5監査において、『監査員は自ら所属する部門を監査しない』旨、追記。
2005年8月10日	3	4.3.1(a)毎年5月→毎年4月 4.3.2(a)毎年4月→毎年4月または必要があれば随時 4.4.2.5(c)を削除 4.4.6(c)事業年度毎→毎年 4.6毎年10月→4月
2005年12月15日	4	1.1.2(b)適用範囲の追加と表現の変更
2006年2月1日	5	1.1.2(b)組織名変更に伴う適用範囲の追加と表現の変更
2006年10月1日	6	2006年度版移行に伴う全面的改定
2007年10月25日	7	Pマーク事務局指摘に伴う各種変更
2007年12月25日	8	Pマーク更新審査後の指摘事項是正に伴う各種変更
2009年4月1日	9	2.1（ｂ）部門名変更
2010年1月20日	10	更新審査及び内部監査後の見直し 3.3.1　(a)に加筆 3.3.1　(f)を追加 3.3.3　(b)に加筆 3.4.5　教育の実施時期を加筆
2012年1月20日	11	更新審査に伴う見直し 3.4.2.4　b)　「職名」を加筆 3.4.2.5　　　利用目的をホームページに公表することとし、その旨加筆した。
2012年4月25日	12	更新審査後の見直し 3.3.1　(a) (b)　　書式変更に伴い書式名の変更 3.6　　　　　　　 書式変更に伴い書式名の変更
2013年12月10日	13	更新審査後の見直し 3.3.7　　　緊急時の対応先の記述を変更 3.4.3.4　　再評価のサイクルを１年毎から２年毎に変更 3.7.2　　　監査手順書の名称を変更
2014年2月28日	14	更新審査後の見直し（再） 3.4.3.4　　委託先管理台帳の記述を追記
2015年12月25日	15	更新審査に伴う見直し 2.1（a） 当社の全ての組織、従業員に適用する。記述を追記 3.2　　 「特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下、“目的外利用”という)を行わないこと及びそのための措置を講じることを含む。」記述を追記 3.3.5（o） 罰則規定の明記。 3.3.7 連絡先の正式名称に訂正。 3.4.2.2　　適正な取得について改訂。 3.4.2.4　　本人からの直接書面によって取得する場合の記述改訂 3.4.3.2　　(i)規定を追記。 3.4.3.3　　社員を「従業員」に改訂。 3.4.4.2　　「法定代理人」追記。 3.4.4.3　　「個人情報保護管理者の承認に基づき開示窓口を当社ホームページ（http://www.sansei-inc.com）上に」を追記。 3.4.5　　　「社員」を「従業員」に改訂。 3.6　　　　「詳細は『是正予防処置手順書』に従う。苦情・相談に対して、本人に回答する場合は、「是正予防処置書」で個人情報保護管理者の承認を得る。」を削除
2018年2月8日	16	更新審査に伴う見直し 3.3.7　　　個人情報及び特定個人情報に対する報告の要否の判断、報告先及び報告方法の追記 合わせて、緊急事態対応フローチャートの修正