金融商品仲介業に関する個人情報保護規程 

by kanri_tonics

金融商品仲介業に関する個人情報保護規程 

令和6年7月1日 
株式会社サーフウェルスマネジメント 

 第1条(目的)  

 この規程は「個人情報の保護に関する法律」(以下「保護法」という)、「個人情報の保護に関する法律施行令」 (以下「施行令」という)、「 個人情報の保護に関する法律施行規則」(以下「施行規則」という)、「個人情報の保護についてのガイドライン(通則編)」、同ガイドライン(外国にある第三者への提供編)、同ガイドライン(第三者提供時の確認・記録義務編)、同ガイドライン(匿名加工情報編)、「金融分野における個人情報の保護に関するガイドライン」(以下、合わせて「ガイドライン」という)、日本証券業協会制定の「個人情報の保護に関する指針」(自主規制規則)等を踏まえ、当社が金融商品仲介業務及び金融商品仲介業に付随する業務において取得した個人情報を 適切に保護するために定めるものである。 

 第2条(定義) 

この規程で掲げる下記の用語その他の用語の定義は、「ガイドライン」による定義と同一とする。 

 ①「個人情報」とは、生存する個人に関する情報であって、特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)、又は個人識別符号が含まれるものをいう。 
「個人に関する情報」とは、氏名、性別、生年月日、住所、年齢、職業、続柄、顔画像等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。これら「個人に関する情報」が、氏名等と相まって「特定の個人を識別することができる」ことになれば、それが「個人情報」となる。 
なお、生存しない個人に関する情報が、同時に、遺族等の生存する個人に関する情報に当たる場合には、当該生存する個人に関する情報となる。 
また、企業名等、法人その他の団体に関する情報は、基本的に「個人情報」には該当しないが、役員の氏名などの個人に関する情報が含まれている場合には、その部分については、「個人情報」に該当する。 
さらに、「個人」には外国人も当然に含まれる。 
また、顧客本人に係る情報のほか、見込客、取引先企業の関係者等、当社が行う業務等において取得する個人に関する情報をいう。 

②「個人識別符号」とは、当該情報単体から特定の個人を識別できるものとして施行令第1条に定められた文字、番号、記号その他の符号をいい、生存する個人の個人番号を含む。 

③「個人情報データベース等」とは、個人情報を含む情報の集合物であって、特定の個人情報をコンピュータを用いて検索できるように体系的に構成したもの、又はコンピュータを用いていない場合であっても、五十音順に索引を付して並べられた顧客カード等、個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるよう体系的に構成したものであって、目次、索引、符号等により一般的に容易に検索可能な状態に置かれているものをいう。 
ただし、利用方法からみて個人の権利利益を害するおそれが少ないものを除く。 

④「個人データ」とは、個人情報データベース等を構成する個人情報をいう。なお、個人情報データベース等から記録媒体へダウンロードされたもの及び紙面に出力されたもの(そのコピー を含む。)も含まれる。 

⑤ 「保有個人データ」とは、当社が、 本人又はその代理人から求められる 開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止のすべてに応じることのできる権限を有する個人データであって、その存否が
明らかになることにより公益その他の利益が害されるものとして次に掲げるもの以外のもの及び1年以内に消去すること(更新することを除く。)となるもの以外のものをいう。 

  1. 存否が明らかになることで、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの 
  2. 存否が明らかになることで、違法又は不当な行為を助長し、又は誘発するおそれがあるもの 
  3. 存否が明らかになることで、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの 
  4. 存否が明らかになることで、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの 
  5. 「本人」とは、個人情報によって識別される特定の個人をいう。 

⑦ 「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取り扱いに特に配慮を要するものとして施行令第2条で定める記述等が含まれる個人情報をいう。 

⑧ 「機微(センシティブ)情報」とは、金融分野において、要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要 配慮個人情報に該当するものを除く。)に関する情報(本人、国の機関、地方公共団体、保護法第76条第1項各号若しくは施行規則第6条各号に掲げるものにより公開されているもの、又は本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く。)のことをいう。 

第3条(利用目的の特定)

当社は、別紙「お客様の個人情報等の利用目的」により、個人情報の利用目的を特定するものとする。
2 前項の利用目的の特定に当たっては、提供する金融商品、サービスを示したうえで、利用目的を特定するよう努めるものとする。 
3 当社は、利用目的を変更する場合には、保護法第15条第2項に定める「変更前の利用目的と関連性を有すると合理的に認められる範囲」を超えないものとする。 
4 当社は、特定の個人情報の利用目的が、法令等に基づき限定されている場合には、その旨を明示するよう努めるものとする。 

第4条(「同意」の形式) 

当社は、次条、第14条及び第14条の2に定める本人の同意を得る場合には 、原則として書面 (電磁的記録を含む。以下同じ。)によることとする。 
なお、本人が未成年者、成年被後見人、披保佐人及び披補助人であって、個人情報の取扱いに関して同意したことによって生ずる結果について判断できる能力を有していない場合などは、親権者や法定代理人等から同意を得るものとする。 

第5条( 利用目的による制限) 

当社は、あらかじめ本人の同意を得ることなく、第3条により特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱わないものとする。ただし、 保護法及び 「ガイドライン」 等に規定された適用除外事由に該当する場合はこの限りでない。 

第6条(機微(センシティブ)情報について) 

当社は、機微(センシティブ 情報については、保護法及び「ガイドライン」等に規定された適用除外事由に該当する場合 を除くほか、取得、利用又は第三者への提供を行わないものとする。 
2 当社は、機微(センシティブ)情報を、前項に定める事由により取得、利用又は第三者に提供する場合には、同項に掲げる事由を逸脱した取得、利用又は第三者提供を行うことのないよう、特に慎重に取り扱うものとする。 
3 当社は、機微(センシティブ)情報を、本条第1項に掲げる場合に取得、利用又は第三者に提供する場合には、個人情報の保護に関する法令等に従い適切に対応しなければならない。 
4 当社は、機微(センシティブ)情報を第三者提供する場合には、保護法第23条第2項(オプトアウト)の規定は適用しないものとする。 

第7条(適正な個人情報の取得) 

当社は、偽りその他不正の手段により個人情報を取得しないこととする。また、第三者から個人情報を取得するに際しては、本人の利益の不当な侵害を行わないこととする。 
2 当社は、第三者からの提供により個人情報を取得する場合には、提供元の法令遵守状況を確認するとともに、当該個人情報が適法に取得されたものであることを確認することとする。 

第8条(個人情報取得時の利用目的の通知・公表、明示等) 

当社は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表することとする。 
2 当社は、前項の規定にかかわらず、本人との間で契約を締結すること等に伴って契約書その他の書面に記載された個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示することとする。 ただし、人の生命、身体又は財産(法人の財産含む。)の保護のために緊急に必要がある場合は、この限りでない。 
3 当社は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表するものとする。 
4 前三項の規定は、次に掲げる場合については適用しない。 

①利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

②利用目的を本人に通知し、又は公表することにより当社の権利又は正当な利益を害するおそれがある場合

③国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき

④取得の状況からみて利用目的が明らかであると認められる場合

第9条(データ内容の正確性の確保等) 

当社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めるものとする。このため、顧客等の個人データの保存期間について契約終了後一定期間内とする等、保有する個人データの利用目的に応じ保存期間を定め、当該期間経過後の保有する個人データを消去することとする。 
また、保有する個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等は、当該個人データを遅滞なく消去するよう努めるものとする。なお、法令の定めにより保存期間等が定められている場合は、この限りではない。 

第10条(安全管理措置) 

当社はその取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、安全管理に係る基本方針・取扱規程等の整備及び安全管理措置に係る実施体制 の整備等の必要かつ適切な措置を講じるものとし、その細目については「個人情報保護に関する安全管理措置細則」(以下「細則」という。)を整備し、実施・管理・監督することとする。 
2 「細則」は「ガイドライン」等に規定された組織的・人的・技術的安全管理措置を詳細に定め、実施・管理・監督の実効を図ることとする。 

第11条(役職員の監督) 

当社は、個人データの安全管理が図られるよう、適切な内部管理体制を構築し、その役職員に対する必要かつ適切な監督を行うこととし、その詳細は「細則」等にて定め、実施・管理・監督 をすることとする。 

第12条(委託先の監督) 

当社は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行うものとし、その詳細は「細則」等にて定め、実施・管理・監督をすることとする。 

第13条(第三者提供の制限) 

当社は、個人データをあらかじめ本人の同意を得ることなく(同意が推定される場合を含む。) 、以下の場合を除き、第三者に提供しないこととする。 

  1. 法令に基づく場合等の適用除外の場合 
  2. 次項において規定するオプトアウトによる場合  

以下の場合は、当該個人データの提供を受けるものは、第三者に該当しない 

  1. 委託の場合
  2. 合併等の事業承継の場合 
  3. 共同利用の場合 

なお、同意の取得にあたっては、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。 
また、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨を特定しなければならない。 
2 当社は、第三者に提供される個人データ(機微(センシティブ)情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いている場合は、前項にかかわらず、当該個人データを第三者に提供することができる。 
なお、機微(センシティブ)情報は、オプトアウトにより第三者に提供することはできない。 

①第三者への提供を利用目的とすること

②第三者に提供される個人データの項目

③第三者への提供の手段又は方法

④本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

⑤本人の求めを受け付ける方法

3 当社は、前項第2号、第3号又は第5号に掲げる事項を変更する場合は、変更する内容について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くものとする。 

第13条の2(外国にある第三者への提供の制限) 

当社は、外国(本邦の域外にある国又は地域をいう。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している国として施行規則で定めるものを除く。)にある第三者(個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして施行規則で定める基準に適合する体制を整備している者を除く。)に個人データを提供する場合には、前条第1項1号に定める場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得るものとする。 

第14条(第三者提供に係る記録の作成等) 

当社は、第三者(保護法第2条第5項各号に掲げる者を除く。本条から第15条まで同じ。)に個人データを提供した場合には、個人データを提供した年月日、当該第三者の氏名又は名称その他の施行規則で定める事項に関する記録を作成するものとする 。ただし、国内にある第三者への提供においては、次の第1号から第7号に該当する場合、記録の作成を要しないものとする。また、外国にある第三者への提供においては、次の第1号から第4号に該当する場合、また、当該第三者が施行規則で定める基準を満たしているものであって、保護法第23条第5項各号に掲げる場合、記録の作成を要しないものとする。 

①法令に基づく場合

②人(法人を含む。)の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

⑤当社が利用目的の達成に必要な範囲内において個人データ取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

⑥合併その他の事由による事業の承継に伴って個人データが提供される場合

⑦特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

 第15条(第三者提供を受ける際の確認等) 

当社は、第三者から個人データの提供を受けるに際し、前条第1号から第7号に該当する場合を除き、当該第三者の氏名又は名称及び住所並びに法人にあってはその代表者(法人でない団体で代表者又は管理人の定めのあるものにあってはその代表者又は管理人)の氏名、当該第三者による当該個人データの取得の経緯の確認を行い、保護法第26条第3項に定める事項に関する記録を作成し、施行規則で定める期間保存するものとする。ただし、実質的に「提供者」による提供ではないものについては、確認・記録義務は適用しない。 

第16条(保有個人データに関する事項の公表等) 

当社は、保有個人データに関し、次に掲げる事項について、「個人情報保護宣言」において定め、本人の知り得る状態に置くものとする。 

①当社の名称

②全ての保有個人データの利用目的 (ただし、 第8条第4項第1号から第3号に該当する場合を除く

③個人情報の開示等の求め(第21条で定義)に関する手続き

④保有個人データの取扱いに関する苦情の申出先

⑤認定個人情報保護団体の名称及びその苦情の申出先

2 当社は、本人又は代理人(未成年者若しくは成年被後見人の法定代理人、又は本人が委任した任意代理人をいい、以下同じ。)から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、 保護法及び「ガイドライン」等に規定された例外に該当する場合を除き、本人又は代理人に対し、遅滞なく、これを通知するものとする。 
3 当社は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人又は代理人に対し、遅滞なく、その旨を通知しなければならないものとする。 

第17条(個人情報の開示) 

当社は、本人又は代理人から、当該本人が識別される保有個人データについて開示 (存在しないときはその旨を知らせることを含む。) を求められたときは、本人又は代理人に対し、書面の交付による方法又は開示の求めを行った者が同意した方法により、遅滞なく、当該保有個人データを開示するものとする。ただし、開示することにより次のいずれかに該当する場合は、その全部又は一部を開示しないこととする。 

①本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

②当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合

③他の法令に違反することとなる場合

2 前項の規定に基づき、求められた保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該保有個人データが存在しないときは、本人又は代理人に対し、遅滞なく、その旨を通知するとともに、その決定の理由について、根拠とした法の条文及び判断の基準となる事実を示して説明(書面、口頭、電子メール、電話等の方法により行う。)するよう努めるものとする。 

第18条(個人情報の訂正等) 

当社は、本人又は代理人から、当該本人が識別される保有個人データに誤りがあり、 事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下「訂正等」という。)の請求を受けた場合は、利用目的の達成に必要な範囲内において、遅滞なく、事実の確認等の必要な調査を行い、その結果に基づき、原則として当該保有個人データの内容の訂正等を行うものとする。 
2 前項の請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人又は代理人に対し、遅滞なくその旨(訂正等を行ったときは、その内容を含む。)を通知するものとする。なお、訂正等を行わない場合は、訂正等を行わない根拠及びその根拠となる事実を示し、その理由を説明(書面、口頭、電子メール、電話等の方法により行う。)するよう努めるものとする。 

第19 条 (個人情報の利用停止等) 

当社は、本人又は代理人から、当該本人が識別される保有個人データが第5条の規定に違反して取扱われたものであるという理由又は第7条の規定に違反して取得されたという理由によって、当該保有個人データの利用の停止又は消去(以下「利用停止等」という。)の請求を受けた場合、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行うものとする。ただし、当該保有個人データの利用停止等に多額の費用を要する場合、その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 
2 当社は、本人又は代理人から、当該本人が識別される保有個人データが第13条第1項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、当該保有個人データの第三者への提供を停止するものとする。 ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 
3 第1項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定による請求に係る保有個人データの全部若しくは一部について第
三者への提供を停止したとき若しくは第三者への提供を停止しない旨を決定したときは 、本人又は代理人に対し、遅滞なく、その旨(本人又は代理人から求められた措置と異なる措置を行う場合にはその措置内容を含む。)を通知(書面、口頭、電子メール、電話等の方法により行う。)することとする。 

第20条(個人情報に関する措置等についての理由の説明) 

当社は、第16条第3項、第17条第2項、第18条第2項及び前条第3項の規定により、本人から求められ、又は請求され措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合において、本人に対その理由を説明する際には、措置をとらない又は異なる措置をとることとした判断の根拠及び根拠となる事実を示すこととする。 

第21条(個人情報の開示等の請求等に応じる手続) 

当社は、第16条第2項、第17条第1項、第18条第1項及び第19条第1項若しくは第2項の規定による請求(以下「開示等の請求等」という。)に関し、以下のとおり、その受付け方法を定める。また、第25条に定める個人情報保護宣言と一体として、インターネットのホームページでの常時掲載等を行うこととする。 

①開示等の請求等の受付け先

②開示等の請求等に際して受け入れるべき書面の様式 、その他の開示等の請求等の受付方式

③開示等の請求等を受付ける場合の本人確認方法

④保護法33条第1項の手数料の金額とその徴収方法

⑤開示等の請求等の受付け対象となる保有個人データの特定に必要な事項

⑥開示等の請求等に対する回答方法等

2 当社は代理人から開示等の請求等を受付けた場合の手続きとして、前項各号に加えて次の事項を定めるものとする。なお、代理人による開示等の請求等に対して、本人にのみ直接開示等することは妨げない。 
①代理人の本人確認方法
②代理人の代理権の確認方法
3 当社の個人情報の開示等の求めに応じる手続は別紙のとおりとする。 

第22条(個人情報の開示に伴う手数料の徴収) 

当社は、第16条第2項の規定による利用目的の通知を求められたとき又は第17条第1項の規定による開示の請求を受けたときは、当該措置の実施に関し、実費を勘案して合理的であると認められる範囲内において、手数料を徴収するものとする。 

第23条(個人情報に関する苦情の処理) 

当社は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。 
2 前項の目的のため、当社は、苦情処理手順の策定、苦情受付窓口の設置、苦情処理に当たる役職員への十分な教育・研修等により、前項の目的を達成するために必要な体制の整備に努めることとする。 
3 当社における苦情等の個人情報に関する顧客からの問い合わせの窓口は、本社とする。 

第24条(個人情報の漏えい事案等への対応) 

個人情報の漏えい等又は匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに保護法第 36 条第1項の規定により行った加工の方法に関する情報の漏えい事案(以下「個人情報等の漏えい事案等」という。)の事故が発生した場合は、監督当局及び業務委託元等に直ちに報告するものとする。 
2 個人情報等の漏えい事案等の事故が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、当該事案等の事実関係及び再発防止策等を早急に公表するものとする。 
3 個人情報等の漏えい事案等の事故が発生した場合は、当該事案等の対象となった本人に速やかに当該事案等の事実関係等の通知等を行うものとする。 

第25条(個人情報保護宣言の策定) 

当社は、個人情報保護に関する考え方及び方針に関する宣言である「個人情報保護宣言」を策定し、公表(インターネットのホームページへの記載、ポスター・書面等の掲示・備付け、パンフレットへの記載・配布等により行う。)するものとする。 
2 個人情報保護宣言には、以下の内容を記載するものとする。 

①関係法令等の遵守、個人情報を目的外に利用しないこと及び苦情処理に適切に取り組むこと等、個人情報保護への取組み方針の宣言

②利用目的の通知・公表等の手続についての分かりやすい説明

③開示等の求めに関する手続等、個人情報保護の取扱いに関する諸手続についての分かりやすい説明

④個人情報の取扱いに関する質問及び苦情処理の窓口

⑤委託の有無、委託する事務の内容を明らかにする等、委託処理の透明化を進めること

⑥個人情報の取得元又はその取得方法(取得源の種類等)を、可能な限り具体的に明記すること

3 当社の「個人情報保護宣言」は別紙のとおりとする。 

令和6年7月1日 
《商号》 株式会社サーフウェルスマネジメント 
《代表者役職名 代表者名》 代表取締役 吉田佳弘