別紙 企業年金等に関する個人情報の取扱い準則
企業年金等に関する個人情報の取扱いについては、個人情報の保護に関する法律(平成
十五年法律第五十七号。以下「法」という。)及び同法に基づく命令によるほか、この準
則の定めるところによる。なお、本準則に基づく規約の改正を求めるものではない。
第一 定義に関する事項
一 この準則において「事業者」とは、法第二条第三項に規定する個人情報取扱事業者
のうち次に掲げる者をいうこと(第十に規定する場合を除く。)。
(1) 厚生年金保険法(昭和二十九年法律第百十五号)第百六条に規定する厚生年金
基金及び当該厚生年金基金が設立された適用事業所の事業主
(2) 厚生年金保険法第百四十九条第一項に規定する厚生年金基金連合会
(3) 石炭鉱業年金基金法(昭和四十二年法律第百三十五号)第二条に規定する石炭
鉱業年金基金及び当該石炭鉱業年金基金の会員たる事業主
(4) 国民年金法(昭和三十四年法律第百四十一号)第百十五条に規定する国民年金
基金
(5) 国民年金法第百三十七条の二に規定する国民年金基金連合会(確定拠出年金法
(平成十三年法律第八十八号)第七十四条の規定により同法の規定による業務を行
う場合を含む。)
(6) 確定給付企業年金法(平成十三年法律第五十号)第四条第一号に規定する事業
主
(7) 確定給付企業年金法第三条第一項第二号に規定する企業年金基金及び当該企業
年金基金を実施する厚生年金適用事業所の事業主
(8) 確定拠出年金法第二条第二項に規定する企業型年金を実施する厚生年金適用事
業所の事業主
(9) 確定拠出年金法第六十二条第一項第二号の個人型年金加入者を使用する事業主
二 次に掲げる者は、法第二十二条の「委託を受けた者」に該当すること。
(1) 厚生年金保険法第百三十条第五項及び第百五十九条第六項、国民年金法第百二
十八条第五項及び第百三十七条の十五第六項、確定給付企業年金法第九十三条並
びに確定拠出年金法第七条第一項、第六十条第一項及び第六十一条第一項の規定
に基づき事業者から業務の委託を受けた者
(2) 確定拠出年金法第八条第一項の規定に基づき事業者と同項の契約を締結した者
第二 利用目的に関する事項
事業者は、厚生年金保険法、石炭鉱業年金基金法、国民年金法、確定給付企業年金法及
び確定拠出年金法の実施その他必要な範囲で個人情報を取り扱うものとすること。
第三 本人の同意に関する事項
事業者が法第十六条及び第二十三条第一項の本人の同意を得るに当たっては、当該本人
に当該個人情報の利用目的を通知し、又は公表した上で、当該本人が口頭、書面等により
当該個人情報の取扱いについて承諾する意思表示を行うこと。
第四 安全管理措置及び従業員の監督に関する事項
事業者は、企業年金等に関する個人データの安全管理のために次に掲げる措置を講ずる
こと。
一 企業年金等に関する個人データを取り扱う従業者及びその権限を明確にした上で、
その業務を行わせること。
二 企業年金等に関する個人データは、その取扱いについての権限を与えられた者のみ
が、業務の遂行上必要な限りにおいて取り扱うこと。
三 企業年金等に関する個人データを取り扱う者は、業務上知り得た個人データの内容
をみだりに第三者に知らせ、又は不当な目的に使用してはならないこと。その業務に
係る職を退いた後も同様とすること。
四 企業年金等に関する個人データの取扱いの管理に関する事項を行わせるため、当該
事項を行うために必要な知識及び経験を有していると認められる者のうちから個人デ
ータ管理責任者を選任すること。
五 企業年金等に関する個人データ管理責任者及び個人データを取り扱う従業者に対し、
その責務の重要性を認識させ、具体的な個人データの保護措置に習熟させるため、必
要な教育及び研修を行うこと。
第五 委託先の監督に関する事項
事業者は、企業年金等に関する個人データの取扱いの委託に当たって、次に掲げる事項
に留意するものとすること。
一 個人情報の保護について十分な措置を講じている者を委託先として選定するための
基準を設けること。
二 委託先が委託を受けた個人データの保護のために講ずべき措置の内容が委託契約に
おいて明確化されていること。具体的な措置としては、以下の事項が考えられること。
(1) 委託先において、その従業者に対し当該個人データの取扱いを通じて知り得た
個人情報を漏らし、又は盗用してはならないこととされていること。
(2) 当該個人データの取扱いの再委託を行うに当たっては、委託元へその旨文書を
もって報告すること。
(3) 委託契約期間等を明記すること。
(4) 利用目的達成後の個人データの返却又は委託先における破棄若しくは削除が適
切かつ確実になされること。
(5) 委託先における個人データの加工(委託契約の範囲内のものを除く。)、改ざ
ん等を禁止し、又は制限すること。
(6) 委託先における個人データの複写又は複製(安全管理上必要なバックアップを
目的とするもの等委託契約範囲内のものを除く。)を禁止すること
(7) 委託先において個人データの漏えい等の事故が発生した場合における委託元へ
の報告義務を課すこと。
(8) 委託先において個人データの漏えい等の事故が発生した場合における委託先の
責任が明確化されていること。
第六 第三者提供の制限に関する事項
事業者は、企業年金等に関する個人データの第三者への提供(法第二十三条第一項各号
に該当する場合を除く。)に当たって、次に掲げる事項に留意するものとすること。
(1) 提供先において、その従業者に対し当該個人データの取扱いを通じて知り得た
個人情報を漏らし、又は盗用してはならないこととされていること。
(2) 当該個人データの再提供を行うに当たっては、あらかじめ文書をもって事業者
の了承を得ること。但し、当該再提供が、法第二十三条第一項各号に該当する場
合を除く。
(3) 提供先における保管期間等を明確化すること。
(4) 利用目的達成後の個人データの返却又は提供先における破棄若しくは削除が適
切かつ確実になされること。
(5) 提供先における個人データの複写及び複製(安全管理上必要なバックアップを
目的とするものを除く。)を禁止すること。
第七 訂正等、利用停止等及び理由の説明に関する事項
法第二十六条第一項の求め及び同条第二項の通知、法第二十七条第一項及び第二項の求
め並びに同条第三項の通知並びに法第二十八条の理由の説明(保有個人データの開示の手
続に係る説明を除く。以下「訂正の求め等」という。)は、本人が厚生年金保険法第百十
七条第三項に規定する設立事業所、同法第百二十九条第二項の基金の設立事業所以外の適
用事業所、確定給付企業年金法第二条第二項に規定する厚生年金適用事業所又は確定拠出
年金法第二条第四項に規定する厚生年金適用事業所に使用される場合については、第二に
掲げる各法律又は当該法律に基づく命令に別段の定めがある場合を除き、当該事業所の事
業主を経由して行うこと。ただし、事業主が合理的期間内に事業者に対して訂正の求め等
をしない場合にあっては、事業者は、本人からの訂正の求め等に応じなくてはならない。
第八 開示等の求めに応じる手続に関する事項
事業者は、本人からの企業年金等に関する個人データの開示等の求め(法第二十九条第
一項に規定する開示等の求めをいう。)ができるだけ円滑に行われるよう、閲覧の場所及
び時間等について十分配慮すること。
第九 苦情の処理に関する事項
事業者は、企業年金等に関する個人情報の取扱いに関する苦情の適切かつ迅速な処理を
行うため苦情及び相談を受け付けるための窓口の明確化等必要な体制の整備に努めること。
第十 個人情報取扱事業者以外の事業者による個人情報の取扱い
法第二条第三項に規定する個人情報取扱事業者以外の事業者であって、企業年金等に関
する個人情報を取り扱う者は、第二から第九までに準じて、その適正な取扱いの確保に努
めること。