個人情報取扱・管理マニュアル

目的と適用範囲

本マニュアルは、当社が事業運営において取得・保管・利用する個人情報および機密情報を適切に管理し、漏えい・滅失・改ざん・不正使用等を防止することを目的とする。
 本規定は、宿泊・BBQ・飲食・教育・研修などすべてのサービスに関わる顧客情報、従業員情報、取引先情報を対象とする。

定義

  • 個人情報:生存する個人に関する情報であり、氏名・住所・電話番号・メールアドレス・マイナンバー・履歴書等、特定個人を識別できる情報。

  • 要配慮個人情報:健康情報・信条・マイナンバーなど、漏えいした場合の影響が特に大きいもの。

  • 機密情報:経営・財務・技術・顧客・人事・ノウハウなど、社外秘とされる情報。

取得元別分類

  • OTA予約情報(楽天トラベル、じゃらん等)

  • 電話・メールでの宿泊/飲食予約

  • 従業員履歴書・マイナンバー

  • 教育・研修参加申込情報

第3章:取得・利用・保存の原則

第1条:取得方法と同意

  • 個人情報は、利用目的を明示し、本人の同意を得て取得する。

  • OTA経由情報はOTA規定に準拠し取得。

  • 電話・メール予約時は、情報取得の同意を明確に取得。

第2条:利用目的

取得した個人情報は以下に限り使用する:

  1. 宿泊・BBQ・食事・研修予約管理

  2. 緊急連絡・案内通知等

  3. 雇用管理(履歴書・マイナンバー)

  4. 研修・教育の参加者管理・証明発行

保管・管理体制

第1項:予約情報

区分

保存形式

管理責任者

保管期限

OTA予約

OTA管理画面

宿泊責任者

OTA規定に準拠

電話予約

紙台帳+スプレッドシート

受付担当者

2年間

メール予約

予約専用メールフォルダ

営業管理

2年間
  • 紙媒体:鍵付きキャビネット保管

  • 電子データ:パスワード付きフォルダに保存

  • 閲覧制限:予約管理担当者・マネージャーに限定

第2項:従業員情報

種別

保存形式

管理責任者

保管期限

履歴書

紙書類

総務担当

退職後5年まで保管

マイナンバー

暗号化ファイル・鍵付き保管

総務責任者

利用後速やかに廃棄
  • マイナンバーは税・社保手続き以外には利用禁止

  • NDA未締結者による閲覧禁止/アクセス制限の徹底

安全管理措置

技術的措置

  • スプレッドシート等にはアクセス権設定

  • マイナンバー・履歴書データはAES256暗号化

  • 週1回以上のバックアップを実施

物理的措置

  • 書類類は施錠保管、事務所は営業時間外施錠

  • 個人情報保存棚・サーバーは立入制限区域に設置

組織的措置

  • 社内研修(年1回以上)を義務化

  • 業務マニュアル、報告フロー、NDA確認リストを常設

第三者提供・外部委託

  • 原則、個人情報の第三者提供は禁止

  • 公的機関からの要請を除き、本人同意を取得すること

  • 外部業者(OTA、清掃、研修委託等)とは秘密保持契約書を締結

漏洩・紛失時の対応

  1. 発覚時には即時、直属の上長および代表へ報告

  2. 被害範囲の特定、本人通知、行政報告を行う

  3. 再発防止策(管理体制・教育・設備)の速やかな整備

  4. 報告書フォーマットに基づき社内報告書を作成・保存

付録・様式一覧

  • 個人情報取得同意書(宿泊・研修用)

  • クレーム・事故報告テンプレート

  • OTA操作マニュアル(楽天・じゃらん等)

  • 個人情報台帳テンプレート(Excel)

  • 情報漏洩報告フロー図

情報漏洩報告フロー図(社内通報・初動対応)

vbnet

コピーする編集する

【STEP 1】漏洩・紛失・不正アクセスの発見

【STEP 2】速やかに直属の上長へ口頭またはメールで報告

【STEP 3】上長は総務責任者・情報管理責任者へ連絡(即日)

【STEP 4】代表者への報告・判断 
              ┗被害の範囲確認・初期対応方針決定
              ┗社用端末・ネットワークの遮断/証拠保存

【STEP 5】関係部署へ指示(再発防止含む)

【STEP 6】対象者(顧客・従業員)への通知準備 
              ┗通知文の作成・連絡体制の整備

【STEP 7】所轄官庁へ報告(必要時:個人情報保護委員会 )
              ┗法律に基づく届出または事後報告

【STEP 8】社内報告書の作成・保存    
              ┗事故原因・対応経過・再発防止策を明記

秘密保持と従業員の誓約

第1条:秘密保持契約(NDA)の締結

  • 正社員・契約社員・アルバイト・外注・研修講師など、すべての業務従事者と入社時にNDAを締結

  • NDA対象情報

    • 個人情報(顧客・従業員・予約)

    • 事業情報(売上・計画・パートナー情報)

    • ノウハウ・技術情報・運営資料

    • 社内資料・画像・文書・チャット履歴 など

第2条:従業員の誓約事項

  • 業務中に知り得た情報の社外漏洩禁止

  • SNS等での業務内容や顧客情報の開示禁止

  • 無断の資料・画像持ち出し禁止

  • パスワード共有禁止、退職後も秘密保持継続義務

第3条:違反時の対応

  • 違反が確認された場合の処分:

    • 厳重注意/訓告/出勤停止/懲戒解雇

    • 損害賠償請求/刑事告発

第4条:秘密保持関連書式(社内備付様式)

  • 【様式1】秘密保持契約書(従業員用)

  • 【様式2】秘密保持契約書(委託・アルバイト用)

  • 【様式3】秘密保持誓約チェックリスト

  • 【様式4】退職時 機密情報返却・削除確認書

研修と監査

  • 新入社員・契約者は入社時に個人情報研修を受講し、誓約書を提出すること

  • 研修記録と出席リストは研修責任者が保管(例:武山担当)

  • 年1回、社内コンプライアンスチェック(簡易監査)を実施し、必要に応じて外部レビューを導入する

補足

  • 本マニュアルは、2025年5月時点の個人情報保護法/労働基準法/マイナンバー法等に準拠し作成

  • 改定・運用見直しは毎年度実施し、役職者・法務・顧問社労士との連携を図る
作成者 :
kibotcha