tag:www.cpipc.net,2008:/guideline//4 2008-08-02T01:20:01Z Movable Type 3.35 tag:www.cpipc.net,2006:/guideline//4.13 2006-11-27T01:37:34Z 2008-08-02T01:20:01Z

第４７条　情報交流における保護措置 １．与信事業者が加盟する個人信用情報機関を通...

第４７条　情報交流における保護措置 １．与信事業者が加盟する個人信用情報機関を通じて、他の個人信用情報機関の情報にアクセスする場合においても、自主ルールの保護措置等の内容を遵守するものとする。 ２．自主ルールの対象となる個人信用情報機関は、情報交流の実施による、他の個人信用情報機関に加盟する与信事業者からの、当該個人信用情報機関への利用等が行われる場合には、個人情報保護法等への対応が十分に図られるよう努めるものとする。 第４８条　自主ルールの改訂等 自主ルールの改訂については、必要に応じて協議会が行うものとする。 tag:www.cpipc.net,2006:/guideline//4.12 2006-11-27T01:35:02Z 2008-08-02T01:20:01Z

第４０条　クレジット個人情報保護推進協議会の機能・役割 協議会は、与信事業者及び...

第４０条　クレジット個人情報保護推進協議会の機能・役割 協議会は、与信事業者及び個人信用情報機関に対し、公正・中立的な立場から、個人情報の保護に関する法律、個人情報の保護に関する法律施行令、個人情報の保護に関する基本方針及び関係省庁の個人情報保護に関するガイドライン（以下、これらを総称して「個人情報保護法令等」という。）並びに自主ルールの遵守について支援するとともに、会員の個人情報の取扱いに関する苦情の処理、個人情報の適正な取扱いの確保に寄与する事項についての会員に対する情報の提供、その他会員の個人情報の適正な取扱いの確保に関し必要な業務を行うものとする。 第４１条　個人信用情報機関に対する実効性確保のための措置 １．機関が協議会に対して行う報告 (1) 機関は、協議会に対し、自主ルールに基づき策定したコンプライアンス・プログラムを提出するものとする。 (2) 機関は、協議会に対し、個人情報の取扱いに関する社内体制の整備状況に関し下記の事項について報告を行うものとする。 �@個人情報を適正に管理するための社内規程の策定状況 �A業務運営規則・業務運営細則等の内容 �B個人情報管理責任者、個人情報管理者 �C安全管理体制の状況 �D苦情・相談窓口の設置状況 �Eプライバシーポリシー等の内容及び公表状況 �F従業員教育の実施状況 (3) 機関は、協議会に対し、自主ルールの実行状況に関して、下記の事項について報告を行うものとする。 �@開示等の求めへの対応状況 �A個人情報の正確性の確保等に関する措置の実施状況 �B加盟審査基準と審査の実施状況 �C加盟後管理の実施状況 (4) 機関は、協議会に対し、上記(1)のコンプライアンス・プログラムによる個人情報保護措置の実施状況に関する監査の結果報告を、監査実施後速やかに提出するものとする。 (5) 機関は、上記(1)〜(4)の他、協議会からの求めに応じて、自主ルールの機関にかかわる条項に関連する内容について、定期的に報告を行うものとする。 ２．協議会の機関に対するモニタリングの実施 協議会は、機関に対し定期的にモニタリングを実施するものとする。 ３．協議会の機関に対する調査の実施 協議会は、機関に対し、上記１．の報告内容、上記２．のモニタリング結果等を踏まえ、必要に応じ自主ルールの遵守状況等についての調査を実施するものとする。 ４．協議会の機関に対する指導・助言 協議会は、上記３．の調査結果等を踏まえて、協議会として機関の自主ルールの遵守状況に問題があると判断した場合は、機関に対し、指導・助言を行うものとする。 ５．協議会の機関に対する勧告・その他の措置 協議会は、上記４．に基づき、機関に対し指導・助言したにもかかわらず、改善がなされない場合は、協議会は機関に対し是正勧告を行うものとする。 ６．協議会は、機関におけるコンプライアンス・プログラムに基づいた個人情報の保有状況等について公開し、個人情報保護の徹底を期するものとする。 第４２条　与信事業者に対する実効性確保のための措置 １．与信事業者が協議会に対して行う自主ルールの遵守状況に関する報告 (1) 協議会は、与信事業者が自主ルールに基づくコンプライアンス・プログラムを策定しているかを把握するために与信事業者に対し、コンプライアンス・プログラムの策定状況等の報告を求めるものとする。あわせて、当該コンプライアンス・プログラムが自主ルールで求める必要事項を満たしたものである旨の文書の提出を求めるものとする。 (2) 協議会は、与信事業者の社内体制の整備状況を把握するために、与信事業者に対し下記の事項について報告を求めるものとする。 �@個人情報の管理責任者の設置 �A安全管理体制の状況 �B苦情・相談窓口の設置状況 �Cプライバシーポリシー等の内容及び公表状況 �D従業員教育の実施状況 (3) 協議会は、与信事業者における自主ルールに基づき策定されたコンプライアンス・プログラムによる個人情報保護措置の実施状況を確認するため、当該保護措置に関する監査の結果報告を与信事業者に求めるものとする。 (4) 協議会は、上記(1)から(3)の報告内容において、自主ルールの遵守状況に問題がある場合は、当該与信事業者に対し改善要請を行うものとする。 ２．与信事業者において個人情報の漏洩等が発生した場合の対応 与信事業者において、個人情報の漏洩等の事案が発生した場合、与信事業者は協議会に対し事案の報告並びに発生した事案に関する再発防止措置の検討結果について報告を行うものとする。 ３．協議会の与信事業者に対するモニタリング等の実施 協議会は、以下の場合に必要に応じ、与信事業者に対しモニタリング等を実施するものとする。 (1) 与信事業者が協議会に対し、自主ルールの遵守状況に関する各種の報告等を行わなかった場合又は報告内容に虚偽があった場合 (2) 機関が行う会員の照会・登録にかかわるモニタリングの結果から自主ルールの遵守がされていないと思われる場合 (3) その他、協議会が必要と認めた場合 ４．協議会の与信事業者に対する調査の実施 協議会は与信事業者に対し、必要に応じ自主ルールの遵守状況等についての調査を実施することができるものとする。 ５．協議会の与信事業者に対する指導・勧告等 (1) 協議会は、上記３．のモニタリング、上記４．の調査結果及び第３７条(会員の照会・登録にかかわるモニタリング)本文３．による報告内容等を踏まえて、協議会として与信事業者の自主ルールの遵守状況に問題があると判断した場合は、当該与信事業者に対し、指導・勧告を行うことができるものとする。 (2) 上記(1)の当該与信事業者への指導・勧告については、協議会は与信事業者が加盟する団体に協力依頼を行うことができるものとする。 ６．与信事業者が自主ルールを遵守しない場合の措置 協議会は、与信事業者に対し段階をおって指導・勧告したにもかかわらず、当該与信事業者が従わなかった場合は、次の措置を講じるものとする。 (1) 当該与信事業者の社名公表 (2) 機関に対し、自主ルールの違反として機関の加盟資格要件を逸脱している旨を通告するとともに、その旨を関係団体、行政へ連絡する。 (3) 上記(2)の通告を受けた機関は、所定の手続を経て、当該会員の会員資格の停止・加盟解除等の措置を講じなければならない。 (4) 機関は、上記(3)の措置の実施については、あらかじめ協議会に報告し、当該措置の妥当性について確認を求めるものとする。 第４３条　個人情報の保護と適正な取扱い等に関する教育・研修活動等 協議会は、個人情報の保護と適正な取扱い等に関する与信事業者・機関の役職員を対象とした、教育・研修活動を実施するものとする。 第４４条　クレジット個人情報保護推進協議会による苦情の処理 １．協議会は、本人等から会員の個人情報の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該会員に対し、その苦情内容を通知してその迅速な解決を求めなければならない。 ２．協議会は、上記１．の申出に係る苦情の解決について必要があると認めるときは、当該会員に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができるものとする。 ３．会員は、協議会から上記２．による求めがあったときは、正当な理由なく、これを拒んではならない。 第４５条　消費者トラブル等の情報収集と対応 １．協議会は、与信事業者及び機関における個人情報の取扱いに関する問題について、報道機関で発表された事例及び業界団体の窓口で受け付けたトラブル等の事例について情報収集を行うものとする。 ２．協議会は、上記１．の内容を受けて、トラブルの発生状況等について必要と判断した場合には、与信事業者及び機関に対しその状況の報告を求めるものとする。 第４６条　クレジット個人情報保護推進協議会としての広報・啓発活動等 協議会は、自主ルールに関する広報・啓発活動等を実施するものとする。 tag:www.cpipc.net,2006:/guideline//4.11 2006-11-27T01:30:38Z 2008-08-02T01:20:01Z

第２０条　自主ルールの遵守 １．個人信用情報機関（以下、第３章において「機関」と...

第２０条　自主ルールの遵守 １．個人信用情報機関（以下、第３章において「機関」という。）は、自主ルール第１条の目的に基づき、機関が取り扱う個人情報の適切な保護と利用等を図るため、自主ルールの附属規程である「コンプライアンス体制の整備のための指針」に基づき、コンプライアンス体制を整備し自主ルールを遵守することについて、協議会に対し誓約等を行わなければならない。 ２．機関は、上記１．の「誓約等」に基づき、第４章（自主ルールの実効性確保）に定める協議会が実効性確保のために講じる措置に従わなければならない。 第２１条　個人情報の利用目的の特定 （法第１５条・１８条関係） １．機関は、個人情報の取扱いにあたっては、個人情報の利用目的・利用する事業の範囲を特定し、公表しなければならない。 ２．機関が特定した利用目的の範囲を超えて個人情報を取り扱う場合は、あらかじめその利用について明確に記載した書面により明示的に同意を取得しなければならない。 ３．機関は、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨特定しなければならない。 第２２条　個人情報の利用目的の制限 （法第１５条・１６条・１８条関係） １．機関は、あらかじめ本人の同意を得ることなく、特定した利用目的・利用する事業の範囲を超えて個人情報を取り扱ってはならない。 ２．機関は、以下に掲げる場合を除き、取得した情報を利用してはならない。 (1) 会員の販売信用取引等に係る個人の支払能力に関する調査のために会員に提供する場合 (2) 提携する機関の会員が個人の支払能力に関する調査を行うために、当該提携機関を通じて提供する場合 (3) 本人からの開示・訂正・利用停止等の請求に応じる場合 (4) 自主ルールに基づく会員へのモニタリングを実施する場合 ３．機関が取り扱う個人の支払能力に関する情報は、次の通りとする。 (1) 会員から取得する情報は、販売信用取引等に係る与信判断及び与信管理のために必要となる最小限の情報とする。 (2) 一般的に公開されている情報を取得する場合は、会員が販売信用取引等に係る与信判断及び与信管理のために必要となる最小限の情報とする。 ４．機関は、機微（センシティブ）情報（政治的見解、信教（宗教、思想及び信条をいう。）、労働組合への加盟、人種及び民族、門地及び本籍地、保健医療及び性生活、並びに犯罪歴に関する情報）については、信用分野ガイドラインの例外事項に該当する場合を除き、取得、利用又は第三者提供を行わないものとする。 第２３条　個人情報の適正な取得 （法第１７条関係） 機関は、偽り等の不正な手段により個人情報を取得してはならない。 第２４条　個人情報の取得にあたっての利用目的の通知等 （法第１８条関係） １．機関は、個人情報を取得する場合は、あらかじめその個人情報の利用目的を分かりやすく公表しておくものとする。 ２．機関が本人から直接書面に記載された当該本人の個人情報を取得する場合には、その書面において利用目的を明示したうえで、本人の同意を得るものとする。 第２５条　同意の取得 （法第２３条関係） １．機関が会員から取得する個人情報は、本人から書面等により明示的に同意が得られたものでなければならない。 ２．機関が本人から個人情報を取得する場合、自主ルールに基づき本人から書面により明示的に同意を得なければならない。 ３．機関は、以下の場合を除き、個人情報を第三者に提供してはならない。 (1) 会員の販売信用取引等に係る与信判断及び与信後の管理における利用のために必要な場合 (2) 提携する機関との情報交流に基づき提供を行う場合 ４．機関は、上記３．(1)(2)に該当する個人情報の提供を行う場合、法令等に定められた場合を除き、あらかじめ自主ルールに基づく本人の同意が得られていなければならない。 また、与信事業者の与信判断及び与信後の管理における利用のための目的以外の目的での照会に対して、個人情報を提供してはならない。 ５．機関は、上記１．２．の同意の取得については、自主ルールの附属規程である「個人情報の同意取得に関する実務指針」に基づき、同意を取得しなければならない。 第２６条　保有個人データに関する事項の公表等 （法第２４条・２９条関係） １．機関は、以下の(1)〜(10)に掲げる事項を、公表又は本人が容易に知り得る状態に置かなければならない。 (1) 機関の名称 (2) 機関における全ての保有個人データの利用目的 (3) 保有個人データの利用目的の通知及び保有個人データの開示に係る手数料の額、並びに開示等の請求の手続 (4) 保有個人データの取扱いに関する苦情及び問い合わせの申出先 (5) 協議会の名称及び苦情解決の申出先 (6) 保有個人データの保有期間 (7) 個人情報管理責任者の氏名又は職名、所属及び連絡先 (8) 個人情報保護・利用に関する方針（プライバシーポリシー、プライバシーステートメント等） (9) 個人情報の登録状況、会員の利用状況、消費者開示の状況等 (10)機関の加入資格に関する規約、機関及び当該機関と提携する機関に加入する会員のリスト ２．機関は、上記１．について、自己が識別される保有個人データの利用目的が明らかな場合、法令等に定める場合を除き、本人から通知を求められたときは、速やかに本人に書面にて通知しなければならない。 なお、通知しない旨を決定したときは、遅滞なく、その旨を本人に書面にて通知しなければならない。 第２７条　開示への対応 （法第２５条・２８条・２９条・３０条関係） １．開示の請求への対応 (1) 開示 機関は、本人又は代理人から自己が識別される保有個人データについて開示請求を受けた場合には、法令等に定めるところによりこれに応じなければならない。 (2) 機関は、開示請求を受けた保有個人データの全部又は一部について、開示しないこととした場合は、その旨を速やかに本人に通知しなければならず、その判断の根拠及び根拠となる事実を示して、その理由を説明するように努めなければならない。 ２．開示の請求に応じる手続きの策定 (1) 開示の請求手続き 機関は、開示の請求を受け付ける方法を定め、その方法に関する公表等の措置など社内体制の整備を行い、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 (2) 手数料の徴収 機関は、保有個人データの利用目的の通知、又は保有個人データの開示請求を受け付けた場合に、当該通知又は開示を行うために必要となる手数料を徴収する場合は、あらかじめその額を定め、公表等を行い本人が知り得る状態に置かなければならない。 ３．機関は、自主ルールの附属規程である「保有個人データの開示対応に関する実務指針」に基づき、必要な対応を図るものとする。 第２８条　訂正・利用停止等への対応 （法第２６条・２７条・２８条・２９条関係） １．訂正・利用停止等への対応 (1) 訂正等 機関は、保有個人データに誤りがあり、事実でないという理由によって訂正・追加・削除（以下「訂正等」という。）を求められた場合には、速やかに調査し対応しなければならない。 (2) 利用停止等 機関は、法に違反して、同意のない目的外利用、不正な取得、又は同意のない第三者提供がなされているとの理由により保有個人データの利用停止、消去又は第三者への提供の停止（以下「利用停止等」という。）を求められた場合には、速やかに調査し対応しなければならない。 (3) 本人の通知・理由の説明 機関は、上記(1)、(2)の求めに応じることができない場合、又はそれらと異なる対応を図る場合は、その旨を速やかに本人に通知しなければならず、その判断の根拠及び根拠となる事実を示してその理由を説明するように努めなければならない。 ２．訂正・利用停止等に応じる手続きの策定 機関は、訂正・利用停止等の求めを受け付ける方法を定め、その方法に関する、公表等の措置など社内体制の整備を行い、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 ３．機関は、自主ルールの附属規程である「保有個人データの訂正・利用停止等への対応に関する実務指針」に基づき、訂正・利用停止等への対応を図るものとする。 第２９条　個人データの正確性確保 （法第１９条関係） １．機関は、保有する個人情報について、正確かつ最新の内容に保たなければならない。 ２．機関は、保有する個人情報の利用目的に応じて保有期間を定め、当該保有期間経過後には当該保有する個人データを消去しなければならない。 ただし、法令等に基づく保有期間の定めがある場合には、この限りではない。 第３０条　安全管理措置 （法第２０条・２１条・２２条関係） １．機関は、保有する個人情報の漏洩等を防止し、個人情報を適正に管理するための規程等を定め、必要かつ適切な安全管理措置（従業者への監督、委託先の監督を含む。）を講じなければならない。 ２．機関は、個人情報の安全管理措置を確立させるため、「個人情報管理責任者」を設置するものとする。 ３．機関は、漏洩等の未然防止への対処、並びに漏洩等の早期発見への対処を行うため、機関における管理体制・責任体制・教育指導(体制)の確立を図るものとする。 ４．機関は、十分な安全管理対策を講じているにもかかわらず、個人情報の漏洩等が発生した場合には、早急に安全管理対策を見直して再発防止を図るとともに、被害拡大の止のための措置を講じなければならない。 ５．機関は、与信事業者の与信判断及び与信後の管理における利用のための目的以外の目的での照会に対する個人データの提供を未然に防止するための必要な措置を講じなければならない。 ６．機関は、自主ルールの附属規程である「個人情報の安全管理対策指針」に基づき、必要な安全管理措置を講じるものとする。 第３１条 　個人信用情報機関の教育・研修 （法第２０条・２１条関係） 機関は、第４３条（個人情報の保護と適正な取扱い等に関する教育・研修活動等）に基づき、機関の全役職員に対し、個人情報の目的外利用及び漏洩の防止等、個人情報の保護に資するための教育・研修活動等を実施しなければならない。 また、機関の役職員は、協議会が行う教育・研修制度等に参加しなければならない。 第３２条　監査による個人情報保護の徹底 （法第２０条関係） 機関は、機関に登録された個人情報の保護を図るために、自主ルール第２０条から第３１条に定める事項について、定期的に監査を実施すること等により、情報処理の安全性の維持に努めなければならない。 第３３条　個人情報の取り扱いに関する相談・苦情処理体制の整備 （法第３１条関係） １．機関は、個人情報の取扱いに関する相談・苦情の適切かつ迅速な処理に努めるものとし、必要な社内体制等の整備を図らなければならない。 また、個人情報の取扱いに関する相談・苦情の申出先については、公表等を行わなければならない。 ２．機関は、個人情報の取扱いに関する相談・苦情処理担当者を設置し、その者に対し、十分な教育・研修を行うものとする。 ３．機関は、協議会からの要請により、受け付けた苦情に関する事実関係の調査・確認や苦情に対する対応状況等について報告等を求められたときは、これに協力しなければならない。 第３４条　個人信用情報機関の運営 １．機関は、関係法令等を遵守しつつ、本人の個人情報の保護を図り、あわせて与信事業者の適正与信に資するために、公正な業務運営を行わなければならない。 ２．機関は、上記１．の目的を達成するため自主ルールにおける業務運営に関する基本的事項を、機関の業務運営規則・業務運営細則等（以下「規則等」という。）に定めなければならない。 第３５条　個人信用情報機関の会員資格等 １．機関は、個人情報が個人の支払能力の調査以外の目的に使用されること及び漏洩が発生することの防止等を図り、適正な個人情報の利用等に資するために必要な会員の資格要件を定めなければならない。 ２．機関は、上記１．の会員の資格要件について公表等を行わなければならない。 第３６条　個人信用情報機関の加盟審査及び加盟後管理 １．加盟審査 (1) 機関は、自主ルール第３５条（個人信用情報機関の会員資格等）の資格要件を踏まえて、加盟審査項目および加盟審査基準を定めなければならない。 (2) 機関は、与信事業者から加盟申込があったときは、以下の対応を実施しなければならない｡ �@新たに加盟する会員について、機関の個人情報データベース等にアクセスする会員の照会端末の設置状況及びアクセス権限の設定状況の確認を行うこと。 �A個人情報データベース等にアクセスすることについて適正な事業者のみ会員となるようあらかじめ定めた入会審査基準に基づき、厳正に入会審査を実施すること。 ２．加盟後管理 (1) 機関は、与信事業者との加盟契約締結後においても、会員が加盟審査基準を満たし続けているかどうか、以下の方法等により定期的に確認するものとする。 �@自主ルールの第１７条（個人信用情報機関への照会）及び第１８条（個人信用情報機関への登録）の照会及び登録の状況を月次毎に確認する。 �A当該会員の登録情報に関する消費者からの訂正・追加・削除、利用停止等の申し出状況を確認する。 �B当該会員の事業年度終了後４ヶ月以内に事業概況報告書の提出を求める。 �C会員の事業所を定期的に訪問し、事業所の状況及び照会端末機の設置場所等を確認する。 �Dその他（消費者苦情に基づく調査等） (2) 機関は、個人情報保護法の制定に伴い入会審査基準を改定している場合には、改定前の入会審査基準により入会した会員を改定後の入会審査基準に基づいて再審査を行うものとする。 (3) 機関は、会員に不適正な利用があった場合、あらかじめ定めた処分に関する規則に基づき利用停止、退会、その他の処分を実施しなければならない。 (4) 機関は、自主ルール第４２条（与信事業者に対する実効性確保のための措置）に基づき、協議会から会員が自主ルールの違反として機関の加盟資格要件を逸脱している旨の通告を受けた場合は、当該会員の会員資格の停止、退会などの手続きをとらなければならない。 (5) 機関は、上記(3)、(4)の処分等の実施について、どのような不正等についてどの処分をするか、また、処分をするか否かの判断基準、その判断を行うための組織体制・意思決定プロセスをあらかじめ明確に定めておくものとする｡ ３．機関は、個人情報の不適正な利用があった場合の具体的な措置について、公表等を行うものとする。 第３７条　会員の照会・登録にかかわるモニタリング １．機関は、以下の事項について、会員に対する必要かつ適切なモニタリングを定期的に行うものとする｡ (1) 会員が消費者からの与信申込みの事実がないにもかかわらず、個人信用情報機関への照会を行っていないこと (2) 会員が与信判断及び与信管理目的以外の目的で機関への照会を行っていないこと (3) 自主ルール第１７条(個人信用情報機関への照会)及び第１８条(個人信用情報機関への登録)に定められた、機関への照会・登録の履行状況 ２．機関は、上記１．による検証の結果、不適切と判断した場合は、当該会員に対し改善指導・罰則適用等の措置を速やかに講ずるものとする。 ３．機関は、上記１．２．の結果について、定期的に協議会に報告しなければならない。 第３８条　個人信用情報機関の透明性確保等 １．機関は、以下に示す信用分野ガイドラインで求められている事項について行政への報告を行うものとする。 (1)安全管理措置、会員管理の状況、監査の内容及び結果 (2)自社からの情報漏洩及び会員からの許容された利用目的を逸脱した利用の事実 ２．機関は、上記１．(1)について、セキュリティ上支障のある部分を除いて一般に公表するものとする｡ ３．機関は、上記１．(2)について、一般への実績公表を行うとともに、被害にあった個人への通知がなされるようにするものとする｡ 第３９条　個人信用情報機関としての広報・啓発活動等 １．機関は、個人情報の登録状況、会員の利用状況、消費者開示の状況等を定期的に公開しなければならない。 ２．機関は、消費者に対しパンフレット等の媒体を利用し、機関の役割及び機関に登録されている情報について消費者の理解を容易にするための啓発活動を行わなければならない。 tag:www.cpipc.net,2006:/guideline//4.10 2006-11-27T01:20:24Z 2008-08-02T01:20:01Z

第４条　自主ルールの遵守　 １．与信事業者は、自主ルール第１条（目的）に基づき、...

第４条　自主ルールの遵守　 １．与信事業者は、自主ルール第１条（目的）に基づき、与信事業者が取り扱う個人情報の適切な保護と利用等を図るため、自主ルールの附属規程である「コンプライアンス体制の整備のための指針」に基づき、各社のコンプライアンス体制を整備し、自主ルールを遵守することを、協議会に対し誓約等を行わなければならないものとする。 ２．与信事業者は、上記１．の誓約等に基づき、第４章（自主ルールの実効性確保）に定める協議会が実効性確保のために講じる措置に従うものとする。 第５条　個人情報の利用目的の特定 （法第１５条・１８条関係） １．与信事業者は、個人情報の取扱いにあたっては、個人情報の利用目的・利用する事業の範囲を可能な限り分かりやすく特定しなければならない。 ２．与信事業者は、上記１．により特定した利用目的を社会通念上、本人が想定することが困難でない範囲内で変更した場合は、変更された利用目的を本人に通知するか、または、公表しなければならない。 第６条　個人情報の利用目的の制限 （法第１５条・１６条・１８条関係） １．与信事業者は、あらかじめ本人の同意を得ることなく、特定した利用目的・利用する事業の範囲を超えて個人情報を取り扱ってはならない。 ２．与信事業者は、個人の支払能力に関する情報を当該個人の支払能力の調査以外の目的には使用してはならない。 ３．与信事業者は、第三者提供を行う場合の第三者、若しくは共同利用を行う場合の共同して利用する者に対して、個人の支払能力に関する情報を当該個人の支払能力の調査以外の目的に使用させないこと等、適切な措置を講ずるものとする。 ４．個人信用情報機関に加入している与信事業者は、与信申込書、契約書等、個人信用情報機関の個人情報データベース等へのアクセスが正当なものであることを証明することができる資料等を保管し、また、個人信用情報機関からの求めに応じてこれらの情報を提供することとする。 第７条　個人情報の適正な取得 （法第１７条関係） １．与信事業者は、偽り等の不正な手段により個人情報を取得してはならない。 ２．個人の支払能力に関する情報の取得については、与信事業者の販売信用取引等に係る事業の範囲内に限るものとする。 第８条　個人情報の取得にあたっての利用目的の通知等　 （法第１８条関係） １．与信事業者は、与信業務以外の業務において個人情報を取得する場合は、あらかじめその個人情報の利用目的を分かりやすく公表しておくものとする。公表していない場合は、取得後速やかにその利用目的を、本人に通知し又は公表しなければならない。 ２．与信事業者が本人から直接書面に記載された当該本人の個人情報を取得する場合には、その書面において利用目的を明示したうえで、本人の同意を得るものとする。 第９条　同意の取得 （法第２３条関係） １．与信事業者は、あらかじめ本人の同意を得ないで個人情報を第三者に提供してはならない。 ２．与信事業者は、与信業務における個人情報の取得、利用、提供にあたり本人から書面等により明示的に同意を得なければならない。 ３．与信事業者は、上記１．２．の同意の取得については、自主ルールの附属規程である「個人情報の同意取得に関する実務指針」に基づき、同意を取得しなければならない。 第１０条　保有個人データに関する事項の公表等 （法第２４条・２９条関係） １．与信事業者は、保有個人データに関する事項の公表等を行わなければならない。 ２．与信事業者は、自己が識別される保有個人データの利用目的が明らかである場合、法令等に定める場合を除き、本人から、自己が識別される保有個人データの利用目的の通知を求められたときは、遅滞なく、本人に通知しなければならない。 なお、通知しない旨を決定したときは、遅滞なくその旨を本人に通知しなければならない。 第１１条　開示への対応 （法第２５条・２８条・２９条・３０条関係） １．開示への対応 (1) 開示 与信事業者は本人又は代理人から自己が識別される保有個人データについて開示請求を受けた場合には、法令等の定めるところにより、これに応じなければならない。 (2) 本人への通知・理由の説明 与信事業者は、開示請求を受けた保有個人データの全部又は一部について、開示しないこととした場合は、その旨を速やかに本人に通知しなければならず、その判断の根拠及び根拠となる事実を示して、その理由を説明するように努めなければならない。 ２．開示請求に応じる手続きの策定 (1) 開示の請求手続き 与信事業者は、開示請求を受け付ける方法を定め、その方法についての公表等の措置など社内体制の整備を行い、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 (2) 手数料の徴収 与信事業者は、保有個人データの利用目的の通知、又は保有個人データの開示請求を受け付けた場合に、当該通知又は開示を行うために必要となる手数料を徴収する場合は、あらかじめその額を定め、公表等を行い本人が知り得る状態に置かなければならない。 ３．与信事業者は、自主ルールの附属規程である｢保有個人データの開示対応に関する実務指針｣に基づき、必要な対応を図るものとする。 第１２条　訂正・利用停止等への対応 （法第２６条・２７条・２８条・２９条関係） １．訂正・利用停止等への対応 (1) 訂正等 与信事業者は、保有個人データに誤りがあり、事実でないという理由によって訂正・追加・削除（以下「訂正等」という。）を求められた場合には、速やかに調査し対応しなければならない。 (2) 利用停止等 与信事業者は、法に違反して同意のない目的外利用、不正な取得、又は同意のない第三者提供がなされているとの理由により保有個人データの利用停止、消去又は第三者への提供の停止（以下「利用停止等」という。）を求められた場合には、速やかに調査し対応しなければならない。 (3) 本人への通知・理由の説明 与信事業者は、(1)、(2)の求めに応じることができない場合、又はそれらと異なる対応を図る場合は、その旨を速やかに本人に通知しなければならず、その判断の根拠及び根拠となる事実を示して、その理由を説明するように努めなければならない。 ２．訂正・利用停止等に応じる手続きの策定 与信事業者は、訂正・利用停止等の求めを受け付ける方法を定め、その方法に関する公表等の措置など社内体制の整備を行い、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 ３．与信事業者は、自主ルールの附属規程である「保有個人データの訂正・利用停止等への対応に関する実務指針」に基づき、必要な対応を図るものとする。 第１３条　個人データの正確性確保 （法第１９条関係） １．与信事業者が保有する個人情報は、利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理するものとする。 ２．与信事業者は保有する個人情報の利用目的に応じて保有期間を定め、当該保有期間経過後には当該保有する個人データを消去しなければならない。 ただし、法令等に基づく保有期間の定めがある場合には、この限りではない。 第１４条　安全管理措置 （法第２０条・２１条・２２条関係） １．与信事業者は、個人データへの不当なアクセス又は紛失・破壊・改ざん・漏洩等の危険防止のために十分な安全管理措置（従業者への監督、委託先の監督を含む。）を講じなければならない。 ２．与信事業者は、個人情報の安全管理措置を確立させるため、「個人情報管理責任者」を設置するものとする。 ３．与信事業者は、漏洩等の未然防止への対処、並びに漏洩等の早期発見への対処を行うため、与信事業者内における管理体制・責任体制・教育指導(体制)の確立を図るものとする。 特に、与信業務において加盟する個人信用情報機関から提供を受けた個人の支払能力に関する情報の取扱いについては、厳格な安全管理措置を講じるものとする。 ４．与信事業者は、十分な安全管理対策を講じているにもかかわらず、個人情報の漏洩等が発生した場合には、早急に安全管理対策を見直して再発防止を図るとともに、被害拡大の防止のための適切な措置を講じなければならない。 ５．与信事業者は、自主ルールの附属規程である「個人情報の安全管理対策指針」に基づき、必要な安全管理措置を講じるものとする。 第１５条　教育・研修活動等の実施 与信事業者は、第４３条（個人情報の保護と適正な取扱いに関する教育・研修活動等）に基づき、与信事業者の役職員に対し、個人情報の目的外利用及び漏洩の防止等、個人情報の保護に資するための教育・研修活動等を実施するものとする。 また、与信事業者の役職員は、協議会が行う教育・研修制度等に参加するものとする。 第１６条　個人情報の取り扱いに関する相談・苦情処理体制の整備 （法第３１条関係） １．与信事業者は、個人情報の取扱いに関する相談・苦情の適切かつ迅速な処理に努めるものとし、必要な社内体制等の整備を図らなければならない。 また、個人情報の取扱いに関する相談・苦情の申出先については、公表等を行わなければならない。 ２．与信事業者は、個人情報の取扱いに関する相談・苦情処理担当者を設置し、その者に対し、十分な教育・研修を行うものとする。 ３．与信事業者は、協議会からの要請により、受け付けた苦情に関する事実関係の調査・確認や苦情に対する対応状況等について報告等を求められたときは、これに協力しなければならない。 第１７条　個人信用情報機関への照会 与信事業者は、適正な与信判断を行うために、個人信用情報機関に照会しなければならない。 第１８条　個人信用情報機関への登録 １．与信事業者は、与信事業者相互の適正与信に資するため、加盟する個人信用情報機関に対して、自主ルールに定める情報を登録しなければならない。 ２．上記１．の情報登録が完全に履行されるために、第３７条（会員の照会・登録にかかわるモニタリング）に定めるモニタリング等に協力するものとする。 第１９条　与信事業者としての広報・啓発活動等 与信事業者は、クレジット取引の内容及び個人情報の利用状況等についての理解を促がす広報・啓発活動を行うよう努めなければならない。 tag:www.cpipc.net,2006:/guideline//4.9 2006-11-27T01:18:04Z 2008-08-02T01:20:01Z

第１条　目的 クレジット産業における個人情報保護・利用に関する自主ルール（以下「...

第１条　目的 クレジット産業における個人情報保護・利用に関する自主ルール（以下「自主ルール」という。）は、関係法令等を遵守しつつ、与信事業者及び個人信用情報機関が取り扱う個人情報の適切な保護と利用を図ることを目的とする。 第２条　定義 自主ルールにおける用語の意義は、次に定める通りとする。 なお、次に定める用語以外の自主ルールにおいて使用する用語は関係法令等の定めによるものとする。 (1) 与信業務 販売信用取引等の申込の受付から与信判断及び与信後の管理（与信枠の見直し、債権管理を含む。）に関する一連の業務を総称していう。 (2) 個人信用情報機関 個人の支払能力に関する情報の収集及び会員に対する当該情報の提供を業とする者をいう。なお、自主ルールにおいて個人信用情報機関とは、�潟Vー・アイ・シーを前提とするものとする。 (3) 販売信用取引等 販売業者又は役務提供事業者が、消費者に対して商品若しくは権利の販売、又はサービスの提供を行うに際して、当該販売業者若しくは役務提供事業者又はこれらと直接又は間接に提携する者により、当該商品等の購入者またはサービスの受領者に対し、対価の支払いを繰り延べるために与えられる信用取引、並びに消費者に対する金銭の貸付け、これらに基づく保証委託契約等をいう。 (4) 与信事業者 販売信用取引等に関する信用供与を行う者(販売信用取引等を行っているにもかかわらず、与信業務の全部又は一部を第三者へ委託している者を含む。)をいう。 (5) 利用 与信事業者が自社内で個人情報を処理することをいう。 (6) 提供 与信事業者が第三者に自ら保有する個人情報を利用可能にすることをいう。 (7) 個人の支払い能力に関する情報 与信行為の流れの中で、当該個人を識別する情報及びその情報と一体となって個人の返済能力・支払能力を判断することを目的として取得・保有・利用される情報（電算処理だけでなく、ファイリング処理されたマニュアル情報も含まれる。）をいう。 (8) 当該個人を識別する情報 「当該個人を識別する情報」とは、販売信用取引等に係る申込書や契約書に記載された氏名、生年月日、住所、自宅電話番号､カード番号等の個人を識別できる情報をいう。 第３条　自主ルールの構成等 自主ルールは、「本文」、「運用指針」、「考え方」、「附属規程」から構成するものとする。