🆔

社内プロジェクトにおけるメンバー個人情報の利用標準

この文書について

メンバーが、メンバー間のみでの利用を目的とした社内プロジェクトにおいて、利用するデータや目的、保管環境を明記した上で、メンバー本人が公開設定でメンバー向けに共有したデータを利用可能とする為に、ゆめみのルールとして規定するものです

個人情報の定義

(個人情報保護法の定義による)

  • 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む)
  • 個人識別符号が含まれるもの

利用可能とする対象メンバー

  • ゆめみのレギュラーメンバー
  • アルバイト・メンバー及びパートナー・メンバーのうちレギュラーメンバーのプロリクにより許可された対象
  • (レギュラーメンバーが含まれないメンバーでのプロジェクトは対象としない)

個人情報の収集について

  • ゆめみでは、以下の目的に利用する為に、メンバーの同意の元に個人情報を必要な範囲で収集します
    • 従業者の労務管理、人事管理、労働安全管理(労働安全衛生法に基づく健康診断における機 微情報の収集を含む)、福利厚生、税務処理等の各省庁への届出および当社事業の業務遂行など合理的 な目的のため
  • 入社時に同意した「従業員の個人情報の収集及び機密守秘に関する誓約」により、上記の目的の為の個人情報の収集と、以後の必要通知事項の提示の省略に同意したものとしています
  • パートナーは契約時に上記の誓約に同意していない為、パートナーの個人情報を取得するには別途同意が必要です
  • メンバーには利用及び提供の拒否を求める権利があります

社内プロジェクトにおける個人情報の利用及び管理について

  • 「従業員の個人情報の収集及び機密守秘に関する誓約」の内容を厳守する事
  • 情報を利用するプロジェクト毎に「個人情報利用DB (メンバーのみ閲覧可能)」に必須事項を明記し、プロジェクトページとリンクする事
  • 利用する個人情報が「個人情報の収集について」の利用目的の範囲外のデータを利用する場合は、個人情報から個人識別符号を削除し、特定の個人や企業を識別または照合できない状態に加工し利用すること
  • メンバーのみが利用可能なシステム、又はメンバーのみが閲覧可能なメディアに限定する事
  • 個人情報の保管に際しては、施錠管理やIDとパスワードによるアクセス制限等の合理的な安全管理措置をする事
  • 社外メンバーが個人情報を閲覧可能なシステム、又は第三者提供可能な規約の社外サービスに個人情報を保管しない事
  • システムやインフラの脆弱性対策・セキュリティ対策の社内規定に沿って実施する事
  • メンバーへの身体的、精神的、経済的等の迷惑行為となる利用をしない事

個人情報の第三者提供について

  • メンバーまたは社内プロジェクト以外への個人情報提供は原則認めません
  • 法令に基づく場合や人の生命、身体又は財産の保護のために必要がある場合は会社の判断に従う事

苦情への対応について

  • データ利用に関する苦情を受付る為、「ユーザーデータ利用テンプレート」に管理責任者を記載する事
  • データ利用停止の申し出があった場合は、可能な範囲で速やかにデータの削除・利用停止に応じる事
  • 個人情報を利用する要件のあるシステムの開発時には情報を削除可能な設計にする事
  • 紛争時の所轄裁判所は会社指定のものとなります

利用する個人情報の範囲例

社内プロジェクトで利用 可能個人情報の範囲

  • 事業の業務遂行など合理的な目的に利用する為の以下の個人情報
    • 会社との契約時に会社に提供された基本情報のうち公開されているもの
    • 会社から提供されたサービスアカウントの公開情報
    • (Google、Microsoft、SlackのIDや氏名、アイコン、メールアドレスなど)

    • 会社で利用するサービス上でメンバー向けに公開設定で投稿された内容やユーザー行動情報
    • (Slack、Notion、Githubなどの発言やコミット数など)

    • 社内で開発・運用するサービスでメンバーが閲覧可能な情報

社内プロジェクトで利用 不可能個人情報の範囲

  • 要配慮個人情報(個人情報保護法)、及び機微情報(金融分野ガイドライン)
  • パートナーやクライアントなどの顧客情報
  • 特定メンバーのみへ共有されたデータや非公開の個人情報
  • 給与情報などの非公開の人事情報や非公開の経営情報

個人情報とならないもの

  • 個人情報から保管・閲覧なしに個人識別符号などを削除し、特定の個人や企業を識別または照合できない状態に加工された匿名加工情報
    • 統計データ、分析済みデータ、機械学習の教師データなど
    • UUID等の推測不可能なIDがついていても、IDと個人を紐づくテーブルが非公開なら個人情報外

その他

  • 個人情報保護法および会社が定義したデータの安全管理や個人情報の保護に係る基準は、このルールによって上書きできません
  • 事前に同意した「従業員の個人情報の収集及び機密守秘に関する誓約」の内容以上の個人情報の利用については、利用する前に対象メンバーに対し別途個別に同意を求める事
  • 本ルールの管理はデータビジネス委員会(#520_data_business_sc)が主導して行います

個人情報利用DB

利用情報の管理と透明性の維持のため、会社標準のDBに管理情報を記載お願いします。

(メンバーのみ閲覧可能)

  • 利用データ - プロジェクトで利用するデータ項目をなるべく詳細に記載してください。
  • 利用目的 - データを利用されるメンバーが理解できるように、利用する目的や背景、利用方法をなるべく詳細に記載してください。
  • 管理方法 - 個人情報をどのように管理して、誰が利用可能なのかを明記します。
  • 管理責任者 - データ管理の責任者を明記します。苦情や問い合わせや監査の時に誰が管理しているかを答えられるようにしておきます。

資料

従業者の個人情報の収集及び機密守秘に関する誓約.pdf185.8KB