株式会社メディパルホールディングス個人情報取扱規則

この規則は、当社が保有する個人情報を適正に取り扱い、個人の権利や利益を保護するための基本となる事項を定め、実践することにより、社会的信頼を得るとともに、企業活動の質的向上を図ることを目的とする。

「行政手続における特定の個人を識別するための番号の利用等に関する法律」（以下「番号法」という。）に係る特定個人情報の取扱いについては番号法、番号法施行令、番号法施行規則等の定めを優先して適用する。

当社は特定個人情報の適正な取扱いのために番号法、個人情報保護法及び「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」を遵守する。

当社は特定個人情報の適正な取扱いのために社内規程として「特定個人情報保護管理規程」を定め、その他諸規程とあわせて安全管理措置を実行する。

当社は健康情報等の適正な取扱いのために社内規程として「健康情報等保護管理規程」を定め、その他諸規程とあわせて安全管理措置を実行する。

この規則は、電子化情報であるか非電子化情報であるかを問わず、当社で取り扱うすべての個人情報を対象とする。

この規則における用語の定義は次のとおりとする。

1. （1）個人情報

   生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

   1. ①当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録 （電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識できない方式をいう。）で作られる記録をいう。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるものおよび他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの
   2. ②個人識別符号が含まれるもの

2. （2）個人識別符号

   次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、別紙１で定めるものをいう。

   1. ①特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
   2. ②個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

3. （3）要配慮個人情報

   本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして別紙２で定める記述等が含まれる個人情報をいう。

4. （4）健康情報等

   心身の状態に関する情報のうち、個人情報保護法第２条第３項に規定する「要配慮個人情報」に該当するもの（以下「健康情報」という。）およびその他の健康に関するものをいい、健康情報等に該当するものの例として、以下の各号に掲げるものが挙げられる。

   1. ①健康診断にかかる情報
   2. ②ストレスチェックにかかる情報
   3. ③会社が法令または就業規則等にもとづき、従業員等の健康確保措置および安全配慮義務履行のために実施する、医師の面談結果、提出された診断書等の情報

5. （5）個人情報データベース等

   特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの及びこれに含まれる個人情報を一定の規則に従って整理することにより、特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいい、利用方法からみて個人の権利利益を害するおそれが少ないものとして次のいずれにも該当するものを除く。

   1. ①不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと
   2. ②不特定かつ多数の者により随時に購入することができ、又はできたものであること
   3. ③生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること

6. （6）個人データ

   個人情報データベース等を構成する個人情報をいう。

7. （7）保有個人データ

   当社が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データであって、次に掲げるもの以外のものをいう。

   1. ①当該個人データの存否が明らかになることにより、本人または第三者の生命、身体または財産に危害がおよぶおそれがあるもの
   2. ②当該個人データの存否が明らかになることにより、違法または不当な行為を助長し、または誘発するおそれがあるもの
   3. ③当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれまたは他国もしくは国際機関との交渉上不利益を被るおそれがあるもの
   4. ④当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障がおよぶおそれがあるもの

8. （8）仮名加工情報

   次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。

   1. ①第１号①に該当する個人情報
      当該個人情報に含まれる記述等の一部を削除すること（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。
   2. ②第１号②に該当する個人情報
      当該個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

9. （9）仮名加工情報データベース等

   仮名加工情報を一定の規則に従って整理することにより特定の仮名加工情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。

10. （10）匿名加工情報

    次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

    1. ①第１号①に該当する個人情報
       当該個人情報に含まれる記述等の一部を削除すること（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む）
    2. ②第１号②に該当する個人情報
       当該個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む）

11. （11）匿名加工情報データベース等

    これに含まれる匿名加工情報を一定の規則に従って整理することにより特定の匿名加工情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。

12. （12）個人関連情報

    生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。

13. （13）個人関連情報データベース等

    個人関連情報を一定の規則に従って整理することにより特定の個人関連情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。

14. （14）本人

    個人情報によって識別される特定の個人をいう。

15. （15）個人番号

    番号法の規定に基づき住民票コードを変換して得られる番号であり、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。

16. （16）特定個人情報

    個人番号（個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。）をその内容に含む個人情報をいう。

17. （17）個人番号関係事務

    番号法に基づく個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。

この規則は、当社のすべての取締役、監査役、執行役員（以下「役員」という。）、および全ての従業員（以下、役員、従業員をあわせて「従業員等」という。）に対して適用する。

当社が個人情報を取り扱うにあたっては、利用の目的（以下「利用目的」という。）をできる限り特定する。

当社が利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行わない。

当社は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱わない。

当社は、特定個人情報については本人の同意の有無にかかわらず、利用目的の達成に必要な範囲を超えて利用しない。

当社は、他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱わない。

第１項および第３項の規定は、次に掲げる場合については適用しない。

1. ①法令に基づく場合
2. ②人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
3. ③公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
4. ④国の機関もしくは地方公共団体またはその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障をおよぼすおそれがあるとき

当社は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用しないものとする。

当社は、偽りその他不正の手段により個人情報を取得しない。

当社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得しない。

1. ①法令に基づく場合
2. ②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
3. ③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
4. ④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
5. ⑤当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報保護法57条１項各号に掲げる者、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国において個人情報保護法第57条第１項各号に掲げる者に相当する者により公開されている場合
6. ⑥本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
7. ⑦個人情報保護法第27条第５項各号において、個人データである要配慮個人情報の提供を受けるとき

当社は、次に掲げる利用目的に基づき個人情報を収集・取得する場合を除き、速やかに、その利用目的を本人に通知し、または公表する。

1. ①当社が販売する医薬品等の適正使用に関する情報の収集および提供

1. ②当社が販売する医薬品等の品質、安全性または有効性に関する情報の収集および提供

1. ③医療情報、学術情報の収集および提供

1. ④当社が取り扱う製品関連情報の収集および提供

1. ⑤当社が販売する医薬品等の納入先の把握および管理業務

1. ⑥医薬品等の回収その他事故発生の際の情報の収集、提供および諸対応

1. ⑦官公署等への届出・報告

1. ⑧お得意様から受けるご相談、ご連絡等の内容の検討および対応

1. ⑨お得意様との取引に基づく各種契約書等の締結および管理業務

1. ⑩当社で運営するメール監視システムによる確認業務および諸対応

1. ⑪番号法に基づく個人番号関係事務
   源泉徴収事務
   健康保険・厚生年金保険・国民年金第３号被保険者届出等関係事務
   雇用保険届出等関係事務
   確定給付企業年金・確定拠出年金・財形貯蓄等関係業務
   持株会関係業務
   報酬・料金等の支払調書作成事務
   不動産の使用料等または不動産等の譲受けの対価の支払調書作成事務

当社は、第１項に記載する利用目的を変更した場合は、変更された利用について、本人に通知し、または公表する。

第１項および第２項の規定は、次に掲げる場合については適用しない。

1. ①利用目的を本人に通知し、または公表することにより本人または第三者の生命、身体、財産その他の権利・利益を害するおそれがある場合

1. ②利用目的を本人に通知し、または公表することにより当社の権利または正当な利益を害するおそれがある場合

1. ③国の機関もしくは地方公共団体またはその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障をおよぼすおそれがあるとき

1. ④取得の状況からみて利用目的が明らかであると認められる場合

当社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努める。

当社は、個人データの紛失、破壊、改ざん並びに漏洩等を防止するために、必要かつ適切な安全管理措置を講じる。

当社は、従業員等が個人データを取り扱うにあたり、当該個人データの安全管理が適正に行われるように、当該従業員等に対し教育・監督を行う。

当社は、個人データの取扱いの全部または一部を委託する場合は、当該個人データの安全管理が図られるよう、受託した者に対し必要かつ適切な監督を行う。

当社は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利・利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告する。ただし、当社が、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者に通知したときは、この限りでない。

前項に規定する場合には、当社は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利・利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

当社は、次に掲げる場合を除き、あらかじめ本人の同意を得ないで、保有する個人データを第三者に提供しない。特定個人情報については本条の規定を適用しない。

1. ①法令に基づく場合

1. ②人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

1. ③公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

1. ④国の機関もしくは地方公共団体またはその委託を受けた者が、法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障をおよぼすおそれがあるとき

第１項にかかわらず、個人情報保護法第２７条第２項の定めに基づき、当社は医療用医薬品等の適正な流通を主たる目的とし、薬機法関連法規に基づく情報の収集・提供、または取り扱う製品に関する情報提供のため、保有する個人データを次に記載する第三者に対して提供する場合がある。
ただし、保有する個人データのうち、要配慮個人情報または第８条第１項の規定に違反して取得されたもの他の個人情報取扱事業者から個人情報保護法第２７条２項の規定により提供されたもの（その全部又は一部を複製し、又は加工したものを含む。）を除くものとする。以下この項において同じ。

1. ①提供先
   ・官公署
   ・当社が取引している医薬品製造業者、医療機器製造業者

1. ②提供する保有個人データの項目
   ・お得意様の名称、所在地、役職、氏名、電話番号、取り扱う製品に関する情報

1. ③提供の手段または方法
   ・電送および紙

前項に基づき、保有する個人データを第三者に提供する場合、前項に掲げる事項について、個人情報保護委員会規則で定めるところにより、個人情報保護委員会に届け出る。

第２項について、当該本人が識別される保有個人データの提供を停止する事を希望する場合には、第３４条第３項に基づき、第三者への提供の停止を申し入れることができる。

当社は、第２項に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出る。

当社は、第３項による個人情報保護委員会に対する届出事項が同委員会により公表された後、速やかに、インターネットの利用その他の適切な方法により、当該事項（変更があったときは、変更後の事項）を公表する。

次に掲げる場合において、当該個人データの提供を受ける者は、第１項から第６項の規定の適用については、第三者に該当しないものとする。

1. ①当社が利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託する場合

1. ②他の個人情報取扱事業者から事業を承継することに伴って個人データが提供される場合

1. ③商品の適正な流通および当社グループの効果的な経営・営業施策の立案や検討を目的とし、情報を共同して利用する当社の会社法上（法第２条第３項）の子会社。なお、共同して利用する情報の項目は、当社が保有するお得意様の名称、所在地、役職、氏名、電話番号および取り扱う製品に関する情報。
   ・共同利用する個人データの個人情報管理責任者株式会社メディパルホールディングス（住所や代表者の氏名は同社のホームページ（https://www.medipal.co.jp/）の会社概要を参照のこと）

1. ④株式会社日本アルトマークが管理・運用するメディカルデータベースを同社及び同社の会員企業とともに共同利用する場合。なお、当該データベースにおいて利用する個人データの項目、共同利用する者の範囲、利用目的については、同社のホームページ（https://www.ultmarc.co.jp/privacy/shared_use/）を参照のこと。
   当該データベースの個人情報管理責任者：株式会社日本アルトマーク（住所や代表者の氏名は同社のホームページ（https://www.ultmarc.co.jp/privacy/shared_use/）の会社概要を参照のこと）

当社は、前項③もしくは④に規定する個人データの個人情報管理責任者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は個人情報管理責任者を変更しようとするときはあらかじめ、その旨について、本人に通知し、または本人が容易に知り得る状態に置く。

当社は、医薬品業界の市場データ作成に資するため、当社が安全管理措置を監督できるデータ会社に対し当社の販売情報を提供する。ただし、当該データ会社へのデータ提供については、適切な処理を行い、個人情報保護法に抵触しない状態で提供する。

当社は、前条第１項各号に該当する場合を除き、あらかじめ本人の同意を得ないで、外国（本邦の域外にある国又は地域をいう。以下同じ。）（個人の権利・利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。）にある第三者（個人情報取扱事業者に該当する者を除く。）に個人データを提供しない。ただし、外国にある第三者が適切かつ合理的な方法により、個人情報保護法第４章第１節の規定の趣旨に沿った措置を講じている場合は、前条を適用するものとする。

当社は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供するものとする。

当社は、個人データを外国にある第三者（第1項ただし書きの措置を講じている者に限る。）に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供するものとする。

当社は、個人データを第三者に提供したときは、第三者提供に係る記録を作成する。ただし、当該個人データの提供が第１５条第１項各号に該当する場合又は同条７項各号のいずれかに該当する場合は、この限りでない。

当社は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項を確認する。ただし、当該個人データの提供が第１５条第１項各号に該当する場合又は同条７項各号のいずれかに該当する場合は、この限りでない。

1. ①当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人）の氏名

1. ②当該第三者による当該個人データの取得の経緯

当社は、前項に基づく確認を行ったときは、個人情報保護委員会規則で定める事項に関する記録を作成する。

当社は、第三者が個人関連情報（個人関連情報データベース等を構成するものに限る。以下同じ。）を個人データとして取得することが想定されるときは、第１５条第1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供しないものとする。

1. ①当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。

1. ②外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。