個人情報保護方針

株式会社エンジニアズ(以下、「当社」という)は、Webシステム・業務システム・AIシステムのSE技術支援・開発を通して、お客様のDX推進(ICTによる業務の変革と競争優位の獲得)と顧客課題の解決を使命とし、取り組んでおります。
その中で、個人情報保護の重要性を認識し、全従業員が遵守すべき行動基準として本個人情報保護方針を定め、その遵守の徹底を図って参ります。

1.当社は、個人情報を取得する場合には、事前に利用目的及び提供の有無を明確にし、本人の同意を得た上で、目的の範囲内において適切に利用し、目的外利用を行わないための措置を講じます。
2.当社は、個人情報を本人の同意を得た場合及び法令に基づく場合などを除いて、第三者に提供いたしません。また、個人情報の取扱いの外部委託は行いません。
3.当社は、個人情報の漏えい、滅失、またはき損等を予防するための合理的な安全対策および是正措置を講じます。
4.個人情報保護責任者に代表取締役 石川鉄三を、個人情報保護推進者に課長 大平寿幸を任命します。
5開示、訂正、追加、削除、第三者への提供の停止などの請求に応じる手続は、顧客・関連会社・従業員からの請求はメール・電話・書面などにより受付し、対応の後、結果を本人に通知するとともに、対応記録を保存します。
6.当社は、個人情報の取扱いに関して、本人からの苦情及び相談を受け付けて、適切な対応を行います。また、当社が保有する開示対象個人情報の開示等の求めを受け付けます。 開示等の求めの手続きについては、以下の「個人情報相談窓口」が行います。

個人情報の取扱いに関する相談・苦情及び開示等請求窓口
株式会社エンジニアズ 個人情報相談窓口
〒530-0041 大阪府大阪市北区天神橋2-5-3  第5新興ビル503号室

電話番号:06-6467-4465、090-85290-4098
(受付時間 9:30~12:00 13:00~17:30  土曜・日曜・祝日・当社指定休業日を除く)

個人情報保護ガイドライン

目次

第1章: 総則

第2章: 個人情報の定義と分類

第3章: 個人情報の取得と利用

第4章: 個人情報の管理

第5章: 仮名加工情報および匿名加工情報の取扱い

第6章: 個人情報の第三者提供

第7章:第三者提供を受ける際の確認

第8章: 保有個人データに関する事項の公表

第9章: 外部委託とクラウドサービスの利用

第10章: 個人情報の開示・訂正・削除の請求

第11章: 個人情報の保管期間と廃棄

第12章: 個人情報保護のための教育と訓練

第13章: 個人情報漏洩事故への対応

第14章: 事業の承継

第15章: 学術研究目的の個人情報利用

第16章: ガイドラインの改定

第1章: 総則

1.1. 目的

本ガイドラインは、当社が業務を通じて取得、管理、利用する個人情報に関する基本的な取り扱い方針を定め、個人情報の保護を図ることを目的とします。具体的には、個人情報の漏洩、不正利用、改ざん、紛失などのリスクを最小限に抑えるために、技術的、組織的、物理的な安全管理措置を講じます。

1.2. 適用範囲

本ガイドラインは、当社が業務上取り扱う全ての個人情報に適用されます。対象には、顧客、取引先、従業員、外部委託先の個人情報が含まれ、あらゆるデジタルおよび物理的手段による情報の取扱いに適用されます。

1.3. 法令等の遵守

当社は、個人情報保護法(PIPA)、その他の国際的・国内的な法令およびガイドラインを遵守し、個人情報の保護を徹底します。また、法令改正や社会的要請に応じて、本ガイドラインの見直しを行います。

第2章: 個人情報の定義と分類

2.1. 個人情報の定義

本ガイドラインにおける「個人情報」とは、個人を識別できる情報を指します。これには、名前、住所、電話番号、メールアドレス、IPアドレス、クッキー情報、その他の識別情報が含まれます。また、個人識別符号、特定個人情報(マイナンバー等)、職種、肩書等、個人の属性や事実、判断、評価も含みます。

2.2. 個人情報の分類

個人情報は、以下のカテゴリに分類されます。

  • 基本個人情報: 名前、住所、電話番号、メールアドレス等
  • センシティブ情報: 人種、宗教、健康情報、財務情報等
  • 識別子: クッキー、IPアドレス、デバイス識別子等

2.3. 個人関連情報

個人関連情報の例です。

  • クッキー情報(Webブラウザの行動履歴)
  • デバイスIDやIPアドレス
  • 購買履歴
  • 位置情報
  • 閲覧履歴
  • ウェブサイト上での行動情報
  • パスワードについては、ハッシュ化の導入を検討中

第3章: 個人情報の取得と利用

3.1. 個人情報の取得

当社は、業務上必要な範囲内で、適法かつ公正な手段により個人情報を取得します。情報を取得する際は、その利用目的を明示し、本人に通知または公表した上で、適切な同意を取得します。

3.2. 取得方法

個人情報は、以下の方法により取得されます。

  • 書類: 従業員からのデジタルデータ・イメージデータ・紙での提出
  • 作成: Excel・Word・テキスト文書などによる文書データ・イメージデータの作成・編集・加工
  • メールなど: メ―ル・ウェブ・SNS(チャット・Slack・Line・AI)などによるデータの収集・編集
  • オンラインフォーム: ウェブサイトやアプリケーションを通じた入力フォーム
  • 契約書: サービス契約時に取り交わす契約書類
  • クッキー: ウェブサイト閲覧時のユーザー行動データの取得
  • 第三者提供: 提供元の同意を得た上での第三者からの情報取得

3.3. 個人情報の利用目的

個人情報は、以下の目的で利用されます。

  • マーケティングおよびプロモーション活動
  • 顧客サポートの提供、商品やサービスの提供
  • サービスの開発および改善
  • 従業員管理・従業員支援
  • 契約履行および関連する業務活動
  • 法令遵守や規制への対応

3.4. 目的外利用の禁止

当社は、取得した個人情報を、事前に明示した利用目的以外の用途で利用することを禁止します。目的外で利用する場合は、個人の明確な同意を事前に得るものとします。

補足3-1 個人情報保護台帳のカテゴリと管理帳票

  1. 従業員管理情報
     - 履歴書、職務経歴書、住民票、資格証明書、労働者名簿など
     - 利用目的:採用、雇用契約、社会保険・税務手続き
  2. 勤務管理情報
     - 勤務報告書、出勤簿、シフト表など
     - 利用目的:労働時間管理、取引先への実績報告
  3. 人事給与情報
     - 賃金台帳、給与明細、賞与明細、口座番号など
     - 利用目的:給与支払い、税務申告、社会保険対応
  4. 経費精算情報
     - 交通費精算書、出張旅費精算、立替経費申請など
     - 利用目的:経理処理、会計監査対応
  5. 契約・法務関連情報
     - 機密保持契約(NDA)、雇用契約書、業務委託契約書など
     - 利用目的:契約管理、法令遵守

※補足3-2 個人情報保護台帳の管理項目

・管理番号

・大分類

・項目

・個人情報の内容

・対象者

・入手/作成日

・保管場所

・保存期間

・備考

第4章: 個人情報の管理

4.1. 安全管理措置

当社は、個人情報の安全管理のために、技術的、物理的、組織的な措置を講じます。これには、以下の措置が含まれます。

  • 技術的対策: データ暗号化、アクセス制御、ファイアウォールの設定、不正アクセス防止
  • 組織的対策: 個人情報保護責任者・個人情報保護推進者の任命、従業員に対する教育・訓練の実施、内部監査の実施
  • 物理的対策: セキュリティゾーンへのアクセス制限、書類の施錠保管

4.2. 個人情報の正確性の確保

当社は、個人情報を正確かつ最新の状態に保つよう努めます。誤りや不正確な情報がある場合、迅速に修正します。

4.3. アクセス制限

当社は、個人情報へのアクセスを、業務上必要な従業員に限定し、適切な権限管理を行います。アクセス権限は、業務の変更に応じて適時見直し、不要なアクセスを防止します。

4.4. 物理的管理

物理的な書類やハードウェアに保存された個人情報は、適切な保管場所に保存し、アクセスを制限します。紙媒体の個人情報は、使用後にシュレッダー等で適切に処分します。

4.5. 個人関連情報

個人関連情報を本人、第三者から受け取る場合、その情報が個人を特定できる場合、個人情報として取り扱います。

※補足4.1. 組織的対策: 個人情報保護責任者・個人情報保護推進者の役割

●個人情報保護責任者は、当社の個人情報保護に関する管理・責任を負い、社内データ管理・第三者への提供・記録・社内への連絡などを実施します。

●個人情報保護推進者は、当社の個人情報保護に関する普及・教育・管理・事故発生時の対応などの責任を負い、社内データの管理・第三者への提供・記録・社内への連絡・本人への通知などを実施します。

第5章: 仮名加工情報および匿名加工情報の取扱い

5.1. 仮名加工情報

仮名加工情報とは、特定の個人を識別できないように加工された情報です。当社は、仮名加工情報を利用する際、元の情報に戻すことがないよう管理し、適正に利用します。

5.2. 匿名加工情報

匿名加工情報は、特定の個人を識別できず、また元の状態に戻せないよう加工された情報です。当社は、匿名加工情報を統計分析やマーケティング目的で利用し、第三者に提供する場合には、その内容を公表します。

第6章 個人情報の第三者提供

6.1. 第三者提供の原則

当社は、法令に基づく場合を除き、事前に本人の同意を得ずに第三者に個人情報を提供しません。ただし、以下の場合は例外とします。

•法令に基づく場合

•人の生命、身体、財産の保護のために必要な場合で、本人の同意を得ることが困難な場合

•公衆衛生の向上や児童の健全な育成の推進に必要で、本人の同意を得ることが困難な場合

•国の機関や地方公共団体が法令の定める業務を遂行するために協力が必要な場合

6.2. オプトイン方式

当社は、個人情報を第三者に提供する場合には、事前に本人に対し提供先・提供目的・提供内容を明示し、本人の明示的な同意を得た場合に限り、当該個人情報を提供します。本人の同意が得られない場合、第三者への提供は一切行いません。

6.3. 第三者提供の記録

当社は、個人情報を第三者に提供する場合、その提供先および提供内容に加え、**本人の同意の取得状況(取得日・方法)**を記録し、法令で定める期間保存します。

6.4. 海外移転

当社が個人情報を国外に移転する場合、移転先国の個人情報保護法制を確認し、適切な保護措置が講じられていることを確認します。また、必要に応じて、本人の同意を取得します。

6.5. 個人関連情報の第三者提供の制限

当社は、第三者が個人関連情報を個人データとして取得することが想定されるときは、本人の同意なしで当該個人関連情報を当該第三者に提供しない。

6.6. AIサービスの利用
当社は、外部のAIサービス(LLM、生成AI等)を利用する場合、個人情報を入力・送信しないことを原則とします。学習用データとして個人情報を利用する際は、匿名化・マスキング等の処理を必須とします。

6.7. 自社AI製品における取扱い
当社が提供するAIチャットフロー製品において、顧客から入力された情報が個人情報を含む場合、利用目的を明示し、必要最小限の範囲でのみ取り扱います。

※補足6-1. オプトアウト方式との違い

オプトイン方式(当社採用)

→ 本人の同意がなければ第三者提供は行わない(国際基準やGDPRに準拠)

オプトアウト方式

→ 本人に拒否の機会を与えることで同意なく提供できるが、当社は原則として採用しない

御社のポリシーとして「原則オプトイン」「オプトアウトは法令で認められる場合のみ例外的に対応」

特に GDPRやPマークを意識し、オプトイン方式を採用

※補足6-2. 第三者への提供書類

●提供の目的

  • マーケティングおよびプロモーション活動
  • 顧客サポートの提供、商品やサービスの提供
  • サービスの開発および改善
  • 契約履行および関連する業務活動
  • 法令遵守や規制への対応

●対象書類

・マーケティング書類(技術経歴書・紹介文・ホームページや提案書への自己紹介)

・各種技術・サービス情報書類

・誓約書(機密保持契約書など)

・契約書(注文書)

・勤務管理情報
            - 勤務報告書、出勤簿、シフト表など
            - 利用目的:労働時間管理、取引先への実績報告

※補足6-3 個人情報保護台帳の管理項目

・管理番号

・大分類

・項目

・提供内容

・対象者

・提供先

・本人の同意の取得状況(取得日・方法)

・入手/作成日

・保管場所

・保存期間

・備考

第7章: 第三者提供を受ける際の確認

当社は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行う。

・当該第三者の氏名又は名称及び住所並びに、法人にあってはその代表者の氏名

・当該第三者による当該個人データの取得の経緯

・当該個人データが違法または不当な手段により取得されたものでないこと

・当該第三者から個人データの提供を受けた年月日

当社は、前項の記録を当該記録の作成日から3年間保存する。

●対象書類

・パートナー会社の技術者情報

・業務委託契約に基づき提供を受ける顧客情報

・受託開発・共同開発において共有される利用者データ

第8章: 保有個人データに関する事項の公表

8.1. 公表事項

当社は、保有個人データに関し、次に掲げる事項を本人の知り得る状態に置く。公表方法は、当社ホームページへの掲載、または窓口での文書提示とする。

(1) 当社の名称及び住所並びに代表者の氏名

(2) 全ての保有個人データの利用目的

(3) 開示、訂正、追加、削除、第三者への提供の停止などの請求に応じる手続

8.2. 利用目的の例示

・マーケティングおよびプロモーション活動

・顧客サポートの提供、商品やサービスの提供

・サービスの開発および改善

・従業員管理(勤怠・給与・評価・福利厚生等)

・契約履行および関連する業務活動

・セキュリティ管理(不正アクセス防止、ログ管理等)

・法令遵守や規制への対応、法的請求への対応

※補足8-1 保有個人データに関する事項の公表

●当社の名称及び住所並びに代表者の氏名

・株式会社エンジニアズ

・〒530-0041 大阪府大阪市北区天神橋2-5-3 第5新興ビル503

・代表取締役 石川鉄三

●開示、訂正、追加、削除、第三者への提供の停止などの請求に応じる手続

・顧客・関連会社・従業員からの請求は、メール・電話・書面などにより受付

・個人情報保護責任者または個人情報保護推進者による確認・承認

・開示、訂正、追加、削除、第三者への提供の停止を実施

・結果を本人に通知するとともに、対応記録を保存

第9章: 外部委託とクラウドサービスの利用

9.1. 外部委託の管理

当社は、個人情報の取り扱いを外部委託する場合、委託先に対して個人情報保護に関する同等の管理を義務付けます。また、定期的に委託先の個人情報保護体制を確認し、必要に応じて指導を行います。

9.2. クラウドサービスの利用

クラウドサービスを利用する場合、サービスプロバイダーが適切なセキュリティ対策を実施していることを確認し、契約において情報漏洩や不正利用防止のための対策を定めます。

※補足 9-1 外部委託の管理

現在のところ、外部委託はありません。自社内で個人情報の取り扱いをしています。

※補足 9-2. クラウドサービスの利用

・個人情報保護責任者・個人情報保護推進者による個人PC内でのGoogle Driveによる保有。現在、個人利用をしており法人契約への移行を検討中。

・クラウドサービス事業者 : お名前ドットコムでは2段階認証方式でのログインをしています。

・さくらインターネットでは、ログイン時に登録メールアドレスへの通知が発行されています。

第10章: 個人情報の開示・訂正・削除の請求

10.1. 開示請求

本人は、当社が保有する個人情報の開示を請求することができる。当社は、本人確認手続を行った上で、合理的な期間内に対応する。

10.2. 訂正・利用停止・削除の請求

本人は、当社が保有する個人情報に誤りがある場合、その訂正、利用停止、削除を請求することができる。当社は調査を行い、誤りが確認された場合には速やかに対応する。

10.3. 理由の説明

当社は、本人からの請求について、全部または一部を拒否する場合、その理由を本人に通知する。

10.4. 請求の訴え

本人は、当社が請求に対応しない場合、当該請求の到達から二週間を経過した後、訴えを提起できる。

10.5. 苦情の処理

当社は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努める。

10.6. 手数料

開示請求に関して、当社は手数料を請求しない。

※補足 10-1本人からの開示などの請求

●必要項目

・請求の種類。開示・訂正・利用停止・削除

・依頼者情報・・・氏名。

・提供情報・書類・・・書類名(リストボックスなどで)

・保存期間(3年間、または5年間、または7年間、または10年間)

・実施日・提供日

・請求の措置を取らない場合の理由

第11章: 個人情報の保管期間と廃棄

11.1. 保管期間

当社は、個人情報を利用目的に応じて必要な期間保管し、目的が達成された後は速やかに廃棄または削除します。法令等に定められた保管期間がある場合は、それに従います。

法令・区分内容保存期間の目安
商法(商業帳簿)事業活動における商業帳簿や取引記録10年
会社法(株主名簿)株主名簿(氏名・住所等を含む)会社存続期間中保存
税法(会計帳簿・給与台帳)会計書類、給与台帳等7年
労働基準法(労働者名簿・賃金台帳)従業員の氏名、住所、賃金情報を含む記録3年
労働安全衛生法(健康診断結果)診療記録、従業員健康診断結果5年
マイナンバー法マイナンバーを含む特定個人情報利用目的達成後、速やかに削除
AIチャットログ(個人情報含む会話)サービス利用に伴い記録される会話ログ(個人情報を含むもの)原則1年以内に削除
AIチャットログ(匿名化・統計化済みデータ)個人情報を除去・匿名化したデータ(サービス改善・研究開発用)最長5年

11.2. 廃棄手続き

個人情報を廃棄する際には、復元が不可能な方法で適切に処理します。電子データは安全に削除され、紙媒体はシュレッダーで破砕します。必要に応じてHDDの物理破壊や、専門業者への委託(委託契約の締結・保存)も行います。AI関連データについても同様の基準を適用します。

補足 11-1. 廃棄記録

以下の項目を記録として保存します。

・大分類

・項目

・個人情報の内容

・対象者

・保存期間

・廃棄実施日

・廃棄方法

・実施者

・確認者

・備考

第12章: 個人情報保護のための教育と訓練

12.1. 従業員教育

当社は、全従業員(役員、正社員、契約社員、派遣社員、アルバイトを含む)に対して、入社時および少なくとも年1回、個人情報保護に関する教育を実施します。これにより、全員がガイドラインに基づいた個人情報の適切な取り扱いを理解し、実践できるようにします。

12.2. 教育プログラムの内容

・個人情報保護法の遵守事項

・個人情報の取扱いに関する具体的な手順

・セキュリティ対策の実施方法

・個人情報漏洩事故の対応策

12.3. 教育の方法

関連文書の配布・説明、勉強会、動画、Web、YouTubeなどによる教育を実施します。

補足 12-1. 教育の実施記録

以下の項目を記録し、監査対応のため3年間保存します。

・教育の種類(説明・勉強会・動画・Webなど)

・教育対象者情報(氏名)

・教育講師(氏名)

・使用した文書・データ

第13章: 個人情報漏洩事故への対応

13.1 事故対応の基本方針
当社は、個人情報漏洩等の事故が発生した場合、速やかに対応策を講じ、被害を最小限に抑えるとともに、関係者の信頼回復に努めます。

当社は、AIサービスや自社AI製品の利用に伴い、個人情報漏洩等の事故が発生した場合、速やかに対応策を講じ、被害を最小限に抑えることを目指します。

13.2 事故発生時の対応手順

  1. 事故の確認と報告(従業員 → 管理者 → 個人情報保護責任者 → 経営層)
  2. 影響範囲の調査と被害評価
  3. 原因究明と再発防止策の策定・実施
  4. 被害者・関係当局(個人情報保護委員会など)への通知(法令に基づき必要な場合)

13.3 記録の保存
AI利用を含む全ての個人情報漏洩事故に関する記録は、監査対応のため5年間保存します。

補足 13-1 事故記録(5年間保存)

  • 発生日
  • 連絡者
  • 受付者
  • 事故の概要
  • 事故の詳細(時系列など)
  • 影響範囲
  • 原因
  • 再発防止策
  • 通知先(個人情報保護委員会など)

第14章 事業の承継

14.1. 会社の事業承継
当社は、合併、会社分割、事業譲渡その他の事由により事業を承継する場合、当該承継に伴って個人情報が新たな事業主体に引き継がれることがあります。この場合、当社は個人情報保護法その他の関係法令に従い、本人が知り得る状態に置くための公表または通知等の適切な措置を講じます。

14.2. 代表者・管理者の承継
当社は、代表取締役、個人情報保護責任者、個人情報保護推進者等の交代が生じた場合、適切な引継ぎを行い、全従業員および関係者に周知します。

第15章 学術研究・研究開発目的の個人情報利用

15.1. 学術研究機関との共同研究
当社が大学・研究機関等と共同で学術研究を行う場合、研究目的を限定し、個人情報は可能な限り匿名化・仮名加工した上で利用します。必要に応じて本人の同意を取得し、個人情報保護法その他の関係法令に基づいた適切な保護措置を講じます。

15.2. 研究開発目的での自社利用
当社がAI・LLM開発、チャットフロー設計等の研究開発目的で個人情報を利用する場合、利用範囲を明確化し、匿名化または仮名加工を行います。個人を特定可能な形で利用する場合には、本人の同意を取得します。

15.3. 公表・透明性の確保
研究目的で個人情報を利用する場合、その利用目的や方法を本人が知り得る状態に置き、透明性を確保します。

第16章: ガイドラインの改定

16.1. 改定の方針
本ガイドラインは、以下の場合に適宜改定されます。

  • 個人情報保護法その他の関連法令の改正があった場合
  • 個人情報保護委員会等の監督官庁が新たな指針を公表した場合
  • 業務の実態、組織体制、利用するシステムの変更があった場合
  • 内部監査や外部監査において改善の指摘を受けた場合

改定にあたっては、代表取締役(個人情報保護責任者)の承認を得て施行し、全従業員に対して速やかに周知徹底します。

16.2. 改定履歴の管理
改定されたガイドラインの履歴は、以下の情報を含めて記録・保存します。

  • 版番号
  • 改定日
  • 改定内容の概要
  • 承認者
  • 改定文書の保管場所

過去の版は適切に管理し、監査や問い合わせ等に応じて参照可能な状態を維持します。

以上