个人信息处理标准

第 1 条（目的）

本标准的目的是，通过确立并落实妥善处理公司所掌握的个人信息和保护个人权益的基本事项，赢得社会的信任，提高公司活动的质量。

第 2 条（主体）

本标准适用于公司处理的所有个人信息，不论是电子信息还是非电子信息。
但是，对于与'关于在行政程序中使用数字识别特定个人的法律'相关的特定个人信息，应适用另行规定的'特定个人信息的处理标准'。

第 3 条（定义）

本标准中的术语定义如下，除另有规定外，均以'个人信息保护法'及其他相关法律法规（以下简称'相关法律法规等'）的规定为准。除另有规定外，应符合《个人信息保护法》及其他相关法律法规（以下简称 "相关法律法规"）的规定。

（1）个人资料
通过信息中包含的姓名、出生日期或其他描述等可识别特定个人的有关在世个人的信息，易于与其他信息核对从而识别特定个人的信息，以及包含个人识别代码的信息。
（2）需要特别考虑的个人信息
为避免不公正的歧视、偏见或其他不利情况而需要特别考虑的个人信息，如有关个人的种族、信仰、社会地位或精神或身体状况的信息（以下简称 "健康信息等"）、犯罪记录或因犯罪而受到伤害的事实（健康信息等在另一份基于《职业健康与安全法》的文件中作了具体规定）。（健康信息等根据《职业健康安全法》在单独文件中规定）。
（3）个人信息数据库等
（3）个人信息数据库等：包含个人信息的信息集合，其中包括以下内容。
- （i）以可使用计算机检索特定个人信息的方式系统构建。
- （ii）除上述第（i）项所列信息外，还包括经过系统化编排，使特定个人信息可以通过按照某些规则组织个人信息而方便检索的信息集合，并具有目录、索引或其他便于检索的项目。
（4）个人数据
指构成个人信息数据库等的个人信息。
（5）保留的个人数据
本公司有权披露、更正、添加或删除内容、停止使用、删除和停止向第三方提供的个人数据，但下列数据除外。
- （i）如果披露其存在或不存在，可能对当事人或第三方的生命、身体或财产造成伤害的个人数据。
- （ii）如果披露有关个人资料的存在或不存在，可能会鼓励或诱发非法或不公正行为的资料。
- （iii）如披露有关个人资料的存在或不存在，可能会对国家安全造成损害，破坏与其他国家或国际组织的信任关系，或在与其他国家或国际组织的谈判中处于不利地位。
- （iv）披露有关个人资料的存在或不存在可能妨碍预防、制止或调查犯罪或维护其他公共安全和秩序的情况。
（6）匿名处理信息
通过处理个人数据而获得的有关个人的信息，通过删除个人数据中包含的部分描述等而无法识别特定个人，从而无法恢复个人数据。
（7）匿名处理信息数据库等
指系统化的信息集合，通过按照一定的规则组织匿名处理信息，可以方便地检索特定的匿名处理信息，并具有目录、索引或其他便于检索的项目。
（8）伪匿名信息
指通过对个人信息进行处理而获得的有关个人的信息，除非通过删除个人信息中的部分描述等与其他信息进行核对，否则无法识别该个人。
（9）化名信息数据库等。
指信息的集合，其结构系统化，通过按照一定的规则组织经过处理的假名信息，可以很容易地检索特定的经过处理的假名信息，并具有目录、索引或其他便于检索的项目。
（10）与人有关的信息。
指不属于个人信息、匿名处理信息和化名处理信息任何类别的与在世个人有关的信息。
（11）个人。
指通过个人信息识别的特定个人。

2.前款第 6、7、8、9、10 项所列的信息或数据库等，公司不得用于业务目的，必要时应根据相关法律法规予以公开。

第 4 条（适用范围）

本准则适用于高级职员（包括董事和监事）、执行官以及雇用条例中规定的员工（以下简称 "员工等"）。

第 5 条（明确使用目的）

公司将个人信息用于以下目的（以下简称'使用目的'）。

（1）收集和提供与本公司经营的产品相关的信息。
（2）确定本公司销售产品的供应商及管理业务等。
（3）审查从业务合作伙伴处收到的咨询、通信等内容并作出回应。
（4）根据《药品和医疗器械法》向政府部门进行通报和报告。
（5）实施确保员工健康等的措施，履行安全考虑义务。

2.公司变更使用目的时，不得超出变更前合理认为与使用目的相关的范围。

第6条（使用目的限制及禁止不当使用）

本公司在未事先征得本人同意的情况下，不得超出前条规定的使用目的所需的范围处理个人信息。

2.本公司从其他处理个人信息的企业经营者处继承业务而获得个人信息时，在未事先征得本人同意的情况下，不得超出继承前为实现相关个人信息的使用目的所必需的范围处理个人信息。

3.第 1 款和第 2 款的规定不适用于以下情况

（1）法律要求。
（2）为保护当事人的生命、身体或财产所必需，且难以征得当事人同意时
（3）为改善公共卫生或促进儿童的健康成长而特别需要提供，且难以征得当事人同意时。
（4）有必要与国家机关、地方自治团体或受其委托的个人或实体合作执行法律规定的事务，而征得本人同意可能会妨碍执行相关事务时。

4.公司不得以鼓励或诱导非法或不公正行为的方式使用个人信息。

第 7 条（正当获取）

公司不得通过欺骗或其他不正当手段获取个人信息。

2.公司不得在未事先征得本人同意的情况下获取敏感个人信息。
但不包括前条第 3 款各项所列的情况、信息已公开的情况及类似情况。

第 8 条（在收集和获取时告知使用目的等）

本公司在开展业务过程中获取个人信息时，除事先已公开使用目的的情况外，应立即将使用目的通知本人或予以公开。

2.如果公司变更使用目的，则应将变更后的使用目的通知当事人或予以公布。

3.第 1 款和第 2 款的规定不适用于以下情况。

（1）通知当事人或公布使用目的有可能损害当事人或第三方的生命、身体、财产或其他权益的。
（2）通知本人使用目的或公开声明可能会损害本公司的权利或合法利益时。
（3）有必要与国家机关、地方自治团体或受其委托执行法律规定的事务的人进行合作，而取得该人的同意可能会妨碍该事务的执行时。
（4）根据获取的情况，使用目的被认为是明确的。

第 9 条（确保个人资料的正确性等）

本公司将在实现使用目的所必需的范围内，努力保持个人数据的准确性和最新性，并在不再需要使用时立即删除这些个人数据。

第 10 条（安全管理措施）

公司应采取必要且适当的安全管理措施，以防止个人资料的丢失、破坏、篡改或泄漏。

第 11 条（员工的培训和监督等）

公司应教育和监督员工等如何处理个人资料，以确保妥善安全地管理这些个人资料。

第12条（对委托方等的监督）

如果个人数据的处理全部或部分外包，本公司将对外包方进行必要且适当的监督，以确保相关个人数据得到安全管理。

第 13 条（向第三方提供的限制）

除第 6.3 条各项所列情况外，"公司 "在未事先征得本人同意的情况下，不得将其掌握的个人数据提供给第三方。

2.在下列情况下，就前款而言，获得相关个人资料的人不构成第三方。

（1）公司在实现使用目的的必要范围内，将个人数据的全部或部分处理工作外包。
（2）在从处理个人资料的其他业务经营者继承业务时提供个人资料。
（3）本公司的母公司和公司法规定的子公司，为了合理分配产品、规划和审查集团的有效管理和销售措施而共同使用信息时。共同使用的信息项目为本公司所持有的供应商的名称、地点、职务、姓名、电话号码以及所经营产品的信息。

3.公司 "变更前款第（3）项规定的人员的使用目的或个人信息管理负责人的姓名或职务时，应事先将变更内容通知当事人，或让当事人随时了解变更内容。

4.除上述 3 款外，除第 6 条第 3 款各项所列情况外，公司不得向外国（指日本以外的国家或地区）的第三方提供个人资料。在提供时，应根据相关法律法规事先征得当事人的同意。

第 14 条（向第三方提供等相关记录的制作）

在征得本人同意后向第三方提供个人数据时，公司应编制并保存提供日期、接收人姓名等记录。
但不包括第 6.3 条各项中所列的情况。

第 15 条（向第三方提供时的确认等）

本公司从第三方收到个人资料时，应确认第三方（法人时为其代表人）的名称及获取相关个人资料的情况，并编制和保存确认记录。
但是，第 6 条第（3）款各项所列情况除外。

第 16 条（保留的个人数据等相关事项的公布）

公司应向当事人公布与所保留的个人数据相关的以下事项。

（1）保留的个人资料的使用目的（第 8（3）（1）至（4）条规定的情况除外）
（2）回应根据本条第 2 款、第 17（1）条、第 18（1）条或第 19（1）至（3）条提出的要求的程序（如果根据第 21 条规定了收费数额，则包括收费数额）
（3）与本公司持有的个人信息相关的各种手续等的查询联系方式
（4）本公司名称、地址和代表人姓名。

2.当公司收到个人要求通知所保留的可识别个人身份的个人资料的使用目的时，公司应立即通知该个人。
但是，这不适用于以下任何情况。

（1）根据本条第 1 款第（1）项的规定，可识别当事人身份的所保留的个人资料的使用目的明确。
（2）属于第 8 条第 3（1）至（4）款规定的情况。

3.（3）如果公司决定不通知根据本条第 2 款第（1）和第（2）项收到的请求所保留的个人资料的使用目的，公司应立即通知当事人。

第 17 条（披露）

公司 "在收到 "个人 "要求公开 "保留的可识别其身份的个人数据"（包括在不存在可识别其身份的 "保留的个人数据 "的情况下发出的相关通知，以下同）以及要求公开 "保留的可识别其身份的个人数据 "的请求时，应立即通知 "个人"。当本公司收到个人要求公开所保留的可识别个人身份的个人资料（包括当所保留的可识别个人身份的个人资料不存在时的相关通知，下同）以及公开第 14 条和第 15 条规定的记录等的请求时，本公司将立即以书面形式（包括电磁方式）向个人公开所保留的个人资料。但是，如果披露会导致以下任何一种情况，则不得披露全部或部分数据

（1）有可能损害当事人或第三方的生命、身体、财产或其他权利或利益。
（2）有可能严重妨碍我们业务的正常开展
（3）可能导致违法。

2.本公司决定不公开根据第 1 款要求保留的全部或部分个人资料时，应立即通知当事人。

第18条（更正等）

本公司在收到个人以所保留的个人数据内容不真实为由，要求更正、追加或删除所保留的可识别该个人的个人数据内容（以下简称 "更正等"）时，将在实现使用目的的必要范围内，立即进行必要的调查，并根据调查结果，对该个人数据进行必要的更正等。本公司将根据调查结果，对所保留的个人资料内容进行修正等。

2.本公司根据第1项的规定对所要求保留的个人资料进行订正或决定不予订正时，应及时通知本人。

第19条（停止使用等）

公司 "收到 "个人 "以 "保留的个人数据 "的处理违反第6条规定或以违反第7条规定获取为由，要求 "公司 "停止使用或删除（以下简称 "停止使用"）可识别 "个人 "的 "保留的个人数据 "时，如果有理由，"公司 "应立即通知 "个人"。如果发现有理由提出上述要求，则应立即停止使用所保留的个人资料，并在必要范围内纠正违规行为。
但是，这不适用于难以暂停使用所保留的个人资料，以及采取其他必要措施保护当事人权益的情况。

2.如果我们收到个人的请求，以违反第 13 条第 1 款的规定向第三方提供其保留的个人数据为由，要求停止向第三方提供其保留的个人数据，并且发现该请求是有根据的，我们将在必要的范围内纠正违规行为在必要范围内，立即停止向第三方提供所保留的个人数据。
但是，如果暂停使用这些保留的个人数据有困难，并且采取了其他必要的措施来保护当事人的权利和利益，则不适用上述规定。

3.本公司不再需要使用所保留的可识别当事人身份的个人数据时，或因泄漏、遗失、损坏等有可能损害当事人权益时，或因对所保留的个人数据进行其他处理有可能损害当事人权益时，本公司在接到当事人要求停止使用等或停止向第三方提供时，应采取上述措施。本公司在收到本人（以下简称 "本人"）的要求，并确认该要求具有上述理由时，将在防止侵犯本人权利的必要范围内，立即停止对所保留的个人数据的使用等，或停止向第三方提供该数据。

4.当本公司根据上述三项要求暂停使用全部或部分保留的个人数据等时，当本公司决定不暂停使用这些数据等时，当本公司决定暂停向第三方提供这些数据时，或者当本公司出于正当理由决定不暂停向第三方提供这些数据时，本公司应将此通知当事人、立即通知当事人。

第 20 条（信息公开等请求的应对程序）

公司 "针对根据第 16 条第（2）款、第 17 条第（1）款、第 18 条第（1）款或第 19 条第（1）至（3）款提出的请求（以下简称 "信息公开等请求"），设立个人信息联络点，并分别确定以下信息公开等请求的受理方法。

（1）提出 "公开等申请 "时应提交的文件的方法，以及其他受理 "公开等申请 "的方法。
（2）根据第 3 款的规定，确认信息公开等申请者为委托人或代理人的方法。
（3）第 21 条第 1 款规定的费用收取方法。

2.（4）公司可能会要求个人提出足以确认作为披露等申请对象的被保留个人资料的事项。在此情况下，公司将采取适当措施为个人提供便利，例如提供有助于识别相关被保留的个人资料的信息，以便个人能够轻松、准确地提出披露请求等。

3.披露等申请可由未成年人的法定代理人或成年人的监护人或委托人授权的代理人提出。

第 21 条（费用）

公司在收到根据第 16 条第（2）款提出的使用目的通知请求或根据第 17 条第（1）款提出的披露请求时，可收取实施这些措施的费用。

第 22 条（负责处理个人信息的人员和个人信息保护管理者）

实际处理个人信息的负责人应为相关部门的信息管理员。此外，应任命一名个人数据保护经理，负责监督公司所持有的个人数据的管理。个人数据保护负责人由企业社会责任推进本部总经理担任。

第 23 条（个人数据保护经理的职责）

个人数据保护经理应负责维护与个人数据保护有关的内部规定、安全措施以及对员工和其他人员的教育和培训，并应确保所有员工和其他人员充分了解这些规定和措施。

第 24 条（教育）

个人数据保护管理者应制定教育计划，并努力持续、定期地向员工和其他人员提供教育和培训，以确保他们了解保护与个人数据有关的个人权利的重要性，并落实对个人数据的保护。

第 25 条（审计）

总裁兼首席执行官应任命一名审计经理，负责对个人信息的管理进行审计。

2.如果社长兼首席执行官根据审计经理的审计结果，认为在个人信息的管理方面存在需要改进的事项，社长兼首席执行官应向个人信息保护经理和相关人员发出必要的改进指示。

2022年4月1日修订