個人情報保護方針

● 基本方針の策定

個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定しています。

● 個人データの取扱いに係る規律の整備

取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について個人情報取扱規程を策定しています。

● 組織的安全管理措置

個人データの取扱いに関する責任者を設置するとともに、法令や取扱規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備しています。

● 人的安全管理措置

個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施しています。

● 物理的安全管理措置

個人データを取り扱う区域において、従業者の入退室管理及び持ち込む機器等の制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を講じています。

● 技術的安全管理措置

アクセス制御を実施して、担当者及び取り扱う個人情報データベース等の範囲を限定しています。また、クラウドサービスや生成AIの利用においては、法人契約に基づき高度なセキュリティ設定（多要素認証、学習利用の防止等）を施した環境のみを利用しています。

第1条（目的）

本規程は、有限会社藤岡保険コンサルタント（以下「当代理店」という）における保険代理店業務に係る個人情報の適法かつ適正な取扱いの確保に関する基本事項を定めることにより、個人の権利・利益を保護し、かつ業務の適正な運営に資することを目的とする。

第2条（定義）

本規程における用語の定義は、「個人情報の保護に関する法律」、「行政手続における特定の個人を識別するための番号の利用等に関する法律（番号法）」、金融庁「金融分野における個人情報保護に関するガイドライン」、および所属保険会社の定める規定によるものとする。

第3条（適用範囲）

本規程は、当代理店の全従業者（役員、正社員、契約社員、パート・アルバイト、派遣社員等、保険募集に従事するか否かを問わない）に適用する。

第4条（個人データ管理責任者）

当代理店は、個人情報の安全管理に係る業務遂行の総責任者として「個人データ管理責任者」を設置する。管理責任者は代表取締役 藤岡 徹也とする。管理責任者は以下の業務を所管する。

1. 個人データの安全管理に関する規程の策定、見直しおよび周知
2. 従業者に対する教育・研修の実施（年1回以上）
3. 安全管理措置の定期的な点検・監査の計画立案と実施
4. 漏えい事故・サイバー攻撃発生時の対応および所属保険会社への報告
5. 外部委託先の選定、事前申請および監督

第5条（秘密保持義務）

従業者は、業務上知り得た個人情報を正当な理由なく第三者に漏らしてはならない。退職後といえども同様とする。また、採用時および退職時に秘密保持に関する誓約書を提出しなければならない。

第6条（組織的・人的安全管理措置）

1. 個人データの取扱いに関する責任体制を明確にし、法令や本規程に違反している事実または兆候を把握した場合の報告連絡体制を整備する。
2. 従業者に対して、個人情報の安全管理およびサイバーセキュリティに関する教育・研修を定期的に実施する。

第7条（物理的安全管理措置）

1. 入退室管理：事務所への部外者の立ち入りを制限し、退社時は施錠を確実に行う。
2. 機器管理：個人データを取り扱うパソコン等の機器は、施錠可能な保管場所に置く。
3. 持ち出し制限：業務上必要最小限の場合を除き、個人データを含む書類や電子媒体の社外持ち出しを禁止する。持ち出す場合は、紛失・盗難防止措置（鞄から離さない等）を講じる。

第8条（技術的安全管理措置・サイバー対策）

1. アクセス制御：ID・パスワードによる認証を行い、IDの共有を禁止する。
2. パスワード管理：パスワードは英数字記号混在10文字以上（または保険会社推奨基準）とし、使い回しを禁止する。
3. Wi-Fi利用：業務利用する無線 LAN は WPA2/WPA3 等で暗号化し、フリーWi-Fi 等の提供元不明なネットワークへの接続を禁止する。
4. メール・Web 利用：業務上でのフリーメール利用を原則禁止する。不審なメールの添付ファイルやURLは開かず、速やかに削除する。

第9条（利用可能なクラウドサービスの限定）

当代理店が法人契約を行った以下の「公認サービス」に限定する。これら以外の個人向けクラウドサービスへの業務データの保存は禁止する。

1. Google Workspace（Gemini Business 等を含む）
2. Box
3. Kintone

第10条（生成AIの利用制限）

1. 業務での利用は、データが学習に利用されない法人契約（Gemini 等）に限る。無料版のAIサービスの利用は原則禁止する。
2. 指示（プロンプト）入力にあたり、顧客氏名、住所、証券番号、マイナンバー、機微情報等の入力は一切禁止する。

第11条（外部委託のルール）

1. 事前申請：クラウドサービス事業者を含む外部へ個人データの取扱いを委託する場合は、必ずあらかじめ所属保険会社へ申請を行い、承認を得なければならない。
2. 選定基準：十分な個人情報保護水準を満たしている者を選定し、安全管理義務を課す契約を締結する。
3. 継続的監督：委託先における個人データの取扱状況について、年1回以上の定期的な点検を行い、適切に監督する。

第12条（緊急時の初動対応ルール）

従業者は、個人情報の漏えい、不正アクセス、またはウイルス感染の疑い（画面異常、不審な挙動、サポート詐欺の警告表示等）を認識した際は、直ちに以下の行動をとらなければならない。

1. ネットワークの物理的遮断：直ちにLANケーブルを抜く、またはWi-Fiをオフにする。
2. 電源の維持：端末の電源は絶対に切らない（シャットダウン・再起動禁止）。操作を止めた状態で維持する。
3. 証拠の保存：異常な画面や警告メッセージを、自身のスマートフォン等で写真撮影し保存する。
4. 直ちなる報告：上記対応後、即座に個人データ管理責任者（藤岡社長）へ口頭または電話で報告する。

第13条（所属保険会社への報告）

個人データ管理責任者は、報告を受けた事案について事実関係を確認し、原則として発覚の当日中に所属保険会社の担当部署へ報告し、その指示に従う。

第14条（点検・監査）

1. 個人データ管理責任者は、本規程の遵守状況について、年1回以上の定期的な点検計画を立案し、実施する。
2. 点検の結果、不備や違反が発見された場合は、直ちに改善策を講じるとともに、その経緯を記録・保存しなければならない。
3. 点検結果および改善状況については、代表取締役に報告を行うものとする。

第15条（規程の改廃）

本規程の改廃は、代表取締役の決裁により行う。

(1) 組織的安全管理措置

情報セキュリティに関する責任体制を明確にし、関連規程および手順を整備します。

(2) 人的安全管理措置

従業者に対し、情報セキュリティおよびサイバーリスクに関する教育・研修を継続的に実施します。

(3) 物理的安全管理措置

事務所への入退室管理、書類・端末の管理、情報資産の持ち出し制限等を適切に行います。

(4) 技術的安全管理措置

アクセス制御、パスワード管理、多要素認証、ウイルス対策、クラウドサービスの適切な設定等の技術的対策を講じます。