CAMPFIRE Startups

CAMPFIRE Startups

関連サービス

CFAngels

個人情報保護方針

第1章 総則

第1条(目的)

この規程は、当社が取扱う個人情報の保護に係る基本的事項を定め、以って個人情報の適切な保護と利用に資することを目的とする。

第2条(法令諸規則等の遵守)

当社は、個人情報の取扱いに当たり、次の各号に掲げるルールを含む関連法令諸規則等(以下、「法令諸規則等」という)を遵守するものとする。

(1)個人情報保護法(以下、「法」という)及び同施行令(以下、「令」という)

(2)金融庁告示「金融分野における個人情報保護に関するガイドライン」(以下、「ガイドライン」という)

(3)同「金融分野における個人情報保護に関するガイドラインの安全管理等についての実務指針」(以下、「実務指針」という)

(4)自主規制機関の定める諸規則

(5)この規程を含む、個人情報取扱いに関する各種社内規則

第3条(プライバシーボリシー)

当社は、別に「プライバシーポリシー」(当ページ下段)を制定し、これを遵守する。

第4条(利用目的)

1.当社は、個人情報の取扱いに関する利用目的をできるだけ特定するものとし、その変更は変更前の利用目的と相当の関連性を有すると認められる範囲でなければならない。

2.当社の個人情報の取扱いに関する利用目的は、前条に規定する「プライバシーポリシー」に記載されたものとする。但し、当社役職員その他の従業者(採用候補者、退職者等を含む)に係る個人情報については、これに加え、採用・人事考課・福利厚生その他の人事管理上の目的による利用も行う。

3.当社が、個人情報を本人から書面(電磁的方法を含む。以下、同様)により、直接取得する場合には、あらかじめ、本人に対し利用目的を明示するものとする(法第18条第2項但し書あるいは同条第4項の場合を除く)。

第5条(同意の取得)

1.当社は、第3条の規定に関わらず、法第16条第1項あるいは同第23条第1項に定める「あらかじめ、本人の同意を得る」場合には、各々に規定される「利用目的外の個人情報の利用」あるいは「第三者への個人情報の提供」を行うことができる。

2.前項の同意は原則として書面によるものとする。

あらかじめ作成された同意書面を用いる場合には、文字の大きさ及び文章の表現を変えること等により、個人情報の取扱いに関する条項が他と明確に区別され、本人に理解されるように措置する、または、同意書面に確認欄を設け、本人がチェックを行うこと等、本人の意思が明確に反映できる方法により確認を行うものとする。

第6条(機微情報の取扱い)

1.当社は、機微情報(ガイドライン第6条第1項に規定される「機微(センシティブ)情報」をいう。以下、同様)については、原則として、取得、利用又は第三者提供を行わないこととする。

2.前項に関して、例外的に機微情報の取得、利用又は第三者提供を行う場合は、ガイドライン第6条第1項各号に規定する場合に限るものとし、当該各号の事由を逸脱することのないよう、特に慎重に取扱うものとする。

その取扱いに際しては、事前に代表取締役及び管理本部長に申請を行い、実務指針別添2「金融分野における個人情報保護に関するガイドライン第6条に定める「機微(センシティブ)情報」(生体認証情報を含む)の取り扱いについて」に規定されている全ての事項が措置され確保されていることの確認を行った後に、代表取締役及び管理本部長の承認を得て実施されなければならない。

第2章 個人データの取扱い体制

第7条(データ内容の正確性の確保)

当社は、個人データの正確性の確保に関しては、法第19条及びガイドライン第9条の規定に基づき、適切に取扱うものとする。

第8条(安全管理措置)

1.当社は、法第20条に従い、その取扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、安全管理に係る基本方針・取扱規程等の整備及び安全管理措置に係る実施体制の整備等の必要かつ適切な措置を講じるものとする。この実施にあたっては、次項から第17項の規定によるものとする。

2.「取得・入力段階における取扱規程」は以下のとおりとする。

(1)取扱者の役割・責任:取扱者は、個人データの適切な取扱いに努めなければならない。

(2)取扱者の限定:取扱者は、業務の効率性・安定性を勘案した上で、最低限必要な人員に限定するものとする。

(3)対象となる個人データの限定:対象とする個人データは業務上必要な範囲のものに限定する。

(4)取得・入力時の照合及び確認手続き:上司あるいは役席者による再鑑等、適切な照合・確認手続きを確保する。

(5)規程外作業に関する申請及び承認手続き:第11条の定めによる。

(6)機器・記録媒体等の管理手続き:個人データを含む機器・記録媒体等については、個人データの漏えい・き損を招くことのないよう、厳正に管理するものとする。機器については、一定時間以上その場を離れる場合にはログオフする手続きを確保しなければならない。格納可能な機器・記録媒体等については、机上等へ放置することなく、施錠可能なキャビネット等に保管しなければならない。

(7)アクセス制御:業務の効率性・安定性を勘案した上で、最低限必要な人員のみアクセス権を付与するものとする。

(8)取得・入力状況の記録及び分析:取扱者の属する部門の部門長は、適切な記録の保持及び分析に努めるものとする。

3.「利用・加工段階における取扱規程」は以下のとおりとする。

(1)「利用・加工段階における取扱規程に関する組織的安全管理措置」は次のとおりとする。

(a)前項各号については、当該規定を準用する。

(b)個人データの管理区域外への持ち出しに関する上乗せ措置 :前項第1号から第8号まで(第5号を除く)の事項について、より厳格且つ慎重に取扱うものとする。

(2)「利用・加工段階における取扱規程に関する技術的安全管理措置」は次のとおりとする。

(a)利用者の識別及び認証 :利用者各人にID及びパスワードを付与し、パスワードについては定期的変更、貸借の禁止等、厳格な管理を行う。

(b)管理区分の設定及びアクセス制御 :職責に応じた管理区分を設定し、社内においても不要なアクセスの制限を行う。また、「外部からの不正アクセスの防止措置」として、実務指針4-2-1各号に定める措置を実施する。

(c)アクセス権限の管理 :利用者のアクセス権限については、管理本部長が統括管理を行うものとし、適切な権限の見直し及び付与を行うと共に、アクセス権限を付与する人員数及び各人に付与する権限の範囲を必要最小限に留めるものとする。

(d)漏えい・き損等防止策 :個人データの漏えい・き損等の防止のために、実務指針4-4-1各号及び同4-4-2各号に定める措置を講じる。

(e)アクセス記録及び分析 :管理本部のコンプライアンスは、個人データヘのアクセス記録が適切に作成されるよう措置し、アクセス記録の定期的な分析及び保存を行う。

(f)情報システムの稼動状況の記録及び分析 :管理本部の総務担当は、システムの稼動状況について記録が適切に作成されるよう措置し、稼動状況記録の定期的な分析及び保存を行う。

4.「保管・保存段階における取扱規程」は以下のとおりとする。

(1)「保管・保存段階における取扱規程に関する組織的安全管理措置」は次のとおりとする。

(a)第2項各号(第4号を除く)については、当該規定を準用する。

(b)障害発生時の対応・復旧手続き :直ちに管理本部長(必要に応じて、代表取締役及び取締役会)に報告し、その指示の下、迅速な対応を確保する。

(2)「保管・保存段階における取扱規程に関する技術的安全管理措置」は前項第2号に準ずる。

5.「移送・送信段階における取扱規程」は以下のとおりとする。

(1)「移送・送信段階における取扱規程に関する組織的安全管理措置」は前項第1号に準ずる。

(2)「移送・送信段階における取扱規程に関する技術的安全管理措置」は第3項第2号に準ずる(fを除く)。

6.「消去・廃棄段階における取扱規程」は第2項各号(第3号を除く)に準ずる。

7.「漏えい事案等への対応の段階における取扱規程」は以下のとおりとする。

(1)対応部署の役割・責任:管理本部が所管部署となり、適切な対応を確保するものとする。

(2)取扱者の限定:取締役会のメンバー、管理本部長の指名する者のみが、取扱者となる。

(3)規程外作業に関する申請及び承認手続き:コンプライアンスとの協議に基づく代表取締役(必要に応じて、執行役員会)の承認を経て、取扱わなければならない。

(4)影響・原因等に関する調査手続き:代表取締役の指示の下、管理本部長の指名する者が早急に調査を行い、代表取締役(必要に応じて、取締役会)に報告を行う。

(5)再発防止策・事後対策の検討に関する手続き:管理本部長との協議に基づく代表取締役(必要に応じて、取締役会)の承認を経て、取扱わなければならない。

(6)自社内外への報告に関する手続き:以下に関して、代表取締役の指示の下、管理本部長が所管し、適切な措置を確保する。

金融庁等、監督当局等への報告

本人への通知等

二次被害の防止・類似事案の発生回避等の観点からの漏えい事案等の事実関係及び再発防止策等の早急な公表

対応状況の記録及び分析:コンプライアンスが記録を作成し、爾後の分析に資するため適切に保管するものとする。

8.「個人データの取扱状況に関する点検及び監査の規程」は以下のとおりとする。

(1)点検及び監査の目的 :個人データの取扱状況の適切性を検証することを目的とする。

(2)点検及び監査の実施部署 :点検は各取扱部署、監査は内部監査室がそれぞれ実施部署となる(内部監査室長自身の個人情報取扱い状況については、必要に応じて代表取締役が指名した部署がこれを監査する)。

(3)点検責任者及び点検担当者の役割・責任 :責任者は実施部署の長とし、当該責任者は担当者を任命する者とする。両者は個人データの取扱状況について、その適切性を厳格に検証しなければならない。

(4)監査責任者及び監査担当者の役割・責任 :前号に同じ。

(5)点検及び監査に関する手続き :点検は、内部監査室長の指示に基づき各部署が実施する(原則として、取扱者本人以外が点検を行う。)。監査は取締役会の承認を得た監査計画に基づき、内部監査室が実施する。規程違反等が発見された場合には、内部監査室長が監視責任者となり、適切な改善対応策を策定し、実施されなければならない。

以上の事項に関して、内部監査室が取り纏め、定期的及び随時に、代表取締役及び取締役会に報告する。

9.「外部委託に係る取扱規程」は以下のとおりとする。

(1)委託先の選定基準 :第10条第2項の定めによる。

(2)委託契約に盛り込むべき安全管理に関する内容:第10条第4項の定めによる。

10.当社は、「個人データの管理責任者等の設置」として次に掲げる役職者を設置する。

(1)個人データの安全管理に係る業務遂行の総責任者である個人データ管理責任者 :管理本部長がその任に当たることとし、実務指針2-1-1各号に定める業務を所管する。2

(2)個人データを取り扱う各部署における個人データ管理者 :各部門の部門長がその任に当たることとし、実務指針2-1-2各号に定める業務を所管する。

11.当社は、「就業規則等における安全管理措置の整備」として、以下の事項を定める。

(1)個人データの取扱いに関する従業者の役割・責任 :当社の従業者は、個人データの取扱いに関して、法令諸規則等の遵守、漏えい・き損の防止等、適切な運営を確保しなければならない。また、法令諸規則等への違反、漏えい・き損等のおそれのある事実を発見した場合には、直ちに、前項第1号に定める個人データ管理責任者に報告しなければならない(前項第2号に定める個人データ管理者を通じて報告する場合を含む)。

(2)違反時の懲戒処分:従業者によるこの規程を含む法令諸規則等または次号の非開示契約に関する違反については、懲戒処分の対象となる。

(3)当社の従業者は、個人データに係る非開示契約(従業者が、在職中及びその職を退いた後において、その業務に関して知り得た個人データを第三者に知らせ、又は利用目的外に使用しないことを内容とする契約をいう)を当社との間で締結しなければならない。

12.当社は、「個人データの安全管理に係る取扱規程に従った運用」として、第2項から第9項までに規定する「個人データの安全管理に係る取扱規程」に従った体制を整備し、当該取扱規程に従った運用を行うとともに、取扱規程に規定する事項の遵守状況の記録及び確認を行う。

13.当社は、「個人データの取扱状況を確認できる手段の整備」として、実務指針2-4各号に掲げる事項を含む台帳等を整備するものとする。

14.当社は、「個人データの取扱状況の点検及び監査体制の整備と実施」、「漏えい事案等に対応する体制の整備」として、それぞれ第8項、第7項の規定に基づく運営を確保する。

15.当社は、「従業者への安全管理措置の周知徹底、教育及び訓練」として、第10項第1号に定める個人データ管理責任者が実施責任者となり、実務指針3-3各号に定める措置を実施する。

16.当社は、「従業者による個人データ管理手続きの遵守状況の確認」として、第2項から第7項までに定める規程の遵守状況について、第8項に基づき点検・監査を実施する。

17.当社は、個人データの安全管理措置に係る実施体制の整備における「技術的安全管理措置」として、第2項から第6項までの各取扱規程において定める技術的安全管理措置に基づく運営を確保する。

更に、「個人データを取り扱う情報システムの監視及び監査」として、個人データを取扱う情報システムの利用状況及び個人データヘのアクセス状況を前述の技術的安全管理措置の定めにより監視するとともに、監視状況についての点検及び監査を第14項に基づき実施する。

第9条(従業者の監督)

当社は、法第21条に従い、個人データの安全管理が図られるよう、適切な内部管理体制を構築し、その従業者に対する必要かつ適切な監督を行うものとする。この実施にあたっては、前条の規定のうち、従業者の監督に関する措置の確保を通じてこれを行うものとする。

第10条(委託先の監督)

1.当社は、個人データの取扱いを委託する場合において、その取扱いを委託された個人データの安全管理が図られるよう、法第22条に従い、委託を受けた者に対する必要かつ適切な監督を行うものとする。この実施にあたっては、次項から第5項に規定する措置を講じるものとする。

2.当社における委託先選定基準は、以下のとおりとし、この基準は定期的に見直しを行うものとする。

(1)委託先における個人データの安全管理に係る基本方針・取扱規程等の整備(実務指針5-1-1各号に定める事項を含む)が適切であること

(2)委託先における個人データの安全管理に係る実施体制の整備(第8条に準じた体制整備が確保されていること。委託先より更に再委託される場合には、当該再委託先についても同様であること)が適切であること

(3)実績等に基づく委託先の個人データ安全管理上の信用度が十分であること

(4)委託先の経営の健全性が確保されていること

3.当社は、次項に定める契約上の権限に基づき、委託契約後に前項の基準に定める事項の委託先における遵守状況を定期的又は随時に確認するとともに、委託先が当該基準を満たしていない場合には、委託先が当該基準を満たすよう監督するものとする。

4.当社は、委託先との委託契約において、実務指針5-3各号に定める事項を規定するものとする。

5.当社は、前項に定める契約上の権限に基づき、定期的又は随時に委託先における委託契約上の安全管理措置の遵守状況(再委託が行われる場合は、再委託先の遵守状況に関する監督状況を含む)を確認するとともに、当該契約内容が遵守されていない場合には、委託先が当該契約内容を遵守するよう監督するものとする。また、当社は、定期的に委託契約に盛り込む安全管理措置を見直すものとする。

第3章 雑則

第11条(例外的取扱い)

この規程に定めのない事項、この規程において原則とされる事項に関する例外取扱い、

あるいはこの規程の定めとは異なる取扱いをするものについては、事前に管理本部のコンプライアンスに申請を行わなければならない。

管理本部のコンプライアンスは、法令諸規則等との関連を調査し、社外の諸規則(第2条第1号から第4号を含む)に反しないことを条件として、軽微なものについては自らの判断により、これ以外のものについては代表取締役又は取締役会の承認を得て、その取扱いを認めることができる。

第12条(制定及び改廃等)

1.この規程の制定及び改廃は、経営会議の決議による。

2.管理本部は、定期的にこの規程及び第3条に規定する「プライバシーポリシー」の見直しを行い、必要に応じて改訂を起案するものとする。

プライバシーポリシー(個人情報の取扱いについて)

Ⅰ 個人情報保護方針

当社は、お客様の個人情報に対する取組み方針として、次のとおり、個人情報保護宣言を策定し、公表いたします。

1.関係法令等の遵守

当社は、個人情報等の保護に関する関係諸法令、主務大臣のガイドライン及び認定個人情報保護団体の指針並びにこの個人情報保護宣言を遵守いたします。

2.利用目的

当社は、お客様の同意を得た場合及び法令等により例外として取り扱われる場合を除き、利用目的の達成に必要な範囲内でお客様の個人情報を取り扱います。

3.安全管理措置

当社は、お客様の個人情報等を正確かつ最新の内容となるよう努めます。また、お客様の個人情報等の漏えい等を防止するため必要かつ適切な安全管理措置を実施するとともに、役職員及び委託先の適切な監督を行ってまいります。

4.継続的改善

当社は、お客様の個人情報等の適正な取扱いを図るため、この保護宣言は適宜見直しを行い、継続的な改善に努めてまいります。

5.開示等のご請求手続き

当社は、お客様に係る保有個人データに関して、お客様から開示、訂正、利用停止等のお申し出があった場合には、ご本人様であることを確認させていただき、適切かつ迅速な回答に努めて参ります。

6.ご質問・ご意見・苦情等

当社は、お客様からいただいた個人情報に係るご質問・ご意見・苦情等に対し迅速かつ誠実な対応に努めて参ります。ご質問・ご意見・苦情等は、当社の管理本部宛、書面等によりお申し出ください。

〒150-0036 東京都渋谷区南平台町15-10 MAC渋谷ビル8階
株式会社CFスタートアップス 管理本部
電子メール:info@cfstartups.co.jp

7.認定個人情報保護団体 当社は、金融庁の認定を受けた認定個人情報保護団体である日本証券業協会の協会員です。同協会の下記苦情・相談窓口では、協会員の個人情報の取扱いについての苦情・相談をお受けしております。

【苦情・相談窓口】日本証券業協会 (http://www.jsda.or.jp/)個人情報相談室 電話番号:03-3667-8427

Ⅱ 個人情報等の主な取得元および外部委託している主な業務について

1.個人情報の主な取得元 当社が取得する個人情報等の取得元には以下のようなものがあります。

(1)ウェブサイトを通じた会員登録や実施するアンケート等に、お客様に直接記入していただいた情報

(2)セミナーや研究会等でご記入いただいたアンケート等の情報

(3)会社四季報、役員四季報など市販の書籍に記載された情報、新聞やfacebook等のインターネットで公表された情報

(4)お客様からウェブサイトおよび電子メールで寄せられた情報

2.外部委託をしている主な業務 当社は業務の一部を外部委託しております。また、当社が個人情報を外部委託先に取り扱わせている業務には以下のようなものがあります。

(1)お客様にお送りするための書面の印刷もしくは発送業務

(2)法律上や会計上等の専門的な助言等を提供する業務

(3)情報システムの運用・保守に関する業務

(4)業務に関する帳簿書類を保管する業務

(5)セミナー等の開催に関する業務(名刺管理等)

Ⅲ お客様の個人情報等の利用目的

当社は、お客様の個人情報等について、次の事業内容及び利用目的の達成に必要な範囲において取り扱います。

1.事業内容 金融商品取引業、金融商品取引業付随業務、その他金融商品取引法により金融商品取引業者が営むことができる業務及びこれらに付随する業務(今後取扱いが認められる業務を含む)

2.利用目的

(1)金融商品取引法に基づく有価証券・金融商品の勧誘・販売、サービスの案内を行うため

(2)適合性の原則に照らした商品・サービスの提供の妥当性を判断するため

(3)お客様ご本人であること又はご本人の代理人であることを確認するため

(4)お客様に対し、取引結果などの報告を行うため

(5)お客様との取引に関する事務を行うため

(6)お客様との契約や法律等に基づく権利の行使や義務の履行のため

(7)市場調査、ならびにデータ分析やアンケートの実施等による金融商品やサービスの研究や開発のため

(8)他の事業者等から個人情報の処理の全部または一部について委託された場合等において、委託された当該業務を適切に遂行するため

(9)その他、お客様とのお取引を円滑に履行するため

(10)前各号の個人情報の利用目的に関わらず、個人番号は、「金融商品取引に関する会員登録の申請・届出事務」及び「金融商品取引に関する法定書類の作成・提出事務」に限り利用いたします。

3.金融商品取引業に関する内閣府令等により、人種、信条、門地、本籍地、保健医療又は犯罪経歴についての情報その他の特別な非公開情報は、適切な業務の運営その他必要と認められる目的以外の目的に利用・第三者に提供いたしません。

Ⅳ お客様の個人情報等開示等の手続き

当社は、お客様の個人情報等について、次の方法で開示いたします。

1.保有個人情報等の開示等の手続きについて 当社では、個人情報等の保護に関する関係諸法令に基づき、保有個人データの開示・変更等・利用停止等の求めがあった場合には、お客様ご本人からの求めであることを確認させていただいた上で、適切な対応をさせていただきます。なお、開示の求めに対しての、お手続きの詳細等は、当社管理本部にお問い合わせください。

2.回答や回答方法について 所定の申請書にて開示等のお求めがあった場合には、法令に基づき開示を要しないとされている場合等を除き、書面にて回答いたします。また、訂正、追加、削除、利用の停止、消去、第三者提供の停止等のお申し出に関しては、当社で事実関係を調査のうえ、適切に対応いたします。なお、回答、あるいは、お申し出内容の対応までに相応の時間を要する場合や、開示等の一部、ないしは全部に応じることができない場合もありますので、ご了承ください。

3.開示等の求めに関して取得した個人情報等の利用目的 開示等の求めに伴い取得した個人情報等は、開示等の求めに必要な範囲のみで取り扱うものとします。

Ⅴ お客様の個人情報等の第三者への提供

お客様が、当社のウェブサイトを通じて非上場株式への応募申込をした場合、当社は、当該非上場株式の発行がなされるか否かにかかわらず、当社が取得したお客様の個人情報等のうち、

1.お客様の氏名、住所、メールアドレス

2.当該非上場株式についてお客様が応募申込をした株式数及び金額

を、以下を目的として、当該非上場株式の発行会社(既にお客様が株主となっている会社を含みます。)及び、当該発行会社との業務委託契約に基づき株主管理事務を行う会社(株主名簿管理人を含む)に提供することがあります。

(1)株式の応募状況に関する情報の共有

(2)株式割当決議及び割当通知

(3)株主名簿の作成及び管理

(4)株主総会の招集及び株主総会関連資料の送付

(5)会社法その他の法令に基づく発行会社から株主への通知

(6)発行会社から株主への開示情報及びIR情報の提供

(7)発行会社から株主に対するその他の連絡

以 上

平成30年8月17日 改訂

令和2年12月19日 改訂

令和3年3月24日 改訂

令和4年7月29日 改訂