 |
「個人情報」とは何か?
■ 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別できることとなるものを含む。)をいいます。
したがって、法人の情報は含みません。また、死者の情報も含みません。特定の個人を識別することができる情報であれば、情報の種類や内容にかかわらず「個人情報」に該当します。
|
|
|
|
「個人情報取扱事業者」とは何か?
■ 個人情報保護法においては、「個人情報取扱事業者」の義務が定められています。「個人情報取扱事業者」とは、「個人情報データベース等」を事業の用に供している者をいいます。ただし、過去6か月の間5000人を超えない個人情報しか保有しない者は除外されます。
「個人情報データベース等」とは、個人情報を含む情報の集合物で、特定の個人情報を氏名等で検索することができるように体系的に構成したものをいいます(例えば、氏名等で検索できるように整理された名簿・人名録や電子メールのアドレスブックなど)。これらを事業で使っていれば、「個人情報取扱事業者」ということになります。
ただし、これらの「個人情報データベース等」を構成する個人情報によって識別される個人の数(顧客のみならず従業員や株主なども含む)が過去6か月の間5000人を超えない場合は除外され、「個人情報取扱事業者」としての義務は課されないこととなります。
|
|
|
|
「個人情報取扱事業者」はどのような義務を負うのか?
■ 個人情報、個人データ、保有個人データで、個人情報取扱事業者の義務が異なってきます。
したがって、「個人情報」、「個人データ」、「保有個人データ」の区別を理解する必要があります。
|
| 個人情報 |
生存する個人に関する情報であって特定の個人を識別することができるもの |
| 個人データ |
検索できるように体系的に構成した個人情報データベース等を構成する個人情報 |
| 保有個人データ |
個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ(ただし、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの、6か月以内に消去されることになるものを除く) |
|
■ 個人情報に関する義務
|
| @ |
利用目的の特定(15条)
| ・ |
利用目的をできる限り特定しなければならない。 |
| ・ |
利用目的を変更する場合は、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。 |
|
| A |
利用目的による制限(16条)
| ・ |
あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
例えば、商品のお届け先として取得した氏名、住所を使ってDMを送ってはならない。 |
|
| B |
適正な取得(17条)
| ・ |
偽りその他不正の手段により個人情報を取得してはならない。 |
|
| C |
取得に際しての利用目的の通知(18条)
| ・ |
あらかじめ利用目的を公表している場合以外は、個人情報を取得したときは速やかにその利用目的を本人に通知しまたは公表しなければならない。 |
| ・ |
本人から直接書面で個人情報を取得する場合は、あらかじめ本人に対し利用目的を命じしなければならない。
例えば、アンケート用紙に記入させ、後日DM送付に利用しようとする場合、アンケート用紙にDM送付との利用目的を明記しておく必要がある。 |
| ・ |
利用目的を変更した場合は、変更された利用目的について、本人に通知しまたは公表しなければならない。 |
|
|
■ 個人データに関する義務
|
| @ |
データ内容の正確性の確保(19条)
| ・ |
正確かつ最新の内容に保つよう努めなければならない。 |
|
| A |
安全管理措置(20条)
| ・ |
漏洩、滅失または毀損の防止その他安全管理のために必要な措置を講じなければならない。 |
|
| B |
従業者の監督(21条)
| ・ |
個人データを取り扱う従業者に対し、個人データの安全管理が図られるよう、必要かつ適切な監督を行わなければならない。 |
|
| C |
委託先の監督(22条)
| ・ |
個人データの取扱いの委託先に対し、個人データの安全管理が図られるよう、必要かつ適切な監督を行わなければならない。 |
|
| D |
第三者提供の制限(23条)
| ・ |
あらかじめ本人の同意を得ないで、第三者に提供してはならない。 |
| ・ |
本人の求めに応じて提供を停止することとしている場合、以下の4項目を、あらかじめ本人に通知し、または本人が容易に知りうる状態に置いているときは、第三者に提供できる。
| (1) |
第三者への提供を利用目的とすること |
| (2) |
第三者に提供される個人データの項目 |
| (3) |
第三者への提供の手段または方法 |
| (4) |
本人の求めに応じて提供を停止すること |
|
| ・ |
以下の場合は第三者に該当しない。
| (1) |
委託先への提供
例えば、データ入力などの情報処理を委託する場合など。 |
| (2) |
合併その他の事由による事業の承継に伴う提供 |
| (3) |
特定の者との間の共同利用の場合(共同利用する旨、共同利用される項目、共同利用者の範囲、利用する者の利用目的、管理責任者の氏名または名称を、あらかじめ本人に通知し、または本人が容易に知りうる状態に置いているとき)
例えば、金融機関の間で延滞等の情報を交換する場合など。 |
|
|
|
■ 保有個人データに関する義務
|
| @ |
保有個人データに関する事項の公表等(24条1項)
| ・ |
本人の知りうる状態に置くか、本人の求めに応じて遅滞なく回答しなければならない事項
| (1) |
個人情報取扱事業者の氏名または名称 |
| (2) |
すべての保有個人データの利用目的 |
| (3) |
利用目的の通知、本人の個人データの開示・訂正・利用停止等のための手続き |
| (4) |
苦情申出先等 |
|
|
| A |
利用目的の通知(24条2項)
| ・ |
本人からの求めに応じて、当該本人の保有個人データの利用目的を通知しなければならない(例外あり)。 |
|
| B |
開示(25条)
| ・ |
本人からの求めに応じて、当該本人の保有個人データを開示しなければならない。
ただし、業務の適正な実施に著しい支障を及ぼすおそれがある場合(同じ人が何度も繰り返して請求する等)などは例外として全部又は一部を開示しなくてもよい。。 |
|
| C |
訂正等(26条)
| ・ |
本人から内容が事実でないとの理由で訂正等が求められた場合、必要な調査を行い、その結果に基づき当該本人の保有個人データの内容の訂正等を行わなければならない。 |
|
| D |
利用停止等(27条)
| ・ |
本人から利用目的による制限(16条)や適正な取得(17条)の違反を理由により利用停止または消去を求められ、その求めに理由があることが判明した場合、当該本人の保有個人データの利用停止または消去を行わなければならない(例外あり)。 |
| ・ |
本人から第三者提供の制限(23条1項)の違反を理由に第三者への提供の停止を求められ、その求めに理由があると判明した場合、当該本人の保有個人データの第三者への提供を停止しなければならない。 |
|
|
|
|
|
|
どのような体制を作るべきか?
■ 個人情報取扱事業者は、個人情報の安全管理のために組織的、人的、物理的及び技術的な安全管理措置を講じなければなりません。
|
| @ |
基本方針としてのプライバシーポリシーと、従業員のための手引きとなる個人情報保護マニュアルやチェック・シートの策定 |
| A |
個人情報保護責任者の選任と、個人情報の安全管理のための組織体制の構築 |
| B |
個人情報保護法の規定を踏まえた各種書式の作成や契約書の見直し |
| C |
開示請求等に関する請求書書式や手順の策定 |
| D |
苦情処理窓口の設置 |
| E |
個人情報保護に関する教育・研修の実施 |
|
その他 |
|
経済産業省のガイドライン(個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン)において、組織的、人的、物理的及び技術的な安全管理措置が詳細かつ具体的に記載されていますので、参考にされるとよいでしょう。
http://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.htm
各省庁、各業界においてもこのようなガイドラインが策定されています。
■ プライバシーマーク
プライバシーマークとは、JIS Q 15001という規格に基づいた個人情報保護の体制が整備されている事業者を認定する制度です。顧客や消費者からの信用の獲得のために、プライバシーマークの取得を検討されるとよいでしょう。
http://privacymark.jp/ (JIPDEC 財団法人日本情報処理開発協会)
|
|
|
|
「個人情報取扱事業者」に該当しない場合個人情報保護法の規制は受けないか?
■ 個人情報取扱事業者に該当しない場合は、個人情報保護法の規制の適用はないが、個人情報の漏洩はプライバシー侵害や契約違反等の問題が生じることもある。
過去6か月の間5000人を超えない個人情報しか保有しておらず、個人情報取扱事業者に該当しない場合は、個人情報保護法に定める上記の規制の適用はありません。しかし、個人情報の漏洩事件が起これば、プライバシー侵害や契約違反等で損害賠償責任を負うこともありえますし、社会的信用を失うことにもなります。
したがって、個人情報取扱事業者に該当しない場合であっても、個人情報保護法の規定に沿った事業運営が望ましいといえるでしょう。 |
|
|
|
 |
