個人情報保護法の対象事業者の義務は?
個人情報保護法の対象となる事業者(個人情報取扱事業者)は、個人情報の漏えい事故などが起こらないよう、個人情報を適切に取り扱わなければなりません。
(1) |
お客様から個人情報の提供を受けた場合、利用目的を具体的に特定し、その利用目的以外に使用しては
いけません。(法第17条・第18条)
【具体的な特定例】
「郵便、電話、Eメールなどによる、車検、定期点検、イベントなどのご案内のために利用させて
いただきます。」
【具体的な特定と認められない例(漠然とした表現)】
「当社の事業活動のために利用させていただきます。」 |
(2) |
個人情報を、偽り等の不正な手段によって取得してはいけません。また、個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知、または公表しなければなりません。なお、本人から契約書、同意書あるいはウェブサイト上のフォームなどにより、本人から直接個人情報を取得する場合には、原則として、その利用目的の明示が必要です。(法第20条・第21条)
【不正取得の例】
本人の同意を得ないで車検証をコピーすること。
【本人への通知方法例】
電話、郵便、FAX、電子メール等
【公表の例】
社内における「個人情報保護に関する基本方針(プライバシーポリシー)*1」をポスター等で店頭に
掲示することや、自社のホームページ上に掲載すること等 |
*1「個人情報保護に関する基本方針」(プライバシーポリシー)とは、
個人情報の保護のために、社内において、個人情報をどのように取り扱うのかという基本姿勢を社内外に向けて示す宣言です。この「個人情報保護に関する基本方針」は、可能な限り見やすいところ(店頭やホームページ)に掲示することが望まれます。
※利用目的の変更は、仮名加工情報として取り扱う場合を除いて、当初利用目的と関連性を有すると合理的に認められる範囲を超えて行うことは出来ませんので、「個人情報保護に関する基本方針」(プライバシーポリシー)に当初から適切な利用目的を記載することが重要です。
(3) |
個人データ*2は、正確かつ最新の内容に保つよう努めるとともに、利用する必要がなくなった時は、個人データを消去するように努めなくてはなりません。(法第22条)
*2 個人データ:個人情報データベース等を構成する個人情報をいいます。(法第16条第3項)
|
(4) |
個人データを第三者へ提供する(別の団体に提供すること)場合は、次の各例外に該当する場合を除いて、あらかじめ本人の同意を得るかオプトアウト手続*3(要配慮個人情報の場合を除く)を経る必要があります。(法第27条第1項)
*3【オプトアウト手続(法第27条第2項)】
本人の事前の同意がない場合でも、個人情報を第三者に提供できる制度。ただし、オプトアウト手続の利用のためには、ウェブサイトや店頭等に[1]~[8]の内容を盛り込んだプライバシーポリシーを掲示する等の方法により、オプトアウト手続について、適切に本人に通知するか、本人が容易に知り得る状態に置くと共に、個人情報保護委員会へ届け出ることが必要です。
[1] 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は
管理人の定めのあるものにあっては、その代表者又は管理人)
[2] 第三者への提供を利用目的とすること
[3] 第三者に提供する個人データの項目
[4] 第三者に提供される個人データの取得の方法
[5] 第三者への提供の方法
[6] 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
[7] 本人の求めを受け付ける方法
[8] その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
また、第三者提供に該当する場合には、データを提供する事業者は、当該個人データを提供した年月日、第三者の氏名等に関する記録を作成しなければならず、データを受領する事業者も、提供者の氏名・名称、住所、代表者(法人の場合)に加えて、提供者による個人データの取得の経緯を確認しなければなりません。(法第29条・第30条) |
|
【同意・オプトアウト手続なく個人データを第三者提供することができる場合(法第27条第1項)】
[1] 法令に基づく場合
[2] 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難で
あるとき。
[3] 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を
得ることが困難であるとき。
[4] 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して
協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれ
があるとき。
※学術研究機関等とのデータのやり取りについても例外があります。
|
|
【第三者提供に該当しない場合(法第27条第5項各号)】
[1] 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を
委託することに伴って当該個人データが提供される場合
[2] 合併その他の事由による事業の承継に伴って個人データが提供される場合
[3] 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨
並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び
当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、
又は本人が容易に知り得る状態に置いているとき。
※外国にある事業者に個人データを提供する場合には、これらの例外規定は適用されず、個人情報保護法
第28条に基づき処理をする必要があります。 |
(5) |
個人データの漏えい、滅失又はき損の防止等、個人データの安全管理のために、適切な措置を講じなければなりません。(法第23条)そのための一例としては、次の措置を講ずることが考えられます*4。
【安全管理措置】
個人データの適正な取り扱い確保のための基本方針の設定および個人データの具体的な取り扱い関する
規律を規律を整備することに加えて、次の各管理を実践することが考えられます。
① |
組織的安全管理措置
イ.組織体制の整備
ロ.個人データの取扱いに係る規律に従った運用
ハ.個人データの取扱状況を確認する手段の整備
ニ.漏えい等の事案に対応する体制の整備
ホ.取扱状況の把握及び安全管理措置の見直し
|
② |
人的安全管理措置
イ.従業者の教育 |
③ |
物理的安全管理措置
イ.個人データを取り扱う区域の管理
ロ.機器及び電子媒体等の盗難等の防止
ハ.電子媒体等を持ち運ぶ場合の漏えい等の防止
ニ.個人データの削除及び機器、電子媒体等の廃棄
|
④ |
技術的安全管理措置
イ.アクセス制御
ロ.アクセス者の識別と認証
ハ.外部からの不正アクセス等の防止
ニ.情報システムの使用に伴う漏えい等の防止
|
➄ |
外的環境の把握
|
|
|
*4 詳細は、https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a10(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(令和3年10月一部改正版)の別添10)を参照してください。なお、事業の規模及び性質、個人データの取扱状況、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とするべきであるため、そのすべてを実施する必要があるとは限りませんが、可能な限りこれらを実施することが、より望ましい対応です。同ガイドラインには、中小規模事業者における手法の例示も記載されていますので、該当する事業者はそちらも参照してください。 |
(6) |
個人情報取扱事業者は、個人データを取り扱う従業者を適切に監督しなければなりません。(法第24条)
|
(7) |
個人データの取扱いを委託*5する場合は、委託先を必要かつ適切に監督しなければなりません。(法第25条)そのために、次の措置を講ずることが考えられます。
【委託先の監督】
① |
適切な委託先の選定 |
② |
委託契約の締結 (次の事項を委託契約時に明確にすることが望ましい)
イ.個人データの安全管理に関する事項
ロ.個人データの取扱いの再委託を行う場合の委託元への報告とその方法
ハ.個人データの取扱い状況に関する委託者への報告内容と頻度
ニ.委託契約の内容、期間が遵守されていることの確認
ホ.委託契約の内容、期間が遵守されなかった場合の措置
ヘ.個人データの漏えい等の事故が発生した場合の報告・連絡に関する事項
ト.個人データの漏えい等の事故が発生した場合の委託元と委託先の責任の範囲 |
③ |
委託先における個人データ取扱い状況の把握
|
|
|
|
|
*5 個人データの取扱いの「委託」とは、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいい、個人データの入力(本人からの取得を含む)、編集、分析、出力等の処理の委託が想定されます(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(令和3年10月一部改正版))。 |
(8) |
本人又は代理人から本人が識別される保有個人データ*6の開示、訂正、追加、削除、利用停止、消去、第三者提供の停止を求められた場合又は第三社提供記録の開示を求められた場合には、原則としてこれに応じなければなりません。(法第33条〜第35条)
*6 保有個人データ:個人情報取扱事業者が、本人又はその代理人から請求される開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全てに応じることができる権限を有する個人データをいいます。(法第16条第4項) |