本文へスキップします。

H1

個人情報保護法の対象事業者の義務は?

コンテンツ


個人情報保護法 の対象事業者の義務は?

個人情報保護法の対象となる事業者(個人情報取扱事業者)は、個人情報の漏えい事故などが起こらないよう適切に取扱わなければなりません。
(1)  お客様から個人情報の提供を受けた場合、利用目的を具体的に特定し、その利用目的以外に使用してはいけません。(法第15条・第16条)
【具体的な特定例】
・  「郵便、電話、Eメールなどによる、車検、定期点検、イベントなどのご案内のために利用させていただきます。」
【具体的な特定と認められない例(漠然とした表現)】
・ 「当社の事業活動のために利用させていただきます。」
(2)  個人情報を、偽り等の不正な手段によって取得してはいけません。また、個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知、または公表しなければなりません。(法第17条・第18条)
【不正取得の例】
・ 本人の同意を得ないで車検証をコピーする。
【本人への通知方法例】
・ 電話、郵便、FAX、電子メール等
【公表の例】
・  社内における「個人情報保護に関する基本方針※」(プライバシーポリシー)をポスター等で店頭に掲示することや、自社のホームページ上に掲載すること等
※「個人情報保護に関する基本方針」(プライバシーポリシー)とは、
個人情報の保護のために、社内においてどのような管理体制で取り組んでいくのかという基本姿勢を社内外に向けて示す宣言です。この「個人情報保護に関する基本方針」は、可能な限り見やすいところ(店頭やホームページ)に掲示することが望まれます。
(3)  個人データは、正確かつ最新の内容に保つよう努めなければなりません。(法第19条)
(4)  個人情報を第三者へ提供する(別法人等に提供すること)場合は、あらかじめ本人の同意を得る必要があります。(法第23条)
【第三者提供とされる例】
・ 親子兄弟会社、グループ会社の間で個人データを交換する場合
第三者提供とされない例】
・ 同一社間で他部署等へ個人データを提供する場合
(5)  個人データの漏えい、滅失又はき損の防止等、個人データの安全管理のために、適切な措置を講じなければなりません。(法第20条)そのために、次の措置を講ずるように努めることとされています。
【安全管理措置】
[1]  組織的安全管理
イ.個人情報保護管理者の設置
ロ.個人データの安全管理措置を講じるための組織体制の整備
ハ.個人データの安全管理措置を定める規程等の整備と規程等に従った運用
ニ.個人データ取扱台帳の整備
ホ.個人データの安全管理措置の評価、見直し及び改善
ヘ.事故又は違反への対処について手続きの策定
[2]  人的安全管理
イ.従業者の雇用及び委託契約時における非開示契約の締結
ロ.従業者に対する教育、啓発の実施
個人情報取扱事業者
[3]  物理的安全管理
イ.入退館(室)管理の実施
ロ.盗難等に対する対策
ハ.機器、装置等の物理的な保護
[4]  技術的安全管理
イ.個人データへのアクセスにおける識別と認証
ロ.個人データへのアクセス制御
ハ.個人データへのアクセス権限の管理
ニ.個人データのアクセス記録
ホ.個人データを取扱う情報システムに対する不正ソフトウェア対策
ヘ.個人データの移送・通信時の対策
ト.個人データを取扱う情報システムの動作確認時の対策
チ.個人データを取扱う情報システムの監視
(6)  個人情報取扱事業者は、個人データを取扱う従業者を適切に監督しなければなりません。(法第21条)
(7)  個人データの取扱いを委託する場合は、委託先を適切に監督しなければなりません。(法第22条)そのために、次の措置を講ずるように努めることとされています。
[1]  委託先の選定基準を設けること
[2]  次の事項を委託契約時に明確にすること。
イ.個人データの安全管理に関する事項
ロ.個人データの取扱いの再委託を行う場合の委託元への報告とその方法
ハ.個人データの取扱い状況に関する委託者への報告内容と頻度
ニ.委託契約の内容、期間が遵守されていることの確認
ホ.委託契約の内容、期間が遵守されなかった場合の措置
ヘ.個人データの漏えい等の事故が発生した場合の報告・連絡に関する事項
ト.個人データの漏えい等の事故が発生した場合の委託元と委託先の責任の範囲
(8)  本人又は代理人から保有個人データの開示、訂正、追加、削除、利用停止、消去、第三者提供の停止を求められた場合には、原則としてこれに応じなければなりません。(法第25〜第27条)