<疑 問 Question>
このQ&Aの中で、「個人情報保護法」や「法」とあるのは、いずれも、「個人情報の保護に関する法律」のことです。
総 論
Q2 「個人に関する情報」とはどのような意味ですか? 個人の評価に関する情報も含まれるのですか?
定 義
Q3 個人情報保護法の義務の対象である「個人情報取扱事業者」とは、どのような者をいうのですか?
Q4 NPO法人や自治会・町内会、同窓会のような非営利の活動を行なっている団体も「個人情報取扱事業者」として、個人情報保護法の規制を受けるのですか?
Q6 年賀状を出す目的で、知人の個人情報をデータベース化して管理していますが、個人情報保護法上、何らかの義務が発生しますか?
取得・利用
Q7 カメラで撮影した映像や録音した音声は、「個人情報」に該当しますか?
カメラで個人を勝手に撮影することは、個人情報保護法違反になりますか?
第三者提供
Q8 統計調査については、個人情報保護法があるのだから、個人情報に関することは答えなくてもよいですか?
Q9 個人情報保護法ができたことにより、学校や地域社会において名簿を作成・配布することはできなくなったのですか?
Q12 本人からの同意を得なくても個人情報を提供できる場合には、どのような例がありますか?
Q13 行事で撮影された写真などを、施設内に展示したり、職員に提供したりする場合、写真に写っている本人に事前に同意を求める必要がありますか?
Q14 スポーツクラブや同好会の会員名簿を作成し、会員の競技成績や記録を氏名と共に公表したいと考えています。その際、会員全員から、あらかじめ同意を得る必要がありますか?
Q15 会員名簿を全員に配布する際にはどのような点に注意が必要ですか?
Q16 災害に備えて高齢者などの情報を地域で共有しておきたいのですが?
Q17 弁護士法第23条の2に基づき、当社社員の情報について弁護士会から照会があった場合、当該社員の同意を得ずに弁護士会に当該社員情報を提供してもよいですか?
Q19 製品に重大な欠陥があり、当該製品を回収するために製造会社から販売店に対して顧客情報の提供依頼があった場合、当該顧客の同意を得ずに提供できますか?
Q20 外来患者を氏名で呼び出したり、病室における入院患者の氏名を掲示したりする場合の留意点は何ですか。ナースステーション内における入院患者の氏名の掲示についてはどうですか?
Q21 入院患者・入所者の知り合いと名乗る人が面会に見えたときに病室を教えることは問題となりませんか?
Q23 上記のような状況において、報道機関や地方公共団体等から身元不明の患者に関する問い合わせがあった場合、当該患者の情報を提供することはできますか?
苦情処理
Q24 事業者から送付を希望していないダイレクトメールが送られてきて、困っています。個人情報保護法により、送付を止めることはできますか?
Q25 個人情報取扱事業者における個人情報の取扱に関して苦情がある場合、どこに相談すればよいですか?
個人情報取扱事業者の義務
Q26 個人情報取扱事業者には、個人情報保護法でどのような義務が課せられていますか?
※個人情報取扱事業者とは、5,000人を超える個人情報を、紙媒体・電子媒体を問わず、データベース化してその事業活動に利用している者のことです。
<回 答 Answer>
総 論
Q1 どのようなものが「個人情報」に当るのですか?
A1 生存する個人に関する情報であって、この情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものが、個人情報に該当します。(個人情報保護法第2条第1項)(内閣府国民生活局「個人情報保護法に関するよくある疑問と回答」)
Q2 「個人に関する情報」とはどのような意味ですか?
個人の評価に関する情報も含まれるのですか?
A2 「個人に関する情報」とは、氏名、性別、生年月日、職業、家族関係などの事実に係る情報のみではなく、個人に関する判断・評価に関する情報も含め、個人と関連づけられるすべての情報を意味します。(内閣府国民生活局「個人情報保護法に関するよくある疑問と回答」)
定 義
Q3 個人情報保護法の義務の対象である「個人情報取扱事業者」とは、どのような者をいうのですか?
A3 個人情報保護法に定める義務の対象となる「個人情報取扱事業者」とは個人情報データベース等を事業の要の供している者をいいます。
ただし、事業の用に供する個人情報データベース等を構成する個人情報によって特定される個人の数の合計が、過去6か月以内のいずれかの日においても5千を超えない者は除外されます。
これら個人情報取扱事業者から除外される者(たとえば、一般私人や小規模な事業者)については、個人情報保護法の義務は課せられません。なお、個人情報保護法の義務は課せられないとしても、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない」(法第3条)という個人情報保護法の基本理念を尊重して、個人情報の保護に自主的に取り組むことが望ましいところです。(内閣府国民生活局「個人情報保護法に関するよくある疑問と回答」)
Q4 NPO法人や自治会・町内会、同窓会のような非営利の活動を行なっている団体も「個人情報取扱事業者」として、個人情報保護法の規制を受けるのですか?
A4 個人情報保護法にいう「事業」とは、一定の目的をもって反復継続的に遂行される同種の行為の総体をさすものであり、営利・非営利の別を問いません。したがって、非営利の活動を行なっている団体であっても個人情報保護法の義務規定の対象となり得ます。
ただし、自治会や町内会については、5千人を超える者で構成される組織は少ないことから、「個人情報取扱事業者」に該当しないことがほとんどであると考えられます。(内閣府国民生活局「個人情報保護法に関するよくある疑問と回答」
Q5 電話番号や住所だけでも個人情報に該当しますか?
A5 電話番号や住所だけでは、基本的には個人情報に該当しません。ただし、その他の情報と容易に照合でき、それによって特定の個人を識別できることができれば、その情報と併せて全体として個人情報に該当することはありますので、ケースバイケースでの判断が必要です。(経済産業省「個人情報保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A)
Q6 年賀状を出す目的で、知人の個人情報をデータベース化して管理していますが、個人情報保護法上、何らかの義務が発生しますか?
A6 個人情報保護法では、一定以上の個人情報を事業に利用する「個人情報取扱事業者」が義務規定の対象になります。従って、個人的に年賀状を出すなど、私的な目的で個人情報を扱う場合は、義務規定の対象とはなりません。(内閣府国民生活局「個人情報保護法に関するよくある疑問と回答」)
取得・利用
Q7 カメラで撮影した映像や録音した音声は、「個人情報」に該当しますか?
カメラで個人を勝手に撮影することは、個人情報保護法違反になりますか?
A7 カメラで撮影した映像も、それによって特定の個人が識別できるのであれば、「個人情報」に当たります。
したがって、個人情報取扱事業者は、その利用目的をできるだけ特定し(法第15条)、その範囲内で取り扱う(法第16条)ことが必要です。また、偽りその他の不正な手段によって個人情報を取得してはならない(法第17条)ことから、個人情報取扱事業者は、例えば、不正の意図をもって隠し撮りする等の行為をしてはならないと解されます。
なお、例えば、学校の運動会の様子を保護者がカメラで撮影する場合など、個人情報取扱事業者でない者が、私的な目的で撮影する場合については、個人情報保護法の義務規定の対象とはなりません。(内閣府国民生活局「個人情報保護法に関するよくある疑問と回答」)
第三者提供
Q8 統計調査については、個人情報保護法があるのだから、個人情報に関することは答えなくてもよいですか?
A8 国勢調査や労働力調査などの統計調査については、個人情報保護法とは別に統計法によって申告が義務付けられています。
なお、統計調査で得られた情報(人、法人又はその団体の秘密に関する事項)については、統計法により関係者に守秘義務が課せられており、保護されます。(内閣府国民生活局「個人情報保護法に関するよくある疑問と回答」)
Q9 個人情報保護法ができたことにより、学校や地域社会において名簿を作成・配布することはできなくなったのですか?
A9 そういうことはありません。
個人情報保護法の義務規定の対象である個人情報取扱事業者は、個人情報の適正な取得や利用目的の通知等のルールを守れば、本人の同意なく各種名簿を作成すること自体は可能です。これを配布するときに本人の同意が必要になります。具体的な手続の例などについては、 Q10 をご参照下さい。(内閣府国民生活局「個人情報保護法に関するよくある疑問と回答」)
Q10 名簿を配布するには、どのようにすればよいですか?
A10 個人情報保護法の義務規定の対象である個人情報取扱事業者は、以下のいずれかの手続を行なえば、名簿を配布することができます。
(1)配布する際に本人の同意を得る場合
例:個人情報取扱事業者である私立学校においてクラス名簿や緊急連絡網などを配布する。
・入学時や新学期の開始時に、「生徒の氏名、住所など学校が取得した個人情報については、クラス名簿や緊急連絡網として関係者へ配布する」ことを明示し、同意の上で所定の用紙に個人情報を記入・提出してもらう。
※例えばクラス全員から同意を得られなかった場合にも、同意を得ることができた人のみを掲載した名簿を配布することはできます。
(2)同意に代わる措置をとる場合
個人情報取扱事業者は、以下の(@)〜(C)についてあらかじめ、@又はAのいずれかの措置を取った上で、作成した名簿を配布することができます。
@本人に郵便、電話、電子メール等で通知する
A事務所の窓口への掲示・備付け、ホームページへの掲載等によって、本人が容易に知ることができる状態に置く
(@) 利用目的(例 緊急連絡網として配布)
(A) 名簿の内容(例 氏名、住所)
(B) 提供方法(例 関係者へ配布)
(C)
本人の求めにより名簿から削除すること
(内閣府国民生活局「個人情報保護法に関するよくある疑問と回答」)
Q11 オプトアウトとは、どのような仕組みですか?
A11 いわゆる「オプトアウト」とは、本人の求めに応じて個人データの第三者提供を停止することとしている場合であって、かつ、一定の事項をあらかじめ通知等している場合は、本人の同意を得ずに第三者に提供することが可能となる仕組みです(法第23条第2項)。具体的には、以下の事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状況に置くことが必要です。
(1)第三者への提供を利用目的とすること
(2)第三者に提供される個人データの項目
(3)第三者への提供の手段又は方法
(4)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
このような仕組みを活用することにより、たとえば、(1)緊急連絡網として配布すること、(2)名簿の内容(例:氏名、住所)、(3)提供方法(例:関係者へ配布)、(4)本人の求めにより名簿から削除すること、の4点について、あらかじめ、郵便、電話、電子メール等で本人に通知するか、又は本人が容易に知り得る状況に置く(例:事務所の窓口への掲示・備付け、ホームページへの掲載)ことにより、作成した名簿を配布することが可能です。(内閣府国民生活局「個人情報保護法に関するよくある疑問と回答」)
Q12 本人からの同意を得なくても個人情報を提供できる場合には、どのような例がありますか?
A12 以下の場合は、例外として本人から同意を得なくても、本人以外の者に個人情報を提供することができます。
(1)法令に基づく場合
・警察や検察等から、刑事訴訟法に基づく捜査関係事項照会があった場合
・弁護士会から、振り込め詐欺に関し、銀行に対して弁護士法に基づく所要の弁護士会照会があった場合
・地方公共団体や統計調査員から、指定統計調査に際し、不動産会社、マンション管理会社・管理人等に対して、統計法に基づく照会や協力依頼があった場合 など
(2)人の生命、身体又は財産の保護に必要な場合
・大規模災害や事故等の緊急時に、患者の家族等から医療機関に対して、患者に関する情報提供依頼があった場合
・製品に重大な欠陥があるような緊急時に、メーカーから家電販売店に対して、顧客情報の提供依頼があった場合 など
(3)公衆衛生・児童の健全育成に特に必要な場合
・地域がん登録事業において、地方公共団体から医療機関に対して、がんの診療情報の提供依頼があった場合 など
(4)国等に協力する場合
・税務署等から事業者に対して、任意の顧客情報の提供依頼があった場合 など
(内閣府国民生活局「個人情報保護法に関するよくある疑問と回答」)
Q13 行事で撮影された写真などを、施設内に展示したり、職員に提供したりする場合、写真に写っている本人に事前に同意を求める必要がありますか?
A13 個人情報保護法において、第三者提供に際して本人の同意を得なければならないのは、個人情報データベース等を構成する個人情報(個人データ)の取扱いです。
行事で撮影された写真等については、そのまま保存するような場合は、通常、特定の個人情報を容易に検索できるものとは言えません。このような場合、当該写真等は「個人データ」には該当しないため、事業者がそれを展示したり、ホームページや広報誌に掲載したり関係者に提供したりすることについて、個人情報保護法の第23条の本人の同意を求める手続は必要ありません。
なお、その写真などにより本人を識別できる場合には、少なくとも「個人情報」に該当しますので、利用目的を公表等するほか、例えば、展示期間を限定したり、不特定多数の者への提供には本人の同意を求めたりするなどの自主的な取組みが必要です。(内閣府国民生活局「個人情報保護法に関するよくある疑問と回答」)
<写真の掲載と肖像権>
写真の掲載や提供については、「肖像権」の問題が生じるケースが考えられます。
肖像権については、法律上の規定はありませんが、有名人の肖像を無断で利用することが経済的な権利の侵害として損害賠償請求の対象となることがあります。一般人の肖像の無断使用についても、プライバシー侵害の一種として損害賠償の問題がありうるとされています。(大分県「私たちの日常生活における個人情報の取扱いQ&A」)
Q14 スポーツクラブや同好会の会員名簿を作成し、会員の競技成績や記録を氏名と共に公表したいと考えています。その際、会員全員から、あらかじめ同意を得る必要がありますか?
A14 公表等により個人データを第三者に提供するに当たっては、原則として、あらかじめ本人の同意を得ることが必要です。ただし、本人の求めに応じて第三者提供を停止することとしている場合であって、かつ、一定の事項をあらかじめ通知等しているときは、本人の同意を得ずに第三者に提供することが可能です(いわゆるオプトアウト)。
また、全員の同意が取れなかった場合も、同意を得ることができた人のみを掲載した名簿を公表することはできます。
なお、事業の用に供する個人データの数が5,000以下であるスポーツクラブや同好会については、個人情報保護法の義務規定の対象にはなりません。(内閣府国民生活局「個人情報保護法に関するよくある疑問と回答」)
Q15 会員名簿を全員に配布する際にはどのような点に注意が必要ですか?
A15 まず、個人情報を取得するときに、明示する利用目的の中に配布する旨が含まれていることが必要です。その際には、どのような範囲にどのような頻度で配布するのかなど、会員が理解しておくべき内容が分かりやすく示されていることが望ましいといえます。
つぎに、第三者提供についての本人の同意等の措置が必要です。少なくとも、会員が掲載を希望しない項目については掲載しないこととするなどの措置が必要になります。
その他、個人データの安全管理措置等、個人情報保護法の一般的な義務が課せられます。(経済産業省「個人情報保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A)
Q16 災害に備えて高齢者などの情報を地域で共有しておきたいのですが?
A16 緊急の場合に備えてひとり暮らしの高齢者の連絡先などを地域で共有することは、災害時に迅速な支援を行なうために効果的ですが、一方でこのような情報が万一外部に漏れた場合には、詐欺や空き巣などの犯罪に悪用される危険性が高いため、情報の利用可能者を必要最小限にするなど特に厳重に管理する必要があります。また、収集の際には本人又は近親者の同意を取るようにしましょう。
なお、事故や災害が起こったときに、被害者の家族等への連絡その他被害者の生命、身体、財産等を保護するため緊急の必要がある場合には、本人の同意を得なくても個人情報の利用、提供は可能です。
Q17 弁護士法第23条の2に基づき、当社社員の情報について弁護士会から照会があった場合、当該社員の同意を得ずに弁護士会に当該社員情報を提供してもよいですか?
A17 弁護士法第23条の2に基づく弁護士会からの照会に対する回答は「法令に基づく場合」に該当するため、照会に応じて提供する際に本人の同意を得る必要はありません。
なお、弁護士法第23条の2に基づく弁護士会からの照会は、強制力を伴わないものの、一般に回答する義務があるものと解されており、同照会制度の目的に即した必要性と合理性が認められる限り、一般に回答すべきと考えられます。(経済産業省「個人情報保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A)
Q18 刑事訴訟法第197条第2項に基づき、警察から顧客に関する情報について照会があった場合、顧客本人の同意を得ずに回答してもよいですか、同法第507条に基づき、検察官から裁判の執行に関する照会があった場合はどうですか?
A18 警察や検察等の捜査機関からの照会(刑事訴訟法第197条第2項)や、検察官及び裁判官等からの裁判の執行に関する照会(同法第507条)に対する回答は、「法令に基づく場合」に該当するため、これらの照会に応じて顧客情報を提供する際に本人の同意を得る必要はありません。
なお、これらの照会は、いずれも、捜査や裁判の執行に必要な場合に行なわれるもので、相手方に回答すべき義務を課すものと解されており、また、上記照会により求められた顧客情報を本人の同意なく回答することが民法上の不法行為を構成することは、通常考えにくいため、これらの照会には、一般に回答すべきと考えられます。ただし、照会に応じ警察等に対して顧客情報を提供する場合には、当該情報提供を求めた捜査官等の役職、氏名を確認するとともに、その求めに応じ提供したことを後日説明できるようにしておくことが必要と思われます。(経済産業省「個人情報保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A)
Q19 製品に重大な欠陥があり、当該製品を回収するために製造会社から販売店に対して顧客情報の提供依頼があった場合、当該顧客の同意を得ずに提供できますか?
A19 製品の不具合が重大な事故を起こす危険性がある場合で、購入者全員から同意を得るための時間的余裕もないときは、販売会社から購入者の情報を提供することは、法第23条第1項第2号(第三者提供制限の適用除外)で規定する「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当するため、購入者本人の同意を得る必要はありません。(経済産業省「個人情報保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A)
Q20 外来患者を氏名で呼び出したり、病室における入院患者の氏名を掲示したりする場合の留意点は何ですか。ナースステーション内における入院患者の氏名の掲示についてはどうですか?
A20 患者の氏名は、個人を識別できる情報であり、「個人情報」に該当します。このため、患者から、他の患者に聞こえるような氏名による呼び出しをやめて欲しい旨の要望があった場合には、医療機関は、誠実に対応する必要があります。
一方、患者の氏名の呼び出しや掲示が、患者の取り違え防止や、入院患者にとっての自分の病室の確認、あるいは見舞いに来た人等の便宜に資する面もあります。また、自分の氏名等を別の患者に聞かれることについて、どのように受け止めるかは、患者の考え方や年齢、通院・入院の原因となる傷病の種類等によって様々です。ナースステーション内の掲示についても、基本的な考え方は同じであり、看護を的確に実施していくために必要な氏名の掲示等が禁止されるわけではありません。ただし、看護職員からは見易く通路からは見えにくい位置に掲示することが可能であれば、そうした配慮も必要です。
こうしたことを踏まえ、医療機関では、患者本人の希望を踏まえ、個人情報の保護を含めた適切な医療を行なうという観点に立って、対応可能な方法を取ることが必要です。
(厚生労働省「医療・介護関係事業者における個人情報の適正な取扱のためのガイドライン」に関するQ&A(事例集))
Q21 入院患者・入所者の知り合いと名乗る人が面会に見えたときに病室を教えることは問題となりませんか?
A21 患者・利用者の氏名は、個人を識別できる情報であり、「個人情報」に該当します。
このため、入院患者・入所者から、面会等の外部からの問い合わせへの回答をやめて欲
しい旨の要望があった場合には、医療・介護関係事業者は、誠実に対応する必要があり
ます。
たとえば、入院患者・入所者から特段の申し出がない場合で、その人が入院・入所していることを前提に面会に見えていることが確認できるときに、院内の案内として教えることは問題とならないと思われますが、入院・入所の有無を含めた問い合わせに答えることについては問題となる可能性があります。
また、医療・介護関係事業者における対応については、職員によって対応が異なることがないよう、統一的な取扱いを定めておくことも必要であり、本件については、あらかじめ、入院患者・入所者に対して面会の問い合わせに答えていいか確認しておくことが望ましいと考えます。(厚生労働省「医療・介護関係事業者における個人情報の適正な取扱のためのガイドライン」に関するQ&A(事例集))
Q22 大規模災害や事故等で、意識不明で身元の確認できない多数の患者が複数の医療機関に分散されて搬送されている場合に、患者の家族又は関係者と称する人から、患者が搬送されているかという電話での問い合わせがありました。相手が家族等であるか十分に確認できないのですが、患者の存否情報を回答してもよいでしょうか?
A22 患者が意識不明であれば、本人の同意を得ることは困難な場合に該当します。また、個人情報保護法第23条第1項第2号の「人の生命、身体又は財産の保護のために必要がある場合」の「人」には、患者本人だけではなく、第三者である患者の家族や職場の人等も含まれます。
このため、このような場合は、第三者提供の例外に該当し、本人の同意を得ずに存否情報等を回答することができ得ると考えられるので、災害の規模等を勘案して、本人の安否を家族等の関係者に迅速に伝えることによる本人や家族等の安心や生命、身体又は財産の保護等に資するような情報提供を行なうべきと考えます。
なお、「本人の同意を得ることが困難な場合」については、本人が意識不明である場合等のほか、医療機関としての通常の体制と比較して、非常に多数の傷病者が一時に搬送され、家族等からの問い合わせに迅速に対応するためには、本人の同意を得るための作業を行なうことが著しく不合理と考えられる場合も含まれるものと考えます。(厚生労働省「医療・介護関係事業者における個人情報の適正な取扱のためのガイドライン」に関するQ&A(事例集))
Q23 上記のような状況において、報道機関や地方公共団体等から身元不明の患者に関する問い合わせがあった場合、当該患者の情報を提供することはできますか?
A23 報道機関や地方公共団体等を経由して、身元不明の患者に関する情報が広く提供されることにより、家族等がより早く患者を探しあてることが可能になると判断できる場合には、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるき」に該当するので、医療機関は、存否確認に必要な範囲で、意識不明である患者の同意を得ることなく患者の情報を提供することが可能と考えられます。具体的な対応については、個々の事例に応じて医療機関が判断する必要があります。(厚生労働省「医療・介護関係事業者における個人情報の適正な取扱のためのガイドライン」に関するQ&A(事例集))
苦情処理
Q24 事業者から送付を希望していないダイレクトメールが送られてきて、困っています。個人情報保護法により、送付を止めることはできますか?
A24 個人情報保護法上、個人情報取扱事業者が保有個人データの利用停止の求めに応じる義務があるのは、個人情報が本人の同意なく目的外利用されている場合(法第16条違反)や個人情報が不正に取得された場合(法第17条違反)に限られています。
ただし、個人情報取扱事業者は個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めることとされていますので(法第31条第1項)、まずはその個人情報取扱事業者の苦情相談窓口に相談してみることが考えられます。また、事業者によっては、消費生活センターなどに相談することが有効な場合もあると考えられます。(内閣府国民生活局「個人情報保護法に関するよくある疑問と回答」)
Q25 個人情報取扱事業者における個人情報の取扱に関して苦情がある場合、どこに相談すればよいですか?
A25 個人情報保護法は、個人情報取扱事業者自身の取組によって苦情を解決することを基本としつつ、認定個人情報保護団体、地方公共団体等が苦情の処理に関わる複層的な仕組みをとっています。
個人情報取扱事業者の個人情報の取扱いに関して苦情がある場合、まず、その個人情報取扱事業者の苦情受付窓口に申し出、当事者間での解決を図ることが一般的です。当事者間でなお解決しない場合には、認定個人情報保護団体や、消費生活センターなど地方公共団体の窓口、国民生活センターなどに相談することも可能です。(内閣府国民生活局「個人情報保護法に関するよくある疑問と回答」)
個人情報取扱事業者の義務
Q26 個人情報取扱事業者には、個人情報保護法でどのような義務が課せられていますか?
※個人情報取扱事業者とは、5,000人を超える個人情報を、紙媒体・電子媒体を問わず、データベース化してその事業活動に利用している者のことです。
A26
○個人情報の利用目的の特定(法第15条)、目的外利用の禁止(法第16条)
個人情報を取り扱うに当たっては、利用目的をできるだけ特定しなければなりません。
また、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはなりません。
○適正な取得(法第17条)、取得時の利用目的の通知等(法第18条)
偽りその他不正な手段によって個人情報を取得してはなりません。
個人情報を取得したときは、本人に速やかに利用目的を通知又は公表しなければなりません。また、本人から直接書面で取得する場合には、あらかじめ本人に利用目的を明示しなければなりません。
○個人データ内容の正確性の確保(法第19条)
利用目的の範囲内で、個人データを正確かつ最新の内容に保つよう努めなければなりません。
○安全管理措置(法第20条)
個人データの漏えいや滅失を防ぐため、必要かつ適切な安全措置を講じなければなりません。
・セキュリティ確保のためのシステム、機器等の整備
・事業者内部の責任体制の確保など
○従業者・委託先の監督(法第21条、第22条)
安全に個人データを管理するために、従業員に対し必要かつ適切な監督を行なわなければなりません。
また、個人データの取扱いについて委託する場合には、委託先に対して必要かつ適切な監督を行なわなければなりません。
※
従業員とは、正社員のみでなく、役員、契約社員、アルバイト等も含みます。
○第三者提供の制限(法第23条)
あらかじめ本人の同意を得ないで、本人以外の者(第三者)に個人データを提供してはいけません。
ただし、一定の条件を満たす場合には、本人の同意を得ずに、第三者提供ができます。
○利用目的の通知、開示、訂正、利用停止等(法第24条〜第27条)
保有個人データの利用目的、開示当に必要な手続、苦情の申出先等について本人の知り得る状態に置かなければなりません。
本人からの求めに応じて、保有個人データを開示しなければなりません。
保有個人データの内容に誤りのあるときは、本人からの求めに応じて、利用目的の達成に必要な範囲内で、調査し、訂正等を行なわなければなりません。
保有個人データを法の義務に違反して取り扱っているときは、本人からの求めに応じて、利用停止等を行なわなければなりません。
○苦情の処理(法第31条)
本人から苦情などの申出があった場合は、適切かつ迅速な処理に努めなければなりません。
本人からの苦情を、適切かつ迅速に処理するため、苦情受付窓口の設置、苦情処理手順の策定など必要な体制の整備に努めなければなりません。
〔出典:内閣府国民生活局 「わかりやすい個人情報保護のしくみ」〕
関係省庁が、各事業分野の実情に応じた個人情報保護法のガイドラインを定めています。