個人情報取扱事業者の義務について
1 個人情報の利用目的の特定(法17条)
利用目的の特定の程度は、会社の定款に定められている事業目的に照らし、利用目的達成に必要かどうかを判断できる程度に特定することが必要です。また、利用目的の変更は、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えることはできません。
2 個人情報の利用目的による制限(法18条)
予め本人の同意なく利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはいけません。例外はあります。
3 不適正な利用の禁止(法19条)
違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはいけません。
4 個人情報の適正な取得(法20条)
偽りその他不正な手段により個人情報を取得してはいけません。「偽りその他不正な手段」とは、犯罪行為と同視できるような違法行為を指します。親の同意なく判断能力が不十分な子どもから家族情報などを取得する場合も含まれると考えられます。
また、要配慮個人情報の取得には本人の同意が必要です。例外はあります。
※要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により被害を被った事実、身体障害、知的障害、精神障害等をいいます。
5 個人情報の取得に際しての利用目的の通知(法21条)
個人情報を取得した場合、予めその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知、又は公表しなければなりません。なお、取得の状況から利用目的が明かである場合は不要です。
また、本人から直接書面(電子的・磁気的記録含むが音声含まない)で個人情報を取得する場合は、予め利用目的を明示する必要があります。
なお、利用目的を変更した場合、変更された目的について本人に通知、又は公表しなければなりません。
以上について例外があります。
6 個人データの正確性の確保(法22条)
努力義務となります。
7 個人データの安全管理措置(法23条~法25条)
個人データの安全管理にために必要かつ適切な措置を講じなければなりません。経済産業省のガイドラインでは、組織的安全管理措置(従業員の責任と権限を明確に定め、規定の整備を行う)、人的安全管理措置(従業者に対する教育等)、物的安全管理措置(個人データの盗難防止措置等)、技術的安全管理措置(情報システムの監視や不正ソフトウェア対策等)が挙げられています。
また、従業者(従業員、派遣社員、取締役、監査役等)や業務委託先に対する必要かつ適切な監督をしなければなりません。
8 漏えい等の報告等(法26条)
取り扱うデータの漏洩、滅失、既存その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、速やかに(概ね3~5日以内)所定の事項を個人情報保護委員会に報告(速報)しなければなりません。また、30日又は60日以内に所定の事項について報告(確報)しなければなりません。個人データとの取り扱いを委託している場合は、委託元と委託先の双方に報告義務があります。また、本人に対しても当該自体が生じた旨を速やかに通知しなければなりません。なお、本人への通知方法は様式が法令上定められていません。例外あります。
※個人情報保護委員会とは、内閣府の外局と設置され、個人 の権利利益を保護するため、個人情報の適正な取扱いの確保を図ることを任務としています。
9 個人テータの第三者提供の制限(法27条~30条)
予め本人の同意を得ずに個人データを第三者に提供してはなりません。法律に基づく場合や人の生命、身体、財産の保護に必要な場合等の例外があります。また、オプトアウト要件を備えた場合も同様に予め同意は必要ありません。なお、資本関係等も全くない会社に限らず、親子会社やグループ会社も第三者に該当するが、業務の委託先は第三者に該当しません。また、共同利用の要件を満たした場合も第三者に該当しません。
そして、要件を満たして第三者提供した場合は、第三者提供をした年月日や相手方等について記録・保存する必要がある。第三者から個人データの提供を受けた場合も提供を受けた第三者、取得経緯、提供を受けた年月日を記録・保存(1~3年)する必要があります。
※オプトアウトとは、本人から事前の同意を得ずに、本人の求めがあった場合に個人データの第三者提供をやめるという形で個人データを第三者に提供することをいい、個人情報委員会に事前に所定の事項について届け出る必要があります。なお、要保護情報等については、本人の同意を要します。また、オプトアウトにより提供された個人データをオプトアウトにより再提供することはできません。
※共同利用とは、特定の者との間で共同して利用される個人データを当該特定の者に提供する場合であって、①共同して利用する旨、②共同して利用される個人データの項目、③共同して利用する者の範囲、④利用する者の利用目的、⑤当該個人データの管理についての責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名を予め本人に通知し、又は本人が容易に知り得る状態においている必要があります。
10 個人関連情報の第三者提供の制限(法31条)
第三者が個人関連情報(個人関連情報データベース等を構成するものに限る)を個人データとして取得することが想定されるときは、当該第三者が個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること確認し、記録を作成・保存する義務があります。
※個人関連情報とは、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表すすべての情報をいいます。例えば、クッキーを利用して収集された個人のウェッブサイト閲覧履歴や個人の商品購買履歴等をいいます。
11 保有個人データの利用目的の通知、開示、訂正、利用停止等(法32条~法36条)
すべての保有個人データの事業者の氏名又は名称、法人の場合は代表者氏名、利用目的、安全管理のために講じた措置、苦情の申出先、そして、開示手続や費用を定めた場合はその内容等について、本人の知りうる状態(本人の求めに応じて遅滞なく回答する場合含む)におかなければなりません。
そして、本人からの請求に応じて、保有個人データの利用目的を遅滞なく開示しなければなりません(利用目的が明かな場合など除く)。また、請求に応じて保有個人データを遅滞なく開示しなければなりません。ただし、事業者の業務の適正な実施に著しい支障を及ぼす恐れがある場合等には不開示とすることができます。上記内容は、第三者に提供した際の記録についても適用されます。
また、保有個人データの内容が事実でない場合は、本人は訂正、追加又は削除の請求をすることができ、事業者は遅滞なく調査を行い、その結果に基づき訂正等をしなければなりません。そして、訂正等を行ったとき、又は訂正等を行わない旨を決定したときは、遅滞なく本人に通知しなければなりません。
更に、事業者が利用目的による制限や適正な取得に違反している場合等には、本人は、事業者に対して、保有個人データの利用の停止、消去、第三者提供の停止を請求できます。これに対し、事業者は、違反が判明したときは、違反を是正するために必要な限度で、利用停止や消去、第三者提供の停止等を行わなければなりません。例外があります。
事業者、開示、訂正、利用停止等に関して、本人から求められた措置の全部または一部を行わない場合や異なる措置をとる場合は、本人に対し、その理由を説明する努力義務があります。
