個人情報保護法への対応(概要)


個人情報保護法とは何か?  

個人情報の有用性と個人の権益のバランスをとる。  プライバシー侵害とは別次元。


対象となる企業  

「個人情報取扱事業者」(2条3項)
・個人情報データベース等を事業の用に供している者。
  ただし、政令で、「過去6ヶ月の間に5000件を超える個人情報を取り扱ったことがない」事業者は、特例として除外。   
・6ヶ月以内に1日でも5000件あれば該当。   
・暫定的処置であることに注意。「法律」ではなく「政令」。
・ 法人、個人を問わない。
・ 営利、非営利を問わない。
「個人情報データベース等」(2条2項)
検索が可能な個人情報の集合をいう。検索を容易にするために工夫をした紙媒体に記録された情報も含む。     
例)50音順に整理した名刺。     例外)電話帳、住宅地図は政令で排除。


企業に課される義務

1.利用目的をできる限り特定すること(15,16条) 例)新商品の案内、アフターサービスのため。

2.個人情報を適正な方法で取得し、利用目的を事前または事後に通知または公表すること(17,18条)
   ただし、書面の場合は事前通知が必要(18条2項)。

3.データの内容の正確性を確保すること(19条) 誤りを発見したときの手続きを整備し、正確で最新の内容にするように努めなければならない。

4.データを安全管理し、従業者・委託者を監督すること(20〜22条)  組織的安全管理措置  個人情報保護管理者の設置 社内規定の整備と運用  個人データ取扱台帳の整備  安全管理措置の評価、見直し、改善・事故または違反への対処 など。  
人的安全管理措置  雇用時において非開示契約を締結  従業員に対する教育・訓練の実施 など。  
物理的安全管理措置  入退室管理  盗難対策  機器の物理的な保護 など。  
技術的安全管理措置  個人データへのアクセス認証  不正ソフトウェア対策 など。

5.第三者提供を制限すること(23条) 原則:第三者に個人情報を提供するには本人の同意が必要。 ※ 業務委託先は第三者にあたらない。 ※ 受ける側は提供の適法性を確認(不正取得になる可能性)。     
例外:公益目的、オプトアウト(事後的な利用停止)の場合。    
オプトアウトによる第三者提供の要件    
@本人の求めに応じて個人データの第三者への提供を停止することとしている。    
Aあらかじめ、次の事項を本人に通知し、又は本人が容易に知り得る状態に置いて いるとき。     
   1 第三者への提供を利用目的とすること。    
   2 第三者に提供される個人データの項目。    
   3 第三者への提供の手段又は方法。    
   4 本人の求めに応じて当該本人が識別される個人データの第三者への提供を 停止すること。

6.公表等、開示、訂正等、利用停止等(24〜27条)  
「保有個人データ」(削除等の権限がある6ヶ月以上にわたって保有する個人データ)に関する義務。
(1)保有個人データに関する事項の公表(問い合わせへの対応も含む)。 →名称、利用目的、手数料、苦情の申出先。
(2)保有個人データの利用目的の通知請求。
(3)保有個人データの開示。 →原則として書面(本人が望めばメール等でもよい)。
(4)保有個人データの訂正。 →誤りの訂正を求められた場合、利用目的から必要である場合、応じる義務。
(5)保有個人データの利用停止。 →本法に反するという理由が正当である場合、利用停止措置をとる義務。

7.苦情の処理をすること(31条) 窓口の設置、苦情処理手順の整備。

8.主務大臣の関与を受けること(32〜35条) 必要に応じ、勧告・命令・緊急命令を受ける。  
  →命令違反:6月以下の懲役又は30万円以下の罰金。 (違反した法人、役員、従業員が処罰される。)


企業のとるべき対応

・ プライバシーポリシー(個人情報保護方針)の策定。
・ 個人情報保護規定の策定。 ・ 業務分掌規定の見直し、策定。
・ 業務マニュアルの策定(個人情報保護対策窓口、PC管理、事故発生時 など)。
・ 契約書、就業規則、情報収集に用いる書面のフォーマットなどの見直し、整備。
・ 責任者の選任(個人情報取扱責任者、監督責任者)。
・ 役員・従業員の教育、教育計画案の策定。 具体的な進め方 。
    @取り扱う個人情報の洗い出し。
    A役員・従業員教育、責任者の選任。
    Bプライバシーポリシー、個人情報保護規定の策定。
    C業務マニュアルの策定。 
    D運用。
    E運用チェック(監査) 。
    F改善。



※休業中につき一部情報を非開示にしています。


メールでのお問い合わせはこちら(休止)