ページの先頭です。 メニューを飛ばして本文へ

個人情報の取り扱いのルール

印刷 文字を大きくして印刷 更新日:2018年12月10日更新
<外部リンク>

(1)取得利用に関するルール

取得・利用に関するルールの概要図
取得・利用に関するルールの概要図

  1. 個人情報を取り扱うに当たっては、個人情報の利用目的をできる限り特定しなければなりません。(15条)
    • 具体的に利用目的を特定している事例
      • 「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用します。」
      • 「ご記入いただいた氏名、住所、電話番号は、名簿として販売することがあります。」
    • 具体的に利用目的を特定していない事例
      • 「事業活動に用いるため」
      • 「提供するサービスの向上のため」
  2. 特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはなりません。(16条)
    利用目的の達成に必要な範囲を超えていると考えられる事例
    • 就職のための履歴書情報をもとに、自社の商品の販売促進のために自社取扱商品のカタログと商品購入申込書を送る場合
  3. 偽りその他不正な手段によって個人情報を取得してはなりません。(17条)
    不正の手段により個人情報を収集している事例
    • 親の同意がなく、十分な判断能力を有していない子どもから、取得状況から考えて関係のない親の収入事情などの家族の個人情報を取得する場合
  4. 個人情報を取得したときは、本人に速やかに利用目的を通知または公表しなければなりません。(18条1項)
  5. 本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければなりません。(18条2項)
    あらかじめ、本人に対し、その利用目的を明示しなければならない場合
    • 申込書、契約書に記載された個人情報を本人から直接収集する場合
    • アンケートに記載された個人情報を直接本人から取得する場合
  6. 保有個人データの利用目的、開示等に必要な手続苦情の申出先等について本人の知り得る状態に置かなければなりません。(24条1項)

(2)適正・安全な管理に関するルール

適正・安全な管理に関するルールの概要図
適性・安全な管理に関するルールの概要図

  1. 利用目的の達成に必要な範囲で、個人データを正確かつ最新の内容に保つよう努めなければなりません。(19条)
  2. 個人データを安全に管理しなければなりません。(20条)
    取り扱う個人データの漏えい、滅失またはき損の防止その他の個人データの安全管理のため、組織的、人的、物理的および技術的な安全管理措置を講じなければなりません。
  3. 従業者や委託先を監督しなければなりません。(21条、22条)
    20条に基づく安全管理措置を遵守させるよう、従業者および受託者に対して必要かつ適切な監督を行わなければなりません。

(3)第三者提供に関するルール

第三者提供に関するルールの概要図
第三者提供に関するルールの概要図

ア原則:個人情報取扱事業者は、あらかじめ本人の同意を得ないで、他の事業者など第三者に個人データを提供してはなりません。(23条1項)

第三者提供とされる事例

  • 親会社Aが子会社Bに個人データを提供する場合

第三者提供とされない事例(ただし利用目的による制限がある)

  • 事業部門で収集した個人データをその収集目的の範囲内で、営業部門に提供する場合。

イ例外1:

  1. 法令に基づく場合、
  2. 人の生命・身体または財産の保護に必要な場合、
  3. 公衆衛生・児童の健全育成に特に必要な場合、
  4. 国や地方公共団体等に協力する必要がある場合のような、個人情報の保護よりも優先する利益がある場合には、本人の同意を得ないで個人データを第三者に提供することが認められます。(23条1項1号?4号)

ウ例外2:オプトアウト方式が取られる場合にも第三者提供が認められます。(23条2項)

「オプトアウト」とは、提供を行うに当たり、1第三者への提供を利用目的とすること、2第三者に提供される個人データの項目、3第三者提供の手段または方法、4本人の求めに応じて第三者への提供を停止すること、をあらかじめ本人に通知し、または本人が容易に知りえる状態に置いておくとともに、本人の求めに応じて第三者への提供を停止することを言います。

オプトアウト方式を取ると考えられる事業者の例

  • 住宅地図業者(表札や郵便受けを調べて住宅地図を作成し、販売)(不特定多数への第三者提供)
  • データベース事業者(ダイレクトメール用の名簿等を作成し、販売)

エその他:個人データを委託先に提供する場合、事業の承継に伴い個人データが提供される場合や個人データを特定の者との間で共同して利用する場合は、第三者提供には該当しません。(23条4項)

(4)開示等に応じるルール

開示などに応じるルールの概要図
開示などに応じるルールの概要図

個人情報取扱事業者は、本人から、保有個人データについて開示、内容の訂正・追加・削除、利用停止・消去を求められた場合には、原則としてこれに応じなければなりません。

  1. 利用目的の通知
    個人情報取扱事業者は、保有個人データについて次の情報を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合も含む)に置かなければならない。(24条1項)
    • ア個人情報取扱事業者の氏名または名称
    • イすべての保有個人情報の利用目的(ただし、一定の場合を除く)
    • ウ保有個人データの利用目的の通知および保有個人データの開示に係る手数料の額ならびに開示等の求めの手続
    • エ保有個人データの取扱いに関する苦情および問い合わせの申出先
  2. 保有個人データの開示
    個人情報取扱事業者は、本人から、自己が識別される保有個人データの開示を求められたときは、本人に対し、書面の交付の方法により、遅滞なく、当該個人情報を開示しなければならない。ただし、次の場合は、その全部または一部を開示しないことができる。(25条)
    • ア本人または第三者の生命、身体、財産その他の権利利益を害する恐れがある場合
    • イ個人情報取扱事業者の義務の適正な実施に著しい支障を及ぼす恐れがある場合
    • ウほかの法令に違反することとなる場合
  3. 保有個人データの訂正等(訂正・追加・削除)
    個人情報取扱事業者は、本人から、保有個人データに誤りがあり、事実出ないという理由のよって訂正等を求められた場合には、原則として、訂正等を行い、訂正等を行った場合には、その内容を本人に対し、遅滞なく通知しなければならない。(26条)
  4. 保有個人データの利用停止等(利用停止・削除)
    個人情報取扱事業者は、以下の場合に、本人から保有個人データの利用停止等を求められた場合には、原則として応じなければならない。(27条)
    • ア本人の同意なく保有個人データの目的外利用を行った場合
    • イ偽りその他不正の手段によって取得した場合
    • ウ本人の同意なく保有個人データを提供した場合