〈本人への周知義務〉
個人情報取扱業者は、保有個人データに関する事項について本人に周知する義務があります。
具体的には次の情報を本人の知りうる状態(ホームページへの掲載も可)に置かなければならないものとされています(個人情報保護法32条1項)。
①個人情報取扱事業者の氏名(名称)、住所
②すべての保有個人データの利用目的
③保有個人データの利用目的の通知の求め又は開示などの請求に応じる手続きや手数料の額
④保有個人データの安全管理のために講じた措置
⑤保有個人データの取扱いに関する苦情の申出先
次のような記載例がガイドラインに掲載されています。
(基本方針の策定)
個人データの適正な取り扱いの確保のため、「関係法令・ガイドライン等の遵守」「質問及び苦情処理の窓口等」についての基本方針を策定
(個人データの取り扱いに係る規律の整備)
個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備
(組織的安全管理措置)
整備した取り扱い方法に従って個人データが取り扱われていることを責任者が確認
(人的安全管理措置)
・個人データの取扱いに関する留意事項について、従業員に定期的な研修を実施
・個人データについての秘密保持に関する時効を就業規則に記載
(物理的安全管理措置)
・個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧できないような措置を実施
・個人データを取り扱う聞き、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施
(技術的安全管理措置)
・個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止
・個人データを取り扱う機器を外部からの不正アクセス又は不正ソフトウエアから保護する仕組みを導入
(外的環境の把握)
個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施
〈体制の整備〉
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならず、苦情の処理にあたっては、苦情処理窓口の設置や苦情処理の手順を定める等必要な体制の整備に努めなければなりません(個人情報保護法40条)。 この規定に関し、ガイドラインではプライバシーポリシーについて次のようなコメントをしています。
「本人との信頼関係を構築し事業活動に対する社会の信頼を確保するためには、プライバシーポリシーやプライバシーステートメント等といわれる個人情報保護を推進する上での考え方や方針を策定し、それをホームページへの掲載等によって子表紙、あらかじめ対外的にわかりやすく説明することが重要である。また、委託の有無、委託する事務の内容を明らかにするなど委託処理の透明化を図ることも重要である。」
アクセス
トータル
ランキング
