コンプライアンス

『個人情報取扱事業者』として守るべき4つの義務とは?

by 弁護士 小野智博

個人情報とは?

個人情報保護法では、“個人情報”を以下のように定義しています。

生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)』(個人情報保護法第2条第1項・一部要約)。

また、経済産業分野を対象とするガイドラインによると、『“個人に関する情報”は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表すすべての情報』と定められており、顔写真やDNA、指紋、虹彩はもちろん、旅券番号や基礎年金番号、免許証番号、マイナンバーなどの“個人識別符号”も個人情報に含まれます。

では、個人情報はどのように保護すればいいのでしょうか?

 

遵守すべきルールとは?

個人情報取扱事業者には、主に以下の4つのルールが課せられています。

(1)取得・利用について

・ “新商品のご案内送付のため”や“アフターサービスご案内のため”など、利用目的を具体的に特定し、本人に通知、または公表したうえで、その範囲内でのみ利用すること。

(2)保管について

・ 『紙媒体の書類は、施錠可能な引き出しに保管する』・『パソコンで管理する場合は、ファイルにパスワードを設定する』など、個人情報取り扱いのルールを定め、従業員に周知・教育を行い、漏えいなどが生じないよう安全に管理すること。
・ 個人情報を委託する場合は、委託先にも安全管理の徹底を求めること。

(3)提供について

・ 第三者に提供する場合は、あらかじめ本人の同意を得ること。
・ 第三者に提供した場合、および第三者から提供を受けた場合は、“いつ・誰の・どんな情報を・『誰に提供』もしくは『誰から提供』”などについて記録し、原則3年間は保管すること。

(4)本人からの開示請求への対応について

・ 本人からの開示等の請求があった場合は、これに対応すること。
・ 苦情等に適切かつ迅速に対応すること。

 

社内でルールを徹底するためには、就業規則に個人情報保護に関する規定を加え、マニュアルを作成するなどの環境整備が必要です。
情報漏えいが起きてしまったときの対応も含め、危機管理に関しては弁護士などの専門家に相談することをおすすめします。

 

※本記事の記載内容は、執筆日現在の法令・情報等に基づいています。

 

 

当事務所のご支援事例

業種で探す ウェブ通販・越境EC  IT・AI  メーカー・商社  小売業 
サービスで探す 販路開拓  不動産  契約支援  現地法人運営  海外コンプライアンス 

ご相談のご予約はこちら

弁護士法人ファースト&タンデムスプリント法律事務所 ロゴ

弁護士法人ファースト&タンデムスプリント法律事務所
(代表弁護士 小野智博 東京弁護士会所属)
 03-4405-4611
*受付時間 9:00~18:00