「個人情報取扱事業者」の義務(上)
前回は「個人情報取扱事業者」の義務として、「利用目的の明確化と目的内での利用」「うそ、偽りによる収集の禁止」「事前の本人同意」など、8つの点が求められると書きました。今号ではその詳細をみて、自社の対応を考えていきましょう。ただし、それぞれに適用が除外される場合があります。詳細は経済産業省のガイドライン修正版等を参照ください。
Q4.「個人情報」や「個人情報データベース」「保有個人データ」など、所有している情報の種類によって、対応の仕方が違うとのことですが?
前回紹介した、特定の個人を識別できるものが(1)「個人情報」です。それを一定の規則に従って整理・分類し、特定の個人情報を簡単に検索することができるような状態に置いているものを、(2)「個人情報データベース」と言います。
その中でも、本人から管理しているデータ内容が問われたときに、その内容を知らせたり、訂正や削除、利用や第三者提供を停止するなどに応じることができる権限を持つデータが、(3)「保有個人データ」です。
これら3段階でその対応のレベルが(1)→(3)とあがり、顧客名簿などの(3)では、苦情処理の迅速な対応までが義務付けられています。
Q5.では「個人情報」にはどのように対応するのですか?
「個人情報」への対応はQ4でも紹介したように「個人情報データベース」「保有個人データ」にも当然求められる対応となりますが、個人情報全般には「利用目的の明確化と目的内での利用」「うそ、偽りによる収集の禁止」「事前の本人同意」が義務付けられています。
「利用目的の明確化と目的内での利用」とは、たとえばお客様に今後DMなどで情報を提供するために個人情報を記述してもらう場合、「当社の新商品・サービスに関する情報のお知らせのために利用いたします」のように、記入用紙やホームページ上に明記することになります。「提供するサービスの向上のため」などは目的を特定していないとみなされますので、注意が必要です。申込書や契約書、アンケート用紙などにも必要です。また、その際そこでうたっている目的以外に使うことはできません。
「事前の本人同意」とは、これら利用目的を本人に分かるように知らせたうえで、個人情報を提供してもらうことです。
「うそ、偽りによる収集の禁止」とは、判断能力のない子どもから、親の収入状況や家族の情報を取得したり、第三者に提供しないとしている情報をもらってはいけないということです。
次回は「個人情報データベース」への対応です。
2005年06月02日(旧楽天のブログサイトより転記したものです)
0 件のコメント:
コメントを投稿