取扱いに注意すべき5つの場面～中小企業と個人情報保護法5

　個人情報を取り扱うにあたって注意すべきポイント、場面を5つにわけて考える、確認することが多いです。以下、場面に応じた概略を述べたいと思います。

1　取得

　「個人情報」の取得の場面で注意しなければならないのは、

　　取得する個人情報の利用目的をできる限り具体的に特定する（法１５条１項）
　　その利用目的を公表するか、通知する（法１８条）

ことが必要です。

　個人情報保護委員会のガイドラインによれば、「事業活動に用いるため」「マーケティング活動に用いるため」という程度では特定しているといえず、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましいとされています。

　また、「公表」の具体例として「自社のホームページのトップページから1回程度の操作で到達できる場所への掲載」などが示されています。プライバシーポリシーに利用目的を掲げてホームページに掲載している事業者が多いのはこれに沿った形といえるでしょう。

2　保管・管理

　保管している個人データの内容を正確で最新の内容を保つよう努めることとされています。（１９条）
　そして、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めることともされています。

　個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理措置をとらなければなりません（法２０条）。どのような安全管理措置をとるべきかは、ガイドラインに示されています。

　守秘義務順守の徹底、研修など個人データが安全に取り扱われるよう従業者の監督をしなければなりません（法２１条）。

　個人データの取扱いを委託した場合には、委託先が安全に個人データを取り扱うよう監督しなければなりません（法２２条）

3　利用

　利用目的の範囲内で利用しなければなりません（法16条）
　原則として、利用目的を超えて利用する場合、あらかじめ本人の同意が必要です。

　利用目的を変更する場合には、変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内であることが必要であり（法15条2項）、変更された利用目的は、本人に通知するか、公表しなければなりません（法18条3項）。

4　第三者への提供

　個人データを第三者へ提供する場合には、原則として本人の事前の同意が必要です。（法２３条）

　例外は、①法令に基づく場合、②人の生命、身体又は財産の保護のため、かつ、本人の同意を得ることが困難な場合、③公衆衛生・児童の健全な育成のため　かつ　本人の同意を得ることが困難な場合、④国や地方公共団体等への協力、⑤オプトアウト（法２３条２項、個人情報保護委員会への届出が必要）です。

　なお、委託の場合の委託先、合併等事業の承継の場合、共同利用の場合は「第三者」に当たりません。

　第三者提供をした、受けた場合には、個人情報保護規則で定められた事項を確認し、記録を作成し、原則として3年間保存しなければなりません。確認・記録については、別途ガイドラインがあります。

5　開示等請求

　「保有個人データ」に関し、①事業者の名称②利用目的③開示等請求手続の方法④苦情の申出先⑤認定個人情報保護団体に加入している場合、当該団体の名称及び苦情申出先を公表する必要があります（法27条）

　本人から、「保有個人データ」について、開示・訂正等・利用停止等の請求があった場合には、法令に定められた例外事由に該当しなければ、遅滞なく応じなければなりません。

　開示しない等請求に応じない旨の決定をした場合、当該保有個人データが存在しない場合は、遅滞なく本人に通知しなければならず、その理由を説明するよう努めなければなりません（法３１条）。

終わりに

　個人情報の取扱いを定める場合、見直す場合には、この５つの場面を意識してください。また、個人情報保護委員会のガイドラインは必ず目を通した上で、プライバシーポリシーなどの策定をする必要があるでしょう。

　今回は概略で、場面に応じたもう少し踏み込んだ話はまた別の機会にしたいと思います。