個人情報保護法　第3回

こんにちは、田中ひろし法律事務所です。今回は、個人情報保護法で義務とされている事項などについてご紹介していきたいと思います。

前々回のブログにもあったように、法律の対象は「個人情報を取り扱う事業者」です。

法律では、この事業者に対して、主に次のようなことを定めています。

1.個人情報の利用目的を特定し、公表すること

　よく、個人情報を登録する際の記入用紙や入力画面などで「当サービスでは個人情報を商品の発送や○○、○○などに利用します。」といった文言を見かけますが、これは法律の定めに従って記載されているのですね。

2.個人データを正しく管理・利用し、特定の場合を除いて本人の同意なしに第三者に提供しないこと

　事業者としては最も力を注ぐ部分ですね。近年では、事業者や業務委託先の従業員など内部からの流出事故、漏洩事件が半数以上を占めることもあり組織体制の整備から、セキュリティ強化のための技術的対策まで、さまざまな対策がされているようです。

3.本人の求めに応じて、利用目的の通知や個人データの開示・訂正・利用停止を行うこと

　もし事業者が、利用目的外の目的に個人データを利用しているとか、適切な方法で取得された個人データではないといった場合、本人の求めに応じてデータを訂正・削除したり利用を停止しなければならないと法律にきちんと定められています。

4.本人の権利にきちんと対応すること

　前項で、訂正・削除や利用停止の求めに応じなければならないとしていますが、もしそれに応じない場合は、その理由を説明するよう努めなければいけないことになっています。ただし、そのための窓口を指定したり、手続き方法をどうすについては、本人に過度な負担をかけない範囲で、事業者が定めることができます。

5.苦情の適切かつ迅速な処理に努め、そのための体制の整備に努めなければならない

　苦情にきちんと対応してもらえなかったり、窓口が設置されていないといった場合は、事業者側が努力を怠っているということになりますね。

通信販売やSNSなど、個人情報を登録して利用するサービスが急速に増えている昨今、生活が便利になる一方で、「法律があるとはいえ、このサービスは本当に大丈夫だろうか？」と不安になることもあるかと思います。

利用目的の表示がされているか、相談窓口が設置されているかなどは新たなサービスを利用する際の参考になりますね。

また、個人情報保護のための体制がきちんと整っているかを判断するための基準として、JIS規格の「JIS Q 15000」「ISMS」「プライバシーマーク」といった第三者認証があります。

こういった基準を満たしているかということもチェックしておくと良いかもしれません。

投稿者 弁護士法人田中ひろし法律事務所