|
例えば、実際はA社が個人情報を収集しているのに、B社が収集しているように偽ることなどです。
尚、WEBサイトの多くがそうであるように、個人情報を本人に記入させるような方法で、本人から直接個人情報を取得する場合は、事前に本人に利用目的を明示しなくてはいけません。
例えばWEBの場合、個人情報を送信するときに送信ボタンをクリックしますが、そのクリックの前に利用目的が本人の目にとまるようにする必要があります。
本人に書かせて直接取得するだけでなく、第三者から間接的に個人情報を取得するケースもあると思われますが、このような場合でも利用目的を個人情報の主体である本人に通知したり、公表することが必要です。
(3) 個人データの安全管理に関するルール
個人情報の漏洩を防ぐ安全管理のために必要かつ適切な措置をとらなければなりません。また、そのために従業員や委託先を適切に監督しなくてはなりません。
経済産業省のガイドラインでは、この部分が非常に厚く説明されています。参考にすべきでしょう。
(4) 個人データの第三者提供に関するルール
原則として、事前に本人の同意を得ずに、個人データを第三者に提供してはいけません。
例外的に、本人の同意を得ずに個人情報を第三者に提供できる場合としては、「法令に基づく場合」や、「個人データの取扱いの全部又は一部を委託する場合」、「共同利用の場合」、そしていわゆる「オプトアウトを行っている場合」(オプトアウトについては、複雑なので別の機会で詳細にご説明したいと思います)などがあります。
(5) 保有個人データの開示等に関するルール
個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供を行うことのできる権限を有する個人データであって、6ヵ月以上保有する個人データ(保有個人データ)については、原則として、開示に応じたり、誤りがあれば訂正、追加又は削除に応じたり、不法な取扱いがあった場合には利用停止等に応じなければなりません。
以上のルールの中で「明示」や「通知」、「同意」という用語が出てきますが、個人情報保護法では、その他に「公表」や「本人の知り得る状態」や「本人が容易に知り得る状態」という用語が出てきます。それらのご説明についてはガイドラインや別の機会に譲りますが、個人情報の取得方法などによって、それぞれ使い分けられていますので、注意が必要です。
5.インターネットビジネスと個人情報
インターネットビジネスをされる場合、WEBサイトは必須のものです。そのWEBサイトで、どのように、またどのくらい個人情報を取扱っているかによって、個人情報保護法への対応が変わります。
保有する個人に関する情報は「個人情報」なのか?
収集されたときは個人情報だったかもしれないけど、自分の手元に来たときはすでに統計データになっていれば、それは個人情報ではありません(但し、個人情報の収集を第三者に委託する場合、委託元としての責任が生じる場合がありますので、注意が必要です)。
自社は「個人情報取扱事業者」に該当するのか?
個人情報取扱事業者に該当しなければ、個人情報保護法上の義務や罰則はほとんど関係ありません。但し、上に書いたように基本理念は尊重する必要はあります。また、東京都の条例など、地方公共団体の条例では、保有する個人情報の数にかかわりなく、個人情報の適切な取扱いを努力義務として規定しているものが多くみられます。
逆に、個人情報取扱事業者に該当すれば、必然的に個人情報保護法や主管省庁の出しているガイドラインの求めている事項に従う必要があります。
個人情報を取扱う際のルールを守るためには、自社のWEBサイトはどうすれば良いのか?
などです。
個人情報保護法が全面施行されてから5ヵ月。しかしながら未だに個人情報の流出や紛失というニュースが後を絶ちません。そのパターンは、不正アクセスやパソコンの盗難というものから、USBメモリーやCD−ROMの紛失というものまで様々です。
平成17年5月20日には、金融庁から、顧客情報の流出があったある銀行に対して、個人の権利利益を保護するために必要な措置をとるように、具体的には、(1)個人データの安全管理のための措置の実行性の確保と(2)個人データの安全管理を図るための従業者に対する監督の徹底とそれらの措置の報告をするように、個人情報保護法第34条第1項に基づいた勧告がなされました。
しかし、いまだに個人情報保護法第56条や第58条に基づく罰則が適用されたというニュースはないようです。
|