わたしもやっている「個人情報取扱業者の義務」対策
普段やっている仕事の中で「個人情報の保護に関する法律」に関わることは結構多くあります。今までいろいろな方々から教わって、いろいろな方々にご説明したことの「法的根拠」を確認。しかし実際には米国、EUの規定も根拠としているので、それぞれの厳しいところを意識して、妥当性が疑わしい場合には「取得しない」という前提で仕組みづくりを行うことを原則としています。
個人情報を設置する場所を専用のサーバーに限定する
「安全管理措置義務 (第20条)」への対応のひとつ。
お客様が自分の情報を参照、修正可能な個人情報データベースで、常時最新情報のみを利用可能。お客様が修正する前の情報は即時破棄される。
従業者による個人情報へのアクセスの記録、アクセス状況の監視
「従業者の監督義務 (第21条)」への対応のひとつ。
個人情報データベースからの情報参照を審査、記録する管理ツールを利用して、個人情報を利用する従業者が情報参照の計画を申請し、承認を受けることを義務付ける。第32条の規定に基づく報告(経済産業省)が求められた場合に報告する事項(担当者氏名など)を記録する。
利用目的による制限 (第16条)
受け取りの際に同意された目的だけに限定する。個人情報を参照する従業者が個人情報の利用目的、用途を申請し、承認を受けることを義務付ける。
取得に際しての利用目的の通知義務 (第18条)
個人情報の受取を計画する段階で、参照する従業者に利用目的、用途を確認する。
お客様から個人情報の提供を受けるとき、利用目的を明示し、ご本人様の同意を得る。同意いただけない場合は個人情報を受け取らない。
第三者提供の制限 (第23条)
第三者へ個人情報を提供する場合、個人情報の取得時にご本人様の同意を得る。同意いただけない場合は個人情報を受け取らない。