わたしもやっている「個人情報取扱業者の義務」対策

語って視点

普段やっている仕事の中で「個人情報の保護に関する法律」に関わることは結構多くあります。今までいろいろな方々から教わって、いろいろな方々にご説明したことの「法的根拠」を確認。しかし実際には米国、EUの規定も根拠としているので、それぞれの厳しいところを意識して、妥当性が疑わしい場合には「取得しない」という前提で仕組みづくりを行うことを原則としています。

個人情報を設置する場所を専用のサーバーに限定する

「安全管理措置義務 (第20条)」への対応のひとつ。
お客様が自分の情報を参照、修正可能な個人情報データベースで、常時最新情報のみを利用可能。お客様が修正する前の情報は即時破棄される。

従業者による個人情報へのアクセスの記録、アクセス状況の監視

「従業者の監督義務 (第21条)」への対応のひとつ。
個人情報データベースからの情報参照を審査、記録する管理ツールを利用して、個人情報を利用する従業者が情報参照の計画を申請し、承認を受けることを義務付ける。第32条の規定に基づく報告(経済産業省)が求められた場合に報告する事項(担当者氏名など)を記録する。

利用目的による制限 (第16条)

受け取りの際に同意された目的だけに限定する。個人情報を参照する従業者が個人情報の利用目的、用途を申請し、承認を受けることを義務付ける。

取得に際しての利用目的の通知義務 (第18条)

個人情報の受取を計画する段階で、参照する従業者に利用目的、用途を確認する。
お客様から個人情報の提供を受けるとき、利用目的を明示し、ご本人様の同意を得る。同意いただけない場合は個人情報を受け取らない。

第三者提供の制限 (第23条)

第三者へ個人情報を提供する場合、個人情報の取得時にご本人様の同意を得る。同意いただけない場合は個人情報を受け取らない。