経済産業省 改訂 個人情報保護ガイドラインに関するQ&A <=4月1日の話どす。。。
こんにちは、丸山満彦です。経済産業省が個人情報保護ガイドラインに関するQ&Aを改訂してました。気付いていませんでした。。。
■経済産業省
・2010.04.01 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A
変更点を後ほど整理すること<=自分への備忘録。。。
目次
=====
2-1. 定義
2-1-1. 「個人情報」
2-1-2. 「個人情報データベース等」
2-1-3. 「個人情報取扱事業者」
2-1-4. 「個人データ」
2-1-5. 「保有個人データ」
2-1-8. 「公表」
2-1-10. 「本人の同意」
2-1-11. 「本人が容易に知り得る状態」
2-2.個人情報取扱事業者の義務等
2-2-1. (1)利用目的の特定
2-2-1. (2)利用目的の変更
2-2-2. (1)適正取得
2-2-2. (2)利用目的の通知又は公表
2-2-2. (3)直接書面等による取得
2-2-3. 個人データの管理
2-2-3-1. データ内容の正確性の確保
2-2-3-2. 安全管理措置
2-2-3-3. 従業者の監督
2-2-3-4. 委託先の監督
2-2-4. 第三者への提供
2-2-5. 保有個人データに関する事項の公表、保有個人データの開示・訂正・利用停止等
2-2-5-1. 保有個人データに関する事項の公表等
2-2-5-2. 保有個人データの開示
2-2-5-3. 保有個人データの訂正等
2-2-5-4. 保有個人データの利用停止等
2-2-5-7. 手数料
4.ガイドラインの見直し
5. 個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格
その他、複合的な事案
====
2-2-1.(1)利用目的の特定(ガイドライン14ページ) |
||
47 |
「事業内容を勘案して顧客の種類ごとに利用目的を限定して示したり」とありますが、どのような分類によって利用目的を限定して示すことが考えられますか。 |
例えば、顧客が購入した商品、店舗販売や通信販売といった販売方法等によって顧客を類型化し、その区分ごとに利用目的を限定して示すことが考えられます。(2010.4.1) |
2-2-2.(1)適正取得(ガイドライン20ページ) |
||
52 |
「第三者提供制限違反がされようとしていることを・・・容易に知ることができる」とは、どのような場合ですか。 |
例えば、部外秘等と明記された従業員名簿、クレジットカード情報が含まれる顧客名簿等、社会通念上、第三者提供制限に違反することなく、第三者提供をすることが困難な場合が考えられます。(2010.4.1) |
2-2-3-2.安全管理措置(ガイドライン25ページ) |
||
80 |
「高度な暗号化等の秘匿化として施していた措置内容を具体的に報告すること」とありますが、どのような報告の内容が考えられますか。 |
例えば、次のような報告の内容が考えられます。 |
81 |
外国に住む人の個人データを漏えいした場合も、本人に連絡することが望ましいですか。 |
可能な限り連絡することが望ましいと考えられます。(2010.4.1) |
2-2-3-4.委託先の監督(ガイドライン38ページ) |
||
93 |
「委託の有無、委託する事務の内容を明らかにする等、委託処理の透明化を進めることが望ましい」とありますが、どのような場面や方法で、どの程度行うことが考えられますか。 |
プライバシーポリシーに盛り込むことや、取得の際に明らかにすることが考えられますが、例えば、委託先が多岐にわたり、事務の内容を個別に明らかにすることについて過度の負担が生じるような場合には、委託契約ごとではなく、類型化して事務の内容を明らかにするなど、実情に応じた対応が考えられます。(2010.4.1) |
2-2-4.第三者への提供(ガイドライン40ページ) |
||
110 |
事業の承継のためのいわゆるデューデリジェンスに伴う個人データの提供は、利用目的として特定していなくても、目的外利用とはなりませんか。 |
デューデリジェンスは、事業の承継の過程であるため、それ自体を利用目的とする必要はないと考えられます。(2010.4.1) |
111 |
当社の事業の一部を他社に承継する場合において、利用目的の一部が残るときは、当社に個人データを残して利用することはできますか。 |
個人データを残して利用することができると考えられます。(2010.4.1) |
112 |
「相手方に安全管理措置を遵守させるため必要な契約を締結しなければならない」とありますが、通常の秘密保持契約のほかに、別途、契約を締結する必要がありますか。 |
通常の秘密保持契約の内容の一部として構成されていれば足り、別途、契約を締結する必要はありません。(2010.4.1) |
116 |
共同して利用している個人データの内容(本人の住所等)の一部について、共同利用者が各自で更新することはできますか。 |
共同利用者が各自で更新することは当然可能ですが、これに伴い、各共同利用者が利用する個人データの内容に相違が生ずる可能性があるため、責任を有する者は、個人データを正確かつ最新の内容に保つよう努めることが必要です。(2010.4.1) |
117 |
各共同利用者を「責任を有する者」とし、それぞれが開示等の求めや苦情を受け付けることとすることはできますか。 |
可能ですが、法第23条第4項第3号の規定に基づき、各共同利用者を「責任を有する者」としていることが明確にされていることが必要です。(2010.4.1) |
2-2-5-2.保有個人データの開示(ガイドライン51ページ) |
||
134 |
「個人情報の取得元又は取得方法(取得源の種類等)を、可能な限り具体的に明記し」とありますが、どのような内容が考えられますか。 |
例えば、第三者から取得した場合には、当該第三者の名称を明記し、また、アンケート調査等により自社で取得した場合には、その旨を可能な限り具体的に明記することが考えられます。(2010.4.1) |
Comments