| 第1章 ガイドラインの目的 |
| 第1条 このガイドラインは、民間企業等が取扱う個人情報の適切な保護のため、事業者団体がその構成員の事業の実情に応じた業種別のガイドラインを定める際の 指針となる項目を定め、民間企業等がその活動の実態に応じた個人情報保護のための実践遵守計画(コンプライアンス・プログラム)を策定することを支援し、 及び促進することを目的とする。 |
| 第2章 定義 |
|
第2条 このガイドラインにおいて、次の各号に掲げる用語の意義は、当該各号に定めるところによる。 |
| |
|
1 個人情報 |
|
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別 に付された番号、記号そのたの符号、画像若しくは音声により当該個人を識別できるもの (当該情報のみでは識別できないか、他の情報と容易に照合することができ、それにより当 該個人を識別できるものを含む。)をいう。ただし、法人その他の団体に関して記録された 情報に含まれる当該法人その他の団体の役員に関する情報を除く。 |
|
2 管理者 |
|
企業等の内部において代表者により指名された者であって、個人情報の収集、利用又は提供 の目的及び手段等を決定する権限を有する者をいう。 |
|
3 受領者 |
|
個人情報の提供を受ける者をいう。 |
|
|
4 情報主体の同意 |
|
情報主体が署名押印、口頭による回答等の明示的方法により、自己に関する個人情報の取扱 いを承諾する意思表示を行うことをいう。ただし、書面の交付等による契約手続を伴わない 取引、申込、加入等の行為の場合においては、当該行為の手続において、反対の意思を表明 しない等の黙示的方法による意思表示を含めることができるものとする。 |
|
|
| 第3章個人情報の収集に関する措置 |
|
|
第5条 個人情報の収集は、収集する企業等の正当な事業の範囲内で、収集目的を明確に定め、 その目的の達成に必要な限度においてこれを行うものとする。 |
|
|
第6条 個人情報の収集は、適法かつ公正な手段によって行うものとする。 |
|
|
第7条 次に掲げる種類の内容を含む個人情報については、これを収集し、利用し又は提供して はならない。ただし、当該情報の収集、利用又は提供についての情報主体の明確な同意がある場 合、法令に特段の規定がある場合及び司法手続上必要不可欠である場合については、この限りで ない。 |
|
|
|
1 |
人種及び民族 |
|
2 |
門地及び本籍地(所在都道府県に関する情報を除く) |
|
3 |
信教(宗教、思想及び信条)、政治的見解及び労働組合への加盟 |
|
4 |
保健医療及び性生活 |
|
|
|
第8条 情報主体から直接に個人情報を収集する際には、情報主体に対して、少なくとも、次に掲げる事項又はそれと同等以上の内容の事項を書面により通知し、当該個人情報の収集、利用又 は提供に関する同意を得るものとする。ただし、既に情報主体が、次に掲げる事項の通知を受けていることが明白である場合及び情報主体により不特定多数の者に公開された情報からこれを収集する場合には、この限りでない。 |
|
|
|
1 |
企業等内部の個人情報に関する管理者又はその代理人の氏名又は職名、所属及び連絡先 |
|
2 |
個人情報の収集及び利用の目的 |
|
3 |
個人情報の提供を行うことが予定される場合には、その目的、当該情報の受領者又は受領者の組織の種類、属性及び個人情報の取扱いに関する契約の有無 |
|
4 |
個人情報の提供に関する情報主体の任意性及び当該情報を提供しなかった場合に生じる結果 |
|
5 |
個人情報の開示を求める権利及び開示の結果、当該情報が誤っている場合に訂正又は削除を要求する権利の存在並びに当該権利を行使するための具体的方法 |
|
|
|
第9条 情報主体以外から間接的に個人情報を収集する際には、情報主体に対して、少なくとも、前条(1)から(3)まで及び (5)に掲げる事項を書面により通知し、当該個人情報の収集、利用又は提供に関する同意を得るものとする。ただし、次の(1) から (4)までに掲げるいずれかの場合においては、この限りでない。 |
|
|
|
1 |
情報主体からの個人情報の収集時に、あらかじめ自己への情報の提供を予定している
旨前条(3) に従い情報主体の同意を得ている提供者から収集を行う場合 |
|
2 |
提供される個人情報に関する守秘義務、再提供禁止及び事故時の責任分担等の契約の締結により、個人情報に関して提供者と同等の取扱いを担保することによって個人情報の提供を受け、収集を行う場合 |
|
3 |
既に情報主体が、前条(1)から(5)までに掲げる事項の通知を受けていることが明白である場合及び情報主体により不特定多数の者に公開された情報からこれを収集する場合 |
|
4 |
正当な事業の範囲内であって、情報主体の保護に値する利益が侵害されるおそれのない収集を行う場合 |
|
|
| 第4章個人情報の利用に関する措置 |
|
|
第10条 個人情報の利用は、原則として収集目的の範囲内で行うものとする。 |
|
|
第11条 収集目的の範囲内で行う個人情報の利用は、次の(1)から(6)までに掲げるいずれか の場合にのみこれを行うものとする。 |
|
|
|
1 |
情報主体が同意を与えた場合 |
|
2 |
情報主体が当事者である契約の準備又は履行のために必要な場合 |
|
3 |
企業等が従うべき法的義務のために必要な場合 |
|
4 |
情報主体の生命、健康、財産等の重大な利益を保護するために必要な場合 |
|
5 |
公共の利益の保護又は企業等若しくは個人情報の開示の対象となる第三者の法令に基づく権限の行使のために必要な場合 |
|
6 |
情報主体の利益を侵害しない範囲内において、企業等及び個人情報の開示の対象となる第三者その他の当事者の合法的な利益のために必要な場合 |
|
|
|
第12条 収集目的の範囲を超えて個人情報の利用を行う場合又は前条(1)から(6)までに掲げるいずれの場合にも当たらない個人情報の利用を行う場合においては、少なくとも、第8条(1) から(3)まで及び(5)に掲げる事項を書面により通知し、あらかじめ情報主体の同意を得、又は利用より前の時点で情報主体に拒絶の機会を与える等、情報主体による事前の了解の下に行うも のとする。 |
|
| 第5章個人情報の提供に関する措置 |
|
|
第13条 個人情報の提供は、原則として収集目的の範囲内で行うものとする。 |
|
|
第14条 収集目的の範囲内で行う個人情報の提供は、少なくとも、第8条(1)から(3)まで及び (5)に掲げる事項を書面により通知し、あらかじめ情報主体の同意を得、又は提供より前の 時点で情報主体に拒絶の機会を与える等、情報主体による事前の了解の下に行うものとする。
ただし、次の(1)から(4)までに掲げるいずれかの場合においては、この限りでない。 |
|
|
|
1 |
情報主体からの個人情報の収集時に、あらかじめ当該情報の提供を予定している旨第8条(3)に従い情報主体の同意を得ている受領者に対して提供を行う場合 |
|
2 |
提供した個人情報に関する守秘義務、再提供禁止及び事故時の責任分担等の契約の締結により、個人情報に関する自己と同等の取扱いが担保されている受領者に対して提供を行う場合 |
|
3 |
受領者が当該個人情報について改めて第8条(1)から(5)までに掲げる事項を提供し、情報主体の同意を得る措置を採ることが明白である場合 |
|
4 |
正当な事業の範囲内であって、情報主体の保護に値する利益が侵害されるおそれのない提供を行う場合 |
|
|
|
第15条 収集目的の範囲を超えて個人情報の提供を行う場合又は前条(1)から(4)までに掲げるいずれの場合にも当たらない個人情報の提供を行う場合においては、情報主体に対して、少なくとも、個人情報の受領者に関する第8条(1)から(3)まで及び (5)に相当する事項を書面により通知し、情報主体の同意を得るものとする。この場合において、第8条(1)中「企業等」とあるのは「受領者」と、第8条(3)中「提供」とあるのは「再提供」と読み替えるものとする。
ただし、既に情報主体が、当該事項の通知を受け包括的な同意を与えていることが明白な場合は、この限りでない。 |
|
| 第6章個人情報の適正管理義務 |
|
|
第16条 個人情報は利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理するものとする。 |
|
|
第17条 個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏えい等の危険に対して、技術面及び組織面において合理的な安全対策を講ずるものとする。 |
|
|
第18条 企業等の内部において個人情報の収集、利用及び提供に従事する者は、法令の規定又は企業等の内部の管理者が定めた規程若しくは指示した事項に従い、個人情報の秘密の保持に十分な注意を払いつつその業務を行うものとする。 |
|
|
第 19条 企業等が、情報処理を委託する等のため個人情報を外部に預託する場合においては、十分な個人情報の保護水準を提供する者を選定し、契約等の法律行 為により、管理者の指示の遵守、個人情報に関する秘密の保持、再提供の禁止及び事故時の責任分担等を担保するとともに、当該契約書等の書面又は電磁的記録 を個人情報の保有期間にわたり保存するものとする。 |
|
| 第7章自己情報に関する情報主体の権利 |
|
|
第 20条 情報主体から自己の情報について開示を求められた場合は、原則として合理的な期間内にこれに応ずる。また開示の結果、誤った情報があった場合で、 訂正又は削除を求められた場合には、原則として合理的な期間内にこれに応ずるとともに、訂正又は削除を行った場合には、可能な範囲内で当該個人情報の受領 者に対して 通知を行うものとする。 |
|
|
第 21条 企業等が既に保有している個人情報について、情報主体から自己の情報についての利用又は第三者への提供を拒まれた場合は、これに応ずるものとす る。ただし、公共の利益の保護又は企業等若しくは個人情報の開示の対象となる第三者の法令に基づく権限の行使又は義務の履行のために必要な場合について は、この限りでない。 |
|
| 第8章組織及び実施責任 |
|
|
第22条 企業等の代表者は、このガイドラインの内容を理解し実践する能力のある者を企業等の内部から1名指名し、個人情報の管理者としての業務を行わせるものとする。 |
|
|
第 23条 企業等における個人情報の管理者は、このガイドラインに定められた事項を理解し、及び遵守するとともに、従事者にこれを理解させ、及び遵守させる ための教育訓練、内部規程の整備、安全対策の実施並びに実践遵守計画(コンプライアンス・プログラム)の策定及び周知徹底等の措置を実施する責任を負うも のとする。 |
| 第9章 その他 |
|
第 24条 通信網を利用して電磁的記録を送受信する場合において、送受信の相手先に関する個人情報を通信網により収集する企業等については、送受信の相手先 たる情報主体に対しては、このガイドライン第8条、第9条、第12条、第14条及び第15条に定める情報主体への書面による通知に代えて、電磁的記録の送 信の方法による通知を行うことができる。 |
●(参考)民間部門における電子計算機処理に係る個人情報の保護についての指針
(=旧ガイドライン 平成元年4月18日情報化対策委員会個人情報保護部会) |
| 1.ガイドラインの対象 |
民間部門において企業等が取扱う個人情報の保護のあり方については、コンピュータ等による自動処理
システムを用いて処理される個人情報を対象として、当面以下のように対応するものとする。この場合
において個人情報とは、個人に関する情報であって当該個人を識別できるものをいう。 |
|
| 2.個人情報の収集 |
|
|
1) |
個人情報の収集は、収集する企業等の正当な事業の範囲内で、収集目的を明確にし、 その目的の達成に必要な限度において行うものとする。情報主体以外からの個人情報の収集は、情報主体の保護に値する利益が侵害されるおそれのない場合に限るものとする。 |
|
2) |
個人情報の収集は、適法かつ公正な手段によって行うものとする。 |
|
|
| 3.個人情報の提供又は利用 |
|
|
1) |
個人情報の利用又は提供は、原則として収集目的の範囲内で行うものとする。 |
|
2) |
収集目的の範囲を超えて、個人情報の利用又は提供を行う場合は、情報主体の同意を得、又は情報主体に拒絶の機会を与える等、原則として情報主体の了解の下に行うものとする。 |
|
3) |
個人情報の利用又は提供は、以上の制限によるほか、情報主体の保護に値する利益が侵害されるおそれのない場合に限るものとする。 |
|
|
| 4.個人情報の適正管理 |
|
|
1) |
個人情報は利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理するものとする。 |
|
2) |
個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏洩等の危険に対して、合理的な安全対策を講ずるものとする。 |
|
|
| 5.自己情報の開示請求等 |
|
|
1) |
情報主体から自己の情報について開示又は訂正若しくは削除を求められた場合は、原則としてこれに応ずるものとする。 |
|
2) |
情報主体から自己の情報について利用又は提供を拒まれた場合は、原則としてこれに応ずるものとする。 |
|
|
| 6.実施責任 |
|
|
企業等における個人情報の取扱いについて決定権限を有する者は、上記の諸原則を遵守する責任を負う
ものとする。 |
