こんにちは。たかゆいです。
前回は個人情報保護法において使われる用語の定義について解説しました。
-
-
【一般知識攻略】個人情報保護法 1回目
こんにちは。たかゆいです。 前回の記事でお伝えしたように、一般知識の中でも情報関連の分野は毎年問われている対策必須の分野になっています。 この記事では、情報関連の中の一つである「個人情報 ...
今回は個人情報取扱事業者の義務について見ていきましょう。
個人情報保護法は、私たちの情報を安全に利用するための企業に向けたルールがメインとなっていることをイメージしておいてください。
スムーズに知識がついていきます。
個人情報か個人データか保有個人データか
個人情報取扱事業者が守らなくてはいけない義務は、「個人情報」「個人データ」「保有個人データ」それぞれで異なっています。
個人情報が一番広い概念で、個人データ、保有個人データとどんどん狭い概念になっていくのは1回目の解説の通りですね。
個人情報>個人データ>保有個人データの順番です。
範囲が狭くなるにつれて事業者の義務は増えていきますので、どのデータにどの義務が課せられるのか、ということをしっかり覚えておいてください。
個人情報取扱事業者に課せられる義務
個人情報
個人情報を取り扱うときに課せられる義務は以下の5つです。
- 利用目的の特定(15条)
→個人情報を取り扱うにあたり、できる限り利用目的を特定しなければならない - 利用目的による制限(16条)
→あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない - 適正な取得(17条)
→不正な手段により個人情報を取得してはならない - 取得に際しての利用目的の通知等(18条)
→個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかに利用目的を本人に通知するか、公表しなければならない - 苦情の処理(31条)
→個人情報の取り扱いに関する苦情の適切かつ迅速な処理に努めなければならない
16条、18条にはそれぞれ適用が除外されるケースがありますので、しっかり条文を確認しておきましょう。
個人データ
個人データを取り扱うときの義務は、「個人情報」の項目で紹介した義務にプラスして、以下の5つです。
- データ内容の正確性の確保(19条)
→利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない - 安全管理措置(20条)
→個人データの漏洩、滅失・き損の防止等の安全管理のために必要かつ適切な措置を講じなければならない - 従業者の監督(21条)
→従業者に個人データを取り扱わせるにあたっては、必要かつ適切な監督を行わなければならない - 委託先の監督(22条)
→個人データの取り扱いを一部でも委託する場合は、委託を受けたものに対する必要かつ適切な監督を行わなければならない - 第三者提供の制限(23条)
→原則、本人の同意を得 ずに個人データを第三者に提供してはならない
ここで注意するべきは23条です。
原則、ときたら例外があるのは法令科目の勉強をされている方ならよく知ってますよね。
本人の同意がなくとも、法令に基づく場合などは第三者への個人データの提供が可能ですので、23条1項の条文はしっかり確認しておきましょう。
内容は16条の適用除外と同じですので、一つずつ押さえていけば問題ないです。
ですが、23条の場合はさらに続きがあります。
いわゆる「オプトアウト」と呼ばれる方式についての定めです。(23条2項)
- 第三者への提供を利用目的とすること
- 第三者に提供される個人データの項目
- 第三者への提供の手段または方法
- 本人の求めに応じて当該本人の個人データの第三者への提供を停止すること
以上の4つをあらかじめ本人に通知するか、本人が容易に知ることのできる状態にしてあるときには、個人情報取扱事業者は第三者へ個人データを提供することができます。
せっかくなので、オプトイン・オプトアウトという言葉も一緒に覚えておきましょう。
保有個人データ
保有個人データを取り扱う際の義務は「個人情報」「個人データ」の義務にプラスして、さらに7つ増えます。
- 保有個人データに関する事項の公表等(24条)
→個人情報取扱事業者の氏名または名称等の一定の事項を本人の知りうる状態にしておかなければならない - 開示(25条)
→本人から保有個人データの開示を求められたときには、遅滞なく開示しなければならない - 訂正等(26条)
→本人から事実でないという理由で保有個人データの内容の訂正等を求められた場合には、利用目的の達成に必要な範囲内において、遅滞なく調査を行い、訂正等を行わなければならない - 利用停止等(27条)
→本人から一定の理由により、保有個人データの利用停止等・第三者提供の停止を求められた場合には、原則、遅滞なく利用停止等・第三者提供の停止を行わなければならない - 理由の説明(28条)
→本人から求められた措置の全部または一部について、その措置をとらない旨、または異なる措置をとる旨を通知する場合には、理由を説明するよう努めなければならない - 開示等の求めに応じる手続き(29条)
→開示等の求めを受け付ける方法を定めることができ、本人はその方法に従って開示等の求めを行わなければならない - 手数料(30条)
→利用目的の通知(24条2項)、または開示(25条1項)を求められたときは、手数料を徴収することができる
最後の手数料に関してはこの解説のみだと義務とは違うように見えますが、手数料の額を実費を勘案した上で合理的な範囲内で定めなければならない、とする規定があります。(30条2項)
また、手数料を取れるのは利用目的の通知と開示の2パターンだけです。
「利用停止等」など他のパターンの時は手数料は徴収できないのでひっかからないようにしましょう。
まとめ
以上のように、個人情報取扱事業者には多くの義務が課せられています。
ここが個人情報保護法の中でも覚えにくい部分だと思いますので、どの情報にどの義務が課せられているのか、なんとなくでも把握しておくようにしましょう。
最低限のことはこの記事で解説してありますが、余裕があるときにしっかり条文やテキストを確認してください。
それでは、今回はここまでです。
たかゆいでした。
この記事が役に立ったら、応援クリックお願いします。
お待たせしました!ネット授業の募集再開しました。
