個人情報保護指針 - 【JAPiCO】 一般社団法人 日本個人情報管理協会

個人情報保護指針
一般社団法人日本個人情報管理協会
・個人情報保護指針
第1条
目的
本指針は、個人情報の保護に関する法律及び個人情報の保護に関する法律についての
経済産業分野を対象とするガイドラインに基づき、一般社団法人日本個人情報管理協会
(以下「当法人」という。)の正会員である対象事業者(以下、「対象事業者」という。)
が行う個人情報の適切な取り扱いの確保を支援し、顧客、従業員 等の個人の権利・利益を
保護するために制定する。また消費者利益と企業活動の調和を図り個人情報の保護を遵守
する為に、対象事業者への当該指針の周知を徹底するものとする。
第2条
適用範囲
本指針は、個人情報を取り扱う対象事業者に適用される。
対象事業者は、本指針を参考に次の事項を行うこととする。
(1)個人情報の取り扱いが適切に行われているかを確認すること
(2) 個人情報保護の推進体制を構築すること
(3) 本指針と個人情報保護推進体制の適合性を確認し、適合していることを社内、社外に
公表すること
第3条
定義
本指針における用語の定義は、当該各号に定めるところによる。
(1)「個人情報」
個人情報とは、生存する「個人に関する情報」であって、特定の個人を識別することが
できるものをいい、他の情報と容易に照合することで、それにより特定の個人を識別でき
るものを含む。
「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限らず、個人
の体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表す全ての情報であり、
公刊物、評価情報等によって公にされている情報や、映像、音声による情報も含まれ、暗
号化されているかどうかを問わない。
なお、死者に関する情報、が同時に、生存する遺族個人に関する情報もある場合には、
当該生存する個人に関する情報とする。また「生存する個人」には日本国民に限らず、外
国人も含まれるが、法人その他の団体は、「個人」に該当しないため、法人等の団体その
ものに関する情報は、含まれない。(ただし、役員、従業員等に関する情報は、個人情報
とする。)
「個人情報に該当する事例」
事例1
雇用管理情報(会社が従業員を評価した情報、採用予定者も含む)
事例2
車両登録ナンバー
事例3
官報、電話帳、職業録等で公にされている情報(氏名、住所等)
事例4
防犯カメラに記録された映像情報
事例5
冠婚葬祭施行時に生花、花輪等の受注した際の個人情報
「個人情報に該当しない事例」
事例1
企業、団体そのものに関する情報
事例2
特定の個人を識別できない統計情報
事例3
匿名化され、他の情報と照合をしても、特定の個人を識別することができない情
報
(2) 「個人情報データベース等」
特定の個人情報についてコンピュータを用いて検索することができるように体系的に構
成した個人情報を含む情報の集合物をいう。
コンピュータを用いてない場合であっても、紙面で処理した個人情報を一定の規則(例:
50音順、生月日順等)に従って体系的に整理・分類し、特定の個人情報を容易に検索する
ことができるよう、目次、牽引、符号等を付し、他人によっても容易に検索可能な状態に
置いているものも該当する。
「個人情報データベース等に該当する事例」
事例1
冠婚葬祭等の取引について情報が保管されている電子ファイル(個人情報と関連
付けて管理している場合)
事例2
電子ソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合
わせた情報を入力している場合)
事例3
氏名、住所、企業別に分類整理されている市販の人名録
事例4
ユーザーIDとユーザーが利用した取引についてのログ情報が保管されている電子
ファイル(ユーザーIDを個人情報と関連付けて管理している場合)
「個人情報データベース等に該当しない事例」
事例1
アンケート、懸賞などの回答はがきで、氏名、住所等で分類整理されていない状
態である場合
事例2
従業者が自己の名刺入れ、ファイル等について他人が自由に閲覧できる状態でも、
他人に容易に検索できない独自の分類方法により名刺、ファイル等を分類した状態
である場合
(3)「個人情報取扱事業者」
個人情報データベース等を事業の用に供している者をいう。
当法人の対象事業者は、全て個人情報取扱事業者として個人情報保護の適正な取り扱い
を推進する。
(4)「個人データ」
対象事業者が管理する「個人情報データベース等」を構成する個人情報をいう。
「個人データに該当する事例」
事例1
個人情報データベース等から他の媒体に格納したバックアップ用の個人情報
事例2
コンピュータ処理による個人情報データベース等から出力された帳票等に印字さ
れている個人情報
「個人データに該当しない事例」
事例1
個人情報データベース等を構成する前の入力帳票に記載されている体系化されて
いない個人情報
(5)「保有個人データ」
対象事業者が本人又はその代理人から求められる開示、内容の訂正、追加又は削除、利
用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データを
いう。ただし以下に該当するものは除く。
①
当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又
は財産に危害が及ぶおそれのあるもの。
事例1
家庭内暴力、児童虐待の被害者の支援団体が、加害者(配偶者又は親権者)及び
被害者(配偶者又は子)を本人とする個人データをもっている場合
②
当該個人データの存否が明らかになることにより、違法又は不法な行為を助長し、
又は、誘発するおそれのあるもの。
事例1
いわゆる不審者、悪質なクレーマー等からの不当要求被害を防止するため、当該
行為を繰り返す者を本人とする個人データを保有している場合
③
当該個人データの存否が明らかになることにより、国家の安全が害されるおそれ、
他国若しくは国際機関との信頼関係が損なわれるおそれ又は、他国若しくは国際機
関との交渉上不利益を被るおそれがあるもの。
事例1
情報サービス事業者等が防衛に関するソフトウェア等の開発、設計担当者名が記
録された個人データを保有している場合
事例2
④
要人の冠婚葬祭出席予定や記録等を保有している場合
当該個人データの存否が明らかになることにより犯罪の予防、鎮圧又は捜査その
他公共の安全と秩序の維持に支障が及ぶおそれがあるもの。
事例1
警察からの捜査関係事項照会や捜索差押令状の対象となった対象事業者がその対
応の過程で捜査対象者又は被疑者を本人とする個人データを保有している場合
⑤
6ヶ月以内に消去する(更新することを除く。)データ
事例1
ソフト開発、データ入力等で入手した個人データを、入力終了後個人データ
入手時から6ヶ月以内に納品し破棄、削除等で消去した個人データの場合
(6)「本人」
個人情報によって識別される又は識別されうる特定の個人をいう。
(7)「本人に通知」
本人に直接知らしめることをいう。又内容が本人に認識できる合理的かつ適切な方法に
よらなければならない。
「本人への通知に該当する事例」
事例1
電話においては、口頭又は、自動応答装置で知らせること
事例2
面談においては、口頭又は、文書を渡すこと
事例3
電子メール、ファックス等により送信、又は文書を郵送等で送付すること
事例4
電話等の営業活動においては、口頭での説明を行うこと
事例5
直接の申込、契約、問い合わせにおいては、書面に記入前に文書で説明し渡すこ
と
(8) 「公表」
広く一般に自己の意思をしらせること(国民一般その他不特定多数の人々が知ることが
できるよう発表すること)をいう。ただし、公表に当たっては、事業の性質及び個人情報
の取扱状況に応じ、合理的かつ適切な方法によらなければならない。
「公表に該当する事例」
事例1
ホームページがある場合はホームページに1回程度の検索できる場所に掲載をす
ること、自社の店舗・事務所内にポスター等の掲示、パンフレット等の備置き・配
布等すること
事例2
自社の店舗・事務所内の見やすい場所(窓口、受付等)に継続的に掲示すること
事例3
入会案内、入会説明においては、パンフレットや申込書に記載すること
事例4
郵送等による販売においては、販売用パンフレット等に記載すること
(9)利用目的を明示
本人に対し、その利用目的を明確に示すことをいう。ただし、明示に当たっては事業の
性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によ
らなければならない。
「利用目的の明示に該当する事例」
事例1
冠婚葬祭等の見積書、引き出物等受注書に利用目的を明記した契約書その他の書
面を相手方である本人に手渡し、又は、送付すること
事例2
契約約款又は利用条件等書面(電子的、磁気的方式その他人の知覚によっては、
認識することができない方式で作られた記録を含む。)中に利用目的条項を記載す
る場合は、本人が実際に利用目的を目にできるよう留意する
事例3
インターネット上では、ユーザー入力画面やユーザー宛メールに明記すること
事例4
業務打合せにおいて使用するパンフレット、契約書、見積書にその利用目的を明
記し口頭での利用説明を行い、承諾を得ること
事例5
ウェブ上においては、本人がアクセスした自社のウェブ画面上、又は、本人の端
末装置上にその利用目的を明記すること
(10)「本人の同意」
本人の個人情報が、対象事業者によって示された取引方法で扱われることを、承諾する
旨の当該本人の意思表示をいう。(この当該本人であることを確認できることが前提。)
また「本人の同意を得る」とは、本人の承諾する旨の意思表示を対象事業者が認識するこ
とをいい、事業の性質及び個人情報の取扱い状況に応じ、本人が同意に係る判断を行うた
めに必要と考える合理的かつ適切な方法によらなければならない。但し、本人が子供等の
場合は、保護者の同意も得た場合に限る。
「本人の同意を得た事例」
事例1
本人が署名又は、記名捺印した同意する旨の文書等を受領し確認すること
事例2
本人からの同意する旨のメールを受信すること
事例3
本人による同意する旨の確認欄へのチェック
(11)「本人が容易に知り得る状態」
本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状
態に置いていることをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認
識される合理的かつ適切な方法によらなければならない。
「本人が容易に知り得る状態に該当する事例」
事例1
配布している会社案内、その他パンフレット等、定期的発行物への定期的掲載を
行っていること
事例2
製品、サービス等を紹介するウェブ画面にリンク先を継続的に掲示すること
(12)「本人の知り得る状態」(本人の求めに応じて遅延なく回答する場合を含む。)
ウェブ画面への掲載、パンフレットの配布、本人の求めに応じて遅延なく回答を行うこ
と等、本人が知ろうとすれば、知ることができる状態に置くことをいい、常にその時点で
の正確な内容を本人の知り得る状態に置かなければならない。
「本人の知り得る状態に該当する事例」
事例1
問い合わせ窓口を設け問い合わせがあれば、口頭又は文書で回答できるよう体制
を構築しておくこと
事例2 事務所内、店舗内に問い合わせ窓口を明示し電話、FAX、メールアドレスを明記
すること
(13) 提供
個人データを利用可能な状態に置くことをいう。個人データが物理的に提供されていな
い場合であっても、ネットワーク等を利用することにより、個人データを利用できる状態
にあれば(利用する権限が与えられていれば)、提供に当たる。
第4条
法令・当該指針の遵守
対象事業者は、第1条(目的)に基づき、その取り扱う個人情報の適切な保護と利用
等を図るためのコンプライアンスの体制を整備し、当該指針を遵守することを当法人に
対し誓約等を行わなければならないものとする。
第5条
個人情報の利用目的の特定
対象事業者は、個人情報の取扱いにあたっては、個人情報の利用目的・利用する業務
の範囲を可能な限り分かりやすく特定しなければならない。
2. 対象事業者は、前項により特定した利用目的を社会通念上、本人が想定することが困
難でない範囲内で変更した場合は、変更された利用目的を本人に通知し、又は公表しな
ければならない。
3.前項の規定は、次に掲げる場合については、適用しない。
(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、
財産その他の権利利益を害するおそれがある場合
(2)利用目的を本人に通知し、又は公表することにより当該対象事業者の権利又は正当
な利益を害するおそれがある場合
(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必
要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務
の遂行に支障を及ぼすおそれがあるとき
(4)取得の状況からみて利用目的が明らかであると認められる場合
第6条
個人情報の利用目的の制限
対象事業者は、あらかじめ本人の同意を得ることなく、特定した利用目的・利用する
業務の範囲を超えて個人情報を取り扱ってはならない。
2. 前項の規定は、次に掲げる場合については、適用しない。
(1)法令に基づき、提出又は、回答が義務付けられている場合
(2)人の生命、身体、又は、財産の保護のために必要がある場合であって、本人の
同意を得ることが困難であるとき
(3)公衆衛生の向上又は、児童の健全な育成の推進のために特に必要がある場合で
あって、本人の同意を得ることが困難であるとき
(4)国の機関若しくは地方公共団体又は、その委任を受けた者が法令の定める事務
を遂行することに対して協力する必要がある場合であって、本人の同意を得るこ
とにより当該事務の遂行に支障を及ぼすおそれがあるとき
第7条
個人情報の適正な取得
対象事業者は、偽り等の不正な手段により個人情報を取得してはならない。
第8条
個人情報の取得にあたっての利用目的の通知等
対象事業者は、個人情報を取得する場合は、あらかじめその個人情報の利用目的を分
かりやすく公表しておくものとする。公表していない場合は、取得後速やかにその利用
目的を、本人に通知し又は公表しなければならない。
2. 対象事業者が本人から直接書面に記載された本人の個人情報を取得する場合には、そ
の書面において利用目的を明示したうえで、本人の同意を得るものとする。
3.前2項の規定は、次に掲げる場合については、適用しない。
(1)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、
財産その他の権利利益を害するおそれがある場合
(2)利用目的を本人に通知し、又は公表することにより当該対象事業者の権利又は正当
な利益を害するおそれがある場合
(3)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必
要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務
の遂行に支障を及ぼすおそれがあるとき
(4)取得の状況からみて利用目的が明らかであると認められる場合
第9条
個人データの正確性確保
対象事業者が保有する個人情報は、利用目的に応じ必要な範囲内において、正確かつ
最新の状態で管理するものとする。
2.対象事業者は保有する個人情報の利用目的に応じて保有期間を定め、当該保有期間経
過後には当該保有する個人データを見直し廃棄もしくは、保管するかを決めなければな
らない。 ただし、法令等に基づく保有期間の定めがある場合には、この限りではない。
第10条
安全管理措置
対象事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人
情報の安全管理のため、必要かつ適切な組織的、人的、物理的及び技術的安全管理措置
を講じなければならない。
2. 対象事業者は、個人データの安全管理について、以下の事項に基づき、従業員の責任
と権限を明確に定め、安全管理に対する規程や手順書
(以下「規程等」という)を整備
運用し、その実施状況を確認する等、組織的安全管理措置を行なわなければならない。
(1) 個人データの安全管理措置を講じるための組織的体制の整備
(2) 個人データの安全管理措置を定める規程等の整備と規程等に従った運用
(3) 個人データ取扱台帳の整備
(4) 個人データの安全管理措置の評価、見直し及び改善
(5) 事故又は違反への対処
3. 対象事業者は、以下の事項に基づき、従業員に対する、業務上秘密とされた個人デー
タの非開示契約の締結や、教育・訓練等の人的安全管理措置を行なわなければならない。
(1)雇用契約時及び委託契約時における非開示契約の締結
(2)従業員に対する教育・訓練の実施
4. 対象事業者は、以下の事項に基づき、入退館(室)の管理、個人データの盗難の防止
等、物理的な安全管理措置を行なわなければならない。
(1)入退館(室)の管理の実施
(2)盗難等の防止
(3)機器・装置等の物理的保護
5. 対象事業者は、以下の事項に基づき、個人データ及びそれを取り扱う情報システムへ
のアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データにたいす
る技術的な安全管理措置を行なわなければならない。
(1) 個人データへのアクセスにおける識別と認証
(2) 個人データへのアクセス制御
(3) 個人データへのアクセス権限の管理
(4) 個人データへのアクセス記録
(5) 個人データを取り扱う情報システムについての不正ソフトウェア対策
(6) 個人データの移送・通信時の対策
(7) 個人データを取り扱う情報の動作確認時の対策
(8) 個人データを取り扱う情報システムの監視
6. 対象事業者は、個人データの漏えい等が発生した場合は、二次被害の防止、類似事案
の発生回避等の観点から、以下の措置を行なわなければならない。
(1) 事実調査及び原因究明を行なうこと
(2) 事実関係を本人に速やかに通知すること
(3) 事実関係を当法人等関係者に直ちに報告すること
(4) 事実関係及び再発防止策を公表すること
第11条
従業者の監督
対象事業者は、その従業者に個人データを取り扱わせる時は、安全管理措置を遵守
させるよう、従業者に対し必要かつ適切な監督を行わなければならない。
第12条
委託先の監督
対象事業者は、個人データの取扱の全部又は一部を外部に委託する場合、その取扱を
委託した個人データの安全管理が図られるよう、委託先に対し必要かつ適切な監督を行
わなければならない。
「必要かつ適切な措置」には、委託契約において委託者である対象事業者が定める安
全管理措置の内容を契約に盛り込むとともに、当該契約内容が遵守されていることを、
予め定めた間隔で定期的に確認することも含まれる。
委託先に対する監督を行なうに際しては、契約書等の書面において、合意した内容を
明確にすることが重要である。契約書等においては、個人データの取扱状況等に起因す
るリスクに応じて以下に掲げる項目及びその他必要と認められる項目について記載しな
ければならない。
また、委託者が受託者について「必要かつ適切な措置」を行なっていない場合で、
受託者が再委託をした際に、再委託先が適切といえない取扱いを行なったことにより、
何らかの問題が生じた場合は、元の委託先がその責めを負うことがあり得るので、再
委託する場合は、注意を要する。
(1)
委託者及び受託者の責任の明確化
(2)
個人データの安全管理に関する事項
・個人データの漏えい防止、盗用禁止に関する事項
・委託契約範囲外の加工、利用の禁止
・委託契約範囲外の複写、複製の禁止
・委託契約期間
・委託契約終了後の個人データの返還・消去・廃棄に関する事項
(3)
再委託に関する事項
・再委託を行なうに当たっての委託者への文書による報告
(4)
個人データの取扱状況に関する委託者への報告の内容及び頻度
(5)
契約内容が遵守されていることの確認
(6)
契約内容が遵守されなかった場合の措置
(7)
セキュリティ事件・事故が発生した場合の報告・連絡に関する事項
第13条
第三者への提供
対象事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで個人情
報を第三者に提供してはならない。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得
ることが困難であるとき
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、
本人の同意を得ることが困難であるとき
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行
することに対して協力する必要がある場合であって、本人の同意を得ることにより当
該事務の遂行に支障を及ぼすおそれがあるとき
2.対象事業者は、第三者に提供される個人データについて、本人の求めに応じてその提
供を停止することとしている場合であって、次に掲げる事項について、あらかじめ本人
に通知し、又本人が容易に知り得る状態に置いているときは、当該個人データを第三者
に提供することができる。
(1)第三者への提供を利用目的とすること
(2)第三者に提供される個人データ項目
(3)第三者への提供の手段又は方法
(4)本人の求めに応じて第三者への提供を停止すること
3.次に掲げる場合においては、第三者提供に該当しないものとする。
(1)業務委託
利用目的の達成に必要な範囲内において、個人データの取り扱いに関す
る業務の全部又は、一部を委託する場合
(2)事業継承
合弁、分社化、営業譲渡等により事業が承継され個人データが移転され
る場合
(3)個人データを特定の者との間で共同して利用する場合で、以下の情報をあらかじめ
本人に通知し、又は、本人が容易に知り得る状態に置いている場合
①
個人データを特定の者と共同して利用する旨
②
共同して利用される個人データの項目
③
共同利用者の範囲
④
利用する者の利用目的
⑤
開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの
内容等について、開示、修正、利用停止等の権限を有し、安全管理等個人データの管
理について責任を有する者の氏名又は、名称
4. 対象事業者は、前項第3号に規定する項目のうち、④又は⑤を変更する場合は、変更
する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置か
なければならない。
第14条
保有個人データに関する事項の公表等
対象事業者は、保有個人データについて、以下の情報を本人の知り得る状態(本人の
求めに応じて遅延なく回答する場合を含む。)に置かなければならない。
(1) 事業者名
(2) すべての保有個人データの利用目的
(3) 保有個人データの利用目的の通知及び保有個人データの開示に係る手数料の額(定
めた場合に限る)並びに開示等の求めの手続き
(4) 保有個人データの取り扱いに関する苦情及び問合せの申出先
①当該対象事業者が行う保有個人データの取扱に関する苦情の申出先
②苦情解決の申出先が当法人の苦情処理部であること
第15条
保有個人データの利用目的の通知
対象事業者は、以下に該当する場合を除いて、本人から自己が識別される保有個人
データの利用目的の通知を求められた時は、遅延なく、本人に通知しなければならな
い。なお、通知しない旨を決定したときも、遅延なく、本人に通知しなければならな
い。
(1)利用目的を本人に通知し、又は、公表することにより人の生命、身体、財産その
他の権利利益が侵害されるおそれがある場合
(2)利用目的を本人に通知し、又は公表することにより企業秘密に関すること等が他社
に明らかになり、当該対象事業者の権利又は、正当な利益が侵害されるおそれがある
場合
(3)国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要があ
る場合であって、協力する民間企業等が国の機関から受け取った個人情報の利用目的
を本人に通知し、又は公表することにより、当該事務の遂行に支障を及ぼすおそれが
ある場合
(4)前条の規定により、当該本人が識別される保有個人データの利用目的が明らかで
ある場合
第16条
保有個人データの開示
対象事業者は、本人から、自己が識別される保有個人データの開示を求められたと
きは、本人に対し、書面の交付による方法等(開示の求めを行った者が同意した方法
があるときはその方法)により、遅延なく、当該保有個人データを開示(当該保有個
人データが存在しないときにその旨を知らせることを含む。)しなければならない。
但し、開示することにより次のいずれかに該当する場合は、その全部又は一部を開
示しないことができるが、その場合は、その旨を本人に通知しなければならない。
(1)本人又は、第三者の生命、身体、財産、その他の権利利益を害するおそれがある場
合
(2)業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合
第17条
保有個人データの訂正等
対象事業者は、本人から、保有個人データの内容が事実でないという理由で訂正、
追加又は 削除(この条において「訂正等」という。)を求められたときは、利用目的
の達成に必要な範囲内において、原則として合理的な期間内これに応ずるものとする。
2.訂正等を行うにあたって、調査が必要な場合は、遅延なく調査を行い、その結果に
基づき訂正等を行ったとき又は行わない旨の決定したときは、本人に対し、その旨(訂
正等を行ったときはその内容を含む。)通知しなければならない。
第18条 保有個人データの利用停止等
対象事業者は、本人から、手続き違反の理由により保有個人データの利用停止等が
求められた場合には、原則として、当該措置を行わなければならない。なお、利用停
止等を行った場合には、遅延なくその旨を本人に通知しなければならない。但し、当
該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者
への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要
なこれに代わるべき措置をとるときは、この限りではない。
第19条 理由の説明
対象事業者は、保有個人データの公表・開示・訂正・利用停止等において、その措
置をとらない旨又はその措置と異なる措置をとる旨を本人に通知する場合は、併せて、
本人に対して、その理由を説明するように努めなければならない。
第20条 開示等の求めに応じる手続き
対象事業者は、開示等の求めにおいて、その求めを受け付ける方法として、次の各
号の事項を定めることができる。また、その求めを受け付ける方法を定めた場合には、
本人の知り得る状態(本人の求めに応じて遅延なく回答する場合を含む。)に置いて
おかなければならない。なお、対象事業者が開示等の求めを受ける方法を合理的な範
囲で定めたときで、求めを行った者がそれに従わない場合は、開示等を拒否すること
ができる。
(1)開示等の求めの受付先
(2)開示等の求めに際して提出すべき書面の様式、その他の開示等の求めの受付方法
(3)開示等の求めをする者が本人又はその代理人であることの確認方法
(4)保有個人データの利用目的の通知、又は、保有個人データの開示をする際に徴収す
る手数料の徴収方法
2.
対象事業者は、円滑に開示等の手続きが行えるよう、本人に対し、自己のデータの
特定に必要な事項の提示をもとめることができる。なお、本人が容易に自己のデータ
を特定できるよう、自己の保有個人データの特定に資する情報の提供その他本人の利
便性を考慮しなければならない。
第21条
手数料
対象事業者は、保有個人データの利用目的の通知、又は保有個人データの開示を求
められたときは、当該措置の実施に関し、手数料の額を定め、徴収することができる。
2.対象事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的で
あると認められる範囲内において、その手数料の額を定めなければならない。手数料の
額を定めた場合には、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合
を含む。)に置いておかなければならない。
第22条
教育・研修活動等の実施
対象事業者は、個人情報の保護と適正な取扱いに関する教育・研修活動等に基づき、
従業員に対し、個人情報の目的外利用及び漏えいの防止等、個人情報の保護に資するた
めの教育・研修活動等を実施するものとする。
また、対象事業者の従業員は、当法人が行う教育・研修制度等に参加するものとする。
第23条
個人情報の取扱いに関する相談・苦情処理体制の整備
対象事業者は、個人情報の取扱いに関する相談・苦情の適切かつ迅速な処理に努める
ものとし、必要な社内体制等の整備を図らなければならない。
また、個人情報の取扱いに関する相談・苦情の申出先については、当法人に報告等を
行わなければならない。
2. 対象事業者は、個人情報の取扱いに関する相談・苦情処理担当者を設置し、その者に
対し、十分な教育・研修を行うものとする。
3. 対象事業者は、当法人からの要請により、受け付けた苦情に関する事実関係の調査・
確認や苦情に対する対応状況等について報告等を求められたときは、これに協力しなけ
ればならない。
第24条
対象事業者としての広報・啓発活動等
対象事業者は、個人情報の利用状況等についての理解を促がす広報・啓発活動を行う
よう努めなければならない。
第25条
監査による個人情報保護の徹底
対象事業者は、個人情報の保護を図るために、定期的に監査を実施すること等により、
個人情報管理の安全性の維持に努めなければならない。
第26条
指針の見直し
個人情報の保護についての考え方は、社会情勢の変化、国民の認識の変化、技術の進歩
等に応じて変わるものであり、本指針は、法の施行後の状況等諸環境の変化を踏まえて見
直しを行うよう努めるものとする。
本指針は認定個人情報保護団体の認定を受けた日より施行する。