 |
 |
 |
|
|
|
|
|
|
 |
|
運営: |
|
03−5624−3111(代)
受付 9:00〜17:00/土日祝除く |
|
|
 |
|
2005年4月個人情報保護法が完全施行されましたが、それに伴い、プライバシーマーク取得企業の数も、1000社以上になり、申請を出しても順番待ちの状態のようです。
一方、個人情報保護法は、個人の権利と利益を保護するために、個人情報を取得し取り扱っている事業者に対し、さまざまな義務と対応を定めた国の法律で、個人情報保護の大枠の観点は同じなのですが、個々の規定ではそれぞれ差異があります。
ここでは、個人情報保護法とプライバシーマークの条文の比較を掲載するとともに、実際の運用において重要であろうと思われるポイントを6回コースで解説をいたします。 |
|
|
|
|
 |
|
|
|
個人情報保護法
(第2条1) |
|
プライバシーマーク(JIS Q 15001)
(3.a)個人情報) |
| 生存する |
|
「生存する」という条件の記載はない。 |
| 個人に関する情報であって、 |
|
|
| 当該情報に含まれる |
|
|
| 氏名、 |
|
|
| 生年月日 |
|
|
| その他の記述等 |
|
他に、例示的列挙として… |
| |
|
又は個人別に付けられた番号、記号、その他の符号、画像若しくは音声 |
| |
|
が記載されている。 |
| により特定の個人を識別することができるもの |
|
|
| (他の情報と用意に照合することができ、それにいより特定の個人を識別することができることとなるものを含む。) |
|
( )の中の表現はほぼ同様である |
| をいう。 |
|
|
|
|
|
|
|
|
個人情報保護法
(第15条) |
|
プライバシーマーク(JIS Q 15001)
(4.4.2.1収集の原則) |
| 1.利用の目的をできる限り特定しなければならない。 |
|
収集目的
明確に定め |
| 2.利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。 |
|
|
| |
|
プライバシーマーク(JIS Q 15001)
(4.4.3.2収集目的の範囲外の利用及び提供の場合の措置) |
| |
|
収集目的の範囲外 |
| |
|
利用及び提供 |
| |
|
通知し、事前の同意 |
|
|
|
|
|
|
個人情報保護法
(第16条1〜2) |
|
プライバシーマーク(JIS Q 15001)
(4.4.3.1利用及び提供の原則) |
| 1.あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。 |
|
情報主体が同意を与えた収集目的の範囲内 |
| 2.他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人の情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。 |
|
|
| 3.(省略) |
|
|
|
|
|
|
|
|
個人情報保護法
(第17条) |
|
プライバシーマーク(JIS Q 15001)
(4.4.2.2収集方法の制限) |
| 個人情報取扱事業者は、 |
|
適法、かつ、公正な手段 |
| 偽りその他不正の手段により |
|
|
| 個人情報を取得してはならない。 |
|
|
|
|
|
|
|
|
個人情報保護法
(第18条1〜2) |
|
プライバシーマーク(JIS Q 15001)
(4.4.2.4情報主体から直接収集する場合の措置) |
| 1.個人情報を取得した場合は、(途中省略)、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。 |
|
直接に
収集する場合
書面若しくはこれに代わる方法
通知し、同意 |
| 2.本人との間で契約を締結することに伴って契約書に記載された当該本人の個人情報を取得する場合、その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。(以下、省略) |
|
a)個人情報に関する管理社名や連絡先。
b)収集目的。
c)第三者提供の目的等。
d)預託を行う旨。
e)個人情報提供の任意性等。
f)開示請求権等。 |
|
|
|
|
|
|
個人情報保護法
(第18条1〜2) |
|
プライバシーマーク(JIS Q 15001)
(4.4.2.5情報主体以外から間接的に収集する場合の措置) |
| |
|
間接的に
収集する場合
4.4.2.4のa)〜d)及びf)に示す事項
書面又はこれに代わる方法
通知し、同意 |
|
|
|
|
|
|
個人情報保護法
(第18条3〜4) |
|
プライバシーマーク(JIS Q 15001)
(4.4.3.2収集目的の範囲外の利用及び提供の場合の措置) |
| 3.利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。 |
|
同意を与えた
範囲外
利用及び提供を行う場合 |
| 4.前三項の規定は、次に掲げる場合については、適用しない。(以下、省略) |
|
4.4.2.4のa)〜d)及びf)に示す事項
書面又はこれに代わる方法
通知し、事前の同意 |
|
|
|
|
|
|
個人情報保護法
(第19条) |
|
プライバシーマーク(JIS Q 15001)
(4.4.4.1個人情報の正確性の確保) |
| 個人情報取扱事業者は、 |
|
|
| 利用目的の達成に必要な範囲内において、 |
|
収集目的に応じ |
| 個人データを正確かつ最新の内容に保つよう努めなければならない。 |
|
|
|
|
|
|
|
|
個人情報保護法
(第20条) |
|
プライバシーマーク(JIS Q 15001)
(4.4.2個人情報の利用の安全性の確保) |
| 個人情報取扱事業者は、 |
|
|
| その取り扱う個人データの漏えい、滅失 |
|
|
| 又はき損の防止その他の個人データの安全管理のために |
|
|
| 必要かつ適切な措置を講じなければならない。 |
|
合理的な安全対策 |
|
|
|
|
|
|
個人情報保護法
(第21条) |
|
プライバシーマーク(JIS Q 15001)
(4.3.4計画書) |
| 個人情報取扱事業者は、 |
|
必要な教育、監査 |
| その従業者に個人データを取り扱わせるに当たっては、 |
|
などの計画を立案し、書面化し、かつ維持しなければならない。 |
| 当該個人データの安全管理が図られるよう、 |
|
プライバシーマーク(JIS Q 15001)
(4.4.1体制及び責任) |
| 当該従業者に対する必要かつ適切な監督を行わなければならない。 |
|
役割、責任及び権限を定め、文書化
役員及び従業員に周知 |
| |
|
管理者を事業者の内部から指名し、
責任及び権限を与え、業務を行わせなければならない。 |
|
|
|
|
個人情報保護法
(第21条) |
|
プライバシーマーク(JIS Q 15001)
(4.5監査) |
| |
|
コンプライアンス・プログラムがこの規格の要求事項と合致していること |
| |
|
その運用状況を
定期的に監査しなければならない。
|
| |
|
|
| |
|
監査責任者は、 |
| |
|
(1)監査を指揮 |
| |
|
(2)監査報告書を作成 |
| |
|
(3)事業者の代表者に報告 |
| |
|
|
| |
|
事業者は、 |
| |
|
(1)監査報告書を管理 |
| |
|
(2)保管 |
|
|
|
|
|
|
|
個人情報保護法
(第22条) |
|
プライバシーマーク(JIS Q 15001)
(4.4.4.3個人情報の委託処理に関する措置) |
個人情報取扱事業者は、
個人データの取扱いの全部又は一部を委託する場合は、 |
|
(1)十分な個人情報の保護水準を満たしている者を選定する基準を確立しなければならない。 |
その取扱いを委託された個人データの安全管理が図られるよう、
委託を受けた者に対する必要かつ適切な監督を行わなければならない。 |
|
(2)契約によって、
次に示す内容を規定し、
その保護水準を担保しなければならない。
|
| |
|
a)個人情報に関する秘密保持 |
| |
|
b)再委託に関する事項について |
| |
|
c)事故時の責任分担 |
| |
|
d)契約終了時の個人情報の返却及び消去 |
| |
|
(3).当該契約書などの書面又はこれに代わる記録を、個人情報の保有期間にわたって保存しなければならない。 |
|
|
|
|
|
|
|
個人情報保護法
(第23条1〜2三) |
|
プライバシーマーク(JIS Q 15001)
(4.4.3.1利用及び提供の原則) |
| 1.次に掲げる場合(省略)を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 |
|
同意を与えた収集目的の範囲内
で行わなければならない。 |
| 2.第三者に提供される個人データについて、本人の求めに応じて第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。 |
|
|
| 一.第三者提供を利用目的とすること |
|
|
| 二.第三者提供される項目 |
|
|
| 三.第三者提供の手段又は方法 |
|
|
|
|
|
|
個人情報保護法
(第23条2四〜4二) |
|
プライバシーマーク(JIS Q 15001)
(4.4.3.1利用及び提供の原則) |
| 四.本人の求めに応じて第三者への提供を停止すること。 |
|
|
| 3.前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。 |
|
|
| 4.次に掲げる場合において、第三項の規定の適用については、第三者に該当しないものとする。 |
|
|
| 一.個人データの取扱いの全部又は一部を委託する場合 |
|
|
二.合併その他の事由による事業の承継に伴って個人データが提供される
場合 |
|
|
|
|
|
|
個人情報保護法
(第23条4三〜5) |
|
プライバシーマーク(JIS Q 15001)
(4.4.3.1利用及び提供の原則) |
| 三.個人データを特定の者との間で共同して利用する場合、あらかじめ、下記の事項を本人に通知し、又は本人が容易に知り得る状態に置いているとき。 |
|
|
| (1).その旨 |
|
|
| (2).個人データの項目 |
|
|
| (3).共同して利用する者の範囲 |
|
|
| (4).利用する者の利用目的 |
|
|
| (5).個人データの管理について責任 |
|
|
| を有する者の氏名又は名称 |
|
|
| 5.前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。 |
|
|
|
|
|
|
| |
|
|
|
個人情報保護法
(第24条1) |
|
プライバシーマーク(JIS Q 15001)
(4.4.2.4情報主体から直接収集する場合の措置) |
| 1.保有個人データに関し、次に掲げる事項について、本人の知り得る状態に置かなければならない。 |
|
直接に
収集する場合
書面もしくはこれに代わる方法
通知、同意 |
| 一.個人情報取扱事業者の氏名又は名称 |
|
|
| 二.すべての保有個人データの利用目的 |
|
a)個人情報に関する管理者名や連絡先。 |
| 三.本人からの通知・開示・訂正等・利用停止等の求めに応じる手続(手数料の額を含む。) |
|
b)収集目的。 |
| 四.保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの |
|
c)第三者提供の目的等。 |
| |
|
d)預託を行う旨。 |
| |
|
e)個人情報提供の任意性等。 |
| |
|
f)開示請求権等。 |
| |
|
|
|
|
|
|
個人情報保護法
(第24条2〜3) |
|
プライバシーマーク(JIS Q 15001)
(4.4.2.4情報主体から直接収集する場合の措置) |
| 2.本人から保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。 |
|
|
| ただし、次の各号のいずれかに該当する場合は、この限りではない。(以下、省略) |
|
|
| 3.前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。 |
|
|
|
|
|
|
個人情報保護法
(第24条) |
|
プライバシーマーク(JIS Q 15001)
(4.4.2.5情報主体以外から間接的に収集する場合の措置) |
| |
|
間接的に
収集する場合 |
| |
|
4.4.2.4のa)〜d)及びf)に示す事項 |
| |
|
書面又はこれに代わる方法
通知し、同意 |
|
|
|
|
|
|
|
|
|
個人情報保護法
(第25条) |
|
プライバシーマーク(JIS Q 15001)
(4.4.5.1個人情報に関する権利) |
| 1.本人から、当該本人が識別される保有個人データの開示を求められたときは、本人に対し、遅滞なく、当該保有個人データを開示しなければならない。 |
|
合理的な期間内にこれに応じなければならない。
(後半省略:次ページ) |
| ただし、開示することにより その各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。(以下、省略) |
|
|
| 2.前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。 |
|
|
| 3.他の法令の規定により、(途中、省略)、当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第一項の規定は、適用しない。 |
|
|
|
|
|
|
|
個人情報保護法
(第26条) |
|
プライバシーマーク(JIS Q 15001)
(4.4.5.1個人情報に関する権利) |
| 1.本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除を求められた場合には、(途中、省略)、その内容の訂正等に関して、遅滞なく必要な調査を行い、当該保有個人データの内容の訂正等を行わなければならない。 |
|
(前半省略:前ページ)
(1)誤った情報があり、
訂正又は削除を求められた場合には、
合理的な期間内にこれに応じるとともに、 |
| 2.前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。 |
|
(2)訂正又は削除を行った場合は、
可能な範囲内で当該個人情報の受領者に対して通知を行わなければならない。 |
|
|
|
|
|
|
個人情報保護法
(第27条1) |
|
プライバシーマーク(JIS Q 15001)
(4.4.5.2個人情報の利用又は提供の拒否権) |
| 1.本人から、当該本人が識別される保有個人データが第十六条(利用目的による制限)の規定に違反して取り扱われているという理由又は第十七条(適正な取得)の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。(以下、省略) |
|
利用又は第三者への提供を拒まれた場合は、これに応じなければならない。 |
|
|
|
|
個人情報保護法
(第27条2) |
|
プライバシーマーク(JIS Q 15001)
(4.4.5.2個人情報の利用又は提供の拒否権) |
| 2.本人から、当該本人が識別される保有個人データが第二十三条第一項(第三者提供の制限)の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。 |
|
|
| ただし、多額の費用を要する場合、第三者提供を停止することが困難な場合であって、本人の権利利益を保護するため必要な措置をとるときは、この限りではない。 |
|
|
|
|
|
|
個人情報保護法
(第27条3) |
|
プライバシーマーク(JIS Q 15001)
(4.4.5.2個人情報の利用又は提供の拒否権) |
| 3.第一項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なくその旨を通知しなければならない。 |
|
|
|
|
|
|
|
|
|
個人情報保護法
(第28条) |
|
プライバシーマーク(JIS Q 15001) |
| 第二十四条第三項(公表)、第二十五条第二項(開示)、第二十六条第二項(訂正等)又は前条第三項(利用停止等)の規定により、 |
|
|
| 本人から求められた措置の全文又は一部について、 |
|
|
| その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、 |
|
|
本人に対し、
その理由を説明するよう努めなければならない。 |
|
|
|
|
|
|
|
|
個人情報保護法
(第29条1) |
|
プライバシーマーク(JIS Q 15001) |
| 1.第二十四条第二項(保有個人データに関する事項の公表等)、第二十五条第一項(訂正等)又は第二十七条第一項(利用停止又は消去)若しくは第二項(第三者提供の停止)の規定による求めに関し、 |
|
|
| 政令で定めるところにより、その求めを受け付ける方法を定めることができる。 |
|
|
| この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。 |
|
|
|
|
|
|
個人情報保護法
(第29条2) |
|
プライバシーマーク(JIS Q 15001) |
| 2.本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。 |
|
|
| この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。 |
|
|
|
|
|
|
個人情報保護法
(第29条3〜4) |
|
プライバシーマーク(JIS Q 15001) |
| 3.開示等の求めは、政令で定めるところにより、代理人によってすることができる。 |
|
|
| 4.前三項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。 |
|
|
|
|
|
|
|
個人情報保護法
(第30条) |
|
プライバシーマーク(JIS Q 15001) |
| 1.第二十四条第二項(保有個人データに関する事項の公表等)の規定による利用目的の通知又は第二十五条第一項の規定による開示を求められたときは、 |
|
|
| 当該措置の実施に関し、手数料を徴収することができる。 |
|
|
| 2.前項の規定により手数料を徴収する場合は、 |
|
|
| 実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。 |
|
|
|
|
|
|
|
|
個人情報保護法
(第31条) |
|
プライバシーマーク(JIS Q 15001)
(4.4.7苦情及び相談) |
| 1.個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。 |
|
受け付けて対応しなければならない。 |
| 2.前項の目的を達成するために必要な体制の整備に努めなければならない。 |
|
|
|
|
|
|
|
|
| Copyright 2008 KOKUYO Marketing Co., Ltd. All rights reserved. |
|
|
|
