コラム
個人情報取扱い事業者の責務
情報セキュリティポリシーを策定する上で、法律違反やコンプライアンス違反にならないようにするために組織としてどうすればよいか検討することも重要な要素となります。
少し古い事例にはなりますが、2005年4月に個人情報保護法が全面施行され、個人情報取扱事業者に対し、以下のことを義務付けています。
- 個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
- 個人情報を取得する場合には、利用目的を通知・公表しなければならない。なお、本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければならない。
- 個人データを安全に管理し、従業員や委託先も監督しなければならない。
- あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
- 事業者の保有する個人データに関し、本人からの求めがあった場合には、その開示を行わなければならない。
- 事業者が保有する個人データの内容が事実でないという理由で本人から個人データの訂正や削除を求められた場合、訂正や削除に応じなければならない。
- 個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない。
※(注記)個人情報保護委員会の命令に違反した場合や、報告義務に違反した場合には、罰則が科せられる場合があります。 - 個人情報保護委員会の命令に違反した者に1年以下の懲役 又は 100万円以下の罰金、法人に対しては1億円以下の罰金
- 報告義務に違反した場合 50万円以下の罰金
個人情報の取扱いに関する詳細については、個人情報保護委員会のサイトにガイドラインや相談窓口など有用な情報が掲載されています。 https://www.ppc.go.jp// (別タブで開く)