個人情報保護法の改正により指針を更新しました。
→こちらよりPDFファイルがダウンロードできます。
ご活用ください。
個人情報の保護に関する法律についての
葬儀事業者を対象とする指針
目 次
第1節 はじめに
第2節 令和2年改正個人情報保護法のポイント
1. 個人の権利の在り方
2. 事業者の守るべき責務の在り方
3. 事業者による自主的な取組を促す仕組みの在り方
4. データ利活用の在り方
5. ペナルティの在り方
6. 法の域外適用・越境移転の在り方
第3節 個人情報取扱事業者等の義務
1. 利用目的の特定(法第17条)
2. 利用目的による制限(法第18条)
3. 不適切な利用の禁止(法第19条)
4. 適正な取得(法第20条)
5. 取得に際しての利用目的の通知等(法第21条)
6. データ内容の正確性の確保等(法第22条)
7. 安全管理措置(法第23条)
8. 従業者の監督(法第24条)
9. 委託先の監督(法第25条)
10. 漏えい等の報告(法第26条)
11. 第三者提供の制限(法第27条)
12. 外国にある第三者提供への提供制限(法第28条)
13. 第三者提供に係る記録の作成等(法第29条)
14. 第三者提供を受ける際の確認等(法第30条)
15. 個人関連情報の第三者提供の制限(法第31条)
16. 保有固有データに関する事項の公表等(法第32条)
17. 保有個人データの開示(法第33条)
18. 保有個人データの訂正等(法第34条)
19. 保有個人データの利用停止等(法第35条)
20. 理由の説明(法第36条)
21. 開示等の請求等に応じる手続(法第37条)
22. 手数料(法第38条)
23. 個人情報取扱事業者による苦情の処理(法第40条)
24. 仮名加工情報取扱事業者等の義務(法第40条〜第41条)
25. 匿名加工情報取扱事業者等の義務(法第43条〜第46条)
第4節 個人情報取扱事業者等の義務のポイント
第5節 おわりに
第1節 はじめに
この指針は、個人情報の保護に関する法律(以下「法」といいます。)、法施行令・施行規則、個人情報保護委員会が公表するガイドライン・Q&A等を踏まえ、JECIA個人情報保護協会の会員である葬儀業者を対象として個人情報の適切な取扱いの確保に関する活動を支援することを目的として定めています。
したがって、この指針は、事業者にとって、会員全員の取り扱う個人情報の保護を図るための指針として定められています。また、この指針は、当協会が顧客から個人情報の取扱いに関する苦情についての解決の申し出を受け、苦情の処理等を行うときの基準としても定められています。
会員各社におかれては、この指針をご活用され、各社の状況に則した個人情報保護体制の構築を推進され、顧客の信頼をより一層高めていただきたくお願い申し上げます。
なお、使用する用語をはじめこの指針に記載されていない事項については、法、法施行令・施行規則、個人情報保護委員会が公表するガイドライン・Q&A等によることとします。
顧客が満足する葬儀を施行するためには、当然のこととして、故人や喪主に関する個人情報が必要となっています。
具体的には、喪主の住所、氏名、Eメール、電話番号、携帯番号等は勿論のこと、宗教・宗派、職業、勤務先、家族の氏名、親族の氏名・続柄等々の入手が考えられますが、これらが個人情報に該当します。
また、故人に関しては、死亡診断書や死亡届さらには生命保険証書、遺言書等にまで関与するケースも発生します。
さらに、故人を紹介し、偲ぶにあたって取り扱う関係者の氏名、続柄、写真、映像、音声といったものも個人情報となります。
会員の皆様におかれては、このような個人情報を取り扱う際には、この指針に従う必要があります。
さて、2015年に個人情報保護法が改正され3年後との見直し規定が盛り込まれ、2020年に同規定に基づく初めての法改正がおこなわれました。
会員の葬祭事業社が顧客の要請に応じて葬儀を施行していくためには、これらの個人情報を必然的に取り扱うことになりますが、取り扱う上で守らなければならない改正されたルールを以下に説明いたします。
第2節 令和2年改正個人情報保護法のポイント
1. 個人の権利の在り方
@ 利用停止・消去等の個人情報の請求権について、一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合等にも拡充する。
A 保有個人データの開示方法(従前は、原則、書面の交付)について、電磁的記録の提供を含め、本人が指示できるようにする。
B 個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。
C 6ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする。
D オプトアウト規定により第三者に提供できる個人データの範囲を制限し、不正取得された個人データ、オプトアウト規定により提供された個人データについても対象外とする。
2. 事業者の守るべき責務の在り方
@ 漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、委員会への報告
及び本人への通知を義務化する。
A 違法又は不当な行為を助長する等の不適切な方法により個人情報を利用してはならない旨を明確化する。
3. 事業者による自主的な取組を促す仕組みの在り方
@ 認定団体制度について、現行制度に加え、企業の特定分野(部門)を対象とする団体を認定できるようにする。
4. データ利活用の在り方
@ 氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務化を緩和する。
A 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される「個人関連情報」の第三者提供について、本人同意が得られていること等の確認を義務付ける。
5. ペナルティの在り方
@ 委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げる。
A 命令違反等の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げる
6. 法の域外適用・越境移転の在り方
@ 日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする。
A 外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実感を求める。
第3節 個人情報取扱事業者等の義務
1. 利用目的の特定(法第17条)
第1項 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
第2項 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
【解説】
「利用目的の特定」とは、利用目的を単に抽象的、一般的に特定するのではなく、可能な限り具体的に特定するとともに、個々の処理の目的を特定するにとどめるのではなく、あくまで個人情報取扱事業者において最終的にどのような目的で個人情報を利用するかを特定する必要があります。
<具体的対応>
(例1)「ご提供いただいた個人情報は、ご依頼を受けたご葬儀を滞りなく行うために利用させていただきます。その他の目的で利用する場合は、事前にご了承を得て利用いたします。」
(例2)「ご依頼を受けたご葬儀を滞りなく行うために利用するほか、後日行われる法要に関連した当社の各種サービスのご案内等に利用させていただきます。」
(例3)あらかじめ、個人情報を第三者に提供することを想定している場合には、以下のように、利用目的において、その旨特定しておく必要があります。
「ご記入いただいた氏名、住所、電話番号は、当社の取引先である返礼品販売会社、仏壇・仏具店及び墓石販売店に提供することがあります。」
2. 利用目的による制限(法第18条)
第1項 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
第2項 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
第3項 前2項の規定は、次に掲げる場合は、適用しない。
第1号 法令に基づく場合
第2号 人の生命、身体又は財産の保護のために必要な場合であって、本人の同意を得ることが困難であるとき。
第3号 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難である場合。
第4号 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力することが必要な場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
第5号 当該個人情報取扱事業者が学術研究等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害する恐れがある場合を除く。)。
第6号 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
【解説】
第1項関連
「本人の同意を得る」方法の具体例
(例1)同意する旨を本人から口頭又は書面(電子的・磁気的方法を含みます。)で確認すること。
(例2)本人が署名又は記名押印した同意する旨の申込書等文書を受領し確認すること。
(例3)ホームページで見積書作成を受ける場合、本人による同意する旨のホームページ上のボタンのクリック
第3項関連
特定された利用目的の利用範囲を超えて個人情報を取り扱う場合は、本人の同意が必要です。したがって、事業の拡大等により利用目的の追加や変更が想定される場合は、事業の拡大等の想定を踏まえたうえで利用目的の特定をしておくことも必要です。
3.不適正な利用の禁止(法第19条)
個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
【解説】
違法又は不当な行為とは、
・個人情報保護法その他の法令に違反する行為
・直ちに違法とはいえないものの、個人情報保護法その他の法令の制度趣旨や公序良俗に反している等、社会通念上、適正とは認められない行為をいう。
<具体的対応>
(例1)違法な行為を助長するおそれが想定されるにもかかわらず、違法な行為を営むことが疑われる事業者に対して、個人情報を提供すること。
(例2)裁判所による広告等により散在的に公開されている個人情報について、違法な差別が誘発されるおれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開すること。
(例3)性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、採用選考を通じて取得した個人情報を利用すること。
4. 適正な取得(法第20条)
第1項 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
第2項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
第1号 法令に基づく場合
第2号 人の生命、身体又は財産の保護のために必要な場合であって、本人の同意を得ることが困難であるとき。
第3号 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難である場合。
第4号 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力することが必要な場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
第5号 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
第6号 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術的研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究期間等が共同して学術研究を行う場合に限る。)。
第7号 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第57条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
第8号 その他前各号に掲げる場合に準ずるものとして政令で定める場合
【解説】
第1項関連(適正取得)
「その他不正な手段」には、違法な手段、社会倫理に反する手段は勿論のこと、違法な手段で取得したことを知りながら、買い取ることも含まれます。
第2項関連(要配慮個人情報の取得)
要配慮個人情報とは、人種、信条、社会的身分、病歴、前科・前歴、犯罪被害情報、その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものとして政令で定めるものに対し、個人情報を取得する場合です。ただし、既に取得(2015年改正法の全面施行以前)している要配慮個人情報については、改めて同意を得る必要はありません。
5. 取得に際しての利用目的の通知等(法第21条)
第1項 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
第2項 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急の必要がある場合は、この限りでない。
第3項 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
第4項 前3項の規定は、次に掲げる場合については、適用しない。
第1号 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
第2号 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
第3号 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
第4号 取得の状況から見て利用目的が明らかであると認められる場合
【解説】
第1項関連
「公表」とは、広く一般に自己の意思を知らせること(国民一般その他不特定多数の人々が知ることができるように発表すること)をいいます。
(例1)自社のホームページへの継続的掲載、自社の店舗・事務所・斎場内におけるポスター等の掲示、パンフレット等の備え置き・配布等
(例2)店舗販売においては、店舗の見やすい場所への掲示
(例3)会員制度における入会勧誘においては、勧誘用のパンフレットや入会申込用紙に記載
「本人に通知」とは、本人に直接知らしめることをいい、内容が本人に認知される合理的かつ適切な方法によらなければなりません。
(例1)面談においては、口頭又はチラシ等の文書を渡すこと。
(例2)遠隔地者間においては、電子メール、ファックス等により送信すること、又は文書を郵便等で送付すること。
(例3)電子商取引において、電子メールへの記載の方法によること。
第2項関連
「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱状況に応じ内容が本人に認知される合理的かつ適切な方法によらなければなりません。
(例1)利用目的を明記した契約書その他の書面(入会申込書等)を相手方である本人に手交し、又は送付すること。
契約約款又は利用条件等の書面中に利用目的条項を記載する場合は、例えば、裏面約款等に記載されている利用目的条項を表面にも記述する等、本人が実際に利用目的を確認できるよう留意する必要があります。
(例2)ネットワーク上において個人情報を取得する場合は、本人が送信ボタンをクリックする前等にその利用目的が本人の目にとまるようその配置に留意する必要があります。
「明示しなければならない場合」
(例1)申込書、契約書に記載された個人情報を本人から直接取得する場合
(例2)アンケートに記載された個人情報を直接本人から取得する場合
第4項第1号関連
(例)いわゆる総会屋等による不当要求等の被害を防止するため、当該個人に関する情報を取得し、相互に情報交換を行っている場合で、利用目的を通知又は公表することにより、当該総会屋等の逆恨みにより、第三者たる情報提供者が害を被るおそれがある場合
第4項第2号関連
(例)通知又は公表される利用目的の内容により、当該個人情報取扱事業者が行う新商品の開発内容、営業ノウハウ等の企業秘密に関わるようなものが明らかになる場合
第4項第3号関連
(例)公開手配を行わないで、被疑者に関する個人情報を、警察から被疑者の立ち回りが予想される個人情報取扱事業者に限って提供する場合、警察から受け取った当該個人情報取扱事業者が、利用目的を本人に通知し、又は公表することにより、捜査活動に重大な支障を及ぼすおそれがある場合
第4項第4号関連
(例1)商品・サービス等を販売・提供する場合、住所・電話番号等の個人情報を取得する場合があるが、その利用目的が当該商品の販売、サービスの提供のみを確実に行うためという自明の利用目的である場合
(例2)一般の慣行として名刺を交換する場合、書面により直接本人から、氏名・住所・所属・肩書・連絡先の個人情報を取得することとなるが、その利用目的が今後の連絡のためという自明の利用目的であるような場合(ただし、ダイレクトメール等の目的に名刺を用いる場合を除きます。)
6. データ内容の正確性の確保等(法第22条)
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
【解説】
保有する個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足ります。
7. 安全管理措置(法第23条)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
【解説】
「安全管理のために必要かつ適切な措置」とは、組織的、人的、物理的及び技術的安全管理措置をいい、その際、本人の個人データが漏えい、滅失又は毀損等をした場合に本人が被る権利利益の侵害の大きさを考慮します。事業の性質及び個人データの取扱い状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとします。その際には、個人データを記録した媒体の性質に応じた安全管理措置を講じることが望ましいです。
〔1〕組織的安全管理措置
安全管理について従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備・運用し、その実施状況を確認することをいいます。
<具体的対応>
安全管理措置を講じるための組織体制の整備
安全管理措置を定める規程等の整備と規程等に従った運用
(1)個人情報保護方針・プライバシーポリシー(以下の事項を盛り込みます。)
ア 取得、利用及び提供
イ リスクの予防並びに是正
ウ 法令及びその他の規範の遵守
エ 継続的改善
(2)個人情報保護規程(基本規程として以下の事項を盛り込みます。)
ア 個人情報の取得、利用及び提供
イ 安全管理義務
ウ 本人の権利利益への対応
エ 社員教育
オ 苦情への対応、監査
カ マネジメントシステムの見直し
キ 文書管理
(3)詳細規程(基本規程を受けた以下についての具体的な手順、手段等の詳細規程)
ア 社内の各部門・階層における個人情報保護の権限と責任
イ 個人情報の取得、利用、提供及び管理
ウ 本人からの個人情報に関する開示、訂正及び利用停止
エ 個人情報保護に関する社員教育
オ 個人情報保護に関する監査
カ 内部規程の違反に関する罰則
キ 個人情報のリスクに対する予防措置
ク 苦情処理
ケ 文書管理
コ その他
〔2〕人的安全管理措置
人的安全管理措置とは、従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいいます。
<具体的対応>
人的安全管理措置として講じることが望まれる事項
(1)雇用及び契約時における非開示契約の締結をする上で望まれる事項
ア 従業者の採用時又は委託契約時における非開示条項
契約終了後も一定期間有効であるようにすることが望ましいです。
イ 非開示契約に違反した場合の措置に関する規程の整備
個人データを取り扱う従業者ではないが、個人データを保有する建物等に立ち入る可能性があるもの、個人データを取り扱う情報システムにアクセスする可能性があるものについてもアクセス可能な関係者の範囲及びアクセス条件について契約書等に明記することが望ましいです。これらには、例えば、情報システムの開発・保守関係者、清掃担当者、警備員等が含まれます。
(2)従業者に対する周知・教育・訓練の実施する上で望まれる事項
ア 個人データ及び情報システムの安全管理に関する従業者の役割及び責任を定めた内部規程等についての周知
イ 従業者の役割及び責任についての教育・訓練の実施
ウ 従業者に対する教育・訓練が必要かつ適切に実施されていることの確認
〔3〕物理的安全管理措置
物理的安全管理措置とは、入退館(室)の管理、個人データの盗難の防止等の措置並びに機器・装置等の物理的な保護に関する措置をいいます。
<具体的対応>
物理的安全管理措置として講じることが望まれる事項
(1) 盗難等に対する対策の上で望まれる事項
ア 離席時の個人データを記した書類、媒体、ノートパソコン等の机上等への放置の禁止
イ 離席時のパスワード付きスクリーンセイバー等の起動
ウ 個人データを含む媒体の施錠保管
エ 氏名、住所、メールアドレス等を記載した個人データとそれ以外の個人データの分離保管
オ 個人データを取り扱う情報システムの操作マニュアルの机上等への放置の禁止
(2) 機器・装置等の物理的な保護の上で望まれる事項
個人データを取り扱う機器・装置等の、安全管理上の脅威(例えば、盗難、破壊、毀損)や環境上の脅威(例えば、漏水、火災、停電)からの物理的な保護
〔4〕技術的安全管理措置
技術的安全管理とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいいます。
(1)個人データへのアクセスにおける識別と認証を行う上で望まれる事項
ア 個人データに対する正当なアクセスであることを確認するためにアクセス権限を有する従業者本人であることの識別と認証(例えば、IDとパスワードによる認証、生体認証等)の実施
イ 個人データへのアクセス権限を有する各従業者が使用できる端末又はアドレス等の識別と認証(例えば、MACアドレス認証、IPアドレス認証)の実施
(2)個人データへのアクセス制御を行う上で望まれる事項
ア 個人データへのアクセス権限を付与すべき従業者数の最小化
イ 識別に基づいたアクセス制御
ウ 従業者に付与するアクセス権限の最小化
エ 個人データを格納した情報システムへの同時利用者数の制限
オ 個人データを格納した情報システムの利用時間の制限
カ 個人データを格納した情報システムへの無権限アクセスからの保護
キ 個人データにアクセス可能なアプリケーションの無権限利用の防止
ク 個人データを取り扱う情報システムに導入したアクセス制御機能の有効性の検証
(3)個人データへのアクセス権限の管理を行う上で望まれる事項
ア 個人データにアクセスできる者を許可する権限管理の適切な実施
イ 個人データを取り扱う情報システムへの必要最小限のアクセス制御の実施
(4)個人データのアクセスの記録を行う上で望まれる事項
ア 個人データへのアクセスや操作の成功と失敗の記録
イ 採取した記録の漏えい、滅失及び毀損からの適切な保護
(5)個人データを取り扱う情報システムに対する不正ソフトウェア対策の実施の上で望まれる事項
ア ウイルス対策ソフトウェアの導入
イ オペレーティングシステム(OS)、アプリケーション等に対するセキュリティ対策用修正ソフトウェア(いわゆる、セキュリティバッチ)の適用
ウ 不正ソフトウェア対策の有効性・安全性の確認(例えば、パターンファイルや修正ソフトウェアの更新の確認)
(6)個人データの移送(運搬、郵送、宅配便等)・通信時の対策の上で望まれる事項
ア 移送時における紛失・盗難した際の対策(例えば、媒体に保管されている個人データの暗号化)
イ 盗聴される可能性のあるネットワーク(例えば、インターネットや無線LAN等)で個人データを通信(例えば、本人及び従業者による入力やアクセス、メールに添付してファイルを送信する等を含むデータの転送等)する際の、個人データの暗号化
(7)個人データを取り扱う情報システムの動作確認時の対策の上で望まれる事項
ア 情報システムの動作確認時のテストデータとして個人データを利用することの禁止
イ 情報システムの変更時に、それらの変更によって情報システム又は運用環境のセキュリティが損なわれないことの検証
(8)個人データを取り扱う情報システムの監視を行う上で望まれる事項
ア 個人データを取り扱う情報システムの使用状況の監視
イ 個人データへのアクセス状況(操作内容も含みます。)の監視
8. 従業者の監督(法第24条)
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
【解説】
個人情報取扱事業者は、法第23条に基づく安全管理措置を遵守させるよう、従業者に対し必要かつ適切な監督をしなければなりません。
「従業者」とは、個人情報取扱事業者の組織内にあって直接・間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員も含まれます。
従業者に対して必要かつ適切な監督を行っていない場合の事例
(例1)従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを、予め定めた間隔で定期的に確認せず、結果、個人データが漏えいした場合
(例2)内部規程等に違反して個人データが入ったノートパソコンを繰り返し持ち出し、それを放置した結果、紛失し、個人データが漏えいした場合
9. 委託先の監督(法第25条)
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
【解説】
「必要かつ適切な監督」には、委託契約において委託者である個人情報取扱事業者が定める安全管理措置の内容を契約に盛り込むとともに、当該契約の内容が遵守されていることを、予め定めた間隔で定期的に確認することも含まれます。
また、委託者が受託者について「必要かつ適切な監督」を行っていない場合で、受託者が再委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じた場合は、元の委託者がその責めを負うことがあり得るので、再委託する場合は注意を要します。
<具体的対応>
個人データの取扱いを委託する場合に契約書への記載が望まれる事項
(1)委託者及び受託者の責任の明確化
(2)個人データの安全管理に関する事項
ア 個人データの漏えい防止、盗用禁止に関する事項
イ 委託契約範囲外の加工、利用、複写、複製の禁止
ウ 委託処理期間
エ 委託処理終了後の個人データの返還・消去・廃棄に関する事項
(3)再委託に関する事項
ア 再委託を行うに当たっての委託者への文書による報告
イ 個人データの取扱状況に関する委託者への報告の内容及び頻度
ウ 契約内容が遵守されていることの確認
エ 契約内容が遵守されなかった場合の措置
オ セキュリティ事件・事故が発生した場合の報告・連絡に関する事項
10. 漏えい等の報告等(法第26条)
第1項 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りではない。
第2項 前項に規定する場合は、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではない。
【解説】
個人情報保護委員会が義務化した対象事案
要配慮個人情報の漏えい等、財産的被害のおそれがある漏えい等、不正の目的によるおそれがある漏えい等、1,000件を超える漏えい等で件数にかかわり無く対象。
11. 第三者提供の制限(法第27条)
第1項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
第1号 法令に基づく場合
第2号 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
第3号 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
第4号 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
第5号 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
第6号 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
第7号 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
第2項 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第20条第1項の規定に違反して取得されたもの若くは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りではない。
第1号 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人であっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第30条第1項第1号及び第32条第1項第1号において同じ。)の氏名
第2号 第三者への提供を利用目的とすること。
第3号 第三者に提供される個人データの項目
第4号 第三者に提供される個人データの取得の方法
第5号 第三者への提供の方法
第6号 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
第7号 本人の求めを受け付ける方法
第8号 その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
第3項 個人情報取扱事業者は、前項第1号に掲げる事項を変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第3号から第5号まで、第7号又は第8号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
第4項 個人情報保護委員会は、第2項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
第5項 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
第1号 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
第2号 合併その他の事由による事業の承継に伴って個人データが提供される場合
第3号 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
第6項 個人情報取扱事業者は、前項第3号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
【解説】
第三者提供とされる事例(ただし、第27条第6項の場合を除きます。)
(例1)親子兄弟会社、グループ会社の間で個人データを交換する場合
(例2)フランチャイズ組織の本部と加盟店の間で個人データを交換する場合
(例3)同業者間で、特定の個人データを交換する場合
第三者提供とされない事例(ただし、利用目的による制限があります。)
(例)同一事業者内で他部門へ個人データを提供すること。
第1項第1号関連
(例)所得税法による税務署長に対する支払調書等の提出
第1項第2号関連
(例)企業間において、意図的に業務妨害を行う者の情報についての情報交換
第2項関連 (オプトアウト)
個人情報取扱事業者は、第三者提供におけるオプトアウトを行っている場合には、本人の同意なく、個人データを第三者に提供することができます。
「第三者提供におけるオプトアウト」とは、提供にあたり、あらかじめ、以下の(1)〜(5)の情報を、本人に通知する又は本人が容易に知り得る状態に置いておくとともに、個人情報保護委員会に届け出ることをいいます。
(1) 第三者への提供を利用目的とすること。
(2) 第三者に提供される個人データの項目(例 氏名、住所、電話番号、商品購入履歴)
(3) 第三者に提供される個人データの取得の方法
(4) 第三者への提供の手段又は方法(例 書籍として出版、インターネットに掲載)
(5) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
(6) 本人の求めを受け付ける方法
(7) その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
第5項第1号関連
個人データの取扱いに関する業務の全部又は一部を委託する場合は、第三者に該当しませんが、委託元の個人情報取扱事業者には、委託先に対する監督義務が課せられることになります(法第25条関連)。
(例1)データの打ち込み等、情報処理を委託するために個人データを渡す場合
(例2)注文を受けた商品の発送のために、宅配業者に個人データを渡す場合
第5項第2号関連
(例1)合併、分社化により、新会社に個人データを渡す場合
(例2)営業譲渡後に、譲渡先企業に個人データを渡す場合
第5項第3号関連
個人データを特定の者との間で共同して利用する場合、以下の(1)〜(4)の情報をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いておくとともに、共同して利用することを明らかにしている場合は、第三者に該当しません。
(1)、(2)については、変更することができませんが、(3)、(4)(責任者事態の変更)については、本人が想定することが困難でない範囲内で変更することができ、あらかじめ、本人に通知又は本人の容易に知り得る状態に置かなければならなくなります。また、(4)(責任者の変更はしないものの、その氏名、名称、代表者の氏名を変更した場合)には、遅滞なく、本人に通知又は本人に知り得る状態に置く必要があります。
(1)共同して利用される個人データの項目(例:氏名、住所、電話番号、商品購入履歴等)
(2)本人からみてその外延が明確である程度の共同利用者の範囲(外延が明確である限りは、必ずしも個別列挙が必要ない場合もあります。)
(3)利用する者の利用目的(別々の利用目的で利用することはできません。)
(4)開示等の請求及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名(共同利用者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する事業者を、「責任を有する者」といい、共同利用者の内部の担当責任者をいうのではありません。)
12. 外国にある第三者提供への提供制限(法第28条)
第1項 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下この条及び第31条第1項第2号において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三者において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次工並びに同号において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
第2項 個人情報保護委員会規則は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、該当外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
第3項 個人情報取扱事業者は、個人データを外国にある第三者(第1項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
【解説】
当該規定の解釈は、改正法の国会における審議を踏まえ、事業者に対して新たな規制を課するものではなく、事業者において現在適切に行われている個人情報の取扱いを追認するものとなっています。また、衆議院内閣委員会における附帯決議(平成27年5月20日)及び参議院内閣委員会における附帯決議(平成27年8月27日)を踏まえ、海外における個人情報の保護を図りつつ、国境を越えた個人情報の移転を不当に阻害しないよう現実的な規制を構築するものとなっています。
外国にある第三者に対する個人データの提供についての考え方、具体例等については、個人情報保護法ガイドライン(外国にある第三者への提供編)をご参照下さい。
13. 第三者提供に係る記録の作成等(法第29条)
第1項 個人情報取扱事業者は、個人データを第三者(第16条第2項各号に掲げる者を除く。以下この条及び次条(第31条第3項において読み替えて準用する場合を含む。) において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第27条第1項各号又は第5項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第27条第1項各号のいずれか)に該当する場合は、この限りではない。
第2項 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
【解説】
平成26年に発生した民間企業における大規模漏えい事案を契機として、いわゆる名簿業者を介在し、違法に入手された個人データが社会に流通している実態が社会に認識されました。これを受けて、法に、個人データの適正な第三者提供を確保するための規定が設けられています。
まず、個人情報取扱事業者が第三者から個人データの提供を受ける場合には、違法に入手された個人データが流通することを抑止するため、当該第三者が当該個人データを取得した経緯等を確認する義務を課しています(法第30条)。
また、仮に個人データが不正に流通した場合でも、個人情報保護委員会が個人情報取扱事業者に対して報告徴収・立入検査を行い(法第145条)、記録を検査することによって、個人データの流通経路を事後的に特定することができるようにする必要があります。したがって、個人情報取扱事業者が第三者に個人データを提供する場合又は第三者から個人データの提供を受ける場合には、当該第三者の氏名等の記録を作成・保存しなければならなくなりました(法第29条、第30条)。
他方、この確認・記録義務により、正常な事業活動を行っている個人情報取扱事業者に対する過度な負担を懸念する声が多く上がっていることから、現実的な規制を構築するものとなっています(衆議院内閣委員会における附帯決議(平成27年5月20日)、参議院内閣委員会における附帯決議(平成27年8月27日))。
個人情報保護法ガイドライン(第三者提供時の確認・記録義務編)においては、違法に入手された個人データの流通を抑止する趣旨を踏まえつつ、事業者に対する過度な負担を回避するため、確認・記録義務の適切な運用の整理を示しております。詳細については同ガイドラインをご参照下さい。
個人データの第三者提供の確認・記録義務についての考え方、具体例等については、個人情報保護法ガイドライン(第三者提供時の確認・記録義務編)をご参照下さい。
14. 第三者提供を受ける際の確認等(法第30条)
第1項 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第27条第1項各号又は第5項各号のいずれかに該当する場合は、この限りではない。
第1号 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
第2号 当該第三者による当該個人データの取得の経緯
第2項 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
第3項 個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
第4項 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
【解説】
詳細については個人情報保護法ガイドライン(第三者提供時の確認・記録義務編)をご参照下さい。
15. 個人関連情報の第三者提供の制限等(法第31条)
第1項 個人情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第6章において同じ。)を個人データとして取得することが想定されるときは、第27条第1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を該当第三者に提供してはならない。
第1号 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
第2号 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
第2項 第28条第3項の規定は、前項の規定により個人情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第3項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
第3項 前条第2項から第4項までの規定は、第1項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条代3項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。
【解説】
提供元では個人データに該当しないが、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける。
同意を取得する主体は、本人と接点を持ち、情報を利用する主体となる提供先。
個人関連情報とは、
・Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
・ある個人の商品購買履歴・サービス利用履歴
・ある個人の位置情報
※個人情報に該当する場合は、個人関連情報に該当しない。
16. 保有固有データに関する事項の公表等(法第32条)
第1項 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
第1号 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
第2号 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。)
第3号 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
第4号 前3号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
第2項 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
第1号 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
第2号 第21条第4項第1号から第3号までに該当する場合
第3項 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。
【解説】
開示等の請求等に応じる手続については、本人の知り得る状態に置かなければなりませんが、本人の求めに応じて遅滞なく回答する場合も含むとされています(法第32条第1項)。
例えば、問合せ窓口を設け、問合せがあれば、口頭又は文書で回答できるよう体制を構築しておけば足ります。
なお、問合せ窓口(保有個人データの取扱いに関する苦情の申出先。施行令第10条第2号)については、分かりやすくしておくことが望ましいと考えられます。
17. 保有個人データの開示(法第33条)
第1項 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。
第2項 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し政令で定める方法により、遅滞なく、当該保有データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
第1号 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
第2号 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
第3号 他の法令に違反することとなる場合
第3項 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければならない。
第4項 他の法令の規定により、本人に対し第2項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第1項及び第2項の規定は、適用しない。
第5項 第1項から第3項までの規定は、当該本人が識別される個人データに係る第29条第1項及び第30条第3項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第37条第2項において「第三者提供記録」という。)について準用する。
【解説】
個人情報取扱事業者は、本人から、自己が識別される保有個人データの開示(存在しないときにはその旨を知らせることを含みます。)の請求を受けたときは、本人に対し、当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければなりません。
ただし、開示することにより第1号から第3号のいずれかに該当する場合は、その全部又は一部を開示しないことができますが、この場合は、その旨を本人に通知しなければなりません。
なお、他の法令の規定により、別途開示の手続が定められている場合には、当該別途の開示の手続が優先されることとなります。
18. 保有個人データの訂正等(法第34条)
第1項 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。
第2項 個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
第3項 個人情報取扱時事業者は、第1項の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正を行ったときは、その内容を含む。)を通知しなければならない。
【解説】
保有個人データの訂正等の請求について規定しております。保有個人データの内容が事実でないときに訂正等を行う義務が生じます。そのため、訂正等の対象が事実でなく評価に関する情報である場合には、訂正等を行う必要はありません。
ただし、評価に関する保有個人データに評価の前提となっている事実も記載されており、それに誤りがある場合においては、その限りにおいて訂正等を行う義務が生じます。
19. 保有個人データの利用停止等(法第35条)
第1項 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第18条若しくは第19条の規定に違反して取り扱われているとき、又は第20条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。) を請求することができる。
第2項 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を訂正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するために必要なこれに代わるべき措置をとるときは、この限りでない。
第3項 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第28条第1項又は第24条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
第4項 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するために必要なこれに代わるべき措置をとるときは、この限りでない。
第5項 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第26条第1項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。
第6項 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではない。
第7項 個人情報取扱事業者は、第1項若しくは第5項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第3項若しくは第5項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
【解説】
新商品の宣伝のためのダイレクトメール、ちらし、パンフレット等を送付する場合、利用目的をお客様に通知又は公表している限り、原則として、それらの郵便物等を送付することができます。
ただし、個人情報取扱事業者は、保有個人データを利用目的による制限(法第18条)及び不適正な利用の禁止(法第19条)の規定に違反して取り扱っている場合又は適正な取得(法第20条)の規定に違反して取得したものである場合には、保有個人データの利用の停止等の請求を受けた際に原則として当該保有データの利用の停止又は消去をする義務があります。
また、個人情報取扱事業者は、保有個人データが第三者提供の制限(第27条第1項又は第28条)の規定に違反して第三者に提供されている場合には、保有個人データの第三者提供の停止の請求を受けた際に原則として当該保有個人データの第三者提供を停止する義務があります。
加えて、個人情報取扱事業者は、当該本人が識別される個人保有データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第26条第1項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、保有個人データの利用の停止等の請求や第三者提供の停止の請求を受けた際に原則として当該保有データの利用の停止等又は第三者提供の停止をする義務があります。
20. 理由の説明(法第36条)
個人情報取扱事業者は、第32条第3項、第33条第3項(同条第5項において準用する場合を含む。)、第34条第3項又は前条第7項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。
【解説】
個人情報取扱事業者は、本人から、自己が識別される保有個人データの開示(存在しないときにはその旨を知らせることを含みます。)の請求を受けたときは、本人に対し、書面の交付による方法(開示の請求を行った者が同意した方法があるときはその方法)により、遅滞なく、当該保有個人データを開示しなければなりません。
ただし、開示することにより第1号から第3号のいずれかに該当する場合は、その全部又は一部を開示しないことができるが、この場合は、その旨を本人に通知しなければなりません。
21. 開示等の請求等に応じる手続(法第37条)
第1項 個人情報取扱事業者は、第32条第2項の規定による求め又は第33条第1項(同条第5項において準用する場合を含む。次条第1項及び第39条において同じ。)、第34条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求(以下この条及び第54条第1項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。
第2項 個人情報取扱事業者は、本人に対し、開示等の請求に関し、その対象となる保有個人データ又は第三者提供記録を特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データ又は第三者提供記録の特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
第3項 開示等の請求等は、政令で定めるところにより、代理人によってすることができる。
第4項 個人情報取扱事業者は、前3項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
【解説】
個人情報取扱事業者は、開示等の請求等において、その請求等を受け付ける方法として以下の(1)〜(4)の事項を定めることができます。また、その請求等を受け付ける方法を定めた場合には、本人の知り得る状態に置いておかなければなりません。
なお、個人情報取扱事業者が、開示等の請求等を受け付ける方法を合理的な範囲で定めたときで、請求等を行った者がそれに従わなかった場合は、開示等を拒否することができます。
(1)開示等の請求等の受付先
(2)開示等の請求等に際して提出すべき書面(電子的、磁気的方式その他の方式で作られる方式を含みます。)の様式、その他の開示等の請求等の受付方法(郵送、FAXで受け付ける等)
(3)開示等の請求等をする者が本人又はその代理人であることの確認の方法
(4)保有個人データの利用目的の通知、又は保有個人データの開示をする際に徴収する手数料の徴収方法
22. 手数料(法第38条)
個人情報取扱事業者は、第32条第2項の規定による利用目的の通知を求められたとき又は第33条第1項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。
第2項 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
【解説】
本人から保有個人データの開示の請求を受けた個人情報取扱事業者は、開示の実施に関して手数料を徴収することが認められています。しかし、その手数料の額は、実費を勘案して合理的であることが認められる範囲内で定めなければなりません。
また、開示の方法については、開示の請求を行った者が同意した方法でない限り、書面の交付によるものとされています。
なお、個人情報保護取扱事業者のみの都合で閲覧のみにすることは法に違反する可能性があります。
23. 個人情報取扱事業者による苦情の処理(法第40条)
第1項 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
第2項 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
【解説】
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならなりません。また、苦情の適切かつ迅速な処理を行うにあたり、苦情処理窓口の設置や苦情処理の手順を定める等必要な体制の整備に努めなければなりません。
会員は、苦情処理窓口として自社の相談窓口とJECIA個人情報保護協会の個人情報相談センターを利用することになります。
苦情相談窓口を示す際には、自社の相談窓口とともに、以下のような記載で「JECIA個人情報保護協会」を併記することが考えられます。
※※※※ 苦情相談窓口 ※※※※
認定個人情報保護団体 JECIA個人情報保護協会 苦情相談センター
24.仮名加工情報取扱事業者等の義務(法第41条〜第42条)
<仮名加工情報の作成等(法第41条)>
第1項 個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
第2項 個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第3項において読み替えて準用する第7項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。
第3項 仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)は、第18条の規定にかかわらず、法令に基づく場合を除くほか、第17条第1項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。
第4項 仮名加工情報についての第21条の規定の適用については、同条第1項及び第3項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第4項第1号から第3号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。
第5項 仮名加工情報取扱事業者は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第22条の規定は、適用しない。
第6項 仮名加工情報取扱事業者は、第27条第1項及び第2項並びに第28条第1項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第27条第5項中「前各項」とあるのは「第41条第6項」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第6項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第29条第1項ただし書中「第27条第1項各号又は第5項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第27条第1項各号のいずれか)」とあり、及び第30条第1項ただし書中「第27条第1項各号又は第5項各号のいずれか」とあるのは「法令に基づく場合又は第27条第5項各号のいずれか」とする。
第7項 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
第8項 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
第9項 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第17条第2項、第26条及び第32条から第39条までの規定は、適用しない。
<仮名加工情報の大三者提供の制限等(法第42条)>
第1項 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第3項において同じ。)を第三者に提供してはならない。
第2項 第27条第5項及び第6項の規定は、仮名加工情報の提供を受ける者について準用する。この場合において、同条第5項中「前各項」とあるのは「第42条第1項」と、同項第1号中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第6項中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。
第3項 第23条から第25条まで、第40条並びに前条第7項及び第8項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。この場合において、第23条中「漏えい、滅失又は毀損」とあるのは「漏えい」と、前条第7項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。
【解説】
イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への義務を緩和する。
仮名加工情報とは、
個人情報を他の情報と照合しない限り特定の個人を識別できないように加工した情報
仮名加工情報として加工すれば、個人情報に該当しても、以下の義務は適用除外となる
@ 利用目的の変更制限(新たな目的で利用可能)
※ 本人を識別しない、内部での分析・利用であることが条件
A 漏えい等の報告等
B 開示・利用停止の請求対応
作成元の「個人情報」は残したまま、これまで通り利用可能
※ (仮名加工情報でない)通常の個人データとして取り扱う限り、当該個人情報に一定の加工が施された情報も含め、本人同意の下で第三者への提供が可能
25. 匿名加工情報取扱事業者等の義務(法第43条〜第46条)
<匿名加工情報の作成等(法第43条)>
第1項 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下この章及び第6章において同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。
第2項 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。
第3項 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
第4項 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
第5項 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
第6項 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
<匿名加工情報の提供(第44条)>
匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節において同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
<識別行為の禁止(第45条)>
匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第43条第1項若しくは第104条第1項(同条第2項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
<安全管理措置等(第46条)>
匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
【解説】
匿名加工情報とは、個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいいます。
匿名加工情報を作成するためには、法に従った加工をしなければなりませんが、匿名加工情報は、個人情報とは異なり、緩やかな規律の下で取り扱うことができるため、ビッグデータの利活用を行う際には匿名加工情報という制度を用いることが考えられます。
第4節 個人情報取扱事業者等の義務のポイント
1. 利用目的の特定(法第17条)……法的義務
個人情報を取り扱うに当たっては、利用目的がどのようなものなのかを具体的かつ明確にする必要があります。
2. 利用目的による制限(法第18条)……法的義務
個人情報を利用する際には、特定した利用目的の範囲内で利用するようにご注意ください。
3. 不適正な利用の禁止(法第19条)……法的義務
4. 適正な取得(法第20条)……法的義務
不正な手段で個人情報を取得することが許されないことはもちろんのこと、本人の同意を得ないで要配慮個人情報を取得することは原則として許されません。
5. 取得に際しての利用目的の通知等(法第21条)……法的義務
本人から直接書面で個人情報を取得する際には、利用目的を明示しなければなりません。それ以外の場合、取得に際して利用目的を通知・公表しなければなりません。
6. データ内容の正確性の確保等(法第22条)……努力義務
7. 安全管理措置(法第23条)……法的義務
組織的、人的、物理的及び技術的安全管理措置が求められており、いわゆる人、物、金を要する措置です。従って、自社の状況、体力を充分に考慮することが大切です。
8. 従業者の監督(法第24条)……法的義務s
9. 委託先の監督(法第25条)……法的義務
これらは共に、単なる規程・誓約書の手当てや、契約書の取り交わしだけでなく、運用面の具体的なチェック作業が求められています。
10. 漏えい等の報告等(法第26条)……法的義務
11. 第三者提供の制限(法第27条)……法的義務
個人データを第三者に提供する場合には、原則として本人の同意を得る必要があります。もっとも、委託や共同利用による提供の場合には第三者提供に該当しないことにご注意下さい。
12. 外国にある第三者への提供の制限(法第28条)……法的義務
13. 第三者提供に係る記録の作成等(法第29条)……法的義務
14. 第三者提供を受ける際の確認等(法第30条)……法的義務
15. 個人関連情報の第三者提供の制限(法第31条)……法的義務
16. 保有個人データに関する事項の公表等(法第32条)……法的義務
保有個人データについては、一定の事項について本人の知り得る状態に置かなければなりません。例えば、苦情の申出先を本人の知り得る状態に置かなければならないので、当協会の会員は、苦情の申出先として、「JECIA個人情報保護協会 苦情相談センター」も公表するなどの対応が求められます。
17. 保有個人データの開示(法第33条)……法的義務
18. 保有個人データの訂正等(法第34条)……法的義務
19. 保有個人データ利用停止等(法第35条)……法的義務
これら3条は、いずれも法第27条に関連した条文ですが、本人から当該本人の個人情報について、開示、訂正、利用停止等の求めがあった場合、原則としてこれに応じなければなりません。また、開示の方法は、書面の交付によることが原則ですが、本人が同意すればメール、電話等でも可能です。
20. 理由の説明(法第36条)……努力義務
上記4条について、本人からの求め又は請求に対して応じなかったり、異なる対応をしたりする場合は、その理由を説明するよう努めなければなりません。
21. 開示等の請求等に応じる手続(法第37条)……法的義務
開示等の請求等を受け付ける方法として以下の4項目を定めることができますが、本人の知り得る状態(ホームページに掲載する等)に置くことが必要です。
(1)開示等の請求等の受付先
(2)提出すべき書面の様式、その他の請求等の受付方法(郵便、FAX等)
(3)請求等をする者が本人又はその代理人であることの確認の方法
(4)通知又は開示をする際に徴収する手数料の徴収方法
なお、個人情報取扱事業者が、開示等の請求等を受け付ける方法を合理的な範囲で定めたときで、請求等を行った者がそれに従わなかった場合は、開示等を拒否することができます。
悪質なクレーマー等の排除策として有効な手段と考えられますが、必要以上に煩雑な書類を求めたり、本人に過重な負担を課したりと、善良な消費者に対しては、かえって企業イメージをダウンさせかねません。慎重に検討して決定する必要があります。
22. 手数料(法第38条)……法的義務
保有個人データの利用目的の通知や開示を求められたときは、その実施に必要な実費を勘案して合理的であると認められる範囲内で定めた手数料を徴収することができます。
23. 個人情報取扱事業者による苦情の処理(法第40条)……努力義務
個人情報の取扱いに関する苦情が発生した場合、適切かつ迅速な処理を求められています。本条は、努力義務規定ですが、法第27条では、「苦情の申出先」を本人の知り得る状態に置くことが求められているため、苦情相談窓口の設置が事実上義務付けられています。
24.仮名加工情報取扱事業者等の義務(法第41条〜法第42条)……法的義務(努力義務も含みます。)
25.匿名加工情報取扱事業者等の義務(法第43条〜法第46条)……法的義務(努力義務も含みます。)
第5節 おわりに
最後に、ホームページに個人情報保護方針(プライバシーポリシー等)を公表するに当たり、一言申し上げます。
いまや葬祭業は、単なる請負業ではなく、立派なサービス業でありかつ立派な情報産業です。
サービス業に大切なことの第一は、顧客の信頼・信用を勝ち取ることです。
情報産業としての葬儀会社に大切なことは、いかにして有効な情報をより多く集め、その情報をいかに活用して葬儀の受注に結びつけるかということです。
言い換えれば、将来の見込み客としての会員をいかに多く獲得し、会員からの受注率をいかにして引き上げるかということになろうかと思います。
顧客の信頼を勝ち取り、将来の見込み客情報をより多く獲得するためには、顧客が抱いている個人情報の取扱いに対する不安や疑念を取り除く必要があります。
経営者が、積極的に個人情報の保護に対する理念・方針(プライバシーポリシー)を明確にして宣言・公表することは、非常に有効なことです。
次に、宣言・公表する手段には、幸いホームページという文明の利器があります。これを活用しない手はありません。
ホームページは、法的義務を取り敢えず果たすための手段として位置付け、さらに、状況に応じDM、チラシ、ポスター等を併用すれば、より効果的です。
ホームページの作成や改定には、発信する情報の狙いを充分検討することが重要です。
個人情報の保護に対する理念・方針(プライバシーポリシー)の公表については、ホームページのサイト利用に対する公表のみ偏らず、理念・方針については、紙媒体(葬儀受注書、会員申込み書等)や電子媒体ホームページによる申込み等でも同様に対応してください。
葬祭業において他社との差別化を図るには、ソフト面の充実が欠かせません。
改正法の施行は、会員の皆様の絶好のビジネスチャンスです。
ビジネスには、タイミングとスピードが大切です。
ぜひ、早急に整備・対応され、企業ピーアールに活用してください。
当協会も及ばずながらできる限り支援させていただきます。
以上
