個人情報保護法の改正により指針を更新しました。
→こちらよりPDFファイルがダウンロードできます。
ご活用ください。




個人情報の保護に関する法律についての
葬儀事業者を対象とする指針



目 次

第1節 はじめに

第2節 平成27年改正個人情報保護法のポイント
1. 個人情報の定義の明確化等
(1) 個人情報の定義の明確化
(2) 要配慮個人情報の新設
2. 適切な規律の下で個人情報等の有用性を確保
3. 個人情報の保護を強化(名簿屋対策)
(1) 確認・記録義務の新設
(2) 個人情報データベース等不正提供罪の新設
(3) オプトアウト手続の厳格化
4. 個人情報保護委員会の新設及びその権限
5. 小規模事業者の例外の廃止

第3節 個人情報取扱事業者等の義務
1. 利用目的の特定(法第15条)
2. 利用目的による制限(法第16条)
3. 適正な取得(法第17条)
4. 取得に際しての利用目的の通知等(法第18条)
5. データ内容の正確性の確保等(法第19条)
6. 安全管理措置(法第20条)
7. 従業者の監督(法第21条)
8. 委託先の監督(法第22条)
9. 第三者提供の制限(法第23条)
10. 外国にある第三者提供への提供制限(法第24条)
11. 第三者提供に係る記録の作成等(法第25条)
12. 第三者提供を受ける際の確認等(法第26条)
13. 保有固有データに関する事項の公表等(法第27条)
14. 保有個人データの開示(法第28条)
15. 保有個人データの訂正等(法第29条)
16. 保有個人データの利用停止等(法第30条)
17. 理由の説明(法第31条)
18. 開示等の請求等に応じる手続(法第32条)
19. 手数料(法第33条)
20. 個人情報取扱事業者による苦情の処理(法第35条)
21. 匿名加工情報取扱事業者等の義務(法第36条〜第39条)

第4節 個人情報取扱事業者等の義務のポイント

第5節 おわりに






第1節 はじめに

 この指針は、個人情報の保護に関する法律(以下「法」といいます。)、法施行令・施行規則、個人情報保護委員会が公表するガイドライン・Q&A等を踏まえ、JECIA個人情報保護協会の会員である葬儀業者を対象として個人情報の適切な取扱いの確保に関する活動を支援することを目的として定めています。
したがって、この指針は、事業者にとって、会員全員の取り扱う個人情報の保護を図るための指針として定められています。また、この指針は、当協会が顧客から個人情報の取扱いに関する苦情についての解決の申し出を受け、苦情の処理等を行うときの基準としても定められています。
会員各社におかれては、この指針をご活用され、各社の状況に則した個人情報保護体制の構築を推進され、顧客の信頼をより一層高めていただきたくお願い申し上げます。
なお、使用する用語をはじめこの指針に記載されていない事項については、法、法施行令・施行規則、個人情報保護委員会が公表するガイドライン・Q&A等によることとします。

 客が満足する葬儀を施行するためには、当然のこととして、故人や喪主に関する個人情報が必要となっています。
具体的には、喪主の住所、氏名、Eメール、電話番号、携帯番号等は勿論のこと、宗教・宗派、職業、勤務先、家族の氏名、親族の氏名・続柄等々の入手が考えられますが、これらが個人情報に該当します。
また、故人に関しては、死亡診断書や死亡届さらには生命保険証書、遺言書等にまで関与するケースも発生します。
さらに、故人を紹介し、偲ぶにあたって取り扱う関係者の氏名、続柄、写真、映像、音声といったものも個人情報となります。
会員の皆様におかれては、このような個人情報を取り扱う際には、この指針に従う必要があります。

 さて、顧客の要請に応じて葬儀を施行していくためには、これらの個人情報を必然的に取り扱うことになりますが、取り扱う上で守らなければならないルールを以下に説明いたします。




第2節 平成27年改正個人情報保護法のポイント


1. 個人情報の定義の明確化等
(1) 個人情報の定義の明確化
改正前の法においては、個人情報に該当するかどうかの判断が困難ないわゆる「グレーゾーン」が存在していると指摘されていました。
そこで、改正法では、個人情報の定義の明確化するため、
・指紋認識データや顔認識データ等の身体特徴に関する情報
・旅券番号等の公的な番号
等の情報を「個人識別符号」と定め、個人識別符号が含まれているものは「個人情報」に該当すると規定しました。
(2) 要配慮個人情報の新設
改正法では、要配慮個人情報(人種、信条、病歴など本人に対する不当な差別又は偏見が生じる可能性のある個人情報)という類型を新設し、
   その取得については原則として本人の同意を得ることを義務付けるとともに、オプトアウトによる第三者提供を禁止しました。

2. 適切な規律の下で個人情報等の有用性を確保
改正法では、パーソナルデータを含むビックデータの適正な利活用ができる環境を整備するため、匿名加工情報という類型を新設し、個人情報の取扱いよりも緩やかな規律の下、自由な流通・利活用できるようにしました。具体的には、個人情報を特定の個人を識別することができないように加工し、当該個人情報を復元して特定の個人を再識別することができないようにしたものを「匿名加工情報」と定義し、その加工方法を定めるとともに、その取扱いについての規律を新設しています。

3. 個人情報の保護を強化(名簿屋対策)
(1) 確認・記録義務の新設
改正前の法においては、個人データが不正に転々流通することの歯止めがないことが指摘されていました。
そこで、改正法では、個人データの第三者提供をするに際し、受領者は当該提供についての一定の事項を確認しなければならないとしました。また、個人データの第三者提供を事後的に追跡できるようにするため、提供者及び受領者は当該提供についての一定の事項を記録し、一定期間保存しなければならないとしました。
(2) 個人情報データベース等不正提供罪の新設
改正前の法においては、個人情報データベース等を不正に提供又は盗用した従業員に対する直罰規定はなく、従業員個人に対する法の抑止力が小さいことが指摘されていました。
そこで、改正法においては、個人情報データベース等不正提供罪という犯罪類型を設け、従業員個人を直接罰することができる仕組みを新設しました。
(3) オプトアウト手続の厳格化
改正前の法においては、本人にとっては自らの個人データがどの事業者がオプトアウトによる第三者提供をしているか把握しにくく、オプトアウト手続が形骸化しているという指摘がありました。
そこで、改正法においては、オプトアウトによる第三者提供をする際には個人情報保護委員会に届け出なければならないとするなど、オプトアウト手続を厳格にしました。

4. 個人情報保護委員会の新設及びその権限
改正前の法では、主務大臣制を採用し、法の監督権限を主務大臣が持つという制度になっていました。
改正法では、適切かつ迅速な権限行使ができるようにするため、個人情報保護委員会を新設し、主務大臣が持っていた法の監督権限を個人情報保護委員会に一元化しました。

5. 小規模事業者の例外の廃止
改正前の法においては、いわゆる小規模事業者(事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日においても5000を超えない事業者)は「個人情報取扱事業者」に該当しないとしていました。しかし、本人にとっては取り扱う個人情報の件数が少ない事業が不適切な取扱いをした場合であっても、権利利益が害されるおそれがあると指摘されていました。
改正法では、いわゆる小規模事業者の例外を廃止し、取り扱う件数の少ない事業者も「個人情報取扱事業者」として法の規律に服するとされました。

 


第3節 個人情報取扱事業者等の義務

1. 利用目的の特定(法第15条)
第1項 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
第2項 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

【解説】
「利用目的の特定」とは、利用目的を単に抽象的、一般的に特定するのではなく、可能な限り具体的に特定するとともに、個々の処理の目的を特定するにとどめるのではなく、あくまで個人情報取扱事業者において最終的にどのような目的で個人情報を利用するかを特定する必要があります。

<具体的対応>
(例1)「ご提供いただいた個人情報は、ご依頼を受けたご葬儀を滞りなく行うために利用させていただきます。その他の目的で利用する場合は、事前にご了承を得て利用いたします。」
(例2)「ご依頼を受けたご葬儀を滞りなく行うために利用するほか、後日行われる法要に関連した当社の各種サービスのご案内等に利用させていただきます。」
(例3)あらかじめ、個人情報を第三者に提供することを想定している場合には、以下のように、利用目的において、その旨特定しておく必要があります。
「ご記入いただいた氏名、住所、電話番号は、当社の取引先である返礼品販売会社、仏壇・仏具店及び墓石販売店に提供することがあります。」

2. 利用目的による制限(法第16条)
第1項 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
第2項 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
第3項 前2項の規定は、次に掲げる場合は、適用しない。
第1号 法令に基づく場合
第2号 人の生命、身体又は財産の保護のために必要な場合であって、本人の同意を得ることが困難であるとき。
第3号 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難である場合。
第4号 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力することが必要な場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

【解説】
第1項関連
「本人の同意を得る」方法の具体例
(例1)同意する旨を本人から口頭又は書面(電子的・磁気的方法を含みます。)で確認すること。
(例2)本人が署名又は記名押印した同意する旨の申込書等文書を受領し確認すること。
(例3)ホームページで見積書作成を受ける場合、本人による同意する旨のホームページ上のボタンのクリック

第3項関連
特定された利用目的の利用範囲を超えて個人情報を取り扱う場合は、本人の同意が必要です。したがって、事業の拡大等により利用目的の追加や変更が想定される場合は、事業の拡大等の想定を踏まえたうえで利用目的の特定をしておくことも必要です。

3. 適正な取得(法第17条)
第1項 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。                  
第2項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
第1号 法令に基づく場合                                                     
第2号 人の生命、身体又は財産の保護のために必要な場合であって、本人の同意を得ることが困難であるとき。
第3号 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難である場合。
第4号 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力することが必要な場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。                                                                     
第5号 当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合                                        
第6号 その他前各号に掲げる場合に準ずるものとして政令で定める場合

【解説】
第1項関連(適正取得)                                                                      
「その他不正な手段」には、違法な手段、社会倫理に反する手段は勿論のこと、違法な手段で取得したことを知りながら、買い取ることも含まれます。

第2項関連(要配慮個人情報の取得)                                              
要配慮個人情報とは、人種、信条、社会的身分、病歴、前科・前歴、犯罪被害情報、その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものとして政令で定めるものに対し、個人情報を取得する場合です。ただし、既に取得(改正法の全面施行以前)している要配慮個人情報については、改めて同意を得る必要はありません。

4. 取得に際しての利用目的の通知等(法第18条)
第1項 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
第2項 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録方法を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急の必要がある場合は、この限りでない。
第3項 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
第4項 前3項の規定は、次に掲げる場合については、適用しない。
第1号 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
第2号 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
第3号 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
第4号 取得の状況から見て利用目的が明らかであると認められる場合

【解説】
第1項関連
「公表」とは、広く一般に自己の意思を知らせること(国民一般その他不特定多数の人々が知ることができるように発表すること)をいいます。
(例1)自社のホームページへの継続的掲載、自社の店舗・事務所・斎場内におけるポスター等の掲示、パンフレット等の備え置き・配布等
(例2)店舗販売においては、店舗の見やすい場所への掲示
(例3)会員制度における入会勧誘においては、勧誘用のパンフレットや入会申込用紙に記載
「本人に通知」とは、本人に直接知らしめることをいい、内容が本人に認知される合理的かつ適切な方法によらなければなりません。
(例1)面談においては、口頭又はチラシ等の文書を渡すこと。
(例2)遠隔地者間においては、電子メール、ファックス等により送信すること、又は文書を郵便等で送付すること。
(例3)電子商取引において、電子メールへの記載の方法によること。

第2項関連
「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱状況に応じ内容が本人に認知される合理的かつ適切な方法によらなければなりません。
(例1)利用目的を明記した契約書その他の書面(入会申込書等)を相手方である本人に手交し、又は送付すること。                                                                   
契約約款又は利用条件等の書面中に利用目的条項を記載する場合は、例えば、裏面約款等に記載されている利用目的条項を表面にも記述する等、本人が実際に利用目的を確認できるよう留意する必要があります。
(例2)ネットワーク上において個人情報を取得する場合は、本人が送信ボタンをクリックする前等にその利用目的が本人の目にとまるようその配置に留意する必要があります。
「明示しなければならない場合」
(例1)申込書、契約書に記載された個人情報を本人から直接取得する場合
(例2)アンケートに記載された個人情報を直接本人から取得する場合

第4項第1号関連
(例)いわゆる総会屋等による不当要求等の被害を防止するため、当該個人に関する情報を取得し、相互に情報交換を行っている場合で、利用目的を通知又は公表することにより、当該総会屋等の逆恨みにより、第三者たる情報提供者が害を被るおそれがある場合

第4項第2号関連
(例)通知又は公表される利用目的の内容により、当該個人情報取扱事業者が行う新商品の開発内容、営業ノウハウ等の企業秘密に関わるようなものが明らかになる場合

第4項第3号関連
(例)公開手配を行わないで、被疑者に関する個人情報を、警察から被疑者の立ち回りが予想される個人情報取扱事業者に限って提供する場合、警察から受け取った当該個人情報取扱事業者が、利用目的を本人に通知し、又は公表することにより、捜査活動に重大な支障を及ぼすおそれがある場合

第4項第4号関連
(例1)商品・サービス等を販売・提供する場合、住所・電話番号等の個人情報を取得する場合があるが、その利用目的が当該商品の販売、サービスの提供のみを確実に行うためという自明の利用目的である場合
(例2)一般の慣行として名刺を交換する場合、書面により直接本人から、氏名・住所・所属・肩書・連絡先の個人情報を取得することとなるが、その利用目的が今後の連絡のためという自明の利用目的であるような場合(ただし、ダイレクトメール等の目的に名刺を用いる場合を除きます。)

5. データ内容の正確性の確保等(法第19条)
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

【解説】
保有する個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足ります。

6. 安全管理措置(法第20条)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

【解説】
「安全管理のために必要かつ適切な措置」とは、組織的、人的、物理的及び技術的安全管理措置をいい、その際、本人の個人データが漏えい、滅失又は毀損等をした場合に本人が被る権利利益の侵害の大きさを考慮します。事業の性質及び個人データの取扱い状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとします。その際には、個人データを記録した媒体の性質に応じた安全管理措置を講じることが望ましいです。

〔1〕組織的安全管理措置
安全管理について従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備・運用し、その実施状況を確認することをいいます。

<具体的対応>
安全管理措置を講じるための組織体制の整備
安全管理措置を定める規程等の整備と規程等に従った運用

具体的対策
(1)個人情報保護方針・プライバシーポリシー(以下の事項を盛り込みます。)
ア 取得、利用及び提供
イ リスクの予防並びに是正
ウ 法令及びその他の規範の遵守
エ 継続的改善

(2)個人情報保護規程(基本規程として以下の事項を盛り込みます。)
ア 個人情報の取得、利用及び提供
イ 安全管理義務
ウ 本人の権利利益への対応
エ 社員教育
オ 苦情への対応、監査
カ マネジメントシステムの見直し
キ 文書管理

(3)詳細規程(基本規程を受けた以下についての具体的な手順、手段等の詳細規程)
ア 社内の各部門・階層における個人情報保護の権限と責任
イ 個人情報の取得、利用、提供及び管理
ウ 本人からの個人情報に関する開示、訂正及び利用停止
エ 個人情報保護に関する社員教育
オ 個人情報保護に関する監査
カ 内部規程の違反に関する罰則
キ 個人情報のリスクに対する予防措置
ク 苦情処理
ケ 文書管理
コ その他

〔2〕人的安全管理措置
人的安全管理措置とは、従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいいます。

<具体的対応>
人的安全管理措置として講じることが望まれる事項

(1)雇用及び契約時における非開示契約の締結をする上で望まれる事項
ア 従業者の採用時又は委託契約時における非開示条項
契約終了後も一定期間有効であるようにすることが望ましいです。
イ 非開示契約に違反した場合の措置に関する規程の整備
個人データを取り扱う従業者ではないが、個人データを保有する建物等に立ち入る可能性があるもの、個人データを取り扱う情報システムにアクセスする可能性があるものについてもアクセス可能な関係者の範囲及びアクセス条件について契約書等に明記することが望ましいです。これらには、例えば、情報システムの開発・保守関係者、清掃担当者、警備員等が含まれます。

(2)従業者に対する周知・教育・訓練の実施する上で望まれる事項
ア 個人データ及び情報システムの安全管理に関する従業者の役割及び責任を定めた内部規程等についての周知
イ 従業者の役割及び責任についての教育・訓練の実施
ウ 従業者に対する教育・訓練が必要かつ適切に実施されていることの確認

〔3〕物理的安全管理措置
物理的安全管理措置とは、入退館(室)の管理、個人データの盗難の防止等の措置並びに機器・装置等の物理的な保護に関する措置をいいます。

<具体的対応>
物理的安全管理措置として講じることが望まれる事項

(1) 盗難等に対する対策の上で望まれる事項
ア 離席時の個人データを記した書類、媒体、ノートパソコン等の机上等への放置の禁止
イ 離席時のパスワード付きスクリーンセイバー等の起動
ウ 個人データを含む媒体の施錠保管
エ 氏名、住所、メールアドレス等を記載した個人データとそれ以外の個人データの分離保管
オ 個人データを取り扱う情報システムの操作マニュアルの机上等への放置の禁止

(2) 機器・装置等の物理的な保護の上で望まれる事項
個人データを取り扱う機器・装置等の、安全管理上の脅威(例えば、盗難、破壊、毀損)や環境上の脅威(例えば、漏水、火災、停電)からの物理的な保護

〔4〕技術的安全管理措置
技術的安全管理とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいいます。

(1)個人データへのアクセスにおける識別と認証を行う上で望まれる事項
ア 個人データに対する正当なアクセスであることを確認するためにアクセス権限を有する従業者本人であることの識別と認証(例えば、IDとパスワードによる認証、生体認証等)の実施
イ 個人データへのアクセス権限を有する各従業者が使用できる端末又はアドレス等の識別と認証(例えば、MACアドレス認証、IPアドレス認証)の実施

(2)個人データへのアクセス制御を行う上で望まれる事項
ア 個人データへのアクセス権限を付与すべき従業者数の最小化
イ 識別に基づいたアクセス制御
ウ 従業者に付与するアクセス権限の最小化
エ 個人データを格納した情報システムへの同時利用者数の制限
オ 個人データを格納した情報システムの利用時間の制限
カ 個人データを格納した情報システムへの無権限アクセスからの保護
キ 個人データにアクセス可能なアプリケーションの無権限利用の防止
ク 個人データを取り扱う情報システムに導入したアクセス制御機能の有効性の検証

(3)個人データへのアクセス権限の管理を行う上で望まれる事項
ア 個人データにアクセスできる者を許可する権限管理の適切な実施
イ 個人データを取り扱う情報システムへの必要最小限のアクセス制御の実施

(4)個人データのアクセスの記録を行う上で望まれる事項
ア 個人データへのアクセスや操作の成功と失敗の記録
イ 採取した記録の漏えい、滅失及び毀損からの適切な保護

(5)個人データを取り扱う情報システムに対する不正ソフトウェア対策の実施の上で望まれる事項
ア ウイルス対策ソフトウェアの導入
イ オペレーティングシステム(OS)、アプリケーション等に対するセキュリティ対策用修正ソフトウェア(いわゆる、セキュリティバッチ)の適用
ウ 不正ソフトウェア対策の有効性・安全性の確認(例えば、パターンファイルや修正ソフトウェアの更新の確認)

(6)個人データの移送(運搬、郵送、宅配便等)・通信時の対策の上で望まれる事項
ア 移送時における紛失・盗難した際の対策(例えば、媒体に保管されている個人データの暗号化)
イ 盗聴される可能性のあるネットワーク(例えば、インターネットや無線LAN等)で個人データを通信(例えば、本人及び従業者による入力やアクセス、メールに添付してファイルを送信する等を含むデータの転送等)する際の、個人データの暗号化

(7)個人データを取り扱う情報システムの動作確認時の対策の上で望まれる事項
ア 情報システムの動作確認時のテストデータとして個人データを利用することの禁止
イ 情報システムの変更時に、それらの変更によって情報システム又は運用環境のセキュリティが損なわれないことの検証

(8)個人データを取り扱う情報システムの監視を行う上で望まれる事項
ア 個人データを取り扱う情報システムの使用状況の監視
イ 個人データへのアクセス状況(操作内容も含みます。)の監視

7. 従業者の監督(法第21条)
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

【解説】
個人情報取扱事業者は、法第20条に基づく安全管理措置を遵守させるよう、従業者に対し必要かつ適切な監督をしなければなりません。
「従業者」とは、個人情報取扱事業者の組織内にあって直接・間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員も含まれます。

従業者に対して必要かつ適切な監督を行っていない場合の事例
(例1)従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを、予め定めた間隔で定期的に確認せず、結果、個人データが漏えいした場合
(例2)内部規程等に違反して個人データが入ったノートパソコンを繰り返し持ち出し、それを放置した結果、紛失し、個人データが漏えいした場合

8. 委託先の監督(法第22条)
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

【解説】
「必要かつ適切な監督」には、委託契約において委託者である個人情報取扱事業者が定める安全管理措置の内容を契約に盛り込むとともに、当該契約の内容が遵守されていることを、予め定めた間隔で定期的に確認することも含まれます。
また、委託者が受託者について「必要かつ適切な監督」を行っていない場合で、受託者が再委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じた場合は、元の委託者がその責めを負うことがあり得るので、再委託する場合は注意を要します。

<具体的対応>
個人データの取扱いを委託する場合に契約書への記載が望まれる事項

(1)委託者及び受託者の責任の明確化

(2)個人データの安全管理に関する事項
ア 個人データの漏えい防止、盗用禁止に関する事項
イ 委託契約範囲外の加工、利用、複写、複製の禁止
ウ 委託処理期間
エ 委託処理終了後の個人データの返還・消去・廃棄に関する事項

(3)再委託に関する事項
ア 再委託を行うに当たっての委託者への文書による報告
イ 個人データの取扱状況に関する委託者への報告の内容及び頻度
ウ 契約内容が遵守されていることの確認
エ 契約内容が遵守されなかった場合の措置
オ セキュリティ事件・事故が発生した場合の報告・連絡に関する事項

9. 第三者提供の制限(法第23条)
第1項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
第1号 法令に基づく場合
第2号 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
第3号 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
第4号 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
第2項 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
第1号 第三者への提供を利用目的とすること。
第2号 第三者に提供される個人データの項目
第3号 第三者への提供の方法
第4号 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
第5号 本人の求めを受け付ける方法
第3項 個人情報取扱事業者は、前項第2号、第3号、又は第5号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
第4項 個人情報保護委員会は、第2項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
第5項 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
第1号 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
第2号 合併その他の事由による事業の承継に伴って個人データが提供される場合
第3号 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
第6項 個人情報取扱事業者は、前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

【解説】
第三者提供とされる事例(ただし、第23条第5項の場合を除きます。)
(例1)親子兄弟会社、グループ会社の間で個人データを交換する場合
(例2)フランチャイズ組織の本部と加盟店の間で個人データを交換する場合
(例3)同業者間で、特定の個人データを交換する場合

第三者提供とされない事例(ただし、利用目的による制限があります。)
(例)同一事業者内で他部門へ個人データを提供すること。

第1項第1号関連
(例)所得税法による税務署長に対する支払調書等の提出

第1項第2号関連
(例)企業間において、意図的に業務妨害を行う者の情報についての情報交換

第2項関連 (オプトアウト)
個人情報取扱事業者は、第三者提供におけるオプトアウトを行っている場合には、本人の同意なく、個人データを第三者に提供することができます。
「第三者提供におけるオプトアウト」とは、提供にあたり、あらかじめ、以下の(1)〜(5)の情報を、本人に通知する又は本人が容易に知り得る状態に置いておくとともに、個人情報保護委員会に届け出ることをいいます。
(1) 第三者への提供を利用目的とすること。
(2) 第三者に提供される個人データの項目(例 氏名、住所、電話番号、商品購入履歴)
(3) 第三者への提供の手段又は方法(例 書籍として出版、インターネットに掲載)
(4) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
(5) 本人の求めを受け付ける方法

第5項第1号関連
個人データの取扱いに関する業務の全部又は一部を委託する場合は、第三者に該当しませんが、委託元の個人情報取扱事業者には、委託先に対する監督義務が課せられることになります(法第22条関連)。
(例1)データの打ち込み等、情報処理を委託するために個人データを渡す場合
(例2)注文を受けた商品の発送のために、宅配業者に個人データを渡す場合

第5項第2号関連
(例1)合併、分社化により、新会社に個人データを渡す場合
(例2)営業譲渡後に、譲渡先企業に個人データを渡す場合

第5項第3号関連
個人データを特定の者との間で共同して利用する場合、以下の(1)〜(4)の情報をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いておくとともに、共同して利用することを明らかにしている場合は、第三者に該当しません。
(1)、(2)については、変更することができませんが、(3)、(4)については、本人が想定することが困難でない範囲内で変更することができ、変更後、本人に通知又は本人の容易に知り得る状態に置かなければならなくなります。
(1)共同して利用される個人データの項目(例:氏名、住所、電話番号、商品購入履歴等)
(2)本人からみてその外延が明確である程度の共同利用者の範囲(外延が明確である限りは、必ずしも個別列挙が必要ない場合もあります。)
(3)利用する者の利用目的(別々の利用目的で利用することはできません。)
(4)開示等の請求及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者の氏名又は名称(共同利用者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する事業者を、「責任を有する者」といい、共同利用者の内部の担当責任者をいうのではありません。)

10. 外国にある第三者提供への提供制限(法第24条)
個人情報取扱事業者は、外国(本邦の地域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

【解説】
改正前の法第23条は、第三者に対する個人データの提供に関するルールを定めてはいましたが、第三者が国内にあるのか、外国にあるのかの区別をしていませんでした。しかし、経済・社会活動のグローバル化及び情報通信技術の進展に伴い、個人情報を含むデータの国境を越えた流通が増加しており、外国への個人データの移転について一定の規律を設ける必要性が増大してきたこと、また個人情報の保護に関する国際的な枠組み等との整合を図ることを理由に、改正法第24条に新たに外国にある第三者に対する個人データの提供に関する規定が設けられています。
当該規定の解釈は、改正法の国会における審議を踏まえ、事業者に対して新たな規制を課するものではなく、事業者において現在適切に行われている個人情報の取扱いを追認するものとなっています。また、衆議院内閣委員会における附帯決議(平成27年5月20日)及び参議院内閣委員会における附帯決議(平成27年8月27日)を踏まえ、海外における個人情報の保護を図りつつ、国境を越えた個人情報の移転を不当に阻害しないよう現実的な規制を構築するものとなっています。
外国にある第三者に対する個人データの提供についての考え方、具体例等については、個人情報保護法ガイドライン(外国にある第三者への提供編)をご参照下さい。

11. 第三者提供に係る記録の作成等(法第25条)
第1項 個人情報取扱事業者は、個人データを第三者(第2条第5項各号に掲げる者を除く。以下この条において同じ。) に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第23条第1項各号又は第5項各号のいずれか(前条の規定による個人データの提供にあっては、第23条第1項各号のいずれか)に該当する場合は、この限りではない。
第2項 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

【解説】
平成26年に発生した民間企業における大規模漏えい事案を契機として、いわゆる名簿業者を介在し、違法に入手された個人データが社会に流通している実態が社会に認識されました。これを受けて、法に、個人データの適正な第三者提供を確保するための規定が設けられています。
まず、個人情報取扱事業者が第三者から個人データの提供を受ける場合には、違法に入手された個人データが流通することを抑止するため、当該第三者が当該個人データを取得した経緯等を確認する義務を課しています(法第26条)。
また、仮に個人データが不正に流通した場合でも、個人情報保護委員会が個人情報取扱事業者に対して報告徴収・立入検査を行い(法第40条)、記録を検査することによって、個人データの流通経路を事後的に特定することができるようにする必要があります。したがって、個人情報取扱事業者が第三者に個人データを提供する場合又は第三者から個人データの提供を受ける場合には、当該第三者の氏名等の記録を作成・保存しなければならなくなりました(法第25条、第26条)。
他方、この確認・記録義務により、正常な事業活動を行っている個人情報取扱事業者に対する過度な負担を懸念する声が多く上がっていることから、現実的な規制を構築するものとなっています(衆議院内閣委員会における附帯決議(平成27年5月20日)、参議院内閣委員会における附帯決議(平成27年8月27日))。
個人情報保護法ガイドライン(第三者提供時の確認・記録義務編)においては、違法に入手された個人データの流通を抑止する趣旨を踏まえつつ、事業者に対する過度な負担を回避するため、確認・記録義務の適切な運用の整理を示しております。詳細については同ガイドラインをご参照下さい。
個人データの第三者提供の確認・記録義務についての考え方、具体例等については、個人情報保護法ガイドライン(第三者提供時の確認・記録義務編)をご参照下さい。

12. 第三者提供を受ける際の確認等(法第26条)
第1項 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第23条第1項各号のいずれかに該当する場合は、この限りではない。
第1号 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めがあるものにあっては、その代表者又は管理人)の氏名 
第2号 当該第三者による当該個人データの取得の経緯
第2項 当該第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
第3項 個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
第4項 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

【解説】
詳細については個人情報保護法ガイドライン(第三者提供時の確認・記録義務編)をご参照下さい。

13. 保有固有データに関する事項の公表等(法第27条)
第1項 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
第1号 当該個人情報取扱事業者の氏名又は名称
第2号 全ての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。)
第3号 次項の規定による求め又は次条第1項、第29条第1項若しくは第30条第1項若しくは第3項の規定による請求に応じる手続(第33条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
第4号 前3号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
第2項 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
第1号 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
第2号 第18条第4項第1号から第3号までに該当する場合
第3項 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨を決定したときは、本人に対し、遅滞なく、その旨を通知しなければならない。

【解説】
開示等の請求等に応じる手続については、本人の知り得る状態に置かなければなりませんが、本人の求めに応じて遅滞なく回答する場合も含むとされています(法第27条第1項)。
例えば、問合せ窓口を設け、問合せがあれば、口頭又は文書で回答できるよう体制を構築しておけば足ります。
なお、問合せ窓口(保有個人データの取扱いに関する苦情の申出先。施行令第8条第1号)については、分かりやすくしておくことが望ましいと考えられます。

14. 保有個人データの開示(法第28条)
第1項 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。
第2項 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し政令で定める方法により、遅滞なく、当該保有データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
第1号 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
第2号 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
第3号 他の法令に違反することとなる場合
第3項 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければならない。
第4項 他の法令の規定により、本人に対し第2項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第1項及び第2項の規定は、適用しない。

【解説】
個人情報取扱事業者は、本人から、自己が識別される保有個人データの開示(存在しないときにはその旨を知らせることを含みます。)の請求を受けたときは、本人に対し、書面の交付による方法(開示の請求を行った者が同意した方法があるときはその方法)により、遅滞なく、当該保有個人データを開示しなければなりません。
ただし、開示することにより第1号から第3号のいずれかに該当する場合は、その全部又は一部を開示しないことができますが、この場合は、その旨を本人に通知しなければなりません。
なお、他の法令の規定により、別途開示の手続が定められている場合には、当該別途の開示の手続が優先されることとなります。
また、開示の請求を行った者から開示の方法について特に指定がなく、個人情報取扱事業者が提示した方法に対して異議を述べなかった場合(電話での開示の請求があり、必要な本人確認等の後、そのまま電話で問い合わせに回答する場合を含みます。)は、当該方法について同意があったものとみなすことができます。

15. 保有個人データの訂正等(法第29条)
第1項 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。
第2項 個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
第3項 個人情報取扱時事業者は、第1項の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正を行ったときは、その内容を含む。)を通知しなければならない。

【解説】
保有個人データの訂正等の請求について規定しております。保有個人データの内容が事実でないときに訂正等を行う義務が生じます。そのため、訂正等の対象が事実でなく評価に関する情報である場合には、訂正等を行う必要はありません。
ただし、評価に関する保有個人データに評価の前提となっている事実も記載されており、それに誤りがある場合においては、その限りにおいて訂正等を行う義務が生じます。

16. 保有個人データの利用停止等(法第30条)
第1項 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第16条の規定に違反して取り扱われているとき又は第17条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。) を請求することができる。
第2項 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を訂正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するために必要なこれに代わるべき措置をとるときは、この限りでない。
第3項 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第23条第1項又は第24条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
第4項 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するために必要なこれに代わるべき措置をとるときは、この限りでない。
第5項 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第3項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

【解説】 
新商品の宣伝のためのダイレクトメール、ちらし、パンフレット等を送付する場合、利用目的をお客様に通知又は公表している限り、原則として、それらの郵便物等を送付することができます。
ただし、個人情報取扱事業者は、保有個人データを利用目的による制限(法第16条)の規定に違反して取り扱っている場合又は適正な取得(法第17条)の規定に違反して取得したものである場合には、保有個人データの利用の停止等の請求を受けた際に原則として当該保有データの利用の停止又は消去をする義務があります。
また、個人情報取扱事業者は、保有個人データが第三者提供の制限(第23条第1項又は第24条)の規定に違反して第三者に提供されている場合には、保有個人データの第三者提供の停止の請求を受けた際に原則として当該保有個人データの第三者提供を停止する義務があります。

17. 理由の説明(法第31条)
個人情報取扱事業者は、第27条第3項、第28条第3項、第29条第3項又は前条第5項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。

【解説】 
個人情報取扱事業者は、本人から、自己が識別される保有個人データの開示(存在しないときにはその旨を知らせることを含みます。)の請求を受けたときは、本人に対し、書面の交付による方法(開示の請求を行った者が同意した方法があるときはその方法)により、遅滞なく、当該保有個人データを開示しなければなりません。
ただし、開示することにより第1号から第3号のいずれかに該当する場合は、その全部又は一部を開示しないことができるが、この場合は、その旨を本人に通知しなければなりません。

18. 開示等の請求等に応じる手続(法第32条)
第1項 個人情報取扱事業者は、第27条第2項の規定による求め又は第28条第1項、第29条第1項若しくは第30条第1項若しくは第3項の規定による請求(以下この条及び第53条第1項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。
第2項 個人情報取扱事業者は、本人に対し、開示等の請求に関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
第3項 開示等の請求等は、政令で定めるところにより、代理人によってすることができる。
第4項 個人情報取扱事業者は、前3項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。

【解説】
個人情報取扱事業者は、開示等の請求等において、その請求等を受け付ける方法として以下の(1)〜(4)の事項を定めることができます。また、その請求等を受け付ける方法を定めた場合には、本人の知り得る状態に置いておかなければなりません。
なお、個人情報取扱事業者が、開示等の請求等を受け付ける方法を合理的な範囲で定めたときで、請求等を行った者がそれに従わなかった場合は、開示等を拒否することができます。
(1)開示等の請求等の受付先
(2)開示等の請求等に際して提出すべき書面(電子的、磁気的方式その他の方式で作られる方式を含みます。)の様式、その他の開示等の請求等の受付方法(郵送、FAXで受け付ける等)
(3)開示等の請求等をする者が本人又はその代理人であることの確認の方法
(4)保有個人データの利用目的の通知、又は保有個人データの開示をする際に徴収する手数料の徴収方法

19. 手数料(法第33条)
個人情報取扱事業者は、第27条第2項の規定による利用目的の通知を求められたとき又は第28条第1項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。
第2項 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。

【解説】
本人から保有個人データの開示の請求を受けた個人情報取扱事業者は、開示の実施に関して手数料を徴収することが認められています。しかし、その手数料の額は、実費を勘案して合理的であることが認められる範囲内で定めなければなりません。
また、開示の方法については、開示の請求を行った者が同意した方法でない限り、書面の交付によるものとされています。
なお、個人情報保護取扱事業者のみの都合で閲覧のみにすることは法に違反する可能性があります。

20. 個人情報取扱事業者による苦情の処理(法第35条)
第1項 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
第2項 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。

【解説】
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならなりません。また、苦情の適切かつ迅速な処理を行うにあたり、苦情処理窓口の設置や苦情処理の手順を定める等必要な体制の整備に努めなければなりません。
会員は、苦情処理窓口として自社の相談窓口とJECIA個人情報保護協会の個人情報相談センターを利用することになります。
苦情相談窓口を示す際には、自社の相談窓口とともに、以下のような記載で「JECIA個人情報保護協会」を併記することが考えられます。
※※※※ 苦情相談窓口 ※※※※ 
認定個人情報保護団体 JECIA個人情報保護協会 苦情相談センター

21. 匿名加工情報取扱事業者等の義務(法第36条〜第39条)
<匿名加工情報の作成等(法第36条)>
第1項 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。
第2項 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。
第3項 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
第4項 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
第5項 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
第6項 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
<匿名加工情報の提供(第37条)>
匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節において同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。 
<識別行為の禁止(第38条)>
匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第36条第1項、行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)第44条の10第1項(同条第2項において準用する場合を含む。)若しくは独立行政法人等の保有する個人情報の保護に関する法律第44条の10第1項(同条第2項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
<安全管理措置等(第39条)>
匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

【解説】                                   
匿名加工情報とは、個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいいます。
匿名加工情報を作成するためには、法に従った加工をしなければなりませんが、匿名加工情報は、個人情報とは異なり、緩やかな規律の下で取り扱うことができるため、ビッグデータの利活用を行う際には匿名加工情報という制度を用いることが考えられます。




第4節 個人情報取扱事業者等の義務のポイント

1. 利用目的の特定(法第15条)……法的義務
個人情報を取り扱うに当たっては、利用目的がどのようなものなのかを具体的かつ明確にする必要があります。
2. 利用目的による制限(法第16条)……法的義務
個人情報を利用する際には、特定した利用目的の範囲内で利用するようにご注意ください。
3. 適正な取得(法第17条)……法的義務
不正な手段で個人情報を取得することが許されないことはもちろんのこと、本人の同意を得ないで要配慮個人情報を取得することは原則として許されません。
4. 取得に際しての利用目的の通知等(法第18条)……法的義務
本人から直接書面で個人情報を取得する際には、利用目的を明示しなければなりません。それ以外の場合、取得に際して利用目的を通知・公表しなければなりません。
5. データ内容の正確性の確保等(法第19条)……努力義務
6. 安全管理措置(法第20条)……法的義務
組織的、人的、物理的及び技術的安全管理措置が求められており、いわゆる人、物、金を要する措置です。従って、自社の状況、体力を充分に考慮することが大切です。
7. 従業者の監督(法第21条)……法的義務
8. 委託先の監督(法第22条)……法的義務
これらは共に、単なる規程・誓約書の手当てや、契約書の取り交わしだけでなく、運用面の具体的なチェック作業が求められています。
9. 第三者提供の制限(法第23条)……法的義務
個人データを第三者に提供する場合には、原則として本人の同意を得る必要があります。もっとも、委託や共同利用による提供の場合には第三者提供に該当しないことにご注意下さい。
10. 外国にある第三者への提供の制限(法第24条)……法的義務
11. 第三者提供に係る記録の作成等(法第25条)……法的義務
12. 第三者提供を受ける際の確認等(法第26条)……法的義務
13. 保有個人データに関する事項の公表等(法第27条)……法的義務

保有個人データについては、一定の事項について本人の知り得る状態に置かなければなりません。例えば、苦情の申出先を本人の知り得る状態に置かなければならないので、当協会の会員は、苦情の申出先として、「JECIA個人情報保護協会 苦情相談センター」も公表するなどの対応が求められます。
14. 保有個人データの開示(法第28条)……法的義務
15. 保有個人データの訂正等(法第29条)……法的義務
16. 保有個人データ利用停止等(法第30条)……法的義務

これら3条は、いずれも法第27条に関連した条文ですが、本人から当該本人の個人情報について、開示、訂正、利用停止等の求めがあった場合、原則としてこれに応じなければなりません。また、開示の方法は、書面の交付によることが原則ですが、本人が同意すればメール、電話等でも可能です。
17. 理由の説明(法第31条)……努力義務
上記4条について、本人からの求め又は請求に対して応じなかったり、異なる対応をしたりする場合は、その理由を説明するよう努めなければなりません。
18. 開示等の請求等に応じる手続(法第32条)……法的義務
開示等の請求等を受け付ける方法として以下の4項目を定めることができますが、本人の知り得る状態(ホームページに掲載する等)に置くことが必要です。
(1)開示等の請求等の受付先
(2)提出すべき書面の様式、その他の請求等の受付方法(郵便、FAX等)
(3)請求等をする者が本人又はその代理人であることの確認の方法
(4)通知又は開示をする際に徴収する手数料の徴収方法
なお、個人情報取扱事業者が、開示等の請求等を受け付ける方法を合理的な範囲で定めたときで、請求等を行った者がそれに従わなかった場合は、開示等を拒否することができます。
悪質なクレーマー等の排除策として有効な手段と考えられますが、必要以上に煩雑な書類を求めたり、本人に過重な負担を課したりと、善良な消費者に対しては、かえって企業イメージをダウンさせかねません。慎重に検討して決定する必要があります。
19. 手数料(法第33条)……法的義務
保有個人データの利用目的の通知や開示を求められたときは、その実施に必要な実費を勘案して合理的であると認められる範囲内で定めた手数料を徴収することができます。
20. 個人情報取扱事業者による苦情の処理(法第35条)……努力義務
個人情報の取扱いに関する苦情が発生した場合、適切かつ迅速な処理を求められています。本条は、努力義務規定ですが、法第27条では、「苦情の申出先」を本人の知り得る状態に置くことが求められているため、苦情相談窓口の設置が事実上義務付けられています。
21. 匿名加工情報取扱事業者等の義務(法第36条〜法第39条)……法的義務(努力義務も含みます。)

 


第5節 おわりに

 最後に、ホームページに個人情報保護方針(プライバシーポリシー等)を公表するに当たり、一言申し上げます。
いまや葬祭業は、単なる請負業ではなく、立派なサービス業でありかつ立派な情報産業です。
サービス業に大切なことの第一は、顧客の信頼・信用を勝ち取ることです。
情報産業としての葬儀会社に大切なことは、いかにして有効な情報をより多く集め、その情報をいかに活用して葬儀の受注に結びつけるかということです。
言い換えれば、将来の見込み客としての会員をいかに多く獲得し、会員からの受注率をいかにして引き上げるかということになろうかと思います。

顧客の信頼を勝ち取り、将来の見込み客情報をより多く獲得するためには、顧客が抱いている個人情報の取扱いに対する不安や疑念を取り除く必要があります。
経営者が、積極的に個人情報の保護に対する理念・方針(プライバシーポリシー)を明確にして宣言・公表することは、非常に有効なことです。

次に、宣言・公表する手段には、幸いホームページという文明の利器があります。これを活用しない手はありません。
ホームページは、法的義務を取り敢えず果たすための手段として位置付け、さらに、状況に応じDM、チラシ、ポスター等を併用すれば、より効果的です。
ホームページの作成や改定には、発信する情報の狙いを充分検討することが重要です。

個人情報の保護に対する理念・方針(プライバシーポリシー)の公表については、ホームページのサイト利用に対する公表のみ偏らず、理念・方針については、紙媒体(葬儀受注書、会員申込み書等)や電子媒体ホームページによる申込み等でも同様に対応してください。

葬祭業において他社との差別化を図るには、ソフト面の充実が欠かせません。
改正法の施行は、会員の皆様には、絶好のビジネスチャンスです。
ビジネスには、タイミングとスピードが大切です。
ぜひ、早急に整備・対応され、企業ピーアールに活用してください。
当協会も及ばずながらできる限り支援させていただきます。

以上