個人情報の保護に関する法律についての
葬儀事業者を対象とする指針





はじめに


この指針は、「個人情報の保護に関する法律」(以下「法」という。)及び「経済産業省が所管する分野を対象とするガイドライン」を踏まえ、JECIA個人情報保護協会が会員である葬儀業者を対象として個人情報の適切な取扱いの確保に関する活動を支援することを目的として定めたものです。
したがって、この指針は、当協会が顧客から個人情報の取扱いに関する苦情についての解決の申し出を受け、苦情の処理等を行うときの基準ともなるものです。
なお、使用する用語をはじめこの指針に記載されていない事項については、「経済産業省が所管する分野を対象とするガイドライン」に準拠するものとします。
また、当協会では、法における「個人情報取扱事業者」に該当するか否かを問わず、法の理念に基づき、会員全員の取り扱う個人情報の保護を図ることを目的としています。会員各社におかれては、この指針をご活用され、各社の状況に則した個人情報保護体制の構築を推進され、顧客の信頼をより一層高めていただきたくお願い申し上げます。


目 次


1. 利用目的の特定……………法第15条
お客様の個人情報を取り扱うには、まず、最初に利用目的を特定することから始まります。
2. 利用目的による制限……………法第16条
利用目的の範囲外の取扱いをするには、事前にお客様の了解を得てください。
3. 適正な取得………………法第17条
情報の入手にあたり、不正、社会倫理違反はご法度です。
4. 取得に際し利用目的の通知・公表……………法第18条
ホームページの活用が簡単かつ効果的です。
5. データ内容の正確性の確保……………法第19条
業務の必要に応じてデータの更新に努めましょう。
6. 安全管理措置……………法第20条
データの質・量、会社の体力に応じた個人情報保護体制の整備と改善、プライバシーポリシー制定、社員教育、諸規程等の制定・運用、セキュリテイーの整備等々が必要とされています。
7. 従業者の監督……………法第21条
役員、社員、アルバイトに至る個人情報を取り扱う全員の監督が必要です。
8. 委託先の監督……………法第22条
業務の外注先、委託先の定期的な監督も必要です。
9. 第三者への提供………………法第23条
個人情報の他人への提供は、原則禁止ですが、こうすれば可能です。
10. 保有個人データに関する事項の公表等……………法第24条
事業者は、保有個人データについて、事業者(会社)名、利用目的、開示・訂正・利用停止の手続方法、苦情の申出先をホームページ等に掲載しておく必要があります。
11. 保有個人データの開示……………法第25条
本人から、個人データの開示等を求められたら、原則として決められた方法で答えなければなりません。
12. 保有個人データの訂正……………法第26条
本人から、個人データの訂正を求められたら、原則として決められた方法で答えなければなりません。
13. 保有個人データの利用停止……………法第27条
本人から、個人データの開示等を求められたら、原則として決められた方法で答えなければなりません。
14. 理由の説明……………法第28条
事業者は、開示等の求めに応じられないときは、併せて、その理由を説明するようにしてください。
15. 開示等の求めに応じる手続……………法第29条
事業者は、開示等の求めを受け付ける方法を所定の方法で決められますが、その場合は、ホームページ等に掲載が必要です。
16. 手数料……………法第30条
事業者は、利用目的の通知や開示を求められたとき、手数料を徴収できます。
17. 苦情の処理……………法第31条
事業者には、個人情報の取扱いについての苦情の適切かつ迅速な処理と、そのための体制の整備が必要とされています。
18. まとめ

以上


顧客が満足する葬儀を施行するためには、当然のこととして、故人や喪主に関する個人情報が必要となります。

具体的には、喪主の住所、氏名、電話番号、携帯番号等は勿論のこと、宗教・宗派、職業、勤務先、家族の氏名、親族の氏名・続柄等々の入手が考えられますが、これらが個人情報に該当します。
また、故人に関しては、死亡診断書や死亡届さらには生命保険証書、遺言書等にまで関与するケースも発生します。
さらに、故人を紹介したり、しのぶにあたって取り扱う関係者の氏名、続柄、写真、映像、音声といったものも個人情報となります。

さて、顧客の要請に応じて葬儀を施行してゆくためには、これらの個人情報を必然的に取り扱うことになりますが、取り扱う上で守らなければならないルールを以下に説明いたします。



法  第四章 第一節 個人情報取扱事業者の義務


1.
(利用目的の特定)法第15条
第1項 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない。
第2項 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。


「利用目的の特定」とは、利用目的を単に抽象的、一般的に特定するのではなく、可能な限り具体的に特定するとともに、個々の処理の目的を特定するにとどめるのではなく、あくまで個人情報取扱事業者において最終的にどのような目的で個人情報を利用するかを特定する必要がある。

<具体的対応>
(例1)「ご提供いただいた個人情報は、ご依頼を受けたご葬儀を滞りなく行うために利用させていただきます。その他の目的で利用する場合は、事前にご了承を得て利用いたします。」
(例2)「ご依頼を受けたご葬儀を滞りなく行うために利用するほか、後日行われる法要に関連した当社の各種サービスのご案内等に利用させていただきます。」
(例3)あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨特定しておく必要があります。
「ご記入いただいた氏名、住所、電話番号は、当社の取引先である返礼品販売会社、仏壇・仏具店および墓石販売店に提供することがあります。」

2.
(利用目的による制限)法第16条
第1項 個人情報取扱事業者は、あらかじめ本人の同意をえないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
第2項 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を継承することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、継承前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
第3項 前2項の規定は、次に掲げる場合は、適用しない。
第一号 法令に基づく場合
第二号 人の生命、身体または財産の保護のために必要な場合であって、本人の同意を得ることが困難な場合
第三号 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難である場合。
第四号 国の機関若しくは地方公共団体又はその委託を受けたものが法令の定める事務遂行することに対して協力することが必要な場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼす恐れがある場合


第1項関連
「本人の同意を得る」方法の具体例
(例1)同意する旨を本人から口頭又は書面(電子的-磁気的方法を含む。)で確認すること。
(例2)本人が署名又は記名押印した同意する旨の申込書等文書を受領し確認すること。
(例3)ホームページで見積書作成を受ける場合、本人による同意する旨のホームページ上のボタンのクリック

第3項関連
特定された利用目的の利用範囲を超えて個人情報を取り扱う場合は、本人の事前承認が必要です。したがって事業の拡大等により利用目的の追加や変更が想定される場合は、個人情報を取得する前に利用目的の特定をしておくことも必要です。

3.
(適正な取得)法第17条
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

「その他不正な手段」には、違法な手段、社会倫理に反する手段は勿論のこと、違法な手段で取得したことを知りながら、買い取ることも含まれます。
4.
(取得に際し利用目的の通知・公表)法第18条
第1項 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
第2項 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的・磁気的方法を含む。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急の必要がある場合は、この限りでない。
第3項 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
第4項 前3項の規定は、次に掲げる場合については、適用しない。
第一号 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
第二号 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害する恐れがある場合
第三号 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障をおよぼすおそれがある場合
第四号 取得の状況から見て利用目的が明らかであると認められる場合

第1項関連
「公表」とは、広く一般に自己の意思を知らせること(国民一般その他不特定多数の人々が知ることができるように発表すること)をいう。
(例1)自社のホームページへの継続的掲載、自社の店舗・事務所・斎場内におけるポスター等の掲示、パンフレット等の備え置き・配布等
(例2)店舗販売においては、店舗の見やすい場所への掲示
(例3)会員制度における入会勧誘においては、勧誘用のパンフレットや入会申込み用紙に記載
「本人に通知」とは、本人に直接知らしめることをいい、内容が本人に認知される合理的かつ適切な方法によらなければなりません。
(例1)面談においては、口頭又はチラシ等の文書を渡すこと。
(例2)遠隔地者間においては、電子メール、ファックス等により送信すること、又は文書を郵便等で送付すること。
(例3)電子商取引において、電子メールへの記載の方法によること。

第2項関連
「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱い状況に応じ内容が本人に認知される合理的かつ適切な方法によらなければならない。
(例1)利用目的を明記した契約書その他の書面(入会申込書等)を相手方である本人に手交し、又は送付すること。
契約約款又は利用条件等の書面中に利用目的条項を記載する場合は、例えば、裏面約款等に記載されている利用目的条項を表面にも記述する等本人が実際に利用目的を目にできるよう留意する必要がある。
(例2)ネットワーク上において個人情報を取得する場合は、本人が送信ボタンをクリックする前等にその利用目的が本人の目にとまるようその配置に留意する必要がある。
「明示しなければならない場合」
(例1)申込書、契約書に記載された個人情報を本人から直接取得する場合
(例2)アンケートに記載された個人情報を直接本人から取得する場合
第4項第一号関連
(例) いわゆる総会屋等による不当要求等の被害を防止するため、当該個人に関する情報を取得し、相互に情報交換を行っている場合で、利用目的を通知又は公表することにより、当該総会屋等の逆恨みにより、第三者たる情報提供者が被害を被るおそれがある場合
第4項第二号関連
(例) 通知又は公表される利用目的の内容により、当該個人情報取扱事業者行う新品の開発内容、営業ノウハウ等の企業秘密にかかわるようなもの
が明らかになる場合
第4項第三号関連
(例) 公開手配を行わないで、被疑者に関する個人情報を、警察から被疑者の立ち回りが予想される個人情報取扱事業者に限って提供する場合、警察から受け取った当該個人情報取扱事業者が、利用目的を本人に通知し、又は公表することにより、捜査活動に重大な支障を及ぼすおそれがある場合
第4項第四号関連
(例1) 商品・サービス等を販売・提供する場合、住所・電話番号等の個人情報を取得する場合があるが、その利用目的が当該商品の販売、サービスの提供のみを確実に行うためという自明の利用目的である場合
(例2) 一般の慣行として名刺を交換する場合、書面により直接本人から、氏名・住所・所属・肩書・連絡先の個人情報を取得することとなるが、その利用目的が今後の連絡のためという自明の利用目的であるような場合(ただし、ダイレクトメール等の目的に名刺を用いる場合を除く)

5.
データ内容の正確性の確保(法第19条)
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。

<具体的対応>
この場合、保有する個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足りる。

6.
安全管理措置(法第20条)
個人情報取扱事業者は、その取り扱う個人データの漏洩、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。


「安全管理のために必要かつ適切な措置」とは、組織的、人的、物理的、及び技術的安全管理措置をいい、その際、本人の個人データが漏洩、滅失又は毀損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱い状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。その際には、個人データを記録した媒体の性質に応じた安全管理措置を講じることが望ましい。

〔1〕組織的安全管理措置
安全管理について従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認することをいう。

<具体的対応>
安全管理措置を講じるための組織体制の整備
安全管理措置を定める規程等の整備と規程等に従った運用

(1)個人情報保護方針・プライバシーポリシー(下記の事項を盛り込む)
ア 取得、利用及び提供
イ リスクの予防並びに是正
ウ 法令及びその他の規範の遵守
エ 継続的改善



個人情報保護方針(例)

当社は、情報化社会の進展を背景に、葬祭業を営む上で、お客様の個人情報の有用性と、その反面、個人情報が誤った取扱いをされた場合のお客様の権利利益の被害の重要性を充分認識し、お客様の個人情報を取り扱うに当たり、法令等の遵守は勿論のこと以下の事項を守ります。
1. 個人情報の利用目的、取得方法及び第三者(他人)への提供に関する事項
当社は、個人情報の利用目的をできる限り明確に特定し、当社の業務に必要な範囲を超えてお客様の個人情報を取り扱うことは致しません。
個人情報の取得に当たっては、適法かつ公平に行います。また、お客様の個人データを第三者(他人)に提供する場合は、あらかじめ、お客様ご本人の同意を得て行います。
……具体的な利用目的はここをクリックしてください。
2. 個人情報の安全管理に関する事項
当社は、お客様の個人情報の漏洩・紛失等による事態の重大性を充分認識し、事故を防止するため個人データを安全に管理し、社員教育や業務の委託先に対する必要かつ適切な監督を行います。
3. 個人情報の開示、訂正、利用停止等に関する事項
当社が保有する個人データに関して、お客様本人から求めがあった場合は、本人確認を行った上で、手順に従い、その開示、訂正、利用停止等に応じます。
……情報開示等の手順はここをクリックしてください。
4. お問合せ・苦情処理等に関する事項
当社は、個人情報の取扱いに関して、苦情が寄せられたときは、誠意を持って適切かつ迅速に対応致します。
また、当社は、経済産業大臣認定 JECIA個人情報保護協会の会員です。
お客様は、個人情報に関する苦情がある場合には、当社に直接申し出られるだけでなく、JECIA個人情報保護協会にご相談することもできます。
お問合せ先
1. 社名            個人情報保護管理者
 住所
 TEL.       FAX.
2. JECIA個人情報保護協会 苦情相談センター
 住所 〒160-0004 東京都新宿区四谷4-3-20 いちご四谷4丁目ビル2階
 TEL. 03-5379-8101 FAX. 03-5379-3882

                 ○○○葬儀会社
                      代表者 △△ △△




(2)個人情報保護規程(基本規程として下記事項を盛り込む)
ア 個人情報の取得、利用及び提供
イ 安全管理義務
ウ 本人の権利利益への対応
エ 社員教育
オ 苦情への対応、監査
カ マネジメントシスティムの見直し
キ 文書管理
(3)詳細規程(基本規程を受けた下記についての具体的な手順、手段等の詳細規程)
ア 社内の各部門・階層における個人情報保護の権限と責任
イ 個人情報の取得、利用、提供および管理
ウ 本人からの個人情報に関する開示、訂正及び利用停止
エ 個人情報保護に関する社員教育
オ 個人情報保護に関する監査
カ 内部規程の違反に関する罰則
キ 個人情報のリスクに対する予防措置
ク 苦情処理
ケ 文書管理
コ その他

〔2〕人的安全管理措置
人的安全管理措置とは、従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいう。

<具体的対応>
人的安全管理措置として講じることが望まれる事項
(1)雇用及び契約時における非開示契約の締結をする上で望まれる事項
ア 従業者の採用時又は委託契約時における非開示条項は、契約終了後も一定期間有効であるようにすることが望ましい。
イ 非開示契約に違反した場合の措置に関する規程の整備
 個人データを取り扱う従業者ではないが、個人データを保有する建物等に立ち入る可能性があるもの、個人データを取り扱う情報システムにアクセスする可 
 能性があるものについてもアクセス可能な関係者の範囲及びアクセス条件について契約書等に明記することが望ましい。これらには、例えば、情報システム
 の開発・保守関係者、清掃担当者、警備員等が含まれる。
(2)従業者に対する周知・教育・訓練の実施する上で望まれる事項
ア 個人データ及び情報システイムの安全管理に関する従業者の役割及び責任を定めた内部規程等についての周知
イ 同上従業者の役割及び責任についての教育・訓練の実施
ウ 従業者に対する教育・訓練が必要かつ適切に実施されていることの確認

〔3〕物理的安全管理措置
物理的安全管理措置とは、入退館(室)の管理、個人データの盗難の防止等の措置並びに機器・装置等の物理的な保護に関する措置をいう。

<具体的対応>
物理的安全管理措置として講じることが望まれる事項
(1)盗難等に対する対策の上で望まれる事項
ア 離席時の個人データを記した書類、媒体、ノートパソコン等の机上等への放置の禁止
イ 離席時のパスワード付きスクリーンセイバー等の起動
ウ 個人データを含む媒体の施錠保管
エ 氏名、住所、メールアドレス等を記載した個人データとそれ以外の個人データの分離保管
オ 個人データを取り扱う情報システムの操作マニュアルの机上等への放置の禁止
(2)機器・装置等の物理的な保護の上で望まれる事項
ア 個人データを取り扱う機器・装置等の、安全管理上の脅威(例えば、盗難、破壊、毀損)や環境上の脅威(例えば、漏水、火災、停電)からの物理的な保護

〔4〕技術的安全管理措置
技術的安全管理とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいう。
(1)個人データへのアクセスにおける識別と認証を行う上で望まれる事項
ア 個人データに対する正当なアクセスであることを確認するためにアクセス権限を有する従業者本人であることの識別と認証(例えば、IDとパスワードによる認証、生体認証等)の実施
イ 個人データへのアクセス権限を有する各従業者が使用できる端末又はアドレス
 等の識別と認証(例えば、MACアドレス認証、IPアドレス認証)の実施
(2)個人データへのアクセス制御を行う上で望まれる事項
ア 個人データへのアクセス権限を付与すべき従業者数の最小化
イ 識別に基づいたアクセス制御
ウ 従業者に付与するアクセス権限の最小化
エ 個人データを格納した情報システムへの同時利用者数の制限
オ 個人データを格納した情報システムの利用時間の制限
カ 個人データを格納した情報システムへの無権限アクセスからの保護
キ 個人データにアクセス可能なアプリケーションの無権限利用の防止
ク 個人データを取り扱う情報システムに導入したアクセス制御機能の有効性の検証
(3)個人データへのアクセス権限の管理を行う上で望まれる事項
ア 個人データにアクセスできる者を許可する権限管理の適切な実施
イ 個人データを取り扱う情報システムへの必要最小限のアクセス制御の実施
(4)個人データのアクセスの記録を行う上で望まれる事項
ア 個人データへのアクセスや操作の成功と失敗の記録
イ 採取した記録の漏洩、滅失及び毀損からの適切な保護
(5)個人データを取り扱う情報システムに対する不正ソフトウェア対策の実施の上で望まれる事項
ア ウイルス対策ソフトウェアの導入
イ オペレーティングシステム(OS)、アプリケーション等に対するセキュリティ対策用修正ソフトウェア(いわゆる、セキュリティバッチ)の適用
エ 不正ソフトウェア対策の有効性・安全性の確認(例えば、パターンファイルや修正ソフトウェアの更新の確認)
(6)個人データの移送(運搬、郵送、宅配便等)・通信時の対策の上で望まれる事項
ア 移送時における紛失・盗難した際の対策(例えば、媒体に保管されている個人データの暗号化)
イ 盗聴される可能性のあるネットワーク〔例えば、インターネットや無線LAN等〕で個人データを通信(例えば、本人及び従業者による入力やアクセス、メール
 に添付してファイルを送信する当を含むデータの転送等)する際の、個人データの暗号化
(7)個人データを取り扱う情報システムの動作確認時の対策の上で望まれる事項
ア 情報システイムの動作確認時のテストデータとして個人データを利用することの禁止
イ 情報システムの変更時に、それらの変更によって情報システム又は運用環境のセキュリティが損なわれないことの検証
(8)個人データを取り扱う情報システムの監視を行う上で望まれる事項
ア 個人データを取り扱う情報システムの使用状況の監視
イ 個人データへのアクセス状況(操作内容も含む)の監視
7.
従業者の監督(法第21条)
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。


個人情報取扱事業者は、第20条に基づく安全管理措置を遵守させるよう、従業者に対し必要かつ適切な監督をしなければならない。

「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、食卓社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員も含まれる。

従業者に対して必要かつ適切な監督を行っていない場合の事例
(例1)従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを、予め定めた間隔で定期的に確認せず、結果、個人データが漏洩した場合
(例2)内部規程等に違反して個人データが入ったノートパソコンを繰り返し持ち出し、それを放置した結果、紛失し、個人データが漏洩した場合

8.
委託先の監督(法第22条)
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。


「必要かつ適切な監督」には、委託契約において委託者である個人情報取扱事業者が定める安全管理措置の内容を契約に盛り込むとともに、当該契約の内容が遵守されていることを、予め定めた間隔で定期的に確認することも含まれる。
また、委託者が受託者について「必要かつ適切な監督」を行っていない場合で、受託者が再委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じた場合は、元の委託者がその責めを負うことがあり得るので、再委託する場合は注意を要する。

<具体的対応>
個人データの取扱いを委託する場合に契約書への記載が望まれる事項
(1)委託者及び受託者の責任の明確化
(2)個人データの安全管理に関する事項
ア 個人データの漏洩防止、盗用禁止に関する事項
イ 委託契約範囲外の加工、利用、複写、複製の禁止
ウ 委託処理期間
エ 委託処理終了後の個人データの返還・消去・廃棄に関する事項
(3)再委託に関する事項
ア 再委託を行うに当たっての委託者への文書による報告
イ 個人データの取扱状況に関する委託者への報告の内容及び頻度
ウ 契約内容が遵守されていることの確認
エ 契約内容が遵守されなかった場合の措置
オ セキュリティ事件・事故が発生した場合の報告・連絡に関する事項

9.
第三者への提供(法第23条)
第1項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
第一号 法令に基づく場合
第二号 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
第三号 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
第四号 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
第2項 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定
にかかわらず、当該個人データを第三者に提供することができる。
第一号 第三者への提供を利用目的とすること。
第二号 第三者に提供される個人データの項目
第三号 第三者への提供の手段又は方法
第四号 本人の求めにおうじて当該本人が識別される個人データの第三者への提供を停止すること。
第3項 個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
第4項 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
第一号 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
第二号 合併その他の事由による事業の承継に伴って個人データが提供される場合
第三号 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
第5項 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

第三者提供とされる事例(ただし、第23条第4項の場合を除く)
(例1)親子兄弟会社、グループ会社の間で個人データを交換する場合
(例2)フランチャイズ組織の本部と加盟店の間で個人データを交換する場合
(例3)同業者間で、特定の個人データを交換する場合
第三者提供とされない事例(ただし、利用目的による制限がある。)
(例)同一事業者内で他部門へ個人データを提供すること。
第1項第一号関連
(例)所得税法による税務署長に対する支払調書等の提出
第1項第二号関連
(例)企業間において、意図的に業務妨害を行う者の情報についての情報交換
第2項関連 (オプトアウト)
個人情報取扱事業者は、第三者提供におけるオプトアウトを行っている場合には、本人の同意なく、個人データを第三者に提供することができる。
「第三者提供におけるオプトアウト」とは、提供にあたり、あらかじめ、以下の(1)〜(4)の情報を、本人に通知する又は本人が容易に知り得る状態に置いておくとともに、本人の求めに応じて第三者への提供を停止することをいう。
(1) 第三者への提供を利用目的とすること。
(2) 第三者に提供される個人データの項目(例 氏名、住所、電話番号、商品購入履歴)
(3) 第三者への提供の手段又は方法(例 書籍として出版、インターネットに掲載
(4) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

第4項第一号関連
個人データの取り扱いに関する業務の全部又は一部を委託する場合は、第三者に該当しない。個人情報取扱事業者には、委託先に対する監督責任が課せられる。(法第22条関連)
(例1)データの打ち込み等、情報処理を委託するために個人データを渡す場合
(例2)注文を受けた商品の発送のために、宅配業者に個人データを渡す場合
第4項第二号関連
(例1)合併、分社化により、新会社に個人データを渡す場合
(例2)営業譲渡後に、譲渡先企業に個人データを渡す場合
第4項第三号関連(グループ企業の共同利用)
個人データを特定の者との間で共同して利用する場合、以下の(1)〜(4)の情報をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いておくと共に、共同して利用することを明らかにしている場合は、第三者に該当しない。
(1)、(2)については、変更することができないが、(3)、(4)については、本人が想定することが困難でない範囲内で変更することができ、変更後、本人に通知又は本人の容易に知り得る状態に置かなければならない。
(1)共同して利用される個人データの項目(例 氏名、住所、電話番号、商品購入履歴等)
(2)本人からみてその外延が明確である程度の共同利用者の範囲(外延が明確である限りは、必ずしも個別列挙が必要ない場合もある。)
(3)利用する者の利用目的(別々の利用目的で利用することはできない。)
(4)開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者の氏名又は名称(共同利用者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する事業者を、「責任を有する者」といい、共同利用者の内部の担当責任者をいうのではない。)

10.
保有個人データに関する事項の公表等(法第24条)
第1項 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
第一号 当該個人情報取扱事業者の氏名又は名称
第二号 すべての保有個人データの利用目的(第18条第4項第一号〜第三号に該当する場合を除く。)
第三号 次項、次条第1項、第26条第1項又は第27条第1項若しくは第2項の規定による求めに応じる手続(第30条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
第四号 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
〈政令第5条〉
法第24条第1項第四号の政令で定めるものは、次に掲げるものとする。
一 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
二 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先

保有個人データの取扱いに関する苦情及び問い合わせの申出先を本人の知り得る状態に置かなければならない。

第2項 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
第一号 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
第二号 第18条第4項第一号から第三号までに該当する場合

保有個人データの利用目的の通知及び保有個人データの開示に係る手数料の額(定めた場合に限る)並びに開示等の求めの手続を本人の知り得る状態(本人の求めに応じて遅滞無く回答する場合を含む。)に置かなければならない。

11.
保有個人データの開示(法第25条)
第1項 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。)を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
第一号 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
第二号 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼす恐れがある場合
第三号 他の法令に違反することとなる場合
第2項 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
第3項 他の法令の規定により、本人に対し第1項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は、適用しない。


個人情報取扱事業者は、本人から、自己が識別される保有個人データの開示(存在しないときにはその旨を知らせることを含む。)を求められたときは、本人に対し、書面の交付による方法(開示の求めを行った者が同意した方法があるときはその方法)により、遅滞なく、当該保有個人データを開示しなければならない。
ただし、開示することにより第一号から第三号のいずれかに該当する場合は、その全部又は一部を開示しないことができるが、この場合は、その旨を本人に通知しなければならない。
なお、他の法令の規定により、別途開示の手続が定められている場合には、当該別途の開示の手続が優先されることとなる。
また、開示の求めを行った者から開示の方法について特に指定がなく、個人情報取扱事業者が提示した方法に対して異議を述べなかった場合(電話での開示の求めがあり、必要な本人確認等の後、そのまま電話で問い合わせに回答する場合を含む。)は、当該方法について同意があったものとみなすことができる。

12.
保有個人データの訂正等(法第26条)
第1項 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続きが定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該個人データの内容の訂正等を行わなければならない。
第2項 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正を行ったときは、その内容を含む。)を通知しなければならない。

13.
保有個人データの利用停止等(法第27条)
第1項 個人情報取扱事業者は、本人から、当該本人が識別される保有個人デーが第16条の規定に違反して取り扱われているという理由又は第17条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去を求められた場合であって、その求めに理由があることが判明したときは、違反を訂正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するために必要なこれに代わるべき措置をとるときは、この限りでない。
第2項 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第23条第1項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するために必要なこれに代わるべき措置をとるときは、この限りでない。
第3項 個人情報取扱事業者は、第1項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し遅滞なく、その旨を通知しなければならない。

14.
理由の説明(法第28条)
個人情報取扱事業者は、第24条第3項、第25条第2項、第26条第2項又は前条第3項の規定により、本人から求められた措置の全部又は一部についてその措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。

個人情報取扱事業者は、保有個人データの公表・開示・訂正・利用停止等において、その措置をとらない旨又はその措置と異なる措置をとる旨を本人に通知する場合は、併せて、本人に対して、その理由を説明するように努めなければならない。

15.
開示等の求めに応じる手続(法第29条)
第1項 個人情報取扱事業者は、第24条第2項、第25条第1項、第26条第1項又は第27条第1項若しくは第2項の規定による求めに関し政令で定めるところによりその求めを受ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。
第2項 個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。
この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
第3項 開示等の求めは、政令で定めるところにより、代理人によってすることができる。
第4項 個人情報取扱事業者は、前3項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
政令第7条
法第29条第1項の規定により
個人情報取扱事業者が開示等の求めを受け付ける方法として定めることができる事項は、次に掲げるとおりとする。
一 開示等の求めの申出先
二 開示等の求めに際して提出すべき書面(電子的、磁気的方法その他を含む。)の様式その他の開示等の求めの方式
三 開示等の求めをする者が本人又は次条に規定する代理人であることの確認の方法
四 法第30条第1項の手数料の徴収方法
政令第8条
法第29条第3項の規定により開示等の求めをすることができる代理人は、次に掲げる代理人とする。
一 未成年者又は成年被後見人の法廷代理人
二 開示等の求めをすることにつき本人が委任した代理人

個人情報取扱事業者は、開示等の求めにおいて、その求めを受け付ける方法として下記の(1)〜(4)の事項を定めることができる。また、その求めを受け付ける方法を定めた場合には、本人の知り得る状態に置いておかなければならない。
なお、個人情報取扱事業者が、開示等の求めを受け付ける方法を合理的な範囲で定めたときで、求めを行った者がそれに従わなかった場合は、開示等を拒否することができる。
(1)開示等の求めの受付先
(2)開示等の求めに際して提出すべき書面(電子的、磁気的方式その他の方式で作られる方式を含む。)の様式、その他の開示等の求めの受付方法(郵送、FAXで受け付ける等)
(3)開示等の求めをする者が本人又はその代理人であることの確認の方法
(4)保有個人データの利用目的の通知、又は保有個人データの開示をする際に徴収する手数料の徴収方法
なお、開示等の求めを受け付ける方法を定めない場合には、自由な申請を認めることとなる。

16.
手数料(法第30条)
第1項 個人情報取扱事業者は、第24条第2項の規定による利用目的の通知又は第25条第1項の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。
第2項 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。

17.
苦情の処理(法第31条)
第1項 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
第2項 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。



 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。また、苦情の適切かつ迅速な処理を行うにあたり、苦情処理窓口の設置や苦情処理の手順を定める等必要な体制の整備に努めなければならない。
 会員は、苦情処理窓口として自社の相談窓口とJECIA個人情報保護協会の個人情報相談センターを利用することになります。





まとめ 個人情報の保護に関する法律の骨子

第四章 第一節 個人情報取扱事業者の義務 主要17条のポイント


1. 利用目的の特定(第15条)………義務規定
個人情報を取り扱うにあたり、最も基本的なことです。
2. 利用目的による制限(第16条)………義務規定
本人は、自己の個人情報が予想もしない利用のされ方をしたのでは、不安、不信を抱きます。利用目的を特定する際にご注意ください。
3. 適正な取得(第17条)………義務規定
至極当然なことです。
4. 取得に際し、利用目的の通知・公表(第18条)………義務規定
法の施行前から保有している個人情報は、取得行為がないため、この条文の適用はうけませんが、第24条の適用を受けますので、その手当てが必要です。ご注意ください。
5. データ内容の正確性の確保(第19条)………努力義務規定
本人のためだけでなく、自社の営業活動効率アップに必要なことです。
6. 安全管理措置(第20条)………義務規定
組織的、人的、物理的及び技術的安全管理措置が求められており、いわゆる人、物、金を要する措置です。従って、自社の状況、体力を充分に考慮することが大切です。
7. 従業者の監督(第21条)………義務規定
8. 委託先の監督(第22条)………義務規定

これらは共に、単なる規程・誓約書の手当てや、契約書の取り交わしだけでなく、運用面の具体的なチェック作業が求められています。
9. 第三者への提供(第23条)………義務規定
第三者提供に該当するか否か、判断に迷うケースがあります。あらかじめ利用目的として特定し、公表しておくことも有効です。オプトアウトによる対応も有効です。
10. 保有個人データに関する事項の公表等(第24条)………義務規定
この規定により、平成17年4月以前に取得した保有個人データについても、必要事項を公表しなければなりません。また、政令第5条により、当協会の会員は、苦情の申出先として、JECIA個人情報保護協会 苦情相談センターも公表する必要があります。
11. 開示(第25条)………義務規定
12. 訂正等(第26条)………義務規定
13. 利用停止等(第27条)………義務規定
これら3条は、いずれも第24条に関連した条文ですが、本人から当該本人の個人情報について、開示、訂正、利用停止等の求めがあった場合、原則としてこれに応じなければなりません。また、開示の方法は、書面の交付によることが原則ですが、本人が同意すればメール、電話等でも可能です。
14. 理由の説明(第28条)………努力義務規定
上記4条について、本人からの求めの全部又は一部について求めに応じなかったり、異なる対応をする場合は、その理由を説明するよう努めなければなりません。
15. 開示等の求めに応じる手続(第29条)………義務規定
開示等の求めを受け付ける方法として下記の4項目を定めることができますが、本人の知り得る状態(ホームページに掲載する等)に置くことが必要です。
(1)開示等の求めの受付先
(2)提出すべき書面の様式、その他の求めの受付方法(郵便、FAX等)
(3)求めをする者が本人又はその代理人であることの確認の方法
(4)通知又は開示をする際に徴収する手数料の徴収方法
なお、個人情報取扱事業者が、開示等の求めを受け付ける方法を合理的な範囲で定めたときで、求めを行った者がそれに従わなかった場合は、開示等を拒否することができます。
悪質なクレーマー等の排除策として有効な手段と考えられますが、必要以上に煩雑な書類を求めたり、本人に過重な負担を課すと、善良な消費者に対しては、かえって企業イメージをダウンさせかねません。
慎重に検討して決定する必要があります。
16. 手数料(第30条)………義務規定
保有個人データの利用目的の通知や開示を求められたときは、その実施に必要な実費を勘案して合理的であると認められる範囲内で定めた手数料を徴収することができます。手数料の額と徴収方法は、公表が必要です。
17. 苦情の処理(第31条)………努力義務規定(実質は義務規定)
個人情報の取扱いに関する苦情が発生した場合、適切かつ迅速な処理を求められています。本条は、努力義務規定ですが、第24条には政令により苦情相談窓口の設置が義務付けられています。

会員は、経済産業大臣認定 認定個人情報保護団体
JECIA個人情報保護協会 苦情相談センター
を自社の窓口と共に併記してください。


最後に、ホームページに個人情報保護方針(プライバシーポリシー)を公表するに当たり、一言。

いまや葬祭業は、単なる請負業ではなく、立派なサービス業でありかつ立派な情報産業です。

サービス業に大切なことの第一は、顧客の信頼・信用を勝ち取ることです。
情報産業としての葬儀会社に大切なことは、いかにして有効な情報をより多く集め、その情報をいかに活用して葬儀の受注に結びつけるかということです。
言い換えれば、将来の見込み客としての会員をいかに多く獲得し、会員からの受注率をいかにして引き上げるかということになろうかと思います。
顧客の信頼を勝ち取り、将来の見込み客情報をより多く獲得するためには、顧客が抱いている個人情報の取扱いに対する不安や疑念を取り除く必要があります。
経営者が、積極的に個人情報の保護に対する理念・方針(プライバシーポリシー)を明確にして宣言・公表することは、非常に有効なことです。

次に、宣言・公表する手段には、幸いホームページという文明の利器があります。これを活用しない手はありません。
ホームページは、法的義務を取り敢えず果たすための手段として位置付け、さらに、状況に応じDM、チラシ、ポスター等を併用すれば、より効果的です。
ホームページは、積極的なピーアール目的だけでなく、悪質なクレーマーの排除手段としても活用できます。(前述 第29条、第30条の活用)
ホームページの作成や改定には、発信する情報の狙いを充分検討することが重要です。

葬祭業において他社との差別化を図るには、ソフト面の充実が欠かせません。
個人情報の保護法の施行は、会員の皆様には、絶好のビジネスチャンスです。
ビジネスには、タイミングとスピードが大切です。
ぜひ、早急に整備・対応され企業ピーアールに活用してください。
当協会も及ばずながらできる限り支援させていただきます。

以上