4.保有個人データ安全管理の措置
保有している保有個人データの安全管理については、組織的・人的・物理的・技術的の
4つの側面から適切に措置を講じる必要があるとされています。
(1)組織的安全管理措置
組織体制の整備や規程の整備と運用、個人データの整理、監査の実施、事故や違反時の
対応手順の整備などが挙げられます。
(2)人的安全管理措置
雇用時における秘密保全契約の締結や内部規定の周知や教育などが挙げられます。
(3)物理的安全管理措置
保有個人データ保管場所の入退管理や盗難防止などを行うことなどが挙げられます。
(4)技術的安全管理措置
アクセス管理やアクセス記録の管理、ウイルス対策、SSL(暗号化通信)、システム
監視、委託先の監督、プライバシーポリシーの公表、苦情処理の適切化などが挙げられ
ます。
5.オプトアウトの厳格化
法令に基づく場合や人命保護に必要な場合などを除き、個人データを第三者に提供する場合
は、あらかじめ本人同意が必要となります。
オプトアウトしている場合はその限りではありませんが、オプトアウトにもいろいろな制限
が設けられています。
※オプトアウト(opt out)とは、個人情報の第三者提供に関して、本人の求めに応じて第三者
への提供を停止することです。
また個人情報の第三者提供にあたって、あらかじめ次の4項目を本人に通知するか、又は
本人が容易に知りえる状態に置いておくことを「オプトアウト方式」と呼びます。
①得た個人情報は、第三者への提供を利用目的としていること
②第三者に提供する個人データの項目
③第三者への提供の手段、又は方法
④本人の求めに応じて、第三者への提供は停止すること
個人情報保護法では、個人情報を第三者に提供する際には本人(その個人情報によって識
別される特定の個人)の同意を得なければならないとされていますが、この4つの要件を
満たしている場合には本人の許可がなくても第三者への提供が可能です。
対義語はオプトインといい、企業などに対して特定の活動を許諾することを意味します。
6.トレーサビリティの確保
①第三者から個人データを受ける場合には、提供者の氏名やデータ取得の経緯などを確認・記
録し、一定期間保存する義務が生じます。
②第三者に個人データを提供する場合にも、受領者の氏名等を記録し、一定期間保存する義務
が生じます。
これらのことを「トレーサビリティの確保」といいます。
※トレーサビリティ(traceability)とは、トレース(追跡)できることをいい、履歴情報などに
よって後追いできる仕組みのこととをいいます。
7.保有個人データの利用目的等の周知化
保有個人データの利用目的、開示手続き、苦情申出先などは、本人が知り得る状況に置かね
ばなりません。
8.罰則規定の強化
(1)改正法83条(個人情報データベース等提供罪)
個人情報取扱事業者もしくはその従業者が不正提供又は盗用した場合は、
1年以下の懲役又は50万円以下の罰金
(2)改正法87条(両罰規定)
違反した個人が、法人の代表者、代理人、使用人などの場合で、かつその法人の業務に関し
て当該違反行為をした場合は、同じく1年以下の懲役または50万円以下の罰金
以上ですが、少しは理解の手助けとなりましたでしょうか。
ぜひ、法の精神を理解し、個人データを経営の中で有益に活用しましょう。