|
<< FAQ一覧に戻る
Q2-51.当社のホームページにお問い合わせフォームがあり、個人データの収集が出来ます。これについて収集・利用・開示・安全対策等、個人情報の適切な取扱いをしていますということを宣言する意味でプライバシーポリシーの公表が必要なのでしょうか?また店舗にあるお客様アンケートにもプライバシーポリシーの公表が必要なのでしょうか?
10,000件の顧客データをお持ちである貴社は個人情報取扱事業者であり、個人情報保護法、基本方針、経済産業分野のガイドラインを遵守する必要があります。また、プライバシーマークを取得されるのであれば、加えて、JIS Q15001の規定を守らねばなりません。
ご質問のプライバシーポリシーの公表は、基本方針や経済産業分野のガイドラインで言われていることで、併せて以下のような対応が求められています。
■ 基本方針
(1)「プライバシーポリシー」の公表
(2)情報漏洩時の事実関係の公表
(3)安全管理、責任体制の明確化と構築
(4)従業者への啓発・教育
(5)苦情処理窓口と適切な対応の明示
■ 経済産業分野のガイドライン(経済産業省)
(1)個人情報を閲覧できる従業者の限定
(2)個人情報の持ち出し制限
(3)外部からの個人情報への不正アクセス防止策の導入
(4)従業者に対する個人情報保護研修の実施
(5)個人情報漏えい時は当該本人に速やかに通知
(6)事件内容の公表、主務大臣への報告体制の確立
プライバシーポリシーの公表内容について以下のような内容を推奨しています。
◇ ◇ ◇
6 個人情報取扱事業者等が講ずべき個人情報の保護のための措置に関する基本的な事項
(1)事業者が行う措置の対外的明確化
事業者の個人情報保護に関する考え方や方針に関する宣言(いわゆる、プライバシーポリシー、プライバシーステートメント等)の策定・公表により、個人情報を目的外に利用しないことや苦情処理に適切に取り組むこと等を宣言するとともに、事業者が関係法令等を遵守し、利用目的の通知・公表、開示等の個人情報の取扱いに関する諸手続について、あらかじめ、対外的に分かりやすく説明することが、事業活動に対する社会の信頼を確保するために重要である。
また、事業者において、個人情報の漏えい等の事案が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係等を公表することが重要である。
■プライバシーポリシー内容例
(1)事業の内容及び規模を考慮した適切な個人情報の取扱いに関すること
i.取得する個人情報の利用目的(法第18条関係)
ii.<本人の同意なく第三者提供する場合>(法第23条第2項及び第3項関係)
・利用目的に第三者提供が含まれていること
・第三者に提供される個人データの項目
・第三者への提供の手段又は方法
・本人の求めに応じて第三者への提供を停止すること
iii.<共同利用する場合>(法第23条第4項及び第5項)
・特定の者との間で共同利用すること
・共同して利用される個人データの項目
・共同利用者の範囲
・共同して利用する者の利用目的
・共同して利用する者のうち、個人データの管理について責任を有する者の氏名又は名称
iv.以下の保有個人データに関すること(法第24条関係)
・自己の氏名又は名称
・すべての保有個人データの利用目的
・「開示等の求め」に応じる手続
・保有個人データの利用目的の通知及び開示に係る手数料の額(定めた場合に限る)
・苦情の申出先(認定個人情報保護団体の対象事業者※である場合には当該認定個人情報保護団体の名称及び苦情解決の申出先も含む。)
v.開示等の求めに応じる手続に関すること(法第29条関係)
・申請書の様式(定めた場合に限る)
・受け付ける方法(定めた場合に限る)
・保有個人データの特定に資する情報の提供
vi.問い合わせ及び苦情の受付窓口に関すること
(2)個人情報の保護に関する法律を遵守すること
(3)個人情報の安全管理措置に関すること
(4)コンプライアンス・プログラムの継続的改善に関すること
※「認定個人情報保護団体の対象事業者」とは、認定個人情報保護団体の構成員である個人情報取扱事業者(傘下企業)、又は団体が苦情処理等の業務を行うことについて当該団体と契約関係等にある事業者
◇ ◇ ◇
<< FAQ一覧に戻る
|
