配付資料

資料3

「民間部門における電子計算機処理に係る個人情報保護ガイドライン」

平成10年6月 通商産業省機械情報産業局

  第1章 ガイドラインの目的
 (目的)
第1条  このガイドラインは、民間企業等が取り扱う個人情報の適切な保護のため、事業者団体がそ
 の構成員の事業の実情に応じた業種別のガイドラインを定める際の指針となる項目を定め、民間企
 業等がその活動の実態に応じた個人情報保護のための実践遵守計画(コンプライアンス・プログラ
 ム)を策定することを支援し、及び促進することを目的とする。
  第2章 定義 
 (定 義)
第2条  このガイドラインにおいて、次の各号に掲げる用語の意義は、当該各号に定めるところによ
 る。
  (1) 個人情報 個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又
  は個人別に付された番号、記号その他の符号、画像若しくは音声により当該個人を識別できるも
  の(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該
  個人を識別できるものを含む。)をいう。ただし、法人その他の団体に関して記録された情報に
  含まれる当該法人その他の団体の役員に関する情報を除く。
 (2) 管理者 企業等の内部において代表者により指名された者であって、個人情報の収集、利用
  又は提供の目的及び手段等を決定する権限を有する者をいう。
 (3) 受領者 個人情報の提供を受ける者をいう。
 (4) 情報主体の同意 情報主体が署名押印、口頭による回答等の明示的方法により、自己に関す
  る個人情報の取扱いを承諾する意思表示を行うことをいう。ただし、書面の交付等による契約手
  続を伴わない取引、申込、加入等の行為の場合においては、当該行為の手続において、反対の意
  思を表明しない等の黙示的方法による意思表示を含めることができるものとする。
  第3章 ガイドラインの適用範囲
 (対象となる個人情報)
第3条 このガイドラインは、企業等の内部において、その全部又は一部が電子計算機、光学式情報
 処理装置等の自動処理システムにより処理されている個人情報を対象とし、自動処理システムによ
 る処理を行うことを目的として書面等により処理されている個人情報についてもこれを適用する。
 ただし、個人が自己のために収集する個人情報については、この限りでない。 
  (ガイドラインの拡張)
第4条 このガイドラインは、個人情報の適切な保護の目的の範囲内において業種、企業等の活動の
 実態に応じた項目を追加し、又は修正することができる。
  第4章 個人情報の収集に関する措置
 (収集範囲の制限)
第5条 個人情報の収集は、収集する企業等の正当な事業の範囲内で、収集目的を明確に定め、その
 目的の達成に必要な限度においてこれを行うものとする。 
 (収集方法の制限)
第6条 個人情報の収集は、適法かつ公正な手段によって行うものとする。 
 (特定の機微な個人情報の収集の禁止)
第7条 次に掲げる種類の内容を含む個人情報については、これを収集し、利用し又は提供してはな
 らない。ただし、当該情報の収集、利用又は提供についての情報主体の明確な同意がある場合、法
 令に特段の規定がある場合及び司法手続上必要不可欠である場合については、この限りでない。
  (1) 人種及び民族
 (2) 門地及び本籍地(所在都道府県に関する情報を除く)
 (3) 信教(宗教、思想及び信条)、政治的見解及び労働組合への加盟
 (4) 保健医療及び性生活
 (情報主体から直接収集する場合の措置)
第8条 情報主体から直接に個人情報を収集する際には、情報主体に対して、少なくとも、次に掲げ
 る事項又はそれと同等以上の内容の事項を書面により通知し、当該個人情報の収集、利用又は提供
 に関する同意を得るものとする。ただし、既に情報主体が、次に掲げる事項の通知を受けているこ
 とが明白である場合及び情報主体により不特定多数の者に公開された情報からこれを収集する場合
 には、この限りでな  い。
 (1) 企業等内部の個人情報に関する管理者又はその代理人の氏名又は職名、所属及び連絡先
 (2) 個人情報の収集及び利用の目的
 (3) 個人情報の提供を行うことが予定される場合には、その目的、当該情報の受領者又は受領者
  の組織の種類、属性及び個人情報の取扱いに関する契約の有無
 (4) 個人情報の提供に関する情報主体の任意性及び当該情報を提供しなかった場合に生じる結果

 (5) 個人情報の開示を求める権利及び開示の結果、当該情報が誤っている場合に訂正又は削除を
  要求する権利の存在並びに当該権利を行使するための具体的方法
 (情報主体以外から間接的に収集する場合の措置)
第9条 情報主体以外から間接的に個人情報を収集する際には、情報主体に対して、少なくとも、前
 条(1)から(3)まで及び (5)に掲げる事項を書面により通知し、当該個人情報の収集、利用又は提供
  に関する同意を得るものとする。ただし、次の(1)から(4)までに掲げるいずれかの場合においては、
 この限りでない。
 (1) 情報主体からの個人情報の収集時に、あらかじめ自己への情報の提供を予定している旨前条
     (3)に従い情報主体の同意を得ている提供者から収集を行う場合
 (2) 提供される個人情報に関する守秘義務、再提供禁止及び事故時の責任分担等の契約の締結に
  より、個人情報に関して提供者と同等の取扱いを担保することによって個人情報の提供を受け、
  収集を行う場合
  (3) 既に情報主体が、前条(1)から(5)までに掲げる事項の通知を受けていることが明白である場
      合及び情報主体により不特定多数の者に公開された情報からこれを収集する場合
  (4) 正当な事業の範囲内であって、情報主体の保護に値する利益が侵害されるおそれのない収集
  を行う場合
  第5章 個人情報の利用に関する措置
 (利用範囲の制限)
第10条 個人情報の利用は、原則として収集目的の範囲内で行うものとする。
  (目的内の利用の場合の措置)
第11条 収集目的の範囲内で行う個人情報の利用は、次の(1)から(6)までに掲げるいずれかの場合に
 のみこれを行うものとする。
 (1) 情報主体が同意を与えた場合
 (2) 情報主体が当事者である契約の準備又は履行のために必要な場合
 (3) 企業等が従うべき法的義務のために必要な場合
 (4) 情報主体の生命、健康、財産等の重大な利益を保護するために必要な場合
 (5) 公共の利益の保護又は企業等若しくは個人情報の開示の対象となる第三者の法令に基づく権
  限の行使のために必要な場合
 (6) 情報主体の利益を侵害しない範囲内において、企業等及び個人情報の開示の対象となる第三
  者その他の当事者の合法的な利益のために必要な場合
 (目的外の利用の場合の措置)
第12条  収集目的の範囲を超えて個人情報の利用を行う場合又は前条(1)から(6)までに掲げるいずれ
 の場合にも当たらない個人情報の利用を行う場合においては、少なくとも、第8条(1)から(3)まで
 及び(5)に掲げる事項を書面により通知し、あらかじめ情報主体の同意を得、又は利用より前の時
 点で情報主体に拒絶の機会を与える等、情報主体による事前の了解の下に行うものとする。
  第6章 個人情報の提供に関する措置
 (提供範囲の制限)
第13条  個人情報の提供は、原則として収集目的の範囲内で行うものとする。
  (目的内の提供の場合の措置)
第14条  収集目的の範囲内で行う個人情報の提供は、少なくとも、第8条(1)から(3)まで及び(5)に
   掲げる事項を書面により通知し、あらかじめ情報主体の同意を得、又は提供より前の時点で情報主
  体に拒絶の機会を与える等、情報主体による事前の了解の下に行うものとする。ただし、次の(1)
  から(4)までに掲げるいずれかの場合においては、この限りでない。
 (1) 情報主体からの個人情報の収集時に、あらかじめ当該情報の提供を予定している旨第8条(3)
   に従い情報主体の同意を得ている受領者に対して提供を行う場合
 (2) 提供した個人情報に関する守秘義務、再提供禁止及び事故時の責任分担等の契約の締結によ
  り、個人情報に関する自己と同等の取扱いが担保されている受領者に対して提供を行う場合
 (3) 受領者が当該個人情報について改めて第8条(1)から(5)までに掲げる事項を提供し、情報主
      体の同意を得る措置を採ることが明白である場合
  (4) 正当な事業の範囲内であって、情報主体の保護に値する利益が侵害されるおそれのない提供
  を行う場合
 (目的外の提供の場合の措置)
第15条 収集目的の範囲を超えて個人情報の提供を行う場合又は前条(1)から(4)までに掲げるいずれ
 の場合にも当たらない個人情報の提供を行う場合においては、情報主体に対して、少なくとも、個
 人情報の受領者に関する第8条(1)から(3)まで及び(5)に相当する事項を書面により通知し、情報
   主体の同意を得るものとする。この場合において、第8条(1)中「企業等」とあるのは「受領者」
   と、第8条(3)中「提供」とあるのは「再提供」と読み替えるものとする。ただし、既に情報主体
   が、当該事項の通知を受け包括的な同意を与えていることが明白な場合は、この限りでない。
  第7章 個人情報の適正管理義務
 (個人情報の正確性の確保)
第16条 個人情報は利用目的に応じ必要な範囲内において、正確かつ最新の状態で管理するものと
   する。
  (個人情報の利用の安全性の確保)
第17条 個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏えい等の危険に対して、
 技術面及び組織面において合理的な安全対策を講ずるものとする。
  (個人情報の秘密保持に関する従事者の責務)
第18条 企業等の内部において個人情報の収集、利用及び提供に従事する者は、法令の規定又は企業
  等の内部の管理者が定めた規程若しくは指示した事項に従い、個人情報の秘密の保持に十分な注意
  を払いつつその業務を行うものとする。
  (個人情報の委託処理に関する措置)
第19条 企業等が、情報処理を委託する等のため個人情報を外部に預託する場合においては、十分な
  個人情報の保護水準を提供する者を選定し、契約等の法律行為により、管理者の指示の遵守、個人
  情報に関する秘密の保持、再提供の禁止及び事故時の責任分担等を担保するとともに、当該契約書
  等の書面又は電磁的記録を個人情報の保有期間にわたり保存するものとする。
  第8章 自己情報に関する情報主体の権利
 (自己情報に関する権利)
第20条 情報主体から自己の情報について開示を求められた場合は、原則として合理的な期間内にこ
  れに応ずる。また開示の結果、誤った情報があった場合で、訂正又は削除を求められた場合には、
  原則として合理的な期間内にこれに応ずるとともに、訂正又は削除を行った場合には、可能な範囲
  内で当該個人情報の受領者に対して通知を行うものとする。
 (自己情報の利用又は提供の拒否権)
第21条 企業等が既に保有している個人情報について、情報主体から自己の情報についての利用又は
  第三者への提供を拒まれた場合は、これに応ずるものとする。ただし、公共の利益の保護又は企業
  等若しくは個人情報の開示の対象となる第三者の法令に基づく権限の行使又は義務の履行のために
  必要な場合については、この限りでない。
  第9章 組織及び実施責任
 (代表者による管理者の指名)
第22条 企業等の代表者は、このガイドラインの内容を理解し実践する能力のある者を企業等の内部
  から1名指名し、個人情報の管理者としての業務を行わせるものとする。
 (管理者の責務)
第23条 企業等における個人情報の管理者は、このガイドラインに定められた事項を理解し、及び遵
  守するとともに、従事者にこれを理解させ、及び遵守させるための教育訓練、内部規程の整備、安
  全対策の実施並びに実践遵守計画(コンプライアンス・プログラム)の策定及び周知徹底等の措置
  を実施する責任を負うものとする。
  第10章 その他
 (通信網を利用して電磁的記録を送受信する場合の通知)
第24条 通信網を利用して電磁的記録を送受信する場合において、送受信の相手先に関する個人情報
  を通信網により収集する企業等については、送受信の相手先たる情報主体に対しては、このガイド
  ライン第8条、第9条、第12条、第14条及び第15条に定める情報主体への書面による通知に代えて、
  電磁的記録の送信の方法による通知を行うことができる。