事業者が保有する個人情報の適正な取扱いに関する指針

平成17年3月25日策定

この指針の趣旨

 事業者が事業を行うに当たって個人情報を取り扱う場合、個人情報の重要性にかんがみ、その取扱いに適正を期し、個人の権利利益を侵害することのないよう努める必要があります。
 個人情報の保護に関する法律(平成15年法律第57号)が定める個人情報取扱事業者に該当せず、また、関係省庁が示している特定の分野に関するガイドラインも適用されない事業者においても、個人情報の適正な取扱いに万全を期すことができるよう、東京都は、個人情報取扱事業者に準じた内容をもって、この「事業者が保有する個人情報の適正な取扱いに関する指針」を定めました。

全文→PDF(約89.1KB

個人情報の適正な取扱いのために事業者が守るべきルール

(1)個人情報の利用目的
 個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定する。
 利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行わない。
 利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表する。
<説明>
 この指針にいう「個人情報」とは、生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により特定の個人が識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます)をいいます。
 「生存する個人」は日本国民に限られず、外国人も含まれます。
 法人その他の団体自体は「個人」に該当しないため、法人等の団体そのものに関する情報は含まれません(ただし、役員、従業員等に関する情報は「個人情報」にあたります)。
 利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、事業者において最終的にどのような目的で個人情報を利用するかを、可能な限り具体的に特定する必要があります。
 たとえば、「商品の発送」「新商品のお知らせ」「アフターサービス」など、顧客が具体的に利用目的を予想できることが必要です。単に、「当社の事業活動」「お客様のサービス向上」では、利用目的をできる限り特定したとはいえないでしょう。
 特定された利用目的は、社会通念上、本人が想定することが困難でないと認められる範囲内(一連の個人情報の取扱いの典型を具体的に示していた場合は、その典型例から推測できる範囲内)で変更することは可能です。ただし、変更された利用目的については、本人に通知するか、又は公表しなければなりません。
 たとえば、新製品に関する情報を電子メールで送信することが利用目的である場合において、郵便により通知することを追加する場合は、その範囲内であると考えられます。
 「本人に通知」とは、本人に直接知らせることをいいます。たとえば、書面の郵送、電子メールによる通知などがあたります。
 「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいいます。たとえば、自社ホームページへの掲載、パンフレットの据置きや配布、店頭での掲示などがあたります。
 4)事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱わない。
 事業者は、合併その他の事由により他の事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前の利用目的の達成に必要な範囲を超えて、個人情報を取り扱わない。
<説明>
 利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意を得なければなりません。
「本人の同意」とは、本人の個人情報が、事業者によって示された方法で取り扱われることを承諾する本人による意思表示をいい、口頭又は書面によることが必要です。
同意を得るに当たっては、「いかなる目的で利用されても異議を唱えない」など、事前に包括的に同意を得ることは認められません。どのような目的で利用されるかを本人が十分に認識し得るよう、具体的に利用目的を示した上での同意でなければなりません。
 本人の同意は、次の場合には必要としない。
i 法令に基づいて個人情報を取り扱う場合
ii 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
iii 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
iv 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによりその事務の遂行に支障を及ぼすおそれがあるとき。
<説明>
 「i 法令に基づいて個人情報を取り扱う場合」とは、たとえば、刑事訴訟法第218条に基づく捜査、地方税法第72条の63に基づく質問検査が考えられます。
 「ii 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」とは、たとえば、急病その他の事態の際、本人について、その血液型や家族の連絡先などを、医師、看護師に提供する場合が考えられます。
 「iii 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」とは、たとえば、不良行為などの問題行動に関し、児童相談所、学校、医療機関等の関係機関が連携して対応するために、関係機関等の間で児童生徒の情報を交換する場合が考えられます。
 「iv 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによりその事務の遂行に支障を及ぼすおそれがあるとき」とは、たとえば、事業者等が、税務署の職員等の任意調査に対し、個人情報を提出する場合や、事業者等が警察の任意の求めに応じて個人情報を提出する場合が考えられます。

(2)個人情報の取得
 事業者は、偽りその他不正の手段により個人情報を取得しない。
 事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表する。
<説明>
 「偽りその他不正の手段により」とは、たとえば、最終的な利用目的とは異なる利用目的をことさらに通知して、本人から個人情報を取得した場合(「第三者に個人情報を転売する」という利用目的を隠して、「統計調査のため」などの虚偽の目的を告げて個人情報を取得するなど)が考えられます。
事業者は、個人情報を取得する場合は、あらかじめその利用目的を公表しておくことが望ましい対応です。
 公表をしていない場合は、取得後速やかに、その利用目的を、本人に通知するか、又は公表しなければなりません。
事業者は、本人との間で契約を結ぶことに伴って契約書その他の書面(電子的・磁気的方式等によって作られた記録を含む)に記載された個人情報を取得する場合その他本人から直接書面に記載された本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示する(人の生命、身体又は財産の保護のために緊急に必要がある場合を除く)。
<説明>
 申込書や契約書を取得する場合、アンケートや懸賞への応募により個人情報を取得する場合など、書面等による記載や、ユーザー入力画面への入力などにより、直接本人から個人情報を取得する場合には、あらかじめ、本人に対し、その利用目的を明示しなければなりません。
 「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に示すことをいいます。たとえば、利用目的を明記した契約書その他の書面を本人に手渡すことや送付すること、ネットワーク上においては、本人がアクセスした自社のホームページの画面上、又は本人の端末装置上にその利用目的を明記することが考えられます。
 書面の裏面に、ことさらに微細な文字で利用目的を記載するなど、利用目的が記載された部分がわかりにくい書面を交付することは、利用目的の明示の趣旨に反するおそれがあります。
 事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表する。
<説明>
 事業者は、社会通念上、本人が想定することが困難でないと認められる範囲内で利用目的を変更することができますが、その場合、変更された利用目的について、本人に通知するか、又は公表しなければなりません。
 利用目的の本人への通知、公表及び明示は、次の場合には必要としない。
i 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
ii 利用目的を本人に通知し、又は公表することにより事業者の権利又は正当な利益を害するおそれがある場合
iii 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより事務事業の遂行に支障を及ぼすおそれがあるとき。
iv 取得の状況からみて利用目的が明らかであると認められる場合
<説明>
 「i 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合」とは、たとえば、いわゆる総会屋等による被害を防止するため、その総会屋担当者個人に関する情報を取得し、相互に情報交換を行っている場合で、利用目的を通知又は公表することにより、その総会屋の逆恨みにより、第三者である情報提供者が被害を被るおそれがある場合が考えられます。
 「ii 利用目的を本人に通知し、又は公表することにより事業者の権利又は正当な利益を害するおそれがある場合」とは、たとえば、通知又は公表される利用目的の内容により、事業者が行う新商品等の開発内容や、営業ノウハウ等の企業秘密にかかわることが明らかになる場合が考えられます。
 「iii 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより事務事業の遂行に支障を及ぼすおそれがあるとき」とは、たとえば、警察が被疑者の立ち回りが予想される事業者に限って、被疑者に関する個人情報を提供する場合、警察から受け取った事業者が利用目的を本人に通知し、又は公表することにより、捜査活動に重大な支障を及ぼすおそれがある場合が考えられます。
 「iv 取得の状況からみて利用目的が明らかであると認められる場合」とは、たとえば、電話により配達や出前を依頼した際、氏名・住所・電話番号を取得する場合が考えられます。

(3)個人データの管理
 事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努める。
<説明>
 この指針にいう「個人データ」とは、個人情報データベース等を構成する個人情報をいいます。
 また、「個人情報データベース等」とは、個人情報を含む情報の集合物であって、特定の個人情報をコンピュータを使って検索できるように体系的に構成したもの、あるいは、紙で処理した個人情報を一定のきまり(50音順など)に従って整理、分類し、特定の個人を容易に検索できるよう、目次や索引がついているものをいいます。
 事業者は、利用目的の達成に必要な範囲内において、個人情報の入力時の照合、確認手続の整備、誤り等を発見した場合の訂正等の手続の整備、記録事項の更新、保存期間の設定等を行うことなどにより、個人データを正確かつ最新の内容に保つよう努めなければなりません。
 保有する個人データを一律にあるいは常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性、最新性を確保する必要があります。
 事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じる。
<説明>
 事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、組織的、人的、物理的及び技術的な安全管理措置を講じなければなりません。
 その際、本人の個人データの漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮する必要があります。
 具体的には、以下のような対応が望まれます。
(i)組織的な安全管理
 組織的な安全管理とは、安全管理について従業者の責任と権限を明確に定め、安全管理に関する規程や手順書を整備、運用し、その実施状況を確認することをいいます。
 たとえば、安全管理措置を講じるための組織体制の整備、規程等の整備と運用、取扱い状況を一覧できる手段の整備、安全管理措置の評価、見直し及び改善、事故又は違反への対処が望まれます。
(ii)人的な安全管理
 人的な安全管理とは、たとえば、雇用又は委託契約時に、従業者との間で、業務上秘密と指定された個人データの非開示契約を締結することや、従業者に対する教育、訓練等を行うことをいいます。
(iii)物理的な安全管理
 物理的な安全管理とは、たとえば、入退館(室)の管理、パスワードの設置や施錠保管などによる個人データの盗難防止、個人データを取り扱う機器や装置等の盗難、破壊、漏水又は火災からの物理的な保護を行うことをいいます。
(iv)技術的な安全管理
 技術的な安全管理とは、たとえば、IDやパスワードによるアクセスの認証やアクセスできる従業者の最小化、アクセスできる者を許可する権限の管理、アクセス記録の管理、ウィルス対策ソフトウエアやウィルスパッチの導入による不正ソフトウエア対策、データの暗号化などによる移送、送信時の対策、個人データへのアクセス点検などによる情報システムの監視などをいいます。
(4) 従業者の監督
 事業者は、その従業者に個人データを取り扱わせるに当たっては、個人データの安全管理が図られるよう、従業者に対する必要かつ適切な監督を行う。
<説明>
 事業者は、(3)イに従い整備した安全管理措置を守らせるよう、従業者に対して、必要かつ適切な監督を行わなければなりません。
 その際、個人データが漏えい、滅失又はき損した場合に本人が被る権利利益の侵害の大きさを考慮する必要があります。
 たとえば、従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを、あらかじめ定めた間隔で定期的に確認することなく、その結果、個人データが漏えいした場合や、内部規程等に反して個人データが含まれるノート型パソコンを繰り返し持ち出していたにもかかわらず、その行為を放置した結果、パソコンを紛失し、個人データが漏えいした場合は、「必要かつ適切な監督」があったとはいえません。
 「従業者」とは、事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業員だけではなく、取締役、監査役、派遣社員等も含みます。
(5) 委託先の監督
 事業者は、個人データの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行う。
<説明>
 事業者は、個人データの全部又は一部を委託する場合、(4)に従い整備した安全管理措置を守らせるよう、受託者に対して、必要かつ適切な監督を行わなければなりません。
 その際、個人データが漏えい、滅失又はき損した場合に本人が被る権利利益の侵害の大きさを考慮する必要があります。
 「必要かつ適切な監督」には、委託契約における個人データの取扱いに関して、必要かつ適切な安全管理措置として、委託者、受託者双方で同意した内容を契約条項に盛り込むとともに、その内容が適切に遂行されていることを、あらかじめ定めた間隔で確認することも含まれます。
 委託者による受託者に対する「必要かつ適切な監督」が行われていない場合で、受託者が再委託をした際に、再委託先による不適切な取扱いにより何らかの問題が生じた場合は、元の委託者がその責めを負うことがあり得るので、注意が必要です。
 たとえば、個人データの安全管理措置の状況を契約締結時及びそれ以降も定期的に把握せず外部の事業者に委託した場合で、受託者が個人データを漏えいした場合や、安全管理措置の内容を受託者に指示しなかった結果、受託者が個人データを漏えいした場合は、「必要かつ適切な監督」があったとはいえません。
 個人データの取扱いを委託する場合に契約に盛り込むことが望ましい事項としては、以下のものがあります。
(i)委託者及び受託者の責任の明確化
(ii)個人データの安全管理に関する事項
 個人データの漏えい防止、盗用禁止に関する事項、委託契約範囲外の加工、利用、複写及び複製の禁止、委託契約終了後の個人データの返還・消去・廃棄に関する事項など
(iii)再委託に関する事項
 再委託を行うに当たっての委託者への文書による報告
(iv)個人データの取扱状況に関する委託者への報告の内容及び頻度
(v)契約内容が守られていることの確認(情報セキュリティ監査なども含みます)
(vi)契約内容が守られなかった場合の措置
(vii)セキュリティ事件・事故が発生した場合の報告・連絡に関する事項
 
(6) 第三者への提供
 事業者は、次の場合以外は、あらかじめ本人の同意を得ないで、個人データを第三者に提供しない。
i 法令に基づく場合
ii 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
iii 公衆衛生の向上又は児童の健全な育成の推進のために特に必要な場合
であって本人の同意を得ることが困難であるとき。
iv 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより事務の遂行に支障を及ぼすおそれがあるとき。
<説明>
 事業者は、あらかじめ、本人の同意を得ないで、個人データを第三者に提供してはなりません。
 たとえば、グループ会社の間、フランチャイズ組織の本部と加盟店との間、又は同業者間で個人データを交換する場合は、第三者への提供にあたります。
 同意の取得に当たっては、事業の性質及び個人情報の取得状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を、本人に対して明確に示す必要があります。
 i~ivの考え方は、「(1)個人情報の利用目的 カ」の場合と同じです。
 事業者は、第三者に提供される個人データについて、本人の求めに応じて本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、その個人データを第三者に提供することができる。
i 第三者への提供を利用目的とすること。
ii 第三者に提供される個人データの項目
iii 第三者への提供の手段又は方法
iv 本人の求めに応じて本人が識別される個人データの第三者への提供を停止すること。
 事業者は、第三者に提供される個人データの項目及び第三者への提供の手段又は方法を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置く
<説明>
 第三者への提供を利用目的とすること、提供するデータの項目、提供する手段や方法、本人の求めに応じて第三者への提供を停止することを、あらかじめ本人に通知し又は本人が容易に知り得る状態(本人による事前の同意に代替するものであることから、一時的な公表では足りません)に置いているときは、本人の同意なく、個人データを第三者に提供することができます。これを「オプトアウト」といいます。
 「本人が容易に知り得る状態」とは、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態に置いていることをいいます。
 たとえば、ウェブ画面中のトップページから1回程度の操作で到達できる場所への掲載等が継続的に行われている場合や、事務所の窓口等への掲示、備付け等が継続的に行われている場合が、これにあたります。
 次に掲げる場合においては、個人データの提供を受ける者は、第三者提供については、第三者にはあたらない。
i 事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合。
ii 合併その他の事由による事業の承継に伴って個人データが提供される場合。
iii 個人データを特定の者との間で共同利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
 事業者は、上記4)iiiの利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置く。
<説明>
 委託の場合は「第三者」には該当しませんが、この際、事業者は、委託先に対する監督責任を負います。
 合併等の場合、事業の承継後も、個人データが譲渡される前の利用目的の範囲内で利用しなければなりません。
 共同利用の場合、共同して利用される個人データの項目、共同利用者の範囲、利用する者の利用目的、安全管理など個人データの管理について責任を有する者の氏名又は名称に関する情報を、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置いておくとともに、共同して利用することを明らかにしている場合には、「第三者」には該当しません。
(7) 保有個人データの公表
 事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置く。
i 事業者の氏名又は名称
ii すべての保有個人データの利用目的(ただし、(2)5)のi~iiiの場合は除く)
iii 開示、訂正及び利用停止の求めに応じる手続等に関する事項(手数料の額を定めたときは、その手数料の額を含む)
iv 事業者が行う保有個人データの取扱いに関する苦情の申出先、事業者が認定個人情報保護団体の対象事業者である場合にあっては、その認定個人情報保護団体の名称及び苦情の解決の申出先
<説明>
 この指針にいう「保有個人データ」とは、事業者が、本人又はその代理人から求められる開示、訂正、利用停止のすべてに応じることができる権限を有する個人データをいいます。
 事業者が個人データを受託処理している場合で、その個人データについて、何ら取決めがなく、自らの判断では本人の開示等をすることができないときは、委託者が開示等の権限を有するのであって、受託者ではありません。
 認定個人情報保護団体の制度は、苦情処理業務など個人情報の適正な取扱いの確保を目的として業務を行う民間団体に対し、主務大臣が認定する制度です。
 この制度により、その業務の信頼性を確保し、民間団体による個人情報の保護の推進を図ろうとするものです。
 「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)」とは、本人が知ろうとすれば知ることができる状態に置くことをいい、常にその時点での正確な内容を本人が知り得る状態に置かなければなりません。
 かならずしもウェブ画面への掲載や、事務所等の窓口等への掲示が継続的に行われることまでを必要とするものではありませんが、事業の性質や個人情報の取得状況に応じ、その内容が本人にわかるよう、適切な方法による必要があります。
 事業者は、本人から、本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知する。ただし、次のいずれかに該当する場合を除く。
i 保有個人データの公表により本人が識別される保有個人データの利用目的が明らかな場合
ii (2)5)のiからiiiまでに該当する場合
 事業者は、保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する。
<説明>
 事業者は、本人から、自己が識別される保有個人データの利用目的の通知を求められたときは、遅滞なく本人に通知しなければなりません。通知しない旨を決定したときも、これと同様です。
(8) 保有個人データの開示・訂正・利用停止
 事業者は、本人から、本人が識別される保有個人データの開示(存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、書面の交付等による方法により、遅滞なく、その保有個人データを開示する。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないものとする。
i 本人又は第三者の生命、身体、財産その他の権利利益を侵害するおそれがある場合
ii 事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
iii 他の法令に違反することとなる場合
<説明>
 事業者は、本人から、自己が識別される保有個人データの開示(存在しないときにはその旨を知らせることを含みます)を求められたときは、本人に対し、書面の交付による方法などにより、遅滞なく、保有個人データを開示しなければなりません。
 保有個人データの全部又は一部を開示しない旨の決定をしたときは、本人に対し、その旨を通知しなければなりません。
 他の法令の規定により、別途開示の手続が定められている場合には、その別途の開示の手続による対応が優先されることとなります。
 「i 本人又は第三者の生命、身体、財産その他の権利利益を侵害するおそれがある場合」とは、たとえば、医療機関から病名等を開示すると、本人の心身状況を悪化させるおそれがある場合が考えられます。
 「ii 事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合」とは、たとえば、試験実施機関が採点情報のすべてを開示することとなると、試験制度の維持に著しい支障を及ぼすおそれがある場合が考えられます。
 「iii 他の法令に違反することとなる場合」とは、たとえば、金融機関が「組織的な犯罪の処罰及び犯罪収益の規制等に関する法律」第54条第1項に基づき、主務大臣に取引の届出を行っていたときに、届出を行ったことが記録されている保有個人データを開示することが同条第2項の規定に違反する場合が考えられます。
 事業者は、本人から、本人が識別される保有個人データの内容が事実でないという理由によってその保有個人データの内容の訂正、追加又は削除(以下「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、その保有個人データの内容の訂正等を行う。
 事業者は、上記2)に基づき求められた保有個人データの内容の全部又は一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知する。
<説明>
 事業者は、本人から、保有個人データに誤りがあり、事実でないという理由によって訂正を求められた場合には、原則として、訂正等を行い、訂正等を行った場合には、その内容を本人に対し、遅滞なく通知しなければなりません。
 利用目的からみて訂正等が必要ではない場合や、誤りである旨の指摘が正しくない場合には、訂正等を行う必要がありません。ただし、その場合には、遅滞なく、訂正等を行わない旨を本人に通知しなければなりません。
 また、訂正等の対象が事実に関する情報でなく評価に関する情報である場合も、訂正等を行う必要がありません。
 事業者は、本人から、本人が識別される保有個人データが「(1)個人情報の利用目的」エからカに違反して取り扱われているという理由、又は「(2)個人情報の取得」アに違反して取得されたものであるという理由によって、保有個人データの利用の停止又は消去(以下「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、その保有個人データの利用停止等を行う。ただし、保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難であって、本人の権利利益を保護するために必要なこれに代わるべき措置をとるときを除く。
 事業者は、本人から、本人が識別される保有個人データが「(6)第三者への提供」アに違反して第三者に提供されているという理由によって、保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、その保有個人データの第三者への提供を停止する。ただし、保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときを除く。
 事業者は、上記エに基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は上記オに基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供をしない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する。
<説明>
 事業者は、手続違反(同意のない目的外利用、不正な取得、又は同意のない第三者提供をいいます)の理由により保有個人データの利用停止等が求められた場合には、原則として、その措置を行わなければなりません。
 利用停止等を行った場合には、遅滞なく、その旨を本人に通知しなければなりません。
 違反を是正するための必要な限度を超えている場合や、手続違反である旨の指摘が正しくない場合には、利用停止等を行う必要はありません。ただし、その場合には、遅滞なく、利用停止等を行わない旨を本人に通知しなければなりません。
 事業者は、本人による利用目的の通知の求め、保有個人データの開示、訂正等、利用停止等の求めの全部又は一部についてその措置を取らない旨を通知する場合又はその措置と異なる措置を取る旨を通知する場合は、本人に対し、その理由を説明するよう努める。
<説明>
 事業者は、保有個人データの公表・開示・訂正・利用停止等において、その措置を取らない旨又はその措置と異なる措置をとる旨を本人に通知する場合は、あわせて本人に対して、その理由を説明するように努めなければなりません。
 事業者は、利用目的の通知の求め、保有個人データの開示、訂正等、利用停止等の求め(以下「開示等の求め」という)に関し、その求めを受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の求めを行う。
事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、保有個人データの特定に資する資料の提供その他本人の利便を考慮した適切な措置をとる。
事業者は、開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課すものとならないよう配慮する。
事業者は、利用目的の通知又は開示を求められたときは、その措置の実施に関し、手数料を徴収することができる。
事業者は、サにより手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定める。
開示・訂正・利用停止等の求めは、次に掲げる代理人によってすることができる。
i 未成年者又は成年被後見人の法定代理人
ii 開示等の求めをすることにつき本人が委任した代理人
<説明>
 事業者は、開示等の求めにおいて、その求めを受け付ける方法を定めることができます。また、その求めを受け付ける方法を定めた場合には、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます)に置かなければなりません。
 事業者が、開示等の求めを受け付ける方法を合理的な範囲で定めたときで、求めを行った者がそれに従わなかった場合は、開示等を拒否することができます。
 事業者が開示等の求めを受け付ける方法として定めることができる事項は、以下のとおりです。
(i)開示等の求めの申出先
(ii)開示等の求めに際して提出すべき書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含みます)の様式その他の開示等の求めの方式
(iii)開示等の求めをする者が本人又はスに定める代理人であることの確認の方法
(iv)サの手数料の徴収方法
 開示等の求めを受け付ける方法を定めない場合には、自由な申請を認めることとなります。
 また、手数料の額を定めた場合には、本人に知り得る状態に置かなければなりません。
(9) 苦情の処理
 事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めるとともに、この目的を達成するために必要な体制の整備に努める。
<説明>
 事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければなりません。
 事業者は、自らが遂行する事業の種類や形態、事業の規模、取り扱う個人情報の内容などに応じて、個人情報の本人から寄せられる苦情を適切かつ迅速に処理するために必要な程度で体制を整備することが求められます。
 苦情の適切かつ迅速な処理を行うに当たり、苦情処理窓口の設置や苦情処理の手順を定めるなど、必要な体制の整備に努めなければなりません。
 少なくとも、どの部署にどのような方法で苦情を申し立てることができるかがわかるように明確にしておく必要があります。
 研修などにより、苦情処理の手順などの必要な知識を担当者に身に付けさせることも大切です。
◎関係省庁が策定したガイドラインについて
 関係省庁が策定した特定の分野に該当する事業者については、そのガイドラインに沿って、個人情報を適切に取り扱う必要があります。

東京都が行う苦情の処理等について

(1) 苦情の処理
 事業者の取り扱う個人情報についての苦情の処理(条例第29条の2)
 都では、「東京都個人情報の保護に関する条例」第29条の2の規定に従い、事業者の個人情報の取扱いについて苦情の処理を行います。その際、都民から話を聞くとともに、事業者から事情を伺う場合があります。
 説明及び資料提出(条例第29条の3)
 苦情の処理のために必要があると認めるときは、事業者その他の関係者に対し、個人情報の取扱いなどについての説明または資料の提出を求めます。
 助言及び勧告(条例第29条の4)
 説明又は資料の提出の結果、事業者が行う個人情報の取扱いが不適正であるときは、必要な限度で、事業者に対し、個人情報の適正な取扱いについて、知事等が助言します。
 助言したにもかかわらず、事業者が行う個人情報の取扱いに改善が見られないときは、事業者に対し、その取扱いの是正を勧告するとともに、勧告に係る事実に関する情報を都民に提供します。
※事業の実施に伴い、取り扱う個人情報の件数が5,000人を超える事業者(個人情報取扱事業者に該当する場合)には、条例第29条の3及び第29条の4の規定に替わって、個人情報の保護に関する法律に基づき、より厳しい指導に関する規定が適用されます。

(参考)関係省庁が策定した特定の分野に関するガイドライン

関係省庁が策定したガイドラインは、下記のホームページに掲載されています。
「個人情報の保護に関するガイドラインについて」(消費者庁のページにジャンプします。)