今回は、プライバシーポリシーの作り方ということで、利用目的条項について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
カテゴリー「会社法務」では、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
利用目的条項の法的意味
利用目的条項の法的意味は、利用目的の通知又は公表等が必要とされているケースで、公表等をプライバシーポリシーへの記載によって行うことである。
利用目的条項に関して考えることは、
- 利用目的の特定の程度
- 利用目的の見せ方(「公表」「明示」「本人の知り得る状態」)
- 利用目的の変更
あたりかと思う。
以下、順に見てみる。
利用目的の特定の程度
まず最初に気になるのは、利用目的の特定(法17条1項)の程度、つまり、利用目的をどの程度具体的に書けばよいのか、である。
(利用目的の特定)
第十七条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
できる限り
ここでいう「できる限り」の内容については、
利用目的を「できる限り」特定するとは、個人情報取扱事業者において、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、また、本人において、自らの個人情報がどのような事業の用に供され、どのような目的で利用されるのかについて一般的かつ合理的に予測・想定できる程度に、利用目的を特定することをいいます。
とされている(ガイドラインQ&A2-1)。
どんなに考えても曖昧さは残るところだが、根っこにある考え方は示されており、規範内容としては、利用目的の特定の趣旨2点に対応したものになっている。
つまり、利用目的の特定の趣旨は、
(※1)「利用目的の特定」の趣旨は、個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすることである。
とされており(通則ガイドライン3-1-1)、①個人情報取扱事業者にとっての趣旨と、②本人にとっての趣旨の2点が挙げられている。
①個人情報取扱事業者にとっての趣旨の部分は、何を言っているのかというと、要するに、目的外利用の禁止(法18条1項)とセットになって、事業者内部において個人情報が取り扱われる範囲を確定する、という意味である。
もっとわかりやすく言ってしまえば、目的外利用の禁止との関係で、利用目的の特定をちゃんとしておかないと、自分でもどの範囲で利用していいかわかんないでしょ(明確な認識を持てないでしょ)、という話をしているわけです。
とはいえ、実際問題としては、後者の、②本人にとっての予測可能性の担保という趣旨の方が、わかりやすく意識されやすいところかと思う。
これら特定の趣旨と、「できる限り」の規範内容は、対応していて、
| 「利用目的の特定」の趣旨 | 「できる限り特定」の規範内容 | |
| ①個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定する⇒ | 個人情報取扱事業者において、個人情報をどのような目的で利用するかについて明確な認識を持つことができる | 程度に、利用目的を特定すること |
| ②(自らの個人情報が取り扱われる範囲についての)本人の予測を可能とする⇒ | 本人において、自らの個人情報がどのような事業の用に供され、どのような目的で利用されるのかについて一般的かつ合理的に予測できる | |
という風になっている。
利用目的に第三者提供が含まれる場合
もうひとつ、利用目的の特定のところで、一般論として重要なポイントは、利用目的に第三者提供が含まれる場合にはその旨を書かないといけない、ということである。
▽通則ガイドライン3-1-1
なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるよう特定しなければならない(3-6-1(第三者提供の制限の原則)参照)。
具体例
以上のような内容を前提に、通則ガイドラインやガイドラインQ&Aで示されている具体例を見てみる。
利用目的を特定している例
利用目的を特定している例としては、
事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合
が挙げられている(通則ガイドライン3-1-1)。
「事業活動に用いるため」?
上記のような例に対して、単に抽象的、一般的な内容を利用目的とするだけでは足りないとされている。
例えば、
「事業活動に用いるため」
とか
「マーケティング活動に用いるため」
とか
「お客様のサービスの向上のため」
といった記載である(通則ガイドライン3-1-1、ガイドラインQ&A2-1)。
「○○事業に利用するため」?
業種を明示するだけの記載も、基本的に不可とされている。
▽通則ガイドライン3-1-1
定款等に規定されている事業の内容に照らして、個人情報によって識別される本人からみて、自分の個人情報が利用される範囲が合理的に予想できる程度に特定されている場合や業種を明示することで利用目的の範囲が想定される場合には、これで足りるとされることもあり得るが、多くの場合、業種の明示だけでは利用目的をできる限り具体的に特定したことにはならないと解される。なお、利用目的の特定に当たり「○○事業」のように事業を明示する場合についても、社会通念上、本人からみてその特定に資すると認められる範囲に特定することが望ましい。
定款等に規定されている事業の内容と照らしてみたり、あるいは、業種を明示されるだけで、利用目的が合理的に予想できる場合も、ないとはいわないが、普通は考え難い、ということである。
なお書きの部分はつまり、業種を明示するだけで終わらせるわけではなくても、利用目的を記載するにあたって自らの営む業種に言及することもよくあるが(ex.当社の○○事業におけるホニャララに利用するため…のような記載)、その場合も、(利用目的の特定に資するよう)なるだけ絞った範囲で業種を記載することが望ましい、ということである。
(ex.「不動産事業におけるホニャララに利用するため…」よりは「宅地売買事業におけるホニャララに利用するため…」の方が、相対的に利用目的の特定に資する)
情報分析処理を行う場合
また、一連の個人情報の取扱いの中で、本人が合理的に予測・想定できないような個人情報の取扱いを行う場合には、かかる取扱いを行うことを含めて、利用目的を特定する必要があるとされている。
例えば、本人から得た情報から、本人に関する行動・関心等の情報を分析する処理を行う場合、個人情報取扱事業者は、分析結果をどのような目的で利用するかのみならず、前提として、かかる分析処理を行うことを含めて、利用目的を特定する必要がある(通則ガイドライン3-1-1、ガイドラインQ&A2-1)。
具体的には、
事例1)ウェブサイトの閲覧履歴や購買履歴等の情報を分析して、本人の趣味・嗜好に応じた広告を配信する場合
⇒「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」
事例2)行動履歴等の情報を分析して信用スコアを算出し、当該スコアを第三者へ提供する場合
⇒「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。」
といった程度まで特定しなければならない(通則ガイドライン3-1-1、ガイドラインQ&A2-1)。
よく見ると、事例2の方は、利用目的に第三者提供が含まれる場合の例にもなっているので、その点も参考になります。
利用目的の見せ方
プライバシーポリシーに利用目的条項を記載するのは、主として利用目的のあらかじめの公表を行うためであるが、場面に応じて、
- 個人情報の利用目的の「公表」(法21条1項)
- 個人情報の利用目的の「明示」(法21条2項)
- 保有個人データの利用目的を「本人の知り得る状態」に置く(法32条1項2号)
という、微妙に表現の異なる義務が課せられている。
以下、どういう場合に、どういう見せ方になるのか、確認してみる。
「公表」
非直接取得
「公表」を行うのは、個人情報を非直接取得する場合である。
▽法21条1項
(取得に際しての利用目的の通知等)
第二十一条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
この法21条1項でいう「取得」を、便宜上、非直接取得と呼んでいるが、これは、次でみる、直接書面等による取得以外の方法で取得することである。
内容的には、本人から取得するのではない間接取得のイメージであるが、本人から取得する場合であっても、直接書面等により取得するわけではない場合は、非直接取得になる。
例えば、
事例1)インターネット上で本人が自発的に公にしている個人情報を取得した場合(単に閲覧しただけの場合を除く。)
事例2)インターネット、官報、職員録等から個人情報を取得した場合(単に閲覧しただけの場合を除く。)
事例3)個人情報の第三者提供を受けた場合
が具体例として挙げられている(通則ガイドライン3-3-3)。
事例2は、わかりやすく間接取得である。また、事例3も、本人から取得した者から提供を受けるのだから、間接取得である。
これらに対し、事例1は、情報ソースは本人であるが、直接書面等により取得しているわけではないから、これも非直接取得になる。
「公表」の定義と具体例
「公表」の定義については、
「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいい、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならない。
とされている(通則ガイドライン2-15)。
公表に該当する事例としては、
事例1)自社のホームページのトップページから1回程度の操作で到達できる場所への掲載
事例2)自社の店舗や事務所等、顧客が訪れることが想定される場所におけるポスター等の掲示、パンフレット等の備置き・配布
事例3)(通信販売の場合)通信販売用のパンフレット・カタログ等への掲載
が例として挙げられている(通則ガイドライン2-15)。
利用目的条項を記載したプライバシーポリシーへのリンクをホームページのフッターに記載するという見せ方が一番多いと思われるが、これは、上記でいう事例1のような方法を採っているということになる。
「明示」
直接書面等による取得
「明示」を行うのは、個人情報を、本人から、直接書面等により取得する場合である。
▽法21条2項
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
書面といっても、電磁的記録も含むので、ウェブページの申込画面で個人情報を入力して送信するような場合も含まれる。
このような直接書面等による取得の例としては、
事例1)本人の個人情報が記載された申込書・契約書等を本人から直接取得する場合
事例2)アンケートに記載された個人情報を直接本人から取得する場合
事例3)自社が主催するキャンペーンへの参加希望者が、参加申込みのために自社のホームページの入力画面に入力した個人情報を直接本人から取得する場合
が挙げられている(通則ガイドライン3-3-4)。
なお、名刺などはここでいう書面にはあたらないとされ(一般の慣行として、自身の個人情報を、本人の自発的な意思で、任意の簡便な形式により相手に提供するものであり、申込書、アンケート調査票、懸賞応募はがき等のように、個人情報取扱事業者が一定の書式や様式を準備した上で、本人が当該事業者の求めに沿う形で個人情報を提供する場合とは異なるため)、また、本人から直接取得する場合であっても、口頭の場合はやはりあたらない(通則ガイドライン3-3-4)。
つまり、これらは非直接取得になるので、1項の「公表」により対応すればよいことになる。
「明示」の定義と具体例
「明示」の定義については、
(※)「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要がある。
とされている(通則ガイドライン3-3-4)。
要するに、本人の目に触れさせないといけない、ということである(公表のように、単にオープンにしているだけでは足りない)。
明示に該当する事例としては、事例1(紙媒体のケース)と、事例2(電磁的記録のケース)の2つが挙げられている(通則ガイドライン3-3-4)。
事例1)利用目的を明記した契約書その他の書面を相手方である本人に手渡し、又は送付する場合
なお、契約約款又は利用条件等の書面(電磁的記録を含む。)中に利用目的条項を記載する場合は、例えば、裏面約款に利用目的が記載されていることを伝える、又は裏面約款等に記載されている利用目的条項を表面にも記載し、かつ、社会通念上、本人が認識できる場所及び文字の大きさで記載する等、本人が実際に利用目的を確認できるよう留意することが望ましい。
事例1は、例えば、本人の個人情報が記載された申込書や契約書などを本人から直接取得する場合であるが、このような場合は、その申込書や契約書などに利用目的を明記しておいて、本人に手渡しや送付をするということである。
なお書きの部分は、例えば、申込書の裏面にびっしり細かい字で約款が書き込まれている体裁になっている書式などもよく見かけるところであるが、その約款の中に利用目的条項を記載しているような場合は、特に、裏面約款に利用目的が記載されていることを伝えるとか、あるいは利用目的条項の部分だけ表面にも記載するなど、本人が実際に確認できるように配慮することが望ましい、という話である。
事例2)ネットワーク上において、利用目的を、本人がアクセスした自社のホームページ上に明示し、又は本人の端末装置上に表示する場合
なお、ネットワーク上において個人情報を取得する場合は、本人が送信ボタン等をクリックする前等にその利用目的(利用目的の内容が示された画面に1回程度の操作でページ遷移するよう設定したリンクやボタンを含む。)が本人の目に留まるようその配置に留意することが望ましい。
事例2は、例えば、インターネット系のサービスにおいて申込ページに入力された個人情報を取得する場合であるが、本人がアクセスしたページ上で、利用目的が本人の目に触れるようにせよ、ということである。
なお書きの部分は、やはりこれも本人が実際に確認できるように配慮すること、例えば送信クリックの前に、利用目的や利用目的へのリンク(1回程度の操作で到達)が本人の目に留まるよう配置に留意することが望ましい、という話である。
第三者提供に関する本人の同意の取得も兼ねるために、プライバシーポリシーを利用規約とともに見せたうえで(ポップアップにするような場合も含む)、同意のチェックボックスを入れてから送信するとか、「同意して送信」のようなクリックボタンにしているようなケースもあります(一番手堅い処理)。
ただ、トータルとしては、離脱されるデメリットも考えながら、本人が申込み(個人情報を送信)するまでに、利用目的条項が記載されたプライバシーポリシー(あるいはそのリンク)が本人の目に触れるよう、全体的な動線をある程度柔軟に検討しているだろうと思います。
「本人の知り得る状態」
保有個人データを有している場合
「本人の知り得る状態」に置くのは、保有個人データを有している場合である。
個人情報のデータベースを持っているとき(体系的構成+検索可能の2つを満たすデータベースを持っているとき)は、保有個人データを有していることになります。
▽法32条1項2号
(保有個人データに関する事項の公表等)
第三十二条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
二 全ての保有個人データの利用目的(第二十一条第四項第一号から第三号までに該当する場合を除く。)
また、「全ての保有個人データの利用目的」に関しては、
(※3)利用目的に第三者提供が含まれる場合は、その旨も明らかにしなければならない。
とされている(通則ガイドライン3-8-1-⑴)。
「本人の知り得る状態」の定義と具体例
「本人の知り得る状態」の定義は、本人が知ろうとすれば、知ることができる状態に置くこと、とされている。
▽通則ガイドライン3-8-1-⑴
(※1)「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」とは、ホームページへの掲載、パンフレットの配布、本人の求めに応じて遅滞なく回答を行うこと等、本人が知ろうとすれば、知ることができる状態に置くことをいい、常にその時点での正確な内容を本人の知り得る状態に置かなければならない。必ずしもホームページへの掲載、又は事務所等の窓口等へ掲示すること等が継続的に行われることまでを必要とするものではないが、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。
本人の知り得る状態に該当する事例としては、
事例1)問合せ窓口を設け、問合せがあれば、口頭又は文書で回答できるよう体制を構築しておく場合
事例2)店舗にパンフレットを備え置く場合
事例3)電子商取引において、商品を紹介するホームページに問合せ先のメールアドレスを表示する場合
が挙げられている。
定義のところでも触れられているように、必ずホームページに掲載しなければならないわけではない(もちろん、趣旨に沿う望ましい措置ではあるが)。事例1や事例3は、本人の求めに応じて遅滞なく回答を行うケースである(利用目的に関するものではないが、ガイドラインQ&A9-1、9-3等参照)。
▽ガイドラインQ&A 9-1
法第32条第1項第3号は、開示等の請求等に応じる手続を本人の知り得る状態に置かなければならないと定めていますが、必ずホームページに掲載しなければいけませんか。
必ずしもホームページに掲載しなければならないわけではありません。開示等の請求等に応じる手続については、本人の知り得る状態に置かなければなりませんが、本人の求めに応じて遅滞なく回答する場合も含むとされています(法第32条第1項)。
例えば、問合せ窓口を設け、問合せがあれば、口頭又は文書で回答できるよう体制を構築しておけば足ります(ガイドライン(通則編)3-8-1-⑴(※1)参照)。
なお、問合せ窓口(保有個人データの取扱いに関する苦情の申出先。施行令第10条第2号)については、分かりやすくしておくことが望ましいと考えられます。
このように、「公表」と比較した場合、本人の求めに応じて遅滞なく回答する場合も含む点は異なる。つまり、1号~4号までの所定事項すべてを継続的に掲載・掲示することなく、問合せ先等を明らかにしておいて、問合せがあれば回答できるように体制を整えておくことでも足り、中小事業者の負担に配慮する趣旨とされる(岡村久道「個人情報保護法」(第4版)373頁参照)。
実際の見せ方としては、ある程度規模感のある企業では、保有個人データの利用目的を含め、1号~4号までの所定事項(事業者名、利用目的、開示等請求に応じる手続、安全管理措置、苦情の申出先、認定個人情報保護団体名)の各項目を、一応ひと通りすべてプライバシーポリシーに盛り込んでいる場合が多いと思われる。
ただ、開示等請求に応じる手続や安全管理措置については、概要に触れる程度にしたうえで、具体的な内容は問合せ窓口への連絡に応じて回答するという案内を置くスタイルにしていることも少なくない(もちろん、具体的な内容を書ききっていてもよい)。
そういった内容のプライバシーポリシーへのリンクを、ホームページに記載している場合が多いと思われる。
利用目的の変更
利用目的を変更できる範囲(法17条2項)
関連性
利用目的の変更が認められる範囲は、変更前の利用目的と関連性が認められる範囲である(法17条2項)。
ちなみに、これは以前は「相当の関連性」とされていたが、利用目的の変更を柔軟かつ適時に行えるよう、平成27年法改正により要件が若干緩和されたものである(ガイドラインQ&A2-8参照)。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
上記の「変更前の利用目的と関連性を有すると合理的に認められる範囲」とは、
変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内
をいうとされており(通則ガイドライン3-1-2)、通常予期し得る限度かどうかは、平均的な一般人を基準にして判断される。
▽通則ガイドライン3-1-2
(※1)「本人が通常予期し得る限度と客観的に認められる範囲」とは、本人の主観や事業者の恣意的な判断によるものではなく、一般人の判断において、当初の利用目的と変更後の利用目的を比較して予期できる範囲をいい、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断される。
具体例
関連性が認めらるかどうかは個別具体的な事例ごとの判断とされているが、具体的には例えば、
| 変更前の利用目的 | 変更後の利用目的 |
|---|---|
| 「当社が提供する新商品・サービスに関する情報のお知らせ」 | 「既存の関連商品・サービスに関する情報のお知らせ」を追加 |
| 「当社が提供する既存の商品・サービスに関する情報のお知らせ」 (ex.フィットネスクラブの運営事業者が、会員向けにレッスンやプログラムの開催情報をメール配信する目的) | 「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追加 (ex.新たに始めた栄養指導サービスの案内を配信する目的を追加) |
| 「当社が取り扱う既存の商品・サービスの提供」 (ex.防犯目的で警備員が駆け付けるサービスの提供のため) | 「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追加 (ex.新たに始めた「高齢者見守りサービス」について、既存の顧客に当該サービスを案内するためのダイレクトメールを配信する目的を追加) |
| 「当社が取り扱う商品・サービスの提供」 (ex.住宅用太陽光発電システムの販売のため) | 「当社の提携先が提供する関連商品・サービスに関する情報のお知らせ」を追加 (ex.対象の顧客に対して、提携先である電力会社の自然エネルギー買取サービスを紹介する目的を追加) |
といったケースが、利用目的の変更が認められる例として挙げられている(ガイドラインQ&A2-8)。
新しく検討中の利用目的が関連性の範囲外になりそうな場合
では、”新しくこのように利用したい”という利用目的が新たに何か考えられたとして、それが上記のような関連性の範囲内にない、と判断される場合にはどうすればよいのか?
というと、当然、変更しようとしても届かないところにある利用目的なのだから(変更前の利用目的からして、本人が通常予期し得る限度を超えたところにあるのだから)、その新しい利用目的で利用するには、本人の同意が必要になる(法18条1項)。
強行した場合には、目的外利用の禁止に抵触するので、法18条1項違反となる。
▽通則ガイドライン3-1-2
なお、特定された利用目的(法第17条第2項に定める範囲で変更された利用目的を含む。)の達成に必要な範囲を超えて個人情報を取り扱う場合は、法第18条第1項に従って本人の同意を得なければならない。ただし、本人の身体等の保護のために必要があり、かつ本人の同意を得ることが困難である場合等、法第18条第3項各号に掲げる場合には、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことができる(3-1-5(利用目的による制限の例外)参照)。
従前、特に将来的な見通しなく事業を遂行していたところに、急に「こういう風にデータ使えないか」という発想が出てくるケースもあるかと思いますが、そのような場合、第三者提供に関する同意の取得の有無や、この利用目的の変更の可能な範囲、グループにおける共同利用に関する従前の公表の有無、などによって、なかなか困難、ということになることが多いのではないかと思います(仮名加工情報や、匿名加工情報の場合はまた別途)。
変更された利用目的の通知・公表(法21条3項)
変更された利用目的は、本人に通知するか、公表しなければならない(法21条3項)。
3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
変更後の利用目的を通知・公表すれば足り、変更部分がわかるように新旧対比したりすることは(望ましいが)必須ではない。
▽ガイドラインQ&A2-7
利用目的の変更通知は、「××から◯◯に変わった」というように変更前の利用目的との対比によって示す必要がありますか
変更後の利用目的を通知することで足ります。ただし、本人にとっての分かりやすさの観点等からは、「もともと××であったものを今後○○に変更します」など、当初特定した利用目的のどの点がどのように変わったのかを示すことが望ましいと考えられます。
結び
今回は、プライバシーポリシーの作り方ということで、利用目的条項について見てみました。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
プライバシーポリシーの作り方に関するその他の記事
参考文献・主要法令等
参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)