今回は、個人情報保護法を勉強しようということで、個人情報に関する義務について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
「個人情報」に関する義務
個人情報保護法は、個人に関する情報を、「個人情報」、「個人データ」、「保有個人データ」に分類し、この分類に従って段階的な義務を課している(以下の表参照)。
本記事で見てみる義務は、このうち黄色ハイライトの部分にあたる。
個人情報 | 個人データ | 保有個人データ | 要配慮個人情報 | |
個人情報に関する義務 (法17条~法21条、法40条) |
〇 | 〇 | 〇 | 一部厳格化 |
個人データに関する義務 (法22条~法30条) |
〇 | 〇 | 一部厳格化 | |
保有個人データに関する義務 (法32条~法39条) |
〇 | 左記と同様 |
ざっくりいうと、「個人情報」に関する義務としては、利用目的の特定、利用目的による制限、不適正な利用の禁止、適正な取得、利用目的の通知・公表・明示、及び苦情処理がある。
以下、順に見てみる。
利用目的の特定(法17条)
個人情報取扱事業者が個人情報を取り扱う場合は、利用目的をできる限り特定しなければならないとされている(法17条1項)。
(利用目的の特定)
第十七条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
趣旨
このように利用目的の特定を要求している趣旨は、ひと言でいうと、本人の予測可能性を担保するためである。
▽通則ガイドライン3-1-1
(※1)「利用目的の特定」の趣旨は、個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすることである。
本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したことにはならない。
義務の内容
上記の趣旨のとおり、「できる限り」という特定の程度については、
利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい
とされている(通則ガイドライン3-1-1)。
また、利用目的の内容自体について特に制限はないため、第三者に提供することを利用目的とすることもできる。ただ、このように第三者提供を行うことがあらかじめ想定されている場合は、その旨が明確にわかるよう特定しなければならない(通則ガイドライン3-1-1、3-6-1)。
ほか、「利用」とは、取得及び廃棄を除く取扱い全般を指すとされている。
▽ガイドラインQ&A2-3
「利用」とは何を意味しますか。
特段の定義があるわけではありませんが、取得及び廃棄を除く取扱い全般を意味すると考えられます。したがって、保管しているだけでも利用に該当します。
具体例
具体例としては、以下のようなものが挙げられている(通則ガイドライン3-1-1)。
特定していない例 | 特定している例 |
---|---|
「事業活動に用いるため」 「お客様のサービスの向上のため」 「マーケティング活動に用いるため」 | 事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合 |
特定していない例は、何となくやっているとやりがちであるため、あらかじめこのようにダメですよと言われていることは、知っておいて損はないかと思います。
また、本人の予測可能性の担保が趣旨であるから、何も書いていないと予想外の不意打ちになりそうな場合、例えば、行動履歴から情報分析処理(いわゆる「プロファイリング」のような本人に関する行動・関心等の情報を分析する処理)を行うような場合は、分析処理を行うこと自体を含めて、利用目的を特定する必要があるとされている。
▽ガイドラインQ&A2-1(A部分の抜粋)
また、一連の個人情報の取扱いの中で、本人が合理的に予測・想定できないような個人情報の取扱いを行う場合には、かかる取扱いを行うことを含めて、利用目的を特定する必要があります。例えば、いわゆる「プロファイリング」といった、本人に関する行動・関心等の情報を分析する処理を行う場合には、分析結果をどのような目的で利用するかのみならず、前提として、かかる分析処理を行うことを含めて、利用目的を特定する必要があります。具体的には、以下のような事例においては、分析処理を行うことを含めて、利用目的を特定する必要があります。
事例1)ウェブサイトの閲覧履歴や購買履歴等の情報を分析して、本人の趣味・嗜好に応じた広告を配信する場合
事例2)行動履歴等の情報を分析して信用スコアを算出し、当該スコアを第三者へ提供する場合
(令和3年9月更新)
これらの場合の具体的な記載例としては、以下のようなものが挙げられている。
▽通則ガイドライン3-1-1
【本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例】
事例1)「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」
事例2)「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。」
利用目的による制限(法18条1項)
個人情報取扱事業者は、先ほど見たような形で特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない(法18条1項)。
ひと言でいうと、目的外利用の禁止である。
(利用目的による制限)
第十八条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
ちなみに、「取り扱い」は個人情報の取得から消去に至るまでの個人情報のライフサイクル全般を指すので、語義としては「利用」⊂「取り扱い」という関係性にあります(「取り扱い」の方が広い)。
そのため、より正確には、本項は「目的外取り扱いの制限」とでも呼ぶべきもの、になります(岡村久道「個人情報保護法」(第4版)218~219頁参照)。
「あらかじめ本人の同意を得ないで」と書いているので事前の同意があればよく、別の言い方をすれば、目的外使用をしたければ本人の事前同意を得なければならない、ということである。
これらの同意を得るために個人情報を利用すること(メールの送信や電話をかけること等)は、当初に特定した利用目的として記載されていない場合でも、目的外利用には該当しないとされている(通則ガイドライン3-1-3)。
事業承継による場合(2項)
事業承継により個人情報を取得した場合に関して、特に定めがある(法18条2項)。
合併、会社分割、事業譲渡等により、他の個人情報取扱事業者から事業の承継に伴って個人情報を取得した場合は、承継前の利用目的の範囲が基準となり、それを超える・超えない、という判断になる。
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
つまり、承継前の利用目的の範囲内で利用する分には目的外利用にはならないし、他方、事業を承継した後に、承継前の利用目的の達成に必要な範囲を超えて個人情報を取り扱いたい場合は、本人の事前同意を得なければならない、ということである。
適用除外(3項)
目的外利用の禁止には、適用除外もある(法18条3項)。
以下のように1号~6号まであり、これらの場合は、目的外利用になる場合であっても、本人の事前同意は不要である。
3 前二項の規定は、次に掲げる場合については、適用しない。
一 法令(条例を含む。以下この章において同じ。)に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
具体例としては、以下のような例が挙げられている(通則ガイドライン3-1-5)。
適用除外事由 | 具体例 |
法令(条例も含む)に基づく場合(1号) | 事例1)警察の捜査関係事項照会に対応する場合(刑事訴訟法第197条第2項) |
事例2)裁判官の発する令状に基づく捜査に対応する場合(刑事訴訟法第218 条) | |
事例3)税務署の所得税等に関する調査に対応する場合(国税通則法第74条の2ほか) | |
事例4)製造・輸入事業者が消費生活用製品安全法第39条第1項の規定による命令(危害防止命令)を受けて製品の回収等の措置をとる際に、販売事業者が、同法第38条第3項の規定に基づき製品の購入者等の情報を当該製造・輸入事業者に提供する場合 | |
事例5)弁護士会からの照会に対応する場合(弁護士法第23条の2) | |
事例6)保健所が行う積極的疫学調査に対応する場合(感染症の予防及び感染症の患者に対する医療に関する法律第15条第1項) | |
事例7)災害発生時の停電復旧対応の迅速化等のため、経済産業大臣の求めに応じて、一般送配電事業者が、関係行政機関又は地方公共団体の長に対して必要な情報を提供する場合(電気事業法第34条第1項) | |
人の生命、身体又は財産の保護のために必要がある場合で、本人の同意を得ることが困難であるとき(2号) | 事例1)急病その他の事態が生じたときに、本人について、その血液型や家族の連絡先等を医師や看護師に提供する場合 |
事例2)大規模災害や事故等の緊急時に、被災者情報・負傷者情報等を家族、行政機関、地方自治体等に提供する場合 | |
事例3)事業者間において、暴力団等の反社会的勢力情報、振り込め詐欺に利用された口座に関する情報、意図的に業務妨害を行う者の情報について共有する場合 | |
事例4)製造した商品に関連して事故が生じたため、又は、事故は生じていないが、人の生命若しくは身体に危害を及ぼす急迫した危険が存在するため、当該商品の製造事業者等が当該商品をリコールする場合で、販売事業者、修理事業者又は設置工事事業者等が当該製造事業者等に対して、当該商品の購入者等の情報を提供する場合 | |
事例5)上記事例 4 のほか、商品に重大な欠陥があり人の生命、身体又は財産の保護が必要となるような緊急時に、製造事業者から顧客情報の提供を求められ、これに応じる必要がある場合 | |
事例6)不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者に提供する場合 | |
公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合で、本人の同意を得ることが困難であるとき(3号) | 事例1)健康保険組合等の保険者等が実施する健康診断の結果等に係る情報を、健康増進施策の立案、保健事業の効果の向上、疫学調査等に利用する場合 |
事例2)児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、当該関係機関等の間で当該児童生徒の情報を交換する場合 | |
事例3)児童虐待のおそれのある家庭情報を、児童相談所、警察、学校、病院等が共有する必要がある場合 | |
国の機関、地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合で、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(4号) | 事例1)事業者が税務署又は税関の職員等の任意の求めに応じて個人情報を提出する場合 |
事例2)事業者が警察の任意の求めに応じて個人情報を提出する場合 | |
事例3)一般統計調査や地方公共団体が行う統計調査に回答する場合 | |
学術研究機関等が、個人情報を学術研究目的で取り扱う必要があるとき(5号) | |
学術研究機関等に個人データを提供する場合で、学術機関等が学術研究目的で取り扱う必要があるとき(6号) |
不適正な利用の禁止(法19条)
(不適正な利用の禁止)
第十九条 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
この不適正利用の具体例としては、例えば、
- 違法な行為を営むことが疑われる事業者(例:貸金業登録を行っていない貸金業者等)からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合
- 裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載される破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合
- 暴力団員により行われる暴力的要求行為等の不当な行為や総会屋による不当な要求を助長し、又は誘発するおそれが予見できるにもかかわらず、事業者間で共有している暴力団員等に該当する人物を本人とする個人情報や、不当要求による被害を防止するために必要な業務を行う各事業者の責任者の名簿等を、みだりに開示し、又は暴力団等に対しその存在を明らかにする場合
- 個人情報を提供した場合、提供先において法第27条第1項に違反する第三者提供がなされることを予見できるにもかかわらず、当該提供先に対して、個人情報を提供する場合
- 採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合
- 広告配信を行っている事業者が、第三者から広告配信依頼を受けた商品が違法薬物等の違法な商品であることが予見できるにもかかわらず、当該商品の広告配信のために、自社で取得した個人情報を利用する場合
が挙げられている。
本条の定めは、立法当時の個人情報保護法にはありませんでしたが、社会的には「破産者マップ」事件(▷Wikipediaはこちら)などがきっかけになり、法改正により加わったものになります(上記の具体例②参照)。
適正な取得(法20条1項)
(適正な取得)
第二十条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
「取得」の意味としては、個人情報を含む情報がインターネット等により公にされていて、単にこれを閲覧するにすぎず転記等を行わない場合は、取得にあたらないとされている。
不正の手段の具体例としては、例えば、
- 十分な判断能力を有していない子供や障害者から、取得状況から考えて関係のない家族の収入事情などの家族の個人情報を、家族の同意なく取得する場合
- 法第27条第1項に規定する第三者提供制限違反をするよう強要して個人情報を取得する場合
- 個人情報を取得する主体や利用目的等について、意図的に虚偽の情報を示して、本人から個人情報を取得する場合
- 他の事業者に指示して不正の手段で個人情報を取得させ、当該他の事業者から個人情報を取得する場合
- 法第27条第1項に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにもかかわらず、個人情報を取得する場合
- 不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合
が挙げられている(通則ガイドライン3-3-1)。
利用目的の通知・公表・明示(法21条)
これは、非直接取得の場合(1項)と、直接書面等による取得の場合(2項)とで、異なる定め方になっている。
非直接取得の場合(1項)ー 通知または公表
個人情報取扱事業者は、個人情報を取得する場合は、あらかじめ利用目的を公表していることが望ましく、公表していない場合は、取得後速やかに、その利用目的を本人に通知するか公表をしなければならない。
つまり、①取得前の公表か、②取得後の速やかな通知or公表であるが、①が望ましいとされている。
(取得に際しての利用目的の通知等)
第二十一条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
「取得した場合」と書いているだけだが、本人から直接書面等により取得する場合は次の2項に書いているので、それ以外の場合(非直接取得の場合)を指していることになる。
具体例としては、例えば、
- インターネット上で本人が自発的に公にしている個人情報を取得した場合(単に閲覧しただけの場合を除く。)
- インターネット、官報、職員録等から個人情報を取得した場合(単に閲覧しただけの場合を除く。)
- 個人情報の第三者提供を受けた場合
が挙げられている(通則ガイドライン3-3-3)。
直接書面等による取得の場合(2項)ー 明示
書面による記載や、電磁的記録の入力画面への入力等により、個人情報を本人から直接取得する場合は、個人情報取得前に公表したり、取得後に通知または公表するだけでは足りず、あらかじめ本人に対し、利用目的を明示しなければならない(法20条2項)。
なお、口頭による場合は、たとえ本人から直接取得する場合でも、1項が適用されることになる。
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
本人から直接書面等により取得する場合の具体例としては、例えば、
- 本人の個人情報が記載された申込書・契約書等を本人から直接取得する場合
- アンケートに記載された個人情報を直接本人から取得する場合
- 自社が主催するキャンペーンへの参加希望者が、参加申込みのために自社のホームページの入力画面に入力した個人情報を直接本人から取得する場合
が挙げられている(通則ガイドライン3-3-4)。
そして、「利用目的を明示」とは、
本人に対し、その利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要がある
とされ、合理的かつ適切な方法といえる具体例としては、例えば、以下のようなものが挙げられている(通則ガイドライン3-3-4)。
合理的かつ適切な具体例① | 合理的かつ適切な具体例② |
---|---|
利用目的を明記した契約書その他の書面を相手方である本人に手渡し、又は送付する場合 | ネットワーク上において、利用目的を、本人がアクセスした自社のホームページ上に明示し、又は本人の端末装置上に表示する場合 |
なお、契約約款又は利用条件等の書面(電磁的記録を含む。)中に利用目的条項を記載する場合は、例えば、裏面約款に利用目的が記載されていることを伝える、又は裏面約款等に記載されている利用目的条項を表面にも記載し、かつ、社会通念上、本人が認識できる場所及び文字の大きさで記載する等、本人が実際に利用目的を確認できるよう留意することが望ましい。 | なお、ネットワーク上において個人情報を取得する場合は、本人が送信ボタン等をクリックする前等にその利用目的(利用目的の内容が示された画面に 1 回程度の操作でページ遷移するよう設定したリンクやボタンを含む。)が本人の目に留まるようその配置に留意することが望ましい。 |
適用除外(4項)
利用目的の通知・公表等には、適用除外もある(法21条4項)。
以下のように1号~4号まであり、これらの場合には、利用目的の通知・公表等は不要である。
4 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合
具体例としては、以下のような例が挙げられている(通則ガイドライン3-3-5)。
適用除外事由 | 具体例 |
利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合(1号) | 児童虐待等に対応するために、児童相談所、学校、医療機関等の関係機関において、ネットワークを組んで対応する場合に、加害者である本人に対して当該本人の個人情報の利用目的を通知・公表することにより、虐待を悪化させたり、虐待への対応に支障等が生じたりするおそれがある場合 |
利用目的を本人に通知し、又は公表することにより事業者の権利又は正当な利益を害するおそれがある場合(2号) | 暴力団等の反社会的勢力情報、疑わしい取引の届出の対象情報、業務妨害行為を行う悪質者情報等を、本人又は他の事業者等から取得したことが明らかになることにより、当該情報を取得した企業に害が及ぶ場合 |
国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合で、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき(3号) | 警察が、公開手配を行わないで、被疑者に関する個人情報を、被疑者の立ち回りが予想される個人情報取扱事業者に限って提供した場合において、警察から当該個人情報を受け取った当該個人情報取扱事業者が、利用目的を本人に通知し、又は公表することにより、捜査活動に支障を及ぼすおそれがある場合 |
取得の状況からみて利用目的が明らかであると認められる場合(4号) | 事例1)商品・サービス等を販売・提供するに当たって住所・電話番号等の個人情報を取得する場合で、その利用目的が当該商品・サービス等の販売・提供のみを確実に行うためという利用目的であるような場合 |
事例2)一般の慣行として名刺を交換する場合、直接本人から、氏名・所属・肩書・連絡先等の個人情報を取得することとなるが、その利用目的が今後の連絡や、所属する会社の広告宣伝のための冊子や電子メールを送付するという利用目的であるような場合 |
苦情の処理(法40条)
個人事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理と、そのために必要な体制の整備(例えば、苦情処理窓口を設置したり、苦情処理の手順を定めるなど)に努めなければならない。
これらはいずれも努力義務である。
(個人情報取扱事業者による苦情の処理)
第四十条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
利用目的の変更(法17条2項)と通知・公表(法21条3項)
個人情報に関する義務として、前述のように「利用目的の特定」を見てみたが(法17条1項)、特定した利用目的は、変更前の利用目的と関連性を有すると合理的に認められる範囲では、変更が可能である(同条2項)。
▽法17条2項
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
変更された利用目的は、先ほど見た適用除外(法21条4項)の場合を除いて、本人に通知するか、または、公表しなければならない(同条3項)。
▽法21条3項
3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
結び
今回は、個人情報保護法を勉強しようということで、個人情報に関する義務について見てみました。
なお、「個人情報」の定義については、以下の関連記事に書いています。
-
個人情報保護法を勉強しよう|個人情報の定義
続きを見る
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
個人情報保護法に関するその他の勉強記事
参考文献・主要法令等
参考文献
当サイトではアフィリエイトプログラムを利用して商品・サービスを記載しています
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)