2009年07月07日

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正案に対する意見公募について

ご存知の通り、2009年6月30日に表題の件が公示されました。
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595109052&OBJCD=&GROUP=

そこでその「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン改正案」にざっと目を通してみました。

印象としては、
1. 事例が拡充した
2. 消費者保護に関する諸団体からの要望が盛り込まれているみたい

1.については言うまでもありませんね。特に法第16条第3項第1号関連の事例は「しつこい」くらいです。さまざまな機関や団体が、「個人情報保護法を理由に情報提供を拒まれる」という問題に直面したんだろうな、ということが推測されます。

2. 例えば「消費者等、本人の権利利益保護の観点から…本人からの求めに一層対応していくことが望ましい」などというよくわからない表現が今回から導入されていて、これらは恐らく消費者センターなどに寄せられた苦情を考慮したものだと思われます。それにしても「一層」とはどういうことだ? これまでまじめに取り組んできた会社もそうでない会社も一律に、今までどおりでは十分ではなく、さらに何かしろと? このような表現が入り込むと、あまりガイドにならない「ガイドライン」になるのではないでしょうか。

まだ気が早いですが、これが発効したとして、プライバシーマークの審査において予想されることを考えてみました。

今回改正案として挙げられている修正箇所のほとんどは、プライバシーマークを取得している事業者にとってはすでに行っていること、あるいはその内容をより詳細に説明しているだけだろう思います。なのでこれが審査に大きく影響はしないと思いますが、いくつか追加で指摘されそうな項目を挙げると、

・個人情報の取扱いを委託する場合は、単に委託するということだけでなく、委託する事務の内容を明らかにすること(2-2-3-4.委託先の監督B P. 39)

・開示対象個人情報の開示の求めが合った場合は、個人情報の取得元又は取得方法(取得源の種類等)を、可能な限り具体的に明記するよう規定すること(2-2-5-2.保有個人データの開示 P. 51)

・「個人情報保護を推進する上での考え方や方針」の中に「個人データの委託を行うこと」と「委託する事務の内容」が盛り込まれていないので、盛り込むこと。(5.個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格 (イ) P. 63)

・「個人情報保護を推進する上での考え方や方針」の中に、個人情報の取得元又は取得方法(取得源の種類等)を可能な限り具体的に明記したり、本人から求めがあった場合には、ダイレクトメールの発送停止等自主的に利用停止に応じたりするなど、事業活動の特性、規模、実態を考慮して、本人からの求めに対応していくことが盛り込まれていないので、盛り込むこと。(5.個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格 (オ) P. 63)

いずれにしても、大したことにはならないでしょう。プライバシーマークを取得しようとしている事業者は、指摘事項に対して粛々と改善するだけですね。
posted by endo at 14:09| Comment(0) | TrackBack(0) | 日記

最近の指摘事項の傾向と対策(31)「3.4.4.6 開示対象個人情報の訂正,追加又は削除」と「3.4.4.7 開示対象個人情報の利用又は提供の拒否権」

本日は「3.4.4.6 開示対象個人情報の訂正,追加又は削除」と「3.4.4.7 開示対象個人情報の利用又は提供の拒否権」に関する指摘事項の傾向と対策です。
(ガイドラインP. 56-57)

<文書作成>
・ガイドラインの通りに規定すればいいでしょう。
・例によって本人への回答内容(求めに応じない場合を含む)に関する承認手順と、ただし書きを適用する場合の承認手順が定められていること。

<運用>
・審査でこの運用について尋ねられることは恐らく99%ないでしょう。
・もしかしたら、理解を確かめるために「本人から個人情報の利用停止を求められた場合の社内手順を教えてください」と聞かれるかもしれませんが、それに答えられれば十分以上だと思います。


※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 11:05| Comment(0) | TrackBack(0) | 日記

2009年06月22日

エコポイントの交換商品等の提供事業者の個人情報の取得

今日は少しプライバシーマーク審査の現場から離れてエコポイントについて

このエコポイントというのは、グリーン家電を購入した人が、「エコポイント事務局」に申請すると、「エコポイント交換商品」の中からポイント相当の商品やサービスをもらえるということですね。

6月19日(金)に、この「エコポイント交換商品」が発表されました。
http://headlines.yahoo.co.jp/hl?a=20090619-00000011-fsi-bus_all

この「エコポイント交換商品」を提供する会社の立場から、個人情報の取得について何が必要だろうかと考えてみました。

さて、この商品提供事業者(エコポイント交換商品を提供する会社)には、「エコポイント事務局」から、申請者(ポイント交換をしたい人)の住所と氏名が提供され、それによってその人に商品やサービスが提供されることになるようです。
http://eco-points.jp/EP/whats/index.html
http://www.env.go.jp/policy/ep_kaden/090612a.html

ということは、商品提供事業者は、「エコポイント事務局」から個人情報の第三者提供を受けているということですよね。

(商品提供事業者と「エコポイント事務局」との契約等は見ていないので詳細はわかりませんが、恐らく個人情報の取扱いの委託というよりは第三者提供となるでしょう。)

そうすると、商品提供事業者は、個人情報保護法第18条第1項に基づいて「個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない」ことになります。(JIS Q 15001では3.4.2.5に該当)

そこで、この第18条第1項に基づいて「公表」している会社があるかどうか、2、3見てみました。

(ここに挙げているのは、遵法意識が高いだろうと勝手に判断した会社です。特に他意があるわけではありません。)

■ 東日本旅客鉄道株式会社
http://www.jreast.co.jp/site/privacy.html

「(1)お客さまから取得した個人情報の利用目的」と「(2)株主さまから取得した個人情報の利用目的」しか掲載がありません。「エコポイント事務局」からの取得については記載がありませんね。

■ 伊藤忠商事株式会社
http://www.itochu.co.jp/main/privacy.html

こちらも「お客様からご提供いただいた個人情報」についてしか述べていません。
「エコポイント事務局」からの取得については記載がありませんね。

■ 三井住友カード株式会社
http://www.smbc-card.com/mem/company/pop/privacy.html#name1

「・ポイント付与やカード付帯保険等の付帯サービスの提供」が近い感じがしますが、これは「クレジットカード関連事業における」の範囲に限られています。

この会社が提供する商品は、「三井住友VISAギフトカード」ですので、正確にはこれに該当しないと思います。

利用目的は「公表」しなくても「通知」でもいいわけですから、商品の発送時に個人情報の利用目的を通知しても良いのだろうと思います。

それに、実際の商品の交換は7月1日からということですので、まだ少し時間があります。

通知、公表するとしたら、どんな文言がいいんでしょうね。

「エコポイントの活用によるグリーン家電普及促進事業において当社が提供する交換商品等の提供、アフターサービス及び係る管理を適切に行うため」というのはどうでしょうか。

もっとも、個人情報保護法第18条第4項第4号の「取得の状況からみて利用目的が明らかであると認められる場合」に該当するので、通知も公表もしない、という判断もあり得るかもしれません。

さて、これまで法律に絡めて述べてきましたが、すべて興味本位の雑談です。
当方は弁護士ではありませんので、詳しくお知りになりたい方は、弁護士先生へお尋ねください。
posted by endo at 14:05| Comment(0) | TrackBack(1) | 日記

2009年06月17日

最近の指摘事項の傾向と対策(30)「3.4.4.5 開示対象個人情報の開示」

本日は「3.4.4.5 開示対象個人情報の開示」に関する指摘事項の傾向と対策です。
(ガイドラインP. 55)

<文書作成>
・ガイドラインの通りに規定すればいいでしょう。
・特に、
 - 本人への回答内容(求めに応じない場合を含む)に関する承認手順が定められていること。
これは、例えば、回答案を苦情担当者が作成して個人情報保護管理者が承認するという形で問題ないでしょう。もちろん、そのための様式も定めたほうがいいでしょう。
 - 同様に、ただし書きを適用する場合の承認手順が定められていること。
例えば、先に挙げた様式で、この承認手順も兼ねられるようだと良いと思います。

<運用>
・「開示の求めはありましたか?」と審査員に聞かれたら、「ありません」と答えてお終いでしょう。


※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 15:03| Comment(0) | TrackBack(0) | 日記

2009年04月17日

最近の指摘事項の傾向と対策(29)「3.4.4.4 開示対象個人情報の利用目的の通知」

本日は「3.4.4.4 開示対象個人情報の利用目的の通知」に関する指摘事項の傾向と対策です。
(ガイドラインP. 54)

<文書作成>
・ガイドラインの通りに規定すればいいでしょう。
・特に、
 - 本人への回答内容(求めに応じない場合を含む)に関する承認手順が定められていること。
これは、例えば、回答案を苦情担当者が作成して個人情報保護管理者が承認するという形で問題ないでしょう。もちろん、そのための様式も定めたほうがいいでしょう。
 - 同様に、ただし書きを適用する場合の承認手順が定められていること。
例えば、先に挙げた様式で、この承認手順も兼ねられるようだと良いと思います。

<運用>
・「利用目的の通知の求めはありましたか?」と審査員に聞かれたら、「ありません」と答えてお終いでしょう。


※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 17:44| Comment(0) | TrackBack(0) | 日記

2009年03月25日

「開示等」について

プライバシーマークの基準となるJIS Q 15001には「開示等」に関する要求にかなりのスペースが割かれています。

これは個人情報保護法の要件を取り込んだものでしょう。

このJISの3.4.4関係は、実際の業務にはほとんど関係がないので、JISを読んでもピンと来ない人が多いのではないでしょうか。

例えば、「開示」と言われても、「弊社では会員さんから自身の個人情報について問い合わせがあったら、そのつど本人確認をした上で答えていますよ。これも『開示等の求め』で対応しないといけないんですか?」などと言う質問もたびたび受けます。

この例の答えは、「もちろん、その必要はありません」。

理由は、他でもないこの事例の場合、特定された利用目的の達成の範囲内での個人情報の利用と考えられるからです。

では、どういう時に「開示等」というような面倒くさい手続きになるのか?

例によって、私なりに大胆に分類してしまうと、
・自社の業務の一環で(または自社の都合で)本人に個人情報を開示したり、訂正したりするものは、特定された利用目的の達成の範囲内で行っている限り、「開示等」の流れに入れる必要はないでしょう。
・一方で、会社としては開示したくない、利用停止したくないものだけれど、法律にのっとって正式に申し込まれたら応じなくてはならないだろう、というものは「開示等」の手続きで応じることになるでしょう。

これでも良くわからなかったら、かかりつけのコンサルタントに聞いてみてください。(^_^;)

さて、「開示等」ですが大きく分けて「利用目的の通知」、「開示」、「訂正等」、「利用停止等」の4つの分類に分かれます。更に「訂正等」、「利用停止等」は次の通り細分化されます。

「開示等」
  ・「利用目的の通知」
  ・「開示」
  ・「訂正等」
    -「訂正」
    -「追加」
    -「削除」
  ・「利用停止等」
    -「利用の停止」
    -「消去」
    -「第三者への提供の停止」

「開示等」というと「個人情報を本人に教える」のようにも聞こえますが、「開示」(「等」なし)だけでなく「利用目的の通知」、「訂正」、「追加」、「削除」、「利用の停止」、「消去」、「第三者への提供の停止」も全部「開示等」です。

次回からはこれを踏まえて進めていきたいと思います。
posted by endo at 15:02| Comment(0) | TrackBack(0) | 日記

2009年03月19日

最近の指摘事項の傾向と対策(27)「3.4.4.3 開示対象個人情報に関する事項の周知など」

本日は「3.4.4.3 開示対象個人情報に関する事項の周知など」に関する指摘事項の傾向と対策です。
(ガイドラインP. 53)

この要求事項に対応する方法はいくつもあります。

ここでのキーワードは、「本人が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」でしょう。

ここで本人に知らしめる意味の大きさ順に並べてみるとこのようになります。

「明示」 ≒ 「通知」 > 「本人が容易に知り得る状態」 > 「公表」 > 「本人が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」

つまり、「明示」は「本人が容易に知り得る状態」よりも、本人に知らしめる意味が大きい(包摂する)ということです。
例えば、「公表」していれば、「本人が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」 以上のことを行っていると考えてもいいだろうということです。

もう少し説明すると、自社のウェブを持っている会社の場合、実務的には、上記のそれぞれは以下の手順で実施可能だと思います。

「明示」:必要事項を明記した契約書その他の書面を相手方である本人に手渡す。ウェブの入力フォームにおいては、個人情報を入力するところ又はその前に、必要事項が本人に明確に示されるようにする。

「通知」:必要事項を口頭で本人に知らせる、必要事項が記載された文書を本人に渡す、又は郵送する、Eメールで送る。

「本人が容易に知り得る状態」:自社のウェブ画面中のトップページから1回程度の操作で到達できる場所への掲載等を継続的に行う。

「公表」:自社のウェブ画面中のトップページから1回程度の操作で到達できる場所への掲載(実務レベルでは「本人が容易に知り得る状態」も「公表」もほぼ同じと考えても問題ないと思います。違いはウェブへの「継続的」な掲載が必要かどうかだけです。)

「本人が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」 :問い合わせ窓口を設け、問い合わせがあれば、口頭又は文章で回答できるよう体制を構築しておく(つまり、迅速に回答できるよう文書を用意しておいて、問い合わせがあったらそれを本人に送るなどでもよいと考えられる。)

したがって、「本人が容易に知り得る状態」と「本人が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」は、文言は似ているけれど、要求の程度はずいぶん違います。

なぜここでこれを取り上げたかというと、このふたつを混同している人が、審査員の中にもいるようだからです。

この3.4.4.3の名称に「周知」などという単語が使われているので、つい「公表」しなくてはならないと考えがちですが、そうしなくても「本人が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」でもいいのです。

もちろん、先ほど説明したように「公表」は「本人が知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」よりも包摂すると考えられるので、「公表」してもいいです。

審査員の中には、この事項(3.4.4.3のa)〜f))をウェブに公表しなさいという人がごくたまにいて困ります。

もちろん、やりますよ、やれと言われれば。Pマークの審査員先生は神様より偉いですからね。(笑)

前置きが長くなりましたが、本題です。

<文書作成>
・単純に3.4.4.3ののa)〜f)の事項を定める手順を定めます。
 例えば、「当社における開示対象個人情報について」などと題した文書を作って、担当者がそこに3.4.4.3のa)〜f)の事項を明文化し、その内容を個人情報保護管理者が承認する、とルール化するのもひとつでしょう。
・次に、その「当社における開示対象個人情報について」という文書を、本人から求めがあった場合に本人に遅滞なく送付するか、口頭で答えられるように準備を整えておくということでいいでしょう。

<運用>
・審査員からの次の質問に答えられれば大体問題ないでしょう。
 - 「本人から『御社のすべての開示対象個人情報の利用目的を教えてください』と求められたらどうしますか?」
 - 「本人から『私が識別される開示対象個人情報の開示を求めたいのですがその手続きを教えてください』と求められたらどうしますか?」
・いずれの答えも、「本人に(上記で定めた)『当社における開示対象個人情報について』を迅速に送付します」で問題ないはずです。
・「この内容をウェブに掲載しなさい」という審査員がいたら、その審査員はJIS以上のことを要求しています。
 (一部指定機関では、ウェブに掲載することを求めているところもあります。)

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 19:04| Comment(0) | TrackBack(0) | 日記

2009年03月12日

最近の指摘事項の傾向と対策(26)「3.4.4.2 開示等の求めに応じる手続」

本日は「3.4.4.2 開示等の求めに応じる手続」に関する指摘事項の傾向と対策です。
(ガイドラインP. 52)

この要求事項自体は単純です。

<文書作成>
・単純に次の事項に応じる手順を定めるだけでいいでしょう。
 a) 開示等の求めの申し出先
 b) 開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式
 c) 開示等の求めをする者が,本人又は代理人であることの確認の方法
 d) 3.4.4.4 又は3.4.4.5 による場合の手数料(定めた場合に限る。)の徴収方法

<運用>
・この要求事項についての具体的な運用の審査はないと思われます。
・「3.4.4.3 開示対象個人情報に関する事項の周知など」の審査項目ができていれば、ここもOKという判断になるでしょう。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 14:54| Comment(0) | TrackBack(0) | 日記

2009年03月03日

最近の指摘事項の傾向と対策(25)「3.4.4.1 個人情報に関する権利」

本日は「3.4.4.1 個人情報に関する権利」に関する指摘事項の傾向と対策です。
(ガイドラインP. 51)

この3.4.4関係は、日常的にはほぼ運用はない割には、審査員はいろいろ聞いてきます。

日常的に頻繁にはないとしても、もしこれに関する事象が発生した場合、プライバシーマーク認定事業者として相応しい対応をしてもらわないと、JIPDECもいろいろ苦労しますからね。

<文書作成>
・ガイドラインに「ただし書きが適用される場合の承認手順が定められていること」とありますので、社内申請用紙を定め、起票者と承認者を決め、承認手順を定めるのがベストです。
(参考:http://endo-endo.sblo.jp/article/7307629.html

<運用>
・開示対象個人情報が特定されている必要があります。
・これは単純に個人情報管理台帳や個人情報一覧表など3.3.1で特定した一覧のようなものがあるでしょうから、そこに「開示対象」などという欄を設け、開示対象個人情報かそうでないかを識別するフラグのようなものを設定すればいいでしょう。(例えば、開示対象個人情報に該当する場合は○、該当しない場合は×など。)

<補足>
開示対象個人情報とは何か:
正確なところは、JISの3.4.4.1にある通りであり、それを少しでも言い換えると正確性を欠いてしまいます。
しかし、この定義はあまりにもわかりにくいです。

そこで、例によって大胆に私なりに言い換えると、「開示対象個人情報は次のふたつの条件の両方を満たす個人情報」となります。

1) データベース状になっているもの
2) 自社に管理権のあるもの


1)は、個人情報保護法で言うところの「個人情報データベース等」に該当するものです。

JISでは「電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理,分類し,目次,索引,符合などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情」と表現しています。

つまり、データベース状になっているものです。ただ、電子的なものに限らず、五十音順とかアルファベット順になっていて簡単に検索できるようになっていれば、紙なども含むということです。

2)は、JISでは「事業者が,本人から求められる開示,内容の訂正,追加又は削除,利用の停止,消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの」と表現しています。

この時点で頭がボーっとしてきます。

一言で言えば、本人から以下のように求められた時に、自社の判断でそれに応じるかどうかを決定できるかどうか、ひとつでも自社の判断で決定できないのであれば、この要件を満たさない(開示対象個人情報には該当しない)ということです。
・「私の個人情報の利用目的を教えてください」
・「私の個人情報を開示してください」
・「私の個人情報を訂正/追加/削除してください」
・「私の個人情報を消去して二度と使わないでください」

この2)を満たすものの例としては、自社の社員の個人情報、あるいは自社製品を購入した購入者名簿があるでしょう。

この2)を満たさないものの典型的なものは、受託している情報に含まれる個人情報でしょう。例えば、データ入力会社にしてみれば、クライアント会社から委託業務の一環で預かったアンケート書類(データ入力の元となるもの)について、そのアンケートに答えた本人から「私の個人情報を開示してください」と求められても、自社の判断では決められませんよね。それについてはその本人が提供したところに問い合わせてもらうか何かしてもらわないといけません。

ですから、会社によっては一層大胆に、「受託情報に含まれる個人情報は『開示対象個人情報』ではなく、それ以外はすべて『開示対象個人情報』である」と括ってしまうところもあります。


※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 17:58| Comment(0) | TrackBack(0) | 日記

2009年02月24日

委託とは? 第三者提供とは?

この話題は以前も取り上げました。

ここでもう一度わかりやすく整理しようと思います。

「委託」:正確には「個人情報の取扱いの全部又は一部を委託する」となります。
この公的な定義がなかなかないのですが、個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A81番85番が一番近いかと思います。

こうあります。
「委託は、本来自己の業務である個人データの取扱いを他者に依頼すること」

第三者提供は、実務的に要約すると「自分以外の第三者に個人情報を渡すこと。ただし個人情報の取扱いを委託する場合は除く」と言えるでしょう。

次に委託と第三者提供の主要な違いをいくつか取り上げます。

■ 本人の同意
委託:△(必要と言えば必要)
   3.4.2.4のe)の要求事項にあるように、委託する場合はその旨明示することになっていますが、「委託する予定があります」という記述に何か大きな意味があるとは思えません。事実上は同意はないと言ってもいいのではないでしょうか。

第三者提供:○(必要)
  次の6項目を明示し、同意を得る必要があります。
  @第三者に提供する目的
  A提供する個人情報の項目
  B提供の手段又は方法
  C当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
  D個人情報の取扱いに関する契約がある場合はその旨
  E取得方法

■ 監督義務
委託:○(監督義務有り)
  事業者は、3.4.3.4の要求事項に従って、委託先を適切に監督しなくてはいけません。

  言い換えると、委託先で漏えい事故等があった場合、委託元は監督責任を問われる可能性があるということです。

第三者提供:×(監督責任無し)
  要求事項に従って第三者提供した提供先を監督する義務はありません。

  すなわち、提供先で漏えい事故等があった場合、筋論としては、提供元に責任はないと言えるでしょう。なぜなら、本人には第三者提供する旨、あらかじめ本人の同意を得ているわけで、提供されることがいやだったら同意しない機会も与えられていたはずだからです。その点においては本人の自己責任という部分も生じてくるでしょう。

■ 具体的業務
委託:以下の業務は、実務的には委託先の監督の世界で扱われるでしょう。
- 社員の名刺作成の委託
- データセンター(ハウジング、ホスティング、レンタルサーバー業者)の利用
- 産廃業者の利用
- 会計事務所への会計処理の委託
- 清掃事業者への清掃委託
- ビル管理会社へのビル管理の委託
- 警備会社への警備の委託

第三者提供:以下の業務は、実務的には第三者提供の世界で扱われるでしょう。
- 給与振込みサービスで社員の個人情報を金融機関等に提供する
- 業務受託等で、委託元(クライアント)に自社または協力会社の社員の個人情報を渡す
- クレジットカード情報等を決済会社に渡す
- 健康保険組合に社員の情報を渡す
- webやパンフレットに社員の写真を掲載する
- 人材紹介会社が求職者の情報を求人企業に渡す

変更履歴:2015年2月23日、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A」のリンク先を最新のものに更新しました。
posted by endo at 18:14| Comment(0) | TrackBack(0) | 日記