サイトでユーザ登録をしてもらった場合、個人情報保護法の観点では、何をすればいいのでしょうか?
また、自分のサイトでユーザ登録をされている方はどうしていますか?
ユーザの件数は未定ですが、多い場合についても教えてください。
http://www5.cao.go.jp/seikatsu/kojin/index.html
$B8D?M>pJs$NJ]8n(B
1 個人情報保護方針の策定、および公表
2 収集した個人情報の利用目的の通知(ただし与信の場合には通知と同意)
3 収集した個人情報の本人からの開示依頼、本人からの訂正・削除依頼、等の場合の手続方法の作成
4 問い合わせ窓口の設置
です。
この中でも、方針の公表と、利用目的の通知が一番重要です。
サイトであれば、上記項目が記載されたページが見られるようにし、ユーザー登録の際には、同意を条件とすればOKです。
リンク先の1番目は、内閣府です。各省庁からガイドラインが公表されていて、複雑になっています。
リンク先の2番目は、楽天です。量が多いですが、全て盛り込まれていると思います。
リンク先の3番目は、無料ブログサイトです。一般的にはこのような内容となると思います。
以上、舌足らずな回答ですが、参考にして下さい。
なお、当方、サイト運営は行っておりません。
【楽天市場】個人情報保護方針
http://kiyaku.seesaa.net/category/548011.html
Seesaa サービス規約: プライバシーポリシー
これはセキュリティ関係のご質問ということでよろしいのでしょうか?それでしたら以下のことがあげられます。
・ユーザー登録の際、外部から情報が盗聴されないよう最低限SSLをかける。
・データベースサーバーとWebサーバーは別々のもにしてファイアーウォールを必ず置き監視する。
・最近よく耳にするSQLインジェンクション攻撃で大切な個人情報が盗まれないよう受け付けるリクエストを限定し確認してからクエリを吐かせるようにする。
などでしょうか。私も素人なので詳しいことは分かりませんがデータベースサーバーへの攻撃が最近目立ち多くの個人情報が盗まれているそうです。
また、ご存知かと思いますが今年の4月ごろから個人情報保護法が執行され個人情報を扱う企業や団体に課せられる責任が大きくなっており、攻撃を受けたからといって責任がなくなるというわけではなく、「攻撃された側が悪い、しっかりユーザーに対し責任をとるべき」という考えが主流なので最低限セキュリティ担当などを設け24時間体制で監視させたほうがよろしいかと思います。
「個人情報保護法の観点」で質問してます。
セキュリティではありません。
法定上、何をすべきか聞いてます。
http://nikkeibp.jp/style/bizinno/personaldata/article20031209.sh...
ビジネスイノベーター(アーカイブ) | ここがツボ!---個人情報取り扱いのポイント
1のHOTさんの回答に加える形で回答します。
0個人情報保護管理責任者の選定と権限委譲
最終的には社長が責任を負うことにはなりますが、以下の作業を進める上で社内での総責任者となります。
>1個人情報保護方針の策定、および公表
正確にはセキュリティポリシーとガイドラインの策定と公表です。この二つをセットで策定してください。
>2 収集した個人情報の利用目的の通知(ただし与信の場合には通知と同意)
これに加えて利用者と利用範囲を明確にする必要があります。
例えば関連会社にはどうするとか、DMを今後送るとか
>3 収集した個人情報の本人からの開示依頼、本人からの訂正・削除依頼、等の場合の手続方法の作成
1のガイドラインに明記してください。
>4 問い合わせ窓口の設置
合わせて開示請求手続きも明示してください。
以後、記述の無かった項目として
5 社内規則の改正・整備
6 教育の実施
などが必要です。
例えば、個人情報の取扱いに関する規則を作成したり、その内容を社員に教育するといった行為が必要です。
詳しい説明ありがとうございます。参考なります。
社内の話はご自身でお考えください。
ユーザーに対しては、
・利用目的の通知
が重要です。目的外利用(24番目のQ&A)が禁じられるので、後でDM送りたいんだけどみたいな場合はしっかりと文面を考えてください。
また、グループ会社内で個人情報を流通するのもだめだと思います。そのあたりも明示しなくてはいけないでしょう。
今までのガイドラインを見ている限り、大体曖昧なところはすべてアウトと考えておいた方がいいです。
たとえば合併したときに、合併相手の事業のDMを送れるか?->目的外なので了解を得ないとだめ、とかです。
http://www.nec-nexs.com/privacy/column/faq/5-1.html
個人情報保護法対策室 : FAQ : 5-1 開示要請があった場合、保有している個人情報を全て開示する必要がありますか
具体的にありがとうございます。
seesaaのが短くて見やすいですね。ありがとうございます。