個人情報保護法について。

30pt

１　個人情報保護方針の策定、および公表

２　収集した個人情報の利用目的の通知（ただし与信の場合には通知と同意）

３　収集した個人情報の本人からの開示依頼、本人からの訂正・削除依頼、等の場合の手続方法の作成

４　問い合わせ窓口の設置

です。

　この中でも、方針の公表と、利用目的の通知が一番重要です。

　サイトであれば、上記項目が記載されたページが見られるようにし、ユーザー登録の際には、同意を条件とすればＯＫです。

　リンク先の１番目は、内閣府です。各省庁からガイドラインが公表されていて、複雑になっています。

　リンク先の２番目は、楽天です。量が多いですが、全て盛り込まれていると思います。

　リンク先の３番目は、無料ブログサイトです。一般的にはこのような内容となると思います。

　以上、舌足らずな回答ですが、参考にして下さい。

　なお、当方、サイト運営は行っておりません。

20pt

これはセキュリティ関係のご質問ということでよろしいのでしょうか？それでしたら以下のことがあげられます。

・ユーザー登録の際、外部から情報が盗聴されないよう最低限SSLをかける。

・データベースサーバーとWebサーバーは別々のもにしてファイアーウォールを必ず置き監視する。

・最近よく耳にするSQLインジェンクション攻撃で大切な個人情報が盗まれないよう受け付けるリクエストを限定し確認してからクエリを吐かせるようにする。

などでしょうか。私も素人なので詳しいことは分かりませんがデータベースサーバーへの攻撃が最近目立ち多くの個人情報が盗まれているそうです。

また、ご存知かと思いますが今年の4月ごろから個人情報保護法が執行され個人情報を扱う企業や団体に課せられる責任が大きくなっており、攻撃を受けたからといって責任がなくなるというわけではなく、「攻撃された側が悪い、しっかりユーザーに対し責任をとるべき」という考えが主流なので最低限セキュリティ担当などを設け24時間体制で監視させたほうがよろしいかと思います。

20pt

　１のＨＯＴさんの回答に加える形で回答します。

０個人情報保護管理責任者の選定と権限委譲

　　最終的には社長が責任を負うことにはなりますが、以下の作業を進める上で社内での総責任者となります。

＞１個人情報保護方針の策定、および公表

　正確にはセキュリティポリシーとガイドラインの策定と公表です。この二つをセットで策定してください。

＞２　収集した個人情報の利用目的の通知（ただし与信の場合には通知と同意）

　これに加えて利用者と利用範囲を明確にする必要があります。

　例えば関連会社にはどうするとか、ＤＭを今後送るとか

＞３　収集した個人情報の本人からの開示依頼、本人からの訂正・削除依頼、等の場合の手続方法の作成

　１のガイドラインに明記してください。

＞４　問い合わせ窓口の設置

　合わせて開示請求手続きも明示してください。

以後、記述の無かった項目として

　５　社内規則の改正・整備

　６　教育の実施

などが必要です。

　例えば、個人情報の取扱いに関する規則を作成したり、その内容を社員に教育するといった行為が必要です。

20pt

社内の話はご自身でお考えください。

ユーザーに対しては、

・利用目的の通知

が重要です。目的外利用（24番目のQ&A)が禁じられるので、後でDM送りたいんだけどみたいな場合はしっかりと文面を考えてください。

また、グループ会社内で個人情報を流通するのもだめだと思います。そのあたりも明示しなくてはいけないでしょう。

今までのガイドラインを見ている限り、大体曖昧なところはすべてアウトと考えておいた方がいいです。

たとえば合併したときに、合併相手の事業のDMを送れるか？->目的外なので了解を得ないとだめ、とかです。