個人情報保護法について。

サイトでユーザ登録をしてもらった場合、個人情報保護法の観点では、何をすればいいのでしょうか?
また、自分のサイトでユーザ登録をされている方はどうしていますか?
ユーザの件数は未定ですが、多い場合についても教えてください。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2005/11/25 08:02:33
  • 終了:--

回答(4件)

id:HOT No.1

HOT回答回数283ベストアンサー獲得回数32005/11/11 09:40:14

ポイント30pt

1 個人情報保護方針の策定、および公表

2 収集した個人情報の利用目的の通知(ただし与信の場合には通知と同意)

3 収集した個人情報の本人からの開示依頼、本人からの訂正・削除依頼、等の場合の手続方法の作成

4 問い合わせ窓口の設置

です。

 この中でも、方針の公表と、利用目的の通知が一番重要です。


 サイトであれば、上記項目が記載されたページが見られるようにし、ユーザー登録の際には、同意を条件とすればOKです。


 リンク先の1番目は、内閣府です。各省庁からガイドラインが公表されていて、複雑になっています。


 リンク先の2番目は、楽天です。量が多いですが、全て盛り込まれていると思います。

 

 リンク先の3番目は、無料ブログサイトです。一般的にはこのような内容となると思います。

 

 以上、舌足らずな回答ですが、参考にして下さい。

 なお、当方、サイト運営は行っておりません。

http://privacy.rakuten.co.jp/

【楽天市場】個人情報保護方針

http://kiyaku.seesaa.net/category/548011.html

Seesaa サービス規約: プライバシーポリシー

id:iiiiiiiii

seesaaのが短くて見やすいですね。ありがとうございます。

2005/11/11 10:03:18
id:esecua No.2

esecua回答回数510ベストアンサー獲得回数102005/11/12 12:49:08

ポイント20pt

これはセキュリティ関係のご質問ということでよろしいのでしょうか?それでしたら以下のことがあげられます。


・ユーザー登録の際、外部から情報が盗聴されないよう最低限SSLをかける。

・データベースサーバーとWebサーバーは別々のもにしてファイアーウォールを必ず置き監視する。

・最近よく耳にするSQLインジェンクション攻撃で大切な個人情報が盗まれないよう受け付けるリクエストを限定し確認してからクエリを吐かせるようにする。


などでしょうか。私も素人なので詳しいことは分かりませんがデータベースサーバーへの攻撃が最近目立ち多くの個人情報が盗まれているそうです。


また、ご存知かと思いますが今年の4月ごろから個人情報保護法が執行され個人情報を扱う企業や団体に課せられる責任が大きくなっており、攻撃を受けたからといって責任がなくなるというわけではなく、「攻撃された側が悪い、しっかりユーザーに対し責任をとるべき」という考えが主流なので最低限セキュリティ担当などを設け24時間体制で監視させたほうがよろしいかと思います。

id:iiiiiiiii

「個人情報保護法の観点」で質問してます。

セキュリティではありません。

法定上、何をすべきか聞いてます。

2005/11/12 13:08:38
id:Baku7770 No.3

Baku7770回答回数2832ベストアンサー獲得回数1812005/11/25 09:50:41

ポイント20pt

http://nikkeibp.jp/style/bizinno/personaldata/article20031209.sh...

ビジネスイノベーター(アーカイブ) | ここがツボ!---個人情報取り扱いのポイント

 1のHOTさんの回答に加える形で回答します。

0個人情報保護管理責任者の選定と権限委譲

  最終的には社長が責任を負うことにはなりますが、以下の作業を進める上で社内での総責任者となります。

>1個人情報保護方針の策定、および公表

 正確にはセキュリティポリシーとガイドラインの策定と公表です。この二つをセットで策定してください。

>2 収集した個人情報の利用目的の通知(ただし与信の場合には通知と同意)

 これに加えて利用者と利用範囲を明確にする必要があります。

 例えば関連会社にはどうするとか、DMを今後送るとか

>3 収集した個人情報の本人からの開示依頼、本人からの訂正・削除依頼、等の場合の手続方法の作成

 1のガイドラインに明記してください。

>4 問い合わせ窓口の設置

 合わせて開示請求手続きも明示してください。


以後、記述の無かった項目として

 5 社内規則の改正・整備

 6 教育の実施

などが必要です。

 例えば、個人情報の取扱いに関する規則を作成したり、その内容を社員に教育するといった行為が必要です。

id:iiiiiiiii

詳しい説明ありがとうございます。参考なります。

2005/11/25 12:51:18
id:nankichi No.4

nankichi回答回数562ベストアンサー獲得回数22005/11/25 15:43:52

ポイント20pt

社内の話はご自身でお考えください。


ユーザーに対しては、

・利用目的の通知

が重要です。目的外利用(24番目のQ&A)が禁じられるので、後でDM送りたいんだけどみたいな場合はしっかりと文面を考えてください。


また、グループ会社内で個人情報を流通するのもだめだと思います。そのあたりも明示しなくてはいけないでしょう。


今までのガイドラインを見ている限り、大体曖昧なところはすべてアウトと考えておいた方がいいです。

たとえば合併したときに、合併相手の事業のDMを送れるか?->目的外なので了解を得ないとだめ、とかです。

http://www.nec-nexs.com/privacy/column/faq/5-1.html

個人情報保護法対策室 : FAQ : 5-1 開示要請があった場合、保有している個人情報を全て開示する必要がありますか

id:iiiiiiiii

具体的にありがとうございます。

2005/11/25 18:10:55

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません