フォームメールに住所や電話番号などの個人情報を記入して頂く場合に、セキュリティや法律などの観点から、考慮するべき事を教えて下さい。

簡単な問い合わせ用のフォームでも「個人情報を入力して頂く以上SSLは必須」などといった、実際の運用面での線引きの感覚についても知りたいです。

回答の条件
  • 1人2回まで
  • 登録:2009/11/19 23:49:50
  • 終了:2009/11/26 23:50:02

ベストアンサー

id:joho_triangle No.3

情トラ回答回数63ベストアンサー獲得回数92009/11/21 14:00:42

ポイント26pt

 「フォームメールに住所や電話番号などの個人情報を記入して頂く場合に、セキュリティや法律などの観点から、考慮するべき事」ということですが,法律的観点からは,基本的に「個人情報の保護に関する法律」が関係してくる(たとえ同法の適用がないとしても参考になる)ものと思われます。

 そして,セキュリティに関しては,同法の定めのうち,特に20条の安全管理措置に関する定めが関係してくるのではないでしょうか。


 いずれも,具体的には,同法8条に基づき,国が「国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針」を策定していますので,そのガイドライン(24分野にわたり策定されています。)を参考にされてはいかがでしょうか。

http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou.html


 なお,質問者さんがどの分野に関わるケースを念頭におかれているのか必ずしも明らかではありませんが,一般的な事業全般に関わるケースであれば経済産業省が定めたガイドラインが関係することになります。

 そして,同ガイドラインにおいては,法20条関係のガイドラインに「個人データの移送(運搬、郵送、宅配便等)・送信時の対策を実践するために講じることが望まれる手法の例示」として,次のようなことが掲げられていますので,ご参考まで。

  • 移送時における紛失・盗難が生じた際の対策(例えば、媒体に保管されている個人データの暗号化等の秘匿化)
  • 盗聴される可能性のあるネットワーク(例えば、インターネットや無線LAN等)で個人データを送信(例えば、本人及び従業者による入力やアクセス、メールに添付してファイルを送信する等を含むデータの転送等)する際の、個人データの暗号化等の秘匿化
id:hamocha

ありがとうございます!

2009/11/25 09:10:19

その他の回答(2件)

id:aiaida333 No.1

aiaida333回答回数166ベストアンサー獲得回数42009/11/20 00:39:34

ポイント27pt

http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/

個人情報保護法令

Act, Cabinet Order and Others


個人情報の保護に関する法律(平成一五年五月三十日法律第五十七号)

                         最終改正:平成二十一年六月五日法律第四十九号

                                

目次

第一章 総則(第一条-第三条)

第二章 国及び地方公共団体の責務等(第四条-第六条)

第三章 個人情報の保護に関する施策等

第一節 個人情報の保護に関する基本方針(第七条)

第二節 国の施策(第八条-第十条)

第三節 地方公共団体の施策(第十一条-第十三条)

第四節 国及び地方公共団体の協力(第十四条)

第四章 個人情報取扱事業者の義務等

 第一節 個人情報取扱事業者の義務(第十五条-第三十六条)

第二節 民間団体による個人情報の保護の推進(第三十七条-第四十九条)

第五章 雑則(第五十条-第五十五条)

第六章 罰則(第五十六条-第五十九条)

附則

第一章 総則

(目的)

第一条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんが

み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護

に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情

報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の

権利利益を保護することを目的とする。

 (定義)

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる

氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合

することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

2 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲

げるものをいう。

一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成した

ものとして政令で定めるもの

3 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者

をいう。ただし、次に掲げる者を除く。

一 国の機関

二 地方公共団体

三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十

九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)

四 地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地

方独立行政法人をいう。以下同じ。)

五 その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとし

て政令で定める者

4 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

5 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削

除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、

その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年

以内の政令で定める期間以内に消去することとなるもの以外のものをいう。

6 この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。

 (基本理念)

第三条 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、

その適正な取扱いが図られなければならない。

   第二章 国及び地方公共団体の責務等

 (国の責務)

第四条 国は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合

的に策定し、及びこれを実施する責務を有する。

 (地方公共団体の責務)

第五条 地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情

報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。

 (法制上の措置等)

第六条 政府は、個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を図るため特に

その適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講

じられるよう必要な法制上の措置その他の措置を講ずるものとする。

   第三章 個人情報の保護に関する施策等

第一節 個人情報の保護に関する基本方針

第七条 政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に

関する基本方針(以下「基本方針」という。)を定めなければならない。

2 基本方針は、次に掲げる事項について定めるものとする。

一 個人情報の保護に関する施策の推進に関する基本的な方向

二 国が講ずべき個人情報の保護のための措置に関する事項

三 地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項

四 独立行政法人等が講ずべき個人情報の保護のための措置に関する基本的な事項

五 地方独立行政法人が講ずべき個人情報の保護のための措置に関する基本的な事項

六 個人情報取扱事業者及び第四十条第一項に規定する認定個人情報保護団体が講ずべき個人情報の保

護のための措置に関する基本的な事項

七 個人情報の取扱いに関する苦情の円滑な処理に関する事項

八 その他個人情報の保護に関する施策の推進に関する重要事項

3 内閣総理大臣は、消費者委員会の意見を聴いて、基本方針の案を作成し、閣議の決定を求めなけれ

ばならない。

4 内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなけれ

ばならない。

5 前二項の規定は、基本方針の変更について準用する。

第二節 国の施策

 (地方公共団体等への支援)

第八条 国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等

が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき

措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。

 (苦情処理のための措置)

第九条 国は、個人情報の取扱いに関し事業者と本人との間に生じた苦情の適切かつ迅速な処理を図るた

めに必要な措置を講ずるものとする。

 (個人情報の適正な取扱いを確保するための措置)

第十条 国は、地方公共団体との適切な役割分担を通じ、次章に規定する個人情報取扱事業者による個人

情報の適正な取扱いを確保するために必要な措置を講ずるものとする。

 第三節 地方公共団体の施策

 (地方公共団体等が保有する個人情報の保護)

第十一条 地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、そ

の保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。

2 地方公共団体は、その設立に係る地方独立行政法人について、その性格及び業務内容に応じ、その保

有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。

 (区域内の事業者等への支援)

第十二条 地方公共団体は、個人情報の適正な取扱いを確保するため、その区域内の事業者及び住民に対

する支援に必要な措置を講ずるよう努めなければならない。

 (苦情の処理のあっせん等)

第十三条 地方公共団体は、個人情報の取扱いに関し事業者と本人との間に生じた苦情が適切かつ迅速に

処理されるようにするため、苦情の処理のあっせんその他必要な措置を講ずるよう努めなければならな

い。

 第四節 国及び地方公共団体の協力

第十四条 国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとする。

第四章 個人情報取扱事業者の義務等

第一節 個人情報取扱事業者の義務

 (利用目的の特定)

第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」

という。)をできる限り特定しなければならない。

2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると

合理的に認められる範囲を超えて行ってはならない。

 (利用目的による制限)

第十六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用

目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに

伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の

利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

3 前二項の規定は、次に掲げる場合については、適用しない。

一 法令に基づく場合

 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難で

あるとき。

三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を

得ることが困難であるとき。

四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対し

て協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすお

それがあるとき。

 (適正な取得)

第十七条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

 (取得に際しての利用目的の通知等)

第十八条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している

場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書

その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作ら

れる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他

本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その

利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要があ

る場合は、この限りでない。

3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、

又は公表しなければならない。

4 前三項の規定は、次に掲げる場合については、適用しない。

一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権

利利益を害するおそれがある場合

二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益

を害するおそれがある場合

 三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合で

あって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれが

あるとき。

 四 取得の状況からみて利用目的が明らかであると認められる場合

 (データ内容の正確性の確保)

第十九条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新

の内容に保つよう努めなければならない。

(安全管理措置)

第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人

データの安全管理のために必要かつ適切な措置を講じなければならない。

(従業者の監督)

第二十一条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人デ

ータの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

 (委託先の監督)

第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱い

を委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行

わなければならない。

 (第三者提供の制限)

第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個

人データを第三者に提供してはならない。

一 法令に基づく場合

 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難で

あるとき。

三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を

得ることが困難であるとき。

四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対し

て協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすお

それがあるとき。

2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識

別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項につい

て、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にか

かわらず、当該個人データを第三者に提供することができる。

 一 第三者への提供を利用目的とすること。

 二 第三者に提供される個人データの項目

 三 第三者への提供の手段又は方法

 四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

3 個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容につい

て、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第

三者に該当しないものとする。

一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部

を委託する場合

二 合併その他の事由による事業の承継に伴って個人データが提供される場合

 三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される

個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理に

ついて責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り

得る状態に置いているとき。

5 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について

責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通

知し、又は本人が容易に知り得る状態に置かなければならない。

(保有個人データに関する事項の公表等)

第二十四条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る

状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

 一 当該個人情報取扱事業者の氏名又は名称

 二 すべての保有個人データの利用目的(第十八条第四項第一号から第三号までに該当する場合を除く。)

 三 次項、次条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による求めに応

じる手続(第三十条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)

 四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で

定めるもの

2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求めら

れたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに

該当する場合は、この限りでない。

 一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合

二 第十八条第四項第一号から第三号までに該当する場合

3 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の

決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

(開示)

第二十五条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人

が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求めら

れたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければ

ならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開

示しないことができる。

 一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

 二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

 三 他の法令に違反することとなる場合

2 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示

しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

3 他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別

される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有

個人データについては、同項の規定は、適用しない。

(訂正等)

第二十六条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でな

いという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」

という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定め

られている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結

果に基づき、当該保有個人データの内容の訂正等を行わなければならない。

2 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部に

ついて訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、そ

の旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。

(利用停止等)

第二十七条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第十六条の規定

に違反して取り扱われているという理由又は第十七条の規定に違反して取得されたものであるという理

由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)

を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要

な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個

人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、

本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十三条第一項の規定

に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止

を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人デ

ータの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停

止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権

利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

3 個人情報取扱事業者は、第一項の規定に基づき求められた保有個人データの全部若しくは一部につい

て利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づ

き求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三

者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければなら

ない。

 (理由の説明)

第二十八条 個人情報取扱事業者は、第二十四条第三項、第二十五条第二項、第二十六条第二項又は前条

第三項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知

する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう

努めなければならない。

 (開示等の求めに応じる手続)

第二十九条 個人情報取扱事業者は、第二十四条第二項、第二十五条第一項、第二十六条第一項又は第二

十七条第一項若しくは第二項の規定による求め(以下この条において「開示等の求め」という。)に関

し、政令で定めるところにより、その求めを受け付ける方法を定めることができる。この場合において、

本人は、当該方法に従って、開示等の求めを行わなければならない。

2 個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定す

るに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易

かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その

他本人の利便を考慮した適切な措置をとらなければならない。

3 開示等の求めは、政令で定めるところにより、代理人によってすることができる。

4 個人情報取扱事業者は、前三項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本

人に過重な負担を課するものとならないよう配慮しなければならない。

 (手数料)

第三十条 個人情報取扱事業者は、第二十四条第二項の規定による利用目的の通知又は第二十五条第一項

の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。

2 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると

認められる範囲内において、その手数料の額を定めなければならない。 

 (個人情報取扱事業者による苦情の処理)

第三十一条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなけれ

ばならない。

2 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。

 (報告の徴収)

第三十二条 主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人

情報の取扱いに関し報告をさせることができる。

 (助言)

第三十三条 主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人

情報の取扱いに関し必要な助言をすることができる。

 (勧告及び命令)

第三十四条 主務大臣は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十七条ま

で又は第三十条第二項の規定に違反した場合において個人の権利利益を保護するため必要があると認め

るときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措

置をとるべき旨を勧告することができる。

2 主務大臣は、前項の規定による勧告を受けた個人情報取扱事業者が正当な理由がなくてその勧告に係

る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該

個人情報取扱事業者に対し、その勧告に係る措置をとるべきことを命ずることができる。

3 主務大臣は、前二項の規定にかかわらず、個人情報取扱事業者が第十六条、第十七条、第二十条から

第二十二条まで又は第二十三条第一項の規定に違反した場合において個人の重大な権利利益を害する事

実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反

行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。

 (主務大臣の権限の行使の制限)

第三十五条 主務大臣は、前三条の規定により個人情報取扱事業者に対し報告の徴収、助言、勧告又は命

令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。

2 前項の規定の趣旨に照らし、主務大臣は、個人情報取扱事業者が第五十条第一項各号に掲げる者(そ

れぞれ当該各号に定める目的で個人情報を取り扱う場合に限る。)に対して個人情報を提供する行為に

ついては、その権限を行使しないものとする。

 (主務大臣)

第三十六条 この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の

規定の円滑な実施のため必要があると認める場合は、個人情報取扱事業者が行う個人情報の取扱いのう

ち特定のものについて、特定の大臣又は国家公安委員会(以下「大臣等」という。)を主務大臣に指定

することができる。 

 一 個人情報取扱事業者が行う個人情報の取扱いのうち雇用管理に関するものについては、厚生労働大

臣(船員の雇用管理に関するものについては、国土交通大臣)及び当該個人情報取扱事業者が行う事

業を所管する大臣等

 二 個人情報取扱事業者が行う個人情報の取扱いのうち前号に掲げるもの以外のものについては、当該

個人情報取扱事業者が行う事業を所管する大臣等

2 内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければな

らない。

3 各主務大臣は、この節の規定の施行に当たっては、相互に緊密に連絡し、及び協力しなければならな

い。

    第二節 民間団体による個人情報の保護の推進

 (認定)

第三十七条 個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次に掲げる業務を行おう

とする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)

は、主務大臣の認定を受けることができる。

 一 業務の対象となる個人情報取扱事業者(以下「対象事業者」という。)の個人情報の取扱いに関す

る第四十二条の規定による苦情の処理

 二 個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供

 三 前二号に掲げるもののほか、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務

2 前項の認定を受けようとする者は、政令で定めるところにより、主務大臣に申請しなければならない。

3 主務大臣は、第一項の認定をしたときは、その旨を公示しなければならない。

 (欠格条項)

第三十八条 次の各号のいずれかに該当する者は、前条第一項の認定を受けることができない。

 一 この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日か

ら二年を経過しない者

 二 第四十八条第一項の規定により認定を取り消され、その取消しの日から二年を経過しない者

 三 その業務を行う役員(法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を

含む。以下この条において同じ。)のうちに、次のいずれかに該当する者があるもの

  イ 禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執

行を受けることがなくなった日から二年を経過しない者

  ロ 第四十八条第一項の規定により認定を取り消された法人において、その取消しの日前三十日以内

にその役員であった者でその取消しの日から二年を経過しない者 

 (認定の基準)

第三十九条 主務大臣は、第三十七条第一項の認定の申請が次の各号のいずれにも適合していると認める

ときでなければ、その認定をしてはならない。

 一 第三十七条第一項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の方法が定められて

いるものであること。

 二 第三十七条第一項各号に掲げる業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎

を有するものであること。

 三 第三十七条第一項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによっ

て同項各号に掲げる業務が不公正になるおそれがないものであること。

 (廃止の届出)

第四十条 第三十七条第一項の認定を受けた者(以下「認定個人情報保護団体」という。)は、その認定

に係る業務(以下「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あ

らかじめ、その旨を主務大臣に届け出なければならない。

2 主務大臣は、前項の規定による届出があったときは、その旨を公示しなければならない。

 (対象事業者)

第四十一条 認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者又

は認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者としなければならな

い。

2 認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。 

 (苦情の処理)

第四十二条 認定個人情報保護団体は、本人等から対象事業者の個人情報の取扱いに関する苦情について

解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査す

るとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならな

い。

2 認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対

象事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。

3 対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がない

のに、これを拒んではならない。

 (個人情報保護指針)

第四十三条 認定個人情報保護団体は、対象事業者の個人情報の適正な取扱いの確保のために、利用目的

の特定、安全管理のための措置、本人の求めに応じる手続その他の事項に関し、この法律の規定の趣旨

に沿った指針(以下「個人情報保護指針」という。)を作成し、公表するよう努めなければならない。

2 認定個人情報保護団体は、前項の規定により個人情報保護指針を公表したときは、対象事業者に対し、

当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとるよう努めなければならな

い。

 (目的外利用の禁止)

第四十四条 認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目

的以外に利用してはならない。

 (名称の使用制限)

第四十五条 認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい

名称を用いてはならない。

 (報告の徴収)

第四十六条 主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認

定業務に関し報告をさせることができる。

 (命令)

第四十七条 主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認

定業務の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることが

できる。

 (認定の取消し)

第四十八条 主務大臣は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取

り消すことができる。

一 第三十八条第一号又は第三号に該当するに至ったとき。

二 第三十九条各号のいずれかに適合しなくなったとき。

三 第四十四条の規定に違反したとき。

四 前条の命令に従わないとき。

五 不正の手段により第三十七条第一項の認定を受けたとき。

2 主務大臣は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。

 (主務大臣)

第四十九条 この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の

規定の円滑な実施のため必要があると認める場合は、第三十七条第一項の認定を受けようとする者のう

ち特定のものについて、特定の大臣等を主務大臣に指定することができる。

 一 設立について許可又は認可を受けている認定個人情報保護団体(第三十七条第一項の認定を受けよ

うとする者を含む。次号において同じ。)については、その設立の許可又は認可をした大臣等

 二 前号に掲げるもの以外の認定個人情報保護団体については、当該認定個人情報保護団体の対象事業

者が行う事業を所管する大臣等 

2 内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければな

らない。

  第五章 雑則

 (適用除外)

第五十条 個人情報取扱事業者のうち次の各号に掲げる者については、その個人情報を取り扱う目的の全

部又は一部がそれぞれ当該各号に規定する目的であるときは、前章の規定は、適用しない。

一 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。) 報道の用に供

する目的

二 著述を業として行う者 著述の用に供する目的

三 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者 学術研究の用に供す

る目的

四 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的

五 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的

2 前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせる

こと(これに基づいて意見又は見解を述べることを含む。)をいう。

3 第一項各号に掲げる個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置、個

人情報の取扱いに関する苦情の処理その他の個人情報の適正な取扱いを確保するために必要な措置を自

ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

 (地方公共団体が処理する事務)

第五十一条 この法律に規定する主務大臣の権限に属する事務は、政令で定めるところにより、地方公共

団体の長その他の執行機関が行うこととすることができる。

 (権限又は事務の委任)

第五十二条 この法律により主務大臣の権限又は事務に属する事項は、政令で定めるところにより、その

所属の職員に委任することができる。

 (施行の状況の公表)

第五十三条 内閣総理大臣は、関係する行政機関(法律の規定に基づき内閣に置かれる機関(内閣府を除

く。)及び内閣の所轄の下に置かれる機関、内閣府、宮内庁、内閣府設置法(平成十一年法律第八十九

号)第四十九条第一項及び第二項に規定する機関並びに国家行政組織法(昭和二十三年法律第百二十号)

第三条第二項に規定する機関をいう。次条において同じ。)の長に対し、この法律の施行の状況につい

て報告を求めることができる。

2 内閣総理大臣は、毎年度、前項の報告を取りまとめ、その概要を公表するものとする。

 (連絡及び協力)

第五十四条 内閣総理大臣及びこの法律の施行に関係する行政機関の長は、相互に緊密に連絡し、及び協

力しなければならない。

 (政令への委任)

第五十五条 この法律に定めるもののほか、この法律の実施のため必要な事項は、政令で定める。

   第六章 罰則

第五十六条 第三十四条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万

円以下の罰金に処する。

第五十七条 第三十二条又は第四十六条の規定による報告をせず、又は虚偽の報告をした者は、三十万円

以下の罰金に処する。

第五十八条 法人(法人でない団体で代表者又は管理人の定めのあるものを含む。以下この項において同

じ。)の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関し

て、前二条の違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金

刑を科する。

2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為

につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の

規定を準用する。

第五十九条 次の各号のいずれかに該当する者は、十万円以下の過料に処する。

一 第四十条第一項の規定による届出をせず、又は虚偽の届出をした者

二 第四十五条の規定に違反した者

附 則 抄

(施行期日)

第一条 この法律は、公布の日から施行する。ただし、第四章から第六章まで及び附則第二条から第六条

までの規定は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行する。

 (本人の同意に関する経過措置)

第二条 この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同

意が第十五条第一項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨

の同意に相当するものであるときは、第十六条第一項又は第二項の同意があったものとみなす。

第三条 この法律の施行前になされた本人の個人情報の取扱いに関する同意がある場合において、その同

意が第二十三条第一項の規定による個人データの第三者への提供を認める旨の同意に相当するものであ

るときは、同項の同意があったものとみなす。

(通知に関する経過措置)

第四条 第二十三条第二項の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければな

らない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該通知は、

同項の規定により行われたものとみなす。

第五条 第二十三条第四項第三号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなけ

ればならない事項に相当する事項について、この法律の施行前に、本人に通知されているときは、当該

通知は、同号の規定により行われたものとみなす。

(名称の使用制限に関する経過措置)

第六条 この法律の施行の際現に認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてい

る者については、第四十五条の規定は、同条の規定の施行後六月間は、適用しない。

   附 則(平成十五年法律第六十一号)抄

 (施行期日)

第一条 この法律は、行政機関の保有する個人情報の保護に関する法律の施行の日から施行する。

 (その他の経過措置の政令への委任)

第四条 前二条に定めるもののほか、この法律の施行に関し必要な経過措置は、政令で定める。

附 則(平成十五年法律第百十九号)抄

(施行期日)

第一条 この法律は、地方独立行政法人法(平成十五年法律第百十八号)の施行の日から施行する。ただ

し、次の各号に掲げる規定は、当該各号に定める日から施行する。

 一 第六条の規定 個人情報の保護に関する法律の施行の日又はこの法律の施行の日のいずれか遅い日

(その他の経過措置の政令への委任)

第六条 この附則に規定するもののほか、この法律の施行に伴い必要な経過措置は、政令で定める。

id:hamocha

長文、ありがとうございます!

2009/11/25 09:10:01
id:chyopper No.2

chyopper回答回数415ベストアンサー獲得回数692009/11/20 23:19:08

ポイント27pt

個人情報保護法は5000件以上取り扱う場合に適用になります。

また6ヶ月以内に削除するデータは「一過性の利用」のためのデータとして考え

5000件のカウントには含みません。

http://www.nec-nexs.com/privacy/about/company.html

5000件が線引きとして考えられると思います。

とは言えこのご時世ですので、SSLは必須と思います。

SLL非対応のサイトに個人情報を送付しようとは思いませんし。

id:hamocha

ありがとうございます!

2009/11/25 09:10:08
id:joho_triangle No.3

情トラ回答回数63ベストアンサー獲得回数92009/11/21 14:00:42ここでベストアンサー

ポイント26pt

 「フォームメールに住所や電話番号などの個人情報を記入して頂く場合に、セキュリティや法律などの観点から、考慮するべき事」ということですが,法律的観点からは,基本的に「個人情報の保護に関する法律」が関係してくる(たとえ同法の適用がないとしても参考になる)ものと思われます。

 そして,セキュリティに関しては,同法の定めのうち,特に20条の安全管理措置に関する定めが関係してくるのではないでしょうか。


 いずれも,具体的には,同法8条に基づき,国が「国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針」を策定していますので,そのガイドライン(24分野にわたり策定されています。)を参考にされてはいかがでしょうか。

http://www5.cao.go.jp/seikatsu/kojin/gaidorainkentou.html


 なお,質問者さんがどの分野に関わるケースを念頭におかれているのか必ずしも明らかではありませんが,一般的な事業全般に関わるケースであれば経済産業省が定めたガイドラインが関係することになります。

 そして,同ガイドラインにおいては,法20条関係のガイドラインに「個人データの移送(運搬、郵送、宅配便等)・送信時の対策を実践するために講じることが望まれる手法の例示」として,次のようなことが掲げられていますので,ご参考まで。

  • 移送時における紛失・盗難が生じた際の対策(例えば、媒体に保管されている個人データの暗号化等の秘匿化)
  • 盗聴される可能性のあるネットワーク(例えば、インターネットや無線LAN等)で個人データを送信(例えば、本人及び従業者による入力やアクセス、メールに添付してファイルを送信する等を含むデータの転送等)する際の、個人データの暗号化等の秘匿化
id:hamocha

ありがとうございます!

2009/11/25 09:10:19

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません