「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。」(第3条)
としており、「個人情報の保護に関する法律」を解釈するにあたっては、このことを念頭におくことが重要となります。
さて、「個人情報の保護に関する法律」において、個人情報取扱事業者とは、「個人情報データベース等を事業の用に供している者をいう。」(第2条)と定義されています。
なお、対象外となる者も規定されています。概略的に、いくつかあげると、国の機関や地方公共団体、一般私人(事業の用に供しない者)、小規模事業者(事業の用に供する個人データによって識別される人数が5,000以下のもの)などのほか、個人情報を取り扱う目的が報道活動、著述活動、学術活動、宗教活動、政治活動などの場合です。
個人情報取扱業者の義務として、「個人情報の保護に関する法律」に規定されているのは主として次のようになります。(首相官邸のホームページ http://www.kantei.go.jp/ にて公開されている内容を参考にしています。)
1.目的の明確化と利用の制限に関して
・利用目的をできる限り特定しなければならない(第15条)
・利用目的の達成に必要な範囲を超えて取り扱ってはならない(第16条)
・本人の同意を得ずに第三者に提供してはならない(第23条)
2.収集の制限に関して
・偽りその他の不正な手段により取得してはならない(第17条)
3.データの内容に関して
・正確かつ最新の内容を保つように努めなければならない(第19条)
4.安全保護に関して
・安全管理のために必要な措置を講じなければならない(第20条)
・従業員・委託先に対する必要な監督を行わなければならない(第21条、第22条)
5.公開に関して
・取得したときは利用目的を通知又は公表しなければならない(第18条)
・利用目的等を本人の知り得る状態に置かなければならない(第24条)
・本人の求めに応じて保有個人データを開示しなければならない(第25条)
・本人の求めに応じて訂正等を行わなければならない(第26条)
・本人の求めに応じて利用停止等を行わなければならない(第27条)
6.責任に関して
・苦情の適切かつ迅速な処理に努めなければならない(第31条)