事業者指針の解説

更新日:平成29年12月27日

1 指針作成の目的等


  この指針は、大阪府個人情報保護条例(平成8年大阪府条例第2号。以下「条例」という。)第49条第2項に基づき、個人情報の取扱いに伴う個人の権利利益の保護を図るため、事業者が自主的に個人情報の保護のための適切な措置を講ずる際のよりどころとなるよう作成したものである。
 個人情報の取扱いについては、個人情報の保護に関する法律(平成15年法律第57号)、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)等の法令及び個人情報の保護に関する法律ガイドライン(通則編)(平成28年個人情報保護委員会告示第6号)、特定個人情報の適正な取扱いに関するガイドライン(事業者編)(平成26年特定個人情報保護委員会告示第5号)等のガイドラインを遵守するとともに、条例及びこの指針に基づくものとする。

 

<趣旨>

 この指針は、大阪府個人情報保護条例(平成8年大阪府条例第2号。以下「条例」という。)第49条第2項の規定に基づき、事業者の皆さんが個人情報の保護措置を講ずるためのよりどころとしていただくために作成したものです。

<説明>

・ 条例第47条は、「事業者は、個人情報の保護の重要性を認識し、個人情報の取扱いに当たっては、個人の権利利益を侵害することのないよう必要な措置を講ずるとともに、府の個人情報保護施策に協力する責務を有する」と規定しています。

・ また、第49条第2項では、「知事は、あらかじめ、審議会の意見を聴いた上で、事業者が個人情報を取り扱う際に準拠すべき指針を作成し、かつ、これを公表するものとする」と規定しています。

・ 事業者のうち、個人情報保護法に規定される個人情報取扱事業者(個人情報データベース等を事業の用に供している者)においては、個人情報の取扱いについて、個人情報保護法等の法令及びガイドラインを遵守するとともに、条例及び本指針によることになります。

・ 個人情報取扱事業者に該当しない事業者にあっては、個人情報の取扱いについて、条例及び本指針によることになります。

・ 特定個人情報(マイナンバーを含む個人情報)を取り扱う場合は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)等の法令及びガイドラインを遵守して取り扱わなければなりません。

・ この指針は、平成8年10月に、経済協力開発機構(OECD)が、1980年に採択した「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」に定める国内適用における基本原則(以下「OECD8原則」といいます。)を基本に、特定の事業分野に対する国の省庁の通達や民間団体による自主規制等に配慮しながら、大阪府個人情報保護審議会の答申に基づいて作成し、その後、次のとおり見直されています。

  ○ 平成18年3月 個人情報保護法の制定等を踏まえた見直し
  ○ 平成27年11月 番号法制定等を踏まえた見直し
  ○ 平成29年12月 個人情報保護法の改正等を踏まえた見直し


 

2 対象とする事業者


(1) この指針において「事業者」とは、法人(国、独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)第2条第1項に規定する独立行政法人等、地方公共団体及び地方独立行政法人を除く。)その他の団体及び事業を営む個人をいう。

(2) 事業者のうち次に掲げる者については、その個人情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、この指針を適用しない。

  ア 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。) 報道の用に供する目的

  イ 著述を業として行う者 著述の用に供する目的

  ウ 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者 学術研究の用に供する目的

  エ 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的

  オ 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的。
 


<趣旨>

 この項では、事業者の定義及びこの指針の適用除外を定めています。

<説明>

 (1) 定義

 ・ 「事業者」とは、法人(国、独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)第2条第1項に規定する独立行政法人等、地方公共団体及び地方独立行政法人を除きます。)その他の団体及び事業を営む個人をいいます。

 ・ 指針における「事業者」は、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」といいます。)第2条第3項の「個人情報取扱事業者」の範囲とは異なり、個人情報保護法第4章(個人情報取扱事業者の義務等)の適用を受けないものも含まれます。

 (2) この指針が適用されない事業者

 ・ 事業者のうち、報道機関等が報道等の目的で個人情報を取り扱うときは、この指針を適用しないことを定めたものです。

   個人のプライバシーの権利、自己情報コントロール権は、個人の尊厳を謳った憲法第13条に淵源を有する憲法上の重要な基本的人権であり、他方、表現の自由、学問の自由、信教の自由及び政治活動の自由も、憲法上保障された基本的人権です。

   個人情報保護法が、これら表現の自由等に配慮する規定を設けている趣旨にかんがみ、指針においても、同様の規定を設けたものです。

 ・ 指針の適用が除外されるのは、アからエに掲げる事業者が、それぞれ当該掲げる目的で、個人情報を取り扱う場合です。

   したがって、これらの機関等が、本条当該各号に規定する目的以外の目的で個人情報を取り扱う場合(例えば、報道機関が人事管理のために従業者の個人情報を取り扱う場合や新聞販売のために購読者名簿を管理する場合など)は、適用除外とはなりません。

  ア 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。) 報道の用に供する目的

  ・ 「放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。)」とは、大阪府個人情報保護条例第53条の4第2項の「報道」を業とする者であり、報道を業として行う出版社やフリージャーナリストも含まれます。報道の媒体は問わず、インターネットを利用するものも含まれます。

  ・ 「報道の用に供する目的」には、取材リストの作成、取材による個人情報の収集、個人情報の編集・報道の全てを含みます。

   (参考)大阪府個人情報保護条例第53条の4第2項

    前項第1号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。

  イ 著述を業として行う者 著述の用に供する目的

  ・ 「著述を業として行う者」の「著述」とは、小説、評論等のジャンルを問わず、人の知的活動により、創作的な要素を含んだ内容を言語を用いて表現することをいい、出版物、インターネット等、その表現方法・手段は問わないとされています。

    なお、名簿や地図のように、データの羅列に過ぎないものは「著述」に該当するとは解されません。

  ・ 「著述の用に供する目的」とは、著述目的の取材、執筆、編集、校正、印刷、製本、刊行の一連のプロセス全体を含みます。

  ウ 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者 学術研究の用に供する目的

  ・ 「大学その他の学術研究を目的とする機関若しくは団体」とは、私立大学、民間研究所、学会等、学術研究を主たる目的とする機関又は団体をいいます。「学術研究」には、人文科学、社会科学、自然科学の全てを含みます。「団体」は、法人格を有するものに限られず、権利能力なき社団も含まれます。

  ・ 「それらに属する者」とは、私立大学の教員、民間研究所の研究員、学会の会員等をいいます。民間企業の研究員が学会に所属している場合の研究員は、学会の会員としての立場では、「それらに属する者」に該当します。

  エ 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的

  ・ 「宗教団体」とは、宗教法人法(昭和26年法律第126号)第2条が定義するものをいい、同法第12条第1項に基づく認証を受けていることを要しません。

  ・ 「宗教活動」は、宗教法人法第2条における宗教団体の定義からして、「宗教の教義をひろめ、儀式行事を行い、及び信者を教化育成すること」と解され、「(これに付随する活動を含む。)」には、宗教団体による霊園、宿坊の経営やその他宗派の人々に対する葬儀の運営が含まれます。

   (参考)宗教法人法第2条(宗教団体の定義)

      この法律において「宗教団体」とは、宗教の教義をひろめ、儀式行事を行い、及び信者を教化育成することを主たる目的とする左に掲げる団体をいいます。

          (1) 礼拝の施設を備える神社、寺院、教会、修道院その他これらに類する団体

          (2) 前号に掲げる団体を包括する教派、宗派、教団、教会、修道会、司教区その他これらに類する団体

  オ 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的

  ・ 「政治団体」とは、政治資金規正法(昭和23年法律第194号)第3条第1項で定義するものをいいます。

  ・ 「政治活動」は、「政治上の主義若しくは施策を推進し、支持し、又はこれに反対すること」、「特定の公職の候補者を推薦し、支持し、又はこれに反対すること」であると解され、「政治活動(これに付随する活動を含む。)の用に供する目的」の具体例としては、政党の機関紙の購読者リストの作成、後援会名簿の作成があります。

   (参考)政治資金規正法第3条第1項(定義等)

     この法律において「政治団体」とは、次に掲げる団体をいう。

     (1) 政治上の主義若しくは施策を推進し、支持し、又はこれに反対することを本来の目的とする団体

     (2) 特定の公職の候補者を推薦し、支持し、又はこれに反対することを本来の目的とする団体

     (3) 前2号に掲げるもののほか、次に掲げる活動をその主たる活動として組織的かつ継続的に行う団体

       イ 政治上の主義若しくは施策を推進し、支持し、又はこれに反対すること。

       ロ 特定の公職の候補者を推薦し、支持し、又はこれに反対すること。

 

3 対象とする個人情報


(1) この指針において「個人情報」とは、条例第47条第1項に規定する個人情報をいう。

(2) この指針は、情報処理形態のいかんにかかわらず、事業者がその事業活動に伴って取り扱う個人情報の全てを対象とする。
 


<趣旨>

 この項では、この指針が適用される個人情報の範囲を定めています。

<説明>

 (1) 定義

 ・ 条例第47条第1項に規定する個人情報は、次のとおりです。

   個人に関する情報であって、次のいずれかに該当するものをいう。

    ア 当該情報に含まれる氏名、生年月日その他記述等(文書、図面若しくは電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号(行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)第2条第3項に規定する個人識別符号をいう。以下同じ。)を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができず、それにより特定の個人を識別することができないこととなるものを除く。) 

   イ 個人識別符号が含まれるもの

 ・ 「個人情報(他の情報と容易に照合することができず、それにより特定の個人を識別することができないこととなるものを除く。)」とは、条例第2条第1号の「個人情報」から、「他の情報と容易に照合することができず、それにより特定の個人を識別することができないこととなるもの」を除いた情報です。
   すなわち、条例第2条第1号アの「個人情報」は、氏名等により特定の個人であることが明らかに識別できるものはもとより、当該情報のみでは識別できないが、他の情報と照合することができ、それにより当該個人を識別できるものが含まれるが、事業者が取り扱う個人情報においては、「他の情報との照合」について容易性を要件とするものです。
   なお、条例第2条第1号イの個人識別符号についても、事業者が取り扱う個人情報に含まれます。

 ・ 「個人に関する情報」とは、氏名、住所、生年月日はもとより、思想、宗教、身体的特徴、健康状態、家族構成、職業、学歴、出身、所属団体、財産、所得、顔画像、指紋、筆跡、個人に対する評価等、個人に関するすべての情報をいいます。
   死者に関する個人情報については、不適正な取扱いによって死者の名誉を傷つけたり、その相続人等生存者の権利利益を侵害するおそれがあるから、条例の「個人情報」に含まれるものとして、その保護を図ることになります。

 ・ 「特定の個人が識別され得るもの」とは、当該情報だけでは識別できなくても、他の情報と結び付けることにより、容易に特定の個人が識別される場合を含みます。たとえば、コード番号で区分して個人データが記載されている状態では、特定の個人が分からなくても、コード番号と個人名の一覧表とが容易に照合できる場合は、特定の個人が識別され得ることになります。

 ・ 「個人識別符号」とは、具体的には、行政機関の保有する個人情報の保護に関する法律施行令(平成15年12月25日政令第548号)及び行政機関の保有する個人情報の保護に関する法律施行規則(平成29年3月31日総務省令第19号)において定められる、文字、番号、記号その他の符号をいいます。
   なお、条例における個人識別符号については、死者に関するものも含まれます。


 (2) 対象

 ・ 電子計算機処理と手作業(マニュアル)処理の差異は量的なものでしかなく、個人情報保護の必要性については基本的な差異はありません、この指針では、いずれの形態であっても対象とします。

 ・ 「事業活動に伴って取り扱う」とは、事業の営利・非営利を問わず、事業活動に伴って行う個人情報の収集、管理、利用、提供等をいいます。

   たとえば、顧客情報、信用情報、会員・組合員情報、医療・福祉サービス受給者情報、教育・学習等受講者情報、ボランティア活動者情報等があげられます。

    また、「事業活動に伴って取り扱う」の中には、事業者が管理しているインターネットの掲示板に閲覧者が記載した個人情報など事業者に収集の意図がなくとも入手した情報を含みます。

 

4 個人情報の収集


 (1) 個人情報の収集は、事業者の正当な事業の範囲内で、あらかじめ個人情報を取り扱う目的を明確にし、その目的を達成するために必要な範囲内で行う。

 (2) 個人情報の収集は、適法かつ公正な手段により行う。

 (3) 個人情報の収集に当たっては、原則として、本人がその取扱目的を確認できるようにする。

 (4) 本人から直接書面に記載された当該本人の個人情報を収集する場合は、原則として、あらかじめ、本人に対し、その取扱目的を明示する。

 (5) 以上の制限のほか、個人情報の本人以外のものからの収集は、本人の同意がある場合又は本人の権利利益を不当に侵害するおそれがない場合に限る。
 


<趣旨>

 この項は、個人情報の取扱目的を明確にし、その範囲内で適法かつ公正に収集すること等、個人情報の収集に関し、必要な原則を定めたものです。

<説明>

 (1) 取扱目的の明確化等

  ・ 個人情報を収集する事業者においては、あらかじめ取扱目的を明確にし、情報の収集をその目的を達成するために必要な範囲内に止めることを定めたものです。

  ・ 「正当な事業の範囲内」とは、反社会的な事業でないことはもとより、法令等で事業の内容が明確になっている事業者にあっては、その定められた事業の範囲内であることをいいます。

   ・ 「目的を達成するために必要な範囲内」とは、事業の目的を達成するために必要最小限度の範囲をいい、過剰な情報の収集を禁止する趣旨です。また、必要な範囲内であるかどうかの判断は、収集する側の恣意的な判断ではなく、客観性、合理性が認められるものでなくてはなりません。

 (2) 収集の手段

   ・ 個人情報の収集に当たっては、適法かつ公正な手段によることを定めたものです。

   ・ 「適法」とは、個人情報を収集する手段が法令等に違反していないことをいい、「公正」とは、社会通念に照らして、正当であると客観的に判断されることをいいます。

  (3) 取扱目的の確認

  ・ 個人情報の収集に当たっては、本人が収集に応ずるか否かの判断ができるように、原則として、本人が取扱目的を確認できるようにすべきことを定めたものです。

  ・ 「取扱目的を確認できるようにする」とは、本人が個人情報の取扱目的を知り得るようにすることであり、たとえば、申込書、契約書、案内書、アンケート用紙等に取扱目的を明示すること等をいいます。ただし、取扱目的が具体的に示されていない場合でも、客観的な状況から明らかな場合は、収集目的が明示されているものと解します。

 (4) 収集の際の取扱目的の明示

  ・ 本人から直接書面に記載された当該本人の個人情報を収集する場合は、原則として、当該個人情報を取り扱う目的をあらかじめ明示しなければならないことを定めたものです。

  ・ 「本人から直接書面に記載された当該本人の個人情報を収集する場合」とは、本人に申請書やアンケート調査票等を提出させる等書面によって収集する場合をいいます。

  ・ 「あらかじめ、本人に対し、その取扱目的を明示する」方法としては、申請書等の様式にあらかじめ記載しておくなどの方法のほか、窓口における掲示や口頭による方法も考えられるが、本人が利用目的を認識することができるよう、適切な方法により行うことが必要です。

 (5) 本人以外のものからの収集

  ・ 個人情報を本人以外のものから収集する場合は、本人が、その事実を知らない場合が多く、思わぬ権利利益の侵害が生ずることも考えられるので、特に慎重に取り扱う必要があります。

  ・ 「本人の権利利益を不当に侵害するおそれのない場合」としては、たとえば次のような場合が考えられます。

  ・ 本人以外のものから収集することについて、本人の同意を得ているとき

  ・ 法令等の規定により、誰でも閲覧できるものから収集するとき

  ・ 出版、報道等により公にされているものから収集することが正当であると認められるとき(同好会名簿のように、特定の者のみに頒布する目的のために作成されたものは、公にされたものとは言えません。)。

  ・ 本人以外のものから収集した個人情報は、すべてが正確なものとは限りませんから、出典、収集時期等を明らかにすることなどが望まれます。

  
 

5 個人情報の利用又は提供


 (1) 個人情報の利用又は提供は、原則として、収集したときの目的の範囲内で行う。

  (2) 収集したときの目的の範囲を超えて個人情報を利用し、又は提供するときは、本人の同意がある場合又は本人の権利利益を不当に侵害するおそれがない場合に限る。
 


<趣旨>

 この項は、個人情報の目的の範囲内で利用又は提供すること等、個人情報の利用又は提供に関する必要な原則を定めたものです。

<説明>

 (1) 収集目的の範囲内での利用又は提供

 ・ 個人情報(特定個人情報を除く。以下、本項及び(2)において同じ。)を利用又は提供するときは、原則として収集したときの目的の範囲内に止めることとしたものです。

 ・ 「利用」とは、本社で保有する個人情報を、本社をはじめ、支社、支店等で使用する場合のように、個人情報を事業者の内部において使用することをいいます。

 ・ 「提供」とは、事業者が保有する個人情報を、他の事業者等に渡す場合がこれに当たります。

 ・ 「収集したときの目的の範囲内」かどうかは、社会的良識に照らして、客観的、合理的に判断するものですが、例えば、収集したときの目的が「(新商品に関する情報を)電子メールにより送信する」ものであった場合に、「郵便により送付する」ことは、目的の範囲内であると考えます。

 (2) 収集目的の範囲を超える利用又は提供

 ・ 個人情報を収集した目的の範囲を超えて個人情報を利用し、又は提供するときは、当初の本人の了解を超えることになるので、原則として本人の同意が必要となります。特に個人情報の提供に当たっては、個人の権利利益を侵害する可能性が高くなるので、より慎重に行う必要があります。

 ・ 「本人の権利利益を不当に侵害するおそれのない場合」とは、社会的常識に照らして、本人の権利利益を不当に侵害するおそれがないことをいい、たとえば、次のような場合が考えられます。

 ・ 取引実績のある顧客に新商品や関連商品等の案内をするとき

 ・ 各種表彰のため、官公庁等の依頼により、表彰候補者の個人情報を提供するとき

 

6 個人情報の適正な管理


 (1) 個人情報は、取り扱う事業の目的を達成するために必要な範囲内で、正確かつ最新の状態に保つよう努める。

 (2) 個人情報の取扱いに当たっては、漏えい、滅失及び損傷の防止その他の個人情報の適切な管理のために必要な措置を講ずる。

 (3) 保有する必要がなくなった個人情報を、確実に、かつ速やかに廃棄し、又は消去する。

 (4) 従業者に個人情報を取り扱わせるに当たっては、個人情報の適切な管理が図られるよう、従業者に対し、必要かつ適切な監督を行う。 

 (5) 個人情報を取り扱う事業を外部に委託するときは、個人情報の保護のために必要な措置を講ずる。
 


<趣旨>

 この項は、個人情報の正確性及び最新性の確保、安全確保の措置及び委託に伴う措置について定めたものです。

<説明>

 (1) 個人情報の正確性及び最新性の確保

  ・ 個人情報が漏えいされたり、誤ったデータや不完全なデータが利用され、又は提供されたときは、個人について誤った認識や不完全な認識が持たれ、個人の権利利益が不当に侵害されるおそれがあります。このため、取扱目的に応じ、必要な範囲で個人情報を正確かつ最新の状態に保つよう努めることを定めたものです。

   ・ 「正確かつ最新の状態に保つ」とは、収集の時点で正確かつ最新の個人情報であることはもとより、利用又は提供の時点でも、正確かつ最新の個人情報であることをいいます。ただし、過去の一定時点で収集した個人情報を、その時点における資料として利用又は提供するときは除きます。

 (2) 漏えい、滅失及び損傷の防止

   ・ 個人情報が漏えい、滅失及び損傷されることを未然に防止するために、安全性確保の措置を講ずることを定めたものです。

   ・ 具体的な措置としては、管理組織及び管理規程等の整備、担当職員の研修等の管理的な保護措置、アクセス制限等の技術的な保護措置、施設の整備等の物理的な保護措置などが考えられます。

 (3) 不要情報の廃棄

   ・ 「確実に」とは、焼却、溶解、裁断機による裁断又は磁気テープ等の磁気的消去のような確実な方法によることをいいます。

 (4) 従業者の監督

  ・ 「従業者」とは、事業者との間の雇用関係の有無にかかわらず、当該事業者の組織内でその指揮監督を受けて事業主の業務に従事している者をいいます。

  ・ 「必要かつ適切な監督」としては、雇用及び契約時における安全管理対策の実施、従業員に対する教育・訓練等が特に問題になるとされています。

 (5) 個人情報取扱事業の外部委託

  ・ 「個人情報を取り扱う事業を外部に委託するとするとき」とは、個人情報の取扱いを伴う事業を外部に委託する場合のすべてをいい、電子計算機処理に係るパンチ委託、配送委託などのほか、印刷、筆耕、翻訳、文書の廃棄等も含みます。

   具体的には、次のような措置を受託者に求めることが考えられます。

  ・ 安全確保の措置(安全管理、秘密の厳守等)/再委託の原則禁止/複写複製の禁止/目的外利用、第三者への提供の禁止/事故発生時の報告

 

  7 要配慮個人情報の取扱い


  条例第47条第2項に規定する要配慮個人情報については、個人の権利利益を侵害することのないよう特に慎重に取り扱う。
 


<趣旨>

 この項は、事業者が、特に慎重に取り扱う責務を要する要配慮個人情報について定めたものです。

<説明>

 ・ 条例第47条第2項に規定する要配慮個人情報は、次のとおりです。

   個人情報のうち、次のいずれかに該当するものをいう。

  ア 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして実施機関の規則(規程を含み、実施機関が警察本部長である場合にあっては、公安委員会規則をいう。以下同じ。)で定める記述等が含まれるもの

  イ アに掲げるもののほか、社会的差別の原因となるおそれのあるもの

    上記のうち、他の情報と容易に照合することができず、それにより特定の個人を識別することができないこととなるものを除くもの

 ・ 個人情報のうち、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして実施機関の規則で定める記述等が含まれるもの、その他社会的差別の原因となるおそれのあるものについては、その取扱いが不適正であるような場合には、個人の権利利益の侵害のおそれが大きいことから、特に配慮を要するものとして定めたものです。
   なお、条例における要配慮個人情報には、死者に関するものも含まれます。

 ・ 「社会的差別の原因となるおそれのある個人情報」とは、その内容が客観的に明らかであるとはいえないが、例えば、出身地、門地、精神的な悩み等に関する情報のうち不当な社会的差別の原因となるおそれがあるもの等が該当すると考えられます。
   なお、旧同和対策事業対象地域の所在地名については、当該情報からは特定個人が直接識別されないが、住民票その他と結合することにより、特定個人が旧同和対策事業対象地域の出身者であることが判明することから、この規定に該当します。
   また、個人情報保護法では、要配慮個人情報に、「社会的差別の原因となるおそれのある個人情報」は定義されていませんが、その取扱いが不適正であるような場合、個人の権利利益の侵害のおそれが大きいことから、条例及び本指針により要配慮個人情報として特に慎重に取り扱うこととされています。

 ・ 個人情報保護法では、個人情報取扱事業者は、要配慮個人情報について、取得及び第三者への提供は、原則として本人の同意を必要とし、第三者への提供については、オプトアウト手続による提供を禁止しています。
   事業者は、個人情報保護法の規定のほか、要配慮個人情報の収集にあたっては、取扱目的に照らして必要最小限の範囲の情報に止めること、収集後は適正管理に努め、不要になったら確実に廃棄することなど、特に慎重に取り扱うことになります。

 

  8 自己に関する個人情報の開示等


(1) 本人から自己に関する個人情報について開示の請求を受けたときは、原則として、これに応ずる。

(2) 本人から自己に関する個人情報について内容が事実でないという理由によって訂正、追加又は削除の請求を受けたときは、原則として、取扱目的の達成に必要な範囲内において、必要な調査を行い、その結果に基づき、訂正、追加又は削除を行う。

(3) 本人から自己に関する個人情報について取扱目的を達成するために必要な範囲を超えて収集されているという理由、適法かつ公正な手段により収集されたものでないという理由、本人外収集の制限に違反して収集されたものであるという理由又は利用の制限に違反して利用されているという理由によって、利用の停止又は消去の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、これに応ずる。

(4) 本人から自己に関する個人情報について提供の制限に違反して提供されているという理由によって、提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、これに応ずる。

(5) (1)から(5)において、本人から請求された措置の全部又は一部について、その措置をとらない場合又はその措置と異なる措置をとる場合は、本人に対し、その理由を説明するよう努める。
 


<趣旨>

 この項は、本人からの自己に関する個人情報の開示、訂正及び利用停止に関することを定めたものです。

<説明>

 (1) 自己に関する個人情報の開示

 ・ 事業者は、個人情報の本人から、自己に関する個人情報の開示の請求を受けたときは、原則として、これに応ずべきことを定めたものです。

 ・ 「開示」とは、自己に関する個人情報について、その内容を本人に知らせることをいいます。本人以外のものから収集した個人情報についても、開示の請求を受けることができるようにするためには、どのような個人情報を保有しているかを本人に明らかにすることが望まれます。その方法としては、収集目的、収集先、提供先等を記載した情報の目録を備え置くことも考えられます。

 ・ 自己に関する個人情報は、誤った情報の訂正を求めたり、不利益を受けるおそれのある利用又は提供を拒否する機会を与えるもので、必要に応じて、収集先、利用の範囲、提供先等も開示することが望まれます。ただし、他人のプライバシー情報を含む場合、生産技術上の情報など競争上の地位や正当な利益を害する場合、今後の診断・評価等の公正かつ適切な執行に支障のある場合など、社会通念や慣行により開示することが適当でないと認められるものは開示の対象から除かれます。

 ・ 自己に関する個人情報の開示に当たっては、誤って他人に開示することのないよう、本人であることを厳重に確認することが必要です。

 (2) 自己に関する個人情報の訂正

  ・ 事実に誤りのある個人情報を利用したり、提供した場合には、本人の権利利益を侵害するおそれが大きいことから、自己に関する個人情報について内容が事実でないという理由によって訂正、追加又は削除の請求を受けたときは、原則として、取扱目的の達成に必要な範囲内において、必要な調査を行い、その結果に基づき、訂正、追加又は削除を行うべきことを定めたものです。

  ・ 請求に応じて訂正等をした場合に、すでに誤った情報を他に提供しているときは、必要に応じて、提供先にも連絡することが望まれます。

 (3) 自己に関する個人情報の利用の停止又は消去

   ・ 個人情報を、取扱目的を達成するために必要な範囲を超えて収集されているという理由、適法かつ公正な手段により収集されたものでないという理由、本人外収集の制限に違反して収集されたものであるという理由又は利用の制限に違反して利用されているという理由によって、利用の停止又は消去の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、これに応ずることとしたものです。

 ・ 「利用の停止」とは、その個人情報の利用の全面的な停止又は一部停止をいいます。

 ・ 「消去」とは、当該個人情報の全部又は一部を記録媒体から消し去ることをいいます。

   個人情報を匿名化することもこれに含まれます。

 (4) 自己に関する個人情報の提供の停止

 ・ 個人情報について提供の制限に違反して提供されているという理由によって、提供の停止の請求を受けた場合であって、その求めに理由があることが判明したときは、原則として、これに応ずることとしたものです。

 ・ 「提供の停止」とは、以後の提供行為を停止することをいいます。

   なお、既に提供した個人情報の回収についてまで求めるものではありませんが、違法な提供があったことにかんがみ、提供先と連携をとりつつ、個人の権利利益侵害の拡大防止のため、適切な措置を講ずる必要があります。

 (5) 理由の説明

 ・ (1)から(4)において、本人から請求された措置の全部又は一部について、その措置をとらない場合又はその措置と異なる措置をとる場合は、本人に対し、その理由を説明するよう努めることとしたものです。事業者は、事案との関係でできるかぎり適切な理由の説明をするよう求められます。

 

9 苦情の処理


  個人情報の取扱いに関する相談窓口を設置し、本人から自己情報の取扱いについて苦情があったときは、適切かつ迅速に処理する。
 


<趣旨>

 この項は、個人情報の取扱いに関する本人からの相談窓口に関することを定めたものです。

<説明>

   ・ 自己情報が不適正に取り扱われているのではないかと不安感をもったときに、本人が事業者に気軽に相談できる窓口を設置し、苦情の申出などがあったときは、適切に処理すべきことを定めたものです。

 ・ 相談窓口の設置については、既存の顧客相談室に個人情報相談に応ずる機能をもたせるような方法も考えられますが、その存在や電話番号等について府民に周知を図ることが望まれます。

 

10  責任体制


  事業者は、個人情報の適正な取扱いを行う責任体制の確立に努める。

 


<趣旨>

 この項は、個人情報の適正な取扱いを行うための責任体制の確立について定めたものです。

<説明>

 ・ 事業活動の全般を通じて、この指針を遵守し、個人情報の適正な取いに十分な配慮を行っていくために、事業者内部に個人情報の取扱いに関する責任体制を確立する必要があります。

 

11 漏えい等が発生した場合の措置


  個人情報の漏えい等の事実を把握した場合は、当該漏えい等に係る個人情報の内容及び事実関係等を本人に速やかに通知するとともに、再発防止に努める。
 


<趣旨>

 本項は、個人情報の漏えい等の事実を把握した場合の対応について定めたものです。

<説明>

 ・ 指針9「苦情の処理」の趣旨をより実効たらしめるために、本人から苦情を受けて調査する場合だけでなく、本人の知らないところで漏えい等の事実を把握した場合においても、当該漏えい等に係る個人情報の内容及び事実関係等を本人に速やかに通知するとともに、再発防止に努めることとしました。

このページの作成所属
府民文化部 府政情報室情報公開課 情報公開グループ

ここまで本文です。