情報セキュリティ検定をはじめ、個人情報に関する検定を開催中。(財)情報協。

 

個人情報保護対策

 

ECD8原則と個人情報取り扱い事業者の義務

 

(2005.11.27)

 

 OECD(経済協力開発機構)ガイドラインは個人情報保護に関する国際的な基本ルールであり、OECD加盟国は各国内でこのガイドラインの内容を準拠するよう要請されている。このガイドラインの中で、個人情報保護に対して8つの原則が明記されており、これをOECD8原則と呼んでいる。

 

以下にOECD8原則と個人情報保護法における個人情報取扱事業者の義務規定との対応を示す。

 

OECD8原則と個人情報保護法における個人情報取扱事業者の義務規定との対応
OECD8原則個人情報取扱事業者の義務

○目的明確化の原則

収集目的を明確にし、データ利用は収集目的に合致するべき

○利用制限の原則

データ主体の同意がある場合、法律の規定による場合以外は目的以外に利用使用してはならない
矢印○利用目的をできる限り特定しなければならない(第15条)
○利用目的の達成に必要な範囲を超えて取り扱ってはならない(第16条)
○本人の同意を得ずに第三者に提供してはならない(第23条)

○収集制限の原則

適法・公正な手段により、かつ情報主体に通知又は同意を得て収集されるべき
矢印○偽りその他不正の手段により取得してはならない。(第17条)

○データ内容の原則

利用目的に沿ったもので、かつ、正確、完全、最新であるべき
矢印○正確かつ最新の内容に保つよう努めなければならない。(第19条)

○安全保護の原則

合理的安全保障措置により、紛失・破壊・使用・修正・開示等から保護するべき
矢印○安全管理のために必要な措置を講じなければならない。(第20条)
○従業者・委託先に対する必要な監督を行わなければならない。(第21,22条)

○公開の原則

データ収集の実施方針等を公開し、データの存在、利用目的、管理者等を明示するべき

○個人参加の原則

自己に関するデータの所在及び内容を確認させ、又は意義申し立てを保証すべき
矢印○取得したときは利用目的を通知又は公表しなければならない。(第18条)
○利用目的等を本人の知り得る状態に置かなければならない。(第24条)
○本人の求めに応じて保有個人データを開示しなければならない。(第25条)
○本人の求めに応じて訂正等を行わなければならない。(第26条)
○本人の求めに応じて利用停止等を行わなければならない。(第27条)

○責任の原則

管理者は諸原則実施の責任を有する
矢印○苦情の適切かつ迅速な処理に努めなければならない。(第31条)