電子ネットワーク運営における「個人情報保護に関するガイドライン」
新旧対照表
| 条項 | 改訂前 | 改訂後(変更箇所は下線) | 改訂の理由/備考 |
|---|---|---|---|
| 目的 | 本ガイドラインの目的は、国内の電子ネットワーク事業者等に対して、その事業理念や事業規模あるいはその事業形態にかかわらず、電子ネットワークの利用者の利益保護の観点から個人情報の適正な管理・保護に関する共通の方針を提示することにより、電子ネットワークという新しいメディアの健全な振興、発展を共にめざすことにある。 従って、各電子ネットワーク事業者等におかれては、本ガイドラインを、自己の利益のみを優先することなく、電子ネットワーク利用者の個人情報保護に配慮しながら、電子ネットワークに係る事業を行う際の、指針として活用していただきたい。 |
本ガイドラインの目的は、個人情報の保護に関する法律、個人情報の保護に関する基本方針、電気通信事業における個人情報保護に関するガイドラインおよび個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインを踏まえ、国内の電子ネットワーク事業者等に対して、その事業理念や事業規模あるいはその事業形態にかかわらず、電子ネットワークの利用者の利益保護の観点から個人情報の適正な管理・保護に関する共通の方針を提示することにより、電子ネットワークという新しいメディアの健全な振興、発展を共にめざすことにある。(以下、現行通り) | 個人情報保護法、政府の基本方針、総務省及び経済産業省のガイドラインを補完する、業界ガイドラインであることを明記した。 |
| 本ガイドラインにおける用語の意味 |
・電子ネットワーク運営 電子ネットワーク運営とは、広く会員を募ることを前提とし、インターネットを構成する個々のネットワーク、及び大規模商用パソコンネットワークから個人運営等にいたる、パソコン等からなる情報システムにおける会員管理や課金管理等のネットワーク運営、サービス提供等を営むことをいう。 |
(現行通り) | |
| 本ガイドラインにおける用語の意味 |
・個人情報 電子ネットワーク運営における個人情報とは、直接その情報により、または、それらを組み合わせることによって、当該個人を識別できるものをいう。ただし、法人その他の団体に関して記録された情報に含まれる当該法人その他の団体の役員に関する情報を除く。 |
・個人情報 個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。 |
個人情報保護法における個人情報の定義をそのまま採用した。 「ただし、法人その他の団体に関して・・・」以下については、経済産業省ガイドラインにおいて「役員に関する情報は個人情報」と記載されているので、削除した。 |
| 本ガイドラインにおける用語の意味 |
個人情報を大別し、以下に例示する。 ・会員情報 主に、入会時に収集した情報であり、電子ネットワーク運営者または主催者が会員管理を行うため及び、サービス向上のために収集、蓄積される情報である。 主要情報:アドレスまたはID番号、パスワード、氏名、住所、性別、年齢、生年月日、画像、音声情報、ニックネームまたはハンドルネーム、電話番号、職業、使用機種等 |
(現行通り) | |
| 本ガイドラインにおける用語の意味 |
・アカウント情報 会員の利用料金支払い手段の情報である。 主要情報:カード会社名、クレジット番号、銀行名、銀行口座番号、口座名義人名等 |
(現行通り) | |
| 本ガイドラインにおける用語の意味 |
・利用料金情報 上記会員情報、アカウント情報と組み合わせ請求や決済実績に関する情報である。 主要情報:利用料金、利用料金明細、請求料金、入金情報等 |
(現行通り) | |
| 本ガイドラインにおける用語の意味 |
・通信記録 サービス利用に伴う使用時間、通信量等を記録した情報である。 主要情報:発信・受信場所、ログイン/ログアウト時間、サービス別利用時間等 |
(現行通り) | |
| 本ガイドラインにおける用語の意味 |
・マーケティング情報 サービス利用行為やアンケート等により収集されるマーケティングへの利用を目的とする情報である。 主要情報:趣味・嗜好、興味ある分野、入会している電子会議室、訪れたウェブサイト等 |
(現行通り) | |
| 対象となる者 |
本ガイドラインは、電子ネットワークにおいて個人情報を取り扱う者を対象とする。以下にその対象となる者を例示する。 ・電子ネットワーク運営者 ・電子ネットワーク運営者に電子ネットワークの運営を委託している企業、団体等 ・電子モール、電子メールサーバー、電子掲示板、電子会議室等を主催しサービスを提供する者 ・インターネットにウェブサイト等を立ち上げ顧客情報等を取り扱う者。 |
(現行通り) | |
| ガイドライン 1.個人情報の収集 |
本ガイドラインの対象となる者がサービスを提供する際に行う個人情報の収集は、収集目的を明確にし、その目的に必要な限度内で収集するものとする。以下に、主な収集事例として、会員情報を収集する場合を例示する。 ・会員情報の収集方法 会員情報は、個人会員については本人もしくは本人より依頼を受けた代理人から収集し、法人契約に基づく会員については、本人もしくはその代理者(予め届けられた連絡窓口)から収集する。 |
本ガイドラインの対象となる者がサービスを提供する際に行う個人情報の収集は、個人情報の利用目的を明確にし、その目的に必要な限度内で収集するものとする。以下に、主な収集事例として、会員情報を収集する場合を例示する。 (以下、現行通り) |
個人情報保護法に準じて、「収集目的」を「利用目的」に変更した。 |
| 2.個人情報の収集手段 | 個人情報の収集は、適法かつ公正な手段により、本人の同意を得た上で行うものとする。 | (現行通り) | 個人情報保護法では、第18条第1項において、個人情報を取得した場合は、あらかじめその利用目的を公表しておくか、速やかにその利用目的を本人に通知または公表すればよいと規定されているが、本ガイドラインではそれよりも厳しく、個人情報の収集には本人の同意が必要であると規定した。 |
| 3.特定の機微な個人情報の収集の禁止 |
次に掲げる種類の内容を含む個人情報については、これを収集し、利用しまたは提供してはならない。ただし、当該情報の収集、利用または提供について、本人の明確な同意がある場合、法令に特段の規定がある場合及び司法手続上必要不可欠である場合については、この限りでない。 ・人種及び民族 ・門地及び本籍地 ・信教(宗教、思想及び信条)、政治的見解及び労働組合への加盟 ・保健医療及び性生活 |
次に掲げる種類の内容を含む個人情報については、これを収集し、利用しまたは提供してはならない。ただし、自己または第三者の権利を保護するために必要な場合その他社会的に相当と認められる場合はこの限りでない。 ・思想、信条および宗教に関する事項 ・人種、門地、身体・精神障害、犯罪歴、病歴その他の社会的差別の原因となるおそれのある事項 |
総務省ガイドラインの第4条第2項の規定に準じて変更した。 |
| 4.個人情報の利用 |
個人情報の利用は、収集目的の達成に必要な範囲に限るものとする。ただし、当初の目的の範囲の利用を超えるものについて、改めて本人の同意がある場合はこの限りではない。また、本ガイドラインの対象となる者は、必要なシステム等の整備に努める。以下に、必要な範囲に限った利用についての例示をする。 ・電子メール、電子掲示板、電子会議室等の利用について 電子メールシステムでの個人情報の表示は、送付するために必要な最小限の送付情報とする。また、電子掲示板、電子会議室等へのシステム的に添付される個人情報は、発言の自由と責任の観点から、本人であることを確認するために必要最小限の情報にとどめる。 |
個人情報の利用は、利用目的の達成に必要な範囲に限るものとする。ただし、当初の目的の範囲の利用を超えるものについて、改めて本人の同意がある場合はこの限りではない。また、本ガイドラインの対象となる者は、必要なシステム等の整備に努める。(以下削除) | 個人情報保護法に準じて、「収集目的」を「利用目的」に変更した。 電子メールシステムでの個人情報の表示は、現状ではメールソフトの設定により本人が選択するようになっている。また、電子掲示板、電子会議室等へのシステム的に添付される個人情報については、電子掲示板や電子会議室のテーマや目的によってはより詳細な属性まで表示された方がよい場合もあり、どこまで個人情報を表示するかについては会員規約等において運営者と会員との間で合意が取れていればよいことである。従って、「電子メール、電子掲示板、電子会議室等の利用について」の例示は不要なものとして削除した。 |
| 5.個人情報の提供 |
個人の自己に関する情報開示請求があった場合には、当該請求者が本人であることを確認の上、原則として応じるものとする。また、電子ネットワーク運営者および主催者はその処置を迅速に行える体制を整備する。 ・自己に関する情報開示請求 個人の自己に関する情報開示請求があった場合には、会員情報の照合により本人であることを確認の上、提供する。請求者が家族等の本人が依頼した代理人の場合には、本人からの依頼による代理人と確認できた場合に限り提供に応じる。法人契約に基づく会員については、本人の了承を得た契約者(代表者)に対して、個人と同様の対処を行い、法人内の関係部門などの要求には対応しない。 ・照合の方法 照合の方法は、電子ネットワーク運営者または主催者側に登録してある会員情報と、請求者が申し出た会員本人でなければ知り得ない会員情報を照合することとする。 ・開示可能な情報 開示可能な情報は、先に大別した個人情報であるが、特に、パスワードについては、郵送あるいは、折り返しの電話等により、本人であることを確認できる形式によって返答することとする。 ・対応窓口の設定 電子ネットワーク運営者および主催者は、問い合わせに適切に対応するための対応窓口を設定し、広く会員に告知する。 |
個人情報の第三者への提供は、行わないものとする。ただし、以下に例示するような、本人の同意を得て行われる第三者への提供、法的根拠に基づいて要求された場合、および利用目的の達成に必要な範囲内において個人情報の取扱いの全部または一部を委託する場合については、この限りではない。 (以下、現行通り) |
個人情報保護法第23条第4項第1号に準じて、「委託」の場合を第三者提供の制限の例外事項に加えた。 個人情報保護法では、第23条第2項において、第三者提供の制限の例外として「オプトアウト」が規定されているが、本ガイドラインではそのような例外措置は規定しなかった。 また、個人情報保護法では、第23条第4項第2項と第3項において第三者の例外として「事業の継承」と「共同利用」が規定されているが、本ガイドラインではそのような例外事項は規定しなかった。 |
| 6.自己情報の開示 |
個人の自己に関する情報開示請求があった場合には、当該請求者が本人であることを確認の上、原則として応じるものとする。また、電子ネットワーク運営者および主催者はその処置を迅速に行える体制を整備する。 ・自己に関する情報開示請求 個人の自己に関する情報開示請求があった場合には、会員情報の照合により本人であることを確認の上、提供する。請求者が家族等の本人が依頼した代理人の場合には、本人からの依頼による代理人と確認できた場合に限り提供に応じる。法人契約に基づく会員については、本人の了承を得た契約者(代表者)に対して、個人と同様の対処を行い、法人内の関係部門などの要求には対応しない。 ・照合の方法 照合の方法は、電子ネットワーク運営者または主催者側に登録してある会員情報と、請求者が申し出た会員本人でなければ知り得ない会員情報を照合することとする。 ・開示可能な情報 開示可能な情報は、先に大別した個人情報であるが、特に、パスワードについては、郵送あるいは、折り返しの電話等により、本人であることを確認できる形式によって返答することとする。 ・対応窓口の設定 電子ネットワーク運営者および主催者は、問い合わせに適切に対応するための対応窓口を設定し、広く会員に告知する。 |
(現行通り) | |
| 7.自己情報の利用の拒否 | 電子ネットワーク運営者および主催者が既に保有している個人情報について、本人から自己の情報についての利用または、第三者への提供を拒まれた場合は、電子ネットワーク運営者および主催者としての義務の履行に必要な場合を除き、これに応じるものとする。 | (現行通り) | 個人情報保護法では、個人情報が同法の規定に違反して取り扱われている場合にのみ、本人からの利用停止および第三者提供停止の要求に応じるものと規定されているが、本ガイドラインではより厳しく、本人からの利用停止および第三者提供停止要求には原則的に応じるものと規定した。 |
| 8.個人情報のセキュリティ管理 |
電子ネットワーク事業者等の本ガイドラインの対象となる者は、情報の漏洩等を防ぐべく、適切かつ合理的レベルの安全保護措置を講ずるものとする。また、個人情報は、その利用目的に従い、正確かつ最新のものを保つように努める。 ・アカウント情報の訂正要求 本人から会員情報またはアカウント情報についての訂正要求があった場合には、本人であることを確認の上、迅速に対応する。ただし、アカウント情報については、金融機関等からの申し出によって変更することが出来る。 ・業務委託 外部に一部の業務を委託している場合には、個人情報の漏洩を防ぐべく、委託契約等に、委託業務を通じて得られた情報は、一切外部に漏らさぬことを明記するなど、守秘義務の徹底を図る。 ・解約者の個人情報管理 解約者の個人情報をシステム内に保管する場合には、解約前と同様に、適正な安全保護処置を講じて管理するものとする。 ・個人の管理責任 パスワードなどサービス利用上、本人しか知り得ない個人情報については、それを使用する個人が管理する責任を負うことを会員規約などに明記し、その趣旨の徹底を図る。 |
(現行通り) | |
| 9.個人情報の管理者 | 電子ネットワーク事業者等の本ガイドラインの対象となる者は、本ガイドラインの趣旨を理解し、実践する能力のある者を内部から選出し、個人情報の管理者として適正な業務を行わせるものとする。 | (現行通り) | |
| 実施 | 電子ネットワーク事業者等の本ガイドラインの対象となる者は、本ガイドラインの趣旨を尊重し、内部体制の整備を図り、個人情報の保護に努めるものとする。本ガイドラインは、電子ネットワーク事業者間において周知徹底を図り、電子ネットワーク協議会において普及啓発活動およびフォローアップを推進するものとする。 | 電子ネットワーク事業者等の本ガイドラインの対象となる者は、本ガイドラインの趣旨を尊重し、内部体制の整備を図り、個人情報の保護に努めるものとする。本ガイドラインは、電子ネットワーク事業者間において周知徹底を図り、財団法人インターネット協会において普及啓発活動およびフォローアップを推進するものとする。 | 電子ネットワーク協議会を財団法人インターネット協会に変更した。 |