電子ネットワーク運営における「個人情報保護に関するガイドライン」
(改訂第2版)
2005年3月31日
財団法人インターネット協会
【目的】
本ガイドラインの目的は、個人情報の保護に関する法律、個人情報の保護に関する基本方針、電気通信事業における個人情報保護に関するガイドラインおよび個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインを踏まえ、国内の電子ネットワーク事業者等に対して、その事業理念や事業規模あるいはその事業形態にかかわらず、電子ネットワークの利用者の利益保護の観点から個人情報の適正な管理・保護に関する共通の方針を提示することにより、電子ネットワークという新しいメディアの健全な振興、発展を共にめざすことにある。
従って、各電子ネットワーク事業者等におかれては、本ガイドラインを、自己の利益のみを優先することなく、電子ネットワーク利用者の個人情報保護に配慮しながら、電子ネットワークに係る事業を行う際の、指針として活用していただきたい。
【本ガイドラインにおける用語の意味】
- 電子ネットワーク運営
電子ネットワーク運営とは、広く会員を募ることを前提とし、インターネットを構成する個々のネットワーク、及び大規模商用パソコンネットワークから個人運営等にいたる、パソコン等からなる情報システムにおける会員管理や課金管理等のネットワーク運営、サービス提供等を営むことをいう。
- 個人情報
個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
個人情報を大別し、以下に例示する。
- 会員情報
主に、入会時に収集した情報であり、電子ネットワーク運営者または主催者が会員管理を行うため及び、サービス向上のために収集、蓄積される情報である。
主要情報:アドレスまたはID番号、パスワード、氏名、住所、性別、年齢、生年月日、画像、音声情報、ニックネームまたはハンドルネーム、電話番号、職業、使用機種等
- アカウント情報
会員の利用料金支払い手段の情報である。
主要情報:カード会社名、クレジット番号、銀行名、銀行口座番号、口座名義人名等
- 利用料金情報
上記会員情報、アカウント情報と組み合わせ請求や決済実績に関する情報である。
主要情報:利用料金、利用料金明細、請求料金、入金情報等
- 通信記録
サービス利用に伴う使用時間、通信量等を記録した情報である。
主要情報:発信・受信場所、ログイン/ログアウト時間、サービス別利用時間等
- マーケティング情報
サービス利用行為やアンケート等により収集されるマーケティングへの利用を目的とする情報である。
主要情報:趣味・嗜好、興味ある分野、入会している電子会議室、訪れたウェブサイト等
【対象となる者】
本ガイドラインは、電子ネットワークにおいて個人情報を取り扱う者を対象とする。以下にその対象となる者を例示する。
- 電子ネットワーク運営者
- 電子ネットワーク運営者に電子ネットワークの運営を委託している企業、団体等
- 電子モール、電子メールサーバー、電子掲示板、電子会議室等を主催しサービスを提供する者
- インターネットにウェブサイト等を立ち上げ顧客情報等を取り扱う者
【ガイドライン】
- 個人情報の収集
本ガイドラインの対象となる者がサービスを提供する際に行う個人情報の収集は、
個人情報の利用目的を明確にし、その目的に必要な限度内で収集するものとする。以下に、主な収集事例として、会員情報を収集する場合を例示する。
- 個人情報の収集手段
個人情報の収集は、適法かつ公正な手段により、本人の同意を得た上で行うものとする。
- 特定の機微な個人情報の収集の禁止
次に掲げる種類の内容を含む個人情報については、これを収集し、利用しまたは提供してはならない。ただし、自己または第三者の権利を保護するために必要な場合その他社会的に相当と認められる場合はこの限りでない。
- 思想、信条および宗教に関する事項
- 人種、門地、身体・精神障害、犯罪歴、病歴その他の社会的差別の原因となるおそれのある事項
- 個人情報の利用
個人情報の利用は、利用目的の達成に必要な範囲に限るものとする。ただし、当初の目的の範囲の利用を超えるものについて、改めて本人の同意がある場合はこの限りではない。また、本ガイドラインの対象となる者は、必要なシステム等の整備に努める。
- 個人情報の提供
個人情報の第三者への提供は、行わないものとする。ただし、以下に例示するような、本人の同意を得て行われる第三者への提供、法的根拠に基づいて要求された場合、および利用目的の達成に必要な範囲内において個人情報の取扱いの全部または一部を委託する場合については、この限りではない。。
- 金融機関からの問い合わせを受けた場合
会員が取引している金融機関からの料金関係に関する問い合わせには、金額に関する照合のみ行い、それ以外の情報提供は行わない。
- 会員規約等に基づいた場合
個人情報の公開については、会員規約等に明示した場合を除き、公開する内容を示し、本人の了承を得るものとする。
- 法的根拠に基づいて請求された場合
法的根拠に基づいて請求された場合とは、原則的に捜査令状、差押令状等に基づいて捜査機関より情報提供を要求された場合であるが、人権及び個人情報の保護の必要性から、例外的に、捜査事項調査依頼書等での照会による提供に応じる場合もあり得る。
また、公共の利益の保護に必要な場合には、法的根拠に基づいて提供に応じる場合もあり得る。
- 自己情報の開示
個人の自己に関する情報開示請求があった場合には、当該請求者が本人であることを確認の上、原則として応じるものとする。また、電子ネットワーク運営者および主催者はその処置を迅速に行える体制を整備する。
- 自己に関する情報開示請求
個人の自己に関する情報開示請求があった場合には、会員情報の照合により本人であることを確認の上、提供する。請求者が家族等の本人が依頼した代理人の場合には、本人からの依頼による代理人と確認できた場合に限り提供に応じる。法人契約に基づく会員については、本人の了承を得た契約者(代表者)に対して、個人と同様の対処を行い、法人内の関係部門などの要求には対応しない。
- 照合の方法
照合の方法は、電子ネットワーク運営者または主催者側に登録してある会員情報と、請求者が申し出た会員本人でなければ知り得ない会員情報を照合することとする。
- 開示可能な情報
開示可能な情報は、先に大別した個人情報であるが、特に、パスワードについては、郵送あるいは、折り返しの電話等により、本人であることを確認できる形式によって返答することとする。
- 対応窓口の設定
電子ネットワーク運営者および主催者は、問い合わせに適切に対応するための対応窓口を設定し、広く会員に告知する。
- 自己情報の利用の拒否
電子ネットワーク運営者および主催者が既に保有している個人情報について、本人から自己の情報についての利用または、第三者への提供を拒まれた場合は、電子ネットワーク運営者および主催者としての義務の履行に必要な場合を除き、これに応じるものとする。
- 個人情報のセキュリティ管理
電子ネットワーク事業者等の本ガイドラインの対象となる者は、情報の漏洩等を防ぐべく、適切かつ合理的レベルの安全保護措置を講ずるものとする。また、個人情報は、その利用目的に従い、正確かつ最新のものを保つように努める。
- アカウント情報の訂正要求
本人から会員情報またはアカウント情報についての訂正要求があった場合には、本人であることを確認の上、迅速に対応する。ただし、アカウント情報については、金融機関等からの申し出によって変更することが出来る。
- 業務委託
外部に一部の業務を委託している場合には、個人情報の漏洩を防ぐべく、委託契約等に、委託業務を通じて得られた情報は、一切外部に漏らさぬことを明記するなど、守秘義務の徹底を図る。
- 解約者の個人情報管理
解約者の個人情報をシステム内に保管する場合には、解約前と同様に、適正な安全保護処置を講じて管理するものとする。
- 個人の管理責任
パスワードなどサービス利用上、本人しか知り得ない個人情報については、それを使用する個人が管理する責任を負うことを会員規約などに明記し、その趣旨の徹底を図る。
- 個人情報の管理者
電子ネットワーク事業者等の本ガイドラインの対象となる者は、本ガイドラインの趣旨を理解し、実践する能力のある者を内部から選出し、個人情報の管理者として適正な業務を行わせるものとする。
【実施】
電子ネットワーク事業者等の本ガイドラインの対象となる者は、本ガイドラインの趣旨を尊重し、内部体制の整備を図り、個人情報の保護に努めるものとする。本ガイドラインは、電子ネットワーク事業者間において周知徹底を図り、財団法人インターネット協会において普及啓発活動およびフォローアップを推進するものとする。
以上