내년 4 월 1 일의 개인 정보 보호 (이하 "법"이라고 함)에 관한 법의 전체 이행을 준비하기 위해, 각 비즈니스 운영자는 현재 법에 규정 된 의무를 이행하기 위해 시스템을 수립하기 위해 본격적으로 진행되고 있습니다. 이 경우 각 관할 기관이 공식화 한 지침은 매우 크며, 특히 경제 무역부가 공식화 한 지침은 광범위한 대상 비즈니스 분야를 보유하고 있으며 전체 비즈니스 커뮤니티에 큰 영향을 미치는 것으로 생각됩니다. 따라서 가이드 라인의 내용은 각 프로젝트의 실제 상황을 고려하여 이해하기 쉽습니다.
이 관점에서, "개인 정보 보호에 관한 법률에 관한 경제 및 산업 부문에 대한 지침"이 최근에 발표되었습니다.*에 대한 의견 다음과 같이 :
개인 정보 보호를 효과적으로 만들기 위해서는 사업체가 보유한 개인 정보를 불법적으로 가져 오는 것을 처벌 할 수 있어야합니다. 이 시점은 경제부 무역 및 산업 지침과 직접 관련이 없지만 정부에 법적 개혁과 같은 필요한 조치를 취하도록 요청하고 싶습니다.
※http : //www.meti.go.jp/feedback/data/i40615gj.html
(1) 특정 산업의 예는 이해를 돕기위한 참조 사례로 설명되지만 P1에서 언급 한 바와 같이, 이들은 모든 산업의 예를 다루지는 않습니다. 이러한 사례를 게시함으로써 운영자가 의사 결정에 대해 혼란스러워하거나 개인 정보를 사용하는 데 더 어색해질 위험이 있으므로 가이드 라인에서 사례를 삭제하고 별도의 사례 등이 생성되어야합니다.
(2) 컨텐츠는 다른 부처가 공식화 한 지침과 일치하여 학제 간 분야에서 운영되는 회사의 이니셔티브가 노력을 방해하지 않도록해야합니다.
[개인 정보에 적용 할 수없는 사례] 사례 2의 경우, "기호 및 숫자 등과 구별 할 수없는 이메일 주소는 특정 개인이든 아니든 오늘날의 이메일 주소는 개별 이름을 식별 할 수 없으므로 모든 이메일 주소는 개인 정보로 간주되어야합니다.
[개인 정보 데이터베이스 등에 속하는 사례] 사례 3의 경우, "직원은 비즈니스 컴퓨터를 비즈니스 컴퓨터에 입력하고 (소유권에 관계없이) 다른 직원이 검색 할 수있게 해줍니다. 그러나 컴퓨터의 경우 정기적으로 입력하더라도 검색이 가능합니다. 이 경우 개인 정보 데이터베이스 등에 속하는 매우 많은 사례가 발생할 것이라는 우려가 있으므로 수정 또는 삭제해야합니다.
[개인 정보 데이터베이스 등에 속하는 사례] 사례 5의 경우, "이름, 주소 및 회사로 분류 된 상업적으로 이용 가능한 개인 이름 레코드"라고합니다. 그러나 상업적으로 이용 가능한 개인 이름 레코드 나 전화 디렉토리를 구매하는 것은 비즈니스를 처리하고 법률에 따라 다양한 의무를 부여하는 개인 정보를 구매하는 것은 불합리합니다. 법을 완전히 시행 한 후 선택되고 판매를 요청하여 판매되는 개인 정보 데이터베이스 등은 개인 정보 데이터베이스에서 제외되어야합니다.
[특정 수의 개인에 포함되지 않은 경우] 사례 4의 경우, "창고 사업, 데이터 센터 (주택, 호스팅) 등의 내용에 관여하지 않은 개인 정보는"내용과 관련이 없다 "는 의미를 명확하게해야합니다.
개인 데이터의 정의와 관련하여, 법률은 "이것은 개인 정보를 공개, 컨텐츠를 수정하고, 추가 또는 삭제하고, 사용을 중단하고, 지우고, 존재하는지 명확하지 않은 비즈니스 운영자가 승인 한 개인 데이터입니다."
"XX 프로젝트를 식별 할 때 자체 표준을 고려하여 사람에게 기여하는 것으로 간주되는 범위 내에서이를 식별하는 것이 바람직합니다. 예를 들어, 일본의 중간에서 소규모 분류로의 분류는 유용 할 수 있습니다." 그러나 분류 방법은 프로젝트에 따라 다르기 때문에 일본 표준 산업 분류에 구속 될 필요가 없다고 명확하게 언급해야합니다.
[사용 목적을 식별하는 특정 사례] 사례 3에서는 "정보 처리 서비스를 제공하는 비즈니스의 경우, 이렇게하면 사용 목적을 식별 한 경우"정보 처리 서비스 산업이 다른 산업보다 더 상세한 분류에서 사용 목적을 식별해야한다는 인상을 주어야한다고 언급되어 있습니다.
법 제 16 조, 제 3 항, 항목 1에 관해서는, "개인 정보의 제공이 197 조, 형사 절차법 (조사 및 필요한 심문) 등과 같은 자발적인 협력 인 경우에도 적용되는 것으로 간주되지만 개인의 판단이 필요하다. 그러나 비즈니스 운영자가 자발적으로 조사와 협력하고 경찰에 개인 데이터를 제공 할 때 개인 정보 보호법에 규정 된 의무와 일치해야합니다.
개인 정보를 처리하는 사업은 개인 정보를 얻은 후 개인에게 사용 목적을 즉시 통지하거나 공개해야하지만, (1) 계약자가 기밀 유지를 유지해야 할 의무가 있으며 (2) 계약자가 개인 정보를 획득 할 때 의무를 공개 할 의무가 없기 때문에 계약자는 개인 정보를 공개 할 의무가 없음을 명확하게 명시해야합니다.
제 18 조, 항목 4, 항목 4의 사례 1의 경우, 사용의 목적이 인수 상황에서 명확한 것으로 간주 될 때, 제품, 서비스 등을 판매하거나 제공 할 때 주소 및 전화 번호와 같은 개인 정보가 획득 될 수 있지만, 사용의 목적은 제품 또는 서비스의 제공을 위해 사용하는 것이 명백한 목적을위한 것이며, 이는 사용이 가능할 수 있습니다. 필요한 것보다 비즈니스 활동에 대한 제한 효과를 수정해야합니다.
ACT 19 조에 따라 개인 정보 제공 업체는 개인 데이터를 정확하고 최신 상태로 유지하기 위해 노력해야하지만 일반적으로 (1) 비즈니스 계약자는 개인으로부터 필요한 정보를 직접 얻을 수 없으며 (2) 개인은 개인 정보를 정확하고 현재까지 유지하기 위해 계약자에게 개인 정보를 정확하게 유지하기 위해 개인 정보를 정확하게 유지할 수있는 정보를 제공해야합니다. 계약자에게 위임 된 작업.
[필요하고 적절한 안전 관리 조치가 고려되지 않는 경우]의 경우 3의 경우, 회사가 개인 정보를 처리하는 회사의 부적절한 취급으로 인해 회사가 손실되거나 손상되었으며 더 이상 서비스 제공을받을 수 없다고 말하면서, 적절한 안전 관리 조치가 필요하고 적절한 표현을 구현 한 것은 아니라고 말하지만, "Ambultuber Depore"는 "부적절한 표현"이라는 말은 없다고합니다. 여기에 나열된 문제는 "필요하고 적절한 안전 관리 조치로 간주되지 않아야한다고 간주되며, 회사는 필요한 것보다 더 많은 조치를 취해야하므로 수정 또는 삭제해야합니다.
개인 데이터를 아웃소싱 할 때 계약자가 계약자가 취해야 할 모든 안전 관리 조치를 취하도록 강요하는 등 계약자에게 부당한 부담이 없도록주의해야합니다.
개인 정보 취급 비즈니스 운영자가 개인 데이터 처리의 전부 또는 일부를 위임 할 때, 계약에는 안전 관리 조치의 내용이 포함되어야하며 계약의 내용이 미리 결정된 간격으로 준수되는 것을 확인해야하지만 계약자와 계약자 모두에 대해 부담이 부담이되지 않도록해야합니다. 준수하면 계약자와 계약자 모두에 대한 부담에 대한 과도한 부담이 없습니다.
실제 비즈니스 활동에 비추어 조직적으로 동일한 것으로 간주되는 100%소유 자회사는 제 3 자로 간주되어서는 안됩니다.
옵트 아웃이 허용되는 경우가 있지만 옵트 아웃이 허용되지 않을 수 있다는 오해의 위험이 있으므로 삭제해야합니다.
개인 데이터가 특정 사람과 공동으로 사용되는 경우, "별도의 사용 목적으로 사용될 수 없다"고 말하지만 개인 정보의 원활한 배포를 고려하여 사용 목적이 개별적으로 식별되면 개인 데이터는 별도의 사용 목적으로 공동으로 사용해야합니다.
개인 정보 취급 사업은 개인 정보 취급에 관한 불만을 제대로 처리하기 위해 노력해야하지만 계약자로부터 직접 담당하는 사람의 불만을 상상하기는 어렵 기 때문에 계약자로서 계약자와의 컨텐츠를 기반으로하는 컨텐츠를 적절하고 신속하게 처리 할 수있는 시스템을 확보하기에 충분하다고 명시해야합니다.