ホーム > 市政情報 > 情報公開・個人情報保護 > 個人情報保護 > 事業者が保有する個人情報の保護に関する指針

ここから本文です。

更新日:2016年2月23日

事業者が保有する個人情報の保護に関する指針

 この指針は、札幌市個人情報保護条例(平成16年条例第35号)第43条に基づき、事業者が個人情報の保護について自主的に適切な措置を講ずることができるよう、事業者が講ずべき措置について必要な事項を定めたものです。

 この指針では、基本的に、個人情報の保護に関する法律(平成15年法律第57号)、個人情報の保護に関する法律施行令(平成15年政令第507号)、個人情報の保護に関する基本方針(平成16年4月2日閣議決定)及び札幌市個人情報保護条例において、個人情報取扱事業者が個人情報の保護のために講ずべきこととされている措置について定めています。

 札幌市内の各事業者におかれましては、事業分野ごとに各省庁が策定・公表しているガイドライン等に基づき、各事業者が保有する個人情報の保護について適切な措置を講じる際に、この指針も参考としてご活用ください。


事業者が保有する個人情報の保護に関する指針

平成17年(2005年)2月24日

総務局長決裁

 目次

第1章 総則(第1条_第3条)

第2章 個人情報の取得等(第4条_第7条)

第3章 個人情報の管理(第8条_第12条)

第4章 個人情報の第三者提供(第13条_第15条)

第5章 保有個人情報の開示等(第16条_第22条)

第6章 苦情処理(第23条)

第7章 その他(第24条_第26条)

第1章 総則

(目的)

第1条 この指針は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、札幌市個人情報保護条例(平成16年条例第35号。以下「条例」という。)第43条の規定に基づき、事業者が個人情報の保護について自主的に適切な措置を講ずることができるよう、事業者が講ずべき措置について必要な事項を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

(定義)

第2条 この指針において、次の各号に掲げる用語の定義は、当該各号に定めるところによる。

(1) 個人情報 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と照合することにより、特定の個人を識別することができることとなるものを含む。)をいう。

(2) 事業者 法人その他の団体(国、独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)第2条第1項に規定する独立行政法人等をいう。)、地方公共団体及び地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。)を除く。)及び事業を営む個人をいう。

(3) 保有個人情報 事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことができる権限を有する個人情報をいう。ただし、次に掲げるもの及び6か月以内に消去することとなるものを除く。

ア 当該個人情報の存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの

イ 当該個人情報の存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの

ウ 当該個人情報の存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの

エ 当該個人情報の存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

(4) 本人 個人情報によって識別される特定の個人をいう。

(5) 個人情報保護管理者 事業者の代表者によって指名された者であって、事業者内部の個人情報の保護体制の実施、運用等について監督を行う者をいう。

(個人情報に関する規程の策定及び公表)

第3条 事業者は、個人情報の保護に関する法令、条例及びこの指針等を踏まえ、その事業活動の特性、規模及び実態を考慮し、個人情報の保護に関する規程を策定し、これを遵守するものとする。

2 事業者は、その事業活動に対する社会の信頼を確保するため、前項の規程を公表するものとする。

第2章 個人情報の取得等

(利用目的の特定)

第4条 事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

2 事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(利用目的による制限)

第5条 事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

2 事業者は、合併その他の事由により他の事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

3 前2項の規定は、次に掲げる場合については、適用しない。

(1) 法令に基づく場合

(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(適正な取得等)

第6条 事業者は、偽りその他不正の手段により個人情報を取得してはならない。

2 事業者は、個人情報を取得するに当たっては、原則として本人から取得することとし、本人以外から取得するときは、本人の権利利益が侵害されるおそれのない場合に限るものとする。

(取得に際しての利用目的の通知等)

第7条 事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

2 事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項及び第21条第1項第2号において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

3 事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

4 前3項の規定は、次に掲げる場合については、適用しない。

(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

(2) 利用目的を本人に通知し、又は公表することにより当該事業者の権利又は正当な利益を害するおそれがある場合

(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(4) 取得の状況からみて利用目的が明らかであると認められる場合

第3章 個人情報の管理

(個人情報の正確性の確保)

第8条 事業者は、利用目的の達成に必要な範囲内において、個人情報を正確かつ最新の内容に保つよう努めなければならない。

(安全管理措置)

第9条 事業者は、その取り扱う個人情報の漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要かつ適切な措置を講じなければならない。

2 事業者は、個人情報の利用目的に照らし保有する必要がなくなった個人情報については、確実に、かつ、速やかに廃棄し、又は消去しなければならない。

3 事業者は、個人情報の適正な取扱いを確保するため、外部からの不正アクセスの防御対策のほか、個人情報保護管理者の設置、内部関係者のアクセス管理や個人情報の持ち出し防止対策等、個人情報の安全管理について、事業者の内部における責任体制を確保するための仕組みを整備するものとする。

(従業者の監督等)

第10条 事業者は、その従業者に個人情報を取り扱わせるに当たっては、当該個人情報の安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

2 事業者は、その従業者に対する教育研修の実施等を通じて、個人情報を実際に業務で取り扱うこととなる従業者の啓発を図ることにより、従業者の個人情報保護意識を徹底するものとする。

(委託先の監督)

第11条 事業者は、個人情報の取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人情報の安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

(個人情報の漏えい等の事故が発生したときの対応)

第12条 事業者は、個人情報の漏えい等の事故が発生した場合は、二次被害の防止、類似の事故の発生回避等の観点から、個人情報保護管理者の監督のもとに必要な調査を行い、適切な措置を講じるとともに、可能な限り事実関係等を公表するものとする。

第4章 個人情報の第三者提供

 (第三者提供の制限)

第13条 事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人情報を第三者に提供してはならない。

(1) 法令に基づく場合

(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(本人への通知等により第三者に提供できる場合)

第14条 事業者は、第三者に提供される個人情報について、本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前条の規定にかかわらず、当該個人情報を第三者に提供することができる。

(1) 第三者への提供を利用目的とすること。

(2) 第三者に提供される個人情報の項目

(3) 第三者への提供の手段又は方法

(4) 本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること。

2 事業者は、前項第2号又は第3号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

(第三者提供に該当しない場合)

第15条 次に掲げる場合において、当該個人情報の提供を受ける者は、前2条の規定の適用については、第三者に該当しないものとする。

(1) 事業者が利用目的の達成に必要な範囲内において個人情報の取扱いの全部又は一部を委託する場合

(2) 合併その他の事由による事業の承継に伴って個人情報が提供される場合

(3) 個人情報を特定の者との間で共同して利用する場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

ア 共同して利用する旨

イ 共同して利用される個人情報の項目

ウ 共同して利用する者の範囲

エ 利用する者の利用目的

オ 当該個人情報の管理について責任を有する者の氏名又は名称

2 事業者は、前項第3号エ又はオに規定する内容を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

第5章 保有個人情報の開示等

(保有個人情報に関する事項の公表等)

第16条 事業者は、保有個人情報に関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

(1) 当該事業者の氏名又は名称

(2) すべての保有個人情報の利用目的(第7条第4項第1号から第3号までに該当する場合を除く。)

(3) 次項、次条第1項、第18条第1項又は第19条第1項若しくは第2項の規定による求めに応じる手続(第22条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)

(4) 当該事業者が行う保有個人情報の取扱いに関する苦情の申出先

(5) 当該事業者が認定個人情報保護団体(個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第37条第1項の認定を受けた者をいう。)の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先

2 事業者は、本人から、当該本人が識別される保有個人情報の利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。

(1) 前項の規定により当該本人が識別される保有個人情報の利用目的が明らかな場合

(2) 第7条第4項第1号から第3号までに該当する場合

3 事業者は、前項の規定に基づき求められた保有個人情報の利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

(開示)

第17条 事業者は、本人から、当該本人が識別される保有個人情報の開示(当該本人が識別される保有個人情報が存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、書面の交付による方法(開示の求めを行った者が同意した方法があるときは、当該方法)により、遅滞なく、当該保有個人情報を開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

(1) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

(2) 当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

(3) 法令に違反することとなる場合

2 事業者は、前項の規定に基づき求められた保有個人情報の全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

3 法令の規定により、本人に対し第1項本文に規定する方法に相当する方法により当該本人が識別される保有個人情報の全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人情報については、同項の規定は、適用しない。

(訂正等)

第18条 事業者は、本人から、当該本人が識別される保有個人情報の内容が事実でないという理由によって当該保有個人情報の内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人情報の内容の訂正等を行わなければならない。

2 事業者は、前項の規定に基づき求められた保有個人情報の内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。

(利用停止等)

第19条 事業者は、本人から、当該本人が識別される保有個人情報が第5条の規定に違反して取り扱われているという理由又は第6条第1項の規定に違反して取得されたものであるという理由によって、当該保有個人情報の利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人情報の利用停止等を行わなければならない。ただし、当該保有個人情報の利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

2 事業者は、本人から、当該本人が識別される保有個人情報が第13条の規定に違反して第三者に提供されているという理由によって、当該保有個人情報の第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人情報の第三者への提供を停止しなければならない。ただし、当該保有個人情報の第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

3 事業者は、第1項の規定に基づき求められた保有個人情報の全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人情報の全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

(理由の説明)

第20条 事業者は、第16条第3項、第17条第2項、第18条第2項又は前条第3項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。

(開示等の求めに応じる手続)

第21条 事業者は、第16条第2項、第17条第1項、第18条第1項又は第19条第1項若しくは第2項の規定による求め(以下この条において「開示等の求め」という。)を受け付ける方法として、次に掲げる事項を定めることができる。

(1) 開示等の求めの申出先

(2) 開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式

(3) 開示等の求めをする者が本人又は第3項に規定する代理人であることの確認の方法

(4) 次条第1項の手数料の徴収方法

2 事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人情報を特定するに足りる事項の提示を求めることができる。この場合において、事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人情報の特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。

3 事業者は、次に掲げる代理人によって開示等の求めがあった場合は、これに応じなければならない。

(1) 未成年者又は成年被後見人の法定代理人

(2) 開示等の求めをすることにつき本人が委任した代理人

4 事業者は、前3項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。

(手数料)

第22条 事業者は、第16条第2項の規定による利用目的の通知又は第17条第1項の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。

2 事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。

第6章 苦情処理

(苦情処理)

第23条 事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。

2 事業者は、前項の目的を達成するため、苦情受付窓口の設置、苦情処理手順の策定等、必要な体制の整備に努めなければならない。

第7章 その他

(見直し)

第24条 事業者は、適切な個人情報の保護を維持するため、常に個人情報の取得等及び管理の状況等を把握し、必要に応じて個人情報の保護のための措置を見直すこととする。

(適用除外)

第25条 法第50条第1項各号に掲げる事業者については、その個人情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、この指針の第2章から第6章までの規定及び第26条の規定は、適用しない。

2 第50条第1項各号に掲げる事業者は、個人情報の安全管理のために必要かつ適切な措置、個人情報の取扱いに関する苦情の処理その他の個人情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

(個人情報取扱事業者以外の事業者に対する指針の準用)

第26条 法第2条第3項に規定する個人情報取扱事業者に該当しない事業者(法第50条第1項各号に掲げる事業者を除く。)については、この指針の第1以外の規定は適用しない。この場合においても、この指針の第4条から第24条までの規定に準じて、個人情報を適正に取り扱うよう努めるものとする。

   附 則

(施行期日)

 この指針は、平成17年4月1日から施行する。

このページについてのお問い合わせ

札幌市総務局行政部行政情報課

〒060-8611 札幌市中央区北1条西2丁目 札幌市役所本庁舎2階

電話番号:011-211-2132

ファクス番号:011-218-5166