〜〜電子商取引を行う事業者の皆様へ〜〜   　電子商取引においては、商品配送等のため、個人情報を取り扱う必要があります。これら個人情報を取り扱う事業者には、個人情報を消費者が同意した目的以外に使用したり、外部に漏洩することがないよう留意する社会的な責任があります。 　ＥＣショップ運営等、電子商取引を行う事業者におかれては、本ガイドラインを参考に、活動の実態に応じたガイドラインを作成し、個人情報の慎重な取扱いに留意されるようお願い申しあげます。 日本商工会議所

 

 

電子商取引における個人情報の保護に関するガイドライン

　

日　本　商　工　会　議　所

　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１２年９月２０日制定

 

第１章 ガイドラインの目的

 

（目的）

第1条 　このガイドラインは、電子商取引において取り扱う個人情報の適切な保護を図るための指針となる事項を定め、事業者がその活動の実態に応じて個人情報保護に取組むことを目的とする。

 

第２章 定義

 

（定義）

第２条 このガイドラインにおいて、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

（１）電子商取引 電子的ネットワーク上で行われる商取引及びこれを誘引するための宣伝・広告の一部又は全部を行うことをいう。

（２）個人情報 個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号、画像若しくは音声により当該個人を識別できるもの（当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む）をいう。

（３）管理者 電子商取引において、個人情報の収集、利用又は提供の目的及び手段等を決定する権限を有する者をいう。

（４）受領者 個人情報の提供を受ける事業者等をいう。

 

第３章 ガイドラインの適用範囲

 

（対象となる個人情報）

第３条 このガイドラインは、電子商取引において、その全部又は一部が電子計算機、光学式情報処理装置等の自動処理システムにより処理されている個人情報を対象とし、自動処理システムによる処理を行うことを目的として書面等により処理されている個人情報についてもこれを適用する。

 

第４章 個人情報の収集に関する措置

 

（収集範囲の制限）

第４条 個人情報の収集は、電子商取引において個人情報の利用者がその正当な業務の範囲内で、収集目的を明確に定め、その目的の達成に必要な限度においてこれを行うものとする。

 

（収集方法の原則）

 第５条 個人情報の収集は、適法かつ公正な手段によって行うものとする。

 

（特定の機微な個人情報の収集の禁止）

第６条 次に掲げる種類の内容を含む個人情報については、これを収集し、利用し又は提供してはならない。ただし、当該情報の収集、利用又は提供についての消費者等の明確な同意がある場合は、この限りでない。

（１）人種及び民族

（２）門地及び本籍地（所在都道府県に関する情報を除く）

（３）信教（宗教、思想及び信条）、政治的見解及び労働組合への加盟

（４）保健医療及び性生活

 

（消費者等から直接収集する場合の措置）

第７条 消費者等から直接に個人情報を収集する際には、消費者等に対して、少なくとも、次に掲げる事項又はそれと同等以上の内容の事項を明示し、当該個人情報の収集、利用又は提供に関する同意を得るものとする。ただし、既に消費者等が、次に掲げる事項の通知を受けていることが明白である場合及び消費者等により不特定多数の者に公開された情報からこれを収集する場合には、この限りでない。

（１）個人情報に関する管理者又はその代理人の氏名又は職名、所属及び連絡先

（２）個人情報の収集及び利用の目的

（３）個人情報の提供を行うことが予定される場合には、その目的、当該情報の受領者又は受領者の組織の種類、属性

（４）個人情報の提供に関する消費者等の任意性及び当該情報を提供しなかった場合に生じる結果

（５）個人情報の開示を求める権利及び開示の結果、当該情報が誤っている場合には訂正又は削除を要求する権利の存在及び当該権利を行使するための具体的方法

 

（消費者等以外から間接的に収集する場合の措置）

第８条 消費者等以外から間接的に個人情報を収集する際には、消費者等に対して、少なくとも、前条（１）から（３）まで及び（５）に掲げる事項を明示し、当該個人情報の収集、利用又は提供に関する同意を得るものとする。ただし、次の（１）から（４）までのいずれかに掲げる要件を満たす場合においては、この限りではない。

（１）消費者等からの個人情報の収集時に、あらかじめ自己への情報の提供を予定している旨前条（３）に従い消費者等に通知した提供者から収集を行う場合

（２）提供される個人情報に関する守秘義務、再提供禁止及び事故時の責任分担等の契約の締結により、個人情報に関して提供者と同等の取扱いを担保することによって個人情報の提供を受け、収集を行う場合

（３）既に消費者等が、前条（１）から（５）までに掲げる事項の通知を受けていることが明白である場合及び消費者等により不特定多数の者に公開された情報からこれを収集する場合

（４）正当な業務の範囲内であって、消費者等の保護に値する利益が侵害されるおそれのない収集を行う場合

 

 

第５章 個人情報の利用に関する措置

 

（利用範囲の制限）

第９条 個人情報の利用は、第１１条の場合を除き、収集目的の範囲内で行うものとする。

 

（目的内の利用の場合の措置）

第１０条 収集目的の範囲内で行う個人情報の利用は、次の（１）から（４）までに掲げるいずれかの場合にのみこれを行うものとする。

（１）消費者等が同意を与えた場合

（２）消費者等が当事者である契約の準備又は履行のために必要な場合

（３）企業ならびに個人等が従うべき法的義務のために必要な場合

（４）消費者等の生命、健康及び財産等の重大な利益を保護するために必要な場合

 

（目的外の利用の場合の措置）

第１１条 収集目的の範囲を超えて個人情報の利用を行う場合又は前条（１）から（４）までに掲げるいずれの場合にも当たらない個人情報の利用を行う場合においては、少なくとも、第７条（１）から（３）まで及び（５）に掲げる事項を明示し、あらかじめ消費者等の同意を得、又は利用より前の時点で消費者等に拒絶の機会を与える等、消費者等による事前の了解の下に行うものとする。

 

第６章 個人情報の提供に関する措置

 

（提供範囲の制限）

第１２条 個人情報の提供は、原則として収集目的の範囲内で行うものとする。

 

（目的内の提供の場合の措置）

第１３条 収集目的の範囲内で行う個人情報の提供は、少なくとも、第８条（１）から（３）まで及び（５）に掲げる情報を明示し、あらかじめ消費者等の同意を得、又は提供より前の時点で消費者等に拒絶の機会を与える等、消費者等による事前の了解の下に行うものとする。ただし、次の（１）から（４）までに掲げるいずれかの場合においては、この限りでない。

（１）消費者等からの個人情報の収集時に、あらかじめ当該情報の提供を予定している旨第７条(３)に従い消費者等の同意を得ている受領者に対して提供を行う場合

（２）提供した個人情報に関する守秘義務、再提供禁止及び事故時の責任分担等の契約の締結により、個人情報に関する自己と同等の取扱いが担保されている受領者に対して提供を行う場合

（３）受領者が当該個人情報について改めて第７条（１）から（５）までに掲げる事項を提供し、消費者等の同意を得る措置を採ることが明白である場合

（４）正当な業務の範囲内であって、消費者等の保護に値する利益が侵害されるおそれのない提供を行う場合。

 

（目的外の提供の場合の措置）

第１４条 収集目的の範囲を超えて個人情報の提供を行う場合又は前条（１）から（４）までに掲げるいずれの場合にも当たらない個人情報の提供を行う場合においては、消費者等に対して、少なくとも、個人情報の受領者に関する第７条（１）から（３）まで及び（５）に相当する事項を明示し、消費者等の同意を得るものとする。この場合において、第７条（３）中「提供」とあるのは「再提供」と読み替えるものとする。ただし、既に消費者等が、当該情報の通知を受け包括的な同意を与えていることが明白な場合は、この限りでない。

 

第７章 個人情報の適正管理義務

 

（個人情報の正確性の確保）

第１５条 個人情報は、利用目的に応じ必要な範囲において、正確かつ最新の状態で管理するものとする。

 

（個人情報の利用の安全性の確保）

第１６条 個人情報への不当なアクセス又は個人情報の紛失、破壊、改ざん、漏えい等の危険に対して、技術面及び組織面において合理的な安全対策を講ずるよう努めるものとする。

 

（個人情報の秘密保持に関する従事者の責務）

第１７条 個人情報の収集、利用及び提供に従事する者は、法令の規定又は管理者が定めた規定若しくは指示した事項に従い、個人情報の秘密の保持に十分な注意を払いつつその業務を行うよう努めるものとする。

 

（個人情報の委託処理に関する措置）

第１８条 情報処理を委託する等のため個人情報を外部に預託する場合においては、十分な個人情報の保護水準を提供する者を選定し、契約等の法律行為により、管理者の指示の遵守、個人情報に関する秘密の保持、再提供の禁止及び事故時の責任分担等を担保するとともに、当該契約書等の書面又は電磁的記録を個人情報の保持期間にわたり保存するものとする。

 

第８章 自己情報に関する消費者等の権利

 

（自己情報に関する権利）

第１９条 消費者等から自己の情報について開示を求められた場合は、原則として合理的な期間内にこれに応ずる。また開示の結果、誤った情報があった場合で、訂正又は削除を求められた場合には、原則として合理的な期間内にこれに応ずるとともに、訂正又は削除を行った場合には、可能な範囲内で当該個人情報の受領者に対して通知を行うものとする。

 

（自己情報の利用又は提供の拒否権）

第２０条 既に保有している個人情報について、消費者等から自己の情報についての利用又は第三者への提供を拒まれた場合は、これに応ずるものとする。但し、管理者若しくは個人情報の開示の対象となる第三者等の法令に基づく権限の行使又は義務の履行のために必要な場合については、この限りでない。

 

第９章 管理体制

 

（管理者の設置）

第２１条 このガイドラインの内容を理解し実践する能力のある者１名以上が、個人情報の管理者としての業務を行うこととする。

 

（管理者の責務）

第２２条 個人情報の管理者は、このガイドラインに定められた事項を理解し、及び遵守するとともに、従事者にこれを理解させ、及び遵守させるよう努めるものとする。