OECD8原則(OECD(経済開発協力機構)が1980年に採択した「プライバシー保護と個人データの国際流通についてのガイドライン」)も重要です。
世界の個人情報保護のスタンダードになっており、個人情報保護法にも反映されています。
個人情報保護士試験でも毎回のように1題出題されます。
OECD8原則の内容
試験対策としては8原則の内容を理解するとともに、それらが個人情報保護法のどの規定に現れているか確認しておく必要があります。
1 目的明確化の原則
(Purpose Specification Principle)
個人データの収集目的を明確にしましょう、ということです。
個人情報保護法第15条に反映されています。
「提出いただいた個人情報は、商品の発送にのみ使用させていただきます」といった表記を見たことがあると思います。あれのことです。
2 利用目的制限の原則
(Use Limitation Principle)
本人の同意なしに個人データを当初の目的以外に使用してはいけない、ということです。
個人情報保護法第16条(利用目的による制限)と第23条(第三者提供の制限)に反映されています。
データ取得時に示された利用目的の自由な変更を許しては本人に思わぬ不利益が生じるかもしれませんよね。
3 収集制限の原則
(Collection Limitation Principle)
違法な方法で個人データを収集してはいけないし、本人に通知または同意を得て収集してください、ということです。
第17条(適正な取得)に反映されています。
盗んだりだまし取ったりしてはいけません。
4 データ内容の原則
(Data Quality Principle)
訳語が少しわかりにくいですね。
収集したデータの正確性、最新性を保ちましょう、ということです。
個人情報保護法第19条(データ内容の正確性の確保)に反映されています。
例えば、誤ったデータに基づいてDMが送られ続けてきたりしたら迷惑ですよね。
5 安全保護の原則
(Security Safeguards Principle)
紛失や破損しないよう合理的な措置をとってください、ということです。
個人情報保護法第20条(安全管理措置)、第21条(従業者の監督)、第22条(委託先の監督)に反映されています。
いい加減な管理をされては不安ですよね。
6 公開の原則
(Openness Principle)
個人データの取扱いについて情報公開をしましょう、ということです。
個人情報保護法第18条(取得に際しての利用目的の通知)などに反映されています。
7 個人参加の原則
(Individual Participation Principle)
本人(データの主体)のデータ管理に関与する権利を保証するものです。
個人情報保護法第27条から第30条まで(保有個人データに関する事項の公表、開示、訂正、利用停止)に反映されています。
8 責任の原則
(Accountability Principle)
個人データの管理者には上記の諸原則を守る責任がありますよ、ということです。
個人情報保護法第31条(苦情処理)に反映されています。
おわりに
試験ではさらに一歩踏み込んで個人参加の原則が適用されるのは個人情報全体ですか?個人データについてですか?それとも保有個人データについてですか?といったことも聞かれます。
個人情報保護法をひととおり勉強したところで本講の復習をすることをお勧めします。