コンテンツへスキップ
個人情報保護法の理解 028

認定個人情報保護団体

出題ポイント

  • 認定個人情報保護団体の認定をするのは個人情報保護委員会
  • 認定個人情報保護団体の対象団体は構成団体および対象事業者となることに同意した者のみ
  • 自身以外の個人情報の取扱い方についても苦情処理の申し立てはできる

個人情報保護委員会は個人情報保護の国家機関であるとするならば、認定個人情報保護団体は民間の個人情報保護推進役です。

認定個人情報保護団体の認定

まず、認定を受けようとする団体は個人情報保護委員会に認定の申請をします。(第47条第1項)。

次に、個人情報保護委員会は、その団体が業務を遂行する能力があるかなどの基準に適合していると認める場合、その団体を認定します(第49条)。個人情報保護法違反のために刑を受け2年を経過していないことや、役員が刑法犯として刑に処せられて2年を経過していない団体は認定を受けることができません(第48条)。

個人情報保護委員会は認定したことを公示しなければなりません(第47条第3項)。

認定個人情報保護団体が認定業務を廃止するときは、あらかじめその旨を個人情報保護委員会に届出なければならず、個人情報保護委員会はその旨を公示しなければなりません(第50条)。

認定個人情報保護団体の業務

  1. 苦情の処理
  2. 情報の提供
  3. その他個人情報の適正な取扱いの確保に必要な業務

上記の業務を「対象事業者」に対して行います。「対象事業者」とは認定個人情報保護団体の構成員及び対象となることについて同意した個人情報取扱事業者です(第51条)。

現在、認定個人情報保護団体は、日本証券業協会、全日本病院協会など40ほどあります。日本証券業協会はその構成員である証券会社に、全日本病院協会はおなじく病院に苦情処理や情報提供といった業務を行うわけです。

苦情処理

認定個人情報保護団体は、苦情処理の申出があったときは、相談に応じ、助言をし、事情を調査し、対象事業者に対し通知して迅速な解決を求めなければなりません。

認定個人情報保護団体には、苦情の解決について必要があるときは、当該事業者に説明や資料の提出を求めることが認められており(第52条第2項)、対象事業者は正当な理由なくこれを拒んではなりません(第52条第3項)。

注意いただきたいのは苦情処理の申立てができるのは本人に限らないということです。つまり、自身の個人情報がその業界で取り扱われていなくとも苦情の申し立てができるのです。

個人情報保護指針の作成

認定個人情報保護団体は、対象事業者の個人情報の適正な取扱いの確保のために、利用目的の特定や安全管理措置や匿名加工情報の作成方法についての指針(個人情報保護指針)を作成するよう努めなければならないとされています(第53条第1項)。

個人情報保護指針を作成・変更したときは、これを個人情報保護委員会に届け出なければならず(第53条第2項)、個人情報保護委員会は届け出られた個人情報保護指針を公表しなければなりません(第53条第3項)。個人情報保護指針が公表さてたときは、認定個人情報保護団体は、対象事業者に遵守させるため必要な措置をとらなければなりません(第53条第4項)。

いわば業界ごとの自主ルールであって法的な拘束力はないものの、事実上非常に重要な役割を果たすものといえるでしょう。

なお、個人情報保護指針の作成に当たっては消費者の意見を代表する者その他の関係者の意見を聴くこととなっています。

その他

認定個人情報保護団体は業務で知り得た情報を目的外に利用してはいけないこと、認定個人情報保護団体でない者は認定を受けているかのような名称を用いてはいけないこと、個人情報保護委員会は認定個人情報保護団体に報告を求めたり業務改善命令を出したりすることができること、なども出題されるかもしれません。常識的な感覚で回答できると思いますので、そんな規定もあるんだな、くらいで結構です。


コメントを残す

メールアドレスが公開されることはありません。