JADMA(ジャドマ)は特定商取引法の第30条に位置づけられている業界団体です。

ガイドライン

■通信販売における個人情報保護ガイドライン

第1章  総則

(目的)
第1条 本ガイドラインは、個人情報の保護に関する法律(以下「法」という。)及びその他の関係法令に基づき、社団法人日本通信販売協会(以下「当協会」という。)の会員社が行う通信販売事業における個人情報の適切な取扱いの確保に関する活動を支援する具体的な指針として定めたものであり、個人情報の有用性に配慮するとともに、個人の権利利益を保護することにより、通信販売事業の健全な発展に寄与することを目的とする。

(適用範囲)
第2条 本ガイドラインは、通信販売事業において個人情報を取り扱う当協会の会員社に適用される。
2 前項に該当しない通信販売事業において個人情報を取り扱う事業者においても、個人情報を取り扱う際の基準又は個人情報保護に関する規程を策定する際の参考として本ガイドラインを用いることができる。


第2章  定義

(定義)
第3条 本ガイドラインにおいて、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1)「個人情報」
生存する「個人に関する情報」であって、特定の個人を識別することができるものをいい、他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。

(2)「個人情報データベース等」
特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合物をいう。コンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当する。

(3)「個人情報取扱事業者」
個人情報データベース等を事業の用に供している者をいう。

(4)「個人データ」
  個人情報取扱事業者が管理する「個人情報データベース等」を構成する個人情報をいう。

(5)「保有個人データ」
個人情報取扱事業者が、本人又はその代理人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止のすべてに応じることができる権限を有する「個人データ」をいう。ただし、次に掲げる場合は除く。

[1]その存否が明らかになることにより、公益その他の利益が害されるもの。
[2]6か月以内に消去する(更新することは除く。)こととなるもの。

(6)「本人」
個人情報によって識別される特定の個人をいう。

(7)「本人に通知」
本人に直接知らしめることをいう。

(8)「公表」
一般の人々が知ることができるように発表することをいう。

(9)「本人に対し、その利用目的を明示」
本人に対し、その利用目的を明確に示すことをいう。

(10)「本人の同意」
本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう。
また「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいう。

(11)「本人が容易に知り得る状態」
事業の性質及び個人情報の取扱い状況に応じた合理的かつ適切な方法により、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態に置いていることをいう。

(12)「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」
ホームページへの掲載、カタログの配布、本人の求めに応じて遅滞なく回答を行うこと等、本人が知ろうとすれば、知ることができる状態に置くことをいい、常にその時点での正確な内容を本人の知り得る状態に置かなければならない。

(13)「提供」
個人データを利用可能な状態に置くことをいう。個人データが、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データを利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。

(14)「会員社」
通信販売事業において、個人情報を取り扱う社団法人日本通信販売協会の会員をいう。保有個人データの数は問わない。

(15)個人情報保護管理者
  会員社によって指名された者で、個人情報保護体制の運営と施策の実施を行う責任者であって、個人情報の取扱いについて決定する権限を有する者である。

第3章  個人情報の取得等

(利用目的の特定)
第4条 会員社は、取り扱う個人情報の利用目的をできる限り特定しなければならない。

(利用目的の変更)
第5条 会員社は、第4条により特定された利用目的を、本人が想定することが困難でない範囲内を超えて変更してはならない。
2 会員社は、利用目的を変更した場合は、変更された利用目的について、本人に通知するか、又は公表しなければならない。

(利用目的による制限)
第6条 会員社は、利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意を得なければならない。
2 前項の規定は、次に掲げる場合については適用しない。

(1)法令に基づき、提出又は回答が義務付けられている場合
(2)人の生命、身体又は財産の保護ために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(適正な取得)
第7条 会員社は、偽り等の不正の手段により個人情報を取得してはならない。

(利用目的の通知又は公表)
第8条 会員社は、個人情報を取得する場合は、あらかじめその利用目的を公表していることが望ましい。公表していない場合は、取得後速やかに、その利用目的を、本人に通知するか、又は公表しなければならない。

(書面等で本人から直接に取得する場合の措置)
第9条 会員社は、書面等による記載、ユーザー入力画面への打ち込み等により、直接本人から個人情報を取得する場合には、あらかじめ、本人に対し、その利用目的を明示しなければならない。なお、口頭による個人情報の取得にまで、当該義務を課すものではない。

(取得時及び利用目的等の変更時の措置の適用除外)
第10条 第5条、第8条及び第9条の規定は、次に掲げる場合については適用しない。

(1)利用目的を本人に通知し、又は公表することにより人の生命、身体、財産その他の権利利益が侵害されるおそれがある場合。
(2)利用目的を本人に通知し、又は公表することにより企業秘密に関すること等が他社に明らかになり、当該事業者の権利又は正当な利益が侵害されるおそれがある場合。
(3)国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が国の機関等から受け取った個人情報の利用目的を本人に通知し、又は公表することにより、当該事務の遂行に支障を及ぼすおそれがある場合。
(4)個人情報が取得される状況から見て利用目的が自明であると認められる場合。

(子どもから取得する場合の配慮)
第11条 子どもから個人情報を取得する場合には、子どもが理解できる平易な表現で利用目的を通知するものとする。また、子どもに個人情報の提供を求める場合は、親権者等の了解を得る機会を与えることとする。

第4章  個人データの管理

(データ内容の正確性の確保)
第12条 会員社は、利用目的の達成に必要な範囲内において、個人情報データベース等への個人情報の入力時の照合・確認の手続の整備、誤り等を発見した場合の訂正等の手続の整備、記録事項の更新、保存期間の設定等を行うことにより、個人データを正確かつ最新の内容に保つよう努めなければならない。

(安全管理措置)
第13条 会員社は、その取り扱う個人データの漏洩、滅失又はき損の防止その他の個人情報の安全管理のため、組織的、人的、物理的及び技術的な安全管理措置を講じなければならない。

(従業者の監督)
第14条 会員社は、その従業者に個人データを取り扱わせるときは、安全管理措置を遵守させるよう、従業者に対し必要かつ適切な監督を行わなければならない。

(委託先の監督)
第15条 会員社は、個人データの取扱いの全部又は一部を外部に委託する場合、その取扱いを委託した個人データの安全管理が図られるよう、委託先に対し必要かつ適切な監督を行わなければならない。

第5章  第三者への提供

(第三者提供の制限)
第16条 会員社は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

(1)法令に基づく場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

2 同意の取得に当たっては、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。

(第三者に提供できる場合)
第17条 会員社は、第三者に提供される個人データについて、本人の求めに応じてその提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときは、当該個人データを第三者に提供することができる。

(1)第三者への提供を利用目的とすること。
(2)第三者に提供される個人データの項目
(3)第三者への提供の手段又は方法
(4)本人の求めに応じて第三者への提供を停止すること。

(第三者提供に該当しない場合)
第18条 次に掲げる場合においては、第三者提供に該当しないものとする。

(1)業務委託
利用目的の達成に必要な範囲内において、個人データの取り扱いに関する業務の全部又は一部を委託する場合
(2)事業継承
合併、分社化、営業譲渡等により事業が承継され個人データが移転される場合
(3)共同利用
個人データを特定の者との間で共同して利用する場合で、以下の情報をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いている場合
[1]個人データを特定の者と共同して利用する旨
[2]共同して利用される個人データの項目
[3]共同利用者の範囲
[4]利用する者の利用目的
[5]開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者の氏名又は名称

2 会員社は、前項(3)に規定する項目のうち、[4]又は[5]を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

第6章  保有個人データに関する事項の公表、保有個人データの開示・訂正・利用停止等

(保有個人データに関する事項の公表等)
第19条 会員社は、保有個人データについて、以下の情報を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。

(1)事業者名
(2)すべての保有個人データの利用目的
(3)保有個人データの利用目的の通知及び保有個人データの開示に係る手数料の額(定めた場合に限る)並びに開示等の求めの手続
(4)保有個人データの取扱いに関する苦情及び問い合わせの申出先

(利用目的の通知)
第20条 第20条 会員社は、本人から自己が識別される保有個人データの利用目的の通知を求められたときは、遅滞なく、本人に通知しなければならない。なお、通知しない旨を決定したときも、遅滞なく、本人に通知しなければならない。ただし、次のいずれかに該当する場合は、この限りではない。

(1)前条の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
(2)第 10 条の (1) から (3) に該当する場合

(保有個人データの開示)
第21条 会員社は、本人から、自己が識別される保有個人データの開示を求められたときは、本人に対し、書面の交付による方法等(開示の求めを行った者が同意した方法があるときはその方法)により、遅滞なく、当該保有個人データを開示(当該保有個人データが存在しないときにその旨を知らせることを含む。)しなければならない。ただし、開示することにより次のいずれかに該当する場合は、その全部又は一部を開示しないことができるが、その場合は、その旨を本人に通知しなければならない。

(1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2)業務の適正な実施に著しい支障を及ぼすおそれがある場合
(3)他の法令に違反することとなる場合。

(保有個人データの訂正等)
第22条 会員社は、本人から、保有個人データの内容が事実でないという理由で訂正、追加又は削除(この条において「訂正等」という。)を求められたときには、利用目的の達成に必要な範囲内において、原則として合理的な期間内にこれに応ずるものとする。
2 訂正等を行うにあたって、調査が必要な場合は、遅滞なく調査を行い、その結果に基づき訂正等を行ったとき又は行わない旨の決定をしたときは、本人に対し、その旨(訂正等を行ったときはその内容を含む。)通知しなければならない。

(保有個人データの利用停止等)
第23条 会員社は、本人から、手続違反の理由により保有個人データの利用停止等が求められた場合には、原則として、当該措置を行わなければならない。なお、利用停止等を行った場合には、遅滞なく、その旨を本人に通知しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

(理由の説明)
第24条 会員社は、保有個人データの公表・開示・訂正・利用停止等において、その措置をとらない旨又はその措置と異なる措置をとる旨を本人に通知する場合は、併せて、本人に対して、その理由を説明するように努めなければならない。

(開示等の求めに応じる手続)
第25条 会員社は、開示等の求めにおいて、その求めを受け付ける方法として、次の各号の事項を定めることができる。また、その求めを受け付ける方法を定めた場合には、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置いておかなければならない。

(1)開示等の求めの受付先
(2)開示等の求めに際して提出すべき書面の様式、その他の開示等の求めの受付方法
(3)開示等の求めをする者が本人又はその代理人であることの確認の方法
(4)保有個人データの利用目的の通知、又は保有個人データの開示をする際に徴収する手数料の徴収方法

2 会員社は、円滑に開示等の手続が行えるよう、本人に対し、自己のデータの特定に必要な事項の提示を求めることができる。なお、本人が容易に自己のデータを特定できるよう、自己の保有個人データの特定に資する情報の提供その他本人の利便性を考慮しなければならない。

(手数料)
第26条 会員社は、保有個人データの利用目的の通知、又は保有個人データの開示を求められたときは、当該措置の実施に関し、手数料の額を定め、徴収することができる。また、手数料の額を定めた場合には、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置いておかなければならない。

(苦情処理)
第27条 会員社は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。  
2 苦情処理を行うに当たり、苦情処理窓口の設置や苦情処理の手順を定める等必要な体制の整備に努めなければならない。

第7章  内部規程・方針、管理体制等

(個人情報保護方針の公表)
第28条 会員社は、個人情報保護方針を定め、文書化することとする。
2 会員社は、個人情報保護方針を公表することとする。
3 会員社は、法の施行後の状況等諸環境の変化を踏まえて、個人情報保護方針の見直しを行うよう努めるものとする。

(内部規程の策定等)
第29条 会員社は、個人情報保護方針を基に、事業活動の範囲及び事業規模を考慮し、個人情報を保護するための内部規程を策定し、これを実行することとする。
2 会員社は、内部規程を従業者に周知しなければならない。
3 会員社は、個人情報保護の実施状況及びその他の経営環境等に照らして、適切な個人情報の保護を維持するために、定期的に内部規程を見直すものとする。

(個人情報保護管理者の指名)
第30条 会員社は、法及びその他の関係法令や本ガイドラインを理解し実践する能力のある者を会員社の内部から1名以上指名し、個人情報保護管理者としての業務を行わせるものとする。

(個人情報保護管理者の責務)
第31条 個人情報保護管理者は、本ガイドラインに定められた事項を理解し、及び遵守するとともに、従業者にこれを理解させ、及び遵守させるための内部規程の整備、安全対策の実施、従業者への教育訓練、委託先の適切な監督等を実施する責任を負うものとする。

第8章  その他

(報告等)
第32条 会員社は、個人情報の取扱いに関し、当協会及び経済産業省等関係機関から報告を求められた場合は直ちに報告しなければならない。
2 会員社は、本人の同意のない第三者へ個人情報が漏洩した事実、及び漏洩したおそれがある事実を把握した場合は、当協会及び経済産業省等関係機関に報告するものとする。
3 個人情報の漏洩等の事案が発生した場合は、二次被害の防止、類似事案の発生回避等の観点及び本人が被る権利利益の侵害の大きさを考慮し、可能な限り事実関係等を公表するものとする。

(ガイドラインの見直し)
第33条 個人情報の保護についての考え方は、社会情勢の変化、国民の認識の変化、技術の進歩等に応じて変わり得るものであり、本ガイドラインは、法の施行後の状況等諸環境の変化を踏まえて見直しを行うよう努めるものとする。

平成16年11月 9日発表
平成17年 3月10日加筆
平成19年 7月10日改定

社団法人日本通信販売協会