個人情報保護法上、保有する個人情報の正確性を確保する義務は努力義務とされています（同法第１９条）。つまり個人情報の正確性を確保するための措置を取らなかったとしても、直ちには違法とならないと言うことです。もっとも、金融機関の例ですが、記録された個人情報が不正確であったことを原因として損害賠償請求が認められた例もありますので、努力義務であるからと言って軽視しない方がよいでしょう。

確かに個人情報保護法が適用されなければ、同法の各種の規制は適用されません。もっとも個人情報が漏洩のリスクについては、個人情報取扱事業者であるか否かで異なりません。個人情報取扱事業者でなくても、個人情報が漏洩すれば、プライバシー侵害を理由として損害賠償義務を負う可能性があります。セキュリティ確保のための措置については、入念に検討しておくべきでしょう。

義務の種類によって若干の違いはありますが、個人情報保護法上の各規定は、単なる努力義務ではなく、法的義務として定められています。そのため法律上の義務はきちんと履行する必要があります

ＩＳＭＳとプライバシーマークは共に情報の保護を目的とする制度という意味では共通する部分があります。しかしＩＳＭＳは企業内部に存在している営業上の情報一般を保護するための経営システムを構築することを目的としているのに対し、プライバシーマークは企業が取得した個人情報の安全を目的としています。このようにこの２つの制度は目的自体が異なりますから、一概にどちらの制度がいいと決めることはできません。もっとも現状においては、個人情報保護法への対応が急務であることと、認定取得の為のノウハウが蓄積されてきていることから、初めての認定取得であればプライバシーマークをお勧めしたいと思います。そのあと営業上必要であればＩＳＭＳにステップアップするという形であれば、導入もスムーズでしょう。

労働者派遣法に個人情報の保護規定がおかれていますので、一定の保護の対象となります。また漏洩事故が起こった場合には、個人情報保護法ではなく民法の不法行為に基づく損害賠償請求が可能です。

２００３年に成立したいわゆる個人情報保護法中の開示請求の規定は、民間部門を対象としたものです。
国立の病院であれば、行政機関個人情報保護法が適用されることになります。もっとも医療情報については除外対象となっていますので注意が必要でしょう。

個人情報保護法上、個人情報を目的外で利用していたり（１６条）、不正の手段で個人情報を取得していた場合以外には、本人が個人情報取扱事業者に対して個人情報の削除を要求できる権利は認められていません（２７条）。また２７条は「違反を是正するために必要な限度において」の利用停止や削除が義務づけられているのみです。そのため目的外利用を行っていた場合における「違反の是正」は、通常は利用停止を行えば「必要な限度」における是正を行ったと認められるでしょう。そのため２７条により削除が義務づけられるのは、事実上、不正の手段で個人情報を取得した場合のみとなります。
「不正の手段」で取得したとされるのは、詐欺や錯誤に乗じた取得、事理弁識能力の無い者からの取得、第三者提供の同意が無いことを認識した上での取得などです。
結果、これらに該当しない、通常の業務過程において取得した個人情報については、法的には削除義務は発生しないということになります。
当然のことながら、個人情報の保有リスクなＣＳ的観点から任意に削除するのは、法令上の保管年限が定められているのでない限り自由となります。

６ヶ月以上に渡って保有することが予定されている個人データであって、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有しているものは「保有個人データ」に該当します。保有個人データを保有している場合には、個人情報保護法の２４条から２７条の規定が適用されることになります。もっとも受託業務で保有しているデータについては多くの場合、委託企業との関係において、「開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限」を有して
いないでしょうから、保有個人データには該当しない場合が多いでしょう。その場合には結果として個人情報保護法の２４条から２７条の規定が適用されません。
なお保有個人データに該当するか否かは、個々の個人データ毎に判断します。実際に行っている業務の受託期間とは関係がありません。ある業務の委託期間が６ヶ月以上であっても、個人データを３ヶ月しか保有する予定が無いのであれば、保有個人データには該当しません。一方、委託期間が３ヶ月であっても、委託期間が終了した後も保有する予定で、その期間が６ヶ月を超える場合には、保有個人データに該当することになります。

個人情報を従業員の教育目的に利用してることになりますが、まずこの利用目的を公表する義務があるか否かが問題となります。この点、利用している個人情報や実施する業務の特性上、お客様の実際のデータベースを利用することが実務上必須不可欠である場合には、「利用目的が明らかな場合」に含めて解釈し、利用目的の公表が不要と解釈する余地があります。一方、単にサンプルデータの作成の手間を省くためだけであれば、「従業員の教育のため」を利用目的として公表する必要があるでしょう。
次にデータベースのコピーを作成する点については、教育の実施上、かかるコピーに合理性があるか否かによります。安全管理を考える上においては、原則としては、必要がない限りは個人情報データベースの複製を作成しない方が望ましいです。しかし例えばデータベースの操作に習熟していない従業員が操作を誤り、個人情報を消去してしまう可能性があるような場合には、逆に個人情報の安全性を損ねてしまうこととなりますの、複製を利用した方がが望ましいでしょう。

個人情報保護法１８条２項では、個人情報を書面等で取得する場合には、利用目的を事前に明示する必要があるとされており、経済産業省ガイドラインではホームページも同様とされています。一方、プライバシーマーク制度では、個人情報の利用目的については、原則として、本人の同意を得ることが必要とされています。今後御社がプライバシーマークの取得を目指しているのであれば、個人情報保護法上で要求される単なる明示ではなく、利用目的についての同意を得るようにしたほうが望ましいでしょう。
もっともプライバシーマークにおける考え方でも、「同意」が署名捺印が必要だとは考えられていません。ホームページ上で、個人情報の主体たる本人に、個人情報の利用目的が具体的に記載され、且つ、ボタンを押す際に、ボタンを押すと個人情報の利用目的に同意したことになる旨がわかりやすく示されていれば、「利用目的について同意を得た」と考えて問題ないでしょう。

情報がネットワークスニッフィング（通信傍受）で漏洩したという事例はあまり見かけませんが、万が一の場合の法律問題を検討する際には、個人情報保護法上の問題と民法上の問題を検討する必要があります。
個人情報保護法上、個人情報の安全管理義務が発生する対象は「個人データ」、すなわちデータベース化された個人情報のみです。メール送信ＣＧＩがサーバー内にログを残さない仕組みになっている場合には、サーバーから発信されるメールが個人情報を含んでいたとしても、この個人情報は、法形式上は、「個人データ」には該当せず、安全管理義務を負わないことになります。一方、サーバー内にログを残すシステムになっている場合で、システム上ログ内の情報を検索可能になっている場合には、「個人データ」に該当し、安全管理義務を負うことになります。
もっとも現在のところ、「メールで個人情報を送信すること」は、あまり望ましくないとは言われるものの、それが直ちに安全管理義務に反するものとは解されていません。メールＣＧＩの場合には、送信先のアドレスを間違えたり、サーバーに侵入されて、ログを取得されたり、送信先アドレスを書き換えられたり、自社内で傍受されたりすると安全管理義務違反があったとなる可能性が高いでしょう。
民法上は、メールの内容が漏洩することにより、個人のプライバシーが侵害される結果となった場合に、損害を賠償する義務が発生することとなります（民法７０９条）。これは単に個人情報が漏洩しただけではなく、漏洩した内容が、個人にとって秘匿を欲する内容であって、未だ公となっていない情報であることが必要です。さらに民法７０９条は過失責任規定ですので、過失無くして漏洩した場合には、賠償義務を負いません。過失とは「義務違反」をいうのですが、ネットワーク回線の傍受による漏洩の場合に過失が認定されるかについては、現在のところ先立つ裁判例が無く、未だ結論は出ていません。もっとも当職の私見としては、①送信されることとなる情報がプライバシー情報、決済情報、信用情報、センシティブ情報、企業秘密等高度に秘匿性が高い情報であって、②同種の情報についてはＳＳＬ等の暗号化措置を執って送信するのが一般的である場合や、漏洩した経路が、自社の構内でワイヤ・タッピングされるなど、自らの管理範囲下で行われた場合には過失が認定される可能性が高いでしょう。一方、①想定される情報が単なる問い合わせ情報等類型的に秘匿性が低いもので、②システムが単なる「メール送信システム」であることが明示されている場合には、過失が認定される可能性は低いでしょう。なお現在のインターネット関連システムの通常の技術水準からすると、後者の場合に、メール送信ＣＧＩを使用すること自体に過失であると認定される可能性は低いと思われます。

法律及び規格（ＪＩＳ Ｑ １５００１）上、本人の個人情報の中身そのものに関する規制は、正確性を保つということと、訂正削除に応じることのみです。本人に関する情報を管理する際、これらの規制を遵守している限りは、情報の追加、変更、修正にあたって本人の同意が必要になるということはありません。また正確性を保つという意味であれば、変更した方が望ましいという考え方もできるでしょう。もっとも個人情報保護の問題からは離れますが、本人に安心してもらうためにも、会社側で店番号を変更したということは、通知してあげた方が良いでしょう。

個人情報保護法が施行される前に入手していた個人情報については、入手当時の利用目的に年賀状やイベント案内の送付が含まれていたのであれば、個人情報保護法の施行後も、引き続き利用することができます。ただし会社としてその個人情報の利用目的を特定する作業を行うことと（同法15条1項）、特定された利用目的を公表しないと（同法1８条1項）、個人情報保護法に違反することになりますのでご注意ください。

個人情報保護法上の規制及びプライバシー権の侵害とならないかが一応問題となります。しかしながらどちらの場合も、本人の同意がある場合には、同意の範囲内において問題が発生することはありません。実務上重要なのは、その同意が法律上有効な同意といえるだけの条件を満たすために、同意を得るにあたっては、そのお客様が登場するページのゲラ等をきちんとご確認いただくこと、その季刊誌の頒布の範囲、部数、期間を事前にお伝えすることが重要です。

個人情報取扱事業者はあらかじめ本人の同意を得ない場合には個人情報を第三者に提供できません（個人情報保護法第２３条１項）。また個人情報取扱事業者に該当しないとしても、名簿の売買は、昨今の情報倫理上・個人情報保護意識からは許されるものではなく、また民事的な損害賠償の対象となる可能性がありますので厳に慎むべきです。

開示の求めを拒めるのは個人情報保護法上、
一　本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二　当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三　他の法令に違反することとなる場合
です。本人の健康状態の開示が一に該当する可能性はかなり低いでしょう。御社の業務が社員に秘匿されて初めて本来の目的を達成しうるものであれば二に該当する可能性はあります。しかし一般的には本人の健康状態を秘匿しないと目的を達成できないというのはまれなケースでしょう。そして一般の企業ではこういった情報の守秘義務を定める法律は見あたりません。そのため、三にも該当しないでしょう。
　結果、本人からの開示の求めには応じなければならないと思われます。

一般の企業向けとしては、経済産業省、厚生労働省より以下のガイドラインが示されています。なおこれらのガイドラインはよくある問題ついての一定の判断基準を示してはいますが、すべての課題を解決してくれるものではありません。個別具体的な問題については、アドバイザーに相談する等の対策が必要でしょう。

個人情報の保護に関する法律についての経済産業分野を対象としたガイドライン

雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針