定めた目的以外の利用は本人の同意が必要になるので、あらかじめ具体的かつ利用目的を網羅しておく必要がある。

具体的な例

「当社商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」

具体的でない例

「当社の事業活動に用いるため」、「弊社が提供するサービスの向上のため」、「マーケティング活動に用いるため」

　利用目的をあらかじめ本人に通知するか、ポスター・パンフレットなどで掲示するか、ホームページへ掲載して公表しなければならない。ただし、次の場合は不要。

　例１　商品・サービスを販売・提供するために住所等を取得する場合
　例２　一般の慣行として名刺交換し、連絡のために利用する場合

　利用目的に応じて、その必要な範囲内で正確に、最新の内容にしておく（常に最新の内容に保つ必要はない）。

　漏洩した場合のリスクに応じた対応が必要になるが、最低、次のようなことにならないようにしておく。

1. 公開されることを前提としていない個人データが事業者のウェブ画面上で不特定多数に公開されている状態を放置している場合。
2. 組織変更が行われ、個人データにアクセスする必要がなくなった従事者が個人データにアクセスできる状態を放置していた場合で、その従事者が個人データを漏洩した場合。
3. 本人が継続的にサービスを受けるために登録していた個人データが、システム障害により破損したが、バックアップも破損し、個人データが復旧できず本人がサービスの提供を受けられなくなった場合。
4. 個人データに対してアクセス制御が実施されておらず、アクセスを許可されていない従業者がそこから個人データを入手して漏洩した場合。
5. 個人データをバックアップした媒体が、持ち出しを許可されていない者により持ち出し可能な状態になっており、その媒体が持ち出されてしまった場合。

　また、次のような組織的、人的、物理的、技術的に個人データの安全管理を行うことが必要になっている。

１．組織的安全管理措置

1. 個人データを扱う担当者を限定する。
2. 個人データの取扱いに関する規定等の整備とそれらに従った運用
   次のWebページにひな型がダウンロードできるので参考にしてください。
   http://internet.impress.co.jp/books/2081/dl/
3. 個人データについて、取得する項目、利用目的、保管場所、担当者など取扱に必要な情報を記入した台帳を整備する。
4. 個人データの管理状況の監査を定期的に行う。
5. 個人データの漏洩等の事故が発生した場合、事実関係、再発防止策を公表する。

２．人的安全管理措置

1. 雇用契約時及び委託契約時における非開示契約の締結
   　　　これも先のWebページにひな型があります。
2. 従業者に対する教育・訓練の実施

３．物理的安全管理措置

1. 入退館（室）管理の実施
2. 盗難等の防止
3. 機器・装置等の物理的な保護

４．技術的安全管理措置

1. 個人データにはパスワードを付ける。
2. 個人データへは担当者以外見ることができないようにする。
3. 個人データのアクセスの記録をとる。
4. 個人データを取り扱う情報システムにはウイルス対策、システムのアップデートを行う。
5. 個人データを郵送、ネットワークで送る場合は暗号化する。
6. 個人データを取り扱う情報システムの利用状況の定期的な監視

　中小企業では行うことが難しいものもありますが、取り扱っている個人情報が漏洩した場合の損失の大きさに応じた対応を行ってください。また、デジタルデータでない紙に書かれている情報の場合などは、その性質に応じて、（４）などは不要となります。