個人情報保護法（平成15年法律第57号）の2005年4月1日施行に向けて、民間事業者は図のような個人情報保護の仕組みを作らなければならない。 　今回はその中の、（1）目的を明確にする、（2）適法で適正な手段で収集する、（3）収集目的以外の利用をしない──の3点について、個人情報保護法と「JIS Q 15001」から何が要求されるかをみてみよう。（TBCソリューションズ主任コンサルタント　植野俊雄）

●目的を明確にする

　個人情報の収集にあたっては、まず組織内で収集目的を明確にし、収集前に個人に伝えなければならない。

●収集は適法で適正な手段で行う

　個人情報の収集は、適法、かつ公正な手段によって行い、偽りや不正があってはならない。また、思想信条、差別の原因になる事項、保健医療などの特定の機微な個人情報の収集、利用、提供を行ってはならない（例外はある）。

●収集目的以外の利用をしない

　前記で明確にし、本人に伝えた利用目的の範囲を超えて、個人情報を収集、利用、提供してはならない。収集目的の範囲外で個人情報の利用および提供を行う場合は、情報主体に通知し、同意を得なければならない。

　表に条項番号を示す。条項を理解し、遵守しなければならない。

　次回は、（4）データ内容を適正（完全で最新状態）に保つ、（5）データを安全に保護する──の2点を見てみよう。