叡智の三猿

~森羅万象を情報セキュリティで捉える~

OECD8原則:気になる情報セキュリティ用語

個人情報保護の原則となったガイドラインが、1980年にOECD経済協力開発機構)から公表された「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告(通称、OECD8原則)」です。

OECD8原則

  1. 収集制限の原則:個人データは、適法・公正な手段により、かつ情報主体に通知または同意を得て収集されるべきである。
  2. データ内容の原則:収集するデータは、利用目的に沿ったもので、かつ、正確・完全・最新であるべきである。
  3. 目的明確化の原則:収集目的を明確にし、データ利用は収集目的に合致するべきである。
  4. 利用制限の原則:データ主体の同意がある場合や法律の規定による場合を除いて、収集したデータを目的以外に利用してはならない。
  5. 安全保護の原則:合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護するべきである。
  6. 公開の原則:データ収集の実施方針等を公開し、データの所在、利用目的、管理者等を明示するべきである。
  7. 個人参加の原則:データ主体に対して、自己に関するデータの所在及び内容を確認させ、または異議申立を保証するべきである。
  8. 責任の原則:データの管理者は諸原則実施の責任を有する。

OECDプライバシー・ガイドラインの8原則において、「利用制限の原則」では、個人データの収集には制限を設けるべきであり、いかなる個人データも、適法かつ公正な手段によって、かつ適当な場合には、データ主体に知らしめまたは同意を得たうえで、収集されるべきであるとしている。
~「情報セキュリティ管理士・公式問題集」より




「個人データの収集には制限を設けるべきであり、いかなる個人データも、適法かつ公正な手段によって、かつ適当な場合には、データ主体に知らしめまたは同意を得たうえで、収集されるべきであるとしている。」に基づくのは「収集制限の原則」にあたります。