個人情報取扱事業者には、以下のような義務が定められています。
1)個人情報を取り扱うに当っては、その利用目的をできる限り特定しなければなりません。
2) あらかじめ、本人の同意を得ないで特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはなりません。
3) 合併その他の事由により、他の個人情報取扱事業者から承継することに伴って個人情報を取得した場合、あらかじめ本人の同意を得ないで、継承前における該当個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはなりません。
4)偽り、その他不正な手段により、個人情報を取得してはなりません。
5) 個人情報を取得した場合(たとえば、インターネット、官報、職員録等から個人情報を取得する場合や、第三者から個人情報の提供を受ける場合など)は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表しなければなりません。
なお、第三者提供については、以下のような制限があります。
・あらかじめ、本人の同意を得ないで、他の事業者など第三者に個人データを提供してはなりません。
・本人の求めに応じて、第三者提供を停止することとしており、一定の事項をあらかじめ通知等しているときは、本人の同意を得ずに第三者に提供する事が可能です。
・委託の場合、合併等の場合、一定事項の通知等を行い特定の者と共同利用する場合は第三者提供とはみなされません。
6) 利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければなりません。
