OECDがプライバシーガイドラインのPart 2の中で上げた8原則。原文では、第7節から14節にあたる。
(1) 収集制限の原則 (Collection Limitation)
- 個人データの収集には制限を設けるべきであり、そのようなデータはすべて、合法かつ公正な手段によって、また適切な場合には、データ主体の知識または同意を得て取得されるべきである。
(2) データ品質の原則 (Data Quality)
- 個人データは、その利用目的に関連したものであるべきであり、その目的に必要な範囲内で、正確で、完全で、最新の状態に保たれるべきである。
(3) 目的明確化の原則 (Purpose Specification)
- 個人データを収集する目的は、遅くともデータ収集時までに明確にされるべきであり、その後の利用は、それらの目的の達成または目的変更の都度明確にされるそれまでのものと相反さない目的に限定されるべきである。
(4) 利用制限の原則 (Use Limitation)
- 個人データは、第9項に従って明確にされた目的以外には、以下の場合を除き、開示、利用可能とすること、またはその他の方法で使用されるべきではない:
a) データ主体の同意がある場合、または
b) 法律の規定による場合
(5) 安全保護の原則 (Security Safeguards)
- 個人データは、データの喪失もしくは不正アクセス、破壊、使用、修正または開示等のリスクに対して、合理的な安全保護措置により保護されるべきである。
(6) 公開の原則 (Openness)
- 個人データに関する展開、実務および方針について、一般的な公開の方針が存在すべきである。個人データの存在と性質、その主な利用目的、ならびにデータ管理者の身元および通常の所在地を確認する手段が容易に利用可能であるべきである。
(7) 個人参加の原則 (Individual Participation)
- 個人は以下の権利を有するべきである:
a) データ管理者から、または他の方法で、データ管理者が自己に関するデータを保有しているか否かの確認を得ること
b) 自己に関するデータについて、以下の方法で通知を受けること
i. 合理的な期間内に
ii. 過度ではない料金(もしあれば)で
iii. 合理的な方法で
iv. 本人に容易に理解できる形式で
c) (a)および(b)に基づく要求が拒否された場合にその理由の説明を受け、そのような拒否に対して異議を申し立てることができること
d) 自己に関するデータに対して異議を申し立て、その異議が認められた場合には、そのデータを消去、訂正、完全化または修正させること
(8) 責任の原則 (Accountability)
- データ管理者は、上記の原則を実現するための措置の遵守について責任を負うべきである。