個人情報取扱事業者にはさまざまな義務が課せられます。
下記に詳細を記述しますが、簡単にいうと 「目的をはっきりさせて、正当な方法で収集、保管し、安全に管理。

個人データはその本人のもので事業者は預かっているという認識が必要です。

その本人からの申し出（訂正・削除など）には応じなければならない」 ということです。

【定義1：利用目的の特定・制限・通知・公表】

個人情報保護法第１５条に 「個人情報取扱事業者は、個人情報を取り扱うに当たっては、 その利用の目的をできる限り特定しなければならない。」とあります。

「できる限り特定」というのは 「事業活動に用いるため個人情報を利用します」や 「マーケティング活動に用いるため個人情報を利用します」でなく、 「新商品・サービスに関する情報のお知らせのために利用致します。」 のように利用目的を特定しなければなりません。

また個人情報を「第三者に提供」する場合はその旨も特定する必要があります。

【定義２：保有個人データの適正管理・利用・第三者提供の制限】

個人情報保護法第２０条で 「個人情報取扱事業者は、その取り扱う個人データの漏洩、 滅失又はき損の防止その他の個人データの安全管理のために 必要かつ適切な措置を講じなければならない。」とあります。

個人情報取扱事業者が最も真剣に取り組まなければならない対策がこの部分です。

【定義３：保有個人データに関する事項の公表・開示・訂正・利用停止・理由の説明】

個人情報保護法第２４条で 「個人情報取扱事業者は本人から、当該本人が識別される 保有個人データの利用目的の通知を求められたときは、本人に対し遅滞なく、 これを通知しなければならない」また個人情報保護法第２６条で 「内容が事実でないという理由によって該当保有個人データ（※）内容の訂正、 追加又は削除を求められた場合には、その内容の訂正等を行わなければならない。」 とあります。

保持している個人データの内容や利用目的や訂正、削除は、 本人の求めに応じて、遅滞無く通知しなければなりません。

ただし、開示することで本人又は第三者の生命、身体、 財産その他の権利利益を害する恐れがある場合には開示拒否できます。
※「保有個人データ」とは？ 「保有個人データ」と「個人データ」は、その内容ではなく、形態で行います。

「個人データ」のうち、 公的な安全が脅かされるものと六ヶ月内に消去するものを除いたものが、 「保有個人データ」です。

【定義４：本人の権利への対応】

個人情報保護法第２９条で 「（１）開示受付方法の設定、（２）本人確認の実施、（３）代理人による開示請求 （４）本人に過重な負担を強いてはならない」とあります。

個人情報保護法第３０条では 「合理的な範囲で手数料を徴収することができる。」とあります。

個人データの開示を実施する際は上記の方法を定めることができます。 開示とは個人データの利用目的の通知、開示、訂正、追加又は削除、利用の停止又は消去、 第三者への提供の停止のことを示しています

【定義５：苦情の処理】

個人情報保護法第３１条で「個人情報取扱事業者は、個人情報の取扱いに関する苦情の 適切かつ迅速な処理に努めなければならない」とあります。

個人情報取扱事業者は本人からの苦情に対する体制を確立しておかなければなりません。

重大な内容でも事業者の対応が不十分な場合は主務大臣からの 「事情聴取」→「助言」→「勧告」→「命令」と発せられ、 命令違反には厳しい罰則が課せられます。

（罰則については「個人情報保護法違反について正しく理解しましょう」を参照してください） 命令違反によって刑事罰が課せられた時点で新聞やテレビで報道され、社会的評価が大きく失墜してしまい、再び信頼を得るのは大変困難なことでしょう。