| Question 質問 |
「個人情報の保護に関する法律」という名称ですが、そもそも『個人情報』とは、どのようなものが該当するのですか。また、『個人情報』を取扱うにあたっては、どのようなことを守らなければならないのでしょうか。 |
|---|---|
| Answer 回答 |
「個人情報の保護に関する法律」では、『個人情報』とは「生存する個人に関する情報であって、その情報に含まれる氏名、生年月日、その他の記述等により、特定の個人を識別することができるもの」とあります。具体的には、まず生きている人に関する情報であって、その情報により「○○さんだ!」とわかるものということになります。このため、氏名や住所はもちろん、映像や録音された音声も個人情報となります。 また、情報単体だけではわからない情報でも、他の情報と組み合わせることによって容易に識別可能な情報も該当します。例えば、「従業員番号」だけでは、誰の番号か識別できないので、個人情報ではないと思われがちですが、実際には、従業員名簿等に従業員番号が記述され、これらと照合することで、誰であるのかを特定できるので、たとえ「従業員番号」だけでも当該組織にとっては、個人情報となります。 『個人情報』を取扱う場合には、「あらかじめ利用目的を特定」(法第15条)し、さらに「本人に対して利用目的を通知(公表、明示、通知)」(法第18条)したうえで、「特定した利用目的の範囲内で利用」しなければなりません(法第16条)。当然ですが、「違法な取得」(法第17条)は禁止されています。 また、『個人情報』の取扱について苦情があった場合には、適切かつ迅速に対応するよう努めなければなりません(法第31条)。 |
| Question 質問 |
「個人情報の保護に関する法律」では、個人情報の一部を『個人データ』というそうですが、この『個人データ』とは、いったいどのような個人情報を指しているのですか。また、『個人データ』の場合は、どういったことを守らなければならないのでしょうか。 |
|---|---|
| Answer 回答 |
複数の個人情報を含む情報が集合しているものであり、一定の規則で整理されていたり、目次や索引、検索機能等により、特定の個人を検索することができるようになっているものを『個人情報データベース等』と言います。いわゆるコンピュータ上のデータベースはもちろん、台帳、カルテ(の集合物)、名簿等を指しています。市販の人名録や電話帳等もこれに該当します。 そして、『個人データ』とは、上記の『個人情報データベース等』を構成している個人情報のことを指しています。このため、たとえ一人の個人情報だけを個人情報データベースからプリントアウトしても、個人データとなります。 『個人データ』を取扱う場合には、「利用目的の達成に必要な範囲内において、正確かつ最新の内容を保つように努めなければなりません」(法第19条)。また、「個人データの漏えい、滅失又はき損等を防止その他の個人データの安全管理」(法第20条)を講じなければなりません。この安全管理の一環として、「(個人データを取扱う)従業者に対する必要かつ適切な監督」(法第21条)、「(委託において提供した)個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督」(法第22条)が求められています。 さらに「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりません」(法第23条)。 |
| Question 質問 |
「個人情報の保護に関する法律」では、個人データの一部をさらに『保有個人データ』と言うそうですが、この『保有個人データ』とは、いったいどのような個人データを指しているのですか。また、『保有個人データ』の場合は、どういったことを守らなければならないのでしょうか。 |
|---|---|
| Answer 回答 |
『保有個人データ』とは、『個人データ』のうち、内容を書き換えたり、削除したり、使うのを止めたりする権限を持っているものをいいます。ただし、6ヶ月以内に消去するもの又は、その存在が明らかになることにより公益又はその他の利益が害されるおそれがあるものは除かれます(法第2条5項)。 具体的には、従業員情報、顧客名簿等が該当します。なお、委託業務に伴い、委託元より一時的に提供されていて、自社の判断で内容を書き換えたり、利用を停止したりできない場合、あるいは自社で実施した顧客アンケート調査のようなものでも、6ヶ月以内に全て消去してしまう場合は、『個人データ』ではあっても、『保有個人データ』にはなりません。 また、自社に対するハードクレーマー情報といったものについても、自社の利益が害されるということで、『保有個人データ』にはなりません。 『保有個人データ』を取扱うにあたっては、「(保有個人データを保有している)個人情報取扱事業者の氏名又は名称、すべての保有個人データの利用目的、利用目的の通知・開示・訂正等・利用停止等・第三者提供の停止の手続き、苦情の申出先」を本人が知りうる状態におくようにします(法第24条)。 また、「本人又は代理人より、保有個人データの利用目的の通知、内容の開示を求められた場合に応じる」(法第24条・25条)、「本人からの保有個人データの内容の訂正等、利用停止等又は第三者への提供の停止を求められた場合にも、理由がある場合にはこれに応じる」(法第26・27条)ことが必要です。また、(もし求めに応じられない場合には)その理由を説明するよう努めなければなりません(法第28条)。 |
| Question 質問 |
「個人情報の保護に関する法律」では、ある一定量の『個人情報データベース等』を利用している事業者が『個人情報取扱事業者』として、法律の対象となると聞きました。この一定量とは、どの程度なのでしょうか。どのように数えるのでしょうか。 |
|---|---|
| Answer 回答 |
「個人情報の保護に関する法律」では、『個人情報データベース等』を事業に利用している者を『個人情報取扱事業者』とし、法律の対象としています。ただし、『個人情報データベース等』を構成する『個人データ』により、識別される個人の数が5,000を超えない場合には、この『個人情報取扱事業者』にはなりません。 この数の算定方法ですが、まず、組織内にある『個人情報データベース等』に該当するものを特定します。このなかから、電話会社の電話帳やカーナビ内のデータ、住宅地図等をそのままの内容で利用している場合には、これらを除きます。そして残った『個人情報データベース等』の中にある『個人データ』によって、何人の人が特定されるかを確認します。同一人物は1とします。この合計値が5,000を超えるかどうかということです。 ただし、この数字は、量からみて個人の権利利益を害する恐れが少ないものの目安に過ぎません。例えば、法務省のガイドラインのように、たとえ1件であってもガイドラインにもとづく管理対象とするというようなケースもあります。 また、周辺の同業他社が『個人情報取扱事業者』として個人情報の適正な管理のためのルールを整備しているのに、自社は対象外だから何もしないというのでは、ビジネスに支障が出る可能性があります。さらに、対事業所向けサービスを実施している企業等の場合には、「委託先の監督」(法第22条)により安全管理を求められる可能性が高いのです。このため、たとえ『個人情報取扱事業者』に該当しない可能性が高いとしても、ある程度「個人情報の保護に関する法律」への対応が必要です。 |
| Question 質問 |
当社では、訪問セールスのための顧客リストを作成するにあたり、NTTの電話帳を利用しています。具体的には、電話帳の中から、対象者の氏名と電話番号、住所を抽出し、表計算ソフトに入力して、リスト化しています。こうして作成した情報は、「個人情報の保護に関する法律」において禁止や制限されているのでしょうか。また、こうしたことを行う場合には、どのようなことに注意が必要なのでしょうか。 |
|---|---|
| Answer 回答 |
まず、電話帳は第三者にその情報を利用してもらうために作られているものですから、これから個人情報を収集することは、違法ではありません。ただし、広く一般に出回っているとしても、同窓会名簿や町内会名簿等のように、本来の目的であれば利用者がそのメンバーに限定されるようなものの場合は、注意が必要です。 最近は「会員以外の利用を禁止する」とか「会員相互の連絡のためのみに利用する」等のように利用者や利用目的を限定する記述が増えております。こうした記述がなされている場合には、そこから情報を取り出す行為は目的外の利用にあたり、本人の同意を得なければ(法第16条1項)違法なものとして許されません(法第17条)。 次に、電話帳からのように適正に取得した情報については、「個人情報を取得した場合には、あらかじめ利用目的を公表している場合を除き、速やかに、その利用目的を通知し、または公表しなければならない」(法第18条)とあります。そこで、利用目的をインターネット等であらかじめ公表するか、DM(ダイレクトメール)の送付や訪問にあたり利用目的を知らせる必要があります。 さらに、DMや訪問販売、勧誘のための電子メール等を実施する場合には、「特定商取引に関する法律」等も遵守する必要がありますので、確認が必要です。 |
| Question 質問 |
私は、ある企業の人事部で中途採用を担当しています。先日、記入内容に不備があったので、中途採用の応募者に電話で連絡をとりました。本人が不在であり、翌日が内部選考会だったので、家族の人から情報を収集しました。 このように、本人以外から『個人情報』を収集する行為は、「個人情報の保護に関する法律」では、禁止や制限されていないのでしょうか。また、こうしたことを行う場合には、どういった点に注意が必要なのでしょうか。 |
|---|---|
| Answer 回答 |
本人からはもちろん、本人以外の者から本人に関する情報を取得する場合にも、その『個人情報』を適正に取得することが必要です(法第17条)。ところで、「個人情報の保護に関する法律」は、本人の『個人情報』を取得する場合、必ず「本人の同意」を得ることを要求してはおらず、
従って本問の場合、あらかじめ本人に利用目的を通知又は公表していれば、本人以外から本人の個人情報を「適正に」取得することができます。そこで、本問の場合家族からの取得が適正なものであるかを吟味しましょう。 ところで、本法は、個人情報取扱業事業者が『個人情報』を第三者に提供するには「本人の同意」を要するとしています(法第23条)。家族は個人情報取扱業事業者でありませんから、直ちにこれに拘束はされません。しかし、この趣旨からみれば、本人が家族に自分の個人情報を伝えているのは、一般に家族だから安心して伝えているのであり、家族以外にそれが漏れないという信頼があるからでしょう。 まして、本問は、就職という人生の大切な事柄です。その情報を本人としてはどのような形で会社に伝えるのか、または伝えないのかの思いがあるでしょう。従って、家族としては、本人に相談し同意を得たうえで、会社に伝えるのが一般的なところでしょう。 そこで、本問のような場合、会社は家族に対して、本人に連絡をとってもらい、本人から直接、連絡をもらうという手順を踏むのが妥当なところと思われます。 |
| Question 質問 |
当社は、花の販売を手がけており、過去の顧客情報をデータ化して販促に利用したりしておりますので、いわゆる個人情報取扱事業者に該当すると認識しています。 受注にあたり、お客様から贈答ということで、注文されたご本人はもちろん、送り先の個人情報を入手しております。このような場合には、配送の都度、利用目的を通知しなければならないのでしょうか。 |
|---|---|
| Answer 回答 |
本問のように、花屋が注文を受けた花の配送を目的として『個人情報』を利用する行為は、「取得の状況からみて利用目的が明らかであると認められる場合」(法第18条4項四号)に該当しますので、「利用目的の通知」は不要です。 ただし、本問の場合には、「過去の顧客情報をデータ化して、販売促進に利用している」とのことです。花の配送を依頼した顧客にとって、提供した個人情報を受注や配送に利用することは明らかなのですが、「販売促進に利用される」ことは、明らかではありません。このような場合には、販売促進に利用するという利用目的の公表、明示、通知が必要です(法第18条3項)。 公表の場合は、自社のホームページや店内に表示します。また注文を受けたあとに商品に通知書を同梱するという方法もあります。なお、本人が直接注文用紙に記入するような場合には、さらに注文用紙等に利用目的を示すという方法も簡便なやり方です。 |
| Question 質問 |
レンタルビデオ店より「個人情報の利用目的の変更通知」が来ました。「レンタルビデオサービスに関する情報提供のため」という目的に「当社及び当社が情報提供を請け負った商品・サービスに関する情報を提供するため」を追加するという内容です。 変更前と後の目的に関連性があるとは思えません。これでは、レンタルビデオの会員になるために個人情報を提供したのに、無関係なDM(ダイレクトメール)や電話セールスを受けることになる恐れがあります。このようなことが許されるのでしょうか? |
|---|---|
| Answer 回答 |
本問のように、個人情報の利用目的を変更する場合には、「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない」(法第15条2項)とあります。非常に難しい判断になりますが、多くの人が「そんなことに利用されるとは思っていなかった」「関連性があるとは思えない」と考えるような変更は、相当の関連性があるとはいえません。 もし、関連性がある範囲内であれば、改めて利用目的の通知又は公表を実施します(法第18条3項)。しかし、関連性がないとなれば、目的外の利用になりますので、本人の「同意」が必要となります(法第16条1項)。ただし、変更後の目的が「法令にもとづく場合や人の生命、身体、財産の保護、公衆衛生の向上、児童の健全な育成など一定の要件を満たす場合」には、本人の同意を得なくても、新たな目的に利用することができます(第16条3項)。 本問のように、「利用目的の変更通知があったが、従前の利用目的と相当の関連性があるとは思えない」という場合には、事業者に対して「苦情」(法第31条)あるいは、「保有個人データの利用の停止」(法第27条)を申し出て、対応を求めることになります。 |
| Question 質問 |
レンタルビデオ店より「個人情報の利用目的の変更通知」が来ました。「レンタルビデオサービスに関する情報提供のため」という目的に「当社及び当社が情報提供を請け負った商品・サービスに関する情報を提供するため」を追加するという内容です。 変更前と後の目的に関連性があるとは思えません。これでは、レンタルビデオの会員になるために個人情報を提供したのに、無関係なDM(ダイレクトメール)や電話セールスを受けることになる恐れがあります。このようなことが許されるのでしょうか? |
|---|---|
| Answer 回答 |
本問のように、個人情報の利用目的を変更する場合には、「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない」(法第15条2項)とあります。非常に難しい判断になりますが、多くの人が「そんなことに利用されるとは思っていなかった」「関連性があるとは思えない」と考えるような変更は、相当の関連性があるとはいえません。 もし、関連性がある範囲内であれば、改めて利用目的の通知又は公表を実施します(法第18条3項)。しかし、関連性がないとなれば、目的外の利用になりますので、本人の「同意」が必要となります(法第16条1項)。ただし、変更後の目的が「法令にもとづく場合や人の生命、身体、財産の保護、公衆衛生の向上、児童の健全な育成など一定の要件を満たす場合」には、本人の同意を得なくても、新たな目的に利用することができます(第16条3項)。 本問のように、「利用目的の変更通知があったが、従前の利用目的と相当の関連性があるとは思えない」という場合には、事業者に対して「苦情」(法第31条)あるいは、「保有個人データの利用の停止」(法第27条)を申し出て、対応を求めることになります。 |
| Question 質問 |
レンタルビデオ店より「個人情報の利用目的の変更通知」が来ました。「レンタルビデオサービスに関する情報提供のため」という目的に「当社及び当社が情報提供を請け負った商品・サービスに関する情報を提供するため」を追加するという内容です。 変更前と後の目的に関連性があるとは思えません。これでは、レンタルビデオの会員になるために個人情報を提供したのに、無関係なDM(ダイレクトメール)や電話セールスを受けることになる恐れがあります。このようなことが許されるのでしょうか? |
|---|---|
| Answer 回答 |
本問のように、個人情報の利用目的を変更する場合には、「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない」(法第15条2項)とあります。非常に難しい判断になりますが、多くの人が「そんなことに利用されるとは思っていなかった」「関連性があるとは思えない」と考えるような変更は、相当の関連性があるとはいえません。 もし、関連性がある範囲内であれば、改めて利用目的の通知又は公表を実施します(法第18条3項)。しかし、関連性がないとなれば、目的外の利用になりますので、本人の「同意」が必要となります(法第16条1項)。ただし、変更後の目的が「法令にもとづく場合や人の生命、身体、財産の保護、公衆衛生の向上、児童の健全な育成など一定の要件を満たす場合」には、本人の同意を得なくても、新たな目的に利用することができます(第16条3項)。 本問のように、「利用目的の変更通知があったが、従前の利用目的と相当の関連性があるとは思えない」という場合には、事業者に対して「苦情」(法第31条)あるいは、「保有個人データの利用の停止」(法第27条)を申し出て、対応を求めることになります。 |
| Question 質問 |
当社は、食品の通信販売を手がけており、商品の受発注等のために、ほとんどの従業員が、多くの個人データを取扱っています。 このような場合、「従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない」(法第21条)とありますが、「従業者への監督」とは、どのようなことを実施するのでしょうか。 |
|---|---|
| Answer 回答 |
「従業者への監督」として実施すべき事項としては、『個人データの取扱ルールの整備』『教育の実施』『罰則の整備』『誓約書の締結』があります。 『個人データの取扱ルールの整備』では、各部門の意見をよく聞き、当社の実情にあった合理的な手順を整備します。 『教育の実施』では、従業員に対して「個人情報は顧客との信頼関係の中でお預かりした重要なものであり、取扱に注意が必要である」ということを自覚させ、個人情報の取扱に関する具体的な手順を教えます。 『罰則の整備』では、個人情報の取扱に関する社内ルールに違反した者に対する、再教育や処罰といったペナルティを定めます。ただし、減給や解雇といった制裁的な罰則を定める場合には、労働組合や従業員代表と協議し、就業規則に定める必要があります。 『誓約書の締結』では、役員を含む従業員に対して、社内のルールを理解し、遵守するという意思を確認します。当然、個人情報の取扱ルールを整備し、従業員に説明したうえで締結する必要があります。 |
| Question 質問 |
当社では、「従業員の給与計算」「申込書の入力作業」「DM(ダイレクトメール)の発送」等を外部に委託しています。このように、大量の個人データを預ける業務を委託する場合には、「委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」(法第22条)とありますが、当社として、具体的にどのようなことを実施すればよいのでしょうか。 |
|---|---|
| Answer 回答 |
検索可能な状態にした個人データについて、委託元の責任として求められていることは、「委託した個人データについて、適正な安全管理の水準を確保せよ」ということです。 具体策としては、『安全管理水準の設定』『水準にもとづく委託先の選定』『契約書への明記』『監査による確認』が必要となります。 『安全管理水準の設定』とは、委託先に対して自社から一時的に提供する個人データの漏えいや滅失等を防止するための対策として、どの程度の事を求めるかを決めることです。そして、『水準にもとづく委託先の選定』を行います。 委託先が決まれば、「安全管理に関する具体的な指示の遵守」「安全管理が遵守されていることの確認(報告及び監査)」「事件事故が発生した場合の報告義務」「事件事故が発生した場合の責任分担」といったことを『契約書への明記』します。 最後に『監査による確認』として、要求した安全管理が実際に行われているか否かを保管場所や作業場所に出向いて確認します。 全ての業務委託に対して、これらを実施するのは大変ですので、提供する個人データの量や内容により、どこまで実施するのかを決める必要があります。これらの方法による委託先の監督が不充分な場合、当社は委託先の監督責任を追及されることになります。 |
| Question 質問 |
当社は、顧客に対するアンケート調査を定期的に実施しております。この個人データを商品開発に利用するため、分析を調査会社に委託することにしました。 大量の個人データを預けるわけですから、個人データの管理体制の整備と過去の事故発生の有無を基準に業者を選定し、必要事項を盛り込んだ契約を交わしました。 これから、具体的な安全管理について要求しますが、どのような項目を含めればよいのでしょうか。 |
|---|---|
| Answer 回答 |
委託先に対する安全管理の要求は、できるだけ具体的に示す必要があります。また、変更することもあるので、基本的な要求事項は、両者の合意にもとづいて作る「契約書」とします。そして、技術的なことは、委託者からの指示により、柔軟に詳細化や修正ができる指示書の形式によることにしておくのが便利でしょう。 項目としては、個人データを提供するプロセスを『提供(移送)』『保管』『複写・複製』『利用・加工』『廃棄・返却』等に区分して、それぞれのプロセスごとに、個人データの取扱についての手順や注意事項、禁止事項を決めていきます。 例えば、『提供(移送)』では、「郵送する」のか、「受託者が取りにいく」のかといった手段や、「電子データ」「書類」といった形式、あるいは、「受取証を発行する」といったことを決めます。さらに、「ファイルを暗号化する」とか、「必ず自社の正社員が回収に来る」といった注意事項を決めるのです。 ただし、経済産業省のガイドラインにおいて「優越的地位にある者が委託者の場合、受託者に不当な負担を課すことがあってはならない」とありますので、過重なコスト負担となるものなど過度な安全管理を求めるのは好ましくありません。 やはり、委託先の選定と同じように、上記の内容を全て詳細に決めるのは大変ですので、対象となる個人データの量や内容よって、要求の内容を考える必要があります |
| Question 質問 |
当社は、印刷及び印刷に関連する幅広い業務を手がけており、名簿類の印刷、DM(ダイレクトメール)の発送代行、マーケティング調査の実施やデータ類の入力・分析等の場面で、顧客から個人データをお預かりしております。 当社のように、大量の個人データをお預かりするような業務を受託する企業としては、どのようなことに注意する必要があるのでしょうか。 |
|---|---|
| Answer 回答 |
本問のように大量の個人データを預かる企業では、以下のような点に注意が必要です。 まず、委託先の選定段階で、委託元が個人データの安全管理として、どの程度の水準を求めているのかを確認します。自社の安全管理の水準が委託元の要求より低い場合には、早急に対策を考える必要があります。 次に、契約する場合には、契約書の内容を確認します。特に、事故が発生した場合の責任分担、具体的には損害賠償の記述に注意してください。以前は有限責任的な記述が一般的でしたが、最近は無限責任的な記述が増えています。無限責任の場合には、法外な損害賠償を求められる可能性があります。 さらに、具体的な安全管理策を取り決める場合には、実行可能な安全管理策となるよう交渉します。また、本人からの開示請求・訂正・利用停止の請求があった場合、委託先との連絡、指示の手続等の対応についての確認も必要です。 もし、事件事故が発生したり、あるいは委託者の監査を受けたときに、要求された安全管理のレベルを満たしていないことが発覚した場合には、受注の継続はおろか、業界内での信頼を失う可能性があります。 |
| Question 質問 |
当社は医療検査会社ですが、委託元である医療機関より、「将来的に委託先選定の必須要件とするから、早急にプライバシーマークの付与認定を受けるように」と要求されました。なぜ、このようなことを委託元より要求されるのでしょうか。 当社は、これまでも検体に関する情報の取扱について、自社内でルールを決めて実行しており、漏えい事件等の発生もありません。それでも、プライバシーマークの付与認定が必要なのでしょうか。 |
|---|---|
| Answer 回答 |
業務委託に伴い、他社に対して自社の個人データを一時的に提供する場合には、「個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」(法第22条)ということになっています。このため、自社の求める安全管理の水準を充足しているか否かを判断するための材料として、プライバシーマークを利用するケースが増えており、委託先の選定条件とするところも現れています。 しかし、経済産業省のガイドラインにおいて「優越的な地位のある者が委託者の場合、受託者に不当な負担を課すことがあってはならない」としています。このガイドラインに配慮し、契約交渉を進めましょう。 本問の場合においても、委託先の選定条件となる予定のようですが、自社の個人データの安全管理体制について、個別に説明して理解を求めるという方法があります。しかし、こうした対応が不可能な場合には、受注を継続するためにプライバシーマークの付与認定に取組むか否かは、最終的には当社の経営判断に委ねるしかありません。 プライバシーマークは、あくまで管理のための体制が整備されていることを確認するものにすぎず、委託業務を遂行するにあたって必要な個別の具体的な安全管理を保障するものではありません。 |