| Question 質問 |
当社はある業界団体ですが、団体の親睦の一環として、会員企業の経営者の自宅住所や電話番号、顔写真等を記載した名簿を作成し、会員に配布しています。もし、これを一般に販売すると、『第三者提供』にあたるのでしょうが、会員に限定して配布する場合にも、『第三者提供』に該当するのでしょうか。 また、このような場合には、どのような手続きが必要なのでしょうか。 |
|---|---|
| Answer 回答 |
名簿を作成し配布する行為は、配布先が会員であったとしても、本人と事業者以外にあたりますので、『第三者提供』となります。 『第三者提供』の場合は「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」(法第23条)とありますので、本人の同意が必要です。 具体的には、入会の際に名簿を作成して会員に配布することを説明し、同意の意思表示を求めます。意思表示ですので口頭でもよいですが、書面で得ておいたほうが賢明です。 法律上の義務ではありませんが、名簿の悪用を防止するために「会員間の連絡のため」や「営利目的の利用を禁止する」といった利用目的や利用の制限を名簿に記入するとともに、名簿に番号をつけ、誰に配布したのかが確認できるようにするといった対応をしておくと、よいでしょう。 なお、同意を得ないで第三者提供する方法として、『オプトアウト』という手法があります。しかし、これは「第三者への提供を利用目的とすること」(法第23条2項)との制限があるように、電話帳や住宅地図、データベースの作成・販売業者の保護を対象とした方法なので、本問のような場合は、利用しないほうが賢明です。 |
| Question 質問 |
当社は、ある企業と業務提携することになりました。業務提携の一環として、当社の社員の中から数名を出向させることになりました。出向者の選定にあたり、先方企業より、当社も選定に参加したいとの意向がありました。 出向候補者の情報を先方企業に提供する場合、どのような手続きが必要なのでしょうか。また、提供する場合には、どのようなことに注意する必要があるのでしょうか。 |
|---|---|
| Answer 回答 |
本問の場合、出向先企業に対して候補者の情報を提供することは、個人データの第三者提供にあたりますので、本人の同意が必要です(法第23条)。 しかし、候補の段階で個別に本人に同意を得ることは、業務上問題があります。そこで、対象となる可能性のある社員全員に対して、あらかじめ書面で同意を得ておきます。 さらに、法律上の義務ではありませんが、従業員の個人情報を保護するために、提供にあたっては、出向先企業による目的外の利用や漏えい等を防止する措置をとることが必要です。例えば、選考会を自社内で実施し、出向先企業は個人データを閲覧のみとし、持ち出させないようにする。あるいは、機密保持契約を結び、複写・複製を禁止するとともに、選考の終了後は返却を義務付けるといったことを実施します。 一部の専門家により、「就業規則に記述がある場合には、同意の意思表示があったとみなせる」との意見がありますが、現段階では別途同意を得るほうが安全です。また、「本人の同意を得ることにより業務に支障を及ぼす」(法第23条1項四号)場合に該当し、本人の同意は不要という意見もありますが、これは、国や地方公共団体等に関する例外事項であり、一般の事業者等への第三者提供には適用されません。 |
| Question 質問 |
当社は、近隣の複数の会社と共同で、会員制のリゾートクラブ事業を行っています。このため、当社の子会社はもちろん、複数の会社との間で、会員情報を利用しています。こうした場合は、「個人情報の保護に関する法律」で言う『共同利用』に該当するのですか。 『共同利用』となる場合には、どのような手続きが必要なのでしょうか。また、どのようなことに注意すればよいのでしょうか。 |
|---|---|
| Answer 回答 |
本問の場合、会員の『個人データ』を複数の企業で共同して利用していますので、いわゆる『共同利用』ということになります。このような場合には、法第23条4項にある共同利用としての手続きが必要です。 『共同利用』の場合は、あらかじめ以下に示す事項を、本人に通知するか、本人が容易に知ることができるようにしておく必要があります。具体的には、入会申込用紙に記述したり、店舗やホームページに掲載します。
なお「当該個人データの管理について責任を有する者」とは、個人データに関する苦情対応や開示・訂正・利用停止、安全管理に対する責任を与えられている者ということですので、複数でもよいとされています。 また、『共同利用』にあたっては、共同利用する企業の間で、個人データの安全管理のレベルを一定水準以上としておくとともに、開示・訂正・利用停止等で個人データに変更があった場合も、すみやかに共同利用者全員に反映できるようにすることが必要です。 |
| Question 質問 |
ある日、「私の個人情報として、御社が持っているものを全て開示しなさい」と会社に対して連絡がありました。こうした場合、「〜遅滞なく、当該保有個人データを開示しなければならない」(法第25条)とありますが、即答できないとだめなのでしょうか。また、具体的な開示の方法として、どのようにすればよいのでしょうか。 |
|---|---|
| Answer 回答 |
『開示請求』があった場合には、以下のような手続きで行います。 まず、『開示請求』は、本人あるいは代理人しか請求できませんので、本人あるいは代理人であることを確認します。 次に、『開示請求』に応じなければならないのは、保有個人データのみですので、自社の保有個人データの中から、請求者に該当する情報を抽出します。そして、開示する前に、法第25条をもとに、開示してもよい情報であるかを確認します。 開示する場合には、書面あるいは本人と同意した方法で行います(施行令第6条)。もし、全部あるいは一部を開示できない場合には、できる限り理由を説明するように努めます(法第28条)。 『開示請求』で注意しなければならないのは、「なりすまし」です。防止策としては、請求があった段階で、以前から会社で把握している電話番号に折り返し連絡する。あるいは、書面を送付する際に、以前から会社で把握している本人の住所に郵送するという方法が簡易で実用的です。請求から開示までにはこのようなプロセスが必要ですので、設問のように「即答」する必要はありません。 ただし、労働安全衛生法や保険業法、商法等で開示請求権が定められている場合については、これらの個別法が優先しますので、個別法に則った対応が必要です。 |
| Question 質問 |
当社の顧客の代理人という人から「保有個人データの開示を請求したい」との連絡をうけました。本人以外の人に、『保有個人データ』の内容を開示してもよいのですか。また、開示する場合にどのようなことに注意が必要なのでしょうか。 |
|---|---|
| Answer 回答 |
個人情報取扱事業者は、本人から「本人が識別される保有個人データ」の利用目的の通知、開示、または訂正・追加・削除、あるいは、利用の停止・消去、第三者提供の停止の求め(以下「開示等の求め」という)について、それを受け付ける方法を定めることができます。(法第29条1項)。その受け付け方法としては、(a)開示等の求めの申出先、(b)その際、提出すべき書面の様式、その他の開示等の求めの方式、(c)開示等の求めをする本人又は代理人の確認の方法、(d)その手数料の徴収方法などを規定しています(施行令第7条)。 この開示等の求めは、本人の代理人によってもおこなうことができます(法第29条3項)。その代理人には、次の二つの場合が含まれます。
まず、本人が自ら開示等の求めを行ってきた場合、会社は、前記(a)〜(d)までの手続きに従って、処理をしていきます。その際、本人確認がとても大切です。運転免許証、健康保険の被保険者証、旅券等により慎重に確認して下さい。 また、上記(2)の任意代理人による場合は、本人のほか、代理人についても同一性の確認と委任状の確認を行って下さい。委任状については、具体的な委任事項(何についての開示や訂正か…)をよく確認し、その範囲で「求める事項」を処理して下さい。 さらに(1)の法定代理人のときは、本人に能力がない場合ですから委任状は無意味です。その代わりに、親権者であること、後見人であることを証明書などにより確認して下さい。 |
| Question 質問 |
最近、母校の私立大学より、寄付金や大学のイベントへの協力金の依頼、学校の発刊した書籍の販売等を目的としたDMや電話が頻繁にくるようになりました。こうした行為は、「個人情報の保護に関する法律」に違反とならないのでしょうか。また、こうした利用を止めてもらいたいのですが、止めてもらうことは可能なのでしょうか。 |
|---|---|
| Answer 回答 |
もし、入学あるいは卒業にあたり、すでに上記のような利用目的が通知されていた場合、あるいは、上記のような利用目的が、当該学校のインターネット等で公表されている場合には、学校としては、「個人情報の保護に関する法律」における義務に違反しているとはいえません。 法第27条では、保有個人データについて利用停止の請求を受けた事業者は、通知を受けていた利用目的の範囲を超えた利用が行われていた場合(法第16条違反)と、違法な方法で取得されたものである場合(法第17条違反)の場合にのみ、これに応じなければならないとあります。このため、公表や通知の手続きが行われていた場合には、利用停止を請求しても、応じられない可能性があります。 もし、「個人情報の保護に関する法律」の施行前後に、当該私立大学より、個人データの利用目的についての通知や公表があり、その中に上記のようなDMや電話勧誘に関する記述がなかった場合には、利用目的の範囲を超えた利用である(第16条違反)という理由で、利用停止を求めることができます。 |
| Question 質問 |
当社の営業マンが、帰宅途中にかばんをひったくられ、顧客名簿を盗まれてしまいました。顧客名簿には、当社の商品購入者の約1,000人の住所、氏名、電話番号、購入した商品の管理番号等が記載されています。 このような場合に、会社としては何をする必要があるのでしょうか。また、こうした個人情報に関する事件が発生した場合に備えるためには、どのような準備が必要なのでしょうか。 |
|---|---|
| Answer 回答 |
個人情報の漏えい事件が発生した場合には、次のようなことを実施する必要があります。 まず『状況把握』として、盗難された個人情報の内容や量、対象者、発生の状況、犯罪に利用されたかどうかなどについて、早急に確認します。 次に、『二次被害の防止』として、盗難された名簿等により特定される本人に対して、盗難の経緯や犯罪等への利用可能性があることを知らせます。当該本人を特定できないような場合には、マスコミを通じて公表することも必要です。 『関係機関への通報・連絡』としては、上記のように犯罪性が高い場合には、警察への連絡が必要です。また、省庁のガイドラインにおいて、所管官庁への報告を求められている場合には、所管官庁への報告が必要となります。 最後に『再発防止策の検討』として、事件の原因を究明し、再度同じような事件が発生しないよう、必要な対策をとる必要があります。 上記の一連の対応は、迅速性と確実性が要求されます。そこで、あらかじめ個人情報に関する事件が発生した場合に、対策を検討・実施するための体制と役割、検討すべき項目について取り決めておくことが必要です。 |
| Question 質問 |
当社の従業員が、会社に無断で顧客データ(氏名、住所、クレジットカードの番号、商品の購入履歴、等)を持出し、インターネット上で販売していました。某新聞社より連絡をうけて発覚しました。発覚後は、直ちにインターネット上での販売を中止させ、警察に通報しました。 このように、従業員が会社の個人データを意図的に漏えいさせた場合、会社としてどのような責任を問われるのでしょうか。 |
|---|---|
| Answer 回答 |
本問のような漏えい事件の場合、「自社こそ被害者」との錯覚に陥ることがあります。確かに従業員と会社との間では、会社は被害者と考えることができます。しかし、顧客の個人情報は、会社がお預かりしたものですから、顧客に対する責任は、会社にもあります。 第1に、会社は従業員に対して、『個人データ』の安全管理が図られるように、必要かつ適切な監督を行わなければなりません(法第21条)。 これに違反した場合、まず、「個人情報の保護に関する法律」においては、その程度に応じて、主務大臣の報告の徴取、助言、勧告、命令の措置がなされ(法第32〜34条)、さらにこの命令に違反すれば違反者と会社に刑罰が科せられます(法第56、58条)。 第2に漏洩された個人情報、個人データ、さらに保有個人データについて、それが本人のプライバシー、名誉、信用等にかかるものであれば、従業員は故意、過失により違法なことを行ったとして不法行為による損害賠償責任に問われます(民法第709、710条)。 会社も、従業員に対する監督を怠ったとして、使用者責任による損害賠償を追及されます(民法第715条)。 責任の内容ですが、いったん漏えいした個人情報を全て回収することは実質的に不可能なので、本人から請求があった場合には、賠償金によって解決することになります。 「漏えいしたこと」に対する賠償額としては、1人当たり1万円〜40万円の判例があります。金額の違いは、漏洩した個人情報の内容によるものです。しかし、仮に漏洩した個人情報が犯罪に利用されたり、差別につながり深い精神的な苦痛を受けたといった別の損害が発生した場合には、これ以上の賠償額となる可能性があります。 第3に、会社は従業員に対して、営業秘密の漏えい等を理由として処分を行うことになります。 また、漏洩した個人情報が受託業務によるものの場合は、委託契約にもとづき受託者が委託者に対して賠償することになります。この場合の賠償額は、両者の契約内容によります。最近、個人情報に関する賠償として無限責任的な契約が増えていますので、受託者は注意が必要です。 |
| Question 質問 |
当社は、顧客名簿等の顧客データ、従業員とその家族の情報、取引先の代表者や担当者の個人情報等、数多くの個人データを扱っており、総数は5,000人を超えていますので、「個人情報取扱事業者」に該当します。しかし、「個人情報の保護に関する法律」への対応は全く実施しておりません。 このような状態は、「個人情報の保護に関する法律」に違反しているのでしょうか。また、違反している場合には、どのような罰則が適用されるのでしょうか。 |
|---|---|
| Answer 回答 |
「個人情報の保護に関する法律」では、個人情報取扱事業者に対する罰則についての定めがありますが、主務大臣の指示に従わなかった場合について適用されるものです。本問の場合は、個人情報保護法に違反している可能性が高いのですが、この状態をもって処罰されることはありません。ただし、金融機関等の特別な業種によっては、「法令遵守の体制ができていない」という理由で、業法により処罰される可能性があります。 具体的には、以下のような場合に罰則が適用されます。まず、主務大臣より個人情報の取扱に関する報告を求められた場合に、報告しなければなりません。報告に応じなかったり、嘘の報告をすると、30万円以下の罰金が課されることがあります(法第57条)。 次に、報告の結果、主務大臣より勧告を受けた、あるいは違反行為の中止や是正を求められ、これらに応じなかった場合には、6ヶ月以下の懲役または30万円以下の罰金が課されることがあります(法第56条)。 当然ですが、主務大臣から報告や勧告、命令等を求められるのは、従業員ではなく、企業の代表者がほとんどですので、処罰の対象は、企業の代表者と当該企業の双方(法第58条1項)となります。このように人と企業の双方を処罰する定めを両罰規定と呼んでいます。 |
| Question 質問 |
当社は、「個人情報の保護に関する法律には無関係だ」という認識で、全く対策を取っておりませんでした。しかし、対象になる可能性があることや、一部の顧客からの要望もあり、個人情報保護に取組むことになりました。 どのようなことから手をつければよいのでしょうか。また、当社は従業員数も少なく、予算もあまり用意できません。このような条件の場合に、どのような方法をとることができるのでしょうか。 |
|---|---|
| Answer 回答 |
まず、自社が遵守すべき法律及び省庁のガイドラインを特定し、守らなければならない事項を確認します。 次に、自社内にある個人情報を把握します。この際、利用目的、内容、保管場所、管理者(責任者)を確認します。もし、不要なものや違法なものがあれば、早急に廃棄します。 そして、自社の個人情報の中から特に重要な個人情報を選出し、収集、利用、保管、廃棄といったプロセスを整理します。また、プロセスにおいて漏えいや改ざん等がどのような場合に発生するかを把握します。これらをもとにして、漏えいや改ざん等が発生しないよう、安全管理のための対策を考えます。 これらとは別に、運用に関する組織体制、利用目的の通知、本人からの問合わせ(開示、訂正、利用停止等を含む)や苦情への対応、従業員への監督、委託先への監督等に必要なルールを整備します。 限られた人員と予算の中で対策に取組むために、「重要性により対象とする個人情報を絞込む」という方法を取ります。当然ですが、対象を絞れば絞るほど、対応していない部分も増えることになりますので、時間をかけて徐々に対象とする個人情報を広げていくことが必要です。 |
| Question 質問 |
当社は建設会社ですが、自社物件の販売のための不動産事業と介護事業を手がけております。建設会社ですので、「国土交通省所管分野における個人情報保護に関するガイドライン」(国土交通省)のみを遵守すればよいと思っていました。しかし、不動産流通業と医療・介護事業者に関するガイドラインがあると聞きました。このような場合、当社としては、どのガイドラインを遵守しなければならないのでしょうか。 |
|---|---|
| Answer 回答 |
「〜(略)〜当該個人情報取扱事業者が行う事業を所管する大臣等」(法第36条1項二号)とあるように、当該事業を所管する主務大臣が、個人情報に関する管理監督を行うことになっています。つまり、本問のように複数の事業を行っている企業の場合は、事業ごとに管理監督する大臣が異なるということです。 このため、国土交通省のガイドラインのほかに、不動産流通業に関するガイドラインと医療・介護分野に関するガイドラインについても遵守する必要があります。 さらに、これらとは別に、従業員の雇用情報の管理については「雇用管理に関する個人情報の適正な取扱を確保するために事業者が講ずべき措置に関する指針」(厚生労働省)の遵守が必要となります。 ただし、それぞれのガイドラインを遵守しなければならないのは、関連する業務毎ですから、全ての部門で全てのガイドラインに従わなければならないということではありません。そこで、全社的な基本ルールは、「個人情報の保護に関する法律」や主要な業務に関するガイドラインを採用して整備し、個別の事業ごとに、他のガイドラインの内容を補足するといった方法をとるのが効率的です。 |
| Question 質問 |
「個人情報の保護に関する法律」では、「個人情報の取扱いに関する苦情の適切かつ迅速な処理に〜(略)〜必要な体制の整備に努めなければならない」(法第31条)とありますが、そもそも、どのような体制の整備が求められているのでしょうか。 |
|---|---|
| Answer 回答 |
本問のとおり、「個人情報の保護に関する法律」では、「(個人情報の取扱に関する苦情の適切かつ迅速な処理)を達成するために必要な体制の整備」が求められています(法第31条)。 苦情の対象は、個人情報の利用目的、適正な取得(法第15〜18条)、そしてその取扱い上の安全管理、従業員、委託先の監督、第三者提供(法第19条〜23条)、さらに保有個人データの開示、訂正、利用停止など(法第24条〜30条)に及びます。これらの苦情処理に適切に対応する体制の整備が必要です。 具体的には、まず、対外的に、苦情処理の申出先として、会社の受付部門もしくは認定個人情報保護団体への申出先を明らかにします(同法施行令第5条を参考)。そして、苦情の申出を受けた場合における社内の処理体制を整備します。「個人情報の保護に関する法律」では、とくに社内の処理体制についての記述はありませんが、省庁のガイドラインによっては、苦情処理について、管理責任者や担当者などを求めているものがあります。 個人情報の保護に対する体制としては、役員の中から管理責任者を1名指名し、各部門に責任者をおき、さらに必要に応じて、作業ベースでの担当者を指名するのが一般的です。 この体制は、決定した事項をトップダウンで伝えるとともに、現場での問題をそれぞれの権限のレベルで解決する、あるいは、解決できない場合に順にさかのぼって決断するということを意図しています。総務等に責任者を決めて、その人だけに全てを押し付けるようなやり方では、実効性はありません。個人情報の保護は、会社全体の問題ですから、それぞれが役割を担うという意識や状況に持ち込むためにも、全社員が関わるような組織体制を整備する必要があります。 |
| Question 質問 |
最近、『個人情報保護方針』というものを、店頭や企業のホームページでよく見かけるようになりました。これは、どういう意味があるのでしょうか。また、『個人情報保護方針』を作成し、公表することは、「個人情報の保護に関する法律」において義務となっているのでしょうか。 |
|---|---|
| 『個人情報保護方針』とは、「自社は、個人情報を適正に保護するために、このようなことに取組みます」という宣誓文です。「個人情報の保護に関する法律」の趣旨を理解し、自社の事業及び取扱っている個人情報の特性を反映して、「なぜ、自社は個人情報を適正に保護する必要があるのか」「収集時、利用時にどのようなことに注意するのか」「本人の権利をどのように保護するのか」といったことを短い文章にまとめます。これは自社が、内外にその実行を宣誓するものです。その内容は自社の体力を考慮しながら、段階的に変更していき、レベルアップを図っていくことをお勧めします。 実は、『個人情報保護方針』は、一部の省庁のガイドラインでは公表を求めていますが、「個人情報の保護に関する法律」では、義務となっていません。その代わり「保有個人データに関する事項の公表」(法第24条)が義務となっています。具体的には、「個人情報取扱事業者の氏名又は名称」「すべての保有個人データの利用目的」「開示、訂正、停止に関する手続き及び手数料」「苦情及び問い合わせの申し出先」等をホームページや店頭に掲示することで対外的に公表するか、問い合わせがあった場合に答えられるようにします。 |
| Question 質問 |
当社は、「個人情報の保護に関する法律」に積極的に対応していこうということで、先日対策会議を開きました。その中で、「体制や社内ルールの整備にあたり、『プライバシーマーク制度』を利用してはどうか」との意見がありました。プライバシーマークの基準となるJISQ15001には、いろいろと個人情報の取扱いに関する基準が示されていますが、本当に「個人情報の保護に関する法律」に対して有効なのでしょうか。 |
|---|---|
| Answer 回答 |
『プライバシーマーク制度』とは、JISQ15001という規格に従い、個人情報の管理に必要な社内体制やルールを整備している事業者に対して、認定機関の審査基準をクリアした場合に、「プライバシーマーク」というロゴマークの利用を認める制度です。 現在、「個人情報の保護に関する法律」に対応するため、プライバシーマークの付与認定に取組む企業が増えています。 確かに、JISQ15001に従い、必要なルールを整備することで、「個人情報の保護に関する法律」におおむね対応することができます。しかし、「個人情報の保護に関する法律」や省庁のガイドラインとJISQ15001との間には部分的に相違がありますので、JISQ15001の規格だけで必要なルールを整備すると、「個人情報の保護に関する法律」や省庁のガイドラインに対応できない可能性があります。 しかし、プライバシーマークの付与認定の審査にあたっては、「個人情報の保護に関する法律」や省庁のガイドラインといった関連法令の特定と対応もチェックされますので、最終的には対応したものとなるのです。 |
| Question 質問 |
当社は、保険の代理業務を行っています。代理店の場合は、保険会社の代わりに顧客の情報を取扱っているので、個人データの取扱の責任は、当社ではなく保険会社にあると考えています。こうした考え方でよいのですか。また、このような場合には、当社としてどのようなことに注意すればよいのでしょうか。 |
|---|---|
| Answer 回答 |
個人情報取扱業事業者は、その利用目的の達成に必要な範囲内において、『個人データ』の取扱いを、第三者に委託することできます。この場合は、『個人データ』により特定される本人の同意は不要です(法第23条4項一号)。ただし、個人情報取扱業事業者は、受託者に対して、当該『個人データ』の安全管理が図られるよう、監督をしなければなりません(法第22条)。 本問では、個人情報取扱業事業者である保険会社が、その代理者(受託者)に『個人データ』の取扱いを委託する場合がこれに当たります。委託関係については、同法はとくに限定していませんので、これには代理、仲介その他の契約の類型が広く含まれます。 このような場合の『個人データ』の取扱については、保険会社に代理店に対する監督責任があります。従って、代理店は保険会社から委託された『個人データ』について、利用目的、安全管理、従業員の監督等の取扱い上の監督を受けることになります。それが、『保有個人データ』に該当する場合は、公表、開示、訂正、利用停止等の監督を受けることになります。この関係のルールは、保険会社との間の委託契約に明確に規定するのがよいでしょう。 委託契約後に、代理店が新しく取得する個人情報についても、保険会社との間の委託契約において、その取扱を明確に定め、それに従って保険会社の監督を受けることになります。代理店が保険契約締結のために新しく取得した『個人データ』を逆に、保険会社に提供する場合は、代理店は、保険会社の使者の立場として、あるいは、保険会社の提供について本人の同意がある場合として、同法上、特に手続を要しないと思われます。 また、代理店が、個人情報取扱業事業者に該当する場合には、自らも「個人情報の保護に関する法律」における各義務を負うのは当然です。なお、新しく取得する『個人データ』を、自社独自の業務にも利用したいときは、同法に従い、その旨の利用目的の公表、通知等の措置をとりましょう。また、保険会社との『共同利用』も考えられるところです。 |