お仕事周りの「個人情報」取り扱いサポート

分かっているようで分からない、個人情報を扱う事業と法律の関係について書きます。

個人情報保護法、自社には関係ある?

『個人情報の保護に関する法律』(以下、「個人情報保護法」または「同法」と略します)って、自分にどう関係するのか分かりにくいところがありますね。まず、大前提として、この法律が適用される対象は「個人情報データベース等を事業の用に供している者をいう(法第2条5項)」とされているので、個人的に友人の連絡先を収集して保有しているケースなどは対象になりません。しかし、事業目的の場合は一部例外を除き殆どのケースが同法の適用対象になります。なお、民間向けと行政機関向け、独立行政法人等向けでは同法の基本部分以外はそれぞれ別の法律が規定されています。ここでは民間向けのいわゆる個人情報保護法の範囲で記載します。
※個人情報保護法制「三法統合」は内閣官房の検討会で中間案が出ています(2020年8月30日現在)

さて、民間向けということですが、自分の仕事、自分の会社がどう対象になるのでしょうか。会員サービスを提供している事業者であれば比較的分かりやすいのですが、一般的な取引でも、お客様のお名前や連絡先を確認したりすることはよくあることです。また、アンケートなどで情報を集めたりしたことはありませんか?従業員の方や、取引先の担当者の情報だって個人情報です。普通にお仕事をしていたら、普通に個人情報を扱っている、そう思っていただいて間違いはありません。

このページでは、基本ルールや特徴的な取扱いケースなどを記載しますので、当オフィスへのお問合せの参考になさってください。


業務上での個人情報の取り扱いの基本ルール

1.個人情報を取り扱う場合

1)個人情報を取得する時は、利用目的を本人に伝えなければならない
2)取得した個人情報は、利用目的以外で使わない

2.更に個人情報をデータベース化した場合

  ※データベース化とは:パソコンの管理ソフトでまとめる、50音順の帳簿で管理する等の検索可能な状態

1)取得した個人情報は安全に管理する
2)個人情報を他人に渡す時には、本人の同意を得る
3)本人からの「個人情報の開示請求」に対応する


上記5点は「既に持っている個人情報」に関する基本中の基本です。例えば以下のような観点で運用します。

  • 利用目的を本人に伝える ⇒プライバシーポリシーやサービス規約などで明示

  • 目的外利用の禁止 ⇒社内での管理徹底

  • 安全管理措置 ⇒物理的、組織的、技術的、人的な管理基準を設けて社内で厳格に運用

  • 第三者提供の同意取得 ⇒原則として事前同意

  • 開示請求 ⇒本人からの要請に書面の交付により開示


法令内にはこれ以外にも、取得や正確性の維持、提供なども厳格なルールが規定されていますので、個人情報を取り扱うにあたっては個人情報保護ガイドラインに沿った対応が必要です。


個社、個別の実態を確認して、必要な対応をご提示いたします

先述の基本ルールの対応方法ですが、「プライバシーポリシーはネットで探してきた雛形や他社のコピーで大丈夫なのか」「安全管理措置は、どこまでやったら”できている”と言えるのか」「第三者提供とはいわゆる”名簿屋”に個人情報を売ることなのか」「開示請求はどんな場合にも対応しなければならないのか」実際に取り組むには様々な疑問が出て来ますね。

「個人情報は大切に扱いましょう!」というフレーズは誰でも理解できるシンプルなものです。でも実際には、個人情報の取り扱いに関する法令と、自分が関わる仕事ととを関連付けて理解することはかなり難易度の高い作業です。基本ルールを見て、ガイドラインを読んでも、自分に当てはめて判断することは難しいと感じる方が多いのが実情です。そもそも個人情報の取り扱いは「何がわからないかが分からない」という方も稀ではありません。

また、事業内容によっては関係省庁のガイドラインなどで個別の規定がある場合もあります。事業に関連する自治体の条例が関与するケースもありますので、自社、事業の立ち位置との関連をしっかり確認した上で対応する必要があります。

当オフィスでは、事業やサービスの実態と合わせて、何ができて何ができないのか、必要な手当ては何か、どのようなリスクがあるかを、個別の企業や事案、フリーランスの方のお仕事内容に合わせて整理してお伝えすることができます。そのうえで、必要に応じて以下の文書やフォーマット、マニュアル等を作成してご提供いたします。

「個人情報保護方針」
「プライバシーポリシー」
「会員規約」
「サービス利用規約」
「入会申込書」
「開示請求書」
「情報管理規程」
「安全管理措置基準」
「委託先管理基準」
「監査チェックリスト」
「個人情報管理委託契約」
「個人情報の提供に関する契約」
「各種社内マニュアル」
「各種社内試験」
その他、個人情報を含むパーソナルデータ全般に関する対策や書面作成はお任せください。

「個人情報の保護に関する法律」が施行される直前の2003年から17年間、数千万人規模の顧客データベースを扱う中核的な位置で携わってきた経験がある行政書士が担当いたします。実際の事業で個人情報(パーソナルデータ)を扱うには法令の知識も重要ですが、事業やサービスとのマッチングができて初めて「活用」です。課題を乗り越える方法も一緒に検討させていただきます。小さいことでも結構です。何かもやもやがある場合にも一度ご相談ください。最初の無料相談の際に、困りごとや影響範囲などを紐解きましょう。


「保護法と個人情報」のたまにある質問と回答

特徴的な事例をピックアップして簡単にご説明いたします。ご相談のヒントになりそうなものがありましたら是非ご一読ください。複雑な事案については詳細コラムも今後リリースして参ります。

※個人情報保護委員会の「個人情報の保護に関する法律についてのガイドラインQ&A」 もご参照ください。

●フリーランスで顧客名簿を持つと個人情報取扱事業者になる?

なります。

ここでの「フリーランス」の定義ですが、法人や団体に帰属せず、個人、または税務署等に届け出た個人事業主として仕事をしている方のことを言います。個人情報保護法の適用対象は「個人情報取扱事業者」で、「個人情報データベース等を事業の用に供している者」(法第2条5項)と定義されています。フリーランスの方でも個人情報取扱事業者に該当する場合は対象となります。

業務上取得した個人情報をデータベース化している場合は個人情報取扱事業者です。データベース化とは、システム登録だけでなく、50音順にファイリングした紙も含みます。よって、検索できる状態で顧客名簿を管理しているとしたら、個人情報取扱事業者として同法の適用がある、となります。

ただし、従業員数100名以下の事業者については「特に小規模の事業者の事業活動が円滑に行われるよう配慮するものとする 」(附則第11条)とされているので、大規模事業者よりも管理や運用方法が簡易であってもある程度は許容されます。それでも鍵付きのキャビネにファイルを保管したり、パソコンのファイルにはパスワード設定されているなど、いくつかの最低限の対策は必要です。

2020年8月30日現在

●「名刺」は個人情報保護法の対象情報?

名刺に記載されている情報は、誰の目から見ても分かりやすい個人情報です。では、この「名刺」が個人情報保護法の適用を受ける情報かどうかですが、一部例外的な事象の場合を除き、概ね適用対象となります。

同法の定義では、個人情報取扱事業者は「個人情報データベース等を事業の用に供している者」(法第2条5項)とされています。大企業であろうと個人事業主であろうと、名刺を50音順にファイリングしたり、データベース管理したり、今なら名刺管理アプリに登録していれば、「名刺情報」という個人情報データベースを保有していることになります。安全に管理し、適切に利用しなければなりません。

例えば、名刺交換相手に自社の新商品などの情報をダイレクトメールで郵送することは適切な利用になるでしょうか。名刺交換時にわざわざ利用目的を説明するようなことはしませんので、名刺情報の利用目的は、同法が定める「取得の状況からみて利用目的が明らかであると認められる場合」(法第14条4項4号)に該当すると考えます。この場合、名刺を渡した側にとっては、仕事上必要な情報のやりとりや、社内での取引先管理などの目的であれば想定内ですから問題はありません。「新商品のご案内」の送付は、通常の商取引の範囲で想定可能な範囲と解されるようです。

それでも、反復して何度も新商品パンフレットを送付されると、受け取りたくないという相手も出てくるでしょう。送付停止の要望を受けた場合は、苦情として扱った 上で、適切かつ迅速に処理するよう努めなければなりません(法第 35 条1項)。郵送ではなく、電子メールの場合は、個人情報保護法だけでなく「特定電子メールの送信の適正化等に関する法律」や、当該事業者が通信販売等を場合には「特定商取引に関する法律」など、関連する法令を遵守した運用が必要です。

上の例のように、名刺情報を検索性のある状態で管理している場合は、個人情報保護法や他の関連法令の規定を遵守して管理運用する必要があります。

また、最近は多くの方が利用している名刺管理アプリですが、個人で利用する場合には必ず利用規約を読み、アプリ管理会社が業務委託先として定義できる内容かをしっかり確認し、会社員であれば会社の了解を得ることが必要です。会社で利用する場合は適切な契約書が締結されることが必要です。

2020年8月30日現在

●アンケートで集めた個人情報はすぐ消去しても管理方法は同じ?

個人情報を一時的に保持し、短期間で消去することを想定した質問ですね。

「個人情報データベース等」の状態、つまり検索できるような状態で保持している個人データとしては、期間に関わらず管理、利用などは同じです。しかし現行法では、取得時から6か月以内に消去することとなる個人データは、保有個人データに該当しないとされており(法第2条7項、施行令第5条) 6カ月以内に消去する個人データは開示請求や利用停止要求への対応が不要だったわけです。

しかしながら、2020年6月12日公布(公布から2年以内に施行)の新個人情報保護法では、6カ月以内個人データも保有個人データに含まれることになりますので、開示請求や利用停止対応が必要となります。

◆参考:開示請求等の対応◆

個人情報取扱事業者は、本人から保有個人データの開示請求を受け たときは、本人に対し、原則として当該保有個人データを開示しなけ ればならないとされています(法第 28 条)。また、個人情報の取扱いに関する苦情等には、適切・迅速に対応す るよう努めることが必要です(法第 35 条)。

以下の内容をホームページや事業所に掲示するか、問合せですぐに回答できるようにしなければなりません。

①事業者の名称
②利用目的
③請求手続
④苦情申出先
⑤加入している認定個人情報保護団体の名称・苦情申出先
(※⑤は認定個人情報保護団体に加入している場合のみ)

2020年9月3日現在

●個人情報保護方針とプライバシーポリシーは何か違うの?

これはたまにある質問、ではなくて、結構よくある質問です。

まず、プライバシーポリシーには明確な定義がありませんが、個人情報保護方針は、JIS Q 15001 個人情報保護マネジメントシステム-要求事項」の中で定義されています。

JISQ15001:2006の要求事項

3.2 個人情報保護方針

事業者の代表者は,個人情報保護の理念を明確にした上で,次の事項を含む個人情報保護方針を定めるとともに,これを実行し,かつ,維持しなければならない。 

  1. 事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下,”目的外利用“という)を行わないこと及びそのための措置を講じることを含む)。

  2. 個人情報の取扱いに関する法令,国が定める指針その他の規範を遵守すること。

  3. 個人情報の漏えい,滅失又はき損の防止及び是正に関すること。

  4. 苦情及び相談ヘの対応に関すること。

  5. 個人情報保護マネジメントシステムの継続的改善に関すること。

  6. 代表者の氏名

ーーーーーーーーーーーーーーーーーーーーーー
この規格は、日本の個人情報保護法が制定されるより以前から整備されており、プライバシーマークの認定団体である一般財団法人日本情報経済社会推進協会 (JIPDEC)認定基準の1つとして早くから採用していました。つまり、プライバシーマークを取得するためには、個人情報保護方針の設定は必須事項となっています。

「個人情報保護方針」をホームページ等で公開している事業者は、個人情報保護法制定前から個人情報を扱っていた企業や、プライバシーマークのような認定マークを取得している企業が多いようです。この方針の中には、端的に自社の方針・基準を書き、詳細の取り扱いルールは利用規約や「プライバシーポリシー」というタイトルで個別に設定することがあります。

プライバシーポリシーは定義がありません。個人情報保護方針をも包含する上位概念として「ポリシー」を設計する事業者もありますし、逆に具体的なサービスルールの一環として設計する事業者もいます。そもそも「プライバシー」という表現は法定されたものが無いのですが、憲法の視点が強く意図される使われ方をしますので、全体を包含するポリシーとして設計する事業者のほうが増えているのが現在です。

日本語か英語か、の違いだけで大差ないのでは?と考える方も多いと思いますが、実際は、個人情報保護方針については定義があり要件も決まっている、ということです。

2020年8月30日現在

●ニックネームは個人情報?

同法が示す個人情報の定義、というのはこのテーマだけで本が書けてしまうほどの難物です。「ニックネームは同法が適用される個人情報か?」と問われると、情報の扱い方によって異なるという回答になります。

例えば、インターネット上のサービスにおいて氏名や住所、メールアドレスなどと同時にニックネームも取得した場合、ニックネームも個人情報となります。特定の個人を識別できる情報と紐づいているためです。一方、アンケートでニックネームだけでコメントを書いてもらった場合は、記載内容から他の情報と照合して個人を特定する要素がない限り、個人情報ではないと判断するでしょう。

個人情報の定義はイメージで理解すると大変間違いが起きやすいものです。一昔前には「不規則な数字アルファベットで作ったメールアドレスは個人情報ではない」と言っていた時代もありますが、一概に言い切るのは誤りです。最近ネットで騒がれた「IPアドレスは個人情報ではない」も一般的な見解として語られがちですが、正確にはどのような状態でデータを保持管理しているかなど、しっかり確認したうえで個別に判断したほうが良いでしょう。


◆参考:個人情報の定義(法第2条1項)

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

1)当該情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

2)個人識別符号が含まれるもの


要点は、以下です。
①「生存する個人に関する情報」
②「その他の記述により」「個人を識別することができる」
③「他の情報と容易に照合することができ、それにより特定の個人を識別できる」
④「個人識別符号が含まれるもの」※


※「個人識別符号」の例
①生体情報を変換した符号として、DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋
②公的な番号として、パスポート番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等

2020年8月30日現在

●DMを外注するのに、名簿情報を業者に渡して大丈夫?

ダイレクトメールを郵送する場合、氏名、住所などの情報を業者に預けて、ラベル印刷も任せるという方法がよくあります。この場合は、業者は業務委託先に該当するので第三者提供の事前同意は不要です。但し、業務委託として個人データを預ける場合には、必要事項をしっかり記載した業務委託契約を締結しておく必要があります。安全管理(人的・組織的・技術的・物理的)の徹底、委託業務以外の利用の禁止、業務遂行後のデータ変換若しくは消去、漏洩時の責任など、重要事項をもれなく記載します。また、委託先には必ず実際に足を運んで、業務を行う現地を審査し、必要事項のヒアリングも徹底して行うこともやっておいたほうが良いことです。万が一の漏洩等の事故が発生した場合、本人に対する委託先の管理責任は、委託した側にあります。慎重に委託先を選択することが重要です。

2020年8月10日現在

●店舗で予約を受けた顧客情報を、他のサービス告知で利用できる?

利用したいのであれば、利用できるように準備して対応することが大切です。

まず第一に、予約を受け付ける際に取得する情報が個人情報保護法に定める個人情報に該当するか、です。本名ではなくても、連絡先がわかったり、特定の個人を識別できる状態であれば個人情報です。

その個人情報の利用が「予約した店舗の来店促進」であれば、同法が定める「取得の状況からみて利用目的が明らかであると認められる場合」(法第14条4項4号)に該当するとも理解できますが、全然関係の無い、屋号も別のサービスの情報が届くというのは受け手にとっては違和感があるでしょう。

個人情報を取得する際に、「自社の他のサービス告知」という利用目的を通知又は公表する、という基本をしっかり行うことが必要です。予約を受ける画面や紙面に記載していることが第一ですが、本人以外の人が代わりに予約するケースなども考慮して、ホームページ等での公表、店頭でホームページに掲載していることの告知など、本人にしっかり届く方法を実行したいものです。

また、「自社の他のサービス告知」を電子メールで行う場合には、個人情報保護法以外の関連法令、「特定電子メールの送信の適正化等に関する法律」等を遵守して行う必要がありますのでご注意ください。

2020年8月26日現在