1.トップページ(基礎知識)
┣個人情報保護法とは
┣そもそも個人情報とは
┣個人情報とプライバシー情報
┣個人データと保有個人データ
┣保有個人データの除外事例
詳しく見る
2.法令・ガイドライン
┣ガイドライン改正
┣個人情報取扱事業者に求めている事項
詳しく見る
3.事例(ケーススタディ)
┣名刺は個人情報?
┣従業員情報も個人情報?
┣外注先から情報が漏れたら?
┣サポートセンターでの取扱い
┣メールアドレスは個人情報?
詳しく見る
4.対策・ポイント
┣社内体制の確立
┣個人情報保護方針の作成
詳しく見る
5.個人情報保護の関連書籍
名刺は個人情報?
名刺は、特定の個人を識別できますので個人情報です。
企業が5000件以上の個人情報を保有し、体系的に整理していれば、個人情報データベース等に該当し、個人情報取扱事業者としての義務が生じます。
名刺は、企業の事業活動で収集したものですから、企業のものであり、管理責任は企業にあります。企業では、各社員が、自分の顧客として名刺を保持し、名刺ホルダーやデータベースに入力しているケースが多いでしょう。名刺は「各社員の顧客」ではなく、社員が所属する「企業の顧客」のため、名刺は個人情報であると共に、企業にとって重要な営業情報であるはずです。
もし、名刺は各社員のもの、とするならば、社員が退職した場合、その企業で得た名刺の顧客情報を、持ち出すことを認めるということになります。
個人情報の安全管理対策として、退職の際には、「名刺を全て返却させる」とか、「利用していない名刺は廃棄する」といったことを検討し、社内規程として明文化しておくべきでしょう。
名刺という個人情報を、事業者が事業活動において収集し、利用している以上、管理責任は事業者にあり、漏洩した場合には、事業者は個人情報保護法の罰則が適用されます。
社内の従業員の勤務に関する情報も個人情報?
個人情報保護対策というと、顧客や消費者の情報にばかり目が行きがちですが、社内で働く従業員に関する情報も重要な個人情報です。
個人情報保護法は、企業が個人情報を取り扱う場合の規制のあり方について、社内社外の区別をしていません。したがって、従業員本人から自分の情報を開示してほしいと請求された場合、これに応じなければならないのが原則です(法25条)。
ただし、勤務査定に関する情報などは、社内においても極秘の扱いを受けている場合があり、これを開示すると、「業務の適正な実施に著しい支障を及ぼすおそれ」があるという場合は、例外的に開示を拒むことができます(法25条1項2号)。
注意が必要なのは、必ずしも人物評価に関する情報はすべて開示を拒むことができるという訳ではないということです。情報の内容や性質により個別具体的に検討して判断する必要があります。
また、勤務査定に関する情報を出向先に提供することは、個人情報を「第三者提供」することになります。したがって、提供する前にあらかじめ本人の同意を得る必要があります(法23条)。
この場合、開示請求と異なり、業務遂行上の事情によっては同意を得なくても良いという例外はありませんので、注意が必要です。
外注先から個人情報が漏れたら?
情報化社会の発展に伴い情報処理自体が専門化され、また、さまざまな企業形態が編み出されて分業化も進んだ結果、個人情報を取り扱う業務を外部に委託することが多くなっています。
近年、情報処理を委託した業者や、輸送、運搬を委ねた業者から漏えい事故が発生したという事例も多くみられます。
個人情報保護法では、このような社会の実態をとらえ、委託先に情報を提供することは、形式的にみれば、本人の同意などが要求される「第三者提供」に該当するのですが、委託の場合については、第三者提供の規制を一切受けないことにしています(法23条4項1号)。
ただし、法律は、個人データの取り扱いの全部または一部を委託した場合は、委託した業者に、委託を受けた者に対する安全管理上の監督を義務づけています(法22条)。
万一、外注先から個人情報が漏えいした場合は、監督責任を問われ、委託した会社が責任を負わなければならないことが多いと考えられます。このように、委託した場合に、委託先が個人情報の適正な取扱いをしているか、適宜チェックを行うことはもちろんですが、適正な取扱いを行う体制の整った業者であることを確認してから発注するという慎重さが求められます。
サポートセンターにかかってきた電話の電話番号を社内のデータベースに記録したら?
電話番号は、その番号に電話をかけたり、逆引電話帳を利用したりすることにより、容易に加入者や利用者を特定することができることが多い。そのため、番号だけでも「個人情報」(法2条1項)に該当すると理解して運用すべきでしょう。
よって、電話番号を社内のデータベースに記録することは、「個人情報を取得する」行為になるといえるでしょう。
個人情報保護法では、個人情報を取得する場合は、その「利用目的」を(1)あらかじめ公表しておく、(2)取得後速やかに本人に通知する、(3)取得後速やかに公表する――のいずれかを行うことを義務付けています(法18条1項)。
消費者対応電話や苦情処理電話などにかかってきた電話について、その苦情内容などとともに、相手方の電話番号も断りなく記録していた会社も多いと思われます。今後は、(1)あらかじめ電話番号を記録することと、それがどのような目的で利用されるのかを、苦情処理の電話番号と一緒に表示しておくか、(2)電話を受けた際に番号を記録することと、その目的を相手に伝えるなどといった運用が必要になります。
参考までに、法律は、利用目的を「通知」あるいは「公表」さえしていれば、記録することの「同意」を得ることまでは要求していません。ただし、会社の信用を得るための顧客対応としては、「記録しては困る」といわれた場合には、データベースに記録しないことが好ましいでしょう。
メールアドレスだけでも個人が特定できるものは個人情報に該当
個人情報保護法によると、生存する個人を特定できる情報はすべて個人情報となり、住所や電話番号といった連絡先のほか、職種、肩書、職場の評価、財産も本人の氏名と組み合わせた情報は個人情報となります。
メールアドレスの場合、経済産業省のガイドラインによれば、個人情報に該当する場合と、該当しない場合があります。まず、メールアドレスと氏名を組み合わせた情報は、個人情報に当たります。また、メールアドレスだけでも個人が特定できれば個人情報に該当します。、例えば「satou_jiro@abc.co.jp」(abc社のサトウジロウと分かる)などは個人情報に該当します。
ところが、個人情報保護法ではメールアドレスから個人を識別しにくい場合は個人情報に該当しません。例えば「the123@yafoo.ne.jp」というメールアドレスがあった場合、the123というユーザーが特定プロバイダーを使っていますが、これだけで個人の識別は難しい場合、個人情報に該当しないのです。
とは言え、法律上では個人情報に該当しないものでも、企業がメールアドレスを漏洩したとなれば、重大な過失とみなされ、社会的な信用を失墜させかねませんので、メールアドレスは個人情報だと捉えておくのが無難だと言えます。
次回更新をお待ち下さい
と便利です。
