このページをはてなブックマークに追加このページを含むはてなブックマーク このページをlivedoor クリップに追加このページを含むlivedoor クリップ

目次

実例で判断する

ケース:基本的な事柄

  • 5,000件以上の個人情報を保有している企業はすべて個人情報保護法に乗っ取る必要があるか?

分析

 5,000件以上の個人情報を保有しているというのは最初の前提であって、次の前提もある。それは事業として利用していることである。この2つの前提に合致していなければ個人情報取扱事業者ではなく、つまり個人情報保護法の対象外ということになる。ただし、対象外であっても、個人情報の漏洩によって損害賠償請求はされる可能性はあることに注意。

ケース:個人情報の境目

  • 電話番号は個人情報か?
  • 役職は個人情報か?
  • アカウントIDは個人情報か?
  • ブラックリストは個人情報か?
  • メモ書きは個人情報か?
  • 住所だけでも個人情報か?
  • 市販の人名録は個人情報か?
  • サイトで自発的に公開している情報は個人情報か?
  • 暗号化された個人情報は、個人情報保護法の対象か?
  • 匿名アンケートは個人情報か?

分析

 固定電話・携帯電話・IP電話などの電話番号はいずれも個人情報になる。

 役職のみでは個人情報にはならないが、氏名と結びつけば個人情報になる。

 顧客ID・社員ID・アカウントIDがたとえ乱数であっても、他の情報と簡単に照合することによって特定の個人が識別できれば個人情報にあたる。

 メモ書きなどのささいなものであっても、特定の個人が識別できれば個人情報である。ただし、個人の趣味やプライベートで利用しているのであれば、企業の個人情報にはあたらない。あくまで業務に利用しているデータを企業の個人情報として扱うわけだ。

 個人情報の定義を確認すればわかるが、顧客の良質・悪質はまったく関係ない。つまり、ブラックリストも個人情報に該当するのだ。

 住所は基本的に特定の自今を識別できないため個人情報にあたらない。しかし、他の情報と簡単に照合して個人が識別される可能性が高い。つまり、住所も個人情報のように取り扱うほうが無難といえる。これは電話番号についても同様にいえる。

 体系的に整理されていたり、容易に検索できるようになっていれば、個人データとなる。

 個人情報であるかどうかは、公にされているかどうかとはまったく関係ない。Webサイトで自発的に公開されている情報。電話帳や新聞に載っている情報であっても個人情報になる。

 復号アルゴリズムと復号鍵(復号パスワード)があれば、暗号化した個人情報であっても簡単に復号化できてしまうので法律の適用を受ける。

 匿名アンケートの中には個人を特定するものがない(それが匿名アンケートそのものの定義)。よって、これだけでは個人情報ではない。

ケース:小規模な会社の場合

  • 一般の個人向けではなく、法人相手に商売をしている
  • 取引先は数百社

分析

 取引先は数百社であっても、その他に会社の中には紙の書類やデータベースはたくさん存在する。ある程度の規模の会社なら、通常は5,000件を超える。例えば、従業員とその家族の名簿・面接を受けた人の履歴書・法人顧客リスト(氏名入り)・契約書や見積書(代表者名入り)・社員が各々持っている名刺ホルダー・業界団体名簿など。こうしたものをすべて合計すれば、簡単に5,000件を超えるのではないだろうか。さらにこうした情報をコンピュータでデータベース管理していれば、個人情報データベースとなり会社は個人情報取扱事業者に該当する。よって、小規模だからといって安心はできないのだ。

ケース:電話帳と地図の利用

  • 電話帳と地図を使って営業を行う

分析

 電話帳や地図などの加工されていない情報は個人情報にカウントされない。他にはカーナビのデータなどもそうである。よって、これらの情報を使って、営業の電話をかけても問題ない。個人情報保護取扱事業者ではないので、利用目的の通知も必要ない。

 しかし、営業の電話を結果を別の紙に記録したり、電話帳のデータを基に別のデータベースを作成してしまうと、それらは個人情報データベースに該当する。そして、それが5,000件を超えれば、個人情報保護取扱事業者になってしまう。このとき、利用目的を本人に通知または公表しないままDMを送信してしまえば、明らかに個人情報保護法に違反となる(法18条)。

ケース:個人情報保護法前後

  • 個人情報保護法施行以前に名簿屋から個人情報を入手した

分析

 個人情報保護法施行後に使用するためには、法律の条件を満たす必要がある。その条件とは、第三者に提供する目的(この例なら、名簿屋→我が社)であらかじめ本人の同意を取って作成されたかどうかという点だ。また、この名簿自体が違法の可能性も否定できない。違法な名簿とわかって利用するのは、完全に違法行為になる。法17条にそれが記載されている。

 どうしてもこの名簿を使用したければ、本人に利用目的を通知または公表する必要がある(法18条1項)。つまり、DMを出すなら、名簿に掲載されている人全員に通知するか、容易にわかるように公表しなければならないわけである。

 しかし、違法かどうかわからない名簿を使うこと事態は問題がある。こうした怪しい名簿には手を出さない、もし手を出した後ならすぐに処分することが賢明だろう。

ケース:教育機関

  • 2,500名の在校生を持つ私立大学は個人情報取扱事業者になるか?

分析

 法2条1項により、生存する個人に関する情報であって、特定の個人を識別できるものなら、すべて個人情報に該当する。大学なら、入試の資料請求者、志願者(願書など)、在校生のデータ(学生簿・学生証データ・成績原簿・健康診断のデータなど)、保護者(保証人契約書・奨学金申請書など)、卒業生(卒業者名簿・成績データ)、教員・職員のデータなどがある。他にも地元企業や取引先、進学先の大学院、入学元の高校・予備校のデータなどもあるかもしれない。これらを合わせると、2,500名の在校生を持つ規模の学校なら、簡単に5,000件は突破するはずだ。しかも、成績・学歴など外部に漏れては大変なことになってしまう情報(センシティブ情報という)が存在する。

 よって学校では企業と同様にリスクアセスメント(リスク評価)に基づき個人情報保護について取り組まなければならない。

 法50条1項3号で「大学などの学術研究機関が学術研究目的で個人情報を使用する場合は、個人情報取扱事業者の義務等を定めた規定の適用が除外される」と述べられている。ただし、これは大学自体が個人情報取扱事業者にならないということを意味しているわけではない。あくまで研究目的というところが重要であり、大学は研究以外の目的で個人情報データベースを構築しているので、大学は個人情報取扱事業者に含まれる。

ケース:データベース

  • 5,000件より少ないデータベースが数種類ある

分析

 データベースが分割されてあったとしても、それを合計してカウントされる。つまり、合計数が5,000件を超えれば、個人情報取扱事業者になる。ただし、重複している人のデータは差し引いて計算しする。

ケース:労働組合

  • 労働組合と会社は別の個人情報取扱事業者になるか?

分析

 労働組合であっても、会社と別組織であるので、別の個人情報取扱事業者になる。他には厚生年金組合・健康保険組合も同様である。

ケース:部署間取引

  • 部署間で個人情報を共有してよいか?

分析

 同一企業内であれば個人情報を部署間で共有しても第三者取引にはならないので、本人同意は不要である。しかし、部署が違うということは仕事内容が異なるということなので、個人情報の利用目的も違ってくる。よって、共有することによって、目的外利用が起こるようではならない。

ケース:住民基本台帳

  • 住民基本台帳を元にDMリストを作成する

分析

 地方自治体の条例で禁じられている場合もありますが、原則として違法にはあたらない。しかし、DMを受け取る消費者の意識を考えれば、本人の求めによって個人情報の第三者提供を中止するオプトアウト制度を利用するなどの自主的措置を併用するのがよいだろう。

ケース:M&A

  • 買収した会社の個人情報は使えるか

分析

 M&Aなどで他の個人情報取扱事業者から会社や事業を継承して、個人情報を利用する場合、改めて本人の同意を取る必要がありうる。こうした場合は譲渡前の利用目的の範囲内に限り個人情報を利用することができる。

ケース:オプトアウト

  • オプトアウト制度を定めれば必ずしも安心か

分析

 オプトアウトとは、本人の求めによって個人情報の第三者への提供を中止することである。このオプトアウト制度を提供していれば、安心だと思われがちだが、そうではない。きちんと様々な状況を想定して提供しなければならない。

 本人にとって不利益な情報については、オプトアウトを利用しないほうがよい。例えば、破産者の情報などがそうである。破産者の個人情報がオプトアウトされてしまうと、金融機関同士で個人情報を融通し、貸し倒れの危険を回避できなくなってしまう。

 社内の雇用管理情報の場合についても、問題になる可能性がある。ある人を関連企業に出向させるため、出向先企業に個人情報を提供するようなケースである。その人が出向したくないがためにオプトアウトを求めれば、出向先企業に個人情報が提供できなくなってしまう。こうした事態を避けるために、厚生労働省の「雇用管理指針解説」では「出向先・転籍先の候補となりうる提供先の範囲を、ホームページ等で明記することが望まれる」としている。また、従業員の入社時などに、グループ企業で個人情報を包括同意を得る方法を採用している企業もある。

ケース:個人情報の廃棄

  • 個人情報の含まれた書類や磁器データを廃棄する

分析

 まず廃棄する前に本当に今廃棄してよいものかどうかを判断する必要がある。定められた保管期間内に廃棄すると、その法令に違反することになってしまうことがある。

 次に、廃棄すべき書類・データを決定したら、第三者にそれらのデータを奪われないように完全に消去する必要がある。書類であれば、シュレッダーなどで裁断したり、信頼できる契約業者に委託して溶解・焼却すること。HDD(PC丸ごとも含む)やCD-ROM、FDなどのデータなら、データ抹消ソフトで完全にデータを消去すること。単にフォーマットしただけでは、復元ソフトで復元されてしまうので注意が必要である。PCのリース契約に関しては、契約時にあらかじめデータの消去について取り決めておいたほうがよい。

 そして、個人情報が含まれるゴミは施錠できるゴミ箱に投入させるのが理想である。会社によっては、地球環境の目的のために、不要な紙を捨てるリサイクル箱を設置していることがありますが、これはセキュリティの観点からはちょっと問題がある。侵入者や産業スパイによって、リサイクル箱から資料を持ち出される可能性があるからである。

ケース:メール送信の注意

  • 同報メールの送信時にCC・BCCどちらを使うか

分析

 CCを利用して同報メールを送信すると、送信先のアドレスのすべてが各受信者にわかってしまう。つまり、個人情報が漏れてしまっているわけである。よって、同報メールの送信時はBCCを利用するようにしよう。今後CCメールは使われなくなっていくと思ってかまわない。

ケース:開示

  • 故人の情報の開示の求めをされたら
  • 警察から開示の求めをされたら
  • 弁護士から開示の求めをされたら

分析

 個人情報保護法が個人情報と定義しているのは、生存する個人を識別できる情報である。よって、故人の情報は個人情報保護法で扱わない。しかし、故人の情報であっても、生存する遺族などの個人情報に該当するケースも考えられる。

 また、関係者の利害の衝突と繋がる可能性もある。そのため、求めの背景を考慮した対応が求められる。

 医療の場合は、亡くなった患者の遺族から開示を求められる旨が、官庁のガイドラインで定められている。

 警察からの開示要求の場合、捜査令状があれば開示する。捜査令状がない場合は、本人に知らせることで警察の審査に支障が出ると判断した場合にのみ、本人の同意を得ずに開示する。弁護士からの開示要求の場合は、本人の同意がなければ開示してはいけない。

ケース:利用目的の特定

  • 電話帳やインターネットから個人情報を取得する際、利用目的を特定する方法は?
  • 本人から直接個人情報を取得する場合には、利用目的を特定する方法は?

分析

 利用目的を特定しなければならないが、わざわざ本人に電話やFAX・メールで利用目的を通知する必要はない。会社のWebサイトで通知するだけで大丈夫である。

 申請書・契約書、懸賞の応募、アンケートなど本人から直接個人情報を取得する場合には、あらかじめ利用目的を文中に記載しておいて明示しなければならない。インターネットを使った事前公表や電話での事後通知ではいけないので注意。

ケース:従業員名簿

  • 従業員名簿を社内で配ってよいか?

分析

 従業員名簿は業務を遂行する上で必要不可欠なものなので、安全管理をしっかり行っていれば、本人の同意を得ずに配布しても法律違反にはならない。しかしながら、社員の自宅の住所や電話番号、携帯電話番号などの記載された名簿は業務遂行には関係がないので、本人の同意が必要になる。

ケース:Cookie

  • 通販サイトでCookieを利用してよいか?

分析

 Cookieを利用する場合は、その利用目的をあらかじめWebサイトに公表する必要がある。クライアントPCからCookieデータを取得することは、個人情報を取得していることと変わらないのだ。よって、利用目的を通知または公表しなければならない。