改正個人情報保護法施行に伴い、事業用ホームページの無料点検(京阪神地区限定)を始めました。
詳しくは
きっとあなた(貴社)も個人情報取扱事業者です
本稿でとくに断りがない限り、引用する法律は個人情報保護法で、ガイドラインは個人情報保護委員会の個人情報保護ガイドラインです。
個人情報保護法改正によりすべての事業者に安全管理措置が課せられます。
これが結論ですが、もう少し詳しく説明します。
事業者とは、正確には「個人情報取扱事業者」を指し、「個人情報取扱事業者」とは個人情報データベース等を事業の用に供している者(2条5項)です。
わかりにくいですね。具体的に考えてみます。
まず、「個人情報データベース」とは、電子計算機を用いて、あるいは、その他の方法によって個人情報を容易に検索できるようにした個人情報の集合体(2条4項)です。例えば、商品の申込書をお客様に記入していただくと、多くの場合、その申込書にはお客様の住所・氏名・電話番号等の個人情報が記載されていると思います。この申込書は、おそらくパソコンに入力するでしょう。専用ソフトかエクセルのような何らかのソフトを用いて、日付順なり五十音順なり、後で検索できるように個人情報(申込書に記載された内容)をパソコンに保存すると思います。この個人情報をパソコンに保存している状態が個人情報データベースです。したがって、事業で個人情報を取り扱う以上、個人情報データベースを持つことになりますから、個人情報取扱事業者だということになります。そこで、冒頭の見出しの「すべての事業者」とは、まさに事業を行うすべての者を意味します。
いやいや、当事業所はパソコンに個人情報を入力しないから、個人情報データベースは持っていないことになり、個人情報取扱事業者には当たらないよ。したがって、安全管理措置をとる義務はないのでは?
残念ながら、個人情報データベースとは「個人情報を容易に検索できるようにした個人情報の集合体」ですから、先の申込書の例であれば、申込書を日付順や五十音順にファイルに綴って保存している状態が個人情報データベースです。したがって、安全管理措置は課せられます。
そもそも当事業では個人の顧客はいないので、個人情報取扱事業者には当たらないよ。あるいは、当事業ではすべての商品を店頭で販売し配送も行わないので、お客様の個人情報を取得することがないから個人情報取扱事業者には当たらないよ。
残念ながら、お客様の個人情報だけが事業で取り扱う個人情報ではありません。従業員の個人情報や取引先の個人情報も事業で取り扱う個人情報です。したがって、従業員、仕入れ先や委託先の担当者などの個人情報が一切ないということがない限り、やはり、個人情報取扱事業者に当たります。
ということで、事業を行っている者のほとんどは個人情報取扱事業者に当たり、安全管理措置が課せられることになります。
個人情報というと、漏洩・紛失等のマイナスイメージを伴うケースを想像することが多いですし、これらを防止するために安全管理措置が必要となると面倒なイメージがあります。
しかし、例えば、一度利用したネット通販を再度利用する時に、IDやパスワードを入力すると住所・氏名の入力を省略できるなど、個人情報の利活用が便利性を高めることも多いです。
次回からは、安全管理措置について詳しく検討します。
個人情報保護ならコンプライアンスハーツ
ホームページに掲載するプライバシーポリシー
改正個人情報保護法施行により、早急に確認すべきことの一つに、ホームページでの個人情報の利用目的の公表があります(本当は改正前から重要事項でした)。多くのホームページにプライバシーポリシーが掲載され、その中で「予め定めた利用目的の範囲内で個人情報を取り扱います」という趣旨の記載がされています。これ自体は当然のことであり、このように宣言することは必要です。
しかし、個人情報保護法が求めているのは 、個人情報の利用目的をできるだけ特定する事であって、このような宣言にとどまるものではありません。したがって、プライバシーポリシーに盛り込むか、別途、記載するかはどちらでもよいですが、例えば、「商品の発送のため」とか「お問合せへの対応のため」というように具体的な利用目的の記載が必要となります。これらはTOPページからワンクリックで表示されるようにしてください。
また、個人情報を書面で取得するときは利用目的を明示する必要があり、この「書面で」には、メールやお問い合わせフォームも含まれます。したがって、注文・問い合わせをメールやお問い合わせフォームで受け付ける場合は、どのように明示するかが問題となります。例えば、問い合わせフォームのページにアクセスしようとすると、先に利用目的を記載したページが現れるというような方法が考えられます。問い合わせフォームと同じページであっても、問い合わせフォームの入力項目の前に記載するという方法も考えられます。
これらの点に関し、実は、多くのホームページで不備が見られますので、改正に先立って修正を心がけましょう。利用目的を具体的に特定することや利用目的の明示は、実際に取り組むと意外に難しいところがあります。早目に準備をされたほうがよいです。
名簿業者から名簿を購入する場合に気をつけること
正規の名簿業者?
本稿でとくに断りがない限り、引用する法律は個人情報保護法で、ガイドラインは個人情報保護委員会の個人情報保護ガイドラインです。
いわゆる名簿業者と言われるところから、名簿を購入することがあるかもしれません。従来から名簿を販売することが、直ちに違法ではありません。
しかし、今回の個人情報保護法の改正で、イメージ的には、正規の名簿業者とそうではない名簿業者に分かれます。
名簿業者は届出制
そもそも、個人情報は偽りその他不正の手段により取得してはなりません(17条)。そして、適正に取得した個人情報であっても、本人の同意なしに第三者に提供することはできません(23条1項本文)。
しかし、この第三者提供の禁止にはいくつかの例外があります。その例外の一つが、法定の条件を充たした上で、個人情報委員会に届出をした名簿業者です(23条2項)。いわば、届出をした名簿業者が正規の名簿業者であって、届出をしていない名簿業者は正規ではない名簿業者ということになります。
名簿を買う側にも義務がある
正規の名簿業者は個人データを第三者に提供する(名簿を売る)際に、その年月日・提供する第三者の氏名又は名称その他の情報を記録することが義務付けられています。即ち、名簿を買う側も名乗って購入する必要があり、その記録が名簿業者のもとに残ります。
さて、正規ではない業者から名簿を購入するとどうなるか。
名簿の購入も個人情報を取得する場合に当たりますから、偽りその他不正の手段により取得してはなりません(第17条)。
ガイドラインによると、
① 法第23条第1項に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにもかかわらず、個人情報を取得する場合
② 不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合
これらが偽りその他不正の手段に当たるとされています。正規ではない(届出をしていない)名簿業者が名簿を売るのは①に当たります。届出をしているかどうかなど知らないという主張は、おそらく通りません。確認すれば違反を容易に知ることができたからです。まして、名簿の内容が正当な方法では取得することができない個人情報であれば、②に当たります。
事業の必要上、名簿を購入することはあるでしょう。しかし、くれぐれも、内容が怪しげな名簿や正規ではない(届出をしていない)名簿業者から名簿を買うことはやめましょう。
個人情報担当窓口の必要性
個人情報の開示請求に対応する必要がある
本稿でとくに断りがない限り、引用する法律は個人情報保護法で、
ガイドラインは個人情報保護委員会の個人情報保護ガイドラインです。
第28条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。
ガイドラインは個人情報保護委員会の個人情報保護ガイドラインです。
第28条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。
この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう(第2条6項)。
個人情報データベース等とは、コンピューターに入力し検索可能となっている個人情報の集合体で、紙媒体であっても五十音順に編綴するなど、検索が容易になっている場合を含みます(ガイドライン)。
一般に、顧客から取得した個人情報(例えば、申込書に記載された住所・氏名等)は、コンピューターに入力するか、台帳に綴じると思います。したがって、事業に伴い取得した個人情報は、ほとんど個人情報データベース化されていると考えられます。
となると、例えば、顧客から「私の個人情報を開示してください」という請求があれば、これに対応する必要があるということになります。
もちろん、正当な開示請求に混じって嫌がらせのような開示請求がされるかもしれません。そこで、事業者には、「政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。」(32条1項)とされています。具体的には、情報漏洩を避けるために、開示を求める者に対する本人確認。事務所や店頭でいきなり口頭での請求を受けるのは煩雑でもあるし、不正確になる可能性もあるので、これらを防ぐための書面による請求手続。無用な請求を防ぐために、請求に関する手数料。これらを予め定める必要があります。最後の手数料ですが、開示請求が困難になったり、開示請求で利益があげるような高額に設定することはできません。
専門の窓口が必要
仮に、電話で開示請求をされた場合や店頭で開示請求をされた場合、対応する従業員は適切な対応をできるでしょうか。また、事業者には開示請求だけではなく、個人情報に関する苦情が寄せられる可能性もあります。
第35条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
このように、事業者は苦情にも対応する体制を整える必要があります。しかし、法律で体制整備が要求されているから仕方なくという考え方でよいでしょうか。事業者には個人情報と関係なく、事業を営む以上、商品・サービスに対する相談・苦情が寄せられます。これに備えて、お客様相談室や問い合わせ窓口を設置していることが多いです。このような専門部署を設けるのは、一方では通常業務を妨げないという効率性の問題ですが、他方では訓練を受けた従業員が対応することによって、相談や苦情をより大きなクレームにしない処理をするためです。個人情報保護に関する開示請求や苦情への対応も同じ考え方が必要です。すべての従業員が個人情報保護を熟知して適切な対応をとることは、望ましいですが非現実的です。もし、対応を間違えれば大きなクレームになりかねないので、むしろ、専門部署以外の従業員は対応しないほうがよいと考えられます。
そこで、個人情報保護に対応する専門の窓口が必要となります。一般の従業員は開示請求や苦情に対して、個人情報の担当窓口を案内すれば足ります。
結局、事業者として行うことは、
① 開示請求手続などを含む個人情報保護に関する社内規程の整備
② 開示請求手続などを行うための書式・マニュアルの整備
③ 専門窓口の担当者の教育
です。
年に何度もあることではありませんが、準備していないと大きなクレームに発展する可能性はあります。
お問い合わせ・ご相談は https://ch-osaka.jimdo.com/
こちらのサイトのお問い合わせフォームをご利用ください。
個人情報を書面で取得する時
個人情報を本人から書面で取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない(18条2項)
事務所や店舗で、顧客が申込書や注文書に住所・氏名を記載することはよくあることです。そのような場合には、顧客が記載した書面を受け取る前に利用目的を明示しなければなりません。
明示ですので、あらかじめホームページに利用目的を掲載していても、別途、改めて示す必要があります。実務的には、利用目的を記載した書面を示すか、顧客が記載する部分の手前に利用目的を掲載することになります。後のトラブルを防止するのであれば、利用目的を確認したことを示すチェック欄に記入してもらうのがよいでしょう。
注意すべきは、
電磁的記録(メールやホームページの申込フォーム)を用いて取得する場合も、書面で取得する場合に当たることです。
ホームページに申込フォームを設置している場合は、入力画面が表示されるとき又は入力後送信が行われる前に、利用目的を掲載した画面が表示されるようにしましょう。できれば、その画面に利用目的を確認したことを示すチェック欄を設け、チェック欄に記入がされなければ送信できないようにすると、後のトラブル防止に役立ちます。
名刺も書面だけど、利用目的を明示しなければならないの?
利用目的の通知・公表をしなければならないことの例外として、取得の状況からみて利用目的が明らかであると認められる場合には、利用目的の通知・公表は不要です。(18条4項)。したがって、明示の必要もありません。
多くの場合、名刺交換は今後のお互いの連絡先を確認するために行われますので、利用目的の明示がなくても、連絡をするために名刺に記載された住所や電話番号を用いることはできます。しかし、単なる連絡にとどまらず、商品・サービス等のダイレクトメールを送付するとなると、「利用目的が明らか」な範囲を超える可能性が高いです。ダイレクトメールを送付する予定があるならば、名刺交換の際に、その旨を伝えましょう。
個人情報を取得する時
個人情報を取得する時には、
利用目的を通知・公表しなければならない。
第18条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめ
その利用目的を公表している場合を除き、速やかに、その利用目的を、
本人に通知し、又は公表しなければならない。
(1)取得する
申込用紙に氏名等を記入してもらうのはもちろん、メールや
ホームページの申込フォームに氏名等の個人情報を記載してもらう場合も
含みます。
メールの場合、例えば、〇〇〇@△△△.com というメールアドレスで、
〇〇〇がお名前、△△△が会社名という組み合わせの場合、
△△△社の〇〇〇さんと特定できるので、メールの内容に個人情報の
記載がなくても、個人情報を取得したことになります。
(2)通知又は公表
個人情報を取得する度に、利用目的を本人に通知するのは
非常に手間がかかります。
そこで、あらかじめ公表する方法を採ることになります。
公表方法としては、ホームページに利用目的を掲載することが多い
ですが、ホームページがない場合は事務所・店舗の良く見える場所に
利用目的を掲示してもかまいません。
利用目的の特定
その利用の目的(以下「利用目的」という。)をできる限り
特定しなければならない。
(1)できる限り
利用目的が明確にわかるように特定する必要があります。
個人情報保護委員会が示すガイドラインでは、
【具体的に利用目的を特定している事例】
・事業者が商品の販売に伴い、個人から氏名・住所・
メールアドレス等を取得するに当たり、
「○○事業における商品の発送、関連するアフターサービス、
新商品・サービスに関する情報のお知らせのために利用
いたします。」等の利用目的を明示している場合
【具体的に利用目的を特定していない事例】
・「事業活動に用いるため」
・「マーケティング活動に用いるため」
(2)利用目的変更の制限
事業者が利用目的を変更する場合には、既に取得している個人情報
については、「変更前の利用目的と関連性を有すると合理的に
認められる範囲を超えて行ってはならない。」(15条2項)と
定められています。利用目的を公表する時は、面倒でも網羅的に
利用目的を列挙するようにしましょう。
登録:
投稿 (Atom)
改正個人情報保護法 ホームページ無料点検
改正個人情報保護法施行に伴い、事業用ホームページの無料点検(京阪神地区限定)を始めました。 詳しくは http://c-hearts.biz/personal-information/inspection/
-
正規の名簿業者? 本稿でとくに断りがない限り、引用する法律は個人情報保護法で、 ガイドラインは個人情報保護委員会の個人情報保護ガイドラインです。 いわゆる名簿業者と言われるところから、名簿を購入することがあるかもしれません。従来から名簿を販売することが、直ちに違法では...
-
本稿でとくに断りがない限り、引用する法律は個人情報保護法で、ガイドラインは個人情報保護委員会の個人情報保護ガイドラインです。 個人情報保護法改正によりすべての事業者に安全管理措置が課せられます。 これが結論ですが、もう少し詳しく説明します。 事業者とは...
-
改正個人情報保護法施行により、早急に確認すべきことの一つに、ホームページでの個人情報の利用目的の公表があります(本当は改正前から重要事項でした)。多くのホームページにプライバシーポリシーが掲載され、その中で「予め定めた利用目的の範囲内で個人情報を取り扱います」という趣旨の記載...
