クレームをきっかけに、「個人情報を削除して欲しい」と
顧客から申し入れがなされることが多いようです。
個人情報保護法によれば、
あらかじめ定めた利用目的の範囲外で利用したり(16条違反)、
不正の手段によって個人情報が取得された場合に(17条違反)、
利用停止または消去を求めることができるに過ぎません(28条)。
紛争の解決のため、または紛争の拡大を避けるため、
個人情報の消去に応じるケースもあるようですが、
その顧客の情報がなくなると、
その後の対応が困難となる場合も予想されます。
事案ごとに慎重に対応すべきではないでしょうか。
個人情報保護法の規定では、個人情報を第三者に提供する場合は、
本人の承諾が必要です。
ただ、緊急時でも個人情報の取扱いを厳格にするあまり、
例えば、製品事故が発生した場合に、販売店が購入者に関する情報を
メーカーに提供できないなど、被害の拡大を阻止できないような
支障も生じていました。
平成19年3月21日付日本経済新聞によれば、
緊急時においては、本人の同意を得なくても、個人情報を提供できる
という例外について、各省庁が具体的に示す方針が固まったということです。
確かに最近は、「第三者提供には本人の同意が必要」という原則を前提に、
例外的な取扱いとして許されるかどうか、という相談が増えています。
個人情報が誤って流出してしまった場合に、
いかに慰謝料を算定するかは難題で、
過去の同種事例が大いに参考になります。
昨日、言い渡された判決では、
情報が漏洩して、迷惑メールなどの二次的被害を受けた被害者に対して、
35,000円(慰謝料30,000円+弁護士費用5,000円)の損害賠償金を
支払うものとされました。
これまでより高額な事例が出現したということになります。
グループ会社内で、「共同利用」にあたれば、
本人の同意がなくても第三者(他社)に個人データを提供できます。
個人情報保護法23条4項は、次の場合に、本人の同意が不要としています。
1) 商品の配送などを委託する場合
2) 合併や事業譲渡などが生じ、データが移る場合
3) グループ会社などで共同利用する場合(ただし、利用範囲、目的、責任者(窓口)などを
あらかじめ本人に通知しているか、本人が容易に知りうる状態にしているとき)
3)はこれまで販促の場面で活用されてきたものですが、
保護法のポイントを押さえれば、有効利用も可能といえます。
例えば、「読者プレゼント」に応募されたが、はずれてしまった方へ、
商品の案内などを送っていいかどうかは、
プレゼントへの応募を求める際に、個人情報の利用目的をどのように設定し、
通知しているかによります。
つまり、「当社から行う商品の紹介」等が利用目的に含まれていなければ
商品の案内をすることはできません。
個人情報を収集する際には、
その後の利用方法を検討して、利用目的を適正に通知しなければなりません。
昨年4月の個人情報保護法施行後、
学校における個人情報の取扱いには、
いろいろ問題が出ていました。
校内で旅行や運動会などの行事写真を
勝手に貼りだしてもいいのかどうか、
クラス緊急連絡網は配布してもいいのか、など。
写真自体は個人情報ではないので、
同意なしに掲示は可能、
連絡網も、本人の同意があれば配布可能です。
具体的には、入学案内や
新学年移行時に、連絡先等を記入する用紙上に、
連絡網として提供すること(使用目的)を明示して、
事前に同意を得ることになります。
同じ問題は
企業内の緊急連絡網にも当てはまります。
どうしても、掲載をして欲しくないという場合も
出てくるでしょうが、その場合は、
その人の情報は、掲載せず、上司から直接連絡を
とるなど、調整せざるを得ないでしょうね。
今日、友人から「無事子どもが生まれたよ」と連絡を
もらいました。少し前に、体調を崩していたので、とても
心配していましたが、本当にうれしかったです。
さて、今月1日から完全施行された個人情報保護法。
個人情報に関連しては、いろいろと問題がでてきているようです。
私は、大阪弁護士会の子どもの権利委員会に所属しているのですが、
子どもに関連して問題提起されているのが、
「卒業アルバム」「緊急連絡網」
卒業アルバムは、写真と名前がセットでのりますが、
何か事件が起これば、卒業アルバムからの写真が報道で
利用されることもあり、最近は、みなさんとても敏感になっています。
慎重にしようとすると、写真を撮る際に、
「アルバムに載せます」と同意をとることになりますし、
アルバム作成業者に渡すのは、第三者への提供にあたるとして、
その点に対する同意も必要になってきます。
さらに、連絡網を無断で作って良いのかという問題もあります。
学校が関与せず、作成をPTAに任せているところもあるというのですが、
管理者がいないため、むしろその方が無断使用に対する
規制が行き届かない可能性もでてきます。
アルバムに関して言えば、末尾の名簿等については、やはり
掲載の可否について保護者の判断を要すると考えますが、
主要部分である写真・名前については、ある程度同意があると
捉えるべきなのではないかと考えます。
また、緊急連絡網に関しても、非常時のものであるとの考え方から、
学校が主体となって取扱のルールを徹底した上で、
作成・交付すべきではないかと思います。
その情報に対する保護者の意識を高めることが重要のはずですから。
しばらく電話で交渉を重ね、合意に至ったので、
合意書を作成するため、交渉の相手方に事務所にきてもらいました。
「電話の声は、辻本清美みたいだったから、びくびくしながら
きたんですよ~」と言われました。
思わず、「辻本さんみたいって、いい意味ですか?」と聞いたところ、
「しっかり、ハキハキしてたって意味ですから、いい意味です」
なんだそうです。
電話の対応はできるだけ明るく、と心がけているのですが、
気持ちは、ちょっぴり複雑だったりして。
さて、長々とお話ししてきました個人情報保護法ですが、
今日は、最後に「対策」を考えてみたいと思います。
利用目的の通知や安全管理措置など、法律によれば、
なんだかやるべきことがたくさんありそうです。
「何から手をつけたらよいのやら」という場合、
是非参考になさってください。
まず、具体的に何が求められているかというと、
◆責任部署の確定(情報管理や顧客対応の窓口の設置)
◆個人情報の利用目的の確定、必要に応じて公開
◆各種書類の整備
(顧客向け、従業員マニュアル、委託先との間の契約書)
◆漏洩防止のためのアクセス制限等の措置
◆従業員教育
◆検証作業
といったあたりです。
とすると、まずは、
●個人情報等の管理状況を確認する
●個人情報の管理を担当する部署を決める
●今、そして、これから、どのように個人情報を利用するかを
検討する。
●個人情報の重要性に応じて、アクセスできる人を限定する。
●機密性の高い(狙われやすい)個人情報の管理を厳重にする。
●個人情報の重要性を意識した社員教育を行う。
を行うべきです。
そして、この法律で、また、経済産業省のガイドラインでみっちり
規定されている安全管理措置については、最低限、
●個人情報が存在する部屋は戸締まりし、顧客名簿等は、
鍵のかかる場所に保管する。
●ウイルス対策ソフトを導入する。
●パソコンを破棄し、あるいは、リース会社に返還するときは、
データの消去を確実に行う。
●データのバックアップを取る。
●顧客情報の重要性に応じて、これにアクセスできる者を限定する。
●委託先にも同程度の安全管理措置を講じさせる。
というあたりを実践して下さい。
個人情報保護法の施行をきかっけに、その適用のいかんを問わず、
個人情報あるいは機密情報の管理状況を確認して頂ければ
と思います。
よく、弁護士バッジについて質問を受けます。
「金色と銀色があるのですか?」という質問ですが、
弁護士のなったときは金ぴかなのが、
次第にメッキがはげて銀色になるんですね~。
私はバッジを「極力付けない派」なので、
まだまだ、輝きを失いつつある途上です。
(ちょっと切ない表現ですが)
なので、テレビドラマで、キャリアのある弁護士が金ぴかのバッジを
つけていると、いかにも不自然です。
初対面の弁護士間では、
バッジで相手の登録年数の見当をつけることもあります。
ちなみに、あのバッジは、造幣局で作っていて、日本弁護士連合会が
それぞれの弁護士に「貸与」していることになっています。
裏には、登録番号が刻印してあり、
万一なくしたときは、再交付のために、始末書+数万円が必要です。
再発行というのがわかるように「再」の刻印がされることになります。
なお、何十周年か記念に純金のバッジを作ったり、贈られたりする
人もいます。10万円くらいするらしいですが。
では、個人情報保護法の解説を少し短めに。
個人情報保護法に定めた事柄を遵守しなかった場合は、
何か制裁があるのでしょうか。
まず、法律には、主務大臣による監督が規定されています。
「勧告」「命令」「緊急命令」の3種類です。
そして、その「命令」がなされたにもかかわらず、
個人情報取扱事業者がこれに従わないときは、罰則として、
6月以下の懲役もしくは30万円以下の罰金を
科せられるおそれがあります。
つまり、法律違反だけでは、直ちに罰則が科せられるわけでは
ありません。
しかし、個人情報保護法が求める安全管理措置を講じずに
漏洩事故を起こしてしまった場合、社会的制裁を受けることは
いうまでもありません。
「本人」に対して損害賠償責任を負う可能性が高いでしょうし、
社会的評価が大きく傷つくことになります。
「本人」に対する損害賠償額は、その情報の重要性に
より決定されます。
少なくとも1万円。情報の内容によっては、数万円から数十万円に
なることでしょう。
これに、漏洩した人数を掛け合わせることになります。
また、この情報が詐欺等の犯罪行為に利用された場合、
本人がこれにより被った損害も、事業者が負担すると言うこと
になれば・・・。
そういった事件は、現実に発生しています。
また、情報は目に見えません。いったん流出した情報を
完全にせき止めることは不可能と言われています。
したがって、損害賠償責任もいわば「無限」に広がっていく
可能性があるのです。
漏洩事故が発生した場合の事業者のダメージは甚大です。
したがって、個人情報保護法の施行をきっかけに、
是非とも、社内の個人情報の利用・管理状況について
確認していただきたいと思います。
次回は、個人情報取扱事業者に該当しない事業者の
みなさんにも、再度確認していただきたい事項をお話しして、
個人情報保護法の解説を終了したいと思います。
裁判所で和解が成立しました。
裁判所へご本人に同行してもらったところ、
裁判長が穏やかにご本人の話を聞いてくれたこともあり、
金銭面の理解が得られました。
中には、ご本人の気持ちなど無視して、
とても厳しく発言する裁判官もいて、そんなときは、
ご本人も代理人たる私も、かなりへこんでしまいます。
では、個人情報保護法の解説を続けますね。
個人情報取扱事業者となるのは、
個人情報データベース等を事業の用に供している者で、
そのデータベースを構成する個人情報(個人データ)
から認識される特定個人の数が5001件以上の場合でした。
その事業者が、個人データを6か月以上保有する場合は、
次のような義務を負うことになります。
個人データのうち、6か月以上保有されているものを
「保有個人データ」といいますが、
事業者は、その保有個人データについて、本人から
開示、内容の訂正、追加・削除、利用の停止を求められた場合は、
これに応じなければなりません。
ただし、事実でなく評価に関する訂正の請求であったり、
利用目的から訂正の必要がないと判断した場合は、
訂正等を行わなくてもかまいませんが、本人に対しては、
速やかにその理由を通知するしなければなりません。
なお、事業者は、本人からのこのような請求を受け付けるための
手続や窓口を定めることができ、
手続等を定めた場合はそれを明示しておく必要があります。
例えば、本人確認の方法や開示にかかる手数料など、
あらかじめ定めておかなければ混乱を生じる可能性がありますので、
この規定に基づき、手続を定めておくべきです。
上記のような本人からの請求は、
「保有個人データ」に対してなされるものです。
つまり、保有期間が6か月未満であれば「保有個人データ」にあたらず、
これに応じる義務はありません。
したがって、必要のない個人データは適宜、消去するなどして、
煩雑な作業を回避することも検討して下さい。
法律では、事業者に対し、個人情報の取扱いに関する苦情処理を
適切・迅速に行うよう努力せよと定めています。
専用窓口でなくとも、苦情処理が持ち込まれるべき窓口は
あらかじめ決めておくべきです。
最後のまとめとして、個人情報保護法施行前の最終確認事項は
また、改めて。
今日は何年ぶりかで歯医者に行きました。
360度のぐるりと撮影したレントゲンが画面上に映し出され、
「うわぁ、イマドキ!」と感心。
予想外に親しらずを抜くことになってしまいました。
念のため、親しらず休暇を確保してからにします。
さて、引き続き個人情報保護法の解説を。
DM作業など、個人情報を委託先企業に渡す場合についても、
法は定めをおいています。
個人情報取扱事業者は、委託先に対し、
「必要かつ適切な監督をなさなければならない」のです。
したがって、
委託先との間では、守秘義務契約を締結することはもちろん、
安全管理措置が導入されているか、その後も安全管理体制が十分
機能しているかどうかをチェックしなければなりません。
これを怠ると、万一漏洩事故等が発生した場合、
委託者が責任を負う可能性が濃厚です。
この規定を根拠にして個人情報取扱事業者は委託先に対し、
高度な安全管理体制を求めるでしょう。
確かに、個人情報に関連する業務委託が行われる場合、
いわゆる下請け先になればなるほど、
より一層、危機意識が希薄になる傾向は否めません。
したがって、前回お話しした「人」に対する教育・監督は、
業務委託がからむ場面で特に重要となります。
なお、そもそも、このように個人情報取扱事業者以外の者に
個人情報を提供することには問題がないのでしょうか。
まず、先ほどの業務委託契約に基づく委託先へ個人情報の提供は、
本人の同意なく可能です。
しかし、全くの第三者に対しては、
原則として、本人の同意なく提供することはできません。
「原則」ということは例外があります。
しかも、これが大きな例外。
すなわち、第三者への提供に際し、
法律が定める一定の事項を本人に通知し、又は、
本人が容易に知りうる状態においておくとともに、
本人の求めに応じて第三者への提供を停止する場合には、
本人の同意なく第三者への提供が可能なのです。
住宅地図販売業者やダイレクトメール用の名簿販売業者
などは、この方法により第三者提供を正面から行っています。
(不正な方法により取得した個人情報を扱うことはもちろんできません)
ちなみに「本人が容易に知りうる状態におく」の例として、
経済産業省ガイドラインでは、ウェブ画面上から1回程度の操作で
到達できる場所へ継続的に掲載されている場合をあげています。
個人情報保護法がザル法ではないか、という批判は
ここにあるようです。
もう少しだけ、個人情報保護法におつきあい下さい。
今日は少し冷たい雨でした。
インターネット上の掲示板に名誉を毀損するような書き込みがあり、
とりあえず削除したいと言う相談がありました。
この書き込みは、随分長い間、気付かず放置されていたようです。
ひとまず、掲示板管理者に削除請求を行うことになりそうです。
さて、今日は、取得した個人情報を個人データ化した後の
安全管理についてお話しします。
個人情報取扱事業者は、データ内容の正確性を確保しなければなりません。
まず、定期的に点検する必要があります。
そして、この法律で最も重要視されているのは、
「安全管理措置の義務づけ」だと思われます。
個人情報取扱事業者は、個人データの漏洩、滅失または毀損の防止等、
個人データの安全管理のため、組織的・人的・物理的・技術的な
安全管理措置を講じなければなりません。
経済産業省のガイドラインでは、安全管理措置の具体例がかなり
詳細に示されています。骨子は次の通りです。
◇組織的安全管理措置
安全管理について従業者の責任と権限を明確に定め、安全管理に対する
規定やマニュアルを整備運用し、その実施状況を確認すること。
◇人的安全管理措置
従業者との間で、業務上秘密と指定された個人データの守秘義務契約を
締結したり、教育・訓練を行うこと。
◇物理的安全管理措置
入退室の管理、個人データの盗難防止等の措置
◇技術的安全管理措置
個人データ及びそれを取り扱う情報システムへのアクセス制御、
不正ソフトウェア対策、情報システムの管理などを行うこと。
ただ、どんなに物理的に安全管理措置を講じても、「人」が故意に行う
漏洩を完全に防止することは難しいと思われます。
リストラや転職が当たり前の雰囲気の中、会社の貴重な財産である
個人情報が軽々しく扱われるおそれは否めません。
やはり従業者に対する教育・監督が最も重要ではないでしょうか。
この従業者とは、雇用関係にある従業員(パート、アルバイトを含む)
のみならず、会社の役員、派遣社員等も含まれます。
ただし、従業者に対する監督を厳しくするにも注意点があります。
モニタリングに関しては、あらかじめモニタリングの目的を特定して、
社内規定に定め、それを従業者に明示しておく必要があります。
(電子メール等のチェックにも通じますね)
法律が定める安全管理措置が一筋縄ではいきそうにないということで、
情報セキュリティ関連の業者さんは商売繁盛とのこと。
しかし、何度でも言いますが、最後は「人」なんです。
次回は、もう少し安全管理のお話など・・・
雨の一日でしたが、ぞくっとした寒さはなくなりましたね。
さて、今日は、個人情報を取得する場面での注意点につき解説します。
個人情報を書面により取得する場合、例えば、
顧客が申込書にしたり、ウェブ画面から顧客が入力した情報を
取得する場合には、あらかじめ、本人(顧客)に対し、
「利用目的」を明示しなければなりません。
個人情報取扱事業者としては、申込書等に個人情報の利用目的を
記載しておく、あるいは、顧客が入力作業をするウェブ画面上に
利用目的を明示しておくなどの措置をとっておく必要があります。
他方、書面によらず、個人情報を取得した場合は、
あらかじめ利用目的を明示している場合を除き、
速やかに本人に対し、利用目的を通知しまたは公表しなければ
なりません。
通知または公表する方法としては、店舗への掲示、
ホームページ上の目の止まりやすい箇所への明示などが
あげられます。
なお、「利用目的」はできる限り特定されていなければなりません。
経済産業省のガイドラインによれば、
「事業活動に用いるため」「マーケティング活動に用いるため」では
特定できているとはいえず、
「○○事業における商品の発送、関連するアフターサービス、
新商品・サービスに関する情報のお知らせのために利用します」と
いう程度まで特定することが必要とされています。
したがって、事業者としては、まず、
現在、個人情報をどのように事業に活用しているのか、
将来はどうするのかを検討し、その目的を明示する必要があります。
一度利用目的を定めると、その目的に拘束され、顧客の同意なしに、
それを超えて個人情報を利用することができなくなりますから、
ここは慎重に対処して下さい。
次回は、個人情報取扱事業者の義務について、
さらに見ていきたいと思います。
4月1日、個人情報保護法が完全施行されます。
国や自治体に対しては、すでに施行されていましたが、
それが民間業者にも適用されるのです。
そもそも個人情報とは、生存する特定の個人が識別できる情報
であり、氏名・住所のみならず、他の情報と容易に照合して
特定の個人を識別できる情報は「個人情報」にあたります。
したがって、会員番号等であっても、同じ顧客名簿に存在する
氏名等と照合することにより、特定の個人を認識できることから
個人情報に該当することになります。
また、顧客のみならず、会社の従業員や役員、採用応募者など
の情報も含まれますし、公刊物等で公にされている情報も
含まれます。
その個人情報が検索可能なように体系的に整理されたものが
個人データです。エクセル等によりデータベース化されたもののほか、
一定の規則(例えば五十音順)に従って整理・分類され、
検索可能な状態にされている紙の情報も
個人データにあたります。
例えば、会社の営業マンが名刺をざくっと箱に入れている場合は、
個人データには当たりませんが、それが50音順に整理され、
インデックスがつけられるなどして、
他人によっても検索可能な状態におかれているのであれば、
個人データに該当することになります。
そして、この法律の適用があるのは、過去6か月の内に5000人
を超える個人データを事業に用いたことのある事業者です。
そのような事業者を個人情報取扱事業者と言います。
個人情報取扱事業者には様々な義務が課せられます。
その概要は次回に。
