大阪の南森町駅徒歩1分にある女性弁護士事務所です

クレームをきっかけに、「個人情報を削除して欲しい」と
顧客から申し入れがなされることが多いようです。
個人情報保護法によれば、
あらかじめ定めた利用目的の範囲外で利用したり（16条違反）、
不正の手段によって個人情報が取得された場合に（17条違反）、
利用停止または消去を求めることができるに過ぎません（28条）。
紛争の解決のため、または紛争の拡大を避けるため、
個人情報の消去に応じるケースもあるようですが、
その顧客の情報がなくなると、
その後の対応が困難となる場合も予想されます。
事案ごとに慎重に対応すべきではないでしょうか。

個人情報保護法の規定では、個人情報を第三者に提供する場合は、
本人の承諾が必要です。
ただ、緊急時でも個人情報の取扱いを厳格にするあまり、
例えば、製品事故が発生した場合に、販売店が購入者に関する情報を
メーカーに提供できないなど、被害の拡大を阻止できないような
支障も生じていました。
平成１９年３月２１日付日本経済新聞によれば、
緊急時においては、本人の同意を得なくても、個人情報を提供できる
という例外について、各省庁が具体的に示す方針が固まったということです。
確かに最近は、「第三者提供には本人の同意が必要」という原則を前提に、
例外的な取扱いとして許されるかどうか、という相談が増えています。

個人情報が誤って流出してしまった場合に、
いかに慰謝料を算定するかは難題で、
過去の同種事例が大いに参考になります。
昨日、言い渡された判決では、
情報が漏洩して、迷惑メールなどの二次的被害を受けた被害者に対して、
３５，０００円（慰謝料３０，０００円＋弁護士費用５，０００円）の損害賠償金を
支払うものとされました。
これまでより高額な事例が出現したということになります。

グループ会社内で、「共同利用」にあたれば、
本人の同意がなくても第三者（他社）に個人データを提供できます。
個人情報保護法２３条４項は、次の場合に、本人の同意が不要としています。
1)　商品の配送などを委託する場合
2)　合併や事業譲渡などが生じ、データが移る場合
3)　グループ会社などで共同利用する場合（ただし、利用範囲、目的、責任者（窓口）などを
あらかじめ本人に通知しているか、本人が容易に知りうる状態にしているとき）
3)はこれまで販促の場面で活用されてきたものですが、
保護法のポイントを押さえれば、有効利用も可能といえます。

例えば、「読者プレゼント」に応募されたが、はずれてしまった方へ、
商品の案内などを送っていいかどうかは、
プレゼントへの応募を求める際に、個人情報の利用目的をどのように設定し、
通知しているかによります。
つまり、「当社から行う商品の紹介」等が利用目的に含まれていなければ
商品の案内をすることはできません。
個人情報を収集する際には、
その後の利用方法を検討して、利用目的を適正に通知しなければなりません。

昨年４月の個人情報保護法施行後、
学校における個人情報の取扱いには、
いろいろ問題が出ていました。
校内で旅行や運動会などの行事写真を
勝手に貼りだしてもいいのかどうか、
クラス緊急連絡網は配布してもいいのか、など。
写真自体は個人情報ではないので、
同意なしに掲示は可能、
連絡網も、本人の同意があれば配布可能です。
具体的には、入学案内や
新学年移行時に、連絡先等を記入する用紙上に、
連絡網として提供すること（使用目的）を明示して、
事前に同意を得ることになります。
同じ問題は
企業内の緊急連絡網にも当てはまります。
どうしても、掲載をして欲しくないという場合も
出てくるでしょうが、その場合は、
その人の情報は、掲載せず、上司から直接連絡を
とるなど、調整せざるを得ないでしょうね。

今日、友人から「無事子どもが生まれたよ」と連絡を
もらいました。少し前に、体調を崩していたので、とても
心配していましたが、本当にうれしかったです。
さて、今月１日から完全施行された個人情報保護法。
個人情報に関連しては、いろいろと問題がでてきているようです。
私は、大阪弁護士会の子どもの権利委員会に所属しているのですが、
子どもに関連して問題提起されているのが、
「卒業アルバム」「緊急連絡網」
卒業アルバムは、写真と名前がセットでのりますが、
何か事件が起これば、卒業アルバムからの写真が報道で
利用されることもあり、最近は、みなさんとても敏感になっています。
慎重にしようとすると、写真を撮る際に、
「アルバムに載せます」と同意をとることになりますし、
アルバム作成業者に渡すのは、第三者への提供にあたるとして、
その点に対する同意も必要になってきます。
さらに、連絡網を無断で作って良いのかという問題もあります。
学校が関与せず、作成をＰＴＡに任せているところもあるというのですが、
管理者がいないため、むしろその方が無断使用に対する
規制が行き届かない可能性もでてきます。
アルバムに関して言えば、末尾の名簿等については、やはり
掲載の可否について保護者の判断を要すると考えますが、
主要部分である写真・名前については、ある程度同意があると
捉えるべきなのではないかと考えます。
また、緊急連絡網に関しても、非常時のものであるとの考え方から、
学校が主体となって取扱のルールを徹底した上で、
作成・交付すべきではないかと思います。
その情報に対する保護者の意識を高めることが重要のはずですから。

しばらく電話で交渉を重ね、合意に至ったので、
合意書を作成するため、交渉の相手方に事務所にきてもらいました。
「電話の声は、辻本清美みたいだったから、びくびくしながら
きたんですよ～」と言われました。
思わず、「辻本さんみたいって、いい意味ですか？」と聞いたところ、
「しっかり、ハキハキしてたって意味ですから、いい意味です」
なんだそうです。
電話の対応はできるだけ明るく、と心がけているのですが、
気持ちは、ちょっぴり複雑だったりして。
さて、長々とお話ししてきました個人情報保護法ですが、
今日は、最後に「対策」を考えてみたいと思います。
利用目的の通知や安全管理措置など、法律によれば、
なんだかやるべきことがたくさんありそうです。
「何から手をつけたらよいのやら」という場合、
是非参考になさってください。
まず、具体的に何が求められているかというと、
◆責任部署の確定（情報管理や顧客対応の窓口の設置）
◆個人情報の利用目的の確定、必要に応じて公開
◆各種書類の整備
（顧客向け、従業員マニュアル、委託先との間の契約書）
◆漏洩防止のためのアクセス制限等の措置
◆従業員教育
◆検証作業
といったあたりです。
とすると、まずは、
●個人情報等の管理状況を確認する
●個人情報の管理を担当する部署を決める
●今、そして、これから、どのように個人情報を利用するかを
検討する。
●個人情報の重要性に応じて、アクセスできる人を限定する。
●機密性の高い（狙われやすい）個人情報の管理を厳重にする。
●個人情報の重要性を意識した社員教育を行う。
を行うべきです。
そして、この法律で、また、経済産業省のガイドラインでみっちり
規定されている安全管理措置については、最低限、
●個人情報が存在する部屋は戸締まりし、顧客名簿等は、
鍵のかかる場所に保管する。
●ウイルス対策ソフトを導入する。
●パソコンを破棄し、あるいは、リース会社に返還するときは、
データの消去を確実に行う。
●データのバックアップを取る。
●顧客情報の重要性に応じて、これにアクセスできる者を限定する。
●委託先にも同程度の安全管理措置を講じさせる。
というあたりを実践して下さい。
個人情報保護法の施行をきかっけに、その適用のいかんを問わず、
個人情報あるいは機密情報の管理状況を確認して頂ければ
と思います。

よく、弁護士バッジについて質問を受けます。
「金色と銀色があるのですか？」という質問ですが、
弁護士のなったときは金ぴかなのが、
次第にメッキがはげて銀色になるんですね～。
私はバッジを「極力付けない派」なので、
まだまだ、輝きを失いつつある途上です。
（ちょっと切ない表現ですが）
なので、テレビドラマで、キャリアのある弁護士が金ぴかのバッジを
つけていると、いかにも不自然です。
初対面の弁護士間では、
バッジで相手の登録年数の見当をつけることもあります。
ちなみに、あのバッジは、造幣局で作っていて、日本弁護士連合会が
それぞれの弁護士に「貸与」していることになっています。
裏には、登録番号が刻印してあり、
万一なくしたときは、再交付のために、始末書＋数万円が必要です。
再発行というのがわかるように「再」の刻印がされることになります。
なお、何十周年か記念に純金のバッジを作ったり、贈られたりする
人もいます。１０万円くらいするらしいですが。
では、個人情報保護法の解説を少し短めに。
個人情報保護法に定めた事柄を遵守しなかった場合は、
何か制裁があるのでしょうか。
まず、法律には、主務大臣による監督が規定されています。
「勧告」「命令」「緊急命令」の３種類です。
そして、その「命令」がなされたにもかかわらず、
個人情報取扱事業者がこれに従わないときは、罰則として、
６月以下の懲役もしくは３０万円以下の罰金を
科せられるおそれがあります。
つまり、法律違反だけでは、直ちに罰則が科せられるわけでは
ありません。
しかし、個人情報保護法が求める安全管理措置を講じずに
漏洩事故を起こしてしまった場合、社会的制裁を受けることは
いうまでもありません。
「本人」に対して損害賠償責任を負う可能性が高いでしょうし、
社会的評価が大きく傷つくことになります。
「本人」に対する損害賠償額は、その情報の重要性に
より決定されます。
少なくとも１万円。情報の内容によっては、数万円から数十万円に
なることでしょう。
これに、漏洩した人数を掛け合わせることになります。
また、この情報が詐欺等の犯罪行為に利用された場合、
本人がこれにより被った損害も、事業者が負担すると言うこと
になれば・・・。
そういった事件は、現実に発生しています。
また、情報は目に見えません。いったん流出した情報を
完全にせき止めることは不可能と言われています。
したがって、損害賠償責任もいわば「無限」に広がっていく
可能性があるのです。
漏洩事故が発生した場合の事業者のダメージは甚大です。
したがって、個人情報保護法の施行をきっかけに、
是非とも、社内の個人情報の利用・管理状況について
確認していただきたいと思います。
次回は、個人情報取扱事業者に該当しない事業者の
みなさんにも、再度確認していただきたい事項をお話しして、
個人情報保護法の解説を終了したいと思います。

裁判所で和解が成立しました。
裁判所へご本人に同行してもらったところ、
裁判長が穏やかにご本人の話を聞いてくれたこともあり、
金銭面の理解が得られました。
中には、ご本人の気持ちなど無視して、
とても厳しく発言する裁判官もいて、そんなときは、
ご本人も代理人たる私も、かなりへこんでしまいます。
では、個人情報保護法の解説を続けますね。
個人情報取扱事業者となるのは、
個人情報データベース等を事業の用に供している者で、
そのデータベースを構成する個人情報（個人データ）
から認識される特定個人の数が５００１件以上の場合でした。
その事業者が、個人データを６か月以上保有する場合は、
次のような義務を負うことになります。
個人データのうち、６か月以上保有されているものを
「保有個人データ」といいますが、
事業者は、その保有個人データについて、本人から
開示、内容の訂正、追加・削除、利用の停止を求められた場合は、
これに応じなければなりません。
ただし、事実でなく評価に関する訂正の請求であったり、
利用目的から訂正の必要がないと判断した場合は、
訂正等を行わなくてもかまいませんが、本人に対しては、
速やかにその理由を通知するしなければなりません。
なお、事業者は、本人からのこのような請求を受け付けるための
手続や窓口を定めることができ、
手続等を定めた場合はそれを明示しておく必要があります。
例えば、本人確認の方法や開示にかかる手数料など、
あらかじめ定めておかなければ混乱を生じる可能性がありますので、
この規定に基づき、手続を定めておくべきです。
上記のような本人からの請求は、
「保有個人データ」に対してなされるものです。
つまり、保有期間が６か月未満であれば「保有個人データ」にあたらず、
これに応じる義務はありません。
したがって、必要のない個人データは適宜、消去するなどして、
煩雑な作業を回避することも検討して下さい。
法律では、事業者に対し、個人情報の取扱いに関する苦情処理を
適切・迅速に行うよう努力せよと定めています。
専用窓口でなくとも、苦情処理が持ち込まれるべき窓口は
あらかじめ決めておくべきです。
最後のまとめとして、個人情報保護法施行前の最終確認事項は
また、改めて。