法令遵守(コンプライアンス)の必要性 : どの程度の義務なのか

個人情報保護法上、個人情報取扱事業者に該当すると様々な義務が課せられると聞いています。これは全部守らないといけないのですか。

義務の種類によって若干の違いはありますが、個人情報保護法上の各規定は、単なる努力義務ではなく、法的義務として定められています。そのため法律上の義務はきちんと遵守する必要があります。違反が問題になると所轄官庁からの改善命令が発令されることがあり、これに違反すると罰則の対象にもなります。また今は社会が敏感ですからコンプライアンス違反によるレピュテーションダウンが一番のダメージでしょう。

派遣労働者の個人情報保護 : 取扱事業者でなければ保護の必要は無いのか

私は派遣労働者として就業していますが、派遣登録先が私の個人情報を漏洩してしまいました。派遣先は小さい会社で、個人情報保護法が適用されないようです。私の個人情報は保護されないのでしょうか。

個人情報保護法が適用されなくても、労働者派遣法に個人情報の保護規定がおかれていますので、一定の保護の対象となります。また漏洩事故が起こった場合には、個人情報保護法ではなく民法の不法行為に基づく損害賠償請求が可能です。

行政機関における個人情報保護 : 行政機関にも個人情報保護義務があるのか

ある国立の病院で受診していますが自分の個人情報がどのように記載されているのかが不安です。今話題になっている個人情報保護法を利用して開示の請求を行ったりすることはできるでしょうか 。

2003年に成立したいわゆる個人情報保護法中の開示請求の規定は、民間部門を対象としたものですので、この法律を根拠にした請求はできません。もっとも 国立の病院であれば、行政機関個人情報保護法が適用され、これに基づいて請求をすることができます。http://www.soumu.go.jp/main_sosiki/gyoukan/kanri/kenkyu.htm

もっとも医療情報については開示によって本人の健康をより害するような場合には、開示されない場合があります。

削除義務の有無:保有している個人情報の削除を求められた場合削除しないといけないのか

当方は通信販売を行っている会社です。あるお客様より「もう通信販売を利用しないので自分の個人情報を削除して欲しい」との要求を受けました。このお客様に対しては今後DM送付などの営業活動は行わない予定にしておりますが、営業データを分析したり、あとあとトラブルになったときのために、個人情報は保管しておきたいと考えています。当社において削除する義務はあるのでしょうか。

個人情報保護法上、個人情報を目的外で利用していたり(16条)、不正の手段で個人情報を取得していた場合以外には、本人が個人情報取扱事業者に対して個人情報の削除を要求できる権利は認められていません(27条)。また27条は「違反を是正するために必要な限度において」の利用停止や削除が義務づけられているのみです。そのため目的外利用を行っていた場合における「違反の是正」は、通常は利用停止を行えば「必要な限度」における是正を行ったと認められるでしょう。そのため27条により削除が義務づけられるのは、事実上、不正の手段で個人情報を取得した場合のみとなります。 「不正の手段」で取得したとされるのは、詐欺や錯誤に乗じた取得、事理弁識能力の無い者からの取得、第三者提供の同意が無いことを認識した上での取得などです。 結果、これらに該当しない、通常の業務過程において取得した個人情報については、法的には削除義務は発生しないということになります。 当然のことながら、個人情報の保有リスクをCS的観点から任意に削除するのは、法令上の保管年限が定められているのでない限り自由となります。

開示等の求め:6ヶ月以内に削除する情報についても義務を負うのか

当社は懸賞による賞品のPRを受託している企業です。依頼企業に代わって懸賞の受付を行います。この業務によって取得する個人情報はデータベース化されますが、6ヶ月以内には削除されます。この場合、保有個人データに関する事項の公表や、開示等の求めへの対応など、個人情報保護法の24条以下の規定は適用されますか。また6ヶ月以内に終了する懸賞が複数回行われ、期間が重複することにより、同一の依頼企業の懸賞を6ヶ月以上にわたって受託することがあります。この場合は保有個人データに該当しますか。

6ヶ月以上に渡って保有することが予定されている個人データであって、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有しているものは「保有個人データ」に該当します。保有個人データを保有している場合には、個人情報保護法の24条から27条の規定が適用されることになります。もっとも受託業務で保有しているデータについては多くの場合、委託企業との関係において、「開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限」を有して いないでしょうから、保有個人データには該当しない場合が多いでしょう。その場合には結果として個人情報保護法の24条から27条の規定が適用されません。 なお保有個人データに該当するか否かは、個々の個人データ毎に判断します。実際に行っている業務の受託期間とは関係がありません。ある業務の委託期間が6ヶ月以上であっても、個人データを3ヶ月しか保有する予定が無いのであれば、保有個人データには該当しません。一方、委託期間が3ヶ月であっても、委託期間が終了した後も保有する予定で、その期間が6ヶ月を超える場合には、保有個人データに該当することになります。

その他:社内システムの教育に際して実際の個人情報を使用してもよいか

当社ではお客様の個人情報をデータベース化し、サーバーに格納しています。従業員にデータベースの使用方法を教育する際、実運用されているサーバーとは別のサーバーを用意し、データベースのコピーを作成して、これを利用したいと考えています。このような方法は個人情報保護法などに抵触しますか?

個人情報を従業員の教育目的に利用してることになりますが、まずこの利用目的を公表する義務があるか否かが問題となります。この点、利用している個人情報や実施する業務の特性上、お客様の実際のデータベースを利用することが実務上必須不可欠である場合には、「利用目的が明らかな場合」に含めて解釈し、利用目的の公表が不要と解釈する余地があります。一方、単にサンプルデータの作成の手間を省くためだけであれば、「従業員の教育のため」を利用目的として公表する必要があるでしょう。 次にデータベースのコピーを作成する点については、教育の実施上、かかるコピーに合理性があるか否かによります。安全管理を考える上においては、原則としては、必要がない限りは個人情報データベースの複製を作成しない方が望ましいです。しかし例えばデータベースの操作に習熟していない従業員が操作を誤り、個人情報を消去してしまう可能性があるような場合には、逆に個人情報の安全性を損ねてしまうこととなりますの、複製を利用した方がが望ましいでしょう。

個人情報の収集:ホームページで収集する場合の表示の仕方

当社は不動産関連企業で、プライバシーマークの取得を検討しています。今回、ホームページ上で、通販やメールニュースの申込を受け付けることとしています。申し込まれる方に対し、当社における個人情報の利用目的がわかる形にしておく必要があると考えていますが、送信ボタンに「同意する」などと表示させた方が良いでしょうか?それともホームページ経由での個人情報の送信はそもそも行わない方が良いのでしょうか。

個人情報保護法18条2項では、個人情報を書面等で取得する場合には、利用目的を事前に明示する必要があるとされており、経済産業省ガイドラインではホームページも同様とされています。一方、プライバシーマーク制度では、個人情報の利用目的については、原則として、本人の同意を得ることが必要とされています。今後御社がプライバシーマークの取得を目指しているのであれば、個人情報保護法上で要求される単なる明示ではなく、利用目的についての同意を得るようにしたほうが望ましいでしょう。 もっともプライバシーマークにおける考え方でも、「同意」に署名捺印が必要だとは考えられていません。ホームページ上で、個人情報の主体たる本人に、個人情報の利用目的が具体的に記載され、且つ、ボタンを押す際に、ボタンを押すと個人情報の利用目的に同意したことになる旨がわかりやすく示されていれば、「利用目的について同意を得た」と考えて問題ないでしょう。

その他:通信を傍受されて個人情報が漏洩した場合に責任はあるのか

当社ではホームページ上にメール送信のためのCGIを設置し、お客様から当社にご連絡していただく際にご利用いただいています。ホームページの開設にはレンタルサーバーを利用しており、サーバーから当社にメールが到達するまでの間に通信が傍受されてしまうと、情報が漏洩する可能性が存在しています。このようなシステムで情報が漏洩した場合に当社は法的な責任を負いますか?

情報がネットワークスニッフィング(通信傍受)で漏洩したという事例はあまり見かけませんが、万が一の場合の法律問題を検討する際には、個人情報保護法上の問題と民法上の問題を検討する必要があります。 個人情報保護法上、個人情報の安全管理義務が発生する対象は「個人データ」、すなわちデータベース化された個人情報のみです。メール送信CGIがサーバー内にログを残さない仕組みになっている場合には、サーバーから発信されるメールが個人情報を含んでいたとしても、この個人情報は、法形式上は、「個人データ」には該当せず、安全管理義務を負わないことになります。一方、サーバー内にログを残すシステムになっている場合で、システム上ログ内の情報が検索可能になっている場合には、「個人データ」に該当し、安全管理義務を負うことになります。 もっとも現在のところ、「メールで個人情報を送信すること」は、あまり望ましくないとは言われるものの、それが直ちに安全管理義務に反するものとは解されていません。メールCGIの場合には、送信先のアドレスを間違えたり、サーバーに侵入されて、ログを取得されたり、送信先アドレスを書き換えられたり、自社内で傍受されたりすると安全管理義務違反があったとなる可能性が高いでしょう。 民法上は、メールの内容が漏洩することにより、個人のプライバシーが侵害される結果となった場合に、損害を賠償する義務が発生することとなります(民法709条)。これは単に個人情報が漏洩しただけではなく、漏洩した内容が、個人にとって秘匿を欲する内容であって、未だ公となっていない情報であることが必要です。さらに民法709条は過失責任規定ですので、過失無くして漏洩した場合には、賠償義務を負いません。過失とは「義務違反」をいうのですが、ネットワーク回線の傍受による漏洩の場合に過失が認定されるかについては、現在のところ先立つ裁判例が無く、未だ結論は出ていません。もっとも当職の私見としては、①送信されることとなる情報がプライバシー情報、決済情報、信用情報、センシティブ情報、企業秘密等高度に秘匿性が高い情報であって、②同種の情報についてはSSL等の暗号化措置を執って送信するのが一般的である場合や、漏洩した経路が自社の構内でワイヤ・タッピングされるなど、自らの管理範囲下で行われた場合には過失が認定される可能性が高いでしょう。一方、①想定される情報が単なる問い合わせ情報等類型的に秘匿性が低いもので、②システムが単なる「メール送信システム」であることが明示されている場合には、過失が認定される可能性は低いでしょう。なお現在のインターネット関連システムの通常の技術水準からすると、後者の場合に、メール送信CGIを使用すること自体に過失であると認定される可能性は低いと思われます。

その他:本人に関係無く本人に関係する情報の変更があった場合、情報の変更には本人の同意が必要か

当社は人材派遣業務を行っています。銀行が合併するのに伴い、いくつかの支店で店番が変わります。派遣社員の給与振込先についても変更が必要となってくるのですが、これは当社の側で行ってもよいのでしょうか。それとも本人から申告させるべきなのでしょうか。

法律及び規格(JIS Q 15001)上、本人の個人情報の中身そのものに関する規制は、正確性を保つということと、訂正削除に応じることのみです。本人に関する情報を管理する際、これらの規制を遵守している限りは、情報の追加、変更、修正にあたって本人の同意が必要になるということはありません。また正確性を保つという意味であれば、変更した方が望ましいという考え方もできるでしょう。もっとも個人情報保護の問題からは離れますが、本人に安心してもらうためにも、会社側で店番号を変更したということは、通知してあげた方が良いでしょう。

法律施行前に収集した個人情報:個人情報保護法施行後も利用できるのか

個人情報が施行される前に入手した個人情報を利用して顧客に年賀状やイベント案内を送付しています。今後も継続したいと考えていますが、法律施行に伴い、何か対策を行う必要はありますか?

個人情報保護法が施行される前に入手していた個人情報については、入手当時の利用目的に年賀状やイベント案内の送付が含まれていたのであれば、個人情報保護法の施行後も、引き続き利用することができます。ただし会社としてその個人情報の利用目的を特定する作業を行うこと(同法15条1項)、特定された利用目的を公表しないこと(同法18条1項)は、個人情報保護法に違反することになりますのでご注意ください。