写真の取扱:会社が発行する機関誌に顧客の写真を載せてもよいのか

写真の取扱:当社では社内報を発行していますが、その中でお客様に登場していただくことがあり、写真や氏名を記載しています。法律上問題はありませんか?

個人情報保護法上の規制及びプライバシー権の侵害とならないかが一応問題となります。しかしながら、どちらの場合も本人の同意がある場合には、同意の範囲内において問題が発生することはありません。実務上重要なのは、その同意が法律上有効な同意といえるだけの条件を満たすために、同意を得るにあたっては、そのお客様が登場するページのゲラ等をきちんとご確認いただくこと、その機関誌の頒布の範囲、部数、期間を事前にお伝えすることが重要です。

法令違反に対する罰則 : 名簿屋に名簿を売ると賠償義務を負うのか

いわゆる「名簿屋」から名簿を売って欲しいと頼まれました。結構な額を提示されましたが売るとやはり違法でしょうか。

個人情報取扱事業者はあらかじめ本人の同意を得ない場合には個人情報を第三者に提供できません(個人情報保護法第23条1項)。また個人情報取扱事業者に該当しないとしても、名簿の売買は、昨今の情報倫理上・個人情報保護意識からは許されるものではなく、またプライバシー権の侵害となって民事的な損害賠償の対象となる可能性がありますので厳に慎むべきです。

開示の求め:拒めるのはどういう場合か

企業から社員の日常の健康状態の管理を請け負っている企業です。社員本人から当社が保有している情報の開示を求められた場合、これに応じる必要はありますか。

開示の求めを拒めるのは個人情報保護法上、一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合 二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合 三 他の法令に違反することとなる場合です。本人の健康状態の開示が一に該当する可能性はかなり低いでしょう。御社の業務が社員に秘匿されて初めて本来の目的を達成しうるものであれば二に該当する可能性はあります。しかし一般的には本人の健康状態を秘匿しないと目的を達成できないというのはまれなケースでしょう。そして一般の企業ではこういった情報の守秘義務を定める法律は見あたりません。そのため、三にも該当しないでしょう。  結果、本人からの開示の求めには応じなければならないと思われます。

ガイドライン : コンプライアンス体制の構築に際して参考とすべき指針はどれか

当社では個人情報保護法へのコンプライアンス体制を強化しようと考えています。その際に、何か指針になるようなものはありますか。

一般の企業向けとしては、経済産業省、厚生労働省より以下のガイドラインが示されています。なおこれらのガイドラインはよくある問題ついての一定の判断基準を示してはいますが、すべての課題を解決してくれるものではありません。個別具体的な問題については、アドバイザーに相談する等の対策が必要でしょう。

個人情報の保護に関する法律についての経済産業分野を対象としたガイドライン雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針

個人情報の取得方法:表札をみて居住者のリストを作成することは違法か

当社は不動産販売業者です。自社が販売した物件が転売された際に、新しい入居者を訪問して、本人から名前を聞いたり、不在の場合には表札から名前を取得しています。これは個人情報保護法上適法ですか?

御社が新しい入居者を訪問した際、その新しい入居者が御社からの質問に答えたり、アンケートに記入するなどして、任意に御社に対して情報を提供しているのであれば、法律に対する抵触の問題を生じることはありません。もっとも入手した個人情報の利用目的を公表することは必要ですし、書面により取得する場合には、当該書面に利用目的を記載する必要があります。 個人情報保護法17条では、不正な手段での個人情報の取得が禁止されています。しかし表札からの氏名の取得が不正な手段と評価されることはないでしょう。

個人情報の取得:株主総会のビデオ撮影は個人情報保護法上問題無いか

株主総会の模様をビデオで撮影する予定です。後ろから撮影するだけなので個人情報保護法上問題は無いでしょうか?

個人を特定しうる映像情報は個人情報に該当します。株主総会を後ろから撮影する場合、ほとんどの方の顔は写らないでしょうが、質問される方や会社の役員等の顔が撮影されますので、このようなビデオ撮影も「個人情報の取得」として扱うべきでしょう。また株主の質問では、出席番号を言ってから質問させると思われますが、会社側では出席番号から個人の特定が可能ですので、たとえ氏名を言わなかったとしても、出席番号や、その質問内容が個人情報に該当することになるでしょう。 すると、ビデオ撮影にあたっては、事前または事後に、個人情報の利用目的の通知又は公表が必要になります。実際には、「総会議事進行の記録のため」や「防犯のため」といった利用目的を、招集通知に記載したり、会場に張り紙をしたりして、本人に公表するのが便宜な方法でしょう。

個人情報の収集:個人情報の収集は予め本人の同意を得る必要があるのか

採用活動の際に応募者から提出される履歴書・職務経歴書・エントリーシート等は、収集する前に「個人情報の直接収集に関する同意書」等に署名をもらっておくべきでしょうか?

個人情報保護法上、個人情報の収集の際の規制は、利用目的の明示と不正取得の禁止のみです。個人情報を第三者に提供するというような場合でなければ、法律上、取得に際して同意は特に要求されていません。 もっとも採用の際には本人から書面により個人情報を取得することになりますので、かならず事前に利用目的を明示する必要があります。面接の時点では遅いのです。そのため採用案内等に利用目的を掲示するなどして、利用目的が応募者の目に留まる状態にしておく必要があります。

個人情報の収集:日本国外での収集行為に適用されるか

当社は米国法人ですが、米国で運営しているサーバーで日本人向けのホームページを作成し、日本人から個人情報を収集しています。当社は関連会社に日本法人があるのですが、米国法人から日本法人に、収集した個人情報を提供する場合があります。このような行為は個人情報保護法に抵触しますか。

個人情報保護法は日本の法律ですので、日本国外で行われる行為については、規制の対象となりません。日本人向けに作成されたホームページは規制の必要性は高いのですが、法人とサーバーの所在が日本国外であれば、法律の執行が不可能です。 米国法人から日本法人に個人情報が提供される場合、個人情報保護法の第三者提供の規制は、あくまでも提供する側に課されます。そのため提供する側が米国法人であれば、やはり規制が不可能です。 もっとも個人情報保護法は17条で「偽りその他不正の手段」による個人情報の取得を禁止しています。米国法人を介することにより事実上個人情報保護法の規制を免れた形で、個人情報の利用目的や、第三者提供への同意を得ることなく取得された情報については、これを取得すると、「偽りその他不正の手段」によって取得したと判断される可能性があります。そのため日本法人における個人情報保護法の遵守の確実を期するためには、米国法人においても、個人情報保護法を実質的には遵守した取扱が必要となるでしょう。

直接収集の該当性:他人の名義での情報収集は可能か

ある通信会社のサービスの営業代行を行っています。申込書の宛名は通信会社になっていますが、当社でも売上などの集計のために、申込み情報をデータベース管理しています。法的に問題は無いですか?

個人情報保護法第17条は「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。」と規定しています。そのため情報の収集主体の名義を偽ったりすると、この条文に違反することになります。完全にその通信会社の指揮下で活動し、御社独自に情報を収集・保管しないのであればよいのですが、自社名義でも何からの活動をして主体的に個人情報を利用するのであれば、御社の名刺を示すなどして、収集主体を明示しないといけません。同法18条2項では書面で個人情報を入手する場合には予め利用目的を明示しなければならないとされています。通信会社が用意した申込書を修正して利用するのは難しいでしょうから、営業の際に、口頭で、「当社においても御社の情報については売上等の集計のために利用します」と伝えるか、その旨を記載した書面を別に作成してお渡しする必要があるでしょう。