法務ネット　Ｑ＆Ａ

最近のトレンドを知りたくなって読んでみました。が、SEOはどうも先祖がえりしているようで、住太陽さんが元祖本を出したときの対策と同じになってきているように感じます。“””

当方は不動産仲介業者です。知り合いの業者から名簿を取得してＤＭを発送するなどの営業活動を行うことがあるのですが、このような行為は違法でしょうか。

個人情報保護法上、不正な手段による個人情報の取得は禁止されていますが（同法１７条）、他業者からの名簿の取得が一概にこの規定に該当するわけではありません。もっとも個人情報の提供については、第２３条において、提供する側に、事前に本人の同意を取得しなければならないという規制がかけられています。すると、名簿の提供を受ける際に、「本人の同意を得ないで提供されている個人情報である」という認識があるのであれば、不正な取得と判断される可能性があるでしょう。また同意を得ないまま提供された情報を使用してＤＭを発送すれば、本人の側から見れば、不正に提供された情報を御社が使用していることが一目瞭然です。そのため御社の個人情報の使用態様が一般に公表されるなどして社会的な非難を浴びる可能性が高いですから、十分に注意が必要でしょう。

当社が所属する企業グループでは人事データベースをイントラネット上で共同で利用しています。各企業はグループ全体の人事データを閲覧できます。各企業が個人情報取扱事業者に該当するかどうかの判断では、このデータベースの件数は算入しますか？

まずこのデーターベースが個人情報保護法上どのような取扱となるかの分析が必要です。前提としてこのデータベースが個人情報保護法に違反していないというための法律構成は以下のいずれかでしょう。 ①各社員の個人情報の保有主体を各社員が所属する会社と捉え、個人情報を他の会社が利用する際には、個人情報が第三者に提供されたとして捉え、この第三者提供について各社員から２３条１項の同意を得ている。 ②各社員の個人情報の保有主体をグループに所属するすべての会社と捉え、個人情報保護法第２３条４項３号の個人情報の共同利用の規定により利用する。これらのどちらかの前提で各場合には、そもそもそのようなデータベース自体が個人情報保護法上違法となってしまいます。どちらかには該当できるように、第三者提供の同意を得るなり、共同利用の通知を行う必要があります。①の構成で利用している場合には、件数の算入については議論が分かれる点でしょう。このデータベースを利用できる環境があること自体をもって、すでにデータベース内の情報すべての提供を受けたと考えれば、情報を取得しているとして件数に算入することになります。しかし実際に検索するまでは個人情報を取得しない点を重視すれば、実際に検索して取得した数のみを件数に算入することになります。私見ですが、データベースの実体（サーバーないしはデータファイル）が、各会社ではなく管理会社が保有している場合には後者として評価すべきではないでしょうか。これに対してデータベースの実体がレプリケーションされるなどによって、各会社がすべて保有している場合には全社に該当するのではないかと思われます。②の構成で利用している場合にも①と同様に議論となる余地はあります。しかし取得の時点で共同して取得したと見なされたり、データベース化した時点で各会社に移転したとして、すべての会社に既に情報提供がなされていると解釈される可能性が高くなるでしょう。そのため多くの場合は、各会社においてはデータベース内の情報の件数を算入しなければならないでしょう。

５０００件以上の個人情報のデータベースを保有していると個人情報取扱事業者に該当することになると聞きました。すると電話帳や人名録をもっているとそれだけで個人情報取扱事業者に該当してしまうのでしょうか？

確かに政令の２条では保有している個人情報データベースの登録件数が５０００件を越えている場合には、個人情報取扱事業者に該当する旨が規定されています。ただしこれには例外が規定されており、あるデータベースが　１他人が作成したものであること　２収録内容が氏名・住所・電話番号のみであること　３自らは編集加工しないことという条件を満たす場合には、データベースの件数に算入しないとされています。そのため例えば電話帳であれば、通常はこれらの条件を満たすでしょうから、件数に算入する必要はありません。しかし人名録の場合、所属や職歴まで記載されていることが多いでしょうから、これらの条件を満たすことができず、件数に算入しなければならないでしょう。

当方は町の酒屋ですが、ご用聞きに回る先の名簿の登録件数が５００件ほどに達しています。当方には個人情報保護法が適用されるのでしょうか。

同法の施行令において、個人情報の保有件数が過去６ヶ月の間において５０００件を超えたことが無い場合には、個人情報取扱事業者に該当しないものとされています。そのため過去半年間、保有している全ての個人情報を合わせても５０００件を超えた時がない場合には、個人情報保護法の１５条以下の規定のほとんどが適用されません。

私の会社にはさまざまな種類の名簿がありますが、大きなものでも収録されている個人情報は１０００人分程度です。個人情報取扱事業者に該当するでしょうか。

政令で、保有する個人情報が５０００件以下の場合には、個人情報取扱事業者に該当しないこととされています。該当性の判断にあたっては、ある時点においてその企業は保有している全ての個人情報を累計します。そのため、１件の名簿で５０００件を超えるものが無くても、合計で５０００件を超えれば、個人情報取扱事業者に該当することになります。

当社では、営業社員が営業に回った先で集めてくる名刺については、すべて各個人の管理に任せており、データベース化もしておりません。この名刺に記載された個人情報は、個人情報取扱い事業者であるか否かを判断する際に算入されますか？

まず名刺が「個人情報」に該当するか否かという問題については、通常名刺に記載されている氏名、勤務先等の情報があれば、特定の個人を識別できますので、個人情報に該当すると言うべきです。 次に各個人の名刺がカウントされるかという問題については、５０００件というのは「個人情報データベース等」の基準ですので、体系性・検索性が無いものについてはそもそも「個人情報データベース等」に該当しないため、カウントする必要がありません。各営業マンが管理する名刺が単に名刺箱に放り込んであるだけ等なのであれば、カウントする必要は無いということになるでしょう。これに対し、名刺ファイルに５０音順や、会社名別に分類して保管している場合にはカウントされるという結果になります。ただし名刺の集積は得意先情報でもあり、特定した上での秘密管理がされていなければ、もし盗用されたとしても不正競争防止法上の保護を受けることができませんので、そちらの問題の方が大きいでしょう。

ある雑誌で「人数は延べで計算するので、500名の名簿が10年分あれば5000名となり、個人情報取扱事業者となる」と書かれていました。これは本当でしょうか？

経済産業省ガイドラインでは同一人の情報が複数個ある場合にはこれを一人分として数えるものとされています。そのため上記の記載は誤りと言うべきでしょう。名寄せした上での件数により判断することになります。

当社は派遣業を行っておりますが、特定のスタッフが複数の現場に出ると、現場毎にスタッフのリストを作るため、その特定のスタッフが記載されたリストが複数作成されます。個人情報取扱事業者に該当するか否かを判断する際、このようなスタッフについては、１人として数えますか、それともリストの数だけ数えますか。

経済産業省の個人情報保護ガイドラインでは、同一人物が複数の個人情報データベースに掲載されている場合には、一人として数えることとされています。実務上はこの解釈で問題ないと思われます。

個人情報取扱事業者に該当するかどうか、保有情報件数で判定するにあたり、受託業務で受け取っている個人情報の数は算入しないといけませんか。

個人情報取扱事業者に該当するか否かを判別するにあたっての、保有している情報を積算するに際しては、受託業務によって受け取った個人情報についても算入しなければいけません。もっとも以下の条件を満たす場合には算入の対象から外すことができます。１　他人が作成したものであること　２　収録内容が氏名・住所・電話番号のみであること　３　自らは編集加工しないこと