個人情報の廃棄:使用しない個人情報は廃棄する方がよいのか

個人情報の安全管理を行うため、業務上不要となった個人情報については廃棄したいと考えています。また顧客にこのことをアピールするため「お客様の個人情報は業務終了時に廃棄いたします」とお伝えする予定です。この伝え方で問題ありませんか。

個人情報の保護はもちろん大切ですが、他の法律の要求を遵守しなければ、これは別のコンプライアンス違反となってしまいます。そのため法定の保管年限が定められている文書については、まずこれを遵守することが第一です。 その場合、「お客様の個人情報を業務終了時に廃棄いたします。」と言ってしまうと、一部虚偽の事実を伝えてしまうことになり、また、不当表示となってしまうリスクもあります。そのため例えば、「お客様の個人情報については、法律で保管が義務づけられているものの他は、業務終了時に直ちに廃棄いたします。」などとして、一定の留保をして表示した方が良いでしょう。

廃棄パソコンの残存データ:個人情報を含めたままPCを廃棄した場合の責任

パソコン(PC)の中に友人の個人情報を残したまま中古業者に売却してしまいました。もし個人情報が漏洩したときに、私は責任を負いますか?それとも中古業者が責任を負いますか?

民法上、過失によって第三者に損害を発生させたときにはこれを賠償する責任が発生します。過失とは、平たく言えば、「やるべきことをやらないこと」です。近時個人情報保護への意識が高まっており、また、廃棄パソコンからの情報漏洩事件が多発しています。このような社会状況を前提とすると、廃棄するパソコンの中の個人情報は、これを消去すべき義務があると判断される可能性は高いでしょう。そして一次的に廃棄する義務を負うのは、パソコンの中に当初自ら個人情報を保存した者です。そのため、中古業者が重ねて責任を負う可能性がないわけではありませんが、まずはあなたが賠償の責任者となるでしょう。

機密保持契約書の締結義務:取引先からNDAの追加締結を求められた場合応じる義務があるのか

当社は卸売業者ですが、納入先より個人情報漏洩についての損害賠償条項が記載された覚書と誓約書の提出を要求されています。当社は取引上弱い立場にあるのですが、この要求には従わなければならないのでしょうか?

近時、個人情報漏洩事件の多発を受けて、個人情報保護に関する覚書の締結や誓約書の徴集が盛んに行われています。そして多くには、機密保持条項や損害賠償条項が記載されています。もっとも、誤解が多いのですが、実は、個人情報を預かっていれば、これらの書面を締結していなくても、法律及び先例上、機密保持義務や損害賠償義務を当然に負っています。当たり前といえば当たり前なのですが、人の秘密を勝手に漏洩してはいけませんし、漏洩によって相手に損害を与えればこれを賠償しなければなりません。そのため、機密保持条項や損害賠償条項しか記載されていない書面であれば、もともと法律上負担している義務を紙に書いただけですので、実は締結したとしても、自社の負担が重くなるわけではありません。 一方、監査の受け入れや報告義務など、実質的な負担が重くなる条項については、よく検討して締結すべきです。違約金条項などが入っていると、思ってもみなかった賠償責任が発生してしまうことがあります。なお、機密保持の覚書や誓約書を相手方に提出するという義務は、法律上は特に存在していません。しかし今般、個人情報保護法が制定され、業務委託先の管理責任が明定されました。そしてこれをうけて経済産業省の個人情報保護ガイドラインも委託先に対し一定の監督を行うように要求しています。そのため委託元においてもこれらに対応せざるを得ない以上、委託先においても、覚書の締結などはある程度は受諾せざるを得ないでしょう。もっとも、「個人情報保護対策」という名の下に実質的に不利益な取引条件を押しつけるような行為は許されません。経済産業省ガイドラインにも同様の記載がなされています。あまりにも乱暴なやり方であれば、優越的地位の濫用であるとして、独占禁止法に基づき、公正取引委員会に申告すべきでしょう。

公共の場所での氏名の読み上げ:他人に聞こえる形で呼び出してよいのか

銀行の窓口や病院の待合いで、顧客や患者の名前を読み上げて呼び出すことは個人情報の漏洩にあたりますか?

まず個人情報保護法上の問題としては、同法に違反したこととはならないと思われます。単なる名前の読み上げがあった場合に、その場にいる第三者が受け取ることのできる情報はまさに名前の音のみです。通常は名前の音のみであれば、特定の個人を識別することは通常不可能です。そのためこの場合の名前は、同法の個人情報には該当しません(ただし珍しいお名前の場合には注意が必要でしょう。また詳細な理由は不明ですが経済産業省ガイドラインでは氏名が個人情報に該当すると例示しています。)。また仮に個人情報に該当するとしても、「名前を呼んでカウンターまで来てもらうこと」については、通常、本人も同意していることから、同法23条の第三者提供の同意があったと考えることもできるでしょう。次にプライバシーの問題ですが、現状では、非公知性や、センシティブ性が無いという理由で、プライバシーを侵害してはいないという結論になるでしょう。もっとも今後の権利意識の高まりを受けて、プライバシーの問題になっている可能性が無いわけではありません。  ただし道義的配慮の問題として、名前を直接呼ばなくてもよい措置を取ること自体は望ましいものと評価されていくことになるでしょう。

第三者提供:問い合わせに対してはどこまで答えてよいのか

不動産の賃貸を事業として行っています。入居希望者から前の入居者がどんな人物だったかを聞かれることがあるのですが、答えてもいいのでしょうか。あと弁護士を名乗って入居者の情報を聞いてくる人がいるのですが、どう対応すべきでしょうか。

個人情報保護法上、「個人データ」については第三者への提供が規制されています(同法23条)。しかし「個人情報」ですらない情報は「個人データ」にもならないため規制がかかりません。 例えば妻帯者かどうかや子供の人数などの家族構成や職業、物件の使用状況等は単にこれらの情報だけでは個人を特定することができませんので、個人情報に該当しません。プライバシー保護の観点からもこれらの提供のみとするのが適当ですし、新しい入居者としても入居を判断するには十分なはずです。一方、氏名や電話番号、転居先の情報は個人の特定が可能ですので、原則としては提供できないと考えておいた方がいいでしょう。 弁護士からの要求の場合には、既知の弁護士からの問い合わせでない限りは、「弁護士法23条に基づく照会」によることを要求すべきです。この場合は確かに弁護士からの請求であることを確認できますし、23条の例外に該当しますので、個人情報保護法に違反したことにもなりません。

名刺の持ち出し:営業社員が退職する際に集めた名刺は回収すべきか

営業社員が退職するに際しては、在職中に集めていた顧客の名刺は会社に渡してもらうべきなのでしょうか?

営業社員が会社の営業のために客先を回るなどした際に集めた顧客の名刺については、その所有権は会社にあるものとされています。そのため退職する際に名刺を持って出るということは、窃盗や横領の問題となってしまいます。 また多くの場合、名刺に記載されている情報は、会社の方で何らかの形でデータベース化しているのではないかと思います。会社から離れた一個人に名刺を渡すということは、個人データを第三者提供しているということになり、原則として本人の同意が必要となります。各個人から同意を得るというのは事実上不可能でしょうから、データベース化されている部分がある場合には、これを除かない限りは、名刺を持ち出させるのは困難です。 そのため名刺については退職時はすべて原則回収するという取扱いを確立すべきでしょう。

第三者提供:保有している個人情報を提供できる条件は何か

当社は収益物件(主に賃貸マンション・テナントビル)を取り扱う不動産業者です。収益物件を売買する際には、収益力の吟味のため、顧客より入居者の情報(勤務先・支払賃料・支払履歴までも)の提供を求められることがあります。開示するためにはどのような対策を取っておくことが必要でしょうか。宅建業法の守秘義務に反しないかも心配です。

個人情報データベースを構成する個人情報を第三者に提供するときには、本人の同意が必要です。単に利用目的を明示しておくだけでは足りません。収益物件にかかわる個人情報であっても、特に例外には該当せず、第三者提供するのであればやはり同意が必要となります。また顧客に見せるだけで記録させなかった場合でも、やはり第三者提供となりますので、同意が必要です。なお本人の同意を得て公開するのであれば、宅建業法上の守秘義務に反することはありません。なおデータベース化されていない個人情報については第三者提供の規制の対象外ですので、同意の取得は不要です。もっとも勤務先や賃料、支払い履歴はセンシティブな情報ですので、仮に個人情報保護法に違反しないとしても、賃借人のプライバシーを侵害してしまうおそれがありますので、やはり同意を取得しておくに越したことはないでしょう。 収益物件が売買された際には、法律上賃貸人たる地位が当然に移転します。その際、契約書や、賃料・保証金の残高情報を引き継ぐことになりますが、これは形式的に見れば個人情報の第三者提供です。もっとも個人情報保護法第23条4項2号では事業の承継に伴って個人データが提供される場合には、第三者提供とならない旨規定しています。収益物件の所有権がこのような「事業の承継」と言えるか否かについては、法律やガイドラインでは明確な記載がありません。しかし、賃貸人たる地位が当然に移転する以上は、やはり事業の包括承継に準じるものといえます。また賃借人が同意を拒否することが可能であるとすれば、事実上は賃借人が収益物件の売買の拒否権を有することとなってしまい不当です。そのため収益物件の売買の際は、この規定の適用対象となるというべきでしょう。そのため御質問の件では、賃借人の個別の同意は不要と思われます。

第三者提供:飲食業のウェイティングリストは情報を第三者に提供してしまったことになりますか

当方レストランを営業しています。空席待ちをしていただくお客様の順番を管理するために、レジ前の待合いスペースに名前を書ける台帳(ウェイティングリスト)を置いて、お越しいただいたお客様に、お名前、人数を御記載いただいています。お越しいただいた方であれば、誰でもその台帳を見ることができてしまうのですが、個人情報保護法上問題は無いでしょうか。

個人情報保護法における利用目的の通知、第三者提供及び安全管理措置が問題になります。 なお名字のみを記載する場合には、そもそも個人情報に該当するかどうかも微妙なのですが、名前まで記入する方がいないとは限りませんので、個人情報に該当することを前提として検討するべきでしょう。 まず利用目的の通知ですが、常識的に判断して、その台帳がウェイティングリストとして使用されることが誰にでもわかる形で設置してあるのであれば、「利用目的が明らかな場合」として、特に別途の告知は不要でしょう。一方、この台帳をその他の目的に使用する場合には、かかる目的を、台帳やその他来店客の目に付きやすいところに掲示しておく必要があります。 この台帳が誰でも見ることができるという点については、第三者提供が問題となります。この第三者提供の規制は、「個人データベースを構成する個人情報」のみが適用対象です。 こういった台帳形式のウェイティングリストについては、通常は来店したお客様に、上から順に名前を御記載いただく形となっているのではないかと思います。するとその台帳自体には、特定の個人を検索するための仕組みが備わっていない事になります。この場合、個人情報保護法にいう個人データベースに該当しないこととなりますので、第三者提供の規制はそもそも適用されないことになります。 そして安全管理措置についても、やはり個人データベースに該当しない場合には適用がありません。 以上の通り、通常は、一般的な台帳形式のウェイティングリストが個人情報保護法に抵触してしまうということはありません。 もっとも個人情報保護を重視するのであれば、台帳に記載する情報を必要最小限、例えば名字のみにして、住所はもちろんのこと、その他名や電話番号は記載しないように告知した方が良いでしょう。また容易に持ち出されたりしないような工夫も必要かと思われます。

労災保険の一括:保険の手続き上個人情報を下請から提供してもらうのは違法か

当社は建設業を営んでおり、事業の遂行に際しては多くの下請業者を使用しています。労災保険の加入にあたり、請負事業ですので、下請労働者も含めて労災に加入しています。保険料の算定のため、下請業者には各労働者の賃金の内容を教えてもらっているのですが、個人情報保護法上問題は発生しますか?

賃金の情報がそれが氏名を伴っている場合には当然に個人情報に該当します。多くの場合賃金情報はデータベース化されているでしょうから、これを他の事業者に提供する場合には、法律上の原則からすると本人の同意が必要となりそうです(個人情報保護法23条)。 もっとも請負事業を一括して取り扱わなければいけないのは、労働保険の保険料の徴収等に関する法律第8条の規定が存在しているからです。個人情報保護法23条1項1号では「法律の規定」にもとづく第三者提供については本人の同意は不要とされています。提供が法的な義務と明記されているわけではない場合にこの条項が適用できるかどうかについて定まった解釈は無いようですが、当職の私見としては適用可能と考えています。そのため労災保険適用のための提供であれば、下請労働者の個別の同意が無くても、提供・受領可能でしょう。 もっとも賃金総額による概算方式も制定されていることを考え合わせると、下請事業者が労働者の情報を提供する義務まではないでしょうから、無理矢理提出を請求することはできないでしょうし、個人情報保護に関する契約や覚書の締結を交換条件として要求される場合もあり得るのではないかと思われます。

当選発表:主催するコンテストの入賞者の発表は可能か

当社は写真をテーマにした雑誌を発行している会社で、毎年フォトコンテストを開催しています。当選した応募者の氏名を雑誌に掲載したり、ポスターに掲示したりするのですが、個人情報保護法上問題が生じるのでしょうか。

個人情報保護法上、報道関係の事業は適用除外とされており、規制の適用の有無を問題とする必要はありませんが、雑誌社はこの範疇には入りませんので、法令該当性の有無を検討する必要があります。 個人の氏名は経済産業省ガイドライン上はそれだけで個人情報保護法上の個人情報に該当するものとされています。入賞者であれば会社の住所録に登録もするでしょうから個人データにも該当します。そしてこれを雑誌に掲載したり、ポスターに掲示したりすれば、第三者に提供することとなりますので、予め本人の同意を得る必要があります。この点、コンテストの結果が発表されることはある意味当然事ですから、何らの措置をとっていなくても、本人の同意を推定することも不可能ではないでしょう。もっとも本人や監督官庁との無用のトラブルを避けるためには、申込書に個人情報の取扱についての同意事項を記載したり、「コンテストの結果は当誌に当選者の氏名を掲示して行います。」などを記載し、本人の同意を推定できる状況を作ったりしておくことが望ましいでしょう。 なおコンテストの参加者が5000名に満たなくても、主催者が個人情報取扱事業者に該当していれば、個人情報の適用がありますので注意が必要です。