名古屋・三河の店長・人事担当者のためのお役立ちサイト【ヒトクル】 > 専門家コラム > 知らなかったでは済まされない!【2017年5月30日施行】改正個人情報保護法...

知らなかったでは済まされない!【2017年5月30日施行】改正個人情報保護法、もう対策は済んでいますか?

専門家コラム

2017.05.08 / 名古屋

山谷 千洋(やまたに ちひろ)

弁護士法人ベリーベスト法律事務所 弁護士

早速ですが、皆さんは、「個人情報の保護に関する法律」(以下「個人情報保護法」といいます。)という法律をご存知でしょうか。
この個人情報保護法はこの度改正され、平成29年5月30日から新しい内容で施行されます。

「うちは、個人商店だから、個人情報保護法なんて関係ないよ」
「今まで個人情報保護法なんて気にしてなかったけど、良いのかな?」

と思った方もいるのではないでしょうか。そう、この記事は、まさにそんな皆さんに向けたものです!

改正前は、ある者が個人情報をデータベース化していたとしても、その取り扱っている個人情報の数が5000人分以下の場合には、個人情報取扱事業者には該当しないこととされていました。

しかし、今回の改正で、この規定は削除されました。ということはつまり、個人情報をデータベース化して事業活動に利用している者は、原則として、個人情報取扱事業者として個人情報保護法を守らなければならないということになります。

皆さんも従業員名簿を作ったり、顧客情報をアドレス帳で管理したりしていれば、個人情報取扱事業者に該当します。しかも、営利・非営利は問われないため、個人事業主や小規模会社だけでなく、自治会やNPOの皆さんも、これからは、個人情報保護法の各規定を守らなければいけないのです。

1. ケース・メソッド ~とあるラーメン屋にて~


では、皆さんがどういったことに注意すれば良いのか、具体的な場面の中で確認していきましょう。次のラーメン屋さんの各行為が許されるか、何となく考えながら読んでみてください。

そもそも「個人情報保護法って、いったい何?」という方は「【2017年5月30日施行】改正個人情報保護法の基礎知識」の記事をご覧ください。

【名刺の利用目的を告げずに、割引券を送付】

ラーメン屋店主


「うちの店では、名刺をくれればトッピング1品サービスしてるんだ。実は、貰った名刺はちゃーんとエクセルに登録していて、もう2000人分も溜まったぜ。この人達の会社宛に割引券を送れば、普通に割引券配るよりも効果的だよな!」

「え?名刺をもらうときに何に使うか説明しているかって?特に説明はしていないよ。」

先生:駄目です。勝手に送るのは許されません。


まず、このラーメン屋さんは、お客さんの名刺の情報をエクセルに登録しているとのことなので、氏名等の個人情報を体系的に管理して取り扱っていることになり、「個人情報データベース」を事業活動のために利用している「個人情報取扱事業者」に当たります(その件数は2000人分ということなので、改正前なら該当しませんでした)。

そして、個人情報取扱事業者は、個人情報の利用目的をできる限り特定することとされ(15条)、その利用目的を本人に通知、公表する義務があります(18条)。そして、本人の同意がない場合には、利用目的に必要な範囲を超えて個人情報を取り扱うことは許されません(16条)。

本件では、お客さんは名刺の利用目的が何なのか良く分からず、利用目的の特定や通知、公表がされていたとは言いがたいでしょう。

そして、割引券を会社宛に送付することが利用目的外の行為だとすると、お客さんの同意が必要になりますが、その同意も取っていないようです(そもそも同意してくれるのかという問題もありますが)。そのため、このラーメン屋さんが割引券を送る行為は、個人情報保護法上許されないことになります。

似たような実際の例を挙げますと、昔のラジオ番組では、「リスナーに勝手に電話をかける」という企画が良くありました。しかし、皆さんもうお分かりのように、リスナーの電話番号を番組の企画のために勝手に使うことは、上記のラーメン屋さんと同様の理由で、個人情報保護法に違反します。

ちなみに、現在のラジオ番組では、ハガキやメールに「電話OK」と書いて送ってもらう等の方法で、個人情報保護法に違反しないようにリスナーとの電話企画を続ける工夫をしているようです。

ラーメン屋さんやラジオ局に限らず、皆さんもお客さんに電話セールスをしたり、ダイレクトメールを送ったりすることを考えていませんか?その際には、個人情報を取得する際に、利用目的を特定していたか、その利用目的をお客さんに通知していたかどうか、今一度良く考えてみてください。


【宛名シールの廃棄】

ラーメン屋店主


「何だい、せっかく会社の住所まで打ち込んで、割引券を送るための宛名シールまで作ったのに…。もうこんなシール捨ててやる!」

先生:捨てること自体は良いのですが、適切な方法で捨てましょう。


個人情報取扱事業者は、その取り扱う個人データの漏えい等を防止すべく、安全管理のために必要かつ適切な措置を講じなければならない(20条)とされています。

そのため、宛名シールを捨てるのであれば、漏えいの危険がないように、シュレッダーにかける等の配慮が必要です。もう既にそういった安全管理をしていた方もいるかと思いますが、これからは「法律上の義務」として行わなければなりません。


【個人データの提供】

ラーメン屋店主


「え?このエクセルファイル譲って欲しい?ラーメン好きな人達に向けたセールスに使えるんじゃないかって?弁護士から、そういうことに使ったら駄目って言われているんだけど…、まあ、おたくがやる分には知ったこっちゃないか。いくらで買ってくれるんだい?」

先生:駄目です。しかも、刑罰を受ける可能性まであります。


個人情報取扱事業者は、一定の場合を除き、あらかじめ本人の同意を得ないと、個人データを第三者に提供してはいけません(23条)。以前、名簿業者の従業員が勝手に名簿を流通させていたとのニュースが話題になったことがありましたが、個人情報の第三者提供については、原則的に禁止されています。有償だろうと無償だろうと関係ありません。

さらに、今回の改正で罰則も追加されたので、個人情報取扱事業者が、個人情報データベースを自己もしくは第三者の不正な利益を図る目的で提供すると、1年以下の懲役又は50万円以下の罰金を課される可能性もあります(83条)。


【不要な個人情報の取扱い】

ラーメン屋店主


「あれもダメ、これもダメ。もう、こんなエクセルファイル消した方が良いんじゃないか…」

先生:その方が無難でしょう。


個人情報取扱事業者は、個人データの利用の必要がなくなったときは、遅滞なく消去するよう努めなければなりません(19条)。

もうこのラーメン屋さんは、お客さんの所属会社やその内部での役職を把握していても、その情報を使うつもりはないみたいですね。そのような個人データは「必要なし」として、消去した方が良いでしょう。

「何かに使えるかも」と残しておきたい気持ちも分かりますが、個人情報取扱事業者は、本人から請求を受けたときは、その有する個人データの開示や訂正を行わなければいけない場合もあり(28条、29条)、余計な面倒を負うことにもなりかねません。

皆さんも、扱いに困りそうな個人データを保有している場合には、後の面倒を避けるためにも、消去することを検討してみてください。

結局、このラーメン屋さんでは、名刺を元にしたエクセルファイルは消去することにして、「サービス情報の提供のため」と利用目的を特定、公表し、新たな会員制度を作って改めてお客さんの氏名や住所を登録して貰うことにしました。

そうしたところ、お客さんの大半は近くの会社に勤める方々だったのか、近隣に住んでいるお客さんが意外と少ないことに気付きました。そこで、近隣の住宅地向けにチラシを配ったところ、新たなお客さんの取り込みに成功し、お店の売上げが上がったそうです。
(※ 事例はすべてフィクションです。)

2. 個人情報取扱事業者の義務


今まで、事例で紹介してきましたが、以下に、個人情報取扱事業者が守らなければいけない義務をリストにしてまとめておきます。上の事例で紹介したものも出てくるので、復習も兼ねて読んでみてください。

本来の条文を要約したために意味合いが十分に表現できていない部分もありますが、その点はご容赦ください。「個人情報」や「個人データ」といった用語の定義については、「【2017年5月30日施行】改正個人情報保護法の基礎知識」をご覧ください。



※ 保有個人データとは、主に、個人データのうち、自分に開示や修正を行う権限があり、6か月以上保有している情報のことを指します。自分(自社)で作成して、半年以上経っている個人情報データベースがあれば、その中の情報は「保有個人データ」になると思っておけば良いでしょう。

3.Q & A


もう結構なイメージが付いてきたかと思いますが、次は実際にありそうな事例をQ & A形式で考えてみましょう。

Q「社外の人と名刺交換をする際にも利用目的を言わないといけないんですか?」

A「わざわざ言う必要はありません。
個人情報を取得するに当たっては相手方に利用目的を知らせるのが原則ですが、「取得状況からみて利用目的が明らかであると認められるとき」には、利用目的を告げる必要はありません(18条4項4号)。

名刺交換は個人情報の取得行為に該当しますが、通常のビジネス上の交換であれば、「今後必要な際に連絡を取るため」と利用目的が明らかであると考えられており、利用目的を告げる必要はありません。

ただし、上述のラーメン屋さんのように名刺の利用目的が良く分からない場合や、名刺の個人情報を通常の連絡以外に使いたいと考えている場合には、名刺交換であっても利用目的を通知しなければ、個人情報保護法違反になりえます。」


Q「名簿業者から名簿を買うことはできなくなったんでしょうか?」

A「名簿の購入自体は可能です。ただし、確認事項があります。
名簿を購入する際には、名簿業者がその名簿を取得した経緯について確認し、記録しなければなりません(26条)。

その際に、名簿業者が不正の手段で名簿を入手したのではないかと知り得たのに、その点に目をつぶって購入したとなると、不正の手段による取得(17条)に該当し、個人情報保護法違反となる可能性があります。購入を検討する際には、十分に確認することを心がけてください。」


Q「 飲食店を経営していますが、お食事していただいた方にアンケートを取りたいんです。」

A「個人を特定しない形式、個人を特定できても利用目的を明示する形式であれば、個人情報保護法上は問題ありません。

そもそも個人の識別可能性がない情報は、「個人情報」に当たらないので、個人情報保護法の規定を気にする必要はありません。例えば、性別、年代と共にご意見を貰うくらいであれば、個人情報の取得とは言えないでしょう。

ただし、名前や住所を書いてもらう場合には、個人情報の取得に当たるため、利用目的をきちんと明示しないといけませんし、その後の情報管理もしっかりと行わなければいけません。」


Q「 防犯対策のために、お店の中に防犯カメラを設置しても良いですか?」

A「『防犯カメラを設置している』ことを明示した上で設置する方が良いでしょう。
まず、防犯カメラに映るような個人の容貌や身体的特徴は、個人の識別可能性がありますので、個人情報に該当します。そのため、防犯カメラの映像を記録する行為は個人情報の取得行為に当たります。

もっとも、上述したように、「利用目的が明らかな場合」には利用目的の通知を行う必要はありませんので、防犯カメラの設置の様態次第では、利用目的の通知は不要となります。

しかし、お店の中はお店の外に比べて、遮蔽性の高い空間です。お客さんに何も知らせずにそのような空間に防犯カメラを設置することは、個人情報保護の問題とは別に、プライバシー侵害の問題も生じさせかねません。

余計なトラブルを防止するためにも、お客さんの誰もが分かるような場所に、防犯カメラを設置している旨を掲げておきましょう。」


Q「新規の顧客を増やしたいので、近隣の住宅にダイレクトメールを送りたいのですが。」

A「ダイレクトメールを送る前に、まずは要検討事項があります。
ダイレクトメールを送るためには、住民の方々の氏名と住所が必要となりますが、その情報はどうやって手に入れたものですか?
個人情報保護法の手続きを踏んだ上で適法に入手した情報なら良いのですが、目的外使用に当たったり、胡散臭い名簿業者等から入手したものだったりしませんか?

その情報の素性(利用目的、入手経緯等)がはっきりしないのであれば、残念ですが、ダイレクトメールを送るために使用するのは控えた方が良いでしょう。

その上で、ダイレクトメールを送ることとする場合でも、そのダイレクトメールの中に「郵便物等を送るために個人情報を保有している」旨を書きこんで、利用目的を通知しておきましょう。」


Q「採用しなかった方の履歴書はどうすれば良いですか?」

A「返送するか、適切に廃棄するのが無難でしょう。

履歴書記載の情報は「個人情報」に該当しますが、個人情報データベースとして整理されていないのであれば、「個人データ」には該当しません。個人データであれば、利用目的終了後の消去について努力義務(19条)がありますが、個人情報については、条文上の定めは存在しません。

とはいえ、今回の場合、履歴書の利用目的は「採用選考のため」と考えられるので、採用しなかった以上、その情報をその他のことに利用するのは、利用目的外利用となり、本人の同意がなければ許されません(16条)。

そのため、「もう使えない情報である」と思って、自分の手元には残しておかない方が良いでしょう。」


Q「今後、個人情報保護法に違反してしまったときは、どうなりますか?」

A「個人情報保護委員会からの指導、勧告の対象となり、ひいては刑罰の可能性があります。

個人情報保護委員会は、個人情報取扱事業者に対し、指導及び助言をすることとされており(41条)、さらに、事業者が個人情報保護法の各規定に違反している行為を行っているときは、その者に対して是正を求める勧告、命令を発することができます(42条)。

そして、是正の命令に従わなかった場合には、6か月以下の懲役または30万円以下の罰金の可能性があります(84条)。その他、第三者に不正な利益を図る目的で情報提供した場合等、個別に刑罰の定めがある場合もあります。

実際、個人情報保護委員会による指導がどの程度行われているかは不明瞭ですが、少なくとも、個人情報保護委員会からの問合せや指導があった場合には、決して無視などせず、誠実に対応することが大切です。」


Q「今すぐに取り組んだ方が良いことはありますか。」


A「安全管理のための準備をしておきましょう。
個人情報取扱事業者は、安全管理のために必要な措置を講じることとされています(20条)。この措置については、ガイドラインによって、

  ア 組織体制の整備(個人データを取扱う従業員のうち、責任者を決めておく等)
  イ 個人データの取扱い規律の作成、運用(個人データの取扱方法を定め、責任者が確認する等)
  ウ 個人データの取り扱い状況を確認する手段の整備(個人情報データベースを整理しておく等)
  エ 漏えいなどの事案に対応する体制の整備(従業員から責任者への報告連絡体制を整えておく等)
  オ 取扱状況の把握及び安全管理措置の見直し(個人データの取扱状況を定期的に確認する等)

といったことをすることとされています。なお、従業員が100人を超えるような会社等では、より厳格な対応が求められます。
そのため、まずはどのように個人情報を管理しているか現状を把握し、上記のような管理方法について決めておきましょう。従業員が居る場合には、個人情報保護について教育をすることも必要です。」


4.適切な情報管理は企業の財産になる!


今回の改正について、「制約が増えて大変だ!」と感じる方が多いのではないでしょうか。実際、守るべき規律が増えているので、その感想はごもっともです。

しかし、視点を変えて考えてみましょう。仮に今回の法改正がなかったとして、皆さんが、何かのはずみに誰かの個人情報を流出させてしまったとします。そのとき、皆さんは「私は個人情報保護法に違反していない」として何の責任も負わなくても良いのでしょうか。

答えは「NO」です。情報流出によってお客さん等に損害を与えてしまった場合、個人情報保護法があろうとなかろうと、皆さんは民事上の責任を負うことになります。また、情報流出の事実がニュース等で報道されれば、皆さんの評判は下がり、インターネット上での「炎上」といった事態にもなりかねません。

つまり、今回の改正を機に、個人情報の適切な管理を意識し、実践することは、皆さんの身を守るために必要なことでもあるのです。さらに個人情報を整理してみれば、お客様の世帯構成や消費傾向等、今までに気付かなかった分析に繋がり、新サービスのヒントになることだってあるかもしれません。

ただ、個人情報を扱うことにはリスクが伴うことを忘れず、「これで大丈夫かな?」「何か注意することはないか?」と思うことがありましたら、専門家にご相談ください。

情報はいわば皆様の財産です。あまりネガティブにならず、適切に情報管理を行って、効果的な事業運営に繋げていただければと思います。

筆者プロフィール

山谷 千洋(やまたに ちひろ)
東京大学法学部卒業。首都大学東京法科大学院修了。行政、不動産実務等を経て、弁護士登録。
市民と行政との円滑な関係構築に興味を持つ。東京弁護士会自治体等法務研究部所属。

資格:宅地建物取引士、剣道弐段

意味があるのは「正しい情報」ではなく「役立つアドバイス」です。
正しい知識を有用な手段に転換すること、いわば、知行合一の実践を信条としています。
現場の視点に立っているか、上滑りする内容となっていないか省みながら、
法律を味方とし上手な事業経営に繋げる方法を、皆様と考え続けていきたいと思います。

弁護士法人ベリーベスト法律事務所 https://www.vbest.jp/
簡単メルマガ登録はこちら
Facebookでシェア
Twitterでシェア
記事クリップ

関連するワード

あわせて読みたい