個人情報は適切に管理していますか

Q1 当社が保有している個人情報の管理について、特に注意すべき点は何ですか。

(答)個人情報保護法(以下たんに「法」とします)は平成17年4月1日に全面施行されました。もう11年になりますが、ここでもう一度重要な点だけをおさらいしておきましょう。なお、次の対応をしなければならないのは、個人情報を5,000件以上保有している個人情報取扱事業者だけです。

(1)個人情報の利用目的はきちんと定めていますか(法15条・16条)

(2)個人情報の利用目的を本人に通知するか又は公表していますか(法18条)

(3)あなたが持っている情報を第三者に提供する場合は本人の同意を得ていますか(法23条・但し、後述するオプトアウトの制度を定めている場合は、定めている範囲では個別の同意なく第三者に提供できます)

(4)個人情報を取得しているのは誰かが本人に分かるようにしていますか(法24条1項1号)

(5)本人からあなたが保有している個人情報の開示を求められた場合に、それを開示することができるように準備していますか(法25条)

(6)持っている個人情報の訂正や利用停止をする場合の手続きは整えていますか(法26条・27条)

Q2 当社は利用目的を、「お客様からご提供頂いた個人情報を、当社の事業の目的で利用します。」と定め、当社のプライバシーポリシーとしてホームページに掲載して公表しています。これまで、特に問題があるとの指摘を受けたことはありません。これで良いのですよね。

(答)御社の場合、利用目的として「当社の事業の目的」というのでは不十分です。もう少し具体的に何に利用するのか限定してください。例えば御社の事業が製造・販売であれば最低「当社の製品のご案内・ご注意等情報の提供のために利用します」程度の具体化は必要だと思います。公表の点はホームページに掲載すれば、十分だと言われています。スーパー等のようにそもそも人が集まるところなら、店内の人が見るところに掲示された方が適当だと思います。

Q3 個人情報を取得している者は誰かが分かるようにしておく(法24条1項1号)というのはどういうことですか。

(答)例えば株式会社山元が、「ヤマチャン」という商号で営業し、お客様の氏名等を提供していただく場合、「ヤマチャン」とは株式会社山元であることをホームページ等で公表するか、問い合わせがあったら回答するように準備しておかないといけないということです。

Q4 当社は、お客様からの商品の電話での問い合わせやクレームについて、電話対応専門業者に対応を委託しています。業者とは秘密保持契約を締結したうえ、業者にお客様の氏名・電話番号・販売した商品の情報を提供しているのですが、注意すべき点はありますか。

(答)お客様から氏名等の個人情報をいただく際、その情報を電話対応専門業者に提供するためには、そのことについて個別に同意をしていただくか、個人情報の利用目的に第三者に提供することを明示し、お客様の求めがあればそのような業者への提供をやめると定めておかないといけません(法23条)。このようにご本人から請求がある場合、第三者への提供をやめると定めておく方式をオプトアウト方式と言います。御社でお客様の情報を第三者へ提供をしておられるなら、情報をいただく時点で第三者へ提供することの同意をいただくか、オプトアウト方式を採用するかいずれかしないと、第三者への提供はできないのです。どちらの方式にも一長一短があります。オプトアウト方式は、個人情報を提供していただく時には第三者提供への同意を求める必要はないので楽ですが、後日、お客様から「提供をやめて欲しい」と言われてしまうと、そのお客様の情報は電話対応専門業者に提供できなくなります。これに対し、情報提供時点で個別に第三者提供への同意をいただくのは、面倒ですが、その後、利用停止を求められることは原則としてありませんので、後日、問題が起きにくいという利点はあります。

Q5 マイナンバーは個人情報なのですか。マイナンバーについては個人情報保護法が適用されるのですか。

(答)マイナンバーは当然個人情報なので、個人情報保護法も適用されます。しかし、マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律-「番号法」と略称することもあります)の方がはるかに厳しく、こちらが優先して適用されます。マイナンバー法は個人情報の取扱量が5,000件以下であっても、およそマイナンバーを取得する者には全て適用されます。そして、マイナンバーについては取得しなければならない場合以外、提供を求めることが禁止されています(マイナンバー法15条)。例えば、レンタル事業をする場合、事業のために顧客にマイナンバーを提供してもらうことは許されませんので、この点は厳重に注意してください。

Q6 当社は5,000件も個人情報を持っていませんので、特に利用目的の公表等を全くしていません。このままで大丈夫でしょうか。

(答)平成27年9月3日に個人情報保護法が改正され、9月9日に公布されました。この改正において、個人情報を5,000件以上保有しているという限定がなくなり、すべての個人情報取扱事業者が、Q1に説明したようなことを含めて、個人情報保護法に定める対応をしなければならないこととなりました。罰則も強化されています。改正法は公布から2年以内、つまり、平成29年9月8日までには施行されます。年賀状のためといった個人的な利用でなければ、営利、非営利にかかわらず、すべての事業者に個人情報保護法が適用されるのです。本原稿作成時点では施行時期はまだ分かりませんが、全ての事業者に個人情報保護法への対応を準備していただく必要があります。