Q1 当社は、物販業をしていますが、1,000円以上お買い上げごとにスタンプを押し、10個で500円相当に使用できるスタンプカードを発行し、お得意様の住所、氏名等を書いていただいて、ご来店案内等に使用するよう準備しています。個人情報の問題で注意することは何でしょうか。
(答)まず、利用目的を定めてください!
⑴個人情報保護法が適用されるのは個人情報取扱事業者です。平成29年5月30日以降、取扱い件数5,000件という基準は撤廃されていますので、1件でも個人情報を保有し、簡単に検索することができるようにして事業に用いれば個人情報取扱事業者ということになります。検索できるようにした個人情報の集まりを「個人情報データベース等」と言います。情報をコンピューターに入力すれば、機械的に検索できますのでそれだけで個人情報データベース等になります。検索できる状態で1件でも個人情報を保有すれば個人情報保護法の適用を受ける個人情報取扱事業者なので、法律に適合する体制を整えなければなりません。
⑵個人情報取扱事業者は、まず最初に個人情報の利用目的を定めなければなりません。利用目的は、公序良俗に違反しなければ何でも良いのですが、単に「活用したい」ではいけません。できる限り特定してください。「ご来店案内をさせていただきます」「商品の案内をさせていただきます」程度で良いと思います。利用目的を定めないで個人情報を取得することはできません。利用目的を定めることが個人情報取得の第一歩です。ただし、個人情報を取得してから後で利用目的を変更するには、「変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない」(個人情報保護法15条2項)という制限がありますから、最初に利用目的を決める際、今後使うことを想定して広めに決めておくことが大切です。
⑶利用目的を定めたら、それを公表するか、氏名等を書いてもらう際に個別にお客様に伝えてください。スタンプカード自体に個人情報の利用目的を書いても良いし、書いて店内の見えるところに貼っても良いし、ホームページを作って掲載しても良いとされています。
利用目的を定める前に個人情報を取得してしまうと、一旦個人情報を廃棄することが必要になりますので、くれぐれもご注意ください。
Q2 当社は個人情報取扱事業者で、個人情報保護法の適用を受けることは分かりましたが、他にどんなことに注意しなければいけませんか。
(答)主に注意していただきたいのは次のようなことです。
⑴御社の住所、氏名(法人なら法人名)を、個人情報を提供する人に分かるようにしておかなければなりません。
⑵情報を提供したご本人から自分についてどんな情報を持っているか尋ねられたときは、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合等法令で定めた例外を除き、回答(開示)しないといけません。
⑶情報が間違っていた場合は訂正しないといけません。
⑷データ内容を正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、遅滞なく消去するよう努めなければなりません。
⑸個人データの安全管理のために必要かつ適切な措置を講じないといけません。
⑹従業者や、情報の整理を第三者に委託する場合は委託者に対して、個人データの安全管理が図られるよう、必要かつ適切な監督を行なわないといけません。
まとめると、個人情報を取得する以上、きちんと「管理」しなければならないということです。
Q3 個人情報保護法に違反したら、どんな罰則があるのですか。
(答)この法律の理解不足で処罰されないか恐怖感を持っておられる人もおられますが、罰則は次のとおり限定的ですから恐怖感を持つ必要はありません。
個人情報保護法83条に、「個人情報取扱事業者等が、その業務に関して取り扱った個人情報データベース等を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処する。」(要旨)と定められています。「自己若しくは第三者の『不正』な利益を図る目的」があるということは、相当悪質な行為で、普通に事業活動をしていてこんなことはしないでしょう。
個人情報保護委員会から是正勧告を受け(勧告)→その勧告に従うような措置をとるべきことを命じられ(命令)→それでも従わない場合に限って6月以下の懲役又は30万円以下の罰金に処されます(法84条)。また、個人情報保護委員会に求められた報告をしない場合や検査を拒絶した場合は30万円以下の罰金に処されます(法85条)。
レッドカードを出されているのに、なおも違反するということですから、これもまず考えられないと思います。
Q4 ポイントカードの作成のためにいただいたお客様情報を、当社の関連会社にも提供して良いのでしょうか。
(答)関連会社に情報を提供するということは、個人情報の第三者への提供ということになります。個人情報保護法は守秘義務を負わせる法律ではありませんから、お客様との契約や別の法令で守秘義務を定めていない限り、秘密にしないといけないものではありませんが提供するには次の手順が必要です。
個人情報を第三者に提供するためには、ア.情報取得の際、個別に「第三者に提供する」ことの同意を得ておくか、イ.第三者に提供するということを利用目的の中に入れ、かつ、本人から申し出があれば、提供を停止するよう定め(このように求められたら第三者への提供を停止することを「オプトアウト」と言います)、さらに個人情報保護法に定めている手続き(個人情報保護委員会に届け出る必要がある場合があります)をしておくか、どちらかをしないといけません。
情報取得の時点で個人情報を第三者に提供する可能性があるなら、個別に同意を取る方式にするか、オプトアウト方式にするかは結構難しい問題ですから、どちらにするか、オプトアウトならどんな手続きをするか予め弁護士等専門家に相談された方が良いと思います。