■個人情報保護法で、誰が何をしなければならないの？

Ｑ　私の会社では個人データを基に電話営業を行っているのですが、問題ありますか？　個人宅にFAX-ＤＭを送ることも駄目でしょうか。

Ａ　住所・氏名・電話番号はご質問の通り、個人情報にあたります。似たように「他の情報と照合することができ」るものとして、生年月日・印影・口座番号・職業、勤務先などがあげられます。

　個人情報の本人が了承していない情報の使い方は出来ない、ということが定められました。ですからテレアポを受けてもいいと了承している方に、お電話をするのは一向かまいませんが、そうでない個人情報をもとに電話営業を行うと、今後は問題になってきます。FAXも同様です。ただし、電話帳を見て電話営業を行う場合は問題はないものとされています。つまり個人情報の入手先について慎重に判断をして業務を行ってください。▲

Ｑ　不採用者の雇用面接時の履歴書は個人情報だと思うのですが、どのように取り扱えばよいでしょうか？

Ａ　個人情報の保護の観点から、採用活動の応募者の履歴書その他の応募書類は、不採用が決定した時点で破棄・返却を行い、社内には情報を残さないのが、もっとも安全な取扱です。

私は個人情報保護法に則りつつ、さらに安全な取扱をベースに書いていますので、破棄・返却をお奨めしていますが、これは個人情報保護法で規定されているわけではありません。

実際問題として、応募者が多数いる、数次にわたって採用活動をする、等の理由で、同一人物から何度も応募があるため、ある程度記録を保存をしておきたい、という事業者もあると思います。
また、不当な採用拒否問題(男女差別・人権問題など)として、提訴される恐れがある場合は、民法で定められた消滅時効の3年間は保存した方が良い場合もあります。

こういったケースの場合、しっかりと責任を持って、漏洩や募集に応募したという利用目的外の、応募者の個人情報の取扱が起こらないよう、またその他の事業者の義務に違反しないよう、適切に管理されるのであれば、法的には問題はありません。

あとは、適切な保管の手順・ルールを定めて、その基準にのっとりミスのない安全な管理を心がけてください。

また、破棄・返却につきましても適切なルールを作りミスのないような取扱を行ってください。▲

Ｑ　面接で不採用になった学生の個人情報ですが、再応募も多く、過去の応募者の情報は必要と考えています。問題ありますか？

Ａ　不採用者の履歴書の破棄・返却はもっとも事故の少ない処理ということになりますが、御社の採用活動の状況で、一定期間保存すべきであると判断された場合、それを妨げる規定は、個人情報保護法にはありません。

ですからしっかりと責任を持って、漏洩や御社の募集に応募したという利用目的外の、応募者の個人情報の取扱が起こらないよう、管理されるのであれば、法的には問題はありません。

あとは、適切な保管の手順・ルールを定めて、その基準にのっとりミスのない安全な管理を心がけてください。▲

Ｑ　給与振込の場合、従業員個人の口座名や口座番号等を金融機関へ渡しますが、それらについても社員規定等に明記し、社員の同意を求めなくてはいけないのでしょうか？　また、各金融機関に対しても委託契約が必要なのでしょうか？

malastesは何ですか

A　給与振込の個人データは、給与振込の目的のために取得した個人情報ですので、給与振込の委託先の金融機関に渡すことは、所得の目的の範囲内ですので問題はありません。

　給与振込の引き落としの口座を持つ金融機関との間には、委託契約が発生していますので、約款、給与振込に関する契約書等をチェックしておくことをお奨めします。

　また、信頼できる保護体制を敷いた金融機関に変更するのも一考の価値があるケースもあるかもしれません。

なお、給与の振込先の従業員の口座がある金融機関とは、委託契約は存在していないので、振込先の金融機関ひとつひとつと委託契約をする必要はありません。▲

Ａ　ご質問の宅配業者、金融機関・郵便局との委託契約に関しまして、宅配業者と給与振込等の金融機関は分けて考えるべきですので、個別にお答え致します。

　宅配業者の場合は、現実的な委託の契約書の取り交わし方としては、業者側が用意した統一の契約書に基づいて契約することになるのが一般的なケースとなるでしょう。

　大手の宅配業者であれば、まず間違いなく安全管理体制を構築し、その基準に即した委託契約を用意しているはずです。御社の側から契約書を作成して、宅配業者に委託契約を結んでもらうのは、かなり難しいと思われます。

　だだし、だからといって監督義務を免れるものではありませんので、業者の具体的な安全管理措置の実施の内容、取り交わされる契約書の内容は、しっかり確認する必要があります。

　体制その他に疑義がある場合は、適切な体制・委任契約を用意している業者に切り替えるのも、御社のリスクが担保されるのであれば、一考の価値はあります。

　給与振込金融機関との関係ですが、これは従業員と金融機関の委託契約と、従業員と御社の契約が別々のにあり、また、振込は給与振込先のおのおのの金融機関と御社とは委託の関係にはならないものと考えます。御社が給与振込に関して、委託契約が存在するのは、御社が給与を振り込む口座を開設している金融機関だけと委託契約があるものと考えます。

　こちらも間違いなく金融機関側が統一契約書を用意しているものと考えられますので、振込システムの委託契約を確認してください。▲

Ｑ　退職者の持っている個人情報について、気をつけるポイントがあれば教えてください。

Ａ　従業員が退職するときは個人情報の持ち出しには注意しなければなりません。

従業員が退職するときは個人情報の持ち出しには注意しなければなりません。
事業主としては退職にあたり、業務上の必要があって取得した個人情報の返却、
その他を定めた覚書きを用意しておくと良いでしょう。

また、慣習として退職後に在職中のお礼状を仕事でお世話になった方に出していますが、 これは今後、退職後に出すと個人情報の利用の目的に抵触する可能性があります。

うまい解決策としては、会社に事前に許可をもらって在籍中にお礼状を出すのがいいでしょう。 また、事業主側も退職に関するお礼状等のフォームを作っておくと何かと便利です。▲

どのようなエア湖で発見することができますか？

Ｑ　営業先で頂いた名刺等の管理はどうすべきでしょうか？

Ａ　外部の方が普通に入ってこける場所なと、部外者に触れやすいところには置かないでください。せめて鍵付きの引き出しにしまうなど、情報の漏洩を防ぐ社内ルールを定めてください。▲

Ａ　適用除外であって、データが不注意によって流失した場合ですが、基本的には、個人情報保護法による罰則等の適用はありません。

　ただし、民事・刑事(不注意の場合は刑事罰はないと思いますが)上の、ペナルティはかせられる可能性があります。民事上の損害賠償が争われる場合は、過失の有無が争点になりますが、個人情報保護の対策の有無は重要な事実関係になると思われます。

　つまり、個人情報保護法の適用事業者ではないからと言って、対策を疎かにした場合のリスクは民事上の責任が存在する限り０になるということではありません。

　また、「合計が過去六ヶ月いずれの日においても五千を超えない者」の規模は、固定的ではなく、小さい規模への変更も予想されているので、いま適用除外だと思っていても、いつ適用事業者になるか分かりませんので注意が必要です。▲

Ｑ　各使用目的別に応じて、データべース・仕様が異なり、個々には、5000件を越えないですが、トータルすると5000件を越える場合も対象になりますでしょうか？

Ａ　個人情報保護法は事業者内で持っている、すべての個人情報を合算したものを基準に対象かどうかを決めます。ですからトータルで5000件を超えた場合は法が適用されます。
また、この合算は従業員の個人情報も含まれますので注意してください。▲

Ｑ　当社は、会員カードによる個人情報があるのですが、5000人以下であるので対策はなにもしなくてもよいのでしょうか？

Ａ　個人情報が5000人以下ですと今回の施行では対象事業者にはなりませんが、5000人という制限はいずれ下げられると予想されていますので、今のうちから適切な体制を準備されておく事をお奨めします。

　お客様に対しては、御社のプライバシー・ポリシーを掲示すれば良いでしょう。小冊子のCD-ROMに見本が入っています。▲

Ｑ　Web・名簿・看板などより収集した情報も、個人情報の管理対象になるのでしょうか？　また、注文書等、手書きしたものをデータベース化したものもあります。これも、対象になりますか？

Ａ　上記の個人情報はすべて個人情報保護法の保護対象になります。

人々の死亡記事を見つけるためにどこに

そこで注意していただく点は、その個人情報をどのようにして収集したか、できるだけ正確に把握すること、また今後その情報をどう取り扱うかを内部でしっかりルールを定める必要があります。また、取扱について公表する必要も出てきます。

Web上のデータ・名簿は、今後は容易に外部に出さない等の、取扱が変化していくことが予想されます。ですから個人情報保護法の施行以後は細心の注意を持って取り扱う必要があります。▲

Ｑ　データベースが海外にある場合は、対象外でいいのでしょうか？

Ａ　海外サーバについては今のところ、情報が見つかりませんでした。
　条文の解釈を素直にしますと「個人情報データベース等」の定義は国内に限るという、記述がありませんので、日本の事業者が持つ個人情報については、そのデータベースの設置場所は国内外を問わず適用される、と考えた方が安全です。

　さらに私が気がかりだと思うのが、その設置している国の個人情報関連の法律の適用もあるかもしれないということです。この件に関しましては、どちらの国に置かれているのかがわからないと、まったく他国法の適用の有無についてはお答えできません。

　他国法の問題もあり得ることから個人情報のデータベースは国内に移し、適切な対策をとられることをお奨め致します。▲

Ｑ　普段あまり使用しない個人情報データをはメディアに保存し、金庫に保存して、必要な時だけ、使用する場合は、どうなるのでしょうか？

Ａ　上記の取扱は、個人情報保護法にふさわしいデータの取扱です。
　目的通り適切に取り扱われている場合は、事業者の義務を果たしていると考えていただいて結構です。
　さらに適切な管理を進めるにあたっては、具体的な鍵の管理者を定めたり、使用簿を作成するなどが考えられます。上記の考え方の視点に立った、トータルで全社的な個人情報保護体制を推進されることをお奨め致します。 ▲

Ｑ　展示会上でカタログをもらうために名刺を渡さなければならないというような時、名刺の情報をカタログを送付してもらう以外に利用された場合、利用した企業は個人情報保護法に違反するのでしょうか？

Ａ　名刺をそのブースの担当者と交換して詳しい説明などを受けた場合は双方の合意が成立しているのでビジネスの目的で個人情報を利用しても問題ありません。しかし、単にカタログ送付希望者の名刺入れなどに入れられた名刺の場合は、カタログ送付以外の利用に使いますと、利用目的外の利用になります。目的外の利用にならないようにするためには、名刺入れ等にビジネス目的（具体的な利用方法を明示して）に使用する旨の表示をして、そこに投げ入れてもらうのが良いでしょう。

　また、ビジネス目的にも使用されるとなると投入等をためらう方もいらっしゃるかもしれませんので、カタログ送付のみの名刺入れも合わせて準備されるのはいかがでしょうか。▲

Ｑ　ポイントカードを発行しています。個人情報を記載する欄があると4月から使えないのでしょうか？　すでにそういうポイントカードを持っているお客様はどのように扱えばいいのでしょうか？

Ａ　個人情報の記載があるからといってポイントカードが使えなくなるということはありません。
　問題は個人情報を記載してあるポイントカードを回収したあとに、その個人情報を適切に使用するかどうかが問題です。同意ももらっていないのにＤＭを送るとか、そういうことをしてはいけない、ということです。ですから回収するときに具体的に、どういう個人情報の使用をするかご理解いただいた上で、その個人情報を使用してください。 ▲

Ｑ　個人情報をきちんと管理するコストを考えますと、全て下請け会社である委託先に管理を丸投げし、たとえ当社から漏れても何があっても委託先の責任になる、といったような強い条項を盛り込んだ契約書を締結しました。この契約があれば、万が一、下請け会社から個人情報が漏れたとしても安心でしょうか。

Ａ　結論から申し上げると、適切な管理を怠っていながらそのような一方的な条項の契約では免責にはなりません。監督責任が問われます。個人情報保護は御社と委託先が共同して行う作業であり、一方的なものではないことを前提に、適切な方策を講じられてはいかがでしょう？▲