前回は法律の具体的な内容を解説しました。
個人情報保護法への具体的な対応 その1 法律の内容 (2015年3月18日)
個人情報保護法の改正により小規模事業者に大きな影響 (2015年3月15日)

今回は、前回の最後に書いた「事業者の義務」について解説したいと思います。

現行の法律では規制の対象外になる事業者も、2年後に法律改正されると、規制の対象となります。
といっても、法律改正によって、事業者が守るべき義務が大きく変わるかというと、そうではなく、一般的な事業者であれば、基本的に現行の法律に基づく対応をしておけばいいので、まずは、現行の法律に対応しつつ、法改正によって変わる部分を補完していくことになります。

現在、法規制の対象となっていない事業者だからといって、現行法に定められている義務規定を守らなくてもいいというものではなく、この法律の罰則対象にならないだけであって、プライバシーの侵害などほかの法律で責任を求められることになるのは以前説明したとおりです。

対象となる事業者について再度確認

「5000人を超える個人情報データベース等を、事業のために6ヶ月以上保有している場合」に個人情報取扱事業者となり法規制の対象となりますが、5000人以下の場合は除外されるというものです。この除外規定が法改正で削除されます。


270401-kojin-1 270401-kojin-2

 

大きく2つの義務があります

1つは個人情報を収集するときの義務で、もう1つは個人情報を保管するときの義務です。
営業時に直接的に消費者に影響するのは前者の取得時です。後者は消費者には見えない場所での管理になります。この管理がずさんだと情報流出の原因になりますし、勝手に個人情報を目的外で利用すればアウトとなります。

なお、ネットショップにおいては多くのサイトが「プライバシーポリシー(個人情報保護方針)」を表示していますが、特に個人情報保護法で義務付けられているというものではありません。コピペしている方が多いと思いますが、その部分が実務的に関係してくる可能性がありますので、あわせて実務例も紹介したいと思います。

データの収集時の義務(15条~18条)

個人情報の保護に関する法律・・・http://law.e-gov.go.jp/htmldata/H15/H15HO057.html

  • 第15条(利用目的の特定)
  • 第16条(利用目的による制限)
  • 第17条(適正な取得)
  • 第18条(取得に際しての利用目的の通知等)

個人情報の「取得」自体にに関する条文は、第17条のみとなっています。

(適正な取得)
第十七条  個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

シンプルで、ごくごく当然なことが書かれています。

個人情報の取得に関する規制の一般的な考え方
  • 同意取得の原則
    →個人情報を取得する目的をあらかじめ相手に告げて同意を得た上で取得する
  • 直接取得の原則
    →第三者からではなく本人から直接取得する

しかし、個人情報保護法では直接的にこの2つの原則は採用されていません。

取得後に通知してもいいですし、正当な手段であれば第三者から取得してもかまいませんが、トラブル防止のためには事前に同意してもらうほうがいいですよね。

逆説的に考えれば、本人の同意なしに取得した後に、相手に通知して、トラブルなったときに、このことを知っていれば、きちんと説明できるということですね。

(取得に際しての利用目的の通知等)
第十八条  個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

事業者として、まず、個人情報を取り扱う場合に何のために取り扱うか(利用目的)というのをできる限り特定しなければなりません。そして、事後通知を含め、本人の同意を得ないで利用目的の範囲を越えた利用をしてはいけないということです。

メールマガジンややDMを送っていいのか、ということも事前に同意してもらう必要があるということですね。

データの収集時の義務(まとめ)
  • 利用目的をできる限り特定する
  • 本人の同意を得ないで利用目的の範囲を越えた利用をしてはならない
  • 偽りその他不正の手段により取得してはならない
  • 取得に際しては利用目的を通知すること(事前または事後)
実務例

Pasco リサとガスパールから春のプレゼント

http://www.pasconet.co.jp/campaign_2015spring/howto.html(リンク切れ)

お客さまの個人情報は本キャンペーンの抽選、当選者への賞品および弊社からのご案内の発送、個人を特定しない統計資料の作成のみに使用させていただきます。
上記の目的以外にお客さまの同意なしに業務委託先以外の第三者に開示・提供することはございません。(法令などにより開示を求められた場合を除く)

これでイメージがわくと思います。ネットなどで商品を販売したり、講座などの申し込みを受ける場合には、事後でもいいですが、事前にお知らせしておくことが大切です。そこそこの企業であれば、きちんとしています。チラシや会員登録などの際に注意してチェックしてみてはどうでしょうか。

現実には、法令を知らないとか、個人事業主であったり、結果的に取扱人数が5000人以下の場合など、表示していないサイトも多いですが、今後、法改正により個人情報取扱事業者となったときには義務になります。

データーの保管時の義務(19条~27条)

  • 第19条(データ内容の正確性の確保)
  • 第20条(安全管理措置)
  • 第21条(従業者の監督)
  • 第22条(委託先の監督)
  • 第23条(第三者提供の制限)
  • 第24条(保有個人データに関する事項の公表等)
  • 第25条(開示)
  • 第26条(訂正等)
  • 第27条(利用停止等)

【第20条~22条】
この中で一番大事なのが、第20条(安全管理措置)です。
個人情報の流出事件があった場合に、ここができていなかったということになります。そして、第21条(従業者の監督)と第22条(委託先の監督)にもつながっています。

法律でどのように定められているかと言うと

(安全管理措置)
第二十条  個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

たったこれだけです。具体的にどのような方法で安全管理するのかというのは、それぞれの事業者の規模や事業形態、扱っている情報の内容により異なってきますので、一律の方法を示しているものではありません。ただし、消費者庁のガイドライン等や、JISにも「JIS Q 15001(個人情報保護マネジメントシステム ― 要求事項)」として規格があります。

【第19条】
情報を集めっぱなしにするのではなく、最新なものに更新しておくことが示されています。

【第23条】
「第三者提供の制限」についてルールが示されています。

【第24条~26条】
保有している個人データに関する問い合わせや訂正等に関することです。取扱人数が少なく小さな事業だと、あまり遭遇することはありませ んが、問い合わせを受けれる体制にしておくことが必要です。そのために、具体的に何を調べてどう対応するかを知っておくことが大切です。

データーの保管時の義務(まとめ)
  • 個人データの安全管理のために適切な措置を講じる
  • 本人の同意なく第三者に提供してはならない
  • 事業者保有の個人情報に関する問い合わせに対応できるようにしておく
  • 開示請求があれば開示すること
  • 個人データが事実でない場合は、訂正・追加・削除する
  • 取得や第三者提供に違反があれば、利用停止・消去をする

分野別のガイドライン(法改正により基本的に統一されました)

消費者庁HP
ホーム > 消費者制度課 > 個人情報の保護 > 個人情報保護法に関するよくある疑問と回答
http://www.caa.go.jp/planning/kojin/gimon-kaitou.html

Q1-5
個人情報保護法と各省庁が定めるガイドラインとは、どのような関係にあるのですか。
A1-5
個人情報保護法は、民間の事業者における個人情報の取扱いに関するルールを定めていますが、これは、各事業分野に共通する必要最低限のルールとなっています。このことを踏まえ、各事業分野においては、それぞれの事業を所管する省庁によって、事業分野の実情に応じたガイドラインが定められています。これは、事業分野ごとに取り扱われる個人情報の内容や性質、利用方法が異なっていることによるものです。各事業者が事業活動に伴って個人情報を取り扱う場合には、個人情報保護法のほか、その事業分野のガイドラインも遵守することが求められます。
平成26年1月31日現在、27分野について40のガイドラインが各省庁によって策定されています。

経済産業の分野が一番マッチしていると思います

個人情報保護委員会 > 個人情報保護法について > 法令・ガイドライン等
https://www.ppc.go.jp/personal/legal/

経済産業
経済産業省
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(告示)[PDF:329 KB]
http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A[PDF:140 KB]
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/140818kaiseiq-a.pdf

 罰則について

個人情報保護委員会 > 個人情報保護法について > 法令・ガイドライン等
https://www.ppc.go.jp/personal/legal/

個人情報の保護に関する法律についてのガイドライン(通則編) (PDF:1100KB)
https://www.ppc.go.jp/files/pdf/guidelines01.pdf

一方、  本ガイドラン中「努めなければならない」  、「望ましい」 等と記述している事項については、これに従わなかったことをもって直ちに法違反と判断されることはないが、法の基本理念(法第 3条)を踏まえ、事業者の特性や規模に応じ可能な限り対することが望まれるものである。

行政処分事例

経済産業省のHPで公表されています。

経済産業省HP
お知らせ>ニュースリリース
http://www.meti.go.jp/press/index.html

(株)ベネッセコーポレーションに対して個人情報保護法に基づく勧告を行いました

1.勧告事項
経済産業省が株式会社ベネッセコーポレーションに対し、法第32条の規定に基づき報告の徴収を行ったところ、法違反行為が認められたため、個人情報の漏え いの再発防止に向けて、委託先も含めた個人情報の保護に関する実施体制の明確化、および情報セキュリティ対策の具体化を行うよう勧告しました。
認定した違反行為は、個人情報の安全管理措置義務違反(法第20条)及び委託先の管理監督義務違反(法第22条)です。

株式会社ソニー・コンピュータエンタテインメントに対する個人情報保護法に基づく指導について

平成23年4月26日、株式会社ソニー・コンピュータエンタテインメントより経済産業省に対し、同社が運営するプレイステーションネットワーク等に 係る個人情報が漏洩した可能性があるとの連絡があり、当省としては、任意の事情聴取を行った後、5月1日(日)付で個人情報保護法に基づき報告の徴収を実 施し、本日に至るまで数次に渡り回答を得ました。
当省としては、これらを踏まえ、同社に対し、次のとおり指導を行うことといたしました。

シティカードジャパン株式会社に対する割賦販売法及び個人情報保護法に基づく報告の徴収について

経済産業省は、シティカードジャパン株式会社の個人情報漏えい事故に関連して、平成23年8月8日付けで、同社に対して割賦販売法第40条及び個人情報保護法第32条の規定に基づき、報告の徴収を行いましたのでお知らせいたします。


はりまコーチング協会では、HPに表示するプライバシーポリシー(個人情報保護法)、特定商取引法にもとづく表示(通信販売)、利用規約等に関するセミナーや個別相談を承っています。

関連記事

個人情報保護法の改正により小規模事業者に大きな影響(2015年3月15日)」
個人情報保護法への具体的な対応 その1 法律の内容 (2015年3月18日)」

投稿者プロフィール

消費者法務コンサルタント 赤松靖生
消費者法務コンサルタント 赤松靖生
◆神戸大学農学部畜産学科(昭和61年4月入学)・神戸大学大学院農学研究科(平成4年3月修了)
◆神戸市役所(平成4年4月入庁、平成26年3月退職)
「平成4~13年 保健所等での衛生監視業務(食品衛生・環境衛生・感染症対策)」
「平成14~24年 消費生活センター 技術職員(商品テスト・相談対応支援・事業者指導)」
◆一般社団法人はりまコーチング協会(平成26年4月設立、代表理事就任)
◆食品分野のダブルの専門家としてサポートします
元保健所食品衛生監視員として「食品表示法」をはじめとした食品衛生
元消費生活センター職員として「景品表示法」をはじめとした消費者法務
◆食品関連企業・商工会・給食施設等で研修実績あり(口コミ紹介が多い)
◆WEB情報発信の専門家(ITコーディネーター)
ワードプレスによるホームページ制作支援・WEB情報発信支援
WEB情報発信セミナーなどWEB関係は趣味から発展した専門分野