個人情報保護法への具体的な対応 その2 事業者の義務 

前回は法律の具体的な内容を解説しました。
個人情報保護法への具体的な対応 その1 法律の内容 (2015年3月18日)
個人情報保護法の改正により小規模事業者に大きな影響 (2015年3月15日)

今回は、前回の最後に書いた「事業者の義務」について解説したいと思います。

現行の法律では規制の対象外になる事業者も、2年後に法律改正されると、規制の対象となります。
といっても、法律改正によって、事業者が守るべき義務が大きく変わるかというと、そうではなく、一般的な事業者であれば、基本的に現行の法律に基づく対応をしておけばいいので、まずは、現行の法律に対応しつつ、法改正によって変わる部分を補完していくことになります。

現在、法規制の対象となっていない事業者だからといって、現行法に定められている義務規定を守らなくてもいいというものではなく、この法律の罰則対象にならないだけであって、プライバシーの侵害などほかの法律で責任を求められることになるのは以前説明したとおりです。

対象となる事業者について再度確認

「5000人を超える個人情報データベース等を、事業のために6ヶ月以上保有している場合」に個人情報取扱事業者となり法規制の対象となりますが、5000人以下の場合は除外されるというものです。この除外規定が法改正で削除されます。


270401-kojin-1 270401-kojin-2

 

大きく2つの義務があります

1つは個人情報を収集するときの義務で、もう1つは個人情報を保管するときの義務です。
営業時に直接的に消費者に影響するのは前者の取得時です。後者は消費者には見えない場所での管理になります。この管理がずさんだと情報流出の原因になりますし、勝手に個人情報を目的外で利用すればアウトとなります。

なお、ネットショップにおいては多くのサイトが「プライバシーポリシー(個人情報保護方針)」を表示していますが、特に個人情報保護法で義務付けられているというものではありません。コピペしている方が多いと思いますが、その部分が実務的に関係してくる可能性がありますので、あわせて実務例も紹介したいと思います。

データの収集時の義務(15条~18条)

個人情報の保護に関する法律・・・http://law.e-gov.go.jp/htmldata/H15/H15HO057.html

  • 第15条(利用目的の特定)
  • 第16条(利用目的による制限)
  • 第17条(適正な取得)
  • 第18条(取得に際しての利用目的の通知等)

個人情報の「取得」自体にに関する条文は、第17条のみとなっています。

(適正な取得)
第十七条  個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

シンプルで、ごくごく当然なことが書かれています。

個人情報の取得に関する規制の一般的な考え方
  • 同意取得の原則
    →個人情報を取得する目的をあらかじめ相手に告げて同意を得た上で取得する
  • 直接取得の原則
    →第三者からではなく本人から直接取得する

しかし、個人情報保護法では直接的にこの2つの原則は採用されていません。

取得後に通知してもいいですし、正当な手段であれば第三者から取得してもかまいませんが、トラブル防止のためには事前に同意してもらうほうがいいですよね。

逆説的に考えれば、本人の同意なしに取得した後に、相手に通知して、トラブルなったときに、このことを知っていれば、きちんと説明できるということですね。

(取得に際しての利用目的の通知等)
第十八条  個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

事業者として、まず、個人情報を取り扱う場合に何のために取り扱うか(利用目的)というのをできる限り特定しなければなりません。そして、事後通知を含め、本人の同意を得ないで利用目的の範囲を越えた利用をしてはいけないということです。

メールアマガジンややDMを送っていいのか、ということも事前に同意してもらう必要があるということですね。

データの収集時の義務(まとめ)
  • 利用目的をできる限り特定する
  • 本人の同意を得ないで利用目的の範囲を越えた利用をしてはならない
  • 偽りその他不正の手段により取得してはならない
  • 取得に際しては利用目的を通知すること(事前または事後)
実務例

Pasco リサとガスパールから春のプレゼント
http://www.pasconet.co.jp/campaign_2015spring/howto.html

お客さまの個人情報は本キャンペーンの抽選、当選者への賞品および弊社からのご案内の発送、個人を特定しない統計資料の作成のみに使用させていただきます。
上記の目的以外にお客さまの同意なしに業務委託先以外の第三者に開示・提供することはございません。(法令などにより開示を求められた場合を除く)

これでイメージがわくと思います。ネットなどで商品を販売したり、講座などの申し込みを受ける場合には、事後でもいいですが、事前にお知らせしておくことが大切です。そこそこの企業であれば、きちんとしています。チラシや会員登録などの際に注意してチェックしてみてはどうでしょうか。

現実には、法令を知らないとか、個人事業主であったり、結果的に取扱人数が5000人以下の場合など、表示していないサイトも多いですが、今後、法改正により個人情報取扱事業者となったときには義務になります。

データーの保管時の義務(19条~27条)

  • 第19条(データ内容の正確性の確保)
  • 第20条(安全管理措置)
  • 第21条(従業者の監督)
  • 第22条(委託先の監督)
  • 第23条(第三者提供の制限)
  • 第24条(保有個人データに関する事項の公表等)
  • 第25条(開示)
  • 第26条(訂正等)
  • 第27条(利用停止等)

【第20条~22条】
この中で一番大事なのが、第20条(安全管理措置)です。
個人情報の流出事件があった場合に、ここができていなかったということになります。そして、第21条(従業者の監督)と第22条(委託先の監督)にもつながっています。

法律でどのように定められているかと言うと

(安全管理措置)
第二十条  個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

たったこれだけです。具体的にどのような方法で安全管理するのかというのは、それぞれの事業者の規模や事業形態、扱っている情報の内容により異なってきますので、一律の方法を示しているものではありません。ただし、消費者庁のガイドライン等や、JISにも「JIS Q 15001(個人情報保護マネジメントシステム ― 要求事項)」として規格があります。

【第19条】
情報を集めっぱなしにするのではなく、最新なものに更新しておくことが示されています。

【第23条】
「第三者提供の制限」についてルールが示されています。

【第24条~26条】
保有している個人データに関する問い合わせや訂正等に関することです。取扱人数が少なく小さな事業だと、あまり遭遇することはありませ んが、問い合わせを受けれる体制にしておくことが必要です。そのために、具体的に何を調べてどう対応するかを知っておくことが大切です。

データーの保管時の義務(まとめ)
  • 個人データの安全管理のために適切な措置を講じる
  • 本人の同意なく第三者に提供してはならない
  • 事業者保有の個人情報に関する問い合わせに対応できるようにしておく
  • 開示請求があれば開示すること
  • 個人データが事実でない場合は、訂正・追加・削除する
  • 取得や第三者提供に違反があれば、利用停止・消去をする

分野別のガイドライン

消費者庁HP
ホーム > 消費者制度課 > 個人情報の保護 > 個人情報保護法に関するよくある疑問と回答
http://www.caa.go.jp/planning/kojin/gimon-kaitou.html

Q1-5
個人情報保護法と各省庁が定めるガイドラインとは、どのような関係にあるのですか。
A1-5
個人情報保護法は、民間の事業者における個人情報の取扱いに関するルールを定めていますが、これは、各事業分野に共通する必要最低限のルールとなっています。このことを踏まえ、各事業分野においては、それぞれの事業を所管する省庁によって、事業分野の実情に応じたガイドラインが定められています。これは、事業分野ごとに取り扱われる個人情報の内容や性質、利用方法が異なっていることによるものです。各事業者が事業活動に伴って個人情報を取り扱う場合には、個人情報保護法のほか、その事業分野のガイドラインも遵守することが求められます。
平成26年1月31日現在、27分野について40のガイドラインが各省庁によって策定されています。

経済産業の分野が一番マッチしていると思います

ホーム > 消費者制度課 > 個人情報の保護 > 消費者・事業者の方へ > 個人情報の保護に関するガイドラインについて
http://www.caa.go.jp/planning/kojin/gaidorainkentou.html

経済産業
経済産業省
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(告示)[PDF:329 KB]
http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A[PDF:140 KB]
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/140818kaiseiq-a.pdf

 罰則について

ホーム > 消費者制度課 > 個人情報の保護 > 消費者・事業者の方へ > 個人情報の保護に関するガイドラインについて
http://www.caa.go.jp/planning/kojin/gaidorainkentou.html

(備考)
事業分野ごとのガイドラインの中で、「望ましい」「適切である」等の記述により、任意に取組を求めている規定については、事業者による自主的な取組が強く期待されるものの、当該規定の不遵守によって個人情報保護法で定める罰則が課されるものではない。 なお、個人情報保護法の違反があった場合には、当該事業者に直ちに罰則が課せられるものではなく、主務大臣の判断の下、通例、報告の徴収・助言(法第32条、第33条)、勧告(法第34条第1項)、命令(法第34条第2項、第3項)といった措置を経て、初めて罰則が適用される仕組みになっている。 (命令及び罰則については、現在のところ実績なし)

行政処分事例

経済産業省のHPで公表されています。

経済産業省HP
お知らせ>ニュースリリース
http://www.meti.go.jp/press/index.html

(株)ベネッセコーポレーションに対して個人情報保護法に基づく勧告を行いました

1.勧告事項
経済産業省が株式会社ベネッセコーポレーションに対し、法第32条の規定に基づき報告の徴収を行ったところ、法違反行為が認められたため、個人情報の漏え いの再発防止に向けて、委託先も含めた個人情報の保護に関する実施体制の明確化、および情報セキュリティ対策の具体化を行うよう勧告しました。
認定した違反行為は、個人情報の安全管理措置義務違反(法第20条)及び委託先の管理監督義務違反(法第22条)です。

株式会社ソニー・コンピュータエンタテインメントに対する個人情報保護法に基づく指導について

平成23年4月26日、株式会社ソニー・コンピュータエンタテインメントより経済産業省に対し、同社が運営するプレイステーションネットワーク等に 係る個人情報が漏洩した可能性があるとの連絡があり、当省としては、任意の事情聴取を行った後、5月1日(日)付で個人情報保護法に基づき報告の徴収を実 施し、本日に至るまで数次に渡り回答を得ました。
当省としては、これらを踏まえ、同社に対し、次のとおり指導を行うことといたしました。

シティカードジャパン株式会社に対する割賦販売法及び個人情報保護法に基づく報告の徴収について

経済産業省は、シティカードジャパン株式会社の個人情報漏えい事故に関連して、平成23年8月8日付けで、同社に対して割賦販売法第40条及び個人情報保護法第32条の規定に基づき、報告の徴収を行いましたのでお知らせいたします。


はりまコーチング協会では、HPに表示するプライバシーポリシー(個人情報保護法)、特定商取引法にもとづく表示(通信販売)、利用規約等に関するセミナーや個別相談を承っています。

関連記事

個人情報保護法の改正により小規模事業者に大きな影響(2015年3月15日)」
個人情報保護法への具体的な対応 その1 法律の内容 (2015年3月18日)」