2020.10.19

愛知県の新型コロナ個人情報誤掲載から見るネットに個人情報が公表されることの危険性

5月5日に愛知県が新型コロナウイルス感染者の氏名や入院先などの個人情報を、県の公式サイトで誤って公開したことを発表し、謝罪しました。 県の発表にによると、５日午前９時半頃から同１０時１５分頃までの約４５分間、県内感染者４９５人の個人情報が閲覧できる状態に。感染者の氏名、入院先の医療機関、入院日、退院日などが掲載されていたとのことです。 サイトの閲覧数は重複を除き３６２件あり、発表段階では二次利用等はなされていないとのことでした。 この事件、個人情報保護の考えの中でどれだけ問題があるのでしょうか。 なかなか、ピンとこない人もいるかもしれません。 今回はこの事件がどれだけ、個人情報保護を考える上で問題があるのか触れていきたいと思います。   【誤記載された個人情報】 今回誤記載されたのは「感染者の氏名、入院先の医療機関、入院日、退院日」になります。 プラス新型コロナウイルスに感染した事実も分かるようになっています。 これは個人情報保護法上、要配慮個人情報に該当し、センシティブな個人情報となります。 詳細は「取り扱い要注意!?要配慮個人情報ってなんですか？」に記載しています。 端的に言うと、万が一外部に漏えい等してしまうと社会的影響が大きい情報になります。 今回、県は感染症法などに基づいて個人情報を収集・利用していた形になりますが、その詳細については「コロナ感染者の行動履歴を把握することは個人情報保護法上良いのか？」にも詳細を記載しています。   【誤記載でどんな影響が出るのか】 今回の新型コロナウイルス感染者のリストが漏えいしたことがどんな問題に発展するのでしょうか。 いくつか想定することが出来ますが、1つ大きな例を挙げると「差別」です。 新型コロナウイルス感染者リストに載っている人が世の中から差別されることが問題となります。 ニュースなどでも新型コロナウイルスの感染者が差別されたり、不当な扱いを受けた。という記事を見かけますし、新型コロナウイルスの診察をした病院が中傷された。など耳にします。 こういった個人情報がインターネット上に掲載されたりしますと世界中に発信されてしまいますし、住所は載っていないにしても、入院している病院などから住所やSNSなどが特定されてしまう可能性もあります。     つまり、インターネット上に公表されてしまうと自分の全てがすっ裸の状態にされてしまうと言っても過言ではありません。 インターネット上なので、事実以外にも勝手な嘘を書かれてしまう可能性があり、その人へのダメージは計り知れないものになります。   【どう対処すべきなのか・・・】 今回の新型コロナウイルスの感染者リストに限らず、万が一個人情報がインターネット上に漏えいしてしまい、いろいろ心無いことが書かれた場合ですが、主に下記のような問題になります。 ・名誉棄損 ・侮辱 ・プライバシー侵害 これらについて相談できる先は主に下記となります。 ・警察(サイバー犯罪相談窓口) ・弁護士や行政書士など法律家(ネットに詳しいことが条件) ・対策事業者 対策事業者は主に法人への対応が多くなってきますので、個人の方が相談する先としては警察や法律関係者になってくるかと思います。 こういったことはいち早く対応しないと一生残り続ける可能性もあるので、万が一被害にあった際には早急な相談・対応が必要がなってきます。

2020.10.19

意外と知らない、もらった名刺の情報は誰のもの？

皆さん、仕事で名刺交換したことありますよね？ 仕事をしていれば誰もが経験するものだと思います。 ただ、意外と皆さん認識・見解が分かれるのが「もらった名刺って誰のもの？」という点です。 実はこの部分を疎かにすると従業員の退職後のトラブルや下手すると情報漏えいの騒ぎと言った大きなトラブルに発展する可能性があります。 今回は「名刺」に焦点を当てた話をしたいと思います。   【そもそも誰のもの？】 そもそもの話ですが、サラリーマンの人が名刺交換でもらった名刺は誰のものなのでしょうか。 ①：直接もらった人のもの ②：もらった人が所属する会社のもの ③：名刺に書かれた個人情報本人のもの 正解は②になります。 会社の業務で名刺を交換しているわけですから、名刺をもらった人のものではなく、あくまで会社のものになります。 交換した名刺=自分のもの。と考える人が多いですが、そもそものところを間違っているケースが多いので注意です。 ここを間違っていると、会社も名刺をもらった人もその個人情報の扱いにおいて、トラブルを起こしてとんでもないことになってくる可能性があります。 だからこそ、会社で名刺の管理ルールはしっかり定めておいて、従業員に周知する必要があります。 個人任せになっていることも多いかと思いますが、最低限NGなことだけでも定めておいた方が無難と言えます。 例えば、個人的に使っている名刺管理アプリに会社で名刺交換した人の情報を登録しない。等になります。     【名刺に書かれた個人情報の利用目的】 次に名刺に書かれた個人情報の扱う上で利用目的です。 利用目的については別の記事でもご紹介しているのでそちらもご参照ください。 参照：個人情報の利用目的ってどんな感じにすべきなの？ 名刺情報の利用の目的ですが、基本的には「相手に連絡するため」「メルマガ等での情報提供」が主になるかと思います。 ここでも注意すべきなのは、あくまで自分が所属する会社として連絡をする、自社のサービス等に関する情報の提供を行う。です。 間違っても、相手が了承をしていないのに個人的・プライベートな連絡をすることはNGになります。 また、会社のものである以上、退職時には返却する必要もあります。 従業員の退職後に辞めた人が自身が持っていた名刺や名刺管理アプリ内に登録していた名刺情報を利用して営業を活動を行った。というトラブルは意外と多くあります。 営業を受けた側から言われれば話が早いのですが、辞めた人がいた会社からすると名刺が不正競争防止法に定められたいわゆる「営業の秘密」に該当するかが問題にもなります。 意外にも裁判例においても、会社を退社した役員による名刺帳持ち出し行為について、営業の秘密の該当性が争われた件について、『名刺記載情報が非公知とはいえず、同名刺帳に有用性・秘密管理性は認めれず、営業秘密ということはできない』（東京地方裁判所平成27年10月22日）と判示しています。   【退職時注意すべき点】 最後に退職時に名刺の扱いでトラブルにならないようにするために会社がどうすべきかです。 まず法律等で名刺を会社に返却しろ！と強要することは出来ません。上記に書いた判例にもあるように営業秘密とは言い切れない状況なので、あくまでお願いベースになります。 ただ、辞めた後にトラブルになるような事態は避けなければなりません。 そのためにも少なからず管理のためのルール作りや辞める時に誓約書などで返却・データでもっているものは削除してもらうようなことをきっちり対応しておくことが大事になります。   たかが名刺かもしれないですが、名刺1つで情報漏えいだ。とも言える時代でもあるので。しっかりと個人情報として管理することが重要です。  

2020.10.19

意外と悩む、個人情報保護の体制づくり

プライバシーマーク(以下、Pマーク)を取得するためには人が携わることは不可欠です。 取り組みそのものは書類を作るだけではなく、個人情報の管理の仕組みを運用するための責任者やそれをチェックするための責任者を最低限定める必要があります。 A3.3.4は主に人の役割やその役割における責任や権限について定めています。 今回はPマークの取り組みを行う上に必要な役割等について触れてみたいと思います。   【個人情報保護管理者】 絶対に定めないといけない役割の1つに個人情報保護管理者があります。 会社によっては名称が若干違うことがありますが、いわゆるPマークの取り組みにおける責任者になると考えてください。 取り組みにおいてはリーダーが存在しないとちゃんと取り組みが推進されないので、絶対に必要な役割になります。 では、どういった方がなるべきなのでしょうか。 要求事項の解説などでは「社外に責任が取れる方」が望ましい。と言われています。 会社における部長や取締役の方ですね。 やはり、なにかあった際には責任者として説明等を行うべき立場でもあるので、職務における権限もある程度必要になると考えられます。 ただ、ある程度役職が上の方は仕事でも忙しい立場でもありますので、なかなか理想通りにはいかないものでもあります。。。 ですので、実態として一番多いのが自社の個人情報を取り扱う業務について詳しい方、精通している方がケースとして一番多いです。 他には人事や総務と言った管理部門の方がなったりするケースもあります。     【内部監査責任者】 もう1つ絶対に立てないといけない役割が内部監査責任者です。 これはPマークの取り組み上必ず実施しなければならない、内部監査を実施する上での責任者になります。 この方についても要求事項としては「社外に責任が取れる」が望ましいとされています。 また、取り組みを行う上で個人情報保護管理者よりは職務上の役割が同等以上の方が望ましいと考えられます。 理由としては、個人情報保護管理者に対して「あなたこれ出来てないですよ」と指摘する必要があるため、仕事上の部下の方が内部監査責任者になってしまうとなかなか指摘がしづらいケースが出てきてしまうと考えられます。 ですので、出来れば個人情報保護管理者よりも職務上は上の方がベストではあります。 また、会社の社長は内部監査責任者にはなれないので注意が必要です。   【任命する上での注意点】 個人情報保護管理者や内部監査責任者を任命する上での注意点ですが、必ず別の方を任命する必要があります。 つまり、最低でも2名の人員が必要になるわけです。 ですので、1人しかいない会社ではPマークの取得は出来なくなってしまいます。。。 また、会社法上の「監査役」にPマークの役割を任命することも出来ないので、任命する際には注意が必要です。 この任命はちゃんと理解して行っておかないと審査機関にPマーク取得の申請を行っても審査を進めてもらうことが出来ないので必ず遵守する必要があります。  

2020.10.19

会社から感染したら教えろと言われたけど言わなくてOK？

新型コロナウイルスの感染者が日々増えていく中で、会社から「もし、新型コロナウイルスに感染してしまったら、すぐに会社に報告しなさい」と言われている人も多いのではないかと思います。 当事務所にもお客様から 「従業員に病気の情報等を聞くことは問題ないか」 「会社から教えろ！と言われたが個人情報保護の観点で問題ないか」 「従業員から聞いた情報は行政に伝える義務があるのか」 など相談をいただきます。 今回は会社が従業員から新型コロナウイルス感染した有無や病気に関することを聞くことが問題ないことかについて触れて行きたいと思います。   【感染した事実はどんな情報？】 個人情報保護法上で新型コロナウイルスに感染した事実はどんな情報にあたるかと言うと、「要配慮個人情報」という分類にあたります。 要配慮個人情報に関する詳細の説明は別のブログで説明してるのでそちらをご覧ください。 要配慮個人情報とは・・ 病気にかかった事実はこの要配慮個人情報に該当するため、会社は基本的に取得してはいけない個人情報となってきます。   【会社は何を根拠に聞くべきか】 では、会社は個人情報保護の観点で、新型コロナウイルスに感染した事実などを聞くことはダメなのでしょうか。 個人情報保護法の17条2項では下記のように定められています。 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。 一　法令に基づく場合 二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 五　当該要配慮個人情報が、本人、国の機関、地方公共団体、第七十六条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合 六　その他前各号に掲げる場合に準ずるものとして政令で定める場合 ※個人情報保護法17条2項から引用 1号～5号が適用出来れば、同意を得ることもなく要配慮個人情報を取得することが可能になりますが、本人の同意を得ることが困難な状況とは言い難いため本人の同意を得て会社としては状況を把握することになります。 実際、インフルエンザにかかって出勤が禁止の判断を下すにしても、本人からの申告があってのことだと思いますので、会社としては蔓延しないように周知や従業員の方々が報連相しやすい状況を作っておくことが重要と言えます。     【従業員は感染を言う義務があるのか】 3つ目に従業員の方々は新型コロナウイルスに感染してしまった場合に会社に報告する義務があるかですが、上記でも触れた通り、会社としては情報を強制的に引き出すことが出来ない関係上、義務があるとは言い難いと言えます。 感染したことに気づかない、風邪をひいてはいるが検査を受けていないので判断がつかない。などの事情もあるかと思います。 別の法律から見た場合に感染症法では第4条の国民の責務の中でこういったことを定めています。 「国民は、感染症に関する正しい知識を持ち、その予防に必要な注意を払うよう努める」 ※感染症の予防及び感染症の患者に対する医療に関する法律4条から一部抜粋 努力義務にはなりますが、予防に必要な注意を払う意味では会社や関係各所等と連携して予防に努めるべきでもあると言えるでしょう。 会社としても新型コロナウイルスで様々な面で打撃をうけていることだと思います。 これ以上の拡大防止をしっかり行い、会社の事業活動を止めないようにしなければならないと思います。  

2020.10.19

会社で撮影した写真は好きに使って大丈夫？

会社のイベント事や従業員紹介などで写真を撮影する会社は多いかと思います。 皆さんの会社でも写真を撮影して、会社のHPや会報誌などに掲載することも多いのではないのでしょうか。 その時に写っている従業員の写真の取扱いについて、個人情報保護としてどうすべきなんだろ？考えたことのある人も多いのではないでしょうか。   【写真に写った情報は誰のもの】 まず、写真に写った画像ですがこれはれっきとした個人情報になります。 名前が書かれていなくても、顔がハッキリ写っていればそれだけで個人情報になります。 その上で、写った画像が個人情報となる場合はその情報は写った本人のものになります。 物理的な写真の所有権は撮影者(会社)になりますが、中身の情報は会社のものになるとは限らないと考えてください。 よく、会社のものだから会社がどう扱おうが勝手だ！と仰る方もいますが、個人情報に該当する以上、勝手に扱いすぎると個人情報保護法違反となる可能性があります。 また、勝手にどこかに公開したりすると、肖像権の侵害。として訴えられる可能性もあるので注意が必要です。   【ホームページ等で公開するときはどうすべきか】 では、撮影した写真を会社のホームページなどに掲載したい場合はどうすべきなのでしょうか・・・ 個人情報保護法と照らし合わせていくと下記のようなことが必要となってきます。 「ホームページなどに掲載することを通知などして本人に知らせる」 個人情報保護法18条では「あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。」と定められています。 ※個人情報保護法18条から一部抜粋 つまり、今回撮影する写真について会社として何のために使うのかをきちんと説明したり、どこかに掲示することが必要です。 会社のイベントなどで撮影する時には「撮影する写真は会社のホームページとかにアップします。嫌な人は言ってくださいね」みたいな形でアナウンスしておくことが望ましいと言えるでしょう。     【辞めた人の情報はどうすべきか】 会社を退職した人の写真ですが、どうすべきでしょうか・・・ 個人情報保護法上では退職者の情報をすぐにすべて削除するような条文はありません。 ですので、基本的には退職者の個人情報を持っている期間中は写真も引き続き掲載していて問題ないものと判断できます。 ただ。退職時に確認しておくことが本人に対して親切な対応になると思いますし、もし退職後に削除要望等があれば対応はすべきではあると判断できます。 個人情報保護法上、開示等の対応の中で削除の要求を出すことも出来ますので、要求があった場合は仮に手順を則っていない場合があっても柔軟な対応が望ましいと考えられます。   皆さんの会社でも何気に扱っているものも、この時代では問題になる可能性もあります。 勝手すぎる対応は法律違反になってしまう可能性もあるので、専門家のサポートが必要と言えます。 お問い合わせはこちら  

2020.10.19

警察からの個人情報に関する照会が来た！どうしたら良いの？

会社にいきなり、警察署から個人情報の照会がくると皆さんドキッとくるのでないでしょうか。 警察だから言われるがままに答えてしまう。それとも個人情報保護の観点から一切回答しない。 どちらの対応が良いのでしょうか。 なかなか判断がつかないのではないかと思います。 今回は警察から照会を受けた場合どうすべきかについて触れてみたいと思います。   【個人情報保護法上の対応】 個人情報保護法では16条にて目的外の個人情報の利用の制限、23条にて同意のない第三者への提供の禁止をうたっています。 警察など捜査機関からの個人情報の照会に対する回答は「目的外の利用における第三者提供」に該当すると言えます。 ただし、捜査機関からの照会が刑事訴訟法197条2項に基づくものであれば、個人情報保護法の16条や23上のただし書きの「法令に基づく場合」が適用でき、外部への第三者提供が可能になります。     【実務上のステップ】 では、実務上どのように対応すべきなのでしょうか。 ・ステップ1：根拠となる法令等を確認する まずは警察がどのような法令に基づいて照会をかけてきているのか確認しましょう。 主な法令等としては刑事訴訟法197条2項を根拠にした照会と同法507条を根拠にしたものなります。 これらを根拠法とした場合は個人情報保護法上も「法令に基づく場合」のただし書きが適用でき、第三者提供を適法に行うことができます。 ・ステップ2：照会の趣旨等を確認する 照会があった場合、照会文書がおそらく届くかと思います。 そこに記載のある担当者の方に連絡を取り、可能な範囲で照会の趣旨、目的など個人情報の提供に必要なことを確認してください。 ・ステップ3：必要な範囲で回答を行う 照会趣旨などを確認した上で捜査機関に回答することになりますが、その際には必要な範囲の情報の提供に留めましょう。 保有している個人情報によってはセンシティブ情報や要配慮個人情報を持っていることもあり、それら含めて照会に入っていない情報を提供すると不当に本人の権利利益を侵害してしまう可能性があります。 ですので、照会趣旨を満たすことができる範囲での回答をすべきであると考えられます。   【最後に】 捜査機関などから照会があった場合、どのように対応したか社内で対応記録をしっかり残しておくことをお勧めします。 そうすることでもし再度どうような照会があった場合の対応指針となりますし、個人情報を外部に提供等をした履歴としても残すことが可能になります。 個人情報の取扱いはシビアになってきている状況でもあるので、しっかりと法令や実務を把握した上で専門家のサポートを得ることが大事と言えます。