2020.10.19

会社で撮影した写真は好きに使って大丈夫？

会社のイベント事や従業員紹介などで写真を撮影する会社は多いかと思います。 皆さんの会社でも写真を撮影して、会社のHPや会報誌などに掲載することも多いのではないのでしょうか。 その時に写っている従業員の写真の取扱いについて、個人情報保護としてどうすべきなんだろ？考えたことのある人も多いのではないでしょうか。   【写真に写った情報は誰のもの】 まず、写真に写った画像ですがこれはれっきとした個人情報になります。 名前が書かれていなくても、顔がハッキリ写っていればそれだけで個人情報になります。 その上で、写った画像が個人情報となる場合はその情報は写った本人のものになります。 物理的な写真の所有権は撮影者(会社)になりますが、中身の情報は会社のものになるとは限らないと考えてください。 よく、会社のものだから会社がどう扱おうが勝手だ！と仰る方もいますが、個人情報に該当する以上、勝手に扱いすぎると個人情報保護法違反となる可能性があります。 また、勝手にどこかに公開したりすると、肖像権の侵害。として訴えられる可能性もあるので注意が必要です。   【ホームページ等で公開するときはどうすべきか】 では、撮影した写真を会社のホームページなどに掲載したい場合はどうすべきなのでしょうか・・・ 個人情報保護法と照らし合わせていくと下記のようなことが必要となってきます。 「ホームページなどに掲載することを通知などして本人に知らせる」 個人情報保護法18条では「あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。」と定められています。 ※個人情報保護法18条から一部抜粋 つまり、今回撮影する写真について会社として何のために使うのかをきちんと説明したり、どこかに掲示することが必要です。 会社のイベントなどで撮影する時には「撮影する写真は会社のホームページとかにアップします。嫌な人は言ってくださいね」みたいな形でアナウンスしておくことが望ましいと言えるでしょう。     【辞めた人の情報はどうすべきか】 会社を退職した人の写真ですが、どうすべきでしょうか・・・ 個人情報保護法上では退職者の情報をすぐにすべて削除するような条文はありません。 ですので、基本的には退職者の個人情報を持っている期間中は写真も引き続き掲載していて問題ないものと判断できます。 ただ。退職時に確認しておくことが本人に対して親切な対応になると思いますし、もし退職後に削除要望等があれば対応はすべきではあると判断できます。 個人情報保護法上、開示等の対応の中で削除の要求を出すことも出来ますので、要求があった場合は仮に手順を則っていない場合があっても柔軟な対応が望ましいと考えられます。   皆さんの会社でも何気に扱っているものも、この時代では問題になる可能性もあります。 勝手すぎる対応は法律違反になってしまう可能性もあるので、専門家のサポートが必要と言えます。 お問い合わせはこちら  

2020.10.19

警察からの個人情報に関する照会が来た！どうしたら良いの？

会社にいきなり、警察署から個人情報の照会がくると皆さんドキッとくるのでないでしょうか。 警察だから言われるがままに答えてしまう。それとも個人情報保護の観点から一切回答しない。 どちらの対応が良いのでしょうか。 なかなか判断がつかないのではないかと思います。 今回は警察から照会を受けた場合どうすべきかについて触れてみたいと思います。   【個人情報保護法上の対応】 個人情報保護法では16条にて目的外の個人情報の利用の制限、23条にて同意のない第三者への提供の禁止をうたっています。 警察など捜査機関からの個人情報の照会に対する回答は「目的外の利用における第三者提供」に該当すると言えます。 ただし、捜査機関からの照会が刑事訴訟法197条2項に基づくものであれば、個人情報保護法の16条や23上のただし書きの「法令に基づく場合」が適用でき、外部への第三者提供が可能になります。     【実務上のステップ】 では、実務上どのように対応すべきなのでしょうか。 ・ステップ1：根拠となる法令等を確認する まずは警察がどのような法令に基づいて照会をかけてきているのか確認しましょう。 主な法令等としては刑事訴訟法197条2項を根拠にした照会と同法507条を根拠にしたものなります。 これらを根拠法とした場合は個人情報保護法上も「法令に基づく場合」のただし書きが適用でき、第三者提供を適法に行うことができます。 ・ステップ2：照会の趣旨等を確認する 照会があった場合、照会文書がおそらく届くかと思います。 そこに記載のある担当者の方に連絡を取り、可能な範囲で照会の趣旨、目的など個人情報の提供に必要なことを確認してください。 ・ステップ3：必要な範囲で回答を行う 照会趣旨などを確認した上で捜査機関に回答することになりますが、その際には必要な範囲の情報の提供に留めましょう。 保有している個人情報によってはセンシティブ情報や要配慮個人情報を持っていることもあり、それら含めて照会に入っていない情報を提供すると不当に本人の権利利益を侵害してしまう可能性があります。 ですので、照会趣旨を満たすことができる範囲での回答をすべきであると考えられます。   【最後に】 捜査機関などから照会があった場合、どのように対応したか社内で対応記録をしっかり残しておくことをお勧めします。 そうすることでもし再度どうような照会があった場合の対応指針となりますし、個人情報を外部に提供等をした履歴としても残すことが可能になります。 個人情報の取扱いはシビアになってきている状況でもあるので、しっかりと法令や実務を把握した上で専門家のサポートを得ることが大事と言えます。  

2020.10.19

個人情報が漏えいした時に意識しなければならないこと

緊急事態と聞いて皆さんどんなイメージをしますか？端的に「ヤバいことが起きた」などのイメージあるかと思います。 プライバシーマーク(以下、Pマーク)でも緊急事態というのは個人情報が外部に漏えいしちゃった、もしくはしちゃったかもしれない。みたいな形で「ヤバいことが起きた」を指しています。 今回はそんな個人情報が外部に漏れた！みたいな「ヤバいことが起きた」際にどんなことをやらなければならない。のかを勉強していきます。   【最初にすべきこと】 まず個人情報の漏えいが起きてしまった場合にやらなければならないことはどんなことかと言うと、事故・事件現場から偉い人への報告です。 事故の場合、発見者が当事者かもしれないですが、すぐに上司や個人情報保護管理者に報告しなければなりません。 よくご自身で事実確認をしたり、紛失などであれば数日探すなどありますが、まずは報告です！ 報告した上でヒヤリハットであったり、紛失したものが見つかればそれで事無きを得ることになりますが、報告が遅れてしまうと被害が大きなったり、上司から「なぜすぐに報告しなかった」となってしまいます。 会社としてもそういった報告などがやり易い環境を作ることも重要ですね。   【事態の公表等】 次に必要になってくるのが起きてしまった内容等の公表です。 インターネットが発展したこの時代では会社のHPに第一報を載せたりするのが、主な手段になるかと思います。 公表の際にも事実確認を入念にしたり、不利益なことだから公表などは一切しない。など判断をする可能性もありますが、公表が遅くなると「なぜ今になって公表？隠してたの？」になりますし、社内から外に隠した事実が漏れてしまうと所謂「炎上」となり、さらに面倒なことになる可能性もあります。 ですので、ここでも迅速な対応が求められてくるわけです。 仮に受託などで預かっている個人情報の漏えい等したのであれば、委託元への報告は必ず行わなければいけません。(これが漏れていると契約問題以前の話になってしまいます・・・) また、事件の進捗なども適宜公表・報告することも重要です。   【被害の防止】 平行してすべきことは被害の拡大防止です。 紛失であれば、紛失したものを探す。メールの誤送信であれば誤送信先にそのメール内容の削除をしてもらう。などなど、起きてしまった個人情報の漏えい等の事故・事件の内容でやるべきことが変わってきますが、放置プレイをしていると二次被害が起きてしまって、さらになるクレームを生むことになってしまうので、しっかりとした対応がここでは求められます。   【再発防止】 被害の防止や事故・事件の全貌が見えてくれば、次に必要なのは再発防止です。 同じ事故・事件を何度も起こしてはダメなので、ちゃんとなぜこんなことが起きたのか「原因」をしっかり考える必要があります。 原因を潰さず再発防止は叶いません！ 事実確認→原因追及→再発防止策の検討→再発防止の実施→ちゃんと実施出来ているかの確認 この流れが必要です。 内容はケースバイケースですが、流れはすべて一緒です。 例を挙げると ①事故内容：クリアデスクが出来ておらず机の上にあった書類を紛失してしまった。 ②原因：書類を保管するキャビネットが少なく、キャビネットが満杯で机に放置したままになっていた。 ③再発防止策：追加でキャビネットを購入する・ ④実施：キャビネットを購入して、設置した。 ⑤実施後の確認：キャビネットに書類がちゃんと仕舞われ、机の上に放置されることがなくなった。   【関係各所への報告】 最後に関係する役所などへの報告です。 まず、Pマークを持っている場合は必ず審査機関に報告しなければなりません。 最終的に何か処分が下されることになりますが、報告していなければさらに厳しい罰があるかもしれませんので必ず報告しましょう。 それ以外には個人情報保護委員会や監督官庁に報告が必要です。 Pマークをもっている場合、これらは審査機関・Pマークの認証機関が行ってくれるケースもありますが、個人情報保護委員会への報告は個人情報保護法の要求にもなるので、漏れないようにしなければなりません。 こういった緊急事態が起きるとみんなテンパってしまうため、実施漏れなどが起きてしまい、二次被害などにつながる可能性もあります。 専門家のサポートが必要でもあるので、相談先を確保しておくことをお勧めします。

2020.10.19

個人情報の利用目的ってどんな感じにすべきなの？

皆さんの会社にある個人情報について、「なぜこの個人情報を持っているんですか？」と聞かれて答えれない個人情報があったりしませんか？ 実は会社が個人情報を持つ上ではちゃんと利用目的を定めておく必要があります。 履歴書の個人情報は採用選考や入社後の従業員管理のためです。みたいな感じです。 今回は個人情報を取得・管理する際の個人情報の利用目的について触れていきたいと思います。   【利用目的ってなに？】 利用目的ってなんですか？とたまに質問をもらいますが、言葉の通りで個人情報を利用する目的です。 個人情報をなぜ取得するのか。何のために使っているのか。みたいな感じですね。 皆さんの会社にある個人情報をイメージしてもらい、「何のために使っているのか」を想像してみてください。 イメージできるはずです。それは普段から仕事で個人情報を使っているので、その仕事内容が浮かんでいるのではないでしょうか。 ・採用選考のため・・・ ・メルマガ配信のため・・・ ・商品の発送のため・・・ などなど仕事内容によって様々です。 逆に会社にある個人情報で「何のために使っているのか」などが全くイメージ出来ないものがあった際には注意が必要です！！   【なぜ利用目的の特定が必要？】 なぜ個人情報の利用目的の特定が必要かと言うと端的に言うと個人情報保護法の中で求められているからです。個人情報保護法の中では15条で「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない」と定めています。(個人情報保護に関する法律から抜粋) 「できる限り」となっていますが、利用目的を定めておく必要があるわけです。 また、プライバシーマーク(以下、Pマーク)では要求事項のA3.4.2.1でも似たような記述となっています。 現地審査においては「できる限り」の文言は無視され、利用目的を特定しなければならない。取られているため、利用目的の定めていない個人情報があれば、指摘事項として特定しろ！と言われてしまいますが・・・   【NGな利用目的ってあるの？】 では、その利用目的について、NGな利用目的などはあるのでしょうか。 結論としてはNGな記述はありません。 ただ、「可能な限り具体的」である必要があるので、「マーケティングのため」などざっくり過ぎる内容の場合はもっと具体的に例えば「年齢別の購入層を調査するマーケティングのため」など定める必要があります。 後、もちろんですが、コンプライアンス的にアウトな利用目的も注意が必要です。 例えば、「名簿業者に販売するため」なんかの利用目的だと具体的に定めているのでしょうが、コンプライアンスを考えるとNGとなってしまうように感じます・・・ このように利用目的1つにしてもある程度明確にしておかなければなりません。 また、Pマークを取得する上では必ず利用目的を定めて個人情報管理台帳に明記する必要もあります。 どうすべきか分からない方々はぜひクリアス法務事務所までご相談ください。

2020.10.19

個人情報保護に関する法令ってどんなものがあるの？

プライバシーマーク(以下、Pマーク)の取り組みを行う上で欠かせないのが、自社の個人情報の取り扱いに関わる法令の特定・維持です。 ご存知の通り、Pマークは取り組みの大元として「個人情報保護法」があります。 所謂、コンプライアンスが求められているわけです。 ただ、取り組む上では「個人情報保護法」だけを関連法令とするだけではNGで会社・業界など様々な関連する様々な法令を認識しておく必要があります。   【特定すべき法令】 では、どのような法令を特定する必要があるのでしょうか。 端的に分類すると下記のようなイメージになります。 個人情報保護に関わる法令・ガイドライン 情報管理、規制に関わる法令・ガイドライン 自社の業務に関わる法令・ガイドライン 大体はこのような分類に分かれてきます。   【個人情報保護に関わる法令・ガイドライン】 では「個人情報保護に関わる法令・ガイドライン」とはどのようなものなのでしょうか。 代表的なものは「個人情報保護法」になります。 これ以外にも個人情報保護委員会が発布しているようなガイドラインなどが対象になってきます。   【情報管理、規制に関わる法令・ガイドライン】 次に「情報管理、規制に関わる法令・ガイドライン」ですが、代表的なものとしては「不正アクセス禁止法」があります。 これは個人情報や機密情報などに対して不正なアクセスをさせないようにするための法律になり、Pマークの取り組み上は認識すべき重要な法令の1つになります。 自社の業務に関わる法令・ガイドライン 3つ目の「自社の業務に関わる法令・ガイドライン」ですが、これは様々あります。 例えば、社会保険労務士の事務所がPのマークを取得したい場合、社会保険労務士法を関連する法令として特定しておく必要があります。 つまり、自社の業界に関する法律や官公庁が発行しているガイドラインを認識・特定しておく必要があります。 また、要求事項であるJISQ15001:2017の附属書A内では「特定」し、「参照」できるよう求めています。 一覧表などでまとめて、必要なときに見れるようにしておく必要があります。 それ以外にも「維持」という単語も入っているため、ちゃんとメンテナンスを行い、最新の法令を認識しておく必要があります。 法律の内容確認や把握は素人にはなかなか難しいものになります。 こういったことは専門家に任せてることをお勧めします。

2020.10.19

取り扱い要注意!?要配慮個人情報ってなんですか？

「要配慮個人情報」という言葉は皆さんご存知でしょうか？ この言葉は現行の個人情報保護法の中で新しく定義された用語になります。 単語を置き換えると「配慮を要する個人情報」と読め、ざっくり言い換えると「取り扱いに注意が必要な個人情報」を指します。 これまで法律では定義されていませんでしたが、プライバシーマーク(以下、Pマーク)では「特定の機微な個人情報」というものがあり、それとほぼ同じ意味にはなってきます。 今回は、そんな「要配慮個人情報」について解説してみたいと思います。   【具体的にどんな情報？】 要配慮個人情報と一言で言っても具体的にどんなものを指しているのか分かりづらいと思います。 個人情報保護法の施行令では下記のようなものが上がっています。 ・人種 ・信条(どんな宗教を信仰しているか等) ・社会的身分 ・病歴 ・犯罪の経歴 ・犯罪により害を被った事実等 ・身体障害、知的障害、精神障害等の障害があること ・健康診断その他の検査の結果 ・保健指導、診療・調剤情報 ・本人を被疑者又は被告人として、逮捕、捜索等の刑事事件の手続が行われたこと、 ・本人を非行少年又はその疑いがある者 ※個人情報の保護に関する法律施行令を参照   【精神的・社会的にダメージを被る可能性のある情報】 具体例を書いたとして固い言葉になっていますが、分かりやすく言うと「もし情報漏えい等した場合に自分の受ける精神的・社会的ダメージが大きい情報」が要配慮個人情報であると考えてください。 病歴や障害など他人に知られたくない人は多いと思います。それ以外にも自分の前科や犯罪の被害にあった事実を知られたくないことも同様だと思います。 つまり最終的には差別や迫害に繋がってしまう個人情報となってきます。 どんな宗教を信仰しているか。などはその最たるもので信仰する宗教の違いで昔から戦争が起きたりしています。   【Pマーク上の取り扱い】 Pマーク上も要配慮個人情報の取り扱いについてはかなり厳しいものになっています。 要配慮個人情報を多く取り扱う病院などでは審査する機関が専門の審査機関となっており、審査の基準もさらに厳しいものになっています。 また、要配慮個人情報が情報漏えいしてしまうと通常以上に厳しい処分が下される可能性もあります。 図書館で本の貸出情報が外部に漏えいした事案では、本の貸出システムの事業者が2カ月間の認定停止処分になりました。(図書の貸出情報についてはその人の思想や信条を示す情報に当たると考えられます) このように要配慮個人情報の取り扱いについてはかなり厳重に行う必要があります。   関連記事：センシティブ・機微・要配慮・・それぞれの違いってなんですか？