2020.10.19

住所変更漏れで書類の誤送付！これってどっちの責任？

郵便物をお客様に送ることは多くの企業でやっていることです。 対個人のサービスを行っているとなおのこと多くなってきます。 そんな中、顧客側の個人のミスなどで書類の送り先となる住所の変更がなされていないこともあります。 こちらは正しい住所に郵便物を送ったのに、送り先には別の人が住んでいて、郵便物を開けられてしまった・・・なんてことを経験したことがある会社も多いのではないかと思います。 宛名に書かれている個人情報はもちろん郵便物の中身を見られてしまったことで個人情報が漏えいしてしまった。というケースもあります。 その場合、一体誰の責任なのでしょうか・・・ 今回は「住所変更漏れなどで個人情報が漏えい等してしまった場合」の責任問題について、個人情報保護法等の観点から解説をしてみたいと思います。   【漏えい時の報告義務】 まず、漏えい等が起きてしまった場合ですが、個人情報保護法上に明確な報告義務は明記されていません。(2020年5月現在) 実は個人情報保護法42条(勧告及び命令)に下記のような記述があります。 第四十二条　個人情報保護委員会は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十二条まで、第二十三条（第四項を除く。）、第二十四条、第二十五条、第二十六条（第二項を除く。）、第二十七条、第二十八条（第一項を除く。）、第二十九条第二項若しくは第三項、第三十条第二項、第四項若しくは第五項、第三十三条第二項若しくは第三十六条（第六項を除く。）の規定に違反した場合又は匿名加工情報取扱事業者が第三十七条若しくは第三十八条の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。 ※個人情報保護法42条1項から引用 企業が守るべき様々な事項について、違反があった場合に個人情報保護委員会は介入することが出来ます。   個人情報保護委員会への報告についてはあくまで「個人データの漏えい等の事案が発生した場合等の対応について（平成 29 年個人情報保護委員会告示第１号）」で定められた努力義務事項になっています。 2020年5月現在、個人情報保護法上での報告義務化への改正が進んでいますが、現時点では個人情報の漏えい等があって報告をしていなくとも法律違反とはならないことになっています。 ただ、ほかの業法等で報告義務があるときは別ですので、注意してください。 もちろん、会社として報告・公表等していなかったら、社会的信用に関わるケースもありますが些細なことまで報告義務は「ない」ということになります。   【どっちの責任】 次に正しいと思ったに誤送付してしまった場合、どっちが悪いのでしょうか・・・ 顧客からすれば、自分あての郵送物が他人に送られてしまったわけですから、会社が悪い！と思うことでしょう。 会社の方からしても、変更してないそっちの責任。になります。 結論を先に言ってしまうと、ケースバイケースにもなり、どっちに責任があるかは断言できない。になります。 こういった問題について、個人情報保護法はどっちの責任になる。と定めてはいません。 誤送付による精神的苦痛などがあり、会社側に過失がある。やプライバシーが侵害された。など民事の裁判で争える点は多々あるようにも感じます。 今回は民法などは考慮にいれず、あくまで個人情報保護法上だけの見解になります。 ただ、会社として過失ないこと、少ないことをどこまで証明できるかがポイントにはなると考えられます。   【会社を守るためにやっておくべきこと】 上記で述べた「過失」の点についてですが、個人情報保護法の観点からで行くと過失を少なくするためにどういったことが考えられるでしょうか。 個人情報保護法19条(データ内容の正確性の確保等)に書かれていることをどこまでしっかり行っているかが1つのポイントになってきます。 第十九条　個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。 ※個人情報保護法19条から引用 「個人データを正確かつ最新の内容に保つ」ことをどこまで頑張っていたか。です。 例えば、引越した場合の住所変更の手続きなどが分かりやすくなっているかリマインドしているかなど、今回の誤送付の問題に関して言うと、顧客に対して、住所変更についてどこまでわかりやすく促せているかが重要です。 また、仮に解約した人がいたとして、間違ってそこに書類などを送付した場合もこの法律の努力義務にかかってきます。「利用する必要がなくなったときは、当該個人データを遅滞なく消去する」という点です。 個人情報保護法では会社がもつ個人データについてちゃんとその内容が正確であるよう努力することを求めていますので、会社として個人情報取扱事業者としてどこまで頑張っているかで、「過失」の度合いが変わってくると考えられます。   【まとめ】 完全にもらい事故のような個人情報の漏えいかもしれませんが、会社として「何も悪くないです」とは一概に言えないケースもあります。 個人情報の取扱いをちゃんとルール化してどこまで取り組めているかが自社を守るのに必要になってきます。  

2020.10.19

新型コロナウイルスに伴うPマーク審査等の対応について

新型コロナウイルスの影響は様々なところに出ていますが、Pマークについても影響が出てきていて、審査・申請・各種問い合わせ対応を中止、延期してきています。 一部、審査期間によって対応が違うところがありますが、基本的に下記の通りになっています。   【更新申請期限について】 更新申請期間中に、、更新申請手続ができなくなったPマーク取得企業について、更新申請の期限をプライバシーマーク付与契約の有効期間の満了日まで延長となっています。 ※本来は有効期限満了日の8か月前から4か月前までに申請の必要があります。   【現地審査について】 現地審査については当面の間、延期となっています。現地審査日が決定している、または日程の調整中の企業には、個別に連絡しての相談・調整となります。   【個人情報の取り扱いに関する事故報告について】 原則、速やかに報告だったのが、対応が可能になった時点での提出でOKになりました。 重大な事故が発生した場合や、提出までに時間がかかる可能性がある場合には、直近の審査を受けた審査機関へメール等で連絡するか、JIPDECに連絡してほしい。とのことです。 Pマークは許認可のように、期限がある制度あるし、事故報告についても社会的影響が大きいケースもあるので、このような緊急事態の状況化でどのようにすればいいか、示してくれているのか助かるところです。 引用・出典元：JIPDEC 新型コロナウイルス感染症への対応について（現地審査の延期等）

2020.10.19

通知・公表？同意？個人情報取得時にすべきこと

会社が個人情報を取得する時にやるべきことにどんなことがあるかご存知でしょうか？ 以前、利用目的の特定が必要であることはこのブログでも触れさせてもらっています。 はたして利用目的を特定出来ていれば他に何もしなくて問題ないのでしょうか・・・ 実際のところは個人情報保護法に準拠する意味でも、プライバシーマークを取得するためもどちらの場合でも、それだけでは足りません。 今回は個人情報を取得する際に実際に行わなければならないことについてお話したいと思います。   【法律上求められること】 まず、法律上の要求ですが、個人情報について利用目的を通知または公表することを要求しています。 通知の手段だと、個人情報の本人にどんな目的で個人情報を伝える形になります。 イメージとしては紙に記載して、伝える形がわかりやすいかもしれませんね。 公表の場合ですが、言葉の通りでいくとどこかで公に公表する形になります。 わかりやすい例と言えば、会社のHPに掲載するこになります。 分かりやすいところに公表することで個人情報保護法で求められる法的要求を満たすことが可能になります。 HPを持っていない場合は別の形で公表することになります。   【プライバシーマークで求められること】 プライバシーマークでも最低限求められるのは利用目的の通知または公表になります。 ただ、プライバシーマークの場合、個人情報を直接書面で取得する際には本人から同意を得ることが求められてきます。 この場合に単に利用目的を記載して同意を得るだけではダメです。 下記のような内容を示して同意を得ることが必要になります。 a) 社名。 b) 個人情報保護管理者（若しくはその代理人）の氏名又は職名、所属及び連絡先。 c) 利用目的。 d) 個人情報を第三者に提供することが予定される場合の事項。 ・ 第三者に提供する目的。 ・ 提供する個人情報の項目。 ・ 提供の手段又は方法。 ・ 当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性。 ・ 個人情報の取扱いに関する契約がある場合はその旨。 e) 個人情報の取扱いの委託を行うことが予定される場合には、その旨。 f)付属書A3.4.4.4～A3.4.4.7に該当する場合には、その求めに応じる旨及び問合せ窓口。 g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果。 h) 本人が容易に認識できない方法によって個人情報を取得する場合には、その旨。 ※JISQ15001:2017から一部抜粋   【利用目的としてNGな例】 では通知・公表及び同意を得る上で利用目的はどのように記載すべきでしょうか。 できるだけ具体的に記載することが求められています。 これについては、以前のブログでも触れていますので、詳細は割愛しますが、抽象過ぎる内容や如何様にも取れる利用目的だとNGとなってくるので、しっかり考えないといけません。 逆に細か過ぎたり、厳格過ぎるとご自身の首を絞めることとなるため、ちょうど良い内容を精査する必要があります。 参考：個人情報の利用目的ってどんな感じにすべきなの？  

2020.10.19

面倒くさい!?個人情報の一覧の作成方法について

プライバシーマーク(以下、Pマーク)取得の際の第一関門でよく躓くのが、個人情報の特定です。 何を特定するのか、どういったものに取りまとめるのか、、、悩みだしたらキリがない世界に突入してしまいます。 今回の個人情報の洗い出しに関するポイントについて触れて行きたいと思います。   【特定すべき対象】 まず、特定すべき対象ですが、規格の言葉を借りると「事業のように供する情報」が対象になります。 非常に難しい言葉になりますが、言い換えると自社の事業・業務で使用する個人情報が対象です。 つまり、皆さんの仕事で取得したり、使ったりする個人情報を取りまとめていく必要があります。 わかりやすい例で言うと、履歴書や給与データなどが特定すべき個人情報の例になってきます。 皆さんが仕事でどういった個人情報を扱っているのか、イメージしながら個人情報を洗い出して行くことがポイントになります。   【個人情報の一覧化】 では、個人情報を特定する際にどういったものに特定するかですが、一般的には一覧表を作成し、台帳で管理することが求められています。 規格であるJISQ15001:2017の附属書A内では「個人情報の項目，利用目的，保管場所，保管方法，アクセス権を有する者，利用期限，保管期限」を記載した台帳を作成することを求めています。 ※JISQ15001:2017附属書Aから一部抜粋 ただ、これ以外にも保有個人データであるか否かなどの項目や規格では直接言われていないが、認証取得を目指す上で個人情報を一覧で管理する中で台帳の項目に入れておくべき事項はいくつかあります。 必要事項を網羅した台帳フォーマットを作成し、そこに仕事で扱う個人情報を記載していき、個人情報管理台帳を作成してくことになります。   【最後に】 Pマーク取得に向けては単に台帳を作成するだけではなく、個人情報の洗い出しなどについての手順を定めておく必要あります。 どの粒度で文書を作成するかは会社によってマチマチでしょうが、文書・手順も必要になってきますので注意が必要です。 また、対象は会社のすべてのなるため会社の事業だけではなく人事や経理で発生する個人情報も対象になるため範囲は広くなることを注意する必要があります。 専門家にも相談し、効率的な取り組みも重要になりますので必要に応じて相談するのも1つだと思います。