2020.10.19

個人情報の利用目的ってどんな感じにすべきなの？

皆さんの会社にある個人情報について、「なぜこの個人情報を持っているんですか？」と聞かれて答えれない個人情報があったりしませんか？ 実は会社が個人情報を持つ上ではちゃんと利用目的を定めておく必要があります。 履歴書の個人情報は採用選考や入社後の従業員管理のためです。みたいな感じです。 今回は個人情報を取得・管理する際の個人情報の利用目的について触れていきたいと思います。   【利用目的ってなに？】 利用目的ってなんですか？とたまに質問をもらいますが、言葉の通りで個人情報を利用する目的です。 個人情報をなぜ取得するのか。何のために使っているのか。みたいな感じですね。 皆さんの会社にある個人情報をイメージしてもらい、「何のために使っているのか」を想像してみてください。 イメージできるはずです。それは普段から仕事で個人情報を使っているので、その仕事内容が浮かんでいるのではないでしょうか。 ・採用選考のため・・・ ・メルマガ配信のため・・・ ・商品の発送のため・・・ などなど仕事内容によって様々です。 逆に会社にある個人情報で「何のために使っているのか」などが全くイメージ出来ないものがあった際には注意が必要です！！   【なぜ利用目的の特定が必要？】 なぜ個人情報の利用目的の特定が必要かと言うと端的に言うと個人情報保護法の中で求められているからです。個人情報保護法の中では15条で「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない」と定めています。(個人情報保護に関する法律から抜粋) 「できる限り」となっていますが、利用目的を定めておく必要があるわけです。 また、プライバシーマーク(以下、Pマーク)では要求事項のA3.4.2.1でも似たような記述となっています。 現地審査においては「できる限り」の文言は無視され、利用目的を特定しなければならない。取られているため、利用目的の定めていない個人情報があれば、指摘事項として特定しろ！と言われてしまいますが・・・   【NGな利用目的ってあるの？】 では、その利用目的について、NGな利用目的などはあるのでしょうか。 結論としてはNGな記述はありません。 ただ、「可能な限り具体的」である必要があるので、「マーケティングのため」などざっくり過ぎる内容の場合はもっと具体的に例えば「年齢別の購入層を調査するマーケティングのため」など定める必要があります。 後、もちろんですが、コンプライアンス的にアウトな利用目的も注意が必要です。 例えば、「名簿業者に販売するため」なんかの利用目的だと具体的に定めているのでしょうが、コンプライアンスを考えるとNGとなってしまうように感じます・・・ このように利用目的1つにしてもある程度明確にしておかなければなりません。 また、Pマークを取得する上では必ず利用目的を定めて個人情報管理台帳に明記する必要もあります。 どうすべきか分からない方々はぜひクリアス法務事務所までご相談ください。

2020.10.19

個人情報保護に関する法令ってどんなものがあるの？

プライバシーマーク(以下、Pマーク)の取り組みを行う上で欠かせないのが、自社の個人情報の取り扱いに関わる法令の特定・維持です。 ご存知の通り、Pマークは取り組みの大元として「個人情報保護法」があります。 所謂、コンプライアンスが求められているわけです。 ただ、取り組む上では「個人情報保護法」だけを関連法令とするだけではNGで会社・業界など様々な関連する様々な法令を認識しておく必要があります。   【特定すべき法令】 では、どのような法令を特定する必要があるのでしょうか。 端的に分類すると下記のようなイメージになります。 個人情報保護に関わる法令・ガイドライン 情報管理、規制に関わる法令・ガイドライン 自社の業務に関わる法令・ガイドライン 大体はこのような分類に分かれてきます。   【個人情報保護に関わる法令・ガイドライン】 では「個人情報保護に関わる法令・ガイドライン」とはどのようなものなのでしょうか。 代表的なものは「個人情報保護法」になります。 これ以外にも個人情報保護委員会が発布しているようなガイドラインなどが対象になってきます。   【情報管理、規制に関わる法令・ガイドライン】 次に「情報管理、規制に関わる法令・ガイドライン」ですが、代表的なものとしては「不正アクセス禁止法」があります。 これは個人情報や機密情報などに対して不正なアクセスをさせないようにするための法律になり、Pマークの取り組み上は認識すべき重要な法令の1つになります。 自社の業務に関わる法令・ガイドライン 3つ目の「自社の業務に関わる法令・ガイドライン」ですが、これは様々あります。 例えば、社会保険労務士の事務所がPのマークを取得したい場合、社会保険労務士法を関連する法令として特定しておく必要があります。 つまり、自社の業界に関する法律や官公庁が発行しているガイドラインを認識・特定しておく必要があります。 また、要求事項であるJISQ15001:2017の附属書A内では「特定」し、「参照」できるよう求めています。 一覧表などでまとめて、必要なときに見れるようにしておく必要があります。 それ以外にも「維持」という単語も入っているため、ちゃんとメンテナンスを行い、最新の法令を認識しておく必要があります。 法律の内容確認や把握は素人にはなかなか難しいものになります。 こういったことは専門家に任せてることをお勧めします。

2020.10.19

取り扱い要注意!?要配慮個人情報ってなんですか？

「要配慮個人情報」という言葉は皆さんご存知でしょうか？ この言葉は現行の個人情報保護法の中で新しく定義された用語になります。 単語を置き換えると「配慮を要する個人情報」と読め、ざっくり言い換えると「取り扱いに注意が必要な個人情報」を指します。 これまで法律では定義されていませんでしたが、プライバシーマーク(以下、Pマーク)では「特定の機微な個人情報」というものがあり、それとほぼ同じ意味にはなってきます。 今回は、そんな「要配慮個人情報」について解説してみたいと思います。   【具体的にどんな情報？】 要配慮個人情報と一言で言っても具体的にどんなものを指しているのか分かりづらいと思います。 個人情報保護法の施行令では下記のようなものが上がっています。 ・人種 ・信条(どんな宗教を信仰しているか等) ・社会的身分 ・病歴 ・犯罪の経歴 ・犯罪により害を被った事実等 ・身体障害、知的障害、精神障害等の障害があること ・健康診断その他の検査の結果 ・保健指導、診療・調剤情報 ・本人を被疑者又は被告人として、逮捕、捜索等の刑事事件の手続が行われたこと、 ・本人を非行少年又はその疑いがある者 ※個人情報の保護に関する法律施行令を参照   【精神的・社会的にダメージを被る可能性のある情報】 具体例を書いたとして固い言葉になっていますが、分かりやすく言うと「もし情報漏えい等した場合に自分の受ける精神的・社会的ダメージが大きい情報」が要配慮個人情報であると考えてください。 病歴や障害など他人に知られたくない人は多いと思います。それ以外にも自分の前科や犯罪の被害にあった事実を知られたくないことも同様だと思います。 つまり最終的には差別や迫害に繋がってしまう個人情報となってきます。 どんな宗教を信仰しているか。などはその最たるもので信仰する宗教の違いで昔から戦争が起きたりしています。   【Pマーク上の取り扱い】 Pマーク上も要配慮個人情報の取り扱いについてはかなり厳しいものになっています。 要配慮個人情報を多く取り扱う病院などでは審査する機関が専門の審査機関となっており、審査の基準もさらに厳しいものになっています。 また、要配慮個人情報が情報漏えいしてしまうと通常以上に厳しい処分が下される可能性もあります。 図書館で本の貸出情報が外部に漏えいした事案では、本の貸出システムの事業者が2カ月間の認定停止処分になりました。(図書の貸出情報についてはその人の思想や信条を示す情報に当たると考えられます) このように要配慮個人情報の取り扱いについてはかなり厳重に行う必要があります。   関連記事：センシティブ・機微・要配慮・・それぞれの違いってなんですか？  

2020.10.19

住所変更漏れで書類の誤送付！これってどっちの責任？

郵便物をお客様に送ることは多くの企業でやっていることです。 対個人のサービスを行っているとなおのこと多くなってきます。 そんな中、顧客側の個人のミスなどで書類の送り先となる住所の変更がなされていないこともあります。 こちらは正しい住所に郵便物を送ったのに、送り先には別の人が住んでいて、郵便物を開けられてしまった・・・なんてことを経験したことがある会社も多いのではないかと思います。 宛名に書かれている個人情報はもちろん郵便物の中身を見られてしまったことで個人情報が漏えいしてしまった。というケースもあります。 その場合、一体誰の責任なのでしょうか・・・ 今回は「住所変更漏れなどで個人情報が漏えい等してしまった場合」の責任問題について、個人情報保護法等の観点から解説をしてみたいと思います。   【漏えい時の報告義務】 まず、漏えい等が起きてしまった場合ですが、個人情報保護法上に明確な報告義務は明記されていません。(2020年5月現在) 実は個人情報保護法42条(勧告及び命令)に下記のような記述があります。 第四十二条　個人情報保護委員会は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十二条まで、第二十三条（第四項を除く。）、第二十四条、第二十五条、第二十六条（第二項を除く。）、第二十七条、第二十八条（第一項を除く。）、第二十九条第二項若しくは第三項、第三十条第二項、第四項若しくは第五項、第三十三条第二項若しくは第三十六条（第六項を除く。）の規定に違反した場合又は匿名加工情報取扱事業者が第三十七条若しくは第三十八条の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。 ※個人情報保護法42条1項から引用 企業が守るべき様々な事項について、違反があった場合に個人情報保護委員会は介入することが出来ます。   個人情報保護委員会への報告についてはあくまで「個人データの漏えい等の事案が発生した場合等の対応について（平成 29 年個人情報保護委員会告示第１号）」で定められた努力義務事項になっています。 2020年5月現在、個人情報保護法上での報告義務化への改正が進んでいますが、現時点では個人情報の漏えい等があって報告をしていなくとも法律違反とはならないことになっています。 ただ、ほかの業法等で報告義務があるときは別ですので、注意してください。 もちろん、会社として報告・公表等していなかったら、社会的信用に関わるケースもありますが些細なことまで報告義務は「ない」ということになります。   【どっちの責任】 次に正しいと思ったに誤送付してしまった場合、どっちが悪いのでしょうか・・・ 顧客からすれば、自分あての郵送物が他人に送られてしまったわけですから、会社が悪い！と思うことでしょう。 会社の方からしても、変更してないそっちの責任。になります。 結論を先に言ってしまうと、ケースバイケースにもなり、どっちに責任があるかは断言できない。になります。 こういった問題について、個人情報保護法はどっちの責任になる。と定めてはいません。 誤送付による精神的苦痛などがあり、会社側に過失がある。やプライバシーが侵害された。など民事の裁判で争える点は多々あるようにも感じます。 今回は民法などは考慮にいれず、あくまで個人情報保護法上だけの見解になります。 ただ、会社として過失ないこと、少ないことをどこまで証明できるかがポイントにはなると考えられます。   【会社を守るためにやっておくべきこと】 上記で述べた「過失」の点についてですが、個人情報保護法の観点からで行くと過失を少なくするためにどういったことが考えられるでしょうか。 個人情報保護法19条(データ内容の正確性の確保等)に書かれていることをどこまでしっかり行っているかが1つのポイントになってきます。 第十九条　個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。 ※個人情報保護法19条から引用 「個人データを正確かつ最新の内容に保つ」ことをどこまで頑張っていたか。です。 例えば、引越した場合の住所変更の手続きなどが分かりやすくなっているかリマインドしているかなど、今回の誤送付の問題に関して言うと、顧客に対して、住所変更についてどこまでわかりやすく促せているかが重要です。 また、仮に解約した人がいたとして、間違ってそこに書類などを送付した場合もこの法律の努力義務にかかってきます。「利用する必要がなくなったときは、当該個人データを遅滞なく消去する」という点です。 個人情報保護法では会社がもつ個人データについてちゃんとその内容が正確であるよう努力することを求めていますので、会社として個人情報取扱事業者としてどこまで頑張っているかで、「過失」の度合いが変わってくると考えられます。   【まとめ】 完全にもらい事故のような個人情報の漏えいかもしれませんが、会社として「何も悪くないです」とは一概に言えないケースもあります。 個人情報の取扱いをちゃんとルール化してどこまで取り組めているかが自社を守るのに必要になってきます。  

2020.10.19

新型コロナウイルスに伴うPマーク審査等の対応について

新型コロナウイルスの影響は様々なところに出ていますが、Pマークについても影響が出てきていて、審査・申請・各種問い合わせ対応を中止、延期してきています。 一部、審査期間によって対応が違うところがありますが、基本的に下記の通りになっています。   【更新申請期限について】 更新申請期間中に、、更新申請手続ができなくなったPマーク取得企業について、更新申請の期限をプライバシーマーク付与契約の有効期間の満了日まで延長となっています。 ※本来は有効期限満了日の8か月前から4か月前までに申請の必要があります。   【現地審査について】 現地審査については当面の間、延期となっています。現地審査日が決定している、または日程の調整中の企業には、個別に連絡しての相談・調整となります。   【個人情報の取り扱いに関する事故報告について】 原則、速やかに報告だったのが、対応が可能になった時点での提出でOKになりました。 重大な事故が発生した場合や、提出までに時間がかかる可能性がある場合には、直近の審査を受けた審査機関へメール等で連絡するか、JIPDECに連絡してほしい。とのことです。 Pマークは許認可のように、期限がある制度あるし、事故報告についても社会的影響が大きいケースもあるので、このような緊急事態の状況化でどのようにすればいいか、示してくれているのか助かるところです。 引用・出典元：JIPDEC 新型コロナウイルス感染症への対応について（現地審査の延期等）

2020.10.19

通知・公表？同意？個人情報取得時にすべきこと

会社が個人情報を取得する時にやるべきことにどんなことがあるかご存知でしょうか？ 以前、利用目的の特定が必要であることはこのブログでも触れさせてもらっています。 はたして利用目的を特定出来ていれば他に何もしなくて問題ないのでしょうか・・・ 実際のところは個人情報保護法に準拠する意味でも、プライバシーマークを取得するためもどちらの場合でも、それだけでは足りません。 今回は個人情報を取得する際に実際に行わなければならないことについてお話したいと思います。   【法律上求められること】 まず、法律上の要求ですが、個人情報について利用目的を通知または公表することを要求しています。 通知の手段だと、個人情報の本人にどんな目的で個人情報を伝える形になります。 イメージとしては紙に記載して、伝える形がわかりやすいかもしれませんね。 公表の場合ですが、言葉の通りでいくとどこかで公に公表する形になります。 わかりやすい例と言えば、会社のHPに掲載するこになります。 分かりやすいところに公表することで個人情報保護法で求められる法的要求を満たすことが可能になります。 HPを持っていない場合は別の形で公表することになります。   【プライバシーマークで求められること】 プライバシーマークでも最低限求められるのは利用目的の通知または公表になります。 ただ、プライバシーマークの場合、個人情報を直接書面で取得する際には本人から同意を得ることが求められてきます。 この場合に単に利用目的を記載して同意を得るだけではダメです。 下記のような内容を示して同意を得ることが必要になります。 a) 社名。 b) 個人情報保護管理者（若しくはその代理人）の氏名又は職名、所属及び連絡先。 c) 利用目的。 d) 個人情報を第三者に提供することが予定される場合の事項。 ・ 第三者に提供する目的。 ・ 提供する個人情報の項目。 ・ 提供の手段又は方法。 ・ 当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性。 ・ 個人情報の取扱いに関する契約がある場合はその旨。 e) 個人情報の取扱いの委託を行うことが予定される場合には、その旨。 f)付属書A3.4.4.4～A3.4.4.7に該当する場合には、その求めに応じる旨及び問合せ窓口。 g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果。 h) 本人が容易に認識できない方法によって個人情報を取得する場合には、その旨。 ※JISQ15001:2017から一部抜粋   【利用目的としてNGな例】 では通知・公表及び同意を得る上で利用目的はどのように記載すべきでしょうか。 できるだけ具体的に記載することが求められています。 これについては、以前のブログでも触れていますので、詳細は割愛しますが、抽象過ぎる内容や如何様にも取れる利用目的だとNGとなってくるので、しっかり考えないといけません。 逆に細か過ぎたり、厳格過ぎるとご自身の首を絞めることとなるため、ちょうど良い内容を精査する必要があります。 参考：個人情報の利用目的ってどんな感じにすべきなの？