個人情報保護法

Q. 私は個人でイタリアンレストランを経営しており、顧客へのサービスの一環として、来店していただいたお客様にアンケートを実施し、アンケートに書かれたお客さんの氏名、住所をデータベース化して定期的にお食事割引券を兼ねたDMを送付しています。平成17年4月から個人情報保護法が施行されたと聞きましたが、私のところでも適用されるのでしょうか。また、適用されるのであれば、どのような注意をしなければなりませんか。
A. 近年、企業などにおいて個人情報の利用が活発化していますが、その反面、個人情報漏洩事件が後を絶たないため、民間事業者の個人情報取扱い等について個人情報保護法が制定され、平成17年4月から施行されています。この法律は、民間事業者が個人情報を取り扱う際に遵守すべき義務として、利用目的の特定・公表、利用目的範囲内での取扱い、適正取得、正確性の確保、安全確保、第三者提供の制限等を規定しています。これからその概要を見ていきましょう。

  本法は、個人に関する情報を「個人情報」、「個人データ」、「保有個人データ」に区分して、それぞれの取扱い義務を事業者に課しています。

まず、「個人情報」とは、氏名、生年月日その他の記述により特定の個人を識別することができるものをいいます。名刺やカルテに書かれた情報はもちろん、防犯カメラに撮影された映像も特定個人を識別できる場合は個人情報に該当します。顧客情報のみならず社員の情報も個人情報に該当します。顧客コードも顧客台帳を照合すれば特定個人が識別できる場合には個人情報に当たります。

「個人データ」とは、個人情報が検索可能なように整理されているデータをいいます。コンピュータの顧客データベースはもちろん、50音順に整理された名簿も「個人データに当たります。

「保有個人データ」とは、個人データのうちで、開示や内容の訂正などができる権限を持つデータをいいます。ただし、6ヶ月以内に消去することとなるものは除きます。

 ところで、本法に規定された義務を守らなければならない者は「個人情報取扱事業者」である民間事業者であり、過去6ヶ月間継続して5000人以下の個人データしかもっていなければ、個人情報取扱事業者から除外されます。

  では、個人情報取扱事業者はどのような義務を負うのでしょうか。

まず、「個人情報」の取扱いから見ていきましょう。

個人情報取扱事業者は、取り扱う個人情報の利用目的をできる限り特定し、利用目的はあらかじめ公表するか、事後速やかに本人に対し通知・公表し、その利用目的の達成に必要な範囲内で取り扱わなければならず、個人情報を偽りその他不正な手段により取得することが禁じられます。

「できる限り特定」とは「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」などで、「事業活動に用いるため」では特定されていないと言えます。

利用目的はあらかじめホームページ等で公表しておくことが最も有効です。ただし、通知・公表にも例外があり、宅配業者が客に荷物の送り状の記載を求める場合など取得状況から利用目的が明らかであると認められる場合は通知・公表の必要はありません。

  個人情報は利用目的の範囲内でのみ取り扱うことができ、例えば、商品の届出先として取得した顧客の住所・氏名を利用して、新商品紹介のDMを発送することはできません。

次に「個人データ」の取扱いを見ていきます。

個人情報取扱事業者は、個人データについて、利用目的を達成する範囲で正確で最新の内容を保つよう務めなければならず、社員や業務委託先から情報漏れがないよう安全管理を行う義務があり、また、原則として本人の同意を得ずに個人データを第三者に提供してはなりません。

例えば、同姓同名の破産者がいたため、クレジットが利用できない場合は、信用情報機関は訂正しなければなりません。

  安全管理については、監視カメラやパソコン操作のモニタリングなどの導入を検討する必要があります。

本人の同意なくして個人データを第三者に提供できる場合は、税務署に協力する場合とか、「個人情報を第三者に提供することを望まなければ、本人の申し出によっていつでも中止する」という内容をあらかじめ通知・公表している場合などです。

  最後に、「保有個人データ」について見ていきましょう。

  個人情報取扱事業者は、保有個人データについて、本人からの求めに応じて、利用目的の通知、開示、訂正、利用停止等をしなければなりません。

利用目的の通知、開示にはいくつかの例外があり、例えば、病院の保有個人データの通知・開示が事実上、重病の告知となり、本人に重大な精神的苦痛を与える場合等本人や第三者の権利利益を害するおそれがある場合は通知・開示の例外とされます。

以上、個人情報取扱事業者の義務を概観しましたが、その他にも、個人情報の取扱いに関して苦情があった場合は、誠実に対応し、適切な処理に努めなければなりません。また、個人情報取扱事業者が義務に違反した場合は主務大臣から勧告や命令が下され、命令に違反すると懲役・罰金の刑罰を課せられます。

▲ ページTOPへ