情報セキュリティ検定をはじめ、個人情報に関する検定を開催中。(財)情報協。

 

個人情報保護対策

 

経済産業省個人情報保護ガイドライン
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A

 

2010年4月1日更新

 

 

その他、複合的な事案

 

会員名簿を会員に配布する際にはどのような点に注意が必要ですか。
まず、個人情報を取得するときに、明示する利用目的の中に配布する旨が含まれていることが必要です。その際には、どのような範囲にどのような頻度で配布するのかなど、会員が理解しておくべき内容がわかりやすく示されていることが望ましいといえます。 つぎに、第三者提供についての本人の同意等の措置が必要です。少なくとも、会員が掲載を希望しない項目については掲載しないこととするなどの措置が必要になります。 その他、個人データの安全管理措置等、個人情報保護法の一般的な義務が課せられます。(2005.1.14/7.28修正)
 
申込書に記載してもらう個人情報については、取得の状況からみて自明(法第18条第4項第4号)といえますので、例えば、メールアドレス等を記載してもらう場合でも、利用目的の明示(同条第2項)は不要と考えてよいですか。
申込書に記載してもらう個人情報の利用目的は、取得の状況からみて自明である、と簡単に決めてしまうのは早計です。 新たなサービスの案内等、申込内容の確認以外の目的で、メールアドレス情報を利用することは、取得の状況からみて自明の範囲内とはいいきれない場合もあります。 提携先へ提供することや、名簿を作成して配布することなど、申込受付作業終了後も利用することがあるのであれば、その旨を個人情報の利用目的として、申込書等に明示しておく必要があります。それがなければ、原則として利用することはできません。(2005.1.14)
 
(1) メーカーがプレゼントキャンペーンを行うため、代理店に依頼して広告してもらい、代理店を応募先とした場合、代理店からメーカーに対してその応募情報を提供することは問題ありませんか。
(2) そのメーカーがその応募情報を使って、ダイレクトメールを送ってもよいですか。
(1) メーカーからの代理店に対する個人情報収集(取得)の委託と考えられ、委託関係の場合は双方の関係は第三者ではないので、委託者であるメーカーが代理店から提供を受けるにあたっては、第三者提供の場合のように本人からの同意取得等は不要です。なお、この場合、本人から書面で個人情報を取得することとなるため、原則としてキャンペーン広告に個人情報の利用目的を記載(明示)しなければなりません。
(2) プレゼントキャンペーン広告に、ダイレクトメールを送る旨の記載(利用目的の明示)があれば問題ありませんが、そうでない場合は、メーカーにおける目的外利用となるので、ダイレクトメールを送るのであれば、事前に応募者本人から同意を得る必要があります。 (2004.10.19/2005.1.14修正/7.28修正)
 
宅配業者を使って、個人データが記録されているディスクを届けてもらおうと思っていますが、注意すべき点はありますか。
郵便の場合も基本的には同様ですが、宅配業者は物流の効率化を目的としたサービスを行う事業者であることを認識する必要があります。つまり、宅配業者は、通常は配達物の中の情報が個人情報に該当するかどうかを認識することなく個人情報を取り扱っていますので、事業の用に供しているとは認められず、義務規定が適用されないものと解されます(ガイドライン6頁【事業の用に供しないため特定の個人の数に算入しない事例】参照)。したがって、宅配業者を利用する場合にはそのような認識のもと利用するか、又は、個人情報の内容によっては、宅配にあたって特約を定めることができるような業者を選ぶことが必要な場合もありえます。(2004.10.19/2005.1.14修正)
 
店内等に防犯カメラを設置する場合、どのような点に注意が必要ですか。
防犯カメラの撮影により得られる容姿の映像により、特定の個人を識別することが可能な場合には、原則として個人情報の利用目的を本人に通知又は公表しなければなりません。もっとも、「取得の状況からみて利用目的が明らかであると認められる場合」には、その利用目的を公表等する必要がないとされており(法第18条第4項第4号)、一般に、防犯目的のためにビデオカメラを設置し撮影する場合は、「取得の状況からみて利用目的が明らか」であると認められるものと解されます。しかし、防犯以外の目的で利用する場合には、「取得の状況からみて利用目的が明らか」とは認められない可能性が高いため、当該利用目的を公表等する必要があります。 (2005.7.28)
 
海外の会社とサーバを共有して個人情報をやりとりしています。相互のやりとりの過程で、当社が個人情報を入手したり、それ以外の外部の会社から当社が個人情報を入手したりする場合の取扱いについては、どのようにすればよいですか。
個人情報保護法は、本人の国籍・住居地や事業者の設立準拠法等とは無関係に、個人情報データベース等の取扱いが我が国において行われる限り適用されます。したがって、個人情報を我が国において取り扱うのであれば、個人情報保護法に従って、利用目的を特定したうえで本人に通知又は公表する必要があります。また、個人情報取扱事業者が海外の会社へ個人データを提供するに際しては、原則として本人の同意を得る必要があります。 (2005.7.28)
 
ホテルや旅館では、宿泊者の氏名・連絡先等を記帳してもらいますが、どのように取り扱えばよいですか。
宿泊者の氏名・連絡先等の情報は、特定の個人を識別することが可能な「個人情報」に該当しますが、宿泊者名簿の備置きは旅館業法第6条に基づく旅館営業者の義務であるため、当該個人情報を旅館業の通常の業務に必要な範囲で利用する限り、その取得に際しては、その利用目的を本人に明示する必要はありません。また、記帳された宿泊者の個人データについては、個人データの漏えい等を防ぐ観点から、他の宿泊者等の外部者が閲覧できないように安全に管理する必要があります。 (2005.7.28)
 
妻が夫の名前で契約の申込みをしてきた場合、個人情報の利用目的はその契約書に明示してあればよいですか。また、その契約書を第三者に提供する場合、妻の同意を得ればよいですか。
当該契約の申込み及び第三者提供に関する同意が、民法第761条に定める「日常の家事」に含まれる場合は、妻に対して明示したうえ妻の同意を得ることで足ります。 これに含まない場合には、申込みだけでなく、第三者提供についても、夫が代理権を与えているか、夫の依頼を受けて使者として行うものであることを要します。 (2005.7.28)
 
当社で個人データの漏えい事故が起きたのですが、経済産業省に報告すると罰則を受けることになるのですか。
ただちに罰則が適用されるわけではありません。経済産業省からの報告徴収の処分を受けた場合に、これに従わず、または虚偽の報告をした場合には、罰則が適用されます。(2007.3.30)