個人情報保護委、個人情報ヒヤリハットコーナーページを公表
岩田合同法律事務所
弁護士 齋 藤 弘 樹
1 ヒヤリハット事例集の概要
個人情報保護委員会は、「個人情報保護法ヒヤリハット事例集」として、個人情報保護法(以下「法」という。)23条1項の第三者提供に関して5件、法15条及び16条の利用目的に関して1件、(おそらく法20条の安全管理措置の一つとして)電子媒体等の取扱いに関して2件、(同じくおそらく法20条の安全管理措置の一つとして)メールの送信に関して2件の事例を公表した。以下、主に第三者提供に関する事例と利用目的に関する事例につき紹介し、安全管理措置については事例が示す注意点を紹介する。
2 第三者提供に関する事例
-
⑴ 事例1
事例1は、学習塾における生徒同士のトラブルにつき一方の生徒Aの保護者が謝罪をするため、学習塾に対して他方の生徒Bの連絡先を尋ねたところ、学習塾が生徒名簿に記載されている生徒Bとその保護者の氏名、住所、電話番号を教えてしまいそうになった事例である。この事例の解説では、謝罪したいという理由であっても、第三者提供につき本人の事前の同意を不要とする場合(法23条1項各号)に該当しないことにつき注意喚起をしている。[1] -
⑵ 事例2
事例2は、カードホルダーから依頼を受け調査を行ったクレジットカード会社が、加盟店に対して、カードホルダーに対して説明させようとしてカードホルダーの連絡先を伝えそうになった事例である。ここでは何らかの依頼と個人データの第三者提供の同意を安易に同視しないよう注意喚起をしていると考えられる。 -
⑶ 事例3
事例3は、販売商品に異物が混入していたとして購入者から連絡を受けた販売業者が、購入者から製造業者に購入者の連絡先(電話番号)を伝えることについてのみ同意を得ていたが、代替品を送りたい旨述べる製造業者に対し、購入者の住所を伝えそうになった事例である。ここでは、どの個人データの提供につき同意を得ていたか(同意の範囲)を確認するよう注意喚起をしている。 -
⑷ 事例4
事例4は、従業員の親を名乗る者から電話があり、至急従業員と連絡を取りたいので携帯電話番号を教えるよう依頼され、携帯電話番号を教えそうになった事例である。ここでは、やむを得ないと思われる場合でも、法23条1項各号が定める場合に該当しなければ、第三者提供にあたり本人の事前同意が必要であることにつき注意喚起すると共に、個人情報の取得時にその時点で予測される第三者提供につき包括的に同意を得ることも可能である旨助言している。 -
⑸ 事例5
事例5は退職した従業員の在籍確認、勤怠情報、退職理由、健康状態等を、同業他社から聞かれた場合に、答えそうになったという事例である。ここでは、上記の情報が場合によっては個人データに該当することが前提となっているようであり、個人情報取扱事業者は、まず、ある情報が個人データに該当するか否かについても検討する必要があろう。
3 利用目的に関する事例
-
⑴ 事例1
事例1は、アルバイトを募集している小売店が、アルバイトの勧誘のため、店のポイントプログラムに登録している顧客の電話番号に電話をかけそうになった事例である。ここでは利用目的の達成に必要な範囲を超えて個人情報を利用してはならないことに加え、顧客向けのサービスのために取得した個人情報を採用活動に利用するのは、一般的に利用目的の達成に必要な範囲を超えていることも解説されている。
4 電子媒体等の取扱いに関する事例
-
⑴ 事例1
事例1では、個人データが保存された電子媒体の置き忘れについての注意喚起だけでなく、電子媒体の安全な持ち運び方法(データの暗号化、パスワードによる保護、施錠できる搬送容器の利用)や書面の安全な持ち運び方法(封筒、目隠しシールの利用)の具体例を紹介している。 -
⑵ 事例2
事例2では個人データが保存された電子媒体の保管場所を設けたところまではよかったが、保管場所での保管を遵守できなければ安全管理措置を果たしたといえない旨注意喚起していると考えられる。
5 メールの送信に関する事例
-
⑴ 事例1
事例1では、フルネームが入っているようなメールアドレスについては個人情報に該当する可能性がある旨の注意喚起がなされており、実際にフルネームや生年月日が含まれるメールアドレスの利用例も多いことから、注意が必要である。 -
⑵ 事例2
事例2では、メールの誤送信による漏洩に関する注意喚起がなされているところ、一度個人情報の漏洩が起これば、多額の損害賠償義務を負うこともあるので、注意が必要である。
6 まとめ
個人情報保護法については、昨年の改正法施行により企業の関心が高まっているが、意外に規制は複雑であり、誤解しやすい点もある。今回のヒヤリハット事例集は、具体的な事例によって法の理解を深めるのに役立つものと期待される。
なお、第三者提供や利用目的、安全管理措置については個人情報保護委員会が定める「個人情報の保護に関する法律についてのガイドライン(通則編)」に加え、特定分野においては下記の表記載のガイドライン等も参考になるので、必要に応じて参照されたい。
| ガイドライン名 | 第三者提供に関する記載 | 利用目的に関する記載 | 安全管理措置に関する記載 |
| 金融関連分野 | |||
| 金融分野における個人情報保護に関するガイドライン | 第5条及び第11条 | 第4条乃至第6条 | 第8条 |
| 信用分野における個人情報保護に関するガイドライン | Ⅱ2(2)及び(5) | Ⅱ2(1)(2)(3) | Ⅱ2(4)の2) |
| 債権管理回収業分野における個人情報保護に関するガイドライン | 第4及び第7 | 第3及び第4 | 第6の2 |
| 医療関連分野 | |||
| 医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス | Ⅲ5乃至8 | Ⅲ1及び2 | Ⅲ4 |
| 健康保険組合等における個人情報の適切な取扱いのためのガイダンス | Ⅲ5乃至8 | Ⅲ1及び2 | Ⅲ4 |
| 国民健康保険組合における個人情報の適切な取扱いのためのガイダンス | Ⅲ5乃至8 | Ⅲ1及び2 | Ⅲ4 |
| その他の特定分野 | |||
| 電気通信事業分野ガイドラインの解説 | 3-5-1乃至3-5-7 | 3-1-1乃至3-1-7 3-2-5乃至3-2-7 | 3-3-4 |
| 放送分野ガイドラインの解説 | 3-6-1乃至3-6-6 | 3-1-1乃至3-1-5 3-2-4乃至3-2-6 | 3-3-3 |
| 郵便事業分野ガイドラインの解説 | 3-5-1乃至3-5-7 | 3-1-1乃至3-1-6 3-2-4乃至3-2-6 | 3-3-2 |
| 信書便事業分野ガイドラインの解説 | 3-5-1乃至3-5-7 | 3-1-1乃至3-1-6 3-2-4乃至3-2-6 | 3-3-2 |
| 廃止されたガイドライン(一例) | |||
| 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン | 2-2-4 | 2-2-1及び2-2-2 | 2-2-3-2 |
以 上
[1] なお、第三者提供につき本人の事前の同意が必要なのは、個人データ(法2条6項)を提供する場合に限られるが、本事例は、生徒名簿記載の氏名や住所が個人データ(個人情報データベース等を構成する個人情報)である、ということを前提に記載されていると考えられる。