法令違反の対する罰則 : いわゆる「名簿屋」から名簿を売って欲しいと頼まれました。結構な額を提示されましたがやはり違法でしょうか。
個人情報取扱事業者はあらかじめ本人の同意を得ない場合には個人情報を第三者に提供できません(個人情報保護法第23条1項)。また個人情報取扱事業者に該当しないとしても、名簿の売買は、昨今の情報倫理上・個人情報保護意識からは許されるものではなく、また民事的な損害賠償の対象となる可能性がありますので厳に慎むべきです。
|
|
サイト目次
顧問弁護士
弁護士による法律顧問契約の条件
内部通報制度受付窓口
弁護士による受付窓口対応
割引制度
顧問契約料の各種割引制度
事務所案内・所在地案内
住所・電話番号等
自己紹介
川内康雄のプロフィール
業務方針
業務への取り組み方
CSR活動
社会貢献について
お問い合せ
当職への連絡フォーム
リンク
法務に役立つリンク
執筆記事
法務・ITに関する当職の執筆記事
Q&A目次
法務Q&Aの目次
管理人のメッセージを聞く(MP3)
関西弁版を聞く(MP3)
サイト内検索
Q&A目次
民法
会社法
商取引法
商標法
著作権法
IT法・インターネット法
オープンソース
不正競争防止法
個人情報保護法:その他
個人情報保護法:個人情報の収集
個人情報保護法:個人情報取扱事業者
個人情報保護法:個人情報等への該当性
個人情報保護法:利用目的
個人情報保護法:委託
個人情報保護法:安全管理
個人情報保護法:第三者提供
労働法
特定商取引法
破産法
プリペイドカード法(前払式証票法)
取扱分野
「法務ネット」管理人川内康雄はコンピューターやインターネット・情報セキュリティ等のITと著作権・特許権・商標権等の知的財産権を取り扱う大阪弁護士会所属の弁護士です。各種ビジネス・企業法務や個人情報保護法、ベンチャー企業支援にも力を入れています。
詳しくは下記メニューより川内康雄の自己紹介をご覧ください。
顧問弁護士制度
当職の顧問弁護士制度の詳細については、「顧問弁護士」制度のページをご覧ください。
管理者連絡先
法務ネットは大阪弁護士会所属弁護士川内康雄が管理運営しています。法律相談やご意見、ご質問等がございましたら、メニューのお問い合わせコーナーよりメールを送信いただくか、「自己紹介」ページに記載の当職事務所までご連絡ください。
専門分野について
こちらのホームページでは、日本弁護士連合会が定める「弁護士の業務広告に関する規定」及び「弁護士及び弁護士法人並びに外国特別会員の業務広告に関する運用指針」に基づき、当職が特に関心をもって取り扱っている業務分野につきましても、「専門」との表現を差し控えさせていただいております。
取扱分野・業務内容
当職の取扱分野はインターネット・Web・オープンソース(リナックス・GPL等)・情報処理・情報システム・システム開発・ソフトウェア等のIT・サイバー法、著作権等の知的財産権、個人情報保護・情報セキュリティ・情報漏洩時対応、民法、商法(会社法)の民事法令・労務管理・労働問題その他のビジネス・企業法務一般です。主な業務内容は契約書・覚書・利用規約・約款・ライセンス等の法的書類作成、法律相談、コンプライアンスチェック(合法性・違法性鑑定)、プライバシーポリシー・情報セキュリティポリシー・コンプライアンスプログラム等の社内規程・文書作成支援・公益通報者保護法・内部通報制度受付窓口・裁判(訴訟・調停)・トラブル・クレーム等の紛争対応です。詳しくは弁護士川内康雄の取扱分野・業務内容をご覧ください。
宮脇弁護士のホームページ
当事務所のパートナー弁護士である大阪弁護士会所属の宮脇常亨弁護士がホームページを開設しました。過払金請求・債権回収及び過払い金返還請求・自己破産を中心とした債務整理を得意としています。顧問弁護士としての活動も行っています。各種の情報が満載されておりますので、是非一度ご覧ください。
リンクポリシー
法務ネットへはご自由にリンクしていただいて結構です。トップページ以外のページへの直接のリンクでも構いません。たとえばこのように「企業法務Q&A会社法カテゴリ」のアドレスを直接のリンク先にしていただいて結構です。またリンクの前後を問わず、管理人への連絡も不要です。
画像リンクの際には、
このリンク先の画像をダウンロードしてご使用ください。サイズは適宜修正していただいて結構です。
また相互リンクは、法律に関係のあるサイトであれば歓迎しております。お気軽にメニューの「お問い合わせ」よりご連絡ください。
アーカイブ
2008年5月/
2008年4月/
2007年8月/
2007年7月/
2007年6月/
2007年5月/
2007年4月/
2007年3月/
2007年2月/
2007年1月/
2006年12月/
2006年11月/
2006年10月/
2006年9月/
2006年8月/
2006年7月/
2006年6月/
2006年5月/
2006年4月/
2006年3月/
2006年2月/
2006年1月/
2005年12月/
2005年11月/
2005年10月/
2005年9月/
カテゴリー
ご案内/
インデックス/
サイドバー/
リンク/
執筆記事/
Q&A:オープンソース/
Q&A:プリペイドカード法(前払式証票法)/
Q&A:不正競争防止法/
Q&A:会社法/
Q&A:個人情報保護法:その他/
Q&A:個人情報保護法:個人情報の収集/
Q&A:個人情報保護法:個人情報取扱事業者/
Q&A:個人情報保護法:個人情報等への該当性/
Q&A:個人情報保護法:利用目的/
Q&A:個人情報保護法:委託/
Q&A:個人情報保護法:安全管理/
Q&A:個人情報保護法:第三者提供/
Q&A:労働法/
Q&A:商取引法/
Q&A:商標法/
Q&A:民法/
Q&A:特定商取引法/
Q&A:破産法/
Q&A:著作権法/
Q&A:IT法・インターネット法/
2007年3月の18件の記事
開示の求め:企業から社員の日常の健康状態の管理を請け負っている企業です。社員本人から当社が保有している情報の開示を求められた場合、これに応じる必要はありますか。
開示の求めを拒めるのは個人情報保護法上、
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 他の法令に違反することとなる場合
です。本人の健康状態の開示が一に該当する可能性はかなり低いでしょう。御社の業務が社員に秘匿されて初めて本来の目的を達成しうるものであれば二に該当する可能性はあります。しかし一般的には本人の健康状態を秘匿しないと目的を達成できないというのはまれなケースでしょう。そして一般の企業ではこういった情報の守秘義務を定める法律は見あたりません。そのため、三にも該当しないでしょう。
結果、本人からの開示の求めには応じなければならないと思われます。
ガイドライン : 当社では個人情報保護法へのコンプライアンス体制を強化しようと考えています。その際に、何か指針になるようなものはありますか。
一般の企業向けとしては、経済産業省、厚生労働省より以下のガイドラインが示されています。なおこれらのガイドラインはよくある問題ついての一定の判断基準を示してはいますが、すべての課題を解決してくれるものではありません。個別具体的な問題については、アドバイザーに相談する等の対策が必要でしょう。
収集主体の表示 : 当社では個人情報の収集は、「●●センター」というサービスマークをもって自身の名称としています。利用目的等を開示する際には、「●●センターの個人情報利用目的」といった形で表示することはできますが。
個人情報保護法第24条1項及び同項1号では、個人情報取扱事業者の氏名又は名称を本人に知りうる状態にすることが求められています。一般的に名称という用語には「サービスマーク」を含みませんので、商号を表示する必要があるでしょう。
個人情報の取得方法:当社は不動産販売業者です。自社が販売した物件が転売された際に、新しい入居者を訪問して、本人から名前を聞いたり、不在の場合には表札から名前を取得しています。これは個人情報保護法上適法ですか?
御社が新しい入居者を訪問した際、その新しい入居者が御社からの質問に答えたり、アンケートに記入するなどして、任意に御社に対して情報を提供しているのであれば、法律に対する抵触の問題生じることはありません。もっとも入手した個人情報の利用目的を公表することは必要ですし、書面により取得する場合には、当該書面に利用目的を記載する必要があります。
個人情報保護法17条では不正な手段での個人情報の取得が禁止されています。しかし表札からの氏名の取得が、不正な手段と評価されることはないでしょう。
個人情報の取得:株主総会の模様をビデオで撮影する予定です。後ろから撮影するだけなので個人情報保護法上問題は無いでしょうか?
個人を特定しうる映像情報は個人情報に該当します。株主総会を後ろから撮影する場合、ほとんどの方の顔は写らないでしょうが、質問される方や会社の役員等の顔が撮影されますので、このようなビデオ撮影も「個人情報の取得」として扱うべきでしょう。また株主の質問では、出席番号を言ってから質問させると思われますが、会社側では出席番号から個人の特定が可能ですので、たとえ氏名を言わなかったとしても、出席番号や、その質問内容が個人情報に該当することになるでしょう。
すると、ビデオ撮影にあたっては、事前または事後に、個人情報の利用目的の通知又は公表が必要になります。実際には、「総会議事進行の記録のため」や「防犯のため」といった利用目的を、招集通知に記載したり、会場に張り紙をしたりして、本人に公表するのが便宜な方法でしょう。
すると、ビデオ撮影にあたっては、事前または事後に、個人情報の利用目的の通知又は公表が必要になります。実際には、「総会議事進行の記録のため」や「防犯のため」といった利用目的を、招集通知に記載したり、会場に張り紙をしたりして、本人に公表するのが便宜な方法でしょう。
個人情報の収集:採用活動の際に応募者から提出される履歴書・職務経歴書・エントリーシート等は、収集する前に「個人情報の直接収集に関する同意書」等に署名をもらっておくべきでしょうか?
個人情報保護法上、個人情報の収集の際の規制は、利用目的の明示と不正取得の禁止のみです。個人情報を第三者に提供するというような場合でなければ、法律上、取得に際して同意は特に要求されていません。
もっとも採用の際には本人から書面により個人情報を取得することになりますので、かならず事前に利用目的を明示する必要があります。面接の時点では遅いのです。そのため採用案内等に利用目的を掲示するなどして、利用目的が応募者の目に留まる状態にしておく必要があります。
個人情報の収集:当社は米国法人ですが、米国で運営しているサーバーで日本人向けのホームページを作成し、日本人から個人情報を収集しています。当社は関連会社に日本法人があるのですが、米国法人から日本法人に、収集した個人情報を提供する場合があります。このような行為は個人情報保護法に抵触しますか。
個人情報保護法は日本の法律ですので、日本国外で行われる行為については、規制の対象となりません。日本人向けに作成されたホームページは規制の必要性は高いのですが、法人とサーバーの所在が日本国外であれば、法律の執行が不可能です。
米国法人から日本法人に個人情報が提供される場合、個人情報保護法の第三者提供の規制は、あくまでも提供する側に課されます。そのため提供する側が米国法人であれば、やはり規制が不可能です。
もっとも個人情報保護法は17条で「偽りその他不正の手段」による個人情報の取得を禁止しています。米国法人を介することにより事実上個人情報保護法の規制を免れた形で、個人情報の利用目的や、第三者提供への同意を得ることなく取得された情報については、これを取得すると、「偽りその他不正の手段」によって取得したと評価される可能性があります。そのため日本法人における個人情報保護法の遵守の確実を期するためには、米国法人においても、個人情報保護法を実質的には遵守した取扱が必要となるでしょう。
直接収集の該当性:ある通信会社の商品の営業代行を行っています。申込書の宛名は通信会社になっていますが、当社でも売上などの集計のために、申込み情報をデータベース管理しています。法的に問題は無いですか?
個人情報保護法第17条は「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。」と規定しています。そのため情報の収集主体の名義を偽ったりすると、この条文に違反することになります。営業の際、通信会社の名義のみで商品を販売すると問題が発生しますが、御社の名刺を示して営業するなどして、あくまでも御社の名義で商品を販売しているのであれば問題はありません。
次に同法18条2項では書面で個人情報を入手する場合には予め利用目的を明示しなければならないとされています。通信会社が用意した申込書を修正して利用するのは難しいでしょうから、営業の際に、口頭で、「当社においても御社の情報については売上等の集計のために利用します」と伝えるか、その旨を記載した書面を別に作成してお渡しする必要があるでしょう。
次に同法18条2項では書面で個人情報を入手する場合には予め利用目的を明示しなければならないとされています。通信会社が用意した申込書を修正して利用するのは難しいでしょうから、営業の際に、口頭で、「当社においても御社の情報については売上等の集計のために利用します」と伝えるか、その旨を記載した書面を別に作成してお渡しする必要があるでしょう。
個人情報の入手方法:当社は不動産販売業者です。自社が販売した物件が転売された際に、新しい入居者を訪問して、本人から名前を聞いたり、不在の場合には表札から名前を取得しています。これは個人情報保護法上適法ですか?
御社が新しい入居者を訪問した際、その新しい入居者が御社からの質問に答えたり、アンケートに記入するなどして、任意に御社に対して情報を提供しているのであれば、法律に対する抵触の問題生じることはありません。もっとも入手した個人情報の利用目的を公表することは必要ですし、書面により取得する場合には、当該書面に利用目的を記載する必要があります。
個人情報保護法17条では不正な手段での個人情報の取得が禁止されています。しかし表札からの氏名の取得が、不正な手段と評価されることはないでしょう。
不正取得:当方は不動産仲介業者です。知り合いの業者から名簿を取得してDMを発送するなどの営業活動を行うことがあるのですが、このような行為は違法でしょうか。
個人情報保護法上、不正な手段による個人情報の取得は禁止されていますが(同法17条)、他業者からの名簿の取得が一概にこの規定に該当するわけではありません。もっとも個人情報の提供については、第23条において、提供する側に、事前に本人の同意を取得しなければならないという規制がかけられています。すると、名簿の提供を受ける際に、「本人の同意を得ないで提供されている個人情報である」という認識があるのであれば、不正な取得と判断される可能性があるでしょう。また同意を得ないまま提供された情報を使用してDMを発送すれば、本人の側から見れば、不正に提供された情報を御社が使用していることが一目瞭然です。そのため御社の個人情報の使用態様が一般に公表されるなどして社会的な非難を浴びる可能性が高いですから、十分に注意が必要でしょう。
個人情報取扱事業者への該当性:当社が所属する企業グループでは人事データベースをイントラネット上で共同で利用しています。各企業はグループ全体の人事データを閲覧できます。各企業が個人情報取扱事業者に該当するかを判断では、このデータベースの件数は算入しますか?
まずこのデーターベースが個人情報保護法上どのような取扱となるかの分析が必要です。前提としてこのデータベースが個人情報保護法に違反していないというための法律構成は以下のいずれかでしょう。
①各社員の個人情報の保有主体を各社員が所属する会社と捉え、個人情報を他の会社が利用する際には、個人情報が第三者に提供されたとして捉え、この第三者提供について各社員から23条1項の同意を得ている。
②各社員の個人情報の保有主体をグループに所属するすべての会社と捉え、個人情報保護法第23条4項3号の個人情報の共同利用の規定により利用する。
これらのどちらかの前提を各場合には、そもそもそのようなデータベース自体が個人情報保護法上違法となってしまいます。どちらかには該当できるように、第三者提供の同意を得るなり、共同利用の通知を行う必要があります。
①の構成で利用している場合には、件数の算入については議論が分かれる点でしょう。このデータベースを利用できる環境があること自体をもって、すでにデータベース内の情報すべての提供を受けたと考えれば、情報を取得しているとして件数に算入することになります。しかし実際に検索するまでは個人情報を取得しない点を重視すれば、実際に検索して取得した数のみを件数に算入することになります。私見ですが、データベースの実体(サーバーないしはデータファイル)が、各会社ではなく管理会社が保有している場合には後者として評価すべきではないでしょうか。これに対してデータベースの実体がレプリケーションされるなどによって、各会社がすべて保有している場合には全社に該当するのではないかと思われます。
②の構成で利用している場合にも①と同様も議論となる余地はあります。しかし取得の時点で共同して取得したと見なされたり、データベース化した時点で各会社に移転したとして、すべての会社に情報提供が既に情報提供がなされていると解釈される可能性が高くなるでしょう。そのため多くの場合は、各会社においてはデータベース内の情報の件数を算入しなければならないでしょう。
個人情報取扱事業者への該当性:5000件以上の個人情報のデータベースを保有していると個人情報取扱事業者に該当することになると聞きました。すると電話帳や人名録をもっているとそれだけで個人情報取扱事業者に該当してしまうのでしょうか?
確かに政令の2条では保有している個人情報データベースの登録件数が5000件を越えている場合には、個人情報取扱事業者に該当する旨が規定されています。ただしこれには例外が規定されており、あるデータベースが
1 他人が作成したものであること
2 収録内容が氏名・住所・電話番号のみであること
3 自らは編集加工しないこと
という条件を満たす場合には、データベースの件数に算入しないとされています。そのため例えば電話帳であれば、通常はこれらの条件を満たすでしょうから、件数に算入する必要はありません。しかし人名録の場合、所属や職歴まで記載されていることが多いでしょうから、これらの条件を満たすことができず、件数に算入しなければならないでしょう。
個人情報取扱事業者の該当性 : 私の会社にはさまざまな種類の名簿がありますが、大きなものでも収録されている個人情報は1000人分程度です。個人情報取扱事業者に該当するでしょうか。
政令で、保有する個人情報が5000件以下の場合には、個人情報取扱事業者に該当しないこととされています。該当性の判断にあたっては、ある時点においてその企業は保有している全ての個人情報を累計します。そのため、1件の名簿で5000件を超えるものが無くても、合計で5000件を超えれば、個人情報取扱事業者に該当することになります。
個人情報取扱事業者の該当性 : 当方は町の酒屋ですがご用聞きに回る先の名簿の登録件数が500件ほどに達しています。当方には個人情報保護法が適用されるのでしょうか。
同法の施行令において、個人情報の保有件数が過去6ヶ月の間において5000件を超えたことが無いこと場合には、個人情報取扱事業者に該当しないものとされています。そのため過去半年間、保有している全ての個人情報を合わせても5000件を超えたときがない場合には、個人情報保護法の15条以下の規定のほとんどが適用されません。
名刺の取扱 : 当社では営業社員が営業に回った先で集めてくる名刺については、すべて各個人の管理に任せており、データベース化もしておりません。この名刺に記載された個人情報は、個人情報取扱い事業者であるか否かを判断する際に算入されますか?
まず名刺が「個人情報」に該当するか否かという問題については、通常名刺に記載されている氏名、勤務先等の情報があれば、特定の個人を識別できますので、個人情報に該当すると言うべきです。
次に各個人の名刺がカウントされるかという問題については、5000件というのは「個人情報データベース等」の基準ですので、体系性・検索性が無いものについてはそもそも「個人情報データベース等」に該当しないため、カウントする必要がありません。各営業マンが管理する名刺が単に名刺箱に放り込んであるだけ等のであれば、カウントする必要は無いということになるでしょう。これに対し、名刺ファイルに50順や、会社名別に分類してほかんしているばあいにはカウントされるという結果になるでしょう。
次に各個人の名刺がカウントされるかという問題については、5000件というのは「個人情報データベース等」の基準ですので、体系性・検索性が無いものについてはそもそも「個人情報データベース等」に該当しないため、カウントする必要がありません。各営業マンが管理する名刺が単に名刺箱に放り込んであるだけ等のであれば、カウントする必要は無いということになるでしょう。これに対し、名刺ファイルに50順や、会社名別に分類してほかんしているばあいにはカウントされるという結果になるでしょう。
個人情報取扱事業者:ある雑誌で「人数は延べで計算するので、500名の名簿が10年分あれば5000名となり、個人情報取扱事業者となる」と書かれていました。これは本当でしょうか?
経済産業省ガイドラインでは同一人の情報が複数個ある場合にはこれを一人分として数えるものとされています。そのため上記の記載は誤りと言うべきでしょう。名寄せした上での件数により判断することになります。
個人情報取扱事業者:当社は派遣業を行っておりますが、特定のスタッフが複数の現場に出ると、現場毎にスタッフのリストを作るため、その特定のスタッフが記載されたリストが複数作成されます。個人情報取扱事業者に該当するか否かを判断する際、このようなスタッフについては、1人として数えますか、それともリストの数だけ数えますか。
経済産業省の個人情報保護ガイドラインでは、同一人物が複数の個人情報データベースに掲載されている場合には、一人として数えることとされています。実務上はこの解釈で問題ないと思われます。
