|
2007/10/28 日曜日 19:52:05 JST |
「個人情報保護マネジメントシステム」の構築に向けて(第11回)
~内部規定の作成(第8回)~
3.4.2.4:本人から直接書面によって取得する場合の措置
個人情報の取得は、まず、個人情報を貴社に提供するか否かを決めるのは、個人の権利であることを認識する必要がある。
このことは"3.4.2.4g)本人が個人情報を与えることの任意性"として示されている。
従って、企業は、"個人(本人)から個人情報を提供して頂く"という立場に立ち、提供して頂くに当たっての貴社での個人情報の取扱いに関する条件を本人に書面で示して、それに同意を頂いた上で個人情報を頂くことになる。
個人情報の取得に当たっての手順は、取得する対象者や手段、また必要に応じて、取得する個人情報毎に、どのような書面を作成して本人への明示(以下、通知と言う)を行うか、また、どのように書面による同意を取得するかの手順を具体的に規定する。
すなわち、取得する対象者が顧客、従業者(役員、社員、パート・アルバイト等)、採用応募者、等々によって個人情報の取得に当たっての通知内容やその手順は異なるであろうし、また、取得する手段としても、ホームページからの取得、イントラネットやメールによる取得、紙による取得等々、異なった手順となる。
それらの各々に対し、本人へ通知と同意の取得に関する手順を明確に規定する必要がある。
当然、各種の様式を準備しておくことも必要になる。
JIS3.4.2.4の前文の"ただし書き"の部分で、注意が必要な事項として、3.4.2.5d)項が参照されていることが有る。
3.4.2.5d)は"d)取得の状況からみて利用目的が明らかであると認められる場合"となっており、この項目が本人から直接書面によって個人情報を取得する場合にも適用され、当てはまれば、書面による通知と同意の取得が不要な場合として示されている。
しかし、3.4.2.5d)は、JISの規格の内の何箇所かで参照され、例外(ただし書き)事項として扱われているが、これが規定されているのは、"3.4.2.5項:個人情報を3.4.2.4以外の方法によって取得した場合の措置"においてである、ということに留意する必要がある。
すなわち、"利用目的の通知又は公表に対する例外事項"として規定されているということである。
従って、元の意図としては"利用目的の通知又は公表"を行なわなくても"取得の状況からみて利用目的が明らかであると認められる場合"であり、"その場で利用目的をはっきりと示したから、利用目的が明らかである"ということとは異なることを認識する必要がある。
すなわち、直接書面による取得においても、何の説明を行わなくても"取得の状況からみて利用目的が明らかであると認められる場合"とはどのような場合であろうか。
"取得の状況からみて利用目的が明らかである"か否かは、結局は、個人情報の提供者(本人)とそれを受け取る者の信頼関係の上に成り立つものであり、常識的な判断と社会通念から判断することになる。
考えられる事例としては、名刺交換において、"次回の連絡のためだけ"が目的である場合の名刺の取得や、書店での本の取り寄せの申込書に本の入荷時の連絡先を記載するようなものが該当すると考えられる。
貴社の業務において考えられる"取得の状況からみて利用目的が明らかである"場面や状況を出来るだけ特定して規程の中で示し、通知と同意の取得が必要な状況での、誤解や認識不足による同意の取得漏れが発生しないようにすべきであろう。
さて、本人から直接書面によって取得する場合に注意することは、"通知は書面による"ことが必要であり、同意の取得もJIS解説2.4及び3.4.4に示されている通り、書面によることが原則である。
書面としては、ホームページやメールも含まれる。
以下に通知の記述内容における留意点を述べる。
① c)の利用目的であるが、具体的な利用目的の通知が求められており、具体的の程度については、経済産業省ガイドライン15頁を参照すること。
② d)個人情報を第三者に提供することが予定される場合の事項であるが、前述の如く、法に基づく提供については、同意の対象範囲外であるので、記述は不要である。
しかし、銀行による給与の振込みが行われている場合は、提供となる(委託ではない)ので注意が必要である。
また、親会社があり、従業員の個人情報を提供している場合も該当する。
ここでは、かなり具体的な記述を要求しており、具体的な提供先が決まっていないと記述できない。
③ "f)3.4.4.4~3.4.4.7に該当する場合・・・"については、個人の権利に関する事項であり、一旦、本人が提供した個人情報に対しては、本人はその"利用目的の通知(3.4.4.4)を受ける"、"開示(3.4.4.5)請求する"、"訂正・追加・または削除(3.4.4.6)請求する"、"利用又は提供の拒否(3.4.4.7)を行なう"権利を有していることを認識した上で、その旨を明確に示し、その求めに応じること並びに問い合わせ窓口を明示することが必要である。
従って、問い合わせ窓口も"b)個人情報保護管理者の氏名・・"の記述の要求とは異なったものであり、たまたま、個人情報保護管理者が問い合わせ窓口も兼務している場合は、同じ名前となるという位置づけである。
原則的には、JIS3.4.2.4a)~h)項に示された要求事項を網羅した通知文を書面により本人に明示して、書面による同意を取得することが必要である。
3.4.2.5:個人情報を3.4.2.4以外の方法によって取得した場合の措置
この項では"本人から直接書面による"以外の方法による個人情報の取得に関して規定している。
この中のキーワードとしては「本人から」と「書面による」がある。
従って、「本人以外からの書面による取得」や「本人からの書面以外(例えば口頭)による取得」はJIS3.4.2.4項ではなく、この項の要求事項を適用する。
すなわち、若干の例外はあるが、"本人に対して書面による通知を行い、書面による同意を取得していないもの"は全て3.4.2.5項の対象であると考えると分かりやすい。
この項では、"事前または事後に、速やかに、取得した個人情報の「利用目的」を本人に通知するか公表する"ことを求めている。
ここで注意が必要な項目として3.4.2.5d)項がある。
3.4.2.4の所でも述べたように、3.4.2.5d)項は、"個人情報を3.4.2.4以外の方法によって取得した場合"において、例外事項として利用目的の通知又は公表を行わなくても良い場合として、"取得の状況からみて利用目的が明らかであると認められる場合"を示している。
直接書面による以外の個人情報の取得において"取得の状況からみて利用目的が明らかであると認められる場合"の取得とはどのようなものがあるかであるが、書面による個人情報の取得では無いので、特に、個人情報の提供者とそれを受け取る者がその個人情報の利用目的として同じ認識であることが必要である。すなわち、お互いが暗黙の内に個人情報の利用目的について同じ認識をしている状況である。
従って、両者の信頼関係の上に成り立つことであるが、実際には常識的な判断と社会通念から判断することになる。
ただし、この項での要求内容は"通知"又は"公表"であり、3.4.2.5d)項の適用をあれこれ考えるよりも、考えられる利用目的を全て事前に公表しておくことが現実的な対応となる。
このように、3.4.2.5d)項の適用は、3.4.2.5項においてではなく、3.4.2.5d)項を参照して除外事項を設定している他の項において詳細に検討することの方が重要であることに留意すること。
企業において3.4.2.5項が適用される事項として、一般に多く見られるものは、委託を受けて個人情報の取扱いが行なわれる場合である。
すなわち、業務の受託に伴う個人情報の取得(預託を受けること)は全てが該当する。
委託を受けて(受託して)の個人情報の取扱いとしては、データ入力や計算処理等、本人へのアクセスが伴わない受託業務と、DMの発送や電話による連絡、コールセンター業務の代行等本人へのアクセスを伴う受託業務がある。
また、個人情報の取得としては、公開名簿やWebページからの取得も考えられる。
いずれにしても「利用目的」の"通知"又は"公表"が必要である。
尚、本人へのアクセスを伴う受託による個人情報の取得や公開名簿やWebページから取得した個人情報を使ってのアクセスにおいては、本項の要求に基づく通知又は公表に加えて、更に後述の3.4.2.7項の要求に基づく"本人にアクセスする場合の措置"としての通知と同意の取得も要求されていることに留意すること。
3.4.2.5項の要求事項に対応しての手順書の作成においては、手順としては、社内で"本人から直接書面による以外の方法により個人情報を取得する"に当たって、まず"申請書"を作成して承認を得る手順と、取得した個人情報の「利用目的」を本人に"通知"又は"公表"するための手順を規定する。
ただし書きとして、通知又は公表を行わなくて良いケースが示されているが、これらを適用して"通知"又は"公表"を行なわない場合の手順も規定し、その中でただし書きの適用に当たっては個人情報保護管理者の承認を得ることを規定する。
"通知"又は"公表"のやり方であるが、多くの企業は事前に当該企業の業務上で考えられる"利用目的"を想定して"公表"を行っていることが多い。
公表の方法については、経済産業省のガイドライン2-1-8を参照すると良い。
次に本項に関連して、"利用目的の公表"については、JIS3.4.4.3c)で"全ての開示対象個人情報の利用目的"を本人の知りえる状態(本人の求めに応じて遅滞なく回答する場合を含む)に置くことが求められている点にも注意する必要がある。
求められているのは"開示対象個人情報の利用目的を本人の知りえる状態"に置くことであるが、それを"公表"という手段で行っている企業も多い。
この"開示対象個人情報"と、本項の"3.4.2.4以外の方法によって取得した個人情報"を合わせると、若干の例外はあるが、ほぼ貴社が取扱う全ての個人情報ということになり、貴社が取扱う全ての個人情報の"利用目的"の"通知"又は"公表"又は"本人の知りえる状態に置く"こと、が求められていることになる。
従って、企業で取得・利用する全ての(若干の例外はあるが、ほぼ全てと考えて良い)個人情報の利用目的を3.4.2.5とJIS3.4.4.3c)の要求への対応として、一緒に"公表"しているケースも多い。
ここでは、これらをどのような手順で行なうかについて、手順書として規定する。
(中小企業診断士 中村 隆昭)
|
