こちらは個人情報保護法の知識とその対策を、個人事業主・中小企業の方に簡単に理解していただくためのサイトです。個人情報保護法対策ポータル〜個人事業主・中小事業主が知っておきたい知識と対策

トップ基礎知識対策の基礎業種別対策小冊子よくある質問メール相談認証制度無料診断リンク集
トップ > よくある質問(FAQ) > 個人情報保護法で、誰が何をしなければならないの?

■個人情報保護法で、誰が何をしなければならないの?

1.個人情報保護法で何がかわるか?
2.個人情報ってなんだろう?
3.個人情報保護法で、誰が何をしなければならないの?

Q 私の会社では個人データを基に電話営業を行っているのですが、問題ありますか? 個人宅にFAX-DMを送ることも駄目でしょうか。

Q 不採用者の雇用面接時の履歴書は個人情報だと思うのですが、どのように取り扱えばよいでしょうか?

Q 面接で不採用になった学生の個人情報ですが、再応募も多く、過去の応募者の情報は必要と考えています。問題ありますか?

Q 給与振込の場合、従業員個人の口座名や口座番号等を金融機関へ渡しますが、それらについても社員規定等に明記し、社員の同意を求めなくてはいけないのでしょうか? また、各金融機関に対しても委託契約が必要なのでしょうか?

Q 宅配業者や銀行・郵便局は安全管理措置を含めた契約に応じてくれるのでしょうか?

Q 退職者の持っている個人情報について、気をつけるポイントがあれば教えてください。

Q インターネットのホームページに載っている情報は、取得してDM送付やアンケート送付等に利用してもいいのでしょうか?

Q 営業先で頂いた名刺の管理はどうすべきでしょうか?

Q 合計が過去六ヶ月以内いずれの日においても五千を超えない者(適用除外)であると仮定して、保持しているデータを漏洩した場合、会社は処罰(刑事、民事)の対象になるのでしょうか?

Q 各使用目的別に応じて、データべース・仕様が異なり、個々には、5000件を越えないですが、トータルすると5000件を越える場合も対象になりますでしょうか?

Q 当社は、会員カードによる個人情報があるのですが、5000人以下であるので対策はなにもしなくてもよいのでしょうか?

Q Web・名簿・看板などより収集した情報も、個人情報の管理対象になるのでしょうか?

Q データベースが海外にある場合は、対象外でいいのでしょうか?

Q 普段あまり使用しない個人情報データをはメディアに保存し、金庫に保存して、必要な時だけ、使用する場合は、どうなるのでしょうか?

Q 展示会上でカタログをもらうために名刺を渡さなければならないというような時、名刺の情報をカタログを送付してもらう以外に利用された場合、利用した企業は個人情報保護法に違反するのでしょうか?

Q お客様から「個人情報を保持しているサーバーは何処にあるのですか?」と質問があった場合、どのような回答をすれば宜しいのでしょうか?

Q 仕事上でもらった名刺を個人の手帳のアドレス帳に整理記入、または個人のPDAのアドレス帳に自分で入力した個人データ等は今回の保護法の対象になるのでしょうか?

Q ポイントカードを発行しています。個人情報を記載する欄があると使えないのでしょうか?

Q 個人情報をきちんと管理するコストを考えますと、全て下請け会社である委託先に管理を丸投げし、たとえ当社から漏れても何があっても委託先の責任になる、といったような強い条項を盛り込んだ契約書を締結しました。この契約があれば、万が一、下請け会社から個人情報が漏れたとしても安心でしょうか。

4.個人情報保護法を守るだけで良いのだろうか?
5.認証制度の役割は?


Q 私の会社では個人データを基に電話営業を行っているのですが、問題ありますか? 個人宅にFAX-DMを送ることも駄目でしょうか。

A 住所・氏名・電話番号はご質問の通り、個人情報にあたります。似たように「他の情報と照合することができ」るものとして、生年月日・印影・口座番号・職業、勤務先などがあげられます。

 個人情報の本人が了承していない情報の使い方は出来ない、ということが定められました。ですからテレアポを受けてもいいと了承している方に、お電話をするのは一向かまいませんが、そうでない個人情報をもとに電話営業を行うと、今後は問題になってきます。FAXも同様です。ただし、電話帳を見て電話営業を行う場合は問題はないものとされています。つまり個人情報の入手先について慎重に判断をして業務を行ってください。


Q 不採用者の雇用面接時の履歴書は個人情報だと思うのですが、どのように取り扱えばよいでしょうか?

A 個人情報の保護の観点から、採用活動の応募者の履歴書その他の応募書類は、不採用が決定した時点で破棄・返却を行い、社内には情報を残さないのが、もっとも安全な取扱です。

私は個人情報保護法に則りつつ、さらに安全な取扱をベースに書いていますので、破棄・返却をお奨めしていますが、これは個人情報保護法で規定されているわけではありません。

実際問題として、応募者が多数いる、数次にわたって採用活動をする、等の理由で、同一人物から何度も応募があるため、ある程度記録を保存をしておきたい、という事業者もあると思います。
また、不当な採用拒否問題(男女差別・人権問題など)として、提訴される恐れがある場合は、民法で定められた消滅時効の3年間は保存した方が良い場合もあります。

こういったケースの場合、しっかりと責任を持って、漏洩や募集に応募したという利用目的外の、応募者の個人情報の取扱が起こらないよう、またその他の事業者の義務に違反しないよう、適切に管理されるのであれば、法的には問題はありません。

あとは、適切な保管の手順・ルールを定めて、その基準にのっとりミスのない安全な管理を心がけてください。

また、破棄・返却につきましても適切なルールを作りミスのないような取扱を行ってください。


Q 面接で不採用になった学生の個人情報ですが、再応募も多く、過去の応募者の情報は必要と考えています。問題ありますか?

A 不採用者の履歴書の破棄・返却はもっとも事故の少ない処理ということになりますが、御社の採用活動の状況で、一定期間保存すべきであると判断された場合、それを妨げる規定は、個人情報保護法にはありません。

ですからしっかりと責任を持って、漏洩や御社の募集に応募したという利用目的外の、応募者の個人情報の取扱が起こらないよう、管理されるのであれば、法的には問題はありません。

あとは、適切な保管の手順・ルールを定めて、その基準にのっとりミスのない安全な管理を心がけてください。


Q 給与振込の場合、従業員個人の口座名や口座番号等を金融機関へ渡しますが、それらについても社員規定等に明記し、社員の同意を求めなくてはいけないのでしょうか? また、各金融機関に対しても委託契約が必要なのでしょうか?

A 給与振込の個人データは、給与振込の目的のために取得した個人情報ですので、給与振込の委託先の金融機関に渡すことは、所得の目的の範囲内ですので問題はありません。

 給与振込の引き落としの口座を持つ金融機関との間には、委託契約が発生していますので、約款、給与振込に関する契約書等をチェックしておくことをお奨めします。

 また、信頼できる保護体制を敷いた金融機関に変更するのも一考の価値があるケースもあるかもしれません。

なお、給与の振込先の従業員の口座がある金融機関とは、委託契約は存在していないので、振込先の金融機関ひとつひとつと委託契約をする必要はありません。



Q 宅配業者や銀行・郵便局は安全管理措置を含めた契約に応じてくれるのでしょうか? 個人情報保護法の中は委託先に対し監督する義務があるとしており、ガイドライン等では委託先と安全管理措置を含めた契約を結びなさい、と記述されています。

A ご質問の宅配業者、金融機関・郵便局との委託契約に関しまして、宅配業者と給与振込等の金融機関は分けて考えるべきですので、個別にお答え致します。

 宅配業者の場合は、現実的な委託の契約書の取り交わし方としては、業者側が用意した統一の契約書に基づいて契約することになるのが一般的なケースとなるでしょう。

 大手の宅配業者であれば、まず間違いなく安全管理体制を構築し、その基準に即した委託契約を用意しているはずです。御社の側から契約書を作成して、宅配業者に委託契約を結んでもらうのは、かなり難しいと思われます。

 だだし、だからといって監督義務を免れるものではありませんので、業者の具体的な安全管理措置の実施の内容、取り交わされる契約書の内容は、しっかり確認する必要があります。

 体制その他に疑義がある場合は、適切な体制・委任契約を用意している業者に切り替えるのも、御社のリスクが担保されるのであれば、一考の価値はあります。

 給与振込金融機関との関係ですが、これは従業員と金融機関の委託契約と、従業員と御社の契約が別々のにあり、また、振込は給与振込先のおのおのの金融機関と御社とは委託の関係にはならないものと考えます。御社が給与振込に関して、委託契約が存在するのは、御社が給与を振り込む口座を開設している金融機関だけと委託契約があるものと考えます。

 こちらも間違いなく金融機関側が統一契約書を用意しているものと考えられますので、振込システムの委託契約を確認してください。


Q 退職者の持っている個人情報について、気をつけるポイントがあれば教えてください。

A 従業員が退職するときは個人情報の持ち出しには注意しなければなりません。

従業員が退職するときは個人情報の持ち出しには注意しなければなりません。
事業主としては退職にあたり、業務上の必要があって取得した個人情報の返却、
その他を定めた覚書きを用意しておくと良いでしょう。

また、慣習として退職後に在職中のお礼状を仕事でお世話になった方に出していますが、 これは今後、退職後に出すと個人情報の利用の目的に抵触する可能性があります。

うまい解決策としては、会社に事前に許可をもらって在籍中にお礼状を出すのがいいでしょう。 また、事業主側も退職に関するお礼状等のフォームを作っておくと何かと便利です。



Q インターネットのホームページに載っている情報は、取得してDM送付やアンケート送付等に利用してもいいのでしょうか?

A インターネットのホームページ上などで個人情報を取得した際は、取得したこととその利用目的を通知、または公表する必要があります。DM送付やアンケート送付時にその旨書き添えるのが良いでしょう。


Q 営業先で頂いた名刺等の管理はどうすべきでしょうか?

A 外部の方が普通に入ってこける場所なと、部外者に触れやすいところには置かないでください。せめて鍵付きの引き出しにしまうなど、情報の漏洩を防ぐ社内ルールを定めてください。



Q 合計が過去六ヶ月以内いずれの日においても五千を超えない者(適用除外)であると仮定して、保持しているデータを漏洩した場合、会社は処罰(刑事、民事)の対象になるのでしょうか?

A 適用除外であって、データが不注意によって流失した場合ですが、基本的には、個人情報保護法による罰則等の適用はありません。

 ただし、民事・刑事(不注意の場合は刑事罰はないと思いますが)上の、ペナルティはかせられる可能性があります。民事上の損害賠償が争われる場合は、過失の有無が争点になりますが、個人情報保護の対策の有無は重要な事実関係になると思われます。

 つまり、個人情報保護法の適用事業者ではないからと言って、対策を疎かにした場合のリスクは民事上の責任が存在する限り0になるということではありません。

 また、「合計が過去六ヶ月いずれの日においても五千を超えない者」の規模は、固定的ではなく、小さい規模への変更も予想されているので、いま適用除外だと思っていても、いつ適用事業者になるか分かりませんので注意が必要です。


Q 各使用目的別に応じて、データべース・仕様が異なり、個々には、5000件を越えないですが、トータルすると5000件を越える場合も対象になりますでしょうか?

A 個人情報保護法は事業者内で持っている、すべての個人情報を合算したものを基準に対象かどうかを決めます。ですからトータルで5000件を超えた場合は法が適用されます。
また、この合算は従業員の個人情報も含まれますので注意してください。


Q 当社は、会員カードによる個人情報があるのですが、5000人以下であるので対策はなにもしなくてもよいのでしょうか?

A 個人情報が5000人以下ですと今回の施行では対象事業者にはなりませんが、5000人という制限はいずれ下げられると予想されていますので、今のうちから適切な体制を準備されておく事をお奨めします。

 お客様に対しては、御社のプライバシー・ポリシーを掲示すれば良いでしょう。小冊子のCD-ROMに見本が入っています。


Q Web・名簿・看板などより収集した情報も、個人情報の管理対象になるのでしょうか? また、注文書等、手書きしたものをデータベース化したものもあります。これも、対象になりますか?

A 上記の個人情報はすべて個人情報保護法の保護対象になります。

そこで注意していただく点は、その個人情報をどのようにして収集したか、できるだけ正確に把握すること、また今後その情報をどう取り扱うかを内部でしっかりルールを定める必要があります。また、取扱について公表する必要も出てきます。

Web上のデータ・名簿は、今後は容易に外部に出さない等の、取扱が変化していくことが予想されます。ですから個人情報保護法の施行以後は細心の注意を持って取り扱う必要があります。


Q データベースが海外にある場合は、対象外でいいのでしょうか?

 海外サーバについては今のところ、情報が見つかりませんでした。
 条文の解釈を素直にしますと「個人情報データベース等」の定義は国内に限るという、記述がありませんので、日本の事業者が持つ個人情報については、そのデータベースの設置場所は国内外を問わず適用される、と考えた方が安全です。

 さらに私が気がかりだと思うのが、その設置している国の個人情報関連の法律の適用もあるかもしれないということです。この件に関しましては、どちらの国に置かれているのかがわからないと、まったく他国法の適用の有無についてはお答えできません。

 他国法の問題もあり得ることから個人情報のデータベースは国内に移し、適切な対策をとられることをお奨め致します。


Q 普段あまり使用しない個人情報データをはメディアに保存し、金庫に保存して、必要な時だけ、使用する場合は、どうなるのでしょうか?

A 上記の取扱は、個人情報保護法にふさわしいデータの取扱です。
 目的通り適切に取り扱われている場合は、事業者の義務を果たしていると考えていただいて結構です。
 さらに適切な管理を進めるにあたっては、具体的な鍵の管理者を定めたり、使用簿を作成するなどが考えられます。上記の考え方の視点に立った、トータルで全社的な個人情報保護体制を推進されることをお奨め致します。


Q 展示会上でカタログをもらうために名刺を渡さなければならないというような時、名刺の情報をカタログを送付してもらう以外に利用された場合、利用した企業は個人情報保護法に違反するのでしょうか?

A 名刺をそのブースの担当者と交換して詳しい説明などを受けた場合は双方の合意が成立しているのでビジネスの目的で個人情報を利用しても問題ありません。しかし、単にカタログ送付希望者の名刺入れなどに入れられた名刺の場合は、カタログ送付以外の利用に使いますと、利用目的外の利用になります。目的外の利用にならないようにするためには、名刺入れ等にビジネス目的(具体的な利用方法を明示して)に使用する旨の表示をして、そこに投げ入れてもらうのが良いでしょう。

 また、ビジネス目的にも使用されるとなると投入等をためらう方もいらっしゃるかもしれませんので、カタログ送付のみの名刺入れも合わせて準備されるのはいかがでしょうか。



Q インターネット通販をしています。システムは外部システム(サーバー)に頼っています。お客様から「個人情報を保持しているサーバーは何処にあるのですか?」と質問があった場合、どのような回答をすれば宜しいのでしょうか?

A 上記の質問に対しては特別回答する義務はないものと思われます。
個人情報の本人関与につきましては、利用目的、保有個人データの開示、訂正、利用停止について定められていますが、事業者内の管理体制についてまでの報告は、義務づけられていません。
 システム保守・通販のソフト会社のサーバに、個人情報が含まれるデータベース等が置かれていますか?
 その場合は委託先がシステム保守・通販のソフト会社であっても、個人情報の委託処理についての契約書を交わす必要があるので注意してください。



Q 仕事上でもらった名刺を個人の手帳のアドレス帳に整理記入、または個人のPDAのアドレス帳に自分で入力した個人データ等は今回の保護法の対象になるのでしょうか?

A 仮に従業員が別々に管理していても、合計が五千を超える場合はどちらも個人情報保護法の対象データとなります。

 対策は具体的な管理のされ方を見ないと何ともいえませんが、基本的には、個人のPDA等に入力したままでいることは避けてください。もし、それが難しいなら、仕事上で使う個人情報は私用のものと別のデータベース体系に切り分けてください。

 とはいえ業務で使う個人情報はPDAの紛失などで、漏洩等の事故が起こった場合、会社・個人ともに責任を負わされる可能性がありますので、出来るだけ外部には持ち出さないよう、管理方法を変更する事をお奨めします。


Q ポイントカードを発行しています。個人情報を記載する欄があると4月から使えないのでしょうか? すでにそういうポイントカードを持っているお客様はどのように扱えばいいのでしょうか?

A 個人情報の記載があるからといってポイントカードが使えなくなるということはありません。
 問題は個人情報を記載してあるポイントカードを回収したあとに、その個人情報を適切に使用するかどうかが問題です。同意ももらっていないのにDMを送るとか、そういうことをしてはいけない、ということです。ですから回収するときに具体的に、どういう個人情報の使用をするかご理解いただいた上で、その個人情報を使用してください。


Q 個人情報をきちんと管理するコストを考えますと、全て下請け会社である委託先に管理を丸投げし、たとえ当社から漏れても何があっても委託先の責任になる、といったような強い条項を盛り込んだ契約書を締結しました。この契約があれば、万が一、下請け会社から個人情報が漏れたとしても安心でしょうか。

A 結論から申し上げると、適切な管理を怠っていながらそのような一方的な条項の契約では免責にはなりません。監督責任が問われます。個人情報保護は御社と委託先が共同して行う作業であり、一方的なものではないことを前提に、適切な方策を講じられてはいかがでしょう?




■このサイトのプライバシーポリシー

■個人情報保護の基礎知識

個人情報保護法って何の法律?
個人情報って何?
どんなルールができた?
個人情報はどう悪用される?
対策をするとどうなる?しないと?

究極の対策は?

■個人情報保護法対策の基礎

では、具体的な対策の手順は?
対策その1:社内体制の確立
対策その2:社内ルールの策定
対策その3:社外ルールの策定
対策その4:物理的・技術的対策
対策その5:個人情報漏洩保険

■業種別対策

一般の事業者
紹介・派遣業
福祉・介護
病院・診療所・研究施設
学校・塾・予備校

■個人情報保護法対策小冊子

■よくある質問(FAQ)

個人情報保護法で何がかわる?
個人情報ってなんだろう?
誰が何をしなければならないの?
守るだけで良いの?
認証制度の役割は?

■メール相談

■認証制度

無料リスクアセスメント

■リンク集

■運営者紹介

トップ > よくある質問(FAQ) > 個人情報保護法で、誰が何をしなければならないの?
トップ基礎知識対策の基礎業種別対策小冊子よくある質問メール相談認証制度無料診断リンク集
Copyright 2005 個人情報保護法対策ポータル All Right Reserved. 監修:戦略法務研究会 運営:bizknowledge