個人情報保護法 ヒヤリハット事例集
個人情報保護委員会ホームページより
第三者提供
(事例1)
学習塾で、生徒同士のトラブルが発生し、生徒 A が生徒Bにケガをさせてしまった。生徒Aの保護者は生徒Bとその保護者に謝罪するため、生徒Bの連絡先を教えてほしいと学習塾に尋ねてきた。学習塾では生徒名簿に記載されている生徒Bとその保護者の氏名、住所、電話番号を教えてしまいそうになった。
✔ 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときなど第三者提供制限の例外事由に該当する場合を除き、個人データ(個人情報データベース等を構成する個人情報)を第三者に提供する場合には、あらかじめ本人の同意が必要となります(第三者提供共通)。
✔ 謝罪したいというような理由であっても、本人に無断で個人データを提供してはいけません。提供する前に、生徒 B とその保護者から同意を得ましょう。
(事例2)
クレジットカード会社に対し、カードホルダーから「請求に誤りがあるようなので確認して欲しい」との照会があり、クレジットカード会社が調査を行った結果、処理を誤った加盟店があることが判明した。クレジットカード会社は、当該加盟店に対し、直接カードホルダーに請求を誤った経緯等を説明するよう依頼しようと、カードホルダーの連絡先を伝えそうになった
✔ カードホルダーは、クレジットカード会社に対して調査を依頼しただけであって、加盟店に連絡先を提供することについては同意していません。個人情報保護法の規定を遵守することはもちろん、更なるトラブルを回避するためにも、同意の有無はしっかり確認しましょう。
(事例3)
販売業者が販売した商品に異物が混入していたとして、購入者から連絡があり、その際、販売業者は、製造業者に購入者の連絡先(電話番号)を伝えることについてのみ購入者の了承を得ていたが、製造業者から代替品を送りたいとの申し出を受けたため、購入者の了承を得ていない住所を伝えそうになった。
✔ 購入者は、製造業者に対して電話番号を伝えることについては同意をしていたものの、住所を伝えることについては同意していません。製造業者にどのような個人データを提供する同意を得ているのか(同意の範囲)を明確に確認しましょう。
(事例4)
会社の営業部に、従業員の親を名乗る者から電話があり、至急子供(従業員)と連絡を取りたいので、携帯電話番号を教えてほしいと言われた。従業員が営業で外出中であったため、携帯電話番号を教えてしまいそうになった。
✔ 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときなど第三者提供制限の例外事由に該当する場合を除き、個人データを第三者に提供する場合には、あらかじめ本人の同意が必要です。
✔ 社会通念上、やむを得ないと思われる場合や本人の家族・親族等からの照会であっても、個人データを第三者に提供する場合には、あらかじめ本人の同意が必要であることから、まずは会社から従業員に連絡をするなどの対応が望ましいと考えられます。
✔ 個人データの第三者提供に当たっては、必ずしも第三者提供のたびに同意を得なければならないわけではありません。例えば、個人情報の取得時に、その時点で予測される個人データの第三者提供について、包括的に同意を得ておくことも可能です。
(事例5)
退職した元従業員が再就職活動を行っている同業他社の人事担当者から連絡があり、元従業員の在籍確認、勤怠状況、退職理由、健康状態等を聞かれたため、伝えそうになった。
✔ 退職した従業者に関する在籍状況や勤務状況等が個人データになっている場合、問合せに答えることは個人データの第三者提供に該当するため、あらかじめ本人の同意を得ている場合や第三者提供制限の例外事由に該当する場合を除いて、第三者に提供することはできません。
✔ 再就職活動先企業の人事担当者が行った問合せ自体、本人の同意なく、過去の勤務先に、元従業員が再就職活動を行っているという個人データを提供することであり、個人情報保護法上問題のある行為と考えられます。
利用目的
(事例1)
小売店を営んでおり、人手不足のためアルバイトを募集していたが、なかなか人が集まらなかった。そのため、店のポイントプログラムに登録している顧客をアルバイトに勧誘しようと思い、事前にその顧客の同意を得ることなく、登録された電話番号に電話をかけそうになった。
✔ 個人情報取扱事業者は、個人情報を取り扱うに当たって、利用目的をできる限り特定しなければならず、本人の事前の同意がなければ、利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことはできません。なお、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行うことはできません。
✔ 事例においては、顧客向けに提供されるサービスのために取得した個人情報を採用活動に利用しようとしており、一般的には、利用目的の達成に必要な範囲を超えていると判断されます。
電子媒体等の取扱い
(事例1)
顧客Aを訪問するため、社内の所定の手続を行った上で、顧客Aの個人データが記録された USB メモリを持ち出した。用件が終わり帰社しようとしたところ、顧客Bを訪問することを思い付き、一旦帰社することなくそのまま顧客Bを訪問した。顧客Bを辞去する際、顧客Aの個人データが記録された USB メモリが入った封筒を置き忘れそうになった。
✔ 個人データが記録された電子媒体を安全に持ち出す方法として、持出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用などが有効です。また、個人データが記録された書類等を安全に持ち運ぶ方法としては、封緘、目隠しシールの貼付等を行うことが考えられます。
✔ 不必要な情報を持ち出さないことが重要ですが、個人データが記録された電子媒体や書類等の持ち運びの状況を記録し管理するなど、個人データの取扱い状況を検証可能な状態にしましょう。
(事例2)
顧客リストをシステムで管理しているが、資料作りのため USB メモリに保存された顧客データをコピーし、作業を行っていた。当日の作業を終えたので、USB メモリを所定の保管場所に戻そうとしたが、保管場所の鍵を保管している担当者が席を外しており、翌日も続けて作業を行うこととしていたため、自分の机の上に置いて帰宅しそうになった。
✔ 個人データを取り扱う機器や、個人データが記録された電子媒体及び書類等は、盗難又は紛失等を防止するため、施錠できるキャビネット・書庫等に保管するなどして適切な管理を行う必要があります。
✔ 執務スペースが整理されていないと、電子媒体等の紛失や誤廃棄につながる可能性があります。保管場所はもちろん机の上等の整理整頓を励行しましょう。
メールの送信
(事例1)
複数の顧客にイベントの案内を電子メールで知らせる際に、BCC に顧客のメールアドレスを入力すべきところ、CC に入力し送信しそうになった。
✔ 「kojin-ichiro@example.com」のようにフルネームが入っているようなメールアドレスについては、個人情報に該当する可能性があり、事例については、同意のない第三者提供、漏えいに該当する場合があるので、注意しましょう。
(事例2)
業務で使用している電子メールのメーリングリストに、複数の顧客、取引先等の連絡先を1つのグループとして登録しているが、特定の顧客の個人データが含まれる資料を添付したメールを、関係のない顧客にも送りそうになった。
✔ 電子メールは、宛先誤りや送信方法誤りによる個人データの漏えいリスクが高いため、電子メールを使用するにあたっては、誤送信等が生じないよう、送信する際の手続を定めるほか、送信時に宛先の確認等を行う工夫(例:送信者以外の者が宛先を確認する、「そのメール送信しても大丈夫ですか?」といったポップアップが表示されるなど)をすることが重要です。
システムセキュリティ
(事例1)
自社のECサイトの運用・保守(個人データの取扱いを含む。)を委託している外部業者に対して当該サイトのカスタマイズを依頼した。
外部業者から作業が終了したとの連絡を受けたため、サイトのリリース前に自社でテストを行ったところ、アクセス権限の設定にミスによって、外部からデータベースへアクセス可能な状態になっており、テストを行わずサイトをリリースしていた場合に、個人データの漏えいになるところであった。
直ちに外部業者へ修正を指示し、当該業者から修正した旨の連絡を受け、修正済みであることを確認した。
✔ ウェブサイトのカスタマイズやバージョンアップ等の作業を行った際に、当該作業により、個人データの漏えい等が生じてしまう状態となったり、システムに脆弱性が生じる場合があります。
上記のような作業を行う際は、社内又は外部業者により、仕様を含む幅広い確認や脆弱性の診断などを実施しましょう。
✔ 委託先の作業を原因として、個人データの漏えい等が生じた場合でも、委託先に対して必要かつ適切な監督を行っていないときには、委託元としての監督責任を問われることがあります。
以上
0コメント