「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A
    2006年2月2日更新
(最新の更新箇所は、番号47、48、49)
 
  1.(1)「個人情報」(ガイドライン2頁〜)
1 地図に住所を表示するシステムについて、住所データが含まれています。個人情報に該当しますか。 単に、地図上の地点を示すのみならば、通常は特定の個人を識別できませんので、個人情報に該当しないものと考えます。(2005.1.14/7.28修正)
2 個人情報に該当する事例1で「本人の氏名」とありますが、同姓同名の人もあり、ほかの情報がなく氏名だけのデータでも個人情報といえますか。 同姓同名の可能性もありますが、氏名があれば、社会通念上、特定の個人を識別できるものと解されます。(2005.1.14)
3 個人情報に該当する事例5の「周知の情報を補って認識することにより特定の個人を識別できる情報」とは何ですか。 例えば、「現在の経済産業大臣」とだけあって、氏名がない情報でも、周知の情報を補えば、特定の個人が識別できますので、個人情報に該当します。(2005.1.14/7.28修正)
4 個人事業主の財務情報等は個人情報に該当しますか。 例えば、「山田太郎商店」などであれば、個人が特定されますので個人情報となり得ます。結果的に個人経営であった場合のように、企業情報であって個人情報に該当しないと解される場合もあり得ます。(2005.1.14/7.28修正)
5 企業の代表者の情報等の公開情報を個人情報として保護する実益はありますか。 個人情報の保護は、プライバシー保護の観点とは異なります。個人情報は、他のデータとのマッチング等によって価値が生じ得ることなどから、公開情報であっても保護すべき実益はあるものと考えます。(2005.1.14/7.28修正)
6 外国に居住する外国人の個人情報についても、個人情報保護法上の保護の対象になりますか。 対象となり得ます。(2005.1.14)
7 取引先の企業の担当者の名前を管理していますが、これも個人情報に該当しますか。 個人情報に該当します。
(2004.10.19/2005.7.28修正)
8 住所だけで個人情報に該当しますか。 住所だけでは、基本的には個人情報に該当しません。ただし、その他の情報と容易に照合でき、それによって特定の個人を識別することができれば、その情報と併せて全体として個人情報に該当することはありますので、ケースバイケースでの判断が必要です。(2004.10.19/2005.7.28修正)
9 オンラインゲームで「ニックネーム」及び「ID」を公開していますが、個人情報に該当しますか。 個人情報に該当する場合があります。オンラインゲームにおける「ニックネーム」及び「ID」が公開されていても、通常は特定の個人を識別することはできませんから、個人情報には該当しません。ただし、「ニックネーム」又は「ID」を自ら保有する他の情報と容易に照合することにより特定の個人を識別できる可能性があり、そうした場合は個人情報に該当し得ます。なお、例外的にニックネームやIDから特定の個人が識別できる場合(有名なニックネーム等)には、個人情報に該当します。
(2005.7.28)
10 (1) 電話の通話内容は個人情報に該当しますか。
(2) 通話内容を録音している場合、録音している旨を相手方に伝える必要がありますか。
 
(1) 特定の個人を識別することが可能な場合には個人情報に該当します。
(2) 個人情報に該当する場合でも、録音していることについて伝える必要はありません。ただし、利用目的を通知又は公表する必要があります。
(2005.7.28)
  1.(2)「個人情報データベース等」(ガイドライン3頁)
11 冊子になっている市販の職員録は、「個人情報データベース等」に該当しますか。 一定の規則で整理・分類されていて、目次、索引などがあり、容易に検索が可能ですので、「個人情報データベース等」に該当します。
(2005.1.14/7.28修正)
12 メールソフトや名刺について、従業員本人しか使用できない状態であれば、企業の個人情報データベース等には該当しないと考えてよいですか。 従業員の個人的な使用に用いているのであれば、企業にとっての個人情報データベース等には含まれません。しかし、従業員が企業活動の用に供するために使用しているのであれば、企業の個人情報データベース等に該当することになり得ます。(2005.1.14/7.28修正)
13 個人情報データベース等に該当する事例1に、「電子メールソフトに保管されているメールアドレス帳」とありますが、これについても、他人には容易に検索できない独自の分類方法によりメールアドレスを分類した状態である場合は、個人情報データベース等に該当しないと考えてよいですか。 「メールアドレス帳」に氏名を付してアドレスを保存した場合は、そのアドレス帳の検索機能を使えば、第三者でも特定の個人情報の検索が容易に行えますので、そもそも「他人には容易に検索できない独自の分類方法」となっていないと考えられます。(2005.1.14/7.28修正)
  1.(3)「個人情報取扱事業者」(ガイドライン4頁)
14 社員のデータベースしか持っていない場合は、個人情報取扱事業者とならないと考えてよいですか。 社員の情報も個人情報に該当しますので、社員が5000人を超える場合は、個人情報取扱事業者となり得ます。
(2004.10.19/2005.1.14修正/1.31修正/7.28修正)
15 個人情報取扱事業者に該当した場合には、届出等の手続が必要となりますか。 届出や認可などの手続は何もありません。(2005.1.14)
16 個人情報取扱事業者に該当しない場合は、何の責任もないのですか。 個人情報取扱事業者に該当しない場合は、法に基づく行政処分が科せられることはありません。ただし、漏えい事故等で被害が発生したときには、被害者から民事上の損害賠償責任を追求される可能性はあります。
(2004.10.19/2005.1.14修正/7.28修正)
  1.(4)「個人データ」(ガイドライン6頁)
17 人名録のデータは個人データに該当しますか。電話帳やカーナビとの違いは何ですか。 一般に、人名録の情報は個人データに該当します。電話帳やカーナビとは異なり、@氏名、A住所等、B電話番号以外の情報(所属等)が含まれるからです。(2005.1.14)
  1.(5)「保有個人データ」(ガイドライン7頁)
18 6か月以内に消去することとなるものは該当しないとありますが、その起算点はいつですか。 当該個人データを取得したときから起算します。(2005.1.14)
  1.(8)「公表」(ガイドライン10頁)
19 店頭販売が中心の場合でも、ウェブ画面に公表しておけば足りますか。 基本的には足りますが、本人の目につきにくくするという目的で、恣意的に、店舗の見やすい場所への掲示を回避してウェブ画面上でのみ公表しておくというような場合には、「公表」が合理的かつ適切な方法によっていない、とされるおそれがあります。(2005.1.14)
20 利用目的の公表(法第18条第1項)は、官報又は日刊紙への掲載を1回でもすればよいですか。 事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければなりません。しかし、一般的には、官報・日刊紙への掲載でも公表したことになります。
(2005.7.28)
21 自社のウェブ画面で、利用目的を公表(法第18条第1項)したり、明示(同条第2項)したりする場合、ウェブ画面に表示されていた証拠を残す必要がありますか。 法律上の義務はありません。ただし、事後にトラブルが生じたときのために、証拠を残しておくことが重要となることがあります。例えば、ウェブ画面の更新等で喪失してしまわないよう、従前のデータを保存しておくことなどが望まれます。
(2005.7.28)
  1.(10)「本人の同意」(ガイドライン11頁〜)
22 当初はダイレクトメールを送付する目的で個人情報を利用することになっていなかったため、本人に郵便を送付し、一定期間回答がなければ、ダイレクトメールを送付する目的で利用することに同意したものとみなすようにしたいのですが、このような方法は本人同意を得たことになりますか。 本人が同意にかかる判断を行うために必要と考えられる合理的かつ適切な方法によらなければなりませんので、単に一定期間回答がなかっただけでは、一般的には本人の同意を得たとすることはできません。
(2005.7.28)
  1.(11)「本人が容易に知り得る状態」(ガイドライン12頁〜)
23 自社のウェブ画面に継続的に掲載すれば、「本人が容易に知り得る状態」になるという事例がガイドラインにありますが、この方法で本当に本人が容易に知り得ることができるのですか。 事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければなりません。一般的には、例えば、トップページから1回程度の操作で到達できる場所に継続的に掲載しておくことで、通常は、本人が容易に知り得る状態になり得ます。
(2005.7.28)
  2.(1)個人情報の利用目的関係(ガイドライン14頁〜)
24 「利用」とは何ですか。 特に定義はありませんが、個人情報を保管しているだけでも、「利用」に該当します。(2004.10.19/2005.1.14修正/7.28修正)
25 当初の利用目的が変更となったためその旨を通知する際、利用目的の範囲に含まれない商品告知等も併せて同封することは問題はないのですか。 利用目的の範囲に含まれない商品告知等をすることはできません。利用目的の達成に必要な範囲を超える利用は、事前に本人の同意が必要となります。(2005.1.14)
26 (1) 利用目的を特定する際に、利用目的の範囲に制約はありますか(利用目的を自由に設定することができますか)。
(2) 義務規定の施行前に取得した個人情報の利用目的を特定する場合に、当該個人情報の取得の状況や、これまでの利用実態から、利用目的の範囲が制約されることはありますか。
 
(1) 利用目的の範囲に制限はありません。利用目的は他の法令(割賦販売法等)、公序良俗に反しない限度で自由に設定できます。ただし、抽象的・一般的なものは利用目的を特定しているとはいえません。
(2) 利用目的の範囲が制約される場合があります。これまでの個人情報取扱いの実態は必ずしも目的の範囲を制約するものではありませんが、義務規定施行前に利用目的について約束をしているような場合には、当然、これを守らなければなりません。
(2005.7.28)
27 ダイレクトメールで書籍の通販の案内をしていましたが、健康食品の通販の案内もしたいと思っています。健康食品の通販の案内が不要な場合に、当該案内を中止するよう当社に連絡してもらうための連絡先を明記してダイレクトメールを送付することは、問題はありますか。 個人情報の取得時に通知又は公表した利用目的によっては問題になる場合があります。当初の利用目的が「通販事業における商品の案内」等といった形で特定されているのであれば、その目的の達成に必要な範囲内と解されますので、問題ありません。しかし、「書籍の通販の案内」といった形で特定されている場合には、目的達成に必要な範囲外と考えられますから、案内の中止を求められるようにしていたとしても、改めて本人の同意をとらなければ、健康食品についてのダイレクトメールの送付をすることはできません。
(2005.7.28)
  2.(2)個人情報の取得関係(ガイドライン18頁〜)
28 サービスを利用した本人から友人を紹介してもらい、その友人の個人情報を取得する、「友人紹介キャンペーン」による取得は個人情報の取得の手段として適正ですか。 事業者が偽ったり、騙したりするなどして、個人情報を不正に取得するのでなければ、法に違反しているということにはなりません。(2005.1.14)
29 製品の修理の際に、保証書に連絡先を記載してもらう場合、
(1) 有償の修理の要否や修理完了の連絡に利用するだけであれば、利用目的の明示は不要ですか。
(2) また、一定期間後、不具合の有無を聞く場合はどうですか。
 
(1) 有償の修理の要否や修理完了の連絡に利用するだけであれば、利用目的の明示は不要です。このような利用目的は、取得の状況からみて明らかな場合に該当すると考えられるからです(法第18条第4項第4号)。
(2) 一定期間後に不具合の有無を聞くことは、通常製品の修理を依頼する際に想定していない利用と思われます。この場合、あらかじめそのような利用を行うことを明示すべきです。
(2005.7.28)
30 (1) 名簿業者から個人の名簿を購入することは禁止されていますか。
(2) 名簿業者が当該個人情報を適正に取得していることを確認する必要はありますか。
(3) 名簿が不正取得されたものであることを知らずに買った場合は、責任を問われることはありますか。
 
(1) 購入すること自体が禁止されているわけではありません。
(2) 不正取得を疑わせるようなものでない限り、積極的に確認する必要はありません。
(3) 知らなかった場合でも、知ることができて当然である場合等には責任を問われる可能性があります。このような場合には、購入には慎重であるべきです。
(2005.7.28)
31 (1) 住民基本台帳を閲覧して取得した個人情報を使ってダイレクトメールを送ることができますか。
(2) 前記(1)でダイレクトメールを送る場合、本人から同意を得る必要がありますか。
 
(1) ダイレクトメールの送付を目的としている旨を記載したうえで住民基本台帳を閲覧申請したのであれば、この法律の関係では、そこで得た個人情報を用いてダイレクトメールを送付することは禁止されていません。
(2) 必要はありません。ただし、取得した個人情報を利用してダイレクトメールを送付することを通知又は公表しておく必要があります(法第18条第1項)。
(2005.7.28)
32 市販の人名録を使ってダイレクトメールを送付したいのですが、その人名録の利用目的を当該ダイレクトメールに記載して送付したいと考えています。人名録を買ってどれくらいの期日までにダイレクトメールを送付すれば、法第18条第1項にいう「速やかに」に該当しますか。 すべての場合に通じるような一定の期日の定めはありません。「速やかに」とは、事情が許容する限り最も早期にという意味です。したがって、合理的な遅延の理由がない場合には、取得後可能な限り早期に通知する必要があります。
(2005.7.28)
  2.(3)個人データの管理 1)データ内容の正確性の確保(ガイドライン14頁〜)
33 個人データ内容の正確性の確保が義務づけられていますが、「正確かつ最新の内容」の程度は、本人の同一性を損なわない程度と理解してよいですか。 個人データの利用目的が達成できる程度に、正確かつ最新の内容に確保(更新等)することが必要です。(2005.1.14)
  2.(3)個人データの管理 2)安全管理措置(ガイドライン23頁〜)
34 会員に対して、本人の情報の変更内容を葉書でお知らせすることは、問題がありますか。 葉書に記載されている個人情報は、配達時に本人が直接受け取らないような場合には、家族など第三者がその内容を知り得ることもあります。お知らせする情報の内容によっては、他人に知られたくない情報が記載されていることもあり得ますので、葉書の文面を見ることができないようにするなどの配慮が必要です。(2005.1.14)
35 ガイドラインに記載されている「個人情報保護管理者(チーフ・プライバシー・オフィサー)」については、各事業所ではなく、各企業ごとに設置すると考えてよいですか。 各事業所ごとに責任者を設置してもよいですが、それらを統括する個人情報保護管理者(チーフ・プライバシー・オフィサー)は各企業ごとに設置するということを想定しています。(2005.1.14/7.28修正)
36 「個人情報保護管理者(チーフ・プライバシー・オフィサー)」の選任にあたっては、専門的知識を持っている者が選任されるほうが、より望ましいとは思いますが、特段の資格等は不要と考えてよいですか。 個人情報保護管理者の選任にあたっては特段の資格等が必要というわけではありません。(2005.1.14)
37 入館時に備え付けの名簿に住所氏名を記入してもらっています。次の入館者が見える状態ですが、問題はないのですか。 当面は、そのような扱いを希望しない来館者に対しては、別の用紙に記入してもらうなどの対応が最低限必要です。来館者の意識、悪用のリスク、名簿の必要性、記載事項の選択、他の代替手段の有無などに基づいて、社会情勢の変化を踏まえて必要かつ適切な措置を講じていくことが必要です。(2005.1.14)
38 業務を委託する際に、委託先との関係でどのような点に注意しなければならないですか。 法は、委託者に対して委託先監督責任を課していますが、個人情報の取扱いについて何ら取り決めをしないまま、漏えいがあった際の責任を一方的に受託者に押しつける、ということでは、委託先監督責任の観点からは不十分です。個人情報をどのように取り扱うのかについて、事前に、具体的内容について、十分協議して、委託者と受託者の責任分担を明確にしておく必要があります。(2004.10.19/2005.1.14修正/7.28修正)
39 当社は、運送事業を営んでいますが、荷主からお預かりした宛先リスト(個人データ)を紛失してしまった場合、
(1) 当社はどのような責任を負いますか。
(2) 荷主はどのような責任を負いますか。
 
(1) 法第20条(安全管理措置)、法第21条(従業者の監督)違反になり得ます。
(2) 荷主にとっては、個人データの委託になりますので、法第22条(委託先の監督)違反になり得ます。
(2005.7.28)
40 ガイドラインでは「人的安全管理措置として講じなければならない事項」として、「従業者に対する教育・訓練の実施」が定められています。そのために、社内研修を実施する予定ですが、年に1回程度で足りますか。 すべての場合に通じるような一定の頻度の定めはありません。個人データを取り扱う業種・規模の程度により異なりますが、適切な内容の研修がなされていれば、年1回でも少ないとはいえません。ただ、関連法令・社内規程の改定があった場合等は、速やかに研修を行うことが必要です。
(2005.7.28)
  2.(3)個人データの管理 4)委託先の監督(ガイドライン34頁〜)
41 委託先に対して個人データを提供する場合、第三者提供について本人の同意を得たうえで提供した場合は、委託元は、委託先の監督責任を負いますか。 監督責任はあります。委託は、本来自己の業務である個人データの取扱いを他者に依頼することですから、本人の同意を得たからといって、委託元は、委託先の監督責任を免れるわけではありません。
(2005.7.28)
42 オフィスの清掃を請け負う会社ですが、清掃依頼を受けた会社から、個人データの非開示契約の締結を求められました。清掃員はコンピュータのあるオフィスに立ち入ることはありますが、それらを触ることはありません。それでも、そのような契約が必要ですか。 清掃業務の依頼を受ければ、名簿の廃棄等を行う場合もありますから、個人データの取扱いの委託を受けることになる場合がしばしばです。このような場合には、委託元は委託先の監督責任を果たすため、安全管理措置の一つとして、委託先と適切な契約を交わさなければなりません。また、清掃業務の性質上、個人情報に一切触れないような場合には、清掃員がみだりに個人情報に触れないことについての確約を得るために、委託元(依頼主)が個人データの非開示契約等の締結を求めることには合理性があります。
(2005.7.28)
  2.(4)第三者への提供(ガイドライン36頁〜)
43 個人情報を取得するときに、同時に第三者提供についての本人の同意をとっておくことはできるのですか。 そのような扱いもできます。(2005.1.14/7.28修正)
44 販売した商品について、葉書で登録を受け付けていますが、同梱したソフトウェアの提供会社への登録についてもその葉書の情報をもって代行することはできるのですか。 ソフトウェアの提供会社に第三者提供する旨を、利用目的として登録葉書等に明示し、かつ、第三者提供についての同意等の手続をとっていれば代行することができます。なお、ソフトウェア会社の委託を受けて登録を代行する場合(第三者提供に該当しない場合)は、ソフトウェアの提供会社における個人情報の利用目的を登録葉書等へ明示することが必要となり、第三者提供についての同意等の手続は不要となります。
(2005.1.14/7.28修正)
45 上記の場合、第三者提供先である関連ソフトウェア会社における利用目的(新商品の案内等)についても明示しなければならないのですか。 第三者提供先における利用目的について明示しなければならない法律上の義務はありません。顧客サービスの観点から検討することになります。(2005.1.14)
46 社員の所属部署と内線番号の表を作成して、社内で閲覧できるようにすることは第三者提供ですか。 事業者内での閲覧(提供)は第三者提供ではありません。(2004.10.19/2005.1.14修正)
47 弁護士法第23条の2に基づき、当社社員の情報について弁護士会から照会があった場合、当該社員の同意を得ずに弁護士会に当該社員情報を提供してもよいですか。 弁護士法第23条の2に基づく弁護士会からの照会に対する回答は、「法令に基づく場合」(法第23条第1項第1号)に該当するため、照会に応じて提供する際に本人の同意を得る必要はありません。なお、弁護士法第23条の2に基づく弁護士会からの照会は、強制力を伴わないものの、一般に回答する義務があると解されており、同照会制度の目的に即した必要性と合理性が認められる限り、一般に回答をすべきであると考えられます。(2004.10.19/2005.1.14修正/7.28修正/2006.2.2修正)
48 刑事訴訟法第197条第2項に基づき、警察から顧客に関する情報について照会があった場合、顧客本人の同意を得ずに回答してもよいですか。同法第507条に基づき、検察官から裁判の執行に関する照会があった場合はどうですか。 警察や検察等の捜査機関からの照会(刑事訴訟法第197条第2項)や、検察官及び裁判官等からの裁判の執行に関する照会(同法第507条)に対する回答は、「法令に基づく場合」(法第23条第1項第1号)に該当するため、これらの照会に応じて顧客情報を提供する際に本人の同意を得る必要はありません。なお、これらの照会は、いずれも、捜査や裁判の執行に必要な場合に行われるもので、相手方に回答すべき義務を課すものと解されており、また、上記照会により求められた顧客情報を本人の同意なく回答することが民法上の不法行為を構成することは、通常考えにくいため、これらの照会には、一般に回答をすべきであると考えられます。ただし、照会に応じ警察等に対し顧客情報を提供する場合には、当該情報提供を求めた捜査官等の役職、氏名を確認するとともに、その求めに応じ提供したことを後日説明できるようにしておくことが必要と思われます。(2006.2.2)
49 過去に販売した製品に不具合が発生したため、製造会社で当該製品を回収することになりました。販売会社を通じて購入者情報を提供してもらい、製造会社から購入者に連絡を取りたいのですが、購入者数が膨大なため、販売会社が購入者全員から第三者提供についての同意を得るのは困難です。さらに、製品の不具合による人命に関わる事故が発生するおそれもあるため、製品を至急回収したいのですが、このような場合でも購入者全員の同意を得なければならないですか。 製品の不具合が重大な事故を引き起こす危険性がある場合で、購入者に緊急に連絡を取る必要があるが、購入者が膨大で、購入者全員から同意を得るための時間的余裕もないときは、販売会社から購入者の情報を提供することは、法第23条第1項第2号(第三者提供制限の適用除外)で規定する「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当するため、購入者本人の同意を得る必要はありません。(2006.2.2)
50 当社の提携会社や協力会社から、当社社員にお中元を贈りたいとの理由で、当社社員の連絡先を教えてほしいといわれた場合に、提携会社や協力会社に社員の連絡先を提供してもよいですか。 提携会社や協力会社に社員の個人情報を提供することは第三者提供に該当しますので、事前に社員本人から同意を得ておくなどの措置が必要となります。(2004.10.19/2005.7.28修正)
51 保険会社から、保険サービス提供のため、当社社員の氏名や住所を教えてほしいといわれましたが、提供しても問題ありませんか。 提供すること自体は禁止していませんが、第三者提供に該当しますので、事前に本人同意を得ておくなどの措置が必要となります。
(2004.10.19/2005.7.28修正)
52 企業の代表者情報等の公開情報であっても、個人情報として保護の対象となりますか。第三者提供をする際に、本人の同意が必要ですか。 公知となっている個人情報であっても、個人情報保護法上の要件を満たすものは個人情報に該当します。
さらに、個人データの要件を満たす場合は、第三者提供についての規定が適用されます。ただし、提供の態様によっては、本人の同意があると事実上推認してよい場合もあると考えられます。
(2005.7.28)
53 外部から、従業員の在籍照会があった場合、回答するには当該従業員の同意が必要ですか。 当該情報が個人データの要件を満たさない場合は、従業員本人の同意は不要です。これに対して、この要件を満たす場合には、原則として同意が必要です。事業者の業務に関連する照会であれば、同意があると事実上推認してよい場合もあると考えられますが、業務に関連しない照会に応じるためには、同意が原則として必要になります。
(2005.7.28)
54 工事等の業務委託において、業務の委託先は、委託元に作業員名簿を提出する場合、次の措置をとる必要はありますか。
(1) 各作業員に利用目的を通知又は公表すること。
(2) 各作業員の同意をとること。
 
この場合には、個人データの取扱いの委託には該当しませんので、原則として(1)だけでなく、(2)の措置をとることが必要となります。
(2005.7.28)
55 物販事業者等が、御中元や御歳暮の申込者(送り元)に対して、送り先の同意なく、前回の注文内容(送り先及び品物名)を通知してもよいですか。 送り先の同意がない場合でも、前回の注文内容を送り元に通知することについて送り元の要請がある場合には、そのような通知を行うことも、送り元からの委託の一部として行うことができると考えられます。そうでない場合には、第三者提供の規定(法第23条)に従って処理する必要があります。
(2005.7.28)
56 自社のウェブ画面で公開している委員会の報告書に委員名が掲載されていますが、義務規定の施行前のものは、公表(第三者提供)について本人の同意をとっていません。この場合、当該報告書の委員名の部分を削除しなければならないのですか。 報告書とともに委員名が公開されることが予定されていたのであれば、第三者提供の規定による同意に相当する同意(附則第3条)があったと考えられます。そのような予定がなく、法施行前に、前記の同意を得ていない場合には、原則として、新たに同意を得ることが必要になります。
(2005.7.28)
57 委託先で取得した個人情報を、委託元でデータベース化している場合、委託先ではデータベース化をしていなくても、委託先にとっても、個人データとなりますか。 委託先でデータベース化されていない場合には、委託先にとって個人データとはならず、委託先は個人データについての規定の適用は受けません。
(2005.7.28)
58 共同利用開始後、途中から新たな事業者が共同利用に参入することはできますか。 共同して利用する者の範囲(法第23条第4項第3号)は変更することができません(同条第5項)。ただし、共同利用者の範囲は、本人からみてその範囲が明確であることを要しますが、範囲が明確である限りは、必ずしも個別列挙が必要でない場合もあると考えられます(ガイドライン40頁参照)。
したがって、明確にされた範囲内で事業者が追加となる場合には、新たな事業者が共同利用に参加することもできます。
(2005.7.28)
59 事業者内部の部署間で、従業員の病歴等の情報を提供する場合は、本人に同意をとらなければならないですか(従業員の病歴等の情報は事業の用に供している情報ではないと考えますが)。 事業者内で他部門へ個人データを提供することは、第三者提供に該当しませんので、本人の同意は不要です。ただし、利用目的の達成に必要な範囲を超えて個人情報を取り扱うことになる場合には、あらかじめ本人の同意が必要です。従業員の病歴等の情報も、事業者が雇用管理等の利用目的のために取り扱っているのであれば、事業の用に供していると解されます。
なお、事業の用に供する必要もないのに、事業者内部の部署間で従業員の病歴情報をやりとりするのであれば、それ自体が目的外利用となります。
(2005.7.28)
60 デパートの中で、お客様の名前をアナウンスしても問題はないのですか。 お客様の名前がそのデパートにおいて個人データの要件を満たさなければ、第三者提供の制限の問題は生じません。
個人データの要件を満たす場合、アナウンスをすることによって他のお客様に対する第三者提供の問題が生ずると一応は考えられますが、
(1) あらかじめ本人の同意が得られていると評価できる場合には、アナウンスをしても問題ありません。
(2) また、本人の同意が得られていない場合であっても、お客様を特定する必要性等が認められ、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときには、アナウンスをしても問題ありません。
(2005.7.28)
61 郵便や宅配を使って個人情報を含むものを送る場合は、委託(法第23条第4項第1号)に該当しますか。 委託に該当します。
ただし、郵便局や宅配業者は、通常は送付物の中に個人情報が含まれているかどうかを認識することなく個人情報を取り扱っていますので、事業の用に供しているとは認められず、義務規定が適用されないものと解されます(ガイドライン6頁【事業の用に供しないため特定の個人の数に参入しない事例】参照)。
(2005.7.28)
  2.(5)保有個人データに関する事項の公表、保有個人データの開示・訂正・利用停止等 1)保有個人データに関する事項の公表等(ガイドライン42頁〜)
62 開示等の手続についてウェブ画面で公表していなくても問題ないですか。手数料等を公表することには抵抗があります。 必ずしもウェブ画面で公表しなければならないわけではありません。
開示等の手続については、本人の知り得る状態に置かなければなりませんが、本人の求めに応じて遅滞なく回答する場合も含むとされています(法第24条第1項)。例えば、問い合わせ窓口を設け、問い合わせがあれば、口頭又は文章で回答できるよう体制を構築しておけば足ります(ガイドライン13頁【本人の知り得る状態に該当する事例】参照)。
なお、問い合わせ窓口(保有個人データの取扱いに関する苦情の申出先。施行令第5条第1号)については、わかりやすくしておくことが望ましいと考えられます。
(2005.7.28)
  2.(5)保有個人データに関する事項の公表、保有個人データの開示・訂正・利用停止等 2)保有個人データの開示(ガイドライン45頁〜)
63 社内で取り扱う個人情報については、その取扱状況が一覧できるシステムにはなっておらず、個人情報が検索できる状態ではありませんが、そのような状態であれば、本人からの開示の求めに応じなくてもよいですか。 開示義務の対象は「保有個人データ」とされていますが、本問の場合には、特定の個人情報を検索することができない状態ですので、「個人データ」に該当しません。したがって、開示義務の対象となる「保有個人データ」にも該当しません。そのため、開示の求めに応じる法的義務は課されません。
(2005.7.28)
  2.(5)保有個人データに関する事項の公表、保有個人データの開示・訂正・利用停止等 3)保有個人データの訂正等(ガイドライン47頁〜)
64 一般的には「削除」と「消去」は同じ意味と考えられますが、保有個人データを削除すべき場合(法第26条)と消去すべき場合(法第27条)の違いは何ですか。 法第26条の「削除」は保有個人データの内容が事実ではない場合の義務であり、他方、法第27条は保有個人データについて法第16条又は法第17条違反が認められた場合の義務であり、その適用場面が異なります。
なお、「削除」とは不要な情報を除くことであり、他方、「消去」とは保有個人データを削除するほか完全匿名化するなどして、保有個人データとして使えなくすることが含まれます。
(2005.7.28)
  2.(5)保有個人データに関する事項の公表、保有個人データの開示・訂正・利用停止等 4)保有個人データの利用停止等(ガイドライン48頁〜)
65 個人情報を提供した覚えのないところからダイレクトメールが送付されたので、送付をやめさせたいのですが、どうしたらよいですか。 個人情報保護法上、保有個人データの利用停止を求めることが可能な場合とは、個人情報取扱事業者が法第16条又は法第17条に違反している場合に限られているため、当該違反の事実がない限り、事業者はダイレクトメールの送付を中止する義務はありません。もっとも、事業者は個人情報の取扱いに関する苦情を適切かつ迅速に処理するよう努めなければならないとされているため、まずは当該事業者の苦情受付窓口に連絡をとることが望ましいと考えられます。
(2005.7.28)
66 電話で資料請求をしてきたお客様にダイレクトメールを送付していましたが、お客様から、ダイレクトメールの停止及び個人情報の削除を求められた場合、応じなければならないですか。 ダイレクトメールを送付することについて、利用目的をお客様に通知又は公表している限り、原則として、ダイレクトメールを送付することができます。ただし、当該個人情報取扱事業者が法第16条又は法第17条に違反している場合には、ダイレクトメールの送付を中止する義務があります。
なお、個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならないとされているため(法第31条第1項)、違反の事実がない場合であっても、顧客からのダイレクトメールの停止等の要求を苦情として扱ったうえで、適切かつ迅速に処理するよう努めなければなりません。
(2005.7.28)
  2.(5)保有個人データに関する事項の公表、保有個人データの開示・訂正・利用停止等 7)手数料(ガイドライン52頁)
67 手数料はいくらにすべきですか。他社のウェブ画面で手数料が記載されているところもありますが、相場がよくわかりません。 手数料の額は、実費を予測して平均的単価を算出して定めることが望ましいと考えられます。この点、業種や保有個人データの種類を勘案する必要があるため、統一的な相場を示すことは困難です。例えば、郵便で開示等の求めに応じる場合、配達証明付の書留料金を勘案するなど適切な金額をご検討ください。
(2005.7.28)
68 本人から開示の求めがあり、開示手数料を徴収している場合、結果として開示しなかった場合でも、徴収した手数料は返さなくてもよいですか。 手数料を定めた法第30条は、現に開示を行ったか否かにより特に区別していませんので、必ずしも返還する義務は生じません。
(2005.7.28)
  W.ガイドラインの見直し(ガイドライン56頁)
69 本ガイドラインは毎年見直しされるのですか。 ガイドラインは、必要に応じて毎年見直しを検討していくことを予定していますが、内容が修正されるかどうかは検討結果しだいとなります。いずれにせよ、改定がある場合はパブリックコメントを求め、事業者の御意見などを反映して修正することになります。(2004.10.19/2005.7.28修正)
  X.個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格(ガイドライン56頁)
70 プライバシーマークを取得すれば、個人情報保護法を遵守したことになりますか。 プライバシーマークはJIS規格(JIS Q 15001「個人情報保護に関するコンプライアンス・プログラムの要求事項」)に準拠して付与しています。このJISと個人情報保護法の比較をすれば、だいたいの規定においてはJISが個人情報保護法を上回っているといえます。(2004.10.19)
71 例えば、JIS Q 15001が個人情報保護法を上回っていない部分はありますか。 JIS Q 15001の適用範囲は、コンピュータ処理された個人情報データベースを利用する事業者です。個人情報保護法は、コンピュータ処理されたもの以外の紙で処理した個人情報データベースを利用する事業者も対象としている点や、JISには、委託先における個人情報の利用目的の本人への通知又は公表義務がない点などに違いがあります。
ただし、JISには、個人情報に関する法令及びその他の規範を特定し、参照できる手順を確立し、維持しなければならないとの規定がありますので(4.3.2 法令及びその他の規範)、結果的に個人情報保護法の遵守を求められているといえます。(2004.10.19/2005.1.14修正/7.28修正)
72 個人情報保護法を遵守するためにはプライバシーマークがもっとも有効な手段といえますか。 何をしたらよいかわからない事業者や、他の企業との差別化を図りたい事業者にとっては、有効といえます。(2004.10.19)
  その他、複合的な事案  
73 会員名簿を会員に配布する際にはどのような点に注意が必要ですか。 まず、個人情報を取得するときに、明示する利用目的の中に配布する旨が含まれていることが必要です。その際には、どのような範囲にどのような頻度で配布するのかなど、会員が理解しておくべき内容がわかりやすく示されていることが望ましいといえます。
つぎに、第三者提供についての本人の同意等の措置が必要です。少なくとも、会員が掲載を希望しない項目については掲載しないこととするなどの措置が必要になります。
その他、個人データの安全管理措置等、個人情報保護法の一般的な義務が課せられます。(2005.1.14/7.28修正)
74 申込書に記載してもらう個人情報については、取得の状況からみて自明(法第18条第4項第4号)といえますので、例えば、メールアドレス等を記載してもらう場合でも、利用目的の明示(同条第2項)は不要と考えてよいですか。 申込書に記載してもらう個人情報の利用目的は、取得の状況からみて自明である、と簡単に決めてしまうのは早計です。
新たなサービスの案内等、申込内容の確認以外の目的で、メールアドレス情報を利用することは、取得の状況からみて自明の範囲内とはいいきれない場合もあります。
提携先へ提供することや、名簿を作成して配布することなど、申込受付作業終了後も利用することがあるのであれば、その旨を個人情報の利用目的として、申込書等に明示しておく必要があります。それがなければ、原則として利用することはできません。(2005.1.14)
75 (1) メーカーがプレゼントキャンペーンを行うため、代理店に依頼して広告してもらい、代理店を応募先とした場合、代理店からメーカーに対してその応募情報を提供することは問題ありませんか。
(2) そのメーカーがその応募情報を使って、ダイレクトメールを送ってもよいですか。
(1) メーカーからの代理店に対する個人情報収集(取得)の委託と考えられ、委託関係の場合は双方の関係は第三者ではないので、委託者であるメーカーが代理店から提供を受けるにあたっては、第三者提供の場合のように本人からの同意取得等は不要です。なお、この場合、本人から書面で個人情報を取得することとなるため、原則としてキャンペーン広告に個人情報の利用目的を記載(明示)しなければなりません。
(2) プレゼントキャンペーン広告に、ダイレクトメールを送る旨の記載(利用目的の明示)があれば問題ありませんが、そうでない場合は、メーカーにおける目的外利用となるので、ダイレクトメールを送るのであれば、事前に応募者本人から同意を得る必要があります。
(2004.10.19/2005.1.14修正/7.28修正)
76 宅配業者を使って、個人データが記録されているディスクを届けてもらおうと思っていますが、注意すべき点はありますか。 郵便の場合も基本的には同様ですが、宅配業者は物流の効率化を目的としたサービスを行う事業者であることを認識する必要があります。つまり、宅配業者は、通常は配達物の中の情報が個人情報に該当するかどうかを認識することなく個人情報を取り扱っていますので、事業の用に供しているとは認められず、義務規定が適用されないものと解されます(ガイドライン6頁【事業の用に供しないため特定の個人の数に算入しない事例】参照)。したがって、宅配業者を利用する場合にはそのような認識のもと利用するか、又は、個人情報の内容によっては、宅配にあたって特約を定めることができるような業者を選ぶことが必要な場合もありえます。(2004.10.19/2005.1.14修正)
77 店内等に防犯カメラを設置する場合、どのような点に注意が必要ですか。 防犯カメラの撮影により得られる容姿の映像により、特定の個人を識別することが可能な場合には、原則として個人情報の利用目的を本人に通知又は公表しなければなりません。もっとも、「取得の状況からみて利用目的が明らかであると認められる場合」には、その利用目的を公表等する必要がないとされており(法第18条第4項第4号)、一般に、防犯目的のためにビデオカメラを設置し撮影する場合は、「取得の状況からみて利用目的が明らか」であると認められるものと解されます。しかし、防犯以外の目的で利用する場合には、「取得の状況からみて利用目的が明らか」とは認められない可能性が高いため、当該利用目的を公表等する必要があります。
(2005.7.28)
78 海外の会社とサーバを共有して個人情報をやりとりしています。相互のやりとりの過程で、当社が個人情報を入手したり、それ以外の外部の会社から当社が個人情報を入手したりする場合の取扱いについては、どのようにすればよいですか。 個人情報保護法は、本人の国籍・住居地や事業者の設立準拠法等とは無関係に、個人情報データベース等の取扱いが我が国において行われる限り適用されます。したがって、個人情報を我が国において取り扱うのであれば、個人情報保護法に従って、利用目的を特定したうえで本人に通知又は公表する必要があります。また、個人情報取扱事業者が海外の会社へ個人データを提供するに際しては、原則として本人の同意を得る必要があります。
(2005.7.28)
79 ホテルや旅館では、宿泊者の氏名・連絡先等を記帳してもらいますが、どのように取り扱えばよいですか。 宿泊者の氏名・連絡先等の情報は、特定の個人を識別することが可能な「個人情報」に該当しますが、宿泊者名簿の備置きは旅館業法第6条に基づく旅館営業者の義務であるため、当該個人情報を旅館業の通常の業務に必要な範囲で利用する限り、その取得に際しては、その利用目的を本人に明示する必要はありません。また、記帳された宿泊者の個人データについては、個人データの漏えい等を防ぐ観点から、他の宿泊者等の外部者が閲覧できないように安全に管理する必要があります。
(2005.7.28)
80 妻が夫の名前で契約の申込みをしてきた場合、個人情報の利用目的はその契約書に明示してあればよいですか。また、その契約書を第三者に提供する場合、妻の同意を得ればよいですか。 当該契約の申込み及び第三者提供に関する同意が、民法第761条に定める「日常の家事」に含まれる場合は、妻に対して明示したうえ妻の同意を得ることで足ります。
これに含まない場合には、申込みだけでなく、第三者提供についても、夫が代理権を与えているか、夫の依頼を受けて使者として行うものであることを要します。
(2005.7.28)