個人情報保護法に関する様々なご質問にお答えします。

個人情報を取り扱う企業にとって、個人情報の保護と、顧客に対する機密保持は、経営の根幹となる前提条件です。
個人情報取扱事業者(外部データを利用する企業含む)は、個人情報を適切かつ安全に取り扱うことにより、個人情報の保護を行わなければなりません。
2003年5月に成立した個人情報保護法が、2005年4月に全面施行されますので、個人情報を取り扱う事業者は、今まで以上に個人情報保護の対応や対策をとることが求められています。
そこで、個人情報保護法施行後の企業の対応ポイントをFAQとしてまとめました。

• Q1 個人情報とは何ですか？
• Q2 個人情報保護法の義務規定の対象となる事業者を教えてください。
• Q3 電話帳や市販のカーナビを使っているだけでも義務規定の対象事業者となりますか？
• Q4 2005年4月1日の法の全面施行に向け事業者はどのように取り組んでいけばよいのでしょうか
• Q5 名簿を購入することは違法なのでしょうか？
• Q6 名簿などを購入してテレマーケティングやダイレクトメールの発送を行った場合、
  名簿の購入もとの名称を公表する必要性はあるのでしょうか？
• Q7 これまで取得した個人情報については、どのような対応が必要なのでしょうか？

Q1個人情報とは何ですか？

A1個人情報とは、生存する個人に関する情報であって、これに含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものをいいます。氏名、性別、生年月日等がその典型例ですが、個人の身体、財産、社会的地位、身分等の属性に関する情報であっても、氏名等と一体となって特定の個人を識別できるものであれば個人情報に当たります。またそれだけでは特定の個人を識別できなくても、他の情報と容易に照合することができ、それにより識別が可能となる場合も個人情報に当たります。

↑質問内容一覧へ

Q2個人情報保護法の義務規定の対象となる事業者を教えてください。

A2個人情報保護法の対象事業者とは、5,000件以上の個人情報をコンピュータなどで検索することができるような、体系的に構成した個人情報データベース等を事業活動に利用している事業者です。個人情報データベースとは、コンピュータ処理情報（マニュアル情報処理情報）であっても、個人情報を五十音順、生年月日順、勤務部署順など一定の方式によって整理し、目次、索引などを付して用意に検索できる状態においてあるものは含まれます。5,000件という件数には、たとえば、事業を実施する上で必要となる顧客の情報、従業員の情報が含まれます。

↑質問内容一覧へ

Q3電話帳や市販のカーナビを使っているだけでも義務規定の対象事業者となりますか？

A3電話帳、ＣＤ−ＲＯＭ電話帳、市販のカーナビのように、個人情報としては氏名、住所、電話番号のみしか含まれない個人情報データベース等を、他の個人属性に関する情報を付加するなどの編集・加工をしないで利用する場合には、その利用方法から見て個人の権利利益を侵害するおそれが少ないことから、個人情報取扱事業者の用件である個人情報の量（5,000件）の算定から除外されるとともに、個人情報取扱事業者の義務規定は適用されません。

↑質問内容一覧へ

Q42005年4月1日の法の全面施行に向け事業者はどのように取り組んでいけばよいのでしょうか？

A4

政府は、事業者などの取り組みを促進するために、2004年4月2日に「個人情報の保護に関する基本方針」を閣議決定しました。その中では、事業者の取り組みに当たって重要な事項として、

1. プライバシーポリシーの策定・公表等、事業者が行う措置を対外的に明確化する。また、個人情報の漏洩などの事案が発生した場合には、二次被害の防止等の観点から、可能な限り事実関係を公表する。
2. 個人情報保護管理者を設置する等、個人情報の安全管理について事業者内部の責任体制を確保するための仕組みを整備する。また、個人情報の扱いを外部に委託する場合は、委託元と委託先のそれぞれの責任等を明確に定めるなど実効的な監督体制を確保する。
3. 教育研修の実施などを通じて、実際に事業者の内部において個人情報を取り扱うことになる事業者の個人情報保護意識を徹底する。

の3つが示されています。
　また、各事業分野でどのような取り組みを行うべきかについては、各省庁などが策定する事業など分野ごとのガイドラインに基づき進めていただくことになります。
　なお、基本方針においては、各省庁が、事業者などに対し情報の提供、助言などの支援を行うほか、地方公共団体がその事業者に対し必要な支援を行うこととされています。

↑質問内容一覧へ

Q5名簿を購入することは違法なのでしょうか？

A5

個人情報保護法は個人情報の取得に制限をかけようというものではなく、個人情報を適切に扱っていくことを求めているのであり、名簿を購入すること事態を禁止しているわけではありません。ただし、名簿を購入するにあたっては、取得した個人情報の利用目的を特定し（法第15条第1項）、利用目的を公表または通知しておかなければなりません（法第18条第1項）。公表の方法は、ホームページへ掲載、店頭やチラシ、商品パッケージに掲示するなど、様々な方法が考えられると思いますが、適切に公表していただくことが求められます。

＜法第15条第1項＞
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。

＜法第18条第1項＞
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表しなければならない。

本人に通知」とは、本人に直接知らしめることをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理かつ適切な方法によらなければならない。
「公表」とは、広く一般に自己の意思を知らせること（国民一般その他不特定多数の人々が知ることができるように発表すること）をいう。ただし、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならない。

↑質問内容一覧へ

Q6名簿などを購入してテレマーケティングやダイレクトメールの発送を行った場合、名簿の購入もとの名称を公表する必要性はあるのでしょうか？

A6個人情報保護法はそこまでは求めていません。消費者からみて自分の 個人情報がどのように取り扱われているかわかればよいということですので、 どこから取得したということに対する応答義務は法律では定められていません。
各事業者の自発的な取り組みに委ねられているといえますが、当社では、名簿の名称（例えば、○○年度○○大学卒業者名簿など）が当社の保有個人 データに含まれている場合、本人からの求めに応じて名簿の名称を回答させて頂いております。
また名簿の名称が保有個人データに含まれていない場合であっても本人の理解が得られるよう、できる限り誠実に回答させて頂いております。

↑質問内容一覧へ

Q7これまで取得した個人情報については、どのような対応が必要なのでしょうか？

A7個人情報保護法の施行前に取得した個人情報については、その時点において利用目的の特定、通知・公表を義務つけられていないので、通知・公表の有無が問われることはないと考えられます。
ただし、2005年4月1日以降、保有個人データとして個人情報を保有し続けるのであれば、保有個人データについての利用目的の特定、通知・公表は必要ですし、本人からの求めがあった場合は開示しなければならないということになります。ですから、個人情報保護法施行以降も個人情報を利用するのであれば、それまでには少なくとも利用目的を特定しておかなければならないということなりますので、そうした作業は事前に必要になるかと思います。

↑質問内容一覧へ

個人情報保護法の対策資料をご希望の方は下記メールアドレスに必要事項を記載の上、お問合せください。
弊社担当から資料をお送りさせていただきます。

info@landscape.co.jp