So-net無料ブログ作成
個人情報保護 ブログトップ

改正個人情報保護法 ホームページ無料点検(京阪神地区限定) [個人情報保護]

 改正個人情報保護法施行に伴い、事業用のホームページの無料点検を始めました。


 詳しくは




にほんブログ村 経営ブログ 経営支援へ

nice!(5)  コメント(0)  トラックバック(0) 
共通テーマ:仕事

あなたも個人情報保護法が適用される事業者です [個人情報保護]

  事業者とは、正確には「個人情報取扱事業者」を指し、「個人情報取扱事業者」とは個人情報データベース等を事業の用に供している者(2条5項)です。

 わかりにくいですね。具体的に考えてみます。

 まず、「個人情報データベース」とは、電子計算機を用いて、あるいは、その他の方法によって個人情報を容易に検索できるようにした個人情報の集合体(2条4項)です。例えば、商品の申込書をお客様に記入していただくと、多くの場合、その申込書にはお客様の住所・氏名・電話番号等の個人情報が記載されていると思います。この申込書は、おそらくパソコンに入力するでしょう。専用ソフトかエクセルのような何らかのソフトを用いて、日付順なり五十音順なり、後で検索できるように個人情報(申込書に記載された内容)をパソコンに保存すると思います。この個人情報をパソコンに保存している状態が個人情報データベースです。したがって、事業で個人情報を取り扱う以上、個人情報データベースを持つことになりますから、個人情報取扱事業者だということになります。そこで、冒頭の見出しの「すべての事業者」とは、まさに事業を行うすべての者を意味します。

 


 残念ながら、個人情報データベースとは「個人情報を容易に検索できるようにした個人情報の集合体」ですから、先の申込書の例であれば、申込書を日付順や五十音順にファイルに綴って保存している状態が個人情報データベースです。したがって、安全管理措置は課せられます。 いやいや、当事業所はパソコンに個人情報を入力しないから、個人情報データベースは持っていないことになり、個人情報取扱事業者には当たらないよ。したがって、安全管理措置をとる義務はないのでは?

 

 そもそも当事業では個人の顧客はいないので、個人情報取扱事業者には当たらないよ。あるいは、当事業ではすべての商品を店頭で販売し配送も行わないので、お客様の個人情報を取得することがないから個人情報取扱事業者には当たらないよ。

 残念ながら、お客様の個人情報だけが事業で取り扱う個人情報ではありません。従業員の個人情報や取引先の個人情報も事業で取り扱う個人情報です。したがって、従業員、仕入れ先や委託先の担当者などの個人情報が一切ないということがない限り、やはり、個人情報取扱事業者に当たります。


 ということで、事業を行っている者のほとんどは個人情報取扱事業者に当たり、安全管理措置が課せられることになります。

 個人情報というと、漏洩・紛失等のマイナスイメージを伴うケースを想像することが多いですし、これらを防止するために安全管理措置が必要となると面倒なイメージがあります。

 しかし、例えば、一度利用したネット通販を再度利用する時に、IDやパスワードを入力すると住所・氏名の入力を省略できるなど、個人情報の利活用が便利性を高めることも多いです。

 次回からは、安全管理措置について詳しく検討します。


個人情報保護ならコンプライアンスハーツ

にほんブログ村 経営ブログ 経営支援へ

nice!(2)  コメント(0)  トラックバック(0) 
共通テーマ:仕事

個人情報担当窓口の必要性 [個人情報保護]

個人情報の開示請求に対応する必要がある

本稿でとくに断りがない限り、引用する法律は個人情報保護法で、ガイドラインは個人情報保護委員会の個人情報保護ガイドラインです。


第28条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。

 

この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう(2条6項)。

個人情報データベース等とは、コンピューターに入力し検索可能となっている個人情報の集合体で、紙媒体であっても五十音順に編綴するなど、検索が容易になっている場合を含みます(ガイドライン)。

一般に、顧客から取得した個人情報(例えば、申込書に記載された住所・氏名等)は、コンピューターに入力するか、台帳に綴じると思います。したがって、事業に伴い取得した個人情報は、ほとんど個人情報データベース化されていると考えられます。

 

となると、例えば、顧客から「私の個人情報を開示してください」という請求があれば、これに対応する必要があるということになります。

もちろん、正当な開示請求に混じって嫌がらせのような開示請求がされるかもしれません。そこで、事業者には、「政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。」(32条1項)とされています。具体的には、情報漏洩を避けるために、開示を求める者に対する本人確認。事務所や店頭でいきなり口頭での請求を受けるのは煩雑でもあるし、不正確になる可能性もあるので、これらを防ぐための書面による請求手続。無用な請求を防ぐために、請求に関する手数料。これらを予め定める必要があります。最後の手数料ですが、開示請求が困難になったり、開示請求で利益があげるような高額に設定することはできません。

 

専門の窓口が必要

仮に、電話で開示請求をされた場合や店頭で開示請求をされた場合、対応する従業員は適切な対応をできるでしょうか。また、事業者には開示請求だけではなく、個人情報に関する苦情が寄せられる可能性もあります。

 

第35条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。

2 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。

 

このように、事業者は苦情にも対応する体制を整える必要があります。しかし、法律で体制整備が要求されているから仕方なくという考え方でよいでしょうか。事業者には個人情報と関係なく、事業を営む以上、商品・サービスに対する相談・苦情が寄せられます。これに備えて、お客様相談室や問い合わせ窓口を設置していることが多いです。このような専門部署を設けるのは、一方では通常業務を妨げないという効率性の問題ですが、他方では訓練を受けた従業員が対応することによって、相談や苦情をより大きなクレームにしない処理をするためです。個人情報保護に関する開示請求や苦情への対応も同じ考え方が必要です。すべての従業員が個人情報保護を熟知して適切な対応をとることは、望ましいですが非現実的です。もし、対応を間違えれば大きなクレームになりかねないので、むしろ、専門部署以外の従業員は対応しないほうがよいと考えられます。

そこで、個人情報保護に対応する専門の窓口が必要となります。一般の従業員は開示請求や苦情に対して、個人情報の担当窓口を案内すれば足ります。

 

結局、事業者として行うことは、

① 開示請求手続などを含む個人情報保護に関する社内規程の整備

② 開示請求手続などを行うための書式・マニュアルの整備

③ 専門窓口の担当者の教育

です。

年に何度もあることではありませんが、準備していないとクレームに発展する可能性はあります。

 

社内規程・書式・マニュアルの整備から、ご担当者の教育まで行うことができます。

お問い合わせ・ご相談は 

http://c-hearts.biz/

こちらのサイトのお問い合わせフォームをご利用ください。



ブログランキング・にほんブログ村へ

nice!(2)  コメント(0)  トラックバック(0) 
共通テーマ:仕事

取締役会議事録を総務部の平社員が作成してもよいか? [個人情報保護]

 その企業は、10万件以上の個人情報を保有するため、個人情報の管理には非常に気を遣っていました。本社にはセキュリティ会社が管理するシステムが導入されており、役職に分けてアクセス権限が設定されており、見た目には問題のない管理体制でした。

 ある日、
「取締役議事録に取締役が署名するので、個人情報が含まれていることになりますよね。」と、その会社の総務部長に尋ねられた。私が「そうですね。」と答えたところ、「議事録は総務部の鍵のかかる書庫の中に保管しているから、個人情報保護の点で問題はないですよね。」

私「ところで、議事録はどなたが作成していますか?」
総務部長「だいたい入社3年目くらいの総務部の社員が作成しています。」

 「あぁ、ありがちな・・・」 重要な書類であっても、作成という事務作業は往々にして若手社員の業務にされます。

私「その社員は金庫の中にある議事録へのアクセス権はありますか?」

総務部長「えっ、・・・ない・・・ですね。」問題点にお気づきになったようです。

 それはそうでしょう。時には会社の命運にかかわるようなことが議題になる取締役会の内容を、まだ入社数年の平社員が簡単に見ることができるわけはありません。会社には個人情報より大事な情報がたくさんあります。例えば、卸価格。取引先ごとに価格が違うことが分かると、高い価格で仕入れている取引先は怒りますよね。他にも、家賃。オフィスにしろ住居にしろ、募集価格より安くで契約されることはよくあります。空き室に入居してもらうためにはやむを得ないのですが、高い家賃を払っている入居者にバレると、家賃の引き下げを求められるでしょう。しかし、うっかりこれらに係る書類の作成をアクセス権を与えていない社員に作成させていることが少なくありません。

 個人情報保護の仕事をしていると、他の情報や書類の管理まで手掛けることがよくあります。企業の情報は個人情報の有無を基準に管理方法を決めるのではなく、まず、あらゆる情報を重要性によって分類し、その中で重要性が低い情報に個人情報が含まれている場合は、その情報の管理レベルを引き上げる、という考え方が必要です。

社内の個人情報保護体制については、http://c-hearts.biz/ 

ブログランキング・にほんブログ村へ
nice!(1)  コメント(0)  トラックバック(0) 
共通テーマ:仕事

個人情報保護の漏洩を監督官庁へ報告するよう求められる [個人情報保護]

 月極駐車場を経営している会社から相談が来ました。「駐車場を借りたいというお客様の申込書を紛失してしまい、お客様から国土交通省に報告をし、会社のHPで公表しろと言われました。」紛失してしまった女性従業員がお詫びにお客様の自宅に行ったところ、わざわざPCの画面を女性従業員に見えるように置いて、そこには個人情報保護法が映し出されていたそうです。その女性従業員は、とんでもないことをしてしまったとしょんぼりしていました。そのお客様は個人情報保護には少々詳しいかもしれませんが、何の道であれ、本当のプロならPCの画面で知識を誇示するという方法は採らないでしょう。おそらく、たいしたことはない、と私は思いました。

 そのお客様の主張の論拠は、
①個人情報の安全管理義務違反という法違反である(法20条  ②法違反については、事実関係及び再発防止策を速やかに公表し、国土交通大臣に報告するように努めよ(国交省ガイドライン25条)

 ①は、法に定める「漏洩」には紛失も含まれるので、個人情報(名前や住所)を記載した駐車場の申込書を紛失したのは、個人情報を安全に管理しなければならないという会社の義務に対する違反である、ということです。

 ②は、違反があったのだから、努力義務であっても、HPで公表し、
国交省に報告してほしい、ということです。ふむふむ、ちょっとは勉強しているんだ。

 そこで、申込書を紛失した従業員に、「どこで紛失したかわかりますか?」と私が尋ねたところ、「お客様から申込書をお預かりして、会社に戻る途中のどこかです。どこかはわかりませんが、会社に戻った時にはありませんでした。」

 しめた!!セーフだ。 「それなら、HPでの公表も国交省への報告も不要です。」

 法律に定められているのは、「個人データ」の安全管理で、「個人データ」とは容易に検索できるように体系的に構成された個人情報です。簡単に言うと、申込書をコンピューターにデータ入力したり、ファイルに50音順とかに並べて綴じたりしたら個人データになります。今回の場合、その前に紛失していますから個人データに当たりません。ということは、安全管理義務が発生していないので、公表や報告義務もないということになります。

 とりあえず、お客様には説明をして納得してもらいました。ものすごく悔しそうでしたけど。紛失した従業員はもちろん、会社としてもホッとしていました。

 いやいや、ホッとしている場合ではありません。申込書紛失したら、信用を失失います。個人情報保護は大事ですが、他にも大事なことはあります。

個人情報保護の安全管理措置については、 http://c-hearts.biz/ 

 ブログランキング・にほんブログ村へ


個人情報保護に関する苦情を装った理不尽なクレーム [個人情報保護]

 収益物件のマンション、といっても所有者の男性は1棟全部を持っているのではなく、マンションの1室を所有していました。所有者ですので、マンションの管理組合に管理費を納める必要があります。ところが、その所有者は3ヶ月間、管理費を滞納していました。該当の部屋を訪ねると、賃借人だという若い女性が居住していて、管理費のことはわからないとのことでした。収益物件なので所有者と賃借人が異なるのは当然ですから、直接所有者に連絡をとるしかありません。

 そこで、管理組合は管理会社を通じて、その所有者の携帯電話に管理費催促の連絡をしていましたが、いっこうに返事がありませんでした。管理組合に保管されている書類の中に、その所有者の緊急連絡先として、おそらく物件購入時の自宅と思われる住所と固定電話の番号が記載されていました。管理会社は再三の連絡にも返事がないので、やむを得ず、記載された固定電話に電話をかけました。

管理会社「私、A管理会社のBと申します。〇〇◇◇さんのお電話で間違いないでしょうか。」

女性「はい、〇〇ですが、 ◇◇は仕事からまだ帰っておりません。」

管理会社「そうですか。では、◇◇さんにお伝えしたいことがありますので、A管理会社までご連絡をいただけるよう、お伝え願えますか。」

 電話に出たのは〇〇◇◇さんの配偶者か親族のようでしたが、個人情報保護に関心の高まっている社会背景から、本人以外に簡単に管理費の滞納の件であるとは言えません。

 数日後、〇〇◇◇さんが激高しながらA管理会社に電話をかけてきました。内容を要約すると、「連絡先には携帯電話の番号を記載したはずなのに、なぜ自宅に電話をかけてきたのか。個人情報保護法違反だ。」

 ということで、A管理会社の個人情報保護体制づくりをしている私に相談が来ました。素人が生半可な知識で「個人情報保護」を持ち出してクレームをつけてくることがたまにあります。その多くは、何か別に気に入らないことがあるのだけれども、それが正当な苦情でない場合に、個人情報保護にかこつけて八つ当たりしてくるケースです。

 そこで、A管理会社の担当者に私が「個人情報保護の点では何も落ち度はないから心配ないよ。何か別に腹が立つことがあった可能性が高いと思うのだけど、その〇〇◇◇さんは何かに腹を立てていないか?」と尋ねたところ、

A管理会社「電話に出た女性は◇◇さんの妻で、A管理会社とはどんな関係か問い詰めて、この収益物件の部屋まで行ったらしい。そこで、居住者の若い女性と顔を合わせて◇◇さんの 浮気がバレて、現在、離婚話になっているみたい。お前(A管理会社)のせいで離婚になったらどうしてくれるのかと怒鳴ってたよ。」

 愛人を持って、しかも、その家賃を滞納した自分のことを棚に上げて、個人情報にかこつけて苦情を言ってくる。個人情報に関する苦情自体が少ないですが、その少ない苦情の中では、個人情報にかこつけた理不尽なクレームの割合は高いです。個人情報の窓口を設ける必要はありますが、その担当者には個人情報保護の知識に加えて、クレーム対応能力も必要です。

個人情報保護担当者の養成に興味をお持ちになりましたら、http://c-hearts.biz/

 ブログランキング・にほんブログ村へ


nice!(0)  コメント(0)  トラックバック(0) 
共通テーマ:仕事
個人情報保護 ブログトップ

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。