HOME > AEAJマガジン > アロマテラピーの身近な法律相談Q&A > 個人情報保護法
アロマテラピーの身近な法律相談Q&A
個人情報保護法
平成15年5月、個人情報保護に関する新しい法律が制定され、平成17年4月1日から全面施行になりました。この法律はアロマを取り扱うお店や団体にも無関係ではありません。
そこでアロマ関係者にこの法律を理解してもらうため、Q&A形式でこの問題を取り上げることにしました。
(どんな団体に適用があるか)
Q (アロマショップ・オーナー、以下同):
最近マスコミでは、各企業の個人情報保護法(以下「保護法」ということがあります)への対応が取り上げられています。ファイルや名簿の整理とか従業員を教育したり随分面倒なことをやっているようですが、私たちのようなお店でも、そういうことをやらないといけないのでしょうか。
A この法律の「個人情報取扱事業者」にあたれば義務が生じます。
Q 何ですか。その「個人情報取扱事業者」というのは?
A 保護法は、「個人情報データベース等を事業の用に供している者」は、原則として個人情報取扱事業者になる、と規定しています。ここで「個人情報データベース等」とは、特定の個人情報を電子計算機、目次、索引等により検索できるよう体系的に構成されたものとされています。
ショップの場合、例えば、お客さんの名簿や取引先情報は、すぐ検索可能な形態で保存されているでしょう。ですから、ショップも規模によっては、個人情報取扱事業者となります。
Q 確か、情報が5,000件を超えない場合、例外があると聞きましたが…
A お宅は開業して5年たつし、お客さんのデータは5,000件は超えていますね。そうするとお宅にも適用がありそうですね。
(この法律に違反するとどうなるか)
Q ところで、この法律に違反するとどうなりますか。
A 各業種の監督官庁のトップから、報告を求められることがあります。この報告を怠ったり、虚偽の報告をした場合には、30万円以下の罰金です。また、違反行為の中止・是正措置などの勧告を受けることがあります。
Q その勧告を無視したらどうなるのでしょう。
A 勧告どおりの措置をとるよう命令を受けます。この命令に違反すると、6ヵ月以下の懲役または30万円以下の罰金です。
Q ところで、保護法では、「両罰規定」というのがあるそうですが…
A 例えば、会社の社長、店長、従業員などが会社とともに処罰の対象とされるわけです。最近、命令違反がなくても、情報を漏らした従業員らに罰則を適用できる法改正が実現しそうです。
(各データの取扱い)
Q ところで、保護法では、「両罰規定」というのがあるそうですが…
A データごとに義務が異なるのですか。
こんな説明がわかりやすいでしょう。

例えばAさんが取引先のXさんと名刺交換したとしましょう。受け取ったXさんの名刺は「個人情報」そのものです。
Aさんが会社に戻り、名刺ホルダーにファイルしますと、「個人データ」になるわけです。そして担当秘書がこの名刺の情報を取引先リストとして6カ月以上保有しようとすると、「保有個人データ」になるわけです。

この3つのデータを表の形でまとめておきました(右表参照)から、参考にしてください。
    定義 事業者の業務
(1)


生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの ・利用目的の特定
・利用目的による利
 用制限
・適正取得
・利用目的通知等
(2)


|
 個人情報データベース等(特定の個人情報を電子計算機、目次、索引等により検索できるように体系的に構成されたもの)を構築する個人情報 ・正確性の確保義務
・安全管理義務
・従業員の監督義務
・第三者提供の制限
(3)


|
 個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止を行なうことのできる権限を有する個人データ(存否が明らかになることにより公益等が害されるもの又は6月以内に消去するものは除く) ・保有個人データに
 関する事項の公表
 等義務
・開示義務
・訂正義務
・利用停止義務
(個人情報の扱い)
Q まず「個人情報」の扱いについて、私たちが注意すべき点は何でしょうか。
A ショップの場合、利用代金などの支払い、顧客名簿作成を個人情報の利用目的とする場合が多いでしょう。この場合、そのような利用目的であることを社内規程(プライバシーポリシー)などで特定し、この用途以外に利用しないように社内体制を整える必要があります。
Q まず「個人情報」の扱いについて、私たちが注意すべき点は何でしょうか。 ああ、日本アロマテラピー協会からも送られてきました。
A 同協会が法人化した社団法人アロマ環境協会も、引き続き個人情報の保護に真面目に取り組んでいるようです。なお、取得の状況から見て利用目的が明らかな場合には、利用目的の通知ないし公表は不要とされています。
Q 顧客名簿作成目的の場合はどうでしょうか。
A 念のため、利用目的を明示したほうがよいと思います。名簿が取引される現実がありますので。
(個人データの扱い)
Q では「個人データ」はどう扱うのでしょう。
A 上の表『(2)個人データ』のとおりです
Q 安全管理、従業員監督、委託先監督とは?
A 例えば、
・顧客名簿を収めたパソコンの管理を徹底する
・インターネット予約のセキュリティを確実にする
・名簿を使用する業務を職員個人が持ち帰って自宅で行うことを禁止する
・店内に予約名簿を放置しないようにする
・DM発送を業者に委託する場合には、そこから外部へ名簿が流出することのないように再委託を禁止する
などの配慮をすることでしょう。
Q 第三者提供の制限とありますが、個人情報を提供してよいこともあるのですか。
A その条文は、いわゆる名簿の横流しを禁止するものです。他方、法令に基づく場合などは、照会に応じて、個人データを提供することは許されています。
Q 従業員や外部委託先も「第三者」になりますか。
A いえ、いずれも「第三者」にあたりませんが、会社には監督責任があるので、責任を免れることはできません。
Q 要するに具体的にはどうすればいいのですか。
A まずは、保有する個人情報などを必要最小限に絞って管理することが有益です。
Q ところで一番大事なのは、「漏洩防止対策」であって「保護法対策」ではない、といわれているようですが…。
A まさにそのとおり。マスコミが保護法全面施行で対策を報道すると、猫も杓子も「保護法対策」ばかりになってしまいます。その結果、「保護法対策」は完璧にされたが、情報は漏洩されたという日本的現象が起こりやすいのです。
Q 当ショップでも、ダイレクトメールやEメールも使い始めたのですが、今後はやめたほうがいいでしょうか。
A いや、そんなことはありません。きちんと保護法を守ってやればいいのです。安心してください。
(回答:弁護士 西村國彦)
会報誌 NO.36より掲載
PAGE TOP
お問い合わせ
FAQ
著作権について
このサイトについて
サイトマップ
プライバシーポリシー