Q:当社は、業務でお客様の個人情報は扱いません。そのような事業者は「個人情報取扱事業者」として個人情報保護法の義務を負わないと考えてよいでしょうか?
第7回 改正個人情報保護法 実務対応のポイント3
「個人情報保護法」が改正、平成29年5月30日に全面施行されます。今回は、読者のみなさまから寄せられた実務に関する疑問について、Q&A形式で社会保険労務士 北條孝枝氏にお答えいただきました。
改正個人情報保護法 実務対応のポイント3
お客様の個人情報を扱わない場合は対象外?
A:業務でメールソフトのアドレス帳、携帯電話の電話帳、ソフトウェア等でリスト化された従業者や顧客の台帳、50音順等で整理し、インデックスを付してファイルしている登録カードなどを使っていませんか? そのような場合は「個人情報取扱事業者」となります。法人か、営利か、非営利かに限定されないため、個人事業主やNPO、自治会等も対象です。
営利、非営利に関係なく、対象?
Q:当社は、従業員や既に退職したOB、株主などの個人情報を保有していますが、これらの取り扱いも「改正個人情報保護法」の規制を受けるのでしょうか?
個人情報保護法の適用を受けます!
個人情報保護法に則って「利用目的を知らせて適正に取得し、利用目的以外には使用しない」ことを徹底しましょう。また、利用目的を達成したら廃棄削除しましょう。
いつまでという期日は決まってはいませんが、あまり長い間保管し続けないように少なくとも1年に1度は情報の棚卸しをするとよいでしょう。その際、退職者の情報で、法令に則って保管期限が定められている書類は、その期限までは廃棄しないよう注意しましょう。
名刺も規制対象?
Q:お客様からいただいた名刺の束も、個人情報保護法の定める「個人情報データベース」とみなされ、「改正個人情報保護法」の規制を受けるのでしょうか?
名刺をただ束ねているだけであれば「個人情報データベース」とはなりません。
アルファベット順、かな順、など企業ごとに整理してあり、他者も簡単に特定の名刺を探せるような状態にしてあれば「個人情報データベース」として扱いましょう。
従業員の健康情報は「要配慮個人情報」として、一層の配慮がもとめられます!
Q:今後、人間ドックなどの検診や、再検査の結果の取り扱いについて注意しなければならない点はありますか?
人間ドックや健康診断の再検査等の健康情報は「要配慮個人情報」となります。本人の同意を得て本人から取得し、同意なく第三者に提供してはいけません。
法定健康診断は労働安全衛生法に定めがあるので、会社がその情報を健診機関等から直接通知を受けても問題ありませんが、任意の検診であれば必ず本人の同意を得て、本人から取得し、健康管理担当者が保管しましょう。
健康情報の取得は、目的を伝え、自ら申告してもらいましょう!
Q:採用にあたり、病歴や障がい等の程度に関する資料の提出をもとめていました。(医師の意見書や身体障害者手帳等) 今後はこのような運用は変える必要があるでしょうか?
従業員の健康情報は、今後、「要配慮個人情報」となります。
取り扱いの運用を変える必要はありませんが、「何のために」という利用目的を知らせ、「同意を得て本人から取得」しているかを確認しておきましょう。
「要配慮個人情報」は(1)法令に定めがある(2)業務上または安全配慮義務のために必要かという基準で判断します。法定雇用率を満たすために障がい等級を知りたい、業務に差し支えのある傷病があり配慮が必要かを知りたいという目的を伝え申告してもらいましょう。申告のための書式を用意しておくとよいですね。
店舗に設置したカメラで録画をしています。その対策は?
Q:店舗にカメラを設置しており、お客様の映像が録画されます。今後は、何らかの対策が必要でしょうか?
防犯目的にのみで録画しているのであれば、個人情報保護法ではお客様に同意を得るということまでは求められてはいませんが、「防犯カメラ作動中」というような掲示をしてお客様に知らせておくと丁寧な対応といえますね。
また、その録画映像を分析してマーケティングに利用するという場合には、お客様に同意を得る必要が出てきます。通知した目的以外での利用は禁じられていますので安易に流用しないよう注意しましょう。また、映像はいつまで保管しておくのかということも決めておくとよいですね。
北條先生、ありがとうございました!
具体的な例と注意すべきポイントを解説していただいたので、これからの実務に生かせそうです。
前の記事を読む