|
<< FAQ一覧に戻る
Q1-36.当社の従業員数は約700名、業務は親会社からの仕事が100%です。
その親会社が個人情報保護法に基づく対外的な宣言を行いました。当社のようなグループ会社もそれと同様の宣言を行うように指導を受けておりますが、当社が一般不特定多数の顧客情報を直接入手することはできませんし、そのような情報も親会社から公表されていません。親会社の従業員(約15,000名)の個人情報も当社には公表されていませんし、情報も貰っていません。
このような場合、どのような対応(企業としての宣言)をすればよいのか、アドバイス下さい。
個人情報保護法は、概ね5,000件以上の個人データ(個人情報)を事業の用に供している事業者(個人情報取扱事業者)を対象としています。したがって、貴社はおそらく該当しないと思います。
しかし個人情報保護は、法律の対象であるかどうかに関係なく取り組まなくてはならない経営テーマです。これは、ISO9001(品質)やISO14001(環境)と同じように考えていただけばご理解いただけると思います。また個人情報の取扱いを間違うと、個人情報保護法での刑罰の対象にはならなくても民事損害賠償訴訟の対象にはなりますから、何らかの対策をとっておかなければなりません。
この様に事故が起きることも想定して、親会社から個人情報保護対策の要請があったのだと思います。
また、社会から見ても、法の対象であるかどうかに関係なく、個人情報保護に取り組んでいる企業であることをアピールした方が企業イメージアップにもなります。例えば採用活動において履歴書を受け取る際に、個人情報保護について説明文を渡して適切に取り扱うことを説明する企業と、何の説明せず漠然と受け取る企業とではイメージが全く違うと思います。
基本的に個人情報保護方針として掲げたことは「宣言」したことになり、貴社はその様な対応をとらなくてはなりません。
最低限の宣言内容は以下の4点(1〜4)です。
1.事業の内容及び規模を考慮した適切な個人情報の取扱いに関すること(最低限のみ他は割愛)
(1)以下の保有個人データに関すること
・自己の氏名又は名称
・すべての保有個人データの利用目的
・「開示等の求め」に応じる手続
・保有個人データの利用目的の通知及び開示に係る手数料の額(定めた場合に限る)
・苦情の申出先(認定個人情報保護団体の対象事業者※である場合には当該認定個人情報保護団体の名称及び苦情解決の申出先も含む。)
(2)開示等の求めに応じる手続に関すること
・申請書の様式(定めた場合に限る)
・受け付ける方法(定めた場合に限る)
・保有個人データの特定に資する情報の提供
(3)問い合わせ及び苦情の受付窓口に関すること
2.個人情報の保護に関する法律を遵守すること
3.個人情報の安全管理措置に関すること
4.コンプライアンス・プログラム(個人情報保護マネジメントシステム)の継続的改善に関すること
これを簡潔な文章にまとめて掲示してください。前述しましたが、宣言した以上実施しなくてはなりません。実際に問い合わせてくる人もいるかもしれませんから、窓口等も宣言にしたがって設置しなければなりません。
親会社に状況を説明し、「当社はどう考えても個人情報取扱事業者にあたらないので、個人情報保護方針書は公表しません」というのも一法です。
<< FAQ一覧に戻る
|
