|
<< FAQ一覧に戻る
Q3-17.当社はPマークを取得しており、某学校の同窓会事務局より委託を受けて同窓会名簿を作成しています。
卒業生に出すハガキでは、連絡先の確認と名簿購入要否については同窓会事務局宛で、そこから当社に情報が届けられデータ作成を行っています。
しかし、名簿に関する問い合わせについては直接当社宛とハガキに記載されており、事実、問い合わせや住所・氏名ほかの変更情報が電話等で個人から寄せられ、当社にてデータの変更作業を行っています。
この場合、個人からの要望(情報の訂正・削除など)を当社の判断で行うことは違法なのでしょうか?
同窓会事務局が「直接収集」していることになります。従って、同窓会はあらかじめ利用目的を本人に明示しなければなりません。
貴社は同窓会から「業務委託」されている「委託先」になります。
整理すると以下のようになります。
同窓会:
「個人情報」、「個人データ」、「保有個人データ」(6ヶ月以上持つのであれば)
貴社:
「個人情報」、「個人データ」
従って、委託先である貴社がデータ対応(修正・削除ほか)を行うことはできません。貴社には権限がありません。
また同窓会は、貴社を委託先として監督する義務があります。
法律通りに解釈すれば上記のようになります。
しかし、実際は上記ではなく、貴社が貴社のビジネスとしてこのような仕組みを作り事業を行っているのだと思います。このような仕組みが個人情報保護法環境下では運用しにくくなっているのです。
貴社はPマークを取得されている個人情報取扱事業者であり、同窓会は個人情報取扱事業者にあたっても、実際の責任体制をとることは通常できません。したがって、今般のようなビジネス形態は情報主体本人から見れば、本当の責任者が誰なのか、極めて不明確です。
社内の個人情報保護責任者・管理者の方と協議されることをお奨めします。個々の事象の適法、不適法の判断ではなく、ビジネスの仕組みそのものを個人情報保護法、あるいはJIS Q15001に適応させる必要があります。
<< FAQ一覧に戻る
|
