|
Q3-39 百貨店に入っている店舗です。
(1)お客様より配送を数件承った場合、お客様が店舗にて配送伝票を記入している時間が無いなどの理由から、事前にFAXなどで送り先を送信してもらい、店舗側が記入しておくということは可能でしょうか?
(2)その状況が逆の場合、伝票のお客様控えを書くのに件数が多くて時間がかかるなどの理由から、それらを後日依頼主であるお客様にまとめて郵送するということは、個人情報保護法に違反するのでしょうか?
Q3-38 お客様の氏名・住所・電話番号などを記載していただくハガキを、「戻りハガキ」として新聞折込みチラシに貼付する場合があります。この際、お客様の氏名等の部分は必ず隠す方法をこちらで取らなければいけないのでしょうか?その対処をこちらでとっていないことは違法となるのでしょうか?
Q3-37 給与を管理するため、税理士事務所に社員の個人情報を委託しています。プライバシーマークの申請に向けて、【個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項】について記載した委託契約書による契約の締結を依頼したのですが、次の理由で文書での契約を拒否されました。
・税理士としては、顧問契約をした時点で「守秘義務」が発生している。
・契約書内の「事故発生時の損害賠償」「セキュリティに関する社内教育」「監査の受け入れ」に同意できない。
そもそも、税理士・弁護士等の職業は契約締結の義務はないのでしょうか。またこういった場合、契約を締結せずに委託を行ってよいのでしょうか。
Q3-36 当社はITに係わる情報処理サービス業です。お客様からデータ消去していないパソコンを引き上げる際にどのような手続きを進めていくことが適切でしょうか?本来はお客様がデータ消去をしなければならないところではありますが、無償で引き受けざるを得ない状況が多いです。
Q3-35 業務で使用しているコンピュータのリース契約を解除することになり、リース会社が現物を引き取る事になりました。ハードディスクには口座番号などが保存されており、ハードディスクを削除しても完全には消えないと聞いております。このような場合の責任企業は何処になるのでしょうか。
Q3-34 個人情報が記載されている書類を処分する際に、シュレッダーにかけずに焼却場に持込むのは問題があるのでしょうか?焼却場は公的機関で、持込みは当社社員が直接炉の中に投げ込みますので、焼却場の職員が物色しない限りは漏洩の危険はないと思われます。
Q3-33 当社は個人情報取扱事業者に該当しておりますが、個人情報保護法20条21条にて要請されている個人データ・保有個人データに対する安全管理措置を行っていれば法律上の義務を果たしており、個人情報に対しては安全管理措置を講じる必要がないと法律解釈してよろしいでしょうか?
個人情報についての安全管理措置は個人情報取扱事業者は個人情報保護法上、要請されていないと解してよいでしょうか?個人情報の漏洩を想定した場合、当該情報が個人情報であるため、当社は法的責任を取る必要がないといえますでしょうか?
Q3-32 専門学校同窓会を運営しております。基本的に運営は専門学校とはまったく別で、現在の会員総数は約1900名です。会員名簿の発行をして会員に有料で分けたり、通信の発送、同窓会の案内にこの名簿を利用しています。
卒業時に各個人から住所・電話番号・勤務先の情報を得ますが、その後の住所把握は個人からの申し出か、各クラスの幹事を通じて情報を得ています。実際に把握できている数は8割程度です。
会員数からすると個人情報取扱事業者にはあたらないので、今まで通りの管理方法で良いのでしょうか?ごくわずかですが、会員からは個人情報保護の問題で不満の声も聞かれるようになりました。
Q3-31 社内資格一覧や教育・訓練実施報告書をメールでやり取りしたり、紙面で保管する場合はどのような注意が必要でしょうか。
Q3-30 当社はお客様が乗船される際、乗船名簿(複写式)を記入され、船内に乗船名簿の一部を預けます。船内にて当該乗船名簿は当社、船内サービス、船内事務を行う当社関連会社Aが船内サービスや船内事務手続き上、利用することがあります。このように関連会社Aに当社の乗船名簿を利用する場合がある場合、当該状況は個人情報の共同利用と扱われますでしょうか?また関連会社Aは現在、プライバシーポリシー等を整備されていない状況です。当該関連会社においても、プライバシーポリシー等の社内規程を整備する必要がありますでしょうか?
Q3-29 当社の受付カウンターにおいてお客様が名簿にご記入される際、書き誤り等で名簿をゴミ箱に廃棄する場合があります。この廃棄された名簿から第三者に情報が流出した場合、個人情報保護法上、当社に責任があると考えられますでしょうか?
Q3-28 当社では一部の得意先の発注に関し、得意先の個人情報を含んだ業務を外部に委託しています。当該得意先より、個人情報の取り扱いに関する覚書の締結を要請されているのですが、この場合、当社は委託先に対してもこうした覚書を交わさなければならないのでしょうか?当社は法律上の個人情報取扱事業者には当たりません。
Q3-27 当社では「個人情報運用細則」という規則を設けて個人情報の取得・加工・利用・送信・発信等を行う場合、社内にて当該運用細則に基づき申請を当社個人情報管理者に提出する方法をとっております。
当該運用細則を運用する中で公表・通知している個人情報についてもこのように申請する必要があるのかと社内からの意見があり、対策として今後、取得予定の個人情報(今後、通知・公表を予定する個人情報)を申請対象とすることに致しました。社内手続管理手法として今後通知予定・今後公表予定の個人情報のみを申請書面にて管理することは適当といえるでしょうか?
Q3-26 個人情報を使用する書類を外部へ持ち出す場合、持ち出し記録に記入することにしたのですが、その書類を作成中に持ち帰りたい場合も持ち出し記録に記入した方がよいですか。
Q3-25 第19条に「個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない」とあります。これは取り扱い事業者の責任義務なのでしょうか?個人が提供した情報が最新であり、それが最新であるか最新でないかは個人に依存する(提供した個人が「これでいい」と思えばそれがすべて)のではないかと思っています。しかし、最新の情報が得られないことでの不具合が個人情報保護の観点から見えないので、なぜそうすべきなのかが分りません。
Q3-24 退職者の源泉徴収票などの個人情報が含まれた書類を郵送する場合、配達記録郵便を使用した方が望ましいのは理解しています。 どこまでの書類を線引きするかは企業内ですべき問題だと思いますが、実務的な安全管理面の問題(誤送や紛失対策)として望まれる対応をアドバイス頂ければと思います。
Q3-23 商品を購入されたお客様に往復ハガキによるアンケートを送付しておりますが、その返信ハガキには差出人であるお客様の住所・氏名・電話番号を記入して頂くようになっておりますので、当社まで届く間に不特定多数の人に見られてしまいます。このようなアンケートの方法は個人情報保護法上問題あるのでしょうか?
Q3-22 個人情報保護法の施行に伴い、安全管理措置として当社の就業規則に、非開示契約の締結の項目の追加を考えています。参考になるような文章等あれば教えて下さい。
Q3-21 当社は製造工場で、社員・派遣社員・パートを合わせて約50人になります。予め従業者の個人名が記載された帳票に、誰が何時間働き、生産量がどうであったかを記入し掲示板に貼っています。また、誰がどの部門で仕事をして良いのか、を表す「資格認定一覧表」も掲示してあります。
当工場には外部の人間(機械修理業者や原材料の業者など)が出入りするため、個人情報が漏れる可能性があります。これは「個人情報保護法」に違反するでしょうか。
Q3-20 当社では会員登録制でサービスを提供する業務を行っております。そのサービスの一つに、Web上で個人固有のID および パスワードでログインすると、その人の個人情報を表示し、登録内容を自由に変更できる仕組みがあります。IDは当社でユニークなキーを発行、パスワードはお客様に設定していただいています。
このIDとパスワードを第三者が適当に入力し、たまたまヒットしてしまい、情報を悪用され訴えられた場合は当社側の責になるのでしょうか?このようなケースに備えての対策などもご教示下さい。
Q3-19 医療関係事業者です。現在契約している委託先と再度個人情報保護を網羅した形で契約する予定ですが、その契約書については、委託先、受託先双方が用意した契約書を別々に交わす必要があるのでしょうか?
Q3-18 アルバイト社員の1ヶ月の勤務スケジュールを自由に見られる状態で貼り出しています。そこには全員分の個人の氏名と1ヶ月間の出勤状況が記載されています。このままの状態では個人情報保護法に違反することになるでしょうか?アルバイト社員は私の部署では約100名在籍しております。
Q3-17 当社は某学校の同窓会事務局より委託を受けて、同窓会名簿を作成しています。卒業生に出すハガキでは、連絡先の確認と名簿購入要否については同窓会事務局宛で、そこから当社に情報が届けられデータ作成を行っています。しかし、名簿に関する問い合わせについては直接当社宛とハガキに記載されており、事実、問い合わせや住所・氏名ほかの変更情報が電話等で個人から寄せられ、当社にてデータの変更作業を行っています。
この場合、個人からの要望(情報の訂正・削除など)を当社の判断で行うことは違法なのでしょうか? 当社はPマーク(プライバシーマーク)取得事業者です。
Q3-16 生産業者と交わす契約書(販売斡旋契約書)には「情報の二次利用禁止」としか謳われておりませんので、契約書を改訂しようと思います。
当社はプライバシーマーク(Pマーク)を取得していますので、Pマークを取得している他業者の契約書を確認したところ、「個人情報を法律に基づく事由によるほか、第三者に開示・提供してはならない」としか記載されていません。
生産業者は当社監督下にある委託先に該当します。契約書への必要事項はこの程度の文面で秘密保持契約を締結している、と解釈できるでしょうか?それとも、別紙で個人情報保護だけの契約書が必要でしょうか?
Q3-15 店舗においてプレゼントキャンペーンなどを実施する際、お客様の氏名・連絡先等が書かれた応募用紙の取り扱い・処分方法について教えてください。
応募用紙に、お客様の情報はそのキャンペーンの当選通知にのみ使用する旨、及び当社で適切に応募用紙を処分する旨を明記すれば法的に問題はないでしょうか。また、応募用紙のみを第三者に委託して処分するということは可能でしょうか。
Q3-14 通販業を営んでおり、100社以上の契約業者があります。お客様から注文を受けると注文ラベルを印刷し、該当する契約業者にラベルを渡しています。
当社と契約業者の間では個人情報保護法に関連する規定を含めた契約を締結しています。
[Q3-14-1]
当社にとって契約業者は委託でしょうか、提供でしょうか?
[Q3-14-2]
通販の申込書への文面には、個人情報が渡る多数の契約業者をどう表現すれば良いのでしょう。契約業者名を全て記載することは不可能なので、「関連業者への委託」または「関連業者への提供」と表記したいのですが。
Q3-13 写真付きの身分証明書を作成する場合に、事業所内で『身分証明書の為の写真』と告知して撮影し、それを外部の作成業者にて作成してもらうのですが、この場合、『写真と名前データを外部に出す』旨を告知しないといけないのでしょうか?作成業者業者とは、契約を交わしています。
Q3-12 ゴルフ場のフロントでの受付業務をやっています。お客様に住所・氏名・電話番号を記入して頂いておりますが、使用している用紙が10名まで記入できます。つまり、10人目の人は、他の9名の情報を見ることが可能です。
この受付の仕方(用紙)は保護法に抵触するのでしょうか?この用紙をこのまま使用する事は可能でしょうか?抵触するとしたら、どういった受付方法をとったら良いのかお教え下さい。
Q3-11 ホームページからの通信販売の申し込みに対して、A社ではWeb専門業者(B社)と業務契約(秘密保持契約)を締結しており、ホームページからの申し込みは全てA社の管理するサーバへ蓄積され、その情報はA社へ手渡しで行われます。つまりA社は、ホームページともB社ともネットワーク回線では繋がっていません。
そのような環境の中で、もしそのホームページを通じて不正アクセスにより個人情報が漏洩し、情報主体より訴訟が起きた場合、A社はどのような立場となるのでしょう?
Q3-10 当社は個人情報を直接情報主体から収集することはなく、得意先より発注を受けて印刷物という形に加工している企業、つまり、得意先から個人情報を預かっている企業です。個人情報は5,000件以上あります。個人情報を預かっている立場であれば、法律に該当する条項がかなり少なくなる、と解釈して良いのでしょうか?
Q3-9 情報産業分野でデータセンターを運営しています。顧客企業から業務委託に伴って預託されてた個人データと当社の保有個人データを、当社の個人情報保護体制や仕組みの中で同一に扱うべきでしょうか?
Q3-8 個人情報に関係する業務委託の際、以下の3種類の契約書を交わすことが望ましいと聞きました。
(1)委託基本契約+個別委託契約
(2)秘密保持契約
(3)個人情報覚書
当社では、業務委託契約書を締結する際に、条文の中に「秘密保持」と「個人情報保護」の条文を入れています。このようなオールインワンの契約方法でも構わないでしょうか?
Q3-7 「住所・氏名」だけのデータを1,000件ほどメールで送受信する予定です。データの重要度が低いので、パスワードをかけて送受信すれば問題ないでしょうか。
Q3-6 産業医、健康診断委託先についてのご相談です。
弊社は社内に診療所はなく、一般の医療機関に地域ごとに個別に契約しております。産業医は業務委託契約があり、一般的な「守秘義務」の条項が入っています。この契約のみで個人情報保護の観点から十分と言えるのでしょうか。
他の委託先については、プラスして「個人情報保護」の「覚書」を締結し、監督責任があるということで、体制や教育などについても提出してもらっています。医師は医師の法律でもっと厳しく個人情報の扱いは決められていると聞きました。あえて個別に覚書を締結する必要はないと判断してよろしいのでしょうか。
健康診断委託先は、年1回のテンポラリーなものなのでベースになる業務委託契約はありません。今のところ、発注書の備考欄に個人情報保護の内容を入れて請書をもらおうと考えていますが、このやり方で個人情報保護の観点から十分と言えるのでしょうか。
Q3-5 セミナーや研究会等、特定の方にお集まりいただく会議運営業務があるのですが、その受付をホテルロビー等一般部外者の方も通る場所に設置し、その受付デスクに参加者の名札(団体名、個人名を記載)を置いておく場合、参加者に対して、どのような方策をもって、主催者が個人情報の万全な管理をしていることをアピールすればよいのでしょうか。
たとえば、受付の一角にサイン表示等で、「名札については主催者の万全な管理のもと、机上に用意をしております(例)」などのような表記をすべきものなのでしょうか。
Q3-4 旅行業です。個人情報を安全に管理するため、事務所のレイアウトをオープンスペースと執務スペースに分ける予定です。
部外者に目で見えるような区分けをすべきと考え、次の方法を考えております。
(1)オープンスペースと執務スペースを壁又はパテションで区切り、ドアからの入退室とする。
(2)壁又はパテションで区切れない事務所は、スイングドアを作る。
(3)スイングドアを設置できない場合は、レストランなどにある「ここから先の入室はご遠慮下さい」などの立て看板を立てる。立て看板の他に、ロープなども考えられる。
(1)の場合は、現在の事務所にもよりますが、かなりの費用が必要です。(2)の場合の費用は(1)ほどではない。
当社としては、(3)を検討しておりますが、このような立て看板やロープでの対応は問題ありますでしょうか?
一旦、(3)の対応をし、今後会社の収支を見ながら(1)を検討する予定です。
Q3-3 約90名分の従業員の住所録を社内のネットワーク上に置いていて誰でも閲覧、印刷できるようになっています。どのような対策が必要でしょうか。
Q3-2 当社は広告代理を含む業務を行う制作会社です。取引会社の顧客管理の一部を請け負っております。覚書・契約書の類は交わされておりません。その業務の中で、顧客プロフィールのデータ入力業務と顧客へのDM発送用宛名シールの出力を受託しています。その数量は微量であり、熟練者でなくても出来る作業です。この場合どのような対応をすべきなのでしょうか。
<現状の条件>
・データ入力に使用するPCはネットワークには接続していない
・すべてのデータはCDの受け渡しで行われている
・担当者のみの操作で行われており、他の社員はパスワードを知らない
Q3-1 当社はアウトソーサーとして、多様な顧客から個人情報が関係する業務の受託処理を行っています。預託されている個人データの取り扱いについて、4点教えてください。
[Q3-1-1]業務を受託することにともなって預託されている個人データに関して、委託元の監督を受けることがありますか。
[Q3-1-2]受託した個人データはどのように扱えばよいでしょうか。
[Q3-1-3]預託されている個人データ対するセキュリティレベルについて教えてください。
[Q3-1-4]従業者への教育は必須でしょうか。
|
