nswer

 

uestion

 
               個人情報保護法(整備事業者関係)

                                                     

Q&A

 

(●はパンフレット掲載項目を示す)

用語の定義関係

     

(1)個人情報とは

Q1.

どのような情報が個人情報に該当するのか。

個人情報とは、生存する個人に関する情報であって、特定の個人を識別することができるもの、または他の情報と容易に照合することができ、それにより特定の個人を識別することができるものをいう(法第2条)。

〜例〜車検証、受注書、免許証など、特定の個人を識別できる氏名、住所等が記載されているものは個人情報となる。

 

Q2.

 

個人情報の定義のうち「個人情報を含まない(特定の個人を識別できない)ものは対象とならない。」とは、具体的にどのようなものをいうのか。

個人情報保護法上、その情報だけで個人が特定できない場合は、個人情報にはならない。

〜例〜自動車登録番号のみで個人が識別できない場合は個人情報にはならないが、これにより登録事項等証明書を取得した場合は個人情報を取得したことになる。(なお、登録事項等証明書は道路運送車両法に基づいて取得が可能なものであり、これによる個人情報の取得は、原則として不正な取得には当たらない)

 

Q3.

自動車の登録番号はなぜ個人情報に該当しないのか。

自動車登録番号だけでは個人を特定することはできないので、個人情報にはあたらない。

 

Q4.

顧客の整備データの記録は、個人情報となるのか。

単なる整備データだけで個人が識別されない場合は個人情報にはあたらないが、それ以外に個人の氏名、住所等が記載されていて個人が識別できるものであれば個人情報となる。

 

Q5.

法人(会社)情報は個人情報に該当しないのか。

会社の名称、住所等のみの情報であって個人が識別できる情報が含まれていない場合は、個人情報に該当しない。ただし、会社の代表者の氏名(個人名)、住所は個人情報となる。

Q6.

個人情報取扱事業者に該当しているかどうかは誰が判断するのか。

各事業者において判断することになる。

 

 

(2)個人情報保護法の対象事業者とは

Q7.

どの程度の規模の事業者が個人情報保護法の対象となるのか。

保有している個人情報の数が、過去6ヶ月以内のいずれかの日において5,000件を超える事業者が個人情報保護法の義務対象(個人情報取扱事業者)となる。

 

Q8.

 

保険会社の代理店となっている場合は、保険会社が個人情報取扱事業者となり、代理店である会社は個人情報の管理だけすれば良いのか。

個人情報保護法では事業者ごとに個人情報取扱事業者に該当するかどうかが判断されるが、保険会社の代理店となっている場合は、個人情報取扱事業者であるか否かにかかわらず、個人情報取扱事業者である保険会社から保険募集の業務委託を受けていることになるので、当該委託契約により個人情報保護の遵守義務が課せられることになる。

 

 

 

個人情報の取得関係

 

Q9.

●車検証をユーザーの了解なしにコピーした場合、個人情報保護法に違反するか。

車検証に記載されている情報(法人名義は除く)には個人情報が含まれており、これを勝手にコピーするなどして取得した場合は、個人情報の無断取得として不正取得となる。

 

10.

車検証上の個人情報を他の書類等に転記することは個人情報保護法上問題があるか。

車検証に記載されている個人情報を本人に無断で他の書類等に転記した場合は、個人情報の無断取得として不正取得となる。

 

11.

●「名簿屋」から購入した個人情報は、個人情報保護法ではどのように扱われるのか。

名簿業者が、名簿に記載された個人情報について個人情報保護法に規定の第三者提供の条件(あらかじめ本人の同意を得ていること等)を満たしていれば、個人情報の不正な取得には当たらない。

 

12.

 

●運輸支局で自動車登録番号から所有者の個人情報を取得することは、個人情報の不正な取得に当たるのか。

自動車登録番号の情報により登録事項等証明書を取得した場合、そこに記載されている個人情報を取得したことになるが、登録事項等証明書は道路運送車両法運送に基づき誰でも請求が可能なものであることから、原則として不正な取得には当たらない。(なお、電話帳、登記簿謄本等の公開されているものから個人情報を取得することは、不正な取得には当たらない)

 

 


13.

 

自動車保険の継続で住所が分からないとき、住民票などを取得して住所を調べて連絡してもよいか。

住民票などを取得して住所を調べる場合、交付するかどうかの判断は自治体が個別に行っているため、取得の目的が営利である場合、実際上、交付を受けることが困難である。保険満期の案内が不着で返ってきたものを、後日のトラブル回避のため、記録として残しておくことが必要である。

 

14.

 

●新規顧客から個人情報を取得する際に、今後、車検・定期点検の案内や関係機関への照合等に使用する旨を書面により許諾を得ておくことが必要か。

顧客から個人情報を取得するに当たっては、次の区分に従って本人に利用目的を明らかにす   る必要がある。

@個人情報を第三者に提供しない場合

    ・書面により本人から直接個人情報を取得する場合は、書面又はその他の方法により、あらかじめ本人に利用目的を明示する必要がある。

    ・書面以外により本人から直接個人情報を取得する場合は、あらかじめその利用目的を公表している場合を除き、その利用目的を書面またはその他の方法により本人に通知するか、または公表する必要がある。

A個人情報を第三者に提供する場合

書面またはその他の方法により、あらかじめ使用目的を明示して本人の同意を得ておくか、またはオプトアウトしなければならない。

      注)オプトアウト:本人の同意がない場合でも、個人情報を第三者に提供できる特例。ただし、以下の環境整備をしなければならない。

                 ・HPや店頭などに以下の内容を盛り込んだプライバシーポリシーを掲示する。

                 1)第三者への提供を利用目的とすること

                 2)第三者に提供する個人データの項目

                 3)第三者への提供の手段又は方法

               4)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

 

15.

 

展示会を実施し、来場者にアンケート用紙への住所、氏名等の記入を求めた場合、アンケート用紙に利用目的の記載が必要か。

書面(アンケート用紙)により本人から直接個人情報を取得することとなるので、次の区分に従って本人に利用目的を明らかにする必要がある。

@個人情報を第三者に提供しない場合

    書面又はその他の方法により、あらかじめ本人に利用目的を明示する必要がある。

   A個人情報を第三者に提供する場合

書面またはその他の方法により、あらかじめ使用目的を明示して本人の同意を得ておくか、またはオプトアウトしなければならない。

      注)オプトアウト:本人の同意がない場合でも、個人情報を第三者に提供できる特例。

ただし、以下の環境整備をしなければならない。

 

                 ・HPや店頭などに以下の内容を盛り込んだプライバシーポリシーを掲示する。

                 1)第三者への提供を利用目的とすること

                 2)第三者に提供する個人データの項目

                 3)第三者への提供の手段又は方法

               4)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

 

 

 

個人情報の利用関係

 

16.

 

●個人情報の利用目的はどのようにしてお客様に知らせるのか。利用目的が周知されているかどうかを顧客全員に確認する必要があるか。

顧客から書面(申込や届出用紙)で個人情報を取得する場合は、本人に利用目的をあらかじめ明示する必要があるので、利用目的を書面にわかりやすく明示しておく。書面以外による個人情報の取得の場合は、利用目的を書面またはその他の方法により本人に通知するか、またはプライバシーポリシー等に利用目的を明記して公表しておけば、個々の顧客に通知する必要はない。なお、個人情報保護法上、利用目的が顧客全員に周知されているかどうかを確認する義務はない。

 

17.

●入庫案内用ダイレクトメールを従来どおり送付することは可能か。

法施行前に取得した個人情報を法施行後に利用する場合は、法施行後に取得した個人情報と同等に取扱う必要がある。例えば、法施行前に取得した個人情報を利用して法施行後に車検案内のダイレクトメールを送付する場合は、郵便による車検案内に利用する旨をプライバシーポリシーに個人情報の利用目的として明記し、公表しておくか、または本人に通知しておく必要がある。

 

18.

●本社・営業所間においてメールで名簿を送受信してもよいか。

同一法人内の本社・営業所間のように個人情報を同一法人内で使用する場合は、第三者提供には当たらないが、取扱いについては、プライバシーポリシーの利用目的以外に利用しないなど、個人情報の管理規程に基づいて適切に管理する必要がある。

 

19.

●イベントで記念品の当選者の氏名、住所を発表することは可能か。

当選者の発表に際しては当選者個人が特定されるような発表を行う場合は、あらかじめ当選者の同意を得ておく必要がある。同意を得ることが困難な場合は発表に際して当選者個人が特定されないような配慮が必要である。

 

20.

ユーザーの誕生日に記念品を送っていることに問題はあるか。

現在保有している個人情報の取扱いについては、利用目的を本人に通知するか、プライバシーポリシー等に利用方法として明記し、HP等により本人の知り得る状態においていれば、ユーザーの個人情報に基づいて記念品を送付することは可能であるが、本人が記念品の送付が不用であるとして個人情報の消去を希望する場合には、原則として消去に応じる義務がある。

21.

会員・組合員名簿を紛失した会員・組合員の間でそのコピーを渡すことは問題ないか。

あらかじめ会員名簿を会員・組合員等に配布することについて、会員・組合員本人から同意を得ているのであれば、配布することは可能である。

 

 

 

個人情報の管理関係

 

22.

 

 

●下取車の旧ユーザーの新車保証書・定期点検記録簿・カーナビに記録された情報は、どのようにすればよいのか。また、車検残のある自動車を販売する場合の自賠責保険証明書の取扱いはどのようにすればよいのか。

定期点検記録簿等に個人情報が記載されている場合は、個人情報の部分を切り取り、確実に廃棄し、個人情報が外部に漏れないようにすることが必要である。

 なお、自賠責保険証明書の取扱いについては、名義変更(権利譲渡)があった場合は原則として再交付することになる。(詳細については、損保会社に確認すること)

 

23.

所有権留保車両の残債を他の販売店から確認された場合の対応方法は。

本人に無断で回答することには問題があるので、本人の了解の下で残債確認を行っていることを確認してから回答する必要がある。例えば、「残債一括支払代金照会依頼書」等の書面を用いて本人確認を行うことが必要である。

 

24.

他のお客様の見積書を見せてもいいか。

見積書を見せる場合は、個人情報に当たる部分を第三者が見ることができないように配慮する必要がある。例えば、見積り金額だけなど、個人が特定されない部分は見せても差し支えない。

 

25.

 

●カウンターから個人名や事業者名が入った伝票等を誰でも見ることが可能であるが、問題があるか。

個人情報の漏えいにつながるおそれが高いことから、部外者を事務所内に入れないような安全管理体制(入退室管理)をとる必要がある。

 

26.

 

社員の出張先を聞かれた場合教えてもいいか。また、社員の電話番号、携帯電話番号、住所などを聞かれた場合教えてもいいか。

業務上の範囲であればかまわないが、個人の携帯電話番号、住所などを本人の了解なく教えることは個人情報の漏えいに該当する。

 

27.

事務所で使用するパソコンの設定や取扱いはどのようにすればよいか。

各社で情報危機の管理体制等に関する規程を定めて、当該規程に基づいた適切な管理を行う必要がある。

 

 

28.

就業規則に個人情報の保護の取扱規程を入れる必要があるか。

個人情報の取扱いや管理方法については、各社によって規程がさまざまであると推察されるが、個人情報管理規程が他にあれば必ずしも就業規則に定める必要はないものと考える。なお、就業規則の取扱いについては、労働基準監督署の指導を受けることが望ましい。

 

29.

●個人情報の保護担当として管理者の選任が必要か。

個人情報取扱事業者であれば社内規程に基づく管理責任者を定め、適切に管理する必要がある。また、個人情報取扱事業者でない場合であっても、個人情報取扱事業者に準じた管理が必要となる。

 

30.

 

請求、納品書等、個人情報が記載された書類の保管期間や廃棄処分はどのようにすればよいのか。

個人情報保護法上、個人情報の保管期間の定めはないが、処分に当たっては個人情報が漏えいしないように適切に処分する必要がある。なお、廃棄方法については専門の業者に依頼するのが望ましいが、適切に処分することが可能であれば、他の方法でもかまわない。

 

31.

記録簿、概算見積書の保管等で注意することは何か。

個人情報が記載されている書類は施錠された室内に保管するなど、安全に管理することが求められているので、各社の規程に基づき適切に管理する必要がある。

 

 

 

罰則関係

 

32.

個人情報取扱事業者に該当しない事業者にも個人情報を漏えいしたら罰則があるのか。

個人情報取扱事業者に該当しない事業者は、個人情報保護法の対象外とならず、個人情報保護法に基づく行政処分や罰則の適用はない。ただし、個人情報を漏えいした場合、個人情報取扱事業者に該当するかどうかにかかわらず全ての事業者が、被害者から民事上プライバシー侵害による損害賠償責任を追及される可能性がある。

 

33.

外部から個人情報が不正にアクセスされた場合、事業者に責任があるのか。

事業者が適切な管理、処置をしていても責任を問われる可能性があるので、外部から不正アクセスされないような安全管理措置を講じることが必要がある。

 

 

 

 

 

 

 

その他

 

34.

 

 

「自動車リサイクル法」の施行に伴い、事業者システム登録(A・Bタイプ)された会員には、事業者情報センターから事業者コード`パスワードが送付され、平成17年1月より使用することとなるが、パスワード等のセキュリティーは完全で他人に漏れることはないのか。

資金管理法人・情報管理法人(自動車リサイクル促進センター)が管理すべきもので、法に基づき適切な管理を行うと聞いている。

 

35.

 

連合会として、整備事業者向けに、プライバシーポリシー等のサンプル文書を作成する予定はあるか。

書式サンプルを作成し、各整備振興会のホームページに掲載することを予定しているので、整備振興会から提供を受けて各事業者でアレンジして利用していただきたい。

 

36.

零細企業として最低限やらなければならない事を教えて欲しい。

個人情報取扱事業者でない零細企業であっても、個人情報を漏えいした場合は、プライバシー侵害による損害の対象となりえるので、個人情報取扱事業者に準じた対策を講ずる必要がある。(パンフレット参照)

 

37.

 

連合会で整備事業者向けに販売している様式等で個人情報に該当するものは事業者がわかるようにその旨記載するか何か印を付けるようにできないか。

個人情報には、住所、氏名など、その情報だけで個人が特定できるものだけでなく、他と照合することで個人を特定できる場合も含まれるが、帳票類の情報が個人情報に該当するかどうかは、具体的事案に応じて事業者ごとに判断されるべきものなので、連合会として印を付すことは考えていない。

 

38.

 

整備事業のための個人情報保護対策チェックシート的な簡易診断用紙を作成していただけないか。

文書サンプルを配布するので、当該サンプルにより対応していただきたい。

 

39.

 

株式会社、有限会社等の事業場名・会社名は不特定多数の人に周知されるべき性質のものではないか。

個人情報保護法は、個人情報を保護するものであり、会社(企業)のPRを規制するものではない。会社名等を公に示すかどうかは、各企業の判断である。