ビジネス上日常的に使われている名刺ですが、通常は個人情報として取り扱われないことをご存じの方も多いと思います。
名刺は、広く顔と名前を知ってもらうために作られており、内容が知られることで誰も害悪を受けることはないためです。 しかし、取り扱いの方法次第で、個人情報として扱われ、個人情報保護法による保護の対象になることについて、正しく理解している方も少ないように思われます。
そこで、名刺をどのように扱うと、個人情報保護法の保護の対象になるのか、また、個人情報保護法以外にも法律上の留意点があるのか、解説します。
また、企業の情報セキュリティ対策に必須な情報セキュリティポリシーの策定・運用ポイントまとめ資料を無料で配布しています。ぜひご活用ください。
個人情報の定義をおさらい
個人情報の定義は、個人情報保護法第二条に以下の通りの記載があります。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
個人情報の保護に関する法律より
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
この条文から、何らかの文字または記号・符号の記述であって、個人を特定することが可能な情報を広く個人情報と呼び、法律による保護の対象にしているものと考えられています。
名刺は個人情報保護法の対象になるのか
名刺情報は、上記の条文からは、個人情報保護法の規制の対象になるように思われます。名刺は、名前ももちろんのこと、住所から電話番号および電子メールやホームページURLに至るまで、事細かく情報が記載されているので、個人の特定に十分な情報であるためです。
しかし、名刺の情報は、渡す場面を考えると、情報主体である本人も、また、所属する会社も「名前を広く知ってもらって、商取引に使ってもらう」ことを目的としている点で、他の個人情報と異なります。
個人情報保護法は本質的に、個人が情報をコントロールする権利を保護している一方で、名刺はなにも本人が意思表示していなくとも「広く使ってほしい」との意思が隠れている、と考えられるからです。
そのため、例えば営業マンから渡された名刺を、紙情報として持っている限り漏えいがあったとしても、厳しいペナルティを課する必要はありません。しかし、紙情報から形を変えた時は「個人情報データベース」となり、取り扱いには注意が必要です。
名刺が個人情報保護法の対象になる場合
名刺は、もらった場合にはケースに入れ、あるいはファイリング・データベースに入力するなどして、検索・管理しやすい形にして利用することがよくあります。
このように、もらった名刺をデータベース化している場合や名刺をファイリングしている場合は「個人情報データベース」として個人情報保護法による規制の対象となります。
「個人情報データベース」は、個人情報を容易に検索できるように、何らかの規則でまとめた情報のことをいいます。
もらった名刺は、この個人情報データベースとして管理をしていることが多いので、取り扱いには通常の個人情報と同様、安全管理措置を施す必要があります。
名刺をデータベース化した場合には、個人情報保護法における「個人情報データベースを保有・管理している事業者である」となるので、当該事業者には、事業者に対する規制がかかるほか、監督官庁(個人情報保護委員会)による報告の徴収や検査権の対象にもなり、万が一の漏えい事故や、紛失事故などの時には、報告を行う義務もあります。
データベースといっても、システム上のデータベースのみをさしているのではなく、名刺をファイリングしている場合にも、「容易に検索できるように、何らかの規則でまとめた情報」とみなされ、個人情報データベースと考えられる点には留意しておく必要があります。
名刺が個人情報保護法の対象にならない場合
名刺は、先ほども触れた通り、自分から名刺を第三者に渡した場合には、個人情報保護法の規制はかかりません。また、特に検索が容易な形にしていない状態で、もらった名刺や名刺入れを紛失した場合は個人情報保護法のペナルティや報告・検査などの対象にはなりません。
しかし、例えば名刺を順に並べて、名刺フォルダーなどで保管していた場合、検索が容易で、何らかの規則でまとめた情報とされ、個人情報保護法上、保護対象とされるのと同時に、事業者の方に規制がかかる可能性があります。
また、名刺は、会社の営業に関する情報の一部とされることが多く、機密保持契約により保護される対象となる情報です。そのため、名刺を取り扱う際は、守秘義務違反とされないように注意する必要もあります。
守秘義務違反とは、一定の職業や職務に従事する人や従事していた人などに対して課せられる、職務上知った秘密を守るべき義務や、個人情報を開示しないといった義務のことです。会社と従業員の間では、基本的には守秘義務契約や、労働契約の中の守秘義務条項が根拠になります。
ただし、悪質な引き抜き・技術の盗用や、営業妨害を目的にする情報漏えい行為については、不正競争防止法違反になりうること、刑事罰も課される可能性があることが留意点です。
前職の名刺の転用などは、守秘義務違反になる行為です。名刺を前職の退職時に処分してくることは、うっかり転用してしまうようなケースも防ぐ意味があります。
個人情報保護法における名刺管理の要点
個人情報保護法における名刺管理は、通常の受け渡し・通常の利用であれば規制の対象でないこと、また個人情報データベース=検索が容易なように、ある規則をもって整理した状態になると個人情報保護法の保護および規制の対象になることを踏まえて、安全管理策を施すことです。
管理がいきわたりやすいように、できるだけ一元管理・収集管理をするほうが通常は管理がしやすいことも知っておきましょう。
さらに、利用目的の遵守の徹底を行います。個人情報として名刺が取り扱われる場合、利用目的外の利用は禁止されると同時に、利用目的の変更には法律上同意が必要です。
名刺情報の安全管理措置を徹底する
名刺情報の安全管理措置には、以下のような措置が含まれています。
名刺情報もひとたび個人情報データベースになると、他の個人情報と同様に管理が法令・ガイドラインで義務付けられること、また個人情報データベースに関する万が一の事故の場合の影響力を考えると十分な体制・措置が必要となります。
組織的安全管理措置
個人情報を扱う組織体制の整備を行います。
誰が責任者であり、誰が取り扱いを許されているのか、事故の報告の場合のルートはどうするか。技術的な責任部署がどこであり、ルールを作成するのがどこなのか、この辺りは最低限はっきりさせ、規定などの形で文書化しておきましょう。
個人情報の責任者は、取扱責任者と、組織体制の責任者とに分けて考えることが通常です。
多くの場合、社長・CEOなど組織における個人情報の最高管理責任者は最高経営責任者が兼任しており、それが個人情報漏れの場合の巨額の賠償リスクや、世間での風評などを考えると最も適切です。
人的安全管理措置
個人情報保護に関する規定の整備をします。
名刺の管理に関しては知識が十分でない人もいるので、読んで通常の名刺の利用の場合と、個人情報データベースとして名刺を管理しているときの規則が異なることを理解してもらう文言を用意したほうがよいでしょう。また、研修も行います。
一人一人がルールを順守することが義務付けられていること・強制力が働くようにペナルティをつけておくことが人的管理措置の中心です。
関するモニタリング・違反を見つけた場合に是正させる部署を決めておきます。
取り締まり、というのではなかなか協力と理解が得られず、結果的にルールの浸透がうまく行かなくなることを踏まえて、異常事態・アクシデントを進んで申告した人にはインセンティブがあることも望ましい管理措置です。
従業員の教育のポイントは定期的に、なおかつ年に何回か、職位・役割ごとに適切な内容の教育をすることです。特に高いリスクにさらされる役職員には年2回以上は少なくとも必須研修に参加するなど、通常より頻回に開催することも考えられます。
物理的安全管理措置
持ち出しなどの物理的な情報漏洩を防ぐための措置です。
紙ベースの個人情報データベースである名刺情報には適切な施錠管理などの措置が必要になります。
また、個人情報データベースには、PCを使う際の認証を厳格に行い、特定のPCや端末からしかアクセスさせないケースもあります。
こうした場合には、PC・アクセスの際に使う認証端末などの管理も物理的な安全管理措置を施す対象になります。
ワイヤーロックや、カードなどによる管理が十分か、など、持ち出しの十分な予防に努める必要があります。
技術的安全管理措置
システム面でのセキュリティ対策が技術的安全管理措置の内容です。端末やネットワークにおけるセキュリティ施策・アクセス権の管理などがこの技術安全管理措置に含まれます。
名刺の利用目的を徹底して守る
個人情報として取り扱われる名刺の利用目的については、自社で定めているものを徹底して遵守するようにします。
利用目的外の利用は禁止されると同時に、利用目的の変更には同意が必要です。
また、名刺情報の第三者提供にも情報主体である本人の同意を得ることが必要です。データ受領者の氏名やデータを渡した経緯について記録し、保存するなどの安全管理措置が必要となります。
まとめ
以上の通り、名刺情報には、個人情報データベースの場合のように個人情報として取り扱われる場合と、そうでない場合があり、個人情報として取り扱われる場合には安全管理措置が必要となります。
安全管理措置には、組織的・人的・物理的・技術的安全管理措置があり、それぞれ法令・ガイドラインの求めるレベルでの管理が必要です。
プライバシーポリシーの策定・運用のポイントまとめ資料を参考にしてみてください。
