快適なマンションライフのために、マンション管理組合・理事会の運営サポートをいたします!

No.5 個人情報保護法の改正

  • HOME »
  • No.5 個人情報保護法の改正

 本年(平成29年)5月に個人情報保護法改正の全面施行が予定されています。この改正内容は、組合員情報を管理するマンションの管理組合にとっても影響がある改正内容となっています。そこで、今回はその個人情報保護法の改正後の概要と、マンション管理においての注意点をお示しします。(平成29年1月30日掲載

※1 改正法の概要・要約であるため、厳密には正確でない表現も含まれます。
※2 「➢」部分は報告者の個人的な見解等です。

1 「個人情報」とは

「個人情報」:生存する個人に関する情報であって、氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(第2条1項)

「個人識別符号」:①身体の一部の特徴をデータ化した文字、番号、記号その他の符号(指紋データや顔認証データなど)や、 ②サービスの利用者や個人に発行される書類等に割り当てられた文字、番号、記号その他の符号のうち、政令で定めるもの (免許証番号など)(第2条2項)
→ 個人識別符号(指紋データや顔認証データなど)を個人情報とすることで、時代の変化に合わせてより保護の対象が明確化されました。

「要配慮個人情報」:本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害の事実など(第2条3項)

  ・・・・・・・・・・・・・・・・・・・・・・・・・・・個人情報とは
  • 個人情報保護法では、保護が必要な情報を、①「個人情報」、②「個人データ」、③「保有個人データ」の3つの概念に分けています。
  • これら3つの概念ごとに、実施しなければならない義務が定められており、個人情報よりも個人データ、個人データよりも保有個人データの方が、守るべき義務の範囲が広くなっています。

「個人情報データベース等」:個人情報を含む情報の集合物で、特定の個人情報を容易に検索することができるように体系的に構成したもの(政令による)

 マンション管理組合の管理する、「組合員名簿」、「居住者名簿」、「要援護者名簿」が個人情報データベースに該当すると考えられます。

2 「個人情報取扱事業者」とは

「個人情報取扱事業者」:個人情報データベース等をその事業活動に利用している者(法第2条5項)。個人情報保護法上の義務を負う。法人に限定されず、営利か非営利かも問われない。

※小規模取扱事業者への対応(5,000件要件の撤廃)

  • インターネットの急速な普及などにより、取り扱う個人情報に係る個人の数が少なくても個人の権利利益を侵害する危険性が高まっていることから、5,000人分以下の個人情報を取り扱う事業者についても、改正により、新たに個人情報保護法が適用されることとなりました。

 これまではこの取扱い件数による規模要件があったため、一般的にはマンション管理組合は個人情報保護法の適用対象外とされてきましたが、組合員の個人情報を事業活動(組合運営)において扱うため、今後は、管理組合も個人情報取扱事業者となります。

3 個人情報の取扱に関するルール(個人情報取扱事業者等の義務)

 マンション管理組合も、個人情報取扱事業者として、この項における義務が課せられることとなるので注意が必要です。取得・管理・第三者提供と記録について、改めて組合員情報の管理方法の見直しが必要となると思われます。

(1) 利用目的の特定・適正取得

個人情報を取得するときの4つの基本的なルール

① あらかじめ利用目的をできる限り特定する(第15条1項,2項)
② 利用目的の範囲内で個人情報を取り扱う(第16条1項)

  • 利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

③ 個人情報は適正な方法で取得する(第17条1項,2項)

  • 偽りその他不正の手段により個人情報を取得してはならない。
  • あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

④ 取得する際には利用目的の通知・公表を行う(第18条1項,2項,3項)

  • 個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
(2) 安全管理措置等

ア データ内容の正確性の確保等

  • 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。(第19条)

イ 安全管理措置の実施

取り扱う個人情報が「個人データ」に該当する場合には、「安全管理措置」を実施することが必要となります。

  • 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。(第20条)

 「安全管理措置」の詳細については、参考資料1の「ガイドライン(通則編)」に(別添)として記載されています。

ウ 従業者の監督(第21条)・・・(略)

エ 委託先の監督

  • 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取り扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。(第22条)

 管理会社に管理を委託しているマンションの場合、通常、個人データの取扱いの委託先も管理会社となります。管理組合は、委託契約おいて個人データの取扱いに関する安全措置を盛り込み、それに基づき、管理会社が適切に組合員情報を管理しているか、監督する必要があります。

オ 苦情の処理

  • 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。(第35条)

例外(義務規定の適用除外)(第76条)

❶ 報道機関が報道活動の用に供する目的
❷ 著述を業として行うものが著述の用に供する目的
❸ 学術研究機関等が学術研究の用に供する目的
❹ 宗教団体が宗教活動の用に供する目的
❺ 政治団体が政治活動の用に供する目的

(3) 個人データの「第三者提供」をする場合

 あらかじめ本人の同意を得ていない場合、個人データを第三者に提供してはならない(第23条1項)。同意の取得に当たっては、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。

例外(同意規定の適用除外)(第23条1項)

❶ 法令に基づく場合

  • 警察等から刑事訴訟法218条(令状による捜査)に基づく照会があった場合
  • 所得税法225条1項等による税務署長に対する支払い調書等の提出の場合

❷ 人の生命、身体又は財産の保護に必要であり、かつ、本人の同意を得ることが困難である場合

  • 急病その他の事態時に、本人について、その血液型や家族の連絡先を医師や看護師に提供する場合

❸ 公衆衛生・児童の健全育成に特に必要な場合

  • 健康診断の結果を、疫学研究のために、個人名を伏せて研究者に提供する場合

❹ 国の機関等への協力

  • 税務署の職員等の任意調査に対し、個人情報を提供する場合
  • 統計調査に協力する場合

提供先が「第三者」に当たらない場合(第23条5項)

❶ 委託先
❷ 事業の承継
❸ 共同利用

共同利用の場合、次の4つについて、あらかじめ本人に通知等をしなければなりません。

①共同して利用される個人データの項目
②共同して利用する者の範囲
③利用する者の取得等の利用目的
④当該個人データの管理について責任を有する者の氏名又は名称

※ 「共同利用」か「委託」かは、個人データの取扱形態によって判断されるので、共同利用者の範囲に委託先事業者が含まれる場合にも、委託先との関係では監督義務を免れる訳ではありません。

 

オプトアウトによる第三者提供

例)住宅地図業者、データベース事業者(ダイレクトメール用の名簿等の作成・販売)など
あらかじめ次の事項を本人に通知、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会へ届出する。

◎通知、容易に知り得る状態に置く届出事項

  •  第三者提供を利用目的にすることとその対象項目
  • 第三者への提供の方法
  • 求めに応じて第三者提供を停止すること及び本人の求めを受け付ける方法

※ 要配慮個人情報は、オプトアウトによって第三者提供をすることができない。(第23条2項)

(4) 「第三者提供に係る記録の作成等」トレーサビリティ

 トレーサビリティの確保

 第三者から個人データを受領する場合には、受領者は提供者の氏名やデータの取得経緯等を確認、記録し、一定期間その内容を保存しなければなりません(第26条)。また、第三者に個人データを提供する場合も、提供者は受領者の氏名等を記録し、一定期間保存しなければなりません(第25条)。

(5) 「保有個人データ」

 保有個人データの利用目的、開示等に必要な手続き、苦情の申出先等について、本人の知り得る状態に置かなければないとされました(本人の求めに応じて遅滞なく回答する場合を含む)。

① 利用目的の通知(第27条)

  • どのような目的で利用されているのかについて、原則として、本人に通知しなければならない。

② 開示(第28条)

  • 本人からの請求に応じて、開示しなければならない。

③ 訂正等(第29条)

  • 本人からの請求に応じて、内容が事実でないときは、原則として利用目的の達成に必要な範囲内において調査し、訂正等を行わなければならない。

④ 利用停止等(第30条)

  • 本人からの請求に応じて、❶利用目的による制限、❷適正な取得、❸第三者提供の制限に違反していることが判明したときは、違反を是正するために必要な限度で、原則として、利用停止等を行わなければならない。

4 監督機関

 内閣府の外局として「個人情報保護委員会」を新設し、旧法での主務大臣の有する権限を集約するとともに、立入検査の権限等を追加しました。(平成28年1月1日設置)

5 経過とスケジュール

平成27年9月3日成立・同9日公布(改正条文に応じて段階的に施行、成立から2年以内に全面施行)
平成29年5月30日全面施行

 

【参考資料】

1)個人情報の保護に関する法律についてのガイドライン(通則編)平成28年11月 個人情報保護委員会
2)パンフレット「『個人情報』の『取扱いのルール』が改正されます!」 経済産業省

 

 

TEL 045-594-6488 携帯電話:080-5383-3740
メール:kimura-mcon@email.plala.or.jp

PAGETOP
Copyright © 木村誠司マンション管理士事務所 All Rights Reserved.
Powered by WordPress & BizVektor Theme by Vektor,Inc. technology.