〜理容室・美容室(美容院)経営の法律知識〜

『理美容六法.com』‐理容室・美容室経営の法律知識‐ サイト運営元
お問い合わせ
理容室・美容室(美容院)の開業・経営に必要な行政手続や法律知識について、さまざまな情報を提供しています。理美容室経営者の方や将来独立開業予定の理容師・美容師の方、理美容業界関係者の方は、ぜひお読みください!
5-7.顧客名簿やカルテの管理について(1)
 本節では、顧客名簿やカルテなどの個人データの管理について、注意すべき点をみていきます。近年、大手クレジット・カード業者や大手プロバイダから、大量の個人情報が流出して話題となりました。こうした事件が起きると企業の信用に関わり、株価や業績にも大きく影響してきます。CD−ROMや切手サイズのSDカード1枚で数万人もの個人情報が簡単に流出してしまう時代ですので、特にその管理体制については、万全を期する必要があります。

 個人情報取扱業者は、個人データの管理について
  1. 個人データを正確かつ最新の内容に保つよう努めなければならない。
  2. 個人データの漏えいなどに対する安全管理のため、必要かつ適切な措置を講じなければならない。
  3. 従業員に個人データを取り扱わせる場合、その従業者に対して必要かつ適切な監督を行わなければならない。
  4. 個人データの取扱いの全部又は一部を委託する場合は、委託先の業者にも必要かつ適切な監督を行わなければならない。
 と定められています。 今回は、上記のうち1と2について見ていきます。

《1:個人データの正確性の確保について》

 個人情報取扱事業者は、例えば個人情報をパソコンに入力する際に間違いがないように、照合や確認の手続の整備をしたり、誤りがあることを発見した場合の訂正等の手続を整備したり、記録事項の更新や、個人データの保存期間の設定等を行うことによって、個人データを正確かつ最新の内容に保つよう努めなければならないとされています(ただし、努力義務です)。
 この場合には、保有する個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足りるとされています。

《2:個人データの安全管理(漏洩防止)について》

 個人情報取扱事業者は、その取り扱う個人データの漏えい防止など、個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています。
 安全管理を徹底させるためには、「組織的」「人的」「物理的」及び「技術的」な安全管理措置が必要となります。また、もしその個人データが漏えいした場合に、その本人がこうむる被害の大きさに応じて、安全管理のレベルを設定する必要があります。これは、例えば本人の氏名と電話番号のみの個人データよりも、クレジットカード番号を含むデータの方が、より厳重に管理する必要があるということです。
 さらに、個人データを記録した媒体の性質に応じて、安全管理措置を講じることが望まれます。一般に紙に書かれたデータよりも、パソコンに記録されたデータの方が流出しやすいので、それに応じた対策が必要となります。

  ×:必要かつ適切な安全管理措置を講じているとはいえない場合
  1. 公開されることを前提としていない個人データが、事業者のウェブ画面上で不特定多数に公開されている状態を、個人情報取扱事業者が放置している場合
  2. 組織変更が行われ、個人データにアクセスする必要がなくなった従事者が個人データにアクセスできる状態を、個人情報取扱事業者が放置していた場合で、その従事者が個人データを漏えいした場合
  3. 本人が継続的にサービスを受けるために登録していた個人データが、システム障害により破損したが、採取したつもりのバックアップも破損しており、個人データを復旧できずに滅失又はき損し本人がサービスの提供を受けられなくなった場合
  4. 個人データに対してアクセス制御が実施されておらず、アクセスを許可されていない従業者がそこから個人データを入手して漏えいした場合
  5. 個人データをバックアップした媒体が、持ち出しを許可されていない者により持ち出し可能な状態になっており、その媒体が持ち出されてしまった場合
 1.については、例えばお店のウェブサイトの掲示板などに、何者かによって誰かの個人データが書き込まれた場合、その状態を放置していると、たとえ自分で書き込んだのではなくても、安全管理義務違反の責任が生じる場合があります。
 したがって、掲示板(BBS・コメントの書き込みが可能なブログ)を設置している場合には、こまめに書き込み内容を検査するか、または検査後でなければ公開できない設定にしておく必要があります。

 2.については、個人データにアクセスできる管理者(店長など)を別の人に変更したときには、それまで使っていたパスワードを変更するなどの措置が必要です。

 3.については、例えば会員カードを発行している美容室等の場合、その会員情報が誤って消滅しないように、バックアップ体制などをとっておく必要があります。

 4.については、個人データの格納されたファイルを開く場合には、パスワードを設定し、信頼できる従業者のみにパスワードを発行するなどの体制作りが必要です。

 5.については、バックアップをした外部ハードディスクやCD−ROMなどを、鍵をかけられる場所に管理するなどの注意が必要です。

 次節では、「組織的」「人的」「物理的」及び「技術的」な安全管理措置の内容についてみていきます。