〜理容室・美容室(美容院)経営の法律知識〜

『理美容六法.com』‐理容室・美容室経営の法律知識‐ サイト運営元
お問い合わせ
理容室・美容室(美容院)の開業・経営に必要な行政手続や法律知識について、さまざまな情報を提供しています。理美容室経営者の方や将来独立開業予定の理容師・美容師の方、理美容業界関係者の方は、ぜひお読みください!
5-9.顧客名簿やカルテの管理について(3)
 個人情報の漏えい事件の多くは、内部の従業員またはもと従業員が引き起こしていると言われています。持ち出した情報を名簿業者に販売したり、あるいは職場に対する恨みから、犯行に及ぶケースもあります。また、アメリカのマスターカードの顧客情報流出事件は、金融機関と加盟店の取引データを扱うデータ処理会社のシステムにハッカーが侵入したことにより起こっています。
 このように、個人データの管理については、従業員や委託先の業者からの情報の漏えい防止についても、留意する必要があります。

《7:従業者の監督について》

 個人情報取扱事業者が、その従業者に顧客名簿やカルテなどの個人データを取り扱わせる場合には、個人データの安全管理が図られるよう、その従業者に対して必要かつ適切な監督を行わなければならないとされています。
 また、もしその個人データが漏えいした場合に、その本人がこうむる被害の大きさに応じて、従業者の監督レベルを設定する必要があります。例えば本人の氏名と住所のみの個人データを取り扱わせる場合よりも、クレジットカード番号を含むデータを取り扱わせる場合の方が、より厳格に監督する必要があるということです。
 なお、ここでいう「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいいます。雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)はもちろん、取締役、執行役、理事、監査役、監事、派遣社員等も含まれます。

 ×:従業者に対して必要かつ適切な監督を行っているとはいえない場合
  1. 従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを、あらかじめ定めた間隔で定期的に確認せず、結果、個人データが漏えいした場合
  2. 内部規程等に違反して個人データが入ったノート型パソコンを繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、紛失レ個人データが漏えいした場合
 2.については、例えば顧客データの入っているノートパソコンを、車の中に放置して盗まれたり、電車の中に置き忘れたりした結果、大量の顧客データが漏えいしてしまうという例で、初歩的なミスですが、結構よく起きている事例です。

《8:従業者のモニタリング(監視)を実施する上での留意点》

 個人データの取扱いに関する従業者の監督のために、従業者を対象として監視カメラやオンラインによるモニタリング(監視)を実施する場合は、次の点に留意する必要があります。
  1. モニタリングの目的、すなわち取得する個人情報の利用目的をあらかじめ特定し社内規程に定めるとともに、従業者に明示すること。
  2. モニタリングの実施に関する責任者とその権限を定めること。
  3. モニタリングを実施する場合には、あらかじめモニタリングの実施について定めた社内規程案を策定するものとし事前に社内に徹底すること。
  4. モニタリングの実施状況については、適正に行われているか監査又は確認を行うこと。
 また、その際、雇用管理に関する個人情報の取扱いに関する重要事項を定めるときは、あらかじめ労働組合等に通知し必要に応じて、協議を行うことが望ましいとされ、また、その重要事項を定めたときは、労働者等に周知することが望ましいとされています。

《9:委託先の監督について》

 個人情報取扱事業者は、顧客名簿やカルテなどの個人データの取り扱いの全部又は一部を外部の業者に委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならないとされています。
 例えば、お店からお客様にDMを発送する際に、DM発送代行業者を利用する場合や、それまで紙で作っていたカルテを電子データ化するために、パソコンへの入力作業を外部の業者に委託する場合には、委託先の業者から個人情報が漏えいすることがないように、その業者に対して必要かつ適切な監督を行わなければならないということです。
 なお、もしその個人データが漏えいした場合に、その本人がこうむる被害の大きさに応じて、委託先の監督レベルを設定する必要がある点については、従業者に対する監督の場合と同様です。

 「必要かつ適切な監督」には、単に契約内容に委託者、受託者双方が同意した個人データの安全管理措置を盛り込むだけではなく、その安全管理措置がきちんと実行されているかどうかを、あらかじめ定めた間隔で確認することも含まれます。ただし、委託者の方が強い立場にある場合には、受託者に不当な負担を課すことがあってはなりません。
 また、委託者が受託者について「必要かつ適切な監督」を行っていない場合で、受託者が再委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じた場合は、元の委託者がその責めを負うことかあり得るので、再委託する場合は注意を要します。
 例えば、DMの発送代行業務をB社に依頼し、お店の顧客名簿をB社に渡した委託者のA美容室が、個人情報の安全管理についてB社をきちんと監督していなかった場合には、その後B社が主婦CにDMの宛名書きを再委託した際に、主婦CがうっかりB社から預かったA美容室の個人情報を漏らしてしまった場合には、(BやCはもちろんですが)美容室Aも、情報を漏らされた人たちに対して責任を負う場合があるということです。

 ×:受託者に必要かつ適切な監督を行っているとはいえない場合
  1. 個人データの安全管理措置の状況を契約締結時及びそれ以後も定期的に把握せず外部の事業者に委託した場合で、受託者が個人データを漏えいした場合
  2. 個人データの取扱いに関して定めた安全管理措置の内容を受託者に指示せず、結果、受託者が個人データを漏えいした場合
  3. 再委託の条件に関する指示を受託者に行わず、かつ受託者の個人データの取扱状況の確認を怠り、受託者が個人データの処理を再委託した結果、再委託先が個人データを漏えいした場合
 ○:個人データの取扱を委託する場合、契約に盛込むことが望まれる事項
  • 委託者及び受託者の責任の明確化
  • 個人データの安全管理に間する事項
    • 個人データの漏えい防止、盗用禁止に間する事項
    • 委託契約範囲外の加工、利用の禁止
    • 委託契約範囲外の複写、複製の禁止
    • 委託契約期間
    • 委託契約終了後の個人データの返還・消去・廃棄に間する事項
  • 再委託に間する事項
    • 再委託を行うに当たっての委託者への文書による報告
  • 個人データの取扱状況に関する委託者への報告の内容及び頻度
  • 契約内容が遵守されていることの確認 (例えば、情報セキュリティ監査なども含まれる。)
  • 契約内容が遵守されなかった場合の措置
  • セキュリティ事件・事故が発生した場合の報告・連絡に関する事項
 次節では、個人情報を第三者へ提供する場合のルールについて見ていきます。