名刺の適切な管理の仕方について
Q
営業活動で集まった顧客の名刺は、デスクの中の名刺ケースに収納しています。社内は、社員のみの出入りなので、盗まれる心配はないと思うのですが、名刺を管理しなければならないでしょうか。また、その場合の適切な管理の仕方を教えてください。
A
「名刺」は、死亡者のものでなければ「個人情報」になります。ただし、それだけでは個人情報保護法の保護対象にはなりません。デスクの中の名刺ケースに収納しているとのことですが、収納方法が問題になります。名刺を五十音順などで容易に検索できるように整理していると、その状態が「個人情報データベース等」に該当するようになります。
さらに、当該データベースを構成する個人データが5000人以上で、過去六ヶ月以上保有している場合は、個人情報取扱事業者となります。この段階で、そこに蓄積されている個人データは個人情報保護法の保護対象となり、個人情報取扱事業者になった者は同法の規制対象となります。個人情報取扱事業者には、法人や任意団体、個人も含まれます。
個人情報取扱事業者は、個人データの取扱いについて適性かつ安全に管理するよう求められます。質問の場合、少なくとも、名刺ケースを施錠できる引き出しに保管するなどの情報漏洩対策を講じる必要があると思われます。
なお、社員個人で収集した名刺とはいっても、所属する企業の事業活動で収集したものといえます。したがって、名刺は企業のものであり、管理責任は企業にあるという考え方もあります。個人が個人情報取扱事業者として、安全管理措置を行う限界もあるでしょう。所属する企業全体の個人情報保護法に対する取り組みも含め、名刺の取扱いについて上司に相談することをお勧めします。
【個人情報とは】
個人情報保護法で定義されている「個人情報」は、以下の3つの要素を持っています(個人情報保護法第2条第1項)。
- 生存する個人に関する情報
- 特定の個人を識別することができるもの
- 他の情報と容易に照合することができるもの
死亡者の情報は個人情報ではありませんが、現在生存している親族などに関係する場合は、死亡者の場合も個人情報となります。
「特定の個人を識別することができるもの」とは、個人を特定できる何らかの情報を指します。基本的には、「名前」「住所」「電話番号」などです。また、「個人が自身を表す情報として認識しているもの」も個人情報となります。勤務先名などが該当します。
「他の情報と容易に照合することができるもの」とは、名前などの明確に個人を特定できる情報とその他の情報(身長や体重など)が、同一社内などにある状態をいいます。
個人情報保護法
第2条第1項 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
【個人情報取扱事業者】
個人情報保護法では、この法律の対象とするのは「個人情報取扱事業者」としています。個人情報取扱事業者を一口で言うと、「『個人情報』を『事業の用に供している者』」ということになります(個人情報保護法第2条第3項)。
また、例外規定として、「取り扱う個人情報の量」が少なければ「個人情報取扱事業者」とはしないというものがあります(個人情報保護法第2条第3項第5号)。この個人情報の量については、経済産業省のガイドラインで、「過去6ヶ月以内のいずれの日においても5000人を超えない(同一人物の重複分は除く)」と示されています。
個人情報保護法
第2条第3項 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)
四 地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)
五 その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
【個人情報データベースについて】
個人情報データベースとは、収集した個人情報を以下のように取りまとめたものを指します(個人情報保護法第2条第2項)。
- 「電子計算機を用いて検索することができるように体系的に構成したもの」
- 「容易に検索することができるように体系的に構成したもの」
つまり、この質問の場合、収集した名刺を五十音順に整理し、名刺ケースに収納していたりすると、個人情報データベースに該当することになります。特に整理せず、ランダムに保管しているだけでは個人情報データベースにはあたりませんが、仕事で利用している以上、そのようなことは通常はないでしょう。
なお、この個人情報データベースを構成する個人情報が「個人データ」になります。
個人情報保護法
第2条第2項 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に揚げるものをいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に揚げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
【安全管理措置】
個人情報保護法では、個人情報取扱事業者に対し、保有する個人情報を安全に管理することを求めています(個人情報保護法第20条)。具体的な管理については、以下の4つのポイントから安全管理措置を義務付けています(経済産業省のガイドラインより)。
- 組織的安全管理措置
安全管理について従業員の責任と権限を明確に定め、安全管理に対するルールやマニュアルを整備運用し、その実施状況を確認する措置を講ずること。 - 人的安全管理措置
従業員に対して、業務上秘密と指定された個人データの非開示契約の締結、教育・訓練等を行うこと。 - 物理的安全管理措置
入退室の管理、個人データの盗難の防止、機器・装置の物理的保護等の措置を講ずること。 - 技術的安全管理措置
個人データやそれを取り扱うシステムへのアクセスコントロール、不正ソフトウェア対策、情報システムの監視といった、個人データに技術的な措置を講ずること。
個人情報保護法
第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
中小企業診断士 井上きよみ
[2006年7月28日 掲載]
関連記事
- 他事業部の顧客名簿を借りてもよいか~第三者提供の制限~
- 名刺の適切な管理の仕方について
- 顧客情報が記載している手帳を紛失してしまったら
記事についてのご質問・ご意見ご要望など、お気軽にお問い合わせください。
電話でのお問い合わせ
