『その行為は法令等遵守違反です』(井川正行)
金融機関向けの個人情報保護法の事例本です。本書で取り上げられている40事例は、窓口や営業の際に遭遇しそうな場面をマンガと解説でコンパクトにまとめられており、個人情報保護法のエッセンスを知るにはお手頃な一冊だと思います。
(ポイント‥本書より)
〇個人情報
生存する個人に関する情報で、その情報に含まれる氏名・生年月日その他の記述により特定の個人を識別することができるもの。他の情報と照らし合わせることで特定の個人を識別できるような情報も含まれる。公刊物等によって公にされている情報も個人情報に含まれる(金融庁ガイドライン2条1項)
〇名刺フォルダーは個人情報データベース等であり、フォルダー内の名刺に記載された個人情報は個人データになる。
〇保有個人データについて、お客様本人から、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の請求があった場合、金融機関は正当な理由がない限り断ることができない。断る場合には、その判断の根拠及び根拠となる事実を示して、お断りの理由を本人に説明するよう努めなければならない。
〇利用目的は、「当社の預金の受入れ」といった例を挙げる。「自社の所要の目的で用いる」といったものは抽象的であり、できる限り特定したとは言えない。
〇利用目的を超えて利用できる場合
①法令に基づく場合
②人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難な場合
③公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
④国の機関もしくは地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼす恐れがあるとき
〇業務遂行上必要でないセンシティブ情報が記載されている場合、たとえば、金融機関は当該情報を黒塗りして保存する等の措置をとることとする
〇個人のお客様の病歴に関する情報はセンシティブ情報。取引先の社長が病気で倒れられたという場合、その状態を聞くことは金融庁ガイドラインに反しないと言えます。しかし、そこから進んでその情報を記録するということになると、金融庁ガイドラインでいう取得にあたるため、一般的には許されない。
〇個人情報の不正取得等の不当な行為を行っている第三者から、当該情報が漏えいされた個人情報であることを等を知ったうえで当該情報を取得してはならない。
〇個人データを第三者に提供するときには、あらかじめ本人の同意(原則として書面による)を得なければならない。
〇金融庁ガイドライン(22条)は、個人情報の漏えい事故が発生した場合には、①金融庁に直ちに報告する、②漏えい事案の事実関係を公表する、③本人に速やかに事実関係を通知する、ことを金融機関に要求している。
〇たとえ配偶者や子供に対してであっても、お客様に関する情報を正当な理由なしに本人の同意なく伝えることは守秘義務違反となります。
〇特定共同利用するときは、あらかじめ共同する旨、共同利用者の範囲、利用目的等を通知・公表しなければならない。
以前、行政書士の勉強をしたときに、勉強したことがある個人情報保護法。金融機関でなくとも、ビジネスでは必須の知識であり、基本的な考え方は押さえておく必要があると思います。法律は知らないこと自体がリスクであり、一度全体像と考え方を学んでおいて、危ないところで調べみようとする意識が働くレベルには達しておきたいところです。