眼鏡店のための個人情報の取り扱い

個人情報保護士　小清水秀吉

Ⅰ．序文

個人情報を流出してしまった企業の幹部が頭を下げている姿をニュースなどで見るのは珍しくなくなってきました。個人情報の流出は、年々増えています。特に最近は、流出した個人情報の数が数万人分から、多いものでは数百万人分と大規模になっています。

これは、コンピュータの進歩により大量の情報を集中管理できるようになったことや、記録メディアの大容量化、インターネット環境の発達などにより、大勢の個人情報を含んだデータの持ち出しが簡単になったことが原因の一つにあるようです。

近年は、「情報の自由な流通」と「プライバシー保護の確保」それぞれの重要性が高まっています。しかしながらIT社会の急速な変化は、ともすると両者のバランスを欠いてしまいがちなため、個人情報を保護するための制度が必要となってきました。EUで個人情報保護指令が採択されるなどの国際的な動きがあり、国内でも住基ネットワークの導入以後、官及び民に対する法整備が進められた結果、2005年4月に個人情報保護法が施行されました。

これを受け、我々の業界においても、個人情報保護に関するガイドラインが発表されています。

Ⅱ．個人情報とは

そもそも、個人情報とは何でしょうか？簡単に言うと、「特定の個人を識別できる情報」ということになります。具体的には、名前や電話番号、住所などはもちろん、メールアドレスや顔の画像、防犯カメラに撮影された映像も個人を特定できれば個人情報に該当します。また、プライバシー情報と間違えやすいのですが、私生活上の事実や既に公表されている情報かどうかなどは関係ありません。電話帳に掲載された情報も個人情報になるのです。

眼鏡店では、検眼カードや処方箋・顧客名簿はもちろん、フレーム装着シュミレーション用機器や防犯カメラに映った映像で、個人を特定できるものはすべて個人情報です。お客様の情報に限らず従業員の情報（従業員名簿や履歴書、防犯カメラの映像など）、取引先担当者の情報（名刺やメールアドレス、担当者個人を特定できる取引業者リスト）も個人情報に該当します。

（表１）個人情報に該当するかどうか

なお、個人情報保護法では、生存する者の情報または個人でも生存者が特定できる情報を個人情報としていますが、JIS X 5080（ISMS）では、故人の情報も個人情報として扱います。

Ⅲ．個人情報が流出するとどうなるのか

個人情報が流出したら、一体どうなるのでしょうか？

個人情報保護法では、「データベース化した個人情報を、過去6ヶ月間継続して5000件を超えて取り扱う民間業者」を「個人情報取扱事業者」とし、この法律を守る義務が発生します。「個人情報保護事業者」は法律を守らなければ、主務大臣から、報告の徴収→助言→勧告→改善命令という順番で指導を受けます。さらに改善命令に違反した場合は、裁判所から6ヶ月以下の懲役か30万円以下の罰金に処せられます。

いま、自分のところは「個人情報取扱事業者」ではないから関係ないと思った方、本当に「個人情報取扱事業者」に該当していませんか？

データベース化した個人情報を持っていない？いえいえ、データベース化するということは、何もパソコンに打ち込むということを指しません。検眼カードをランダムにしまいこんでいればデータベースではありませんが、例えばお客様名のアイウエオ順に整理していれば、立派なデータベースとなります。普通のお店ではそのような管理をしているのでないでしょうか？

また、5000件もの個人情報など扱っていないはず？よく考えて見ましょう。毎月500件のDMを定期的に発送すれば6ヶ月間では3000件の個人情報を取り扱ったことになります。先に挙げた通り、個人情報には従業員や取引先業者の情報も含まれます。これらを含めて過去6ヶ月間で5000件の個人情報を本当に扱っていないと言い切れるのか。つまりご自分の事業所が「個人情報取扱事業者」に該当するか否か、もう一度見直してみましょう。

もうひとつ。「個人情報取扱事業者」でなければ個人情報の取扱は、いい加減で良いのでしょうか？

私個人は、個人情報保護法違反に対する罰則は、それほど厳しいものであるとは思えません。しかし実際に個人情報が流出するとどうなるでしょう？

例えば56万人分の個人情報を流出したローソンや660万人分の個人情報を流出したソフトバンクBBでは一人につき500円の商品券を、8万人分の情報を流出したアプラスや13万人の情報を流出した東武鉄道ではやはり一人につき1000円分の商品券を、それぞれ流出したお詫び料として送っています。また、1人に付き1万円の賠償を支払うよう命じた判決も出ています。現代のデータ管理の性質上、流出するときは大量に流出しますから、一人に対するお詫び料は少なくても、トータルでは非常に大きな損失が発生してしまいます。まして、膨大なお詫びをしてもなお、500円や1000円の商品券が消費者に対してお詫びとしての効果があるのか。むしろ逆効果になり安い金額で解決を図るような悪印象を与えてしまう可能性があるということは、お客さんの反応に敏感な皆さんなら簡単に理解できると思います。

さらに、金額的な損失もさることながら、一度個人情報を流出させてしまった企業に対する社会的な信用の失墜はとても大きくなります。つまり「客離れ」という深刻な事態が待っているのです。先に挙げたソフトバンクBBで、それまで順調に伸びていた業績が減少に転じ、回復までに長い期間を必要としたことや、66万人分の個人情報を流出させたジャパネットたかたで営業を自粛し約130億円といわれる機会損失をだしても反省の姿勢を懸命にアピールしたことは、皆さんの記憶にもあるでしょう。情報を流出させた企業という悪い評価は、なかなか払拭できないというのが現実ではないでしょうか？

つまり、「個人情報取扱事業者」でなくとも個人情報の適切な取扱をしなければ、法的にはともかく社会的には認めてもらえないのです。

Ⅳ．個人情報保護法

個人情報保護法の内容について眼鏡店の立場で確認してみましょう。

（表２）個人情報保護法

＊１…抽象的、一般的な特定ではなく、可能な限り特定する必要があります。

悪い例「事業活動に用いるため」「提供するサービス向上のため」「マーケティング活動に用いるため」

良い例「眼鏡作成及び発送、関連するアフターサービス、新製品やセールに関する情報のお知らせのために利用します」

＊２…検眼カードやインターネット通販など、直接本人から個人情報を取得す場合、あらかじめ利用目的を明示しなければなりません。

店頭の場合は、利用目的を書面にし、掲出する

インターネット通販の場合は、トップページからワンクリック以内のわかりやすい場所に利用目的を記載したページを用意する。

＊３…「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」を行わなければなりません。

「組織的安全管理措置」　－　組織体制の整備、規定等の整備と規定等に従った運用、個人データ取扱台帳の整備、評価、見直し及び改善、事故又は違反への対処など

「人的安全管理措置」　－　従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や、教育・訓練などの措置

「物理的安全管理措置」　－　入退店（室）の管理、個人データの盗難の防止対策、機器・装置等の物理的な保護などの措置

「技術的安全管理措置」　－　情報システムへのアクセスにおける識別と認証、アクセス権限の管理、アクセスの記録、情報システムに対する不正ソフトウエア対策、移送・通信時の対策、情報システムの動作確認、情報システムの監視など

＊４…「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて企業主の業務に従事している者をいい、雇用関係にある従業員（正社員、契約社員、嘱託社員、パート社員、アルバイト社員等）のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれます。

◆従業者に対して必要かつ適切な監督を行っていない場合

・従業者が、個人データの安全管理措置を定める規定などに従って業務を行っていることを確認せず、結果として個人データが漏えいした場合

・内部規定等に違反して個人データが入ったノート型パソコンを繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、紛失し、個人データが漏えいした場合

◆従業者を対象とするビデオ及びオンラインによるモニタリングをする場合は、次の点に注意する

・ モニタリングの目的（＝取得する個人情報の利用目的）をあらかじめ特定し、社内規定に定めるとともに、従業者に明示すること

・ モニタリングの実施に関する責任者とその権限を定めること

・ モニタリングの実施についての社内規定を策定し、社内に徹底すること

・ モニタリングの実施状況について適正に行われているか監査又は確認を行うこと

＊５…委託者に何らかの問題が生じた場合は、元の委託者がその責めを追うことがあります。

＊６…次の場合は第三者提供に当たりますので注意が必要です。

・親子兄弟会社、グループ会社の間で個人データを交換する場合

・同業者間で、特定の個人データを交換する場合

例えば、枠入れ加工をグループ会社や加工業者に依頼する際に、個人情報を含んだ検眼データや処方箋を一緒に送れば第三者提供を行ったことになります。あらかじめ本人の同意なく第三者へ提供したことになります。

＊７…苦情処理窓の設置と責任者の任命・苦情処理手順の策定等を行わなければなりません。

Ⅴ．個人情報の適切な取り扱い

前項の個人情報保護法を踏まえて、実際に個人情報の取り扱いで特に注意すべきポイントは下記の６点です。

１．個人情報の取得に際して、利用目的を特定し、他の目的に利用しないこと

２．委託先や従業員の個人データの取扱に対する管理を適切に行うこと

３．本人の同意なく第三者に個人データを提供しないこと

４．個人データの漏えい・改ざん・紛失等に対する防止を行なうこと

５．本人から、個人データの開示・訂正・利用停止の求めがあった場合は適切かつ迅速に処理すること

６．個人データの取扱に対する苦情窓口を設け責任者を任命し、苦情があった場合は適切かつ迅速に対応すること

いかがでしょう。貴方のお店では、これらのポイントがきちんと押さえられていますか？

大事なのは、経営者の方針に沿って、個人情報の取り扱いの重要性を認識し、取り組んでいくことです。

個人情報の流出で、１番多いのが「内部からの流出」、2番目が「委託先などからの流出」だそうです。この２つだけで全体の約80％を占めるという統計が出ています。

悪意により流出したケースと、不注意などにより知らないうちに流出してしまったケースと両方のパターンを含んでいますが、他人事ではなく、自分たちにも起きうることとして全社的取り組みとを行うことで、悪意のある流出の抑止や、不注意による流出に対する注意の喚起になるのではないでしょうか。

Ⅵ．終わりに

いまどきは、企業のコンプライアンス（法律を守ろうとする精神）が問われるケースが多くなっています。まして個人情報の取り扱いについては社会的に大変神経質です。取り扱い方を誤ると、「客離れ」や「信用失墜」という大きな打撃を受けることは間違いがありません。

貴方のお店でも個人情報のきちんとした取り扱いをしていく自信がありますか？絶対に情報流出をしないなどということは、ありえないことだと思います。常に情報流出の危険は身近にあることを前提とし、全社的に情報保護に取り組むことを心がけてください。もちろん経営者の方から率先して行うべきなのは、言うまでもありません。

物は考えようです。むしろ、個人情報を大事に取り扱う店として、他店と差別化するためのアピールポイントにするくらいの意気込みで（プライバシーマークという、個人情報の取り扱いに対する一定の基準を満たしたことを認定する制度もあります）取り組んでみたらいかがでしょうか？

この文章の著作権は、@koshimyに帰属します。許可なく他者への配布を禁じます。