個人情報保護について学びましょう

~信頼されるサービスの継続のために~

まえがき

平素より、Z会の教育サービスにご理解と多大なるご協力をいただき、誠にありがとうございます。Z会は昭和6年の創業以来、学力上位層の知的好奇心に応え、更なる知力向上のためのサービスを提供し続けてきました。今後も、「考える力」を伸ばすための最適な教材として評価をいただけるよう、Z会グループ一丸となって邁進していく所存です。
さて、Z会グループの教育サービスは、一人ひとりの学力に応じた個別学習指導や少人数対面指導を特長としているため、個人情報に関わらざるを得ない側面があります。このようなZ会グループが提供するサービス性格上、当社は平成17年4月より完全施行された個人情報保護法を遵守して、答案や進路希望をはじめとする受講者に関する個人情報の安全を確保する責任を負っています。
Z会グループの教育サービスは、皆様のご協力あってこそ高品質を維持し、安定して提供できるものです。このことは、添削者の方々、在宅チェッカーの方々、講師の方々をはじめとするZ会グループの教育サービスを支えてくださる協力者の方々にも受講者の個人情報を取り扱っていただくことを意味します。したがって、これら協力者の皆様にも会員の個人情報を守る必要性についてご理解いただき、安全に取り扱っていただく必要がございます。
「Z会の通信教育」が、今後も会員の皆様からの信頼に応え、最適な学習ツールとして安心して利用できるように、皆様のご理解とご協力をよろしくお願い申し上げます。

平成28年4月 個人情報保護管理責任者

 

おことわり

特に指定のない限り、この冊子の中での用語は「個人情報保護法(平成15年法第57号)」および「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(経済産業省)」に準拠しています。
この冊子の内容に関する個別のお問い合せにつきましては、担当者を介して対応させていただきます。個人情報保護対策委員会が直接応答することはいたしかねますので、ご了承ください。

2016© ZKAI Co.,Ltd.

 

 

1.法律の目的は何か、「個人情報」とは何か

1)「個人情報保護法」の目的

法律の第1条を見ると、以下のように書かれています。

第1条(目的)
この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

お気付きになるかと思いますが、「個人情報を使わないことが望ましい」としているのではなく、ネットワーク社会の進展に伴って個人情報の有用性が高まっていることから、「適正に取り扱う」ことを前提として、「有用性に配慮する」ことと個人の権利利益との均衡を図ろうとしたのです。
昨今、「振り込め詐欺」、「ストーカー犯罪」、「カード詐欺」、「blog(ブログ)での誹謗中傷」など個人情報が悪用されるケースが後を絶ちません。杜撰に個人情報が取り扱われていると、このような犯罪行為を助長してしまうため、公正な利用となる要件を明確にして、適正管理の責任を法律で定めることにしたのです。

法律は、健全な経済活動までも萎縮させることを求めているのではないということは、個人情報を扱う側の責任として理解しておく必要があります。個人情報保護法の目的を的確に理解しないと、「使っちゃダメが基本」といった誤った理解をしてしまい、会員の利益を損なってしまうことになりかねないからです。

 

2)「個人情報」とは何か

法律の第2条を見ると、以下のように書かれています。

第2条(定義)
この法律において「個人情報」とは、生存する個人に関する情報であって、
当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

これに関して、経済産業省のガイドラインでは、以下のように書かれています。

(抜粋)
「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない(ただし、「2-2-3-2.安全管理措置(法第20条関連)」の対策の一つとして、高度な暗号化等による秘匿化を講じることは望ましい。)。
なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。
また、「生存する個人」には日本国民に限られず、外国人も含まれるが、法人その他の団体は「個人」に該当しないため、法人等の団体そのものに関する情報は含まれない(ただし、役員、従業員等に関する情報は個人情報)。※「他の情報と容易に照合することができ、…」とは、例えば通常の作業範囲において、個人情報データベース等にアクセスし、照合することができる状態をいい、他の事業者への照会を要する場合等であって照合が困難な状態を除く。

つまり、本人を特定した情報や、本人の特定につながる情報を広く捉えて「個人情報」として適正に取り扱うように求めているのです。
添削答案も、会員番号が記載され、個人を特定できますから、「個人情報」が掲載された書類として取り扱うことが求められます。
「個人情報」に該当すると、取得、利用、保管、廃棄、委託、第三者提供、本人関与など、個人情報保護法の様々な規制を受けることになります。

 

★ 個人情報を取り扱う場面

 

申込書などからの取得
申込書などからの取得
教材送付やDM送付等での利用
教材送付やDM送付等での利用
書類やデータの保管管理
書類やデータの保管管理
不要になった個人情報の廃棄
不要になった個人情報の廃棄
ネットワークにおける安全管理
ネットワークにおける安全管理
データ複製時の複製物の管理
データ複製時の複製物の管理
委託先等へのデータの委託
委託先等へのデータの委託
本人の自己のデータへの関与権
本人の自己のデータへの関与権
第三者への個人情報の提供
第三者への個人情報の提供

 

 

2.「個人情報取扱事業者」が負うべき責任

1)「個人情報取扱事業者」とは

個人情報保護法施行令では、個人情報保護法第2条3項5号に定める“適用除外対象”を以下のように定めています。

施行令第2条
法第二条第三項第五号 の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数(当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等であって、次の各号のいずれかに該当するものを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。)の合計が過去六月以内のいずれの日においても五千を超えない者とする。

つまり、過去半年間に1日でも5,000人以上の個人情報を扱っていれば適用対象とするものです。条件に合致する限り、個人か法人・団体かを問いません。「事業の用に供する」という意味は「反復継続して扱う」ということで、営利目的か否かを問いません(行政機関を除きます)。例えば、タレントのファンクラブや同好会のような法人格がない団体でも、5,000人以上の個人情報を扱えば「個人情報取扱事業者」に該当します。適用対象事業者か否かは外からは判断できないため、除外対象事業者であっても社会的な責任として個人情報の適正利用を進めなければなりません。

「個人情報取扱事業者」とは

これからは、ユーザー、消費者の選択でも個人情報の扱いに不安を感じるような企業との取引を敬遠するようになっていくものと思います。
なお、Z会では、多くの方の個人情報を取り扱っていますから、間違いなく個人情報取扱事業者に該当します。

 

2)「個人情報取扱事業者」の責務とは

「個人情報取扱事業者」の責務とは、個人情報保護法第四章「個人情報取扱事業者の義務等」の第一節「個人情報取扱事業者の義務(第15条~第36条)」に定める事項を遵守することです。
これらの定めを大別すると、取得における遵守事項、利用における遵守事項、安全管理のための遵守事項、本人関与のための遵守事項、苦情処理に関する事項、行政指導に関する事項があります。
取引先へのデータ処理の外注や、添削者の方々への添削指導の委託の場合には、発注者、委託者が個人情報の本人に対して、受注者・受託者の管理責任を負います(漏洩等の場合の賠償責任を含む。発注者、委託者から受注者、受託者への求償は別です)。これについて、経済産業省のガイドラインには、以下のように書かれています。

(抜粋)
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、法第20条に基づく安全管理措置を遵守させるよう、委託を受けた者に対し必要かつ適切な監督をしなければならない。その際、委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じた、必要かつ適切な措置を講じるものとする。「必要かつ適切な監督」には、委託先を適切に選定すること、委託先に法第20条に基づく安全管理措置を遵守させるために必要な契約を締結すること、委託先における委託された個人データの取扱状況を把握することが含まれる。

外注委託の場合には情報管理が間接的になりますから、安全対策を一層厳格に考えなければなりません。具体的な委託先管理の内容として、以下のものがあります。

【選定】

  1. 安全管理措置を講じているか、安全管理措置を講じることに同意した相手方を選定すること(安全確保の要請に応える期待があること)
  2. 過去に犯罪、法令違反、社会的批難を受ける行為がないこと(規範の遵守意思が認められること)

【管理】

  1. 契約書、誓約書、同意書などの書面での確約がとれること
  2. 管理基準を定めているか、Z会の管理基準に従うこと
  3. 立入検査、所持品検査、報告などの求めに応じること

【環境・保管】

  1. 情報資料、データに施錠管理やパスワード管理を施すなど、容易に第三者が関与できないように管理すること
  2. 容易に第三者が関与できない作業環境で取り扱うこと
  3. 第三者に漏洩しないこと(会話やメールなども含む)

なお、会員の個人情報に対するリスクの拡大を防止するために、個人情報の安全を脅かす恐れのある委託先との契約を放置せず、速やかに打ち切ることも求められます。

 

 

3.安全管理義務

1)安全管理のカテゴリー

個人情報保護法第20条で「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と定められています。これを受けて経済産業省のガイドラインでは、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の4区分で個人情報取扱事業者が取り組むべき安全管理措置を解説しています。

組織的安全管理措置

安全管理について従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認する

【講じなければならない事項】
1) 組織体制の整備
2) 規程等の整備と規程等に従った運用
3) 管理台帳などの整備
4) 安全管理措置の評価、見直、改善
5) 事故や違反への対処

人的安全管理措置

従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うこと

【講じなければならない事項】
1) 雇用契約時及び委託契約時における非開示契約の締結
2) 従業者に対する内部規程等の周知・教育・訓練の実施

物理的安全管理措置

入退館(室)の管理、個人データの盗難の防止等の措置

【講じなければならない事項】
1) 入退館(室)管理の実施
2) 盗難等の防止
3) 機器・装置等の物理的な保護

技術的安全管理措置

情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置

【講じなければならない事項】
1) アクセスにおける識別と認証
2) アクセス制御
3) アクセス権限の管理
4) アクセスの記録
5) 不正ソフトウェア対策
6) 個人データの移送・送信時の対策
7) 情報システムの動作確認時の対策
8) 情報システムの監視

委託業務を引き受けていただく際に「誓約書」を提出していただき、あるいは事業所内の管理規則に従う旨の「同意書」を提出していただいています。これは、「組織的安全管理措置」で要求される事項ですし、誓約書にある「立入検査」や同意書にある「所持品検査」は、「物理的安全管理」のための措置です。また、本教材による学習のような個人情報保護に関する理解を促進するための活動は「人的安全管理措置」の実践ですし、答案管理やWebやメールなどにおけるセキュリティ管理の諸施策は「技術的安全管理措置」として行われるものです。

 

Z会が取り組んだ措置の例

組織的安全管理措置

1) 就業規則、懲戒規程、個人情報保護マネジメントシステム規程など、関連諸規程の整備
2) 誓約書・同意書の提出
3) 部署細則等の作業手順のルール化
4) 管理台帳の作成
5) 個人情報保護管理責任者を中心とした体制の構築

人的安全管理措置

1) 担当業務や属性に応じて情報へのアクセス権限を区分
2) 集合研修、e-Learning、教材冊子による教育訓練
3) 違反者の懲戒規程などによる処分や業務担当の見直しなど

物理的安全管理措置

1) 館内管理エリア区分(ゾーニング)
2) 防犯カメラの増設
3) 出入口の施錠管理強化
4) 文書保管キャビネットの施錠管理
5) 従業員・来訪者の入館証装着
6) シュレッダー設置の倍増

技術的安全管理措置

1) 暗号化ツールの導入
2) メールフィルター導入
3) Webフィルター導入
4) PCのタイムアウト管理
5) ネットワーク・ログインIDのパーソナライズ

 

 

4.利用目的について

個人情報を扱ううえで、最も問題になるのが「何のために使うのか」という「利用目的」です。個人情報保護法でも、第15条(利用目的の特定)、第16条(利用目的による制限)、第18条(取得に際しての利用目的の通知等)、第24条1項2号(保有個人データに関する事項の公表等:利用目的)、同条2項(保有個人データに関する事項の公表等:利用目的の通知)、第27条1項(利用停止)、第30条(手数料:利用目的開示)など、手厚く定められています。
Z会は、個人情報の利用目的を以下のように通知・公表しています。

  1. Z会グループおよび関連会社等の商品・サービス・催事・求人等のご案内
  2. ご契約いただいたお客様に対する、教材発送・答案返送などのご契約内容の履行、お問合せ・ご相談への応答、意欲喚起のための活動、ご利用結果の測定、その他附帯サービスの提供。ただし、必要な情報をご登録いただけない場合、一部サービスのご提供ができない場合がございます。
  3. 商品・サービスの開発、改善のための調査・研究(アンケートの送付など)

(平成28年度現在)

この目的以外に使う場合には、個別に同意をお願いし、同意いただけた場合に限って使うことになります。
また、委託先には委託業務の目的遂行のためにのみ個人情報を委託しますので、受託者が委託業務に必要な範囲を超えて扱うことは、不正利用となります。例えば、個人で開設しているホームページやブログに答案や質問の内容などを載せることは、個人情報の場合には個人情報の不正利用になりますし、非公開情報にあたる場合には機密漏洩になります。

 

 

5.第三者提供について

個人情報を他人の利用目的のために他人に提供することを「第三者提供」といいます。
委託業務のような、「自己の目的のために他人に扱わせること」は、「第三者提供」とは区別されます。個人情報保護法第23条4項1号で「第三者」から除外しています。したがって、Z会が委託先・外注先に個人情報を委託して処理を委ねることは「第三者提供」ではありません。
また、個人情報保護法は、事業者(個人事業者を含む)単位で規制しています。つまり、グループ企業であっても、別法人であれば「第三者」にあたります。このため、前ページのZ会の利用目的では、グループで利用することを明記し、この利用目的の近傍にグループの会社名を明記しています。たとえ家族の中でも、個人情報を扱うべき立場にない人にその情報を扱わせたり見せたりすれば、「第三者提供」になります。
一方、事業者に雇用される従業員は、事業者そのものと同一視されますので、仮に個人情報を扱う業務の担当者ではない従業員であっても、事業の範囲内で扱う限りは「第三者」ではありません。
もちろん、事業目的以外で、専ら従業員の個人的な目的・関心のために扱うことを事業者が許すようでしたら、第三者提供となりますから、個人情報の本人の同意が必要ですし、従業員が事業主の許可なく無断で扱えば「不正取得・不正利用」となります。

 

 

6.「業務委託」での個人情報の取り扱い

業務委託の場合、あくまで個人情報は委託者の支配・管理下にあるものとされ、受託者は委託者の指揮・管理の下で扱うことになります。つまり、委託者は受託者に対して個人情報をどう扱うべきかを指示し、受託者はその指示に従って個人情報を扱う義務を負うのです。もし、受託者が取扱指定エリア(教室等)から無許可で持ち出したり、守秘義務に反して口外したり、その他委託者の指示に反して扱ったりして、それにより紛失事故や漏洩事故があった場合には、委託契約に反したものとして、受託者の責任も問われます。
社外への個人情報の受け渡しについて、Z会では「受渡票」(添削者の方とは「送付表」)で管理しています。これは、個人情報の受け渡しの頻度に応じて、日次または月次で個人情報の受け渡しを記録するもので、万一、漏洩事故が発生した場合に、漏洩範囲、漏洩に関与した人、漏洩経路などを辿る資料となり、再発防止や補償への対応のために必要です。
また、「受託者の作業場所」は委託者の場所から離れている場合が多く、個人情報の取扱状況を日常的に監督することはできません。それでも、委託者は個人情報の取扱状況を問題なく管理する責任を負い、経済産業省のガイドラインでも立ち入り検査などの適切な委託先管理の方法を求めています。これを受けて、Z会は全ての委託先、添削者・在宅チェッカーの方々に立入検査に協力する旨の同意をいただいています。
勿論、委託先への不当な圧力、必要以上の介入にならないよう、プライバシーなどの人権に配慮しなければならないことは言うまでもありません。

 

 

7.誓約書について(作業場所、保管場所、立入検査)

既述しているように、個人情報取扱事業者は、組織的安全管理の一環として、安全管理の指揮に従うことを明らかにした者に個人情報を扱わせる責任を負います。このため、誓約書や同意書など、そのことを明確にする書面を従業員や委託先・外注先などから得ておく必要があります。
これら書面によって、漏洩事件が起こらないように注意関心を持たせ、不適切な実態を改善させる指揮の遵守や、万一、漏洩事件が起きた場合に事業場内からの個人情報の持出を阻止して被害の拡大を防止する措置などへの同意を取り付けておくことが重要となります。
具体的な内容となる「立入検査(Z会の事業所外で従事する場合)」や「所持品検査(Z会の事業所内で従事する場合)」のような“人権との摩擦”が予想される事柄については、「個人情報保護」という目的のために、必要かつ合理的な限度でのみ行うことができるものです。
作業の環境や手順に個人情報の安全を脅かす状況がないか否かを確認するために行う「立入検査」は、受託者の事業や私生活を妨げる場合がありますので、できるだけ業務と無関係な事柄への影響を小さくする方法で行う必要があり、以下の点を踏まえて行います。

立入検査のポイント

  • 事前に差し障りのない日時を取り決める。
  • 必要最小限の時間内で完了する。
  • 一回の検査で必要な確認を完了する(何度も頻繁に出入りしない)。
  • 検査報告では妄りにプライバシーに関する事柄に触れない。
  • 事前にチェックポイントを明確にして、必要な準備を促す。
  • 不適切な取り扱いがあった場合の苦情の申し出先を明らかにする。

また、事業所内から不正な持ち出しがないかを確認するために私物の開披を求める「所持品検査」もプライバシーに抵触しますので、本人への弊害を極力小さくする方法で慎重に行う必要があり、以下の点を踏まえて行います。

所持品検査のポイント

  • 具体的な必要性(漏洩事故・事件の発生を疑う事実)を明示する。
  • 然るべき検査権限を付与された者が必要最小限の人数で行う。
  • 他者の視線を遮蔽した場所で、本人立会いの下で行う。
  • 明らかに無関係な私物には触れない。
  • 検査によって知った事は秘密事項として厳重に管理し、発見された問題を除いて、一切口外しない。
  • 不適切な取り扱いがあった場合の苦情の申し出先を明らかにする。

誓約書には、保管場所や業務に従事する場所について、一定の条件を定めています。現実には、資金や設備などに大きな違いがありますから、受託者が個人なのか法人なのかに応じて現実的に判断します。保管場所についても、簡単に第三者が接触できないような施錠管理が望ましいのですが、個人では鍵のかかる特別な保管庫を用意できない場合もあります。その場合、少なくとも他の物と混在させない、個人情報が見えない容器に収納するなどの対処は必要です。
答案や質問カードその他の業務上取り扱う情報の内容等を、ご家族であっても、業務と無関係の人に口外しないこと、万一ご家族が見聞きしてしまった場合でも一切他人に口外しないことも遵守していただくことです。
また、無関係な人の目に触れないように作業場所にも配慮を要しますが、必ずしも個室や専用の作業スペースを要求するものではありません。無闇にご家族の目に触れない時間を選んで作業を進める、ご家族のご理解とご協力を得るといったことが必要です。

 

 

8.本人の関与権について

個人情報保護法が「利用目的」の次に重視しているのは、自己の個人情報への関与権です。個人情報の本人との対応は、委託元であるZ会がすべて行いますので、添削者・在宅チェッカーの方々をはじめとする委託先で本人に対応していただくことはありません。
このため、ここでは簡単に概要だけをお知らせしておきます。
本人の関与権として個人情報保護法で定めているのは以下のものです。

  • 開示請求(第25条)~開示しなくて良い場合も法定されています。
  • 訂正請求(第26条)~「利用目的の達成に必要な範囲内」です。
  • 利用停止請求(第27条1項)~第16条・第17条違反の場合です。
  • 第三者提供停止請求(第27条2項)~第23条1項違反の場合です。
  • 理由説明義務(第28条)~第24条3項、第25条2項、第26条2項または第27条3項により本人から求めがあった場合です。
  • 手続(第29条1項)~本人が所定手続に則って申請すべき定めです。
  • 本人確認(第29条2項)~「成りすまし」を防止する措置です。
  • 手数料(第30条)~「成りすまし」による漏洩を防止することと、事業者への嫌がらせのような開示請求の乱発を防止するためです。
  • 苦情処理(第31条)~の適切かつ迅速な処理に努めなければなりません。

会員の個人情報に関する開示請求の受付窓口は、各事業のお客様センター等としており、申請に必要な書式は各窓口でご案内します。
また、開示手数料は1件あたり一律800円です。

 

 

9.皆さんの個人情報について

在宅で添削指導や質問回答に従事していただいている方、あるいは講師の方など、Z会に登録させていただいている協力者の皆さんの個人情報もZ会が管理すべき個人情報です。
会員の個人情報を大事に取り扱っていただくには、それらの情報を扱う方の個人情報についても、同じように大事に取り扱わなければならないと考えています。

 

 

10.個人情報の保護基準について

個人情報の公的な保護基準として、日本工業規格(JIS規格)が定める「個人情報保護マネジメントシステム-要求事項(JISQ15001:2006)」があります。実務の事情に関わらず、JIS基準への適合を要求するもので、これを満たして申請をして許可を得たうえで使用料を払って表示するマークが「プライバシーマーク(Pマーク)」です。

 

 

 

お問い合わせ

お問い合わせ

小学校~高校の先生・職員の方

【東京営業所】

03-5296-2830月〜金 午前9:00〜午後5:30
(年末年始・祝日を除く)
Fax:03-5296-2842

【大阪営業所】

06-6195-8550月〜金 午前9:00〜午後5:30
(年末年始・祝日を除く)
Fax:06-6195-8560

大学の先生・職員の方/法人の方

03-5289-7808月〜金 午前10:00〜午後6:00
(年末年始・祝日を除く)
Fax:03-5296-2842