＜個人情報の保護に関する法律＞

第23条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
１　法令に基づく場合
２　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
３　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
４　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先日、『Tカード』の運営会社が裁判所の令状なしに捜査当局に個人情報を提供していた問題が物議を醸す事態となっています。

さて、あなたの会社の『個人情報保護方針』はどのようになっていますか？

Tカード問題を自社に置き換えた場合

今回『Tカード』の運営会社が行った内容は、

警察からの『捜査関係事項照会書』に回答をしたということです。

これが法的に問題か？と言うとそうではありません。

冒頭に書いた『個人情報の保護に関する法律』の『法令に基づく場合』に該当するため問題ではありません。

（他にも『裁判官の発する令状に基づく捜査』、『税務署の所得税等に関する調査』、『弁護士会からの照会』なども『法令に基づく場合』に該当します。）

問題視されているのは『個人情報保護方針』などに明記されずに内々だけで方針を変更していたことが大きいです。

つまり、予め『個人情報保護方針』などにおいて『法令に基づく場合』は個人情報の提供をすることがある旨を開示しておけば良かった話しかと思います。

（問題視された後、同社は2019年1月21日付にて個人情報保護方針を改訂しています。）

さて、あなたの会社の『個人情報保護方針』はどのように明記されていますか？

そこが問題です。

個人情報を本人の同意なく第三者に提供はしないものの、法令に基づく場合は例外として提供することがあるということが明記されているかどうかです。

ただし、『法令に基づく場合』の要請であったとしても社内的な精査を行うか、弁護士に相談するなど慎重な対応が必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、いよいよ改正個人情報保護法が施行されたわけですが、近しいところに聞いた限りでは全くもってその認識はありませんでした。

そのようなこともあり、今日は改正個人情報保護法のおさらいです。

改正個人情報保護法の基本をチェック

まず、今まで適用除外とされていた小規模事業者（保有する個人情報が5000人以下の企業）に対しても個人情報保護法の対象になります。

個人事業主も例外ではなく、『個人情報を取得して、事業の用に供する者』すべてが対象になります。

そして、以下のことが必要になってきます。

１．個人情報を取得する際、利用目的を定め、本人に告知する

予め利用目的を特定し、本人に伝えるか、ホームページや店頭での掲示などにて公表する必要がある

２．取得した個人情報は定めた目的以外には使用しない

取得した個人情報は特定した利用目的の範囲内で利用する

取得済みの個人情報を特定の目的以外で利用したい場合、予め本人の同意が必要

３．取得した個人情報は安全に管理する

電子ファイルのパスワード保護、セキュリティソフトの活用、紙媒体は施錠可能なところに保管など

４．個人情報を第三者に提供する際、本人の同意を得る

個人情報を第三者に提供する場合は、原則、本人の同意が必要

法令に基づく『警察からの照会』などの場合、災害時などの人命に関わる場合で本人から同意を得るのが困難な場合、商品配送時の配送業者への業務委託などは同意が不要

５．本人からの『個人情報の開示請求』に応じる

保有している個人情報に関して、本人からの開示、訂正等の請求に応じる必要がある

これらのことを基本に、個人情報を保護しなければいけません。

当然、個人情報保護に対する社員教育も必要になります。

参考として、以下の記事もご覧ください。

『改正個人情報保護法施行日迫る』

『個人情報保護法を再度確認する』

会社法356条1項1号：取締役が自己又は第三者のために株式会社の事業の部類に属する取引をしようするとき。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

会社の取締役が別の会社の取締役を兼務していたり、個人的に事業を行っているケースはよくあります。

しかし、その中で問題になるのは、取締役が会社と競業するような取引業務を行っていないかどうかです。

取締役の競業避止義務とは

冒頭にお書きしたように、会社法において取締役がその会社の事業の部類に属する取引をしようとするときは株主総会において承認を得ることとしています。

また、取締役会が設置されている会社であれば取締役会の承認を得なければならないと解釈できます。

つまり、無断で会社と競合する可能性のあることをするなということです。

これは、取締役が自己又は第三者のために利益を図る行為を防ぐことにあります。

競業避止義務違反が発生しそうなケース

例えば、A氏とB氏（どちらも取締役）が共同でシステム開発会社を立ち上げていたとします。

その際、取締役B氏が無断で個人的にシステム開発を請け負っていたりするケースなどはそれに当たります。

小規模事業者の場合、内緒でこういった行為を行っている取締役は多かれ少なかれいるでしょう。

競業避止義務違反の顛末

もしこのB氏のように競業避止義務違反を問われた場合、この取締役B氏は会社に対して損害賠償義務を負うということになります。

内緒でこのような行為を行っている方、注意しないと後々痛い目にあうことになりますのでご注意を。

個人情報保護法は、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しながら、個人の権利利益を保護することを目的としています。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

昨今、マイナンバー制度が開始されていることもありマイナンバーの取り扱いに対することばかりに注目が集まっていますが、マイナンバーの取り扱いがない場合においても個人情報は非常に大切なものです。

そこで、『個人情報保護とは』を改めて確認しておきましょう。

個人情報・個人データ・保有個人データ

『個人情報』とは、『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）』をいいます。
また、個人情報をデータベース化した場合、そのデータベースを構成する個人情報を、特に『個人データ』といい、そのうち、事業者が開示等の権限を有し６か月以上にわたって保有する個人情報を、特に『保有個人データ』といいます。

個人情報取扱事業者

『個人情報取扱事業者』とは、個人情報データベース等（紙媒体、電子媒体を問わず、特定の個人情報を検索できるように体系的に構成したもの）を事業活動に利用している者のことをいい、個人情報保護法に定める各種義務が課されています。
（※）改正前の個人情報保護法では、事業活動に利用している個人情報が5,000人分以下の事業者は、個人情報取扱事業者に該当せず、義務の対象から除外されています。しかし、インターネットの急速な普及等により、取り扱う個人情報に係る個人の数が少なくても個人の権利利益を侵害するリスクが高まっていることから、改正後は、5,000人分以下の個人情報を取り扱う事業者についても個人情報保護法の義務の対象となるため、注意が必要です。

上記の赤字で記載した部分に注目してください。

昨年の9月、個人情報取扱事業者の5,000人要件が撤廃される法案が成立しました。まだ施行はされていませんが、成立から2年以内には施行されますので今後は人数に関係なく義務の対象となります。

利用目的の特定・目的外利用の禁止

個人情報を取り扱うに当たっては、利用目的をできるだけ特定しなければなりません。また、原則として、あらかじめ本人の同意を得ずに、その利用目的の達成に必要な範囲を超えて個人情報を取り扱うことは禁止されています。

適正な取得・取得時の利用目的の通知等

偽りその他不正な手段によって個人情報を取得することは禁止されています。また、個人情報の取得に当たっては、取得前にあらかじめ利用目的を公表し、又は取得後に速やかに本人に利用目的を通知又は公表しなければなりません。

安全管理措置・従業者や委託先の監督

個人データの漏えいや滅失を防ぐため、必要かつ適切な保護措置を講じなければなりません。また安全にデータを管理するため、従業者や委託先に対し必要かつ適切な監督を行わなければなりません。

第三者提供の制限

原則として、あらかじめ本人の同意を得ずに本人以外の者に個人データを提供することは禁止されています。ただし、委託、事業承継及び共同利用に該当する場合は、第三者提供に該当しないこととされています。

開示、訂正、利用停止等の求め

本人からの求めに応じて、保有個人データを開示し、内容に誤りのあるときは訂正等を行い、法律上の義務に違反する取扱い（目的外利用（法16条）、不適正な取得（法17条）、本人同意のない第三者提供（法23条１項））については利用停止等を行わなければなりません。

このように、ITの進化や環境の変化などとともに個人情報保護はより厳格に取り扱うべきものとなっています。

マイナンバーの取り扱いに限らず、個人情報は全てにおいて細心の注意を払って取り扱わなければいけません。