警備業における個人情報の保護に関する ガイドライン - ajssaは し が き...
TRANSCRIPT
社団法人 全国警備業協会
警備業における個人情報の保護に関する
ガイドライン
平成23年
「セキュリティ・タイム」5月号 VOL.389付録 平成23年5月25日発行
は し が き 「個人情報の保護に関する法律」が平成 17 年4月に全面的に施行され、社会
の個人情報保護に関する意識の高まりとともに、警備業者の取組みも進んでい
る一方、依然として社会的な目耳を引く個人情報の漏えい事案が後を絶たない
状況にあります。
また、「個人情報の保護に関する法律」に対する誤解等に起因して、必要とさ
れる個人情報の提供までもが行われず、事業活動が抑制される等、「過剰反応」
と言われる状況も一部に見られています。
これらの保護法施行後の諸状況をかんがみ、警察庁では、内閣府が策定した
「ガイドラインの共通化の考え方」に基づき、「標準的なガイドライン」に準処
し、「国家公安委員会が所管する事業を行う者等が講ずべき個人情報の保護のた
めの措置に関する指針」の全部を改正しました。
それをもとに(社)全国警備業協会では加盟員各位が遵守すべき個人情報の
適正な取扱いができるよう、改めて、より具体的な自主規範(ガイドライン)
を定めることとし、平成 22 年9月から検討部会を設置して、「個人情報の保護
に関する法律」 及び 「国家公安委員会が所管する事業分野における個人情報
保護に関する指針」に関する業界の対応について、警察庁のご指導のもと審議
を重ね、平成 23 年3月 理事会の承認を得て「警備業における個人情報保護に
関するガイドライン」を改めて制定するに至りました。
本ガイドラインは、警備業者に対する個人情報の保護に関する法律の適用の
基準を明らかにするとともに、個人情報の適正な取扱いを求められる警備業者
が、個人情報の取扱いに当たり遵守すべき指針を明らかにしたものであります。
一定量を取扱う警備業者はもとより、警備業界全体がこのガイドラインを大
いに役立てていただき、現場の第一線から会社の経営面まで、レベルを上げて
いく一助となり、さらにはお客様からの信頼がより強固なものになることにつ
ながればと思います。
平成 23 年4月
社団法人 全国警備業協会
会長 木村 昌平
i
目 �
第1 趣旨(法第1条関係) ・・・1
第2 用語の定義(法第2条関係) ・・・2
1 個人情報 ・・・2
2 個人情報データベース等 ・・・3
3 個人データ ・・・3
4 個人情報取扱事業者 ・・・3
5 本人 ・・・5
6 保有個人データ ・・・5
7 公表 ・・・5
8 本人の知り得る状態 ・・・5
9 本人が容易に知り得る状態 ・・・6
10 本人に通知 ・・・6
11 個人データ又は個人データの提供 ・・・6
12 本人の同意 ・・・7
第3 このガイドラインの適用対象者の範囲 ・・・8
第4 個人情報の利用目的に関する義務 ・・・8
1 利用目的の特定(法第 15 条第1項関係) ・・・8
2 利用目的の変更(法第 15 条第2項・法第 18 条第3項関係) ・・・9
3 利用目的による制限(法第 16 条第1項関係) ・・・10
4 利用目的による制限(事業承継の場合) (法第 16 条第2項関係) ・・・10
5 利用目的による制限の例外(法第 16 条第3項関係) ・・・11
第5 個人情報の取得に関する義務 ・・・13
1 適正な取得(法第 17 条関係) ・・・13
2 取得時の利用目的の通知又は公表(法第 18 条第1項関係) ・・・13
3 書面等による直接取得時の利用目的の明示 (法第 18 条第2項関係) ・・・14
4 利用目的の通知等をしなくてよい場合(法第 18 条第4項関係) ・・・14
第6 個人データの管理に関する義務 ・・・15
1 データ内容の正確性の確保(法第 19 条関係) ・・・15
2 安全管理措置(法第 20 条関係) ・・・16
3 従業者の監督(法第 21 条関係) ・・・18
4 委託先の監督(法第 22 条関係) ・・・19
ii
第7 個人データの第三者提供に関する義務 ・・・20
1 第三者提供の制限に関する原則(法第 23 条第1項関係) ・・・20
2 第三者提供の制限に関する例外(法第 23 条第1項関係) ・・・21
3 いわゆる「オプトアウト」(法第 23 条第2項・第3項関係) ・・・23
4 「第三者」に該当しないもの(法第 23 条第4項・第5項関係) ・・・23
第8 保有個人データの開示等に関する義務 ・・・25
1 保有個人データに関する事項の公表等(法第 24 条関係) ・・・25
2 保有個人データの開示(法第 25 条関係) ・・・27
3 保有個人データの訂正等(法第 26 条関係) ・・・28
4 保有個人データの利用停止等(法第 27 条関係) ・・・29
5 理由の説明(法第 28 条関係) ・・・30
6 開示等の求めに応じる手続(法第 29 条関係) ・・・31
7 手数料(法第 30 条関係) ・・・33
第9 苦情処理に関する義務(法第 31 条関係) ・・・33
第 10 法違反又は法違反のおそれが発覚した場合の対応 ・・・34
第 11 雇用管理に関する個人情報の適正な取扱い ・・・35
第 12 ガイドラインの見直し ・・・36
1
警備業における個人情報の保護に関するガイドライン
このガイドラインは、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」
という。)、法第7条第1項の規定に基づく「個人情報の保護に関する基本方針」(平成 16
年4月2日閣議決定。平成 20 年4月 25 日及び平成 21 年9月1日一部変更。以下「基本
方針」という。)及び「国家公安委員会が所管する事業分野における個人情報保護に関す
る指針」(平成 22 年2月5日国家公安委員会告示第5号。以下「指針」という。)を踏ま
え、警備業者が講じる措置が適切かつ有効に実施されるよう、具体的な指針として定め
るものである。
法は、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的として
おり(法第1条)、当該目的は、このガイドラインにおいても、同様である。
このガイドラインにおいて「ならない」(「努めなければならない」を除く。)と記載し
ている規定については、法の義務規定の対象である個人情報取扱事業者の法的義務であ
るため、個人情報取扱事業者である警備業者がこれに従わない場合には、国家公安委員
会により、法違反と判断される可能性がある。一方、個人情報取扱事業者でない警備業
者がこれに従わない場合には、法違反と判断されることはない。
また、このガイドラインにおいて「望ましい」と記載している規定については、警備
業者がこれに従わない場合にも、個人情報取扱事業者であるか否かを問わず、法違反と判断
されることはない。ただし、法違反と判断されることはない場合にも、法の基本理念(法第
3条)も踏まえ、できるだけ取り組むことが望まれるものである(「第3 このガイドライン
の適用対象者の範囲」の規定も参照)。
なお、このガイドラインにおいて記載した具体例については、これに限定する趣旨で
記載したものではない。また、記載した具体例においても、個別ケースによって別途考
慮すべき要素があり得るので注意を要する。
警備業は、治安情勢の深刻化に伴い、国民の自主防犯活動が活発化する中、これを補完・
代行する安全産業として社会的な需要、質ともに増大しており、また、業務そのものが人
の生命、身体、財産等に対する侵害を警戒し、防止するという性質上、個人情報の取得、
取扱いは極めて重要になる。したがって、警備業務とそれに付帯する業務(以下「警備業
務等」という。)の提供行為に伴い取得される個人情報が不適正な取扱いをされると、個人
に取り返しのつかない被害を及ぼすおそれがある。
こうしたことを踏まえ、本ガイドラインは、法、基本方針、指針、「雇用管理に関する個
人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針(平成 16 年7
2
月1日、厚生労働省告示第 259 号)」、「雇用管理に関する個人情報のうち健康情報を取り扱
うに当たっての留意事項について(平成 16 年 10 月 29 日、厚生労働省労働基準局長通達基
発第 1029006 号)」その他の関連規定等を踏まえ、警備業者が遵守すべき、個人情報の適正
な取扱いについて具体的な指針を定めるものであり、その範囲での自由な契約を確保して
警備業務等の提供行為を利用する者又は利用しようとする者の権利利益を保護することを
目的とするものである。
�� �������������
このガイドラインにおいて使用する用語の定義は、以下のとおりである。
� ����
「個人情報」とは、生存する個人に関する情報であって、特定の個人を識別すること
ができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別す
ることができることとなるものを含む。)をいう。
「個人に関する情報」とは、氏名、性別、生年月日、住所、年齢、職業、続柄等の事
実に関する情報に限られず、個人の身体、財産、職種、肩書等の属性に関する判断や評
価を表すすべての情報をいい、公刊物等によって公にされている情報や、映像、音声に
よる情報も含まれる。これら「個人に関する情報」が、組合せによって「特定の個人を
識別することができる」こととなれば、それが「個人情報」となる。
なお、生存しない個人に関する情報が、同時に、当該生存しない個人の遺族等の生存
する個人に関する情報に当たる場合には、当該生存する個人に関する情報となる。
また、企業名等、法人その他の団体に関する情報は基本的に「個人情報」には該当し
ないが、役員の氏名等の個人に関する情報が含まれる場合には、その部分については「個
人情報」に該当し得る。
さらに、「個人」には、外国人も当然に含まれる。
「個人情報」には、例えば以下の(1)から(7)までのようなものが当たる。
(1) 本人の氏名
(2) 生年月日、連絡先(住所・居所、電話番号、メールアドレス等)、会社における職位又
は所属に関する情報等について、それらと本人の氏名を組み合わせた情報
(3) 防犯カメラに記録された情報等本人を識別できる映像情報
(4) 特定の個人を識別できるメールアドレス情報
(5) 特定の個人を識別できる情報が記述されていなくても、周知の情報を補って認識す
ることにより特定の個人を識別できる情報
(6) 雇用管理情報(会社が従業員を評価した情報を含む。)
(7) 個人情報の取得後に当該個人情報に付加された個人に関する情報(取得時に生存す
る特定の個人を識別することができなかったとしても、取得後、新たな情報が付加さ
れ、又は照合された結果、生存する特定の個人を識別できることとなったときは、そ
3
の時点で「個人情報」となる。)
また、例えば、以下の(8)から(10)までのようなものは、原則として「個人情報」に
は当たらない。
(8) 企業の財務情報等、法人等の団体そのものに関する情報(団体情報)
(9) 記号や数字等の文字列だけからでは特定の個人情報であるか否かの区別がつかない
メールアドレス情報
(10) 特定の個人を識別することができない統計情報
「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索する
ことができるように体系的に構成した個人情報を含む情報の集合物、又はコンピュータ
を用いずに個人情報を一定の規則(例えば、五十音順等)に従って整理・分類し、特定
の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によ
っても容易に検索可能な状態に置いているものをいい、例えば、以下のようなものが当
たる。
(1) 電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組
み合わせた情報を入力している場合)
(2) ユーザーIDとユーザーが利用した取引についてのログ情報が保管されている電子
ファイル(ユーザーIDを個人情報と関連付けて管理している場合)
(3) 従業者が業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理
した名刺の情報であって、他の従業者等によっても検索できる状態にしているもの
(4) 氏名、住所又は企業別に分類整理されている市販の人名録
他方、例えば、従業者が、自己の名刺入れを他人が自由に検索できる状況に置いてい
ても、他人には容易に検索できない独自の分類方法によって名刺を分類している場合は、
当該名刺の情報は「個人情報データベース等」には当たらない。
「個人データ」とは、「個人情報データベース等」を構成する個人情報をいい、例えば
以下のようなものが当たる。
(1) 個人情報データベース等から記録媒体へダウンロードされた個人情報
(2) 個人情報データベース等から紙面に出力された帳票等に印字された個人情報
「個人情報取扱事業者」とは、次に掲げる者を除いた、個人情報データベース等を事
業の用に供している者をいう。なお、法人格を有しない団体(任意団体)や一般個人で
あっても、個人情報取扱事業者に該当し得る。
4
(1) 国の機関
(2) 地方公共団体
(3) 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成 15
年法律第 59 号)第2条第1項に規定する独立行政法人等をいう。)
(4) 地方独立行政法人(地方独立行政法人法(平成 15 年法律第 118 号)第2条第1項に
規定する地方独立行政法人をいう。)
(5) その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが
少ない者
(5)の規定にいう「個人の権利利益を害するおそれが少ない者」とは、その事業の用に
供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数
の合計が過去6か月以内のいずれの日においても 5,000 を超えない者とする。5,000 を超
えるか否かは、個人情報取扱事業者が管理するすべての個人情報データベース等を構成
する個人情報によって識別される特定の個人の数の総和により判断する。ただし、同一
個人の重複分は除くものとする。
ここでいう「事業の用に供する」の「事業」とは、一定の目的をもって反復継続して
遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利事
業のみを対象とするものではない。
また、「個人情報データベース等」が次のア、イ及びウの要件のすべてに該当する場合
には、それを構成する個人情報によって識別される特定の個人は、当該個人情報データ
ベース等を構成する個人情報によって識別される特定の個人の数に算入しない。
ア 個人情報データベース等の全部又は一部が他人の作成によるものであること。
イ 氏名、住所・居所若しくは電話番号のみが掲載された個人情報データベース等
(例えば、電話帳やカーナビゲーション)であること、又は不特定かつ多数の者
に販売することを目的として発行され、かつ不特定かつ多数の者によって随時に
購入することができる若しくはできた個人情報データベース等(例えば、自治体
職員録や弁護士会名簿)であること。
ウ 個人情報取扱事業者自らが、その個人情報データベース等を事業の用に供する
に当たり、新たに個人情報を加えることで特定の個人の数を増やしたり、他の個人情
報を付加したりして、個人情報データベース等そのものを編集・加工していないこと。
したがって、例えば、以下のようなものは、特定の個人の数に算入しない。
ⅰ 電話会社から提供された電話帳及び市販の電話帳CD-ROM等に掲載され
ている氏名及び電話番号
ⅱ 市販のカーナビゲーションシステム等のナビゲーションシステムに記録され
ている氏名、住所・居所等を示すデータ(ナビゲーションシステム等が当初か
ら備えている機能を用いて、運行経路等新たな情報等を記録する場合があった
としても、「特定の個人の数」には算入しないものとする。)
5
ⅲ 氏名又は住所から検索できるよう体系的に構成された、市販の住所地図上の
住所・居所の所在場所を示す情報
「本人」とは、個人情報によって識別される特定の個人をいう。
「保有個人データ」とは、個人情報取扱事業者が、本人又はその代理人から求められ
る開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止のす
べてに応じることができる権限を有する個人データをいう。ただし、その存否が明らか
になることにより公益その他の利益が害されるものとして次に掲げるもののほか、6か
月以内に消去(更新は除く。)することとなるものを除く。
(1) 本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの(例えば、児
童虐待や配偶者暴力等に係る被害の援助団体が有する被害者等の情報)
(2) 違法又は不当な行為を助長し、又は誘発するおそれがあるもの(例えば、不審者情
報、クレーマー情報、総会屋情報や暴力団等の反社会的勢力に関する情報)
(3) 国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそ
れ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの(例えば、要
人の行動予定情報や防衛に関する秘密情報)
(4) 犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれが
あるもの(例えば、警察等から受けた捜査関係事項照会の対象情報や犯罪による収益
の移転防止に関する法律(平成 19 年法律第 22 号)第9条第1項に規定する疑わしい
取引の届出の対象情報)
第4の2(2)並びに第5の2及び4の規定にいう「公表」とは、広く一般に内容を発表
することをいう。
ただし、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ
適切な、例えば、以下のような方法による必要がある。
(1) 自社ホームページのトップページから1回程度の操作で到達できる場所への掲載
(2) 事務所の窓口等への書面の掲示・備付け
(3) パンフレット等への記載・配布
第8の1(1)及び7の規定にいう「本人の知り得る状態(本人の求めに応じて遅滞なく
回答する場合を含む。)」とは、ウェブ画面への掲載、パンフレットの配布、本人の求め
に応じて遅滞なく回答を行うこと等、本人が知ろうとすれば知ることができる状態をい
6
い、常にその時点での正確な内容を本人の知り得る状態に置く必要がある。必ずしもウ
ェブ画面への掲載又は事務所の窓口等への掲示等が継続的に行われることまでを必要と
するものではないが、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識さ
れる合理的かつ適切な、例えば、以下のような方法による必要がある。
(1) 問い合わせ窓口を設け、問い合わせがあれば口頭又は文書で回答できるような体制
を構築しておく方法
(2) 店舗販売において、店舗にパンフレットを備え置く方法
(3) 電子商取引において、問い合わせ先のメールアドレスを明記する方法
第7の3及び4の規定にいう「本人が容易に知り得る状態」とは、事業所の窓口等へ
の書面の掲示・備付けやホームページへの掲載その他の継続的方法によって、本人が知
ろうと思えば、時間的にも、その手段においても、簡単に知ることができる状態をいい、
事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な、
例えば以下のような方法による必要がある。ただし、1回限りの「公表」では、「本人が
容易に知り得る状態」とはいえない。
(1) 自社ホームページのトップページから1回程度の操作で到達できる場所への掲載等を
継続的に行う方法
(2) 事務所の窓口等への書面の掲示・備付け等を継続的に行う方法
(3) 広く頒布されている定期刊行物への定期的掲載を行う方法
(4) 電子商取引において、商品を紹介するウェブ画面にリンク先を継続的に掲示する方法
「本人に通知」とは、本人に直接内容を知らしめることをいい、事業の性質及び個人
情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な、例えば以下のよう
な方法による必要がある。
(1) 口頭(面談、電話等)による方法
(2) 書面(手交、郵送、電子メール、FAX等)による方法
(3) 使者による方法
6の規定及び第7の1から4までの規定にいう個人データの第三者への「提供」並び
に第8の4(2)の規定にいう保有個人データの第三者への「提供」とは、個人データ又は
保有個人データを第三者が利用(閲覧を含む。)できる状態に置くことをいう。個人デー
タ又は保有個人データが物理的に提供されていない場合であっても、備付けやネットワ
ーク等を利用することによって、個人データ又は保有個人データを第三者が利用できる
状態にあれば(その権限が与えられていれば)、「提供」に当たる。
7
第4の2(3)、3、4及び5の規定並びに第7の1、2及び4の規定にいう「本人の同
意」とは、個人情報取扱事業者の示す方法によって個人情報が取り扱われることを本人
が承諾する旨の当該本人の意思表示をいう。
また、同じく「本人の同意を得る」とは、本人の承諾の意思表示を当該本人の個人情
報を取り扱う個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取
扱方法に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な、
例えば、以下のような方法による必要がある。
(1) 同意する旨を本人から口頭又は書面(電子的方式、磁気的方式その他人の知覚によ
っては認識することができない方式で作られる記録を含む。)で確認する方法
(2) 本人が署名又は記名押印した同意する旨の申込書等文書を受領し確認する方法
(3) 本人からの同意する旨の電子メールを受信する方法
(4) 本人に同意する旨について確認欄へのチェックをさせる方法
(5) 本人に同意する旨についてウェブ画面上のボタンをクリックさせる方法
(6) 本人に同意する旨について音声入力、タッチパネルへのタッチ、ボタンやスイッチ
等による入力等をさせる方法
なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年
者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合
は、親権者や法定代理人等の同意を得る必要がある。
本ガイドラインで使用する基本的用語を定めるものである。
① 1の「個人情報」について、本ガイドラインは個人の権利利益を保護することを目
的とするものであるから、個人に関する情報であっても特定の個人を識別し得ないも
のを対象とする必要性は認められない。
一方、個人を識別することができる情報をさらに限定する合理性も認めがたいため、
個人に関する情報であって、特定の個人を識別することができるものを「個人情報」
としている。また、他の情報と容易に照合することによって個人を識別することがで
きる場合は対象とし、他の情報との照合が容易でない場合については、個人の識別が
容易ではなく、個人の権利利益を侵害するおそれも小さいと認められることから、個
人情報の範囲から除外している。
公務員及び公人も「個人」に当たるとともに、契約先担当者及び緊急連絡先担当者
などの情報も個人情報に当たる。
なお、個人情報保護法第2条第1項の「個人情報」は「生存する個人に関する情報」
とされているため、死者に関する情報が、同時に、遺族等の生存する個人に関する情
報でもある場合には、当該生存する個人に関する情報となるが、死者の個人情報につ
8
いて「本人」とは、死者自身を指すものであり遺族ではないので、第8の2の保有個
人データの開示について遺族が求めることを認めるものではない。
「他の情報」とは、個人別に付された番号、記号その他の符号等をいう。
② 5の「本人」は、1で「個人情報」を、「生存する個人に関する情報であって、特定
の個人を識別することができるもの」と定義した裏返しとして、個人情報によって識
別されることとなる特定の個人を「本人」と定義し、本ガイドラインの規定によって
権利利益の保護が図られる対象として規定するものである。
このガイドラインは、個人情報取扱事業者である警備業者を対象とする。
なお、個人情報取扱事業者でない警備業者についても、法の基本理念(法第3条)を
踏まえ、このガイドラインに規定されている事項を遵守することが望ましい。
このガイドラインの第2の4(5)に定める「その取り扱う個人情報の量及び利用方法から
みて個人の権利利益を害するおそれが少ない者」に当たる警備業者は、個人情報取扱事業
者に該当しないが、個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきも
のであること及び警備業の業務の特質上極めてプライバシーに密接にかかわっていること
にかんがみ、法の基本理念を踏まえ、個人情報取扱事業者と同様に、本ガイドラインに規
定されている事項を遵守することが望ましいことを規定したものである。
(1) 警備業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」
という。)をできる限り具体的に特定しなければならない。単なる「事業活動のため」、
「お客様サービスの向上のため」といった抽象的な内容では、できる限り具体的に利
用目的を特定したことにはならない。利用目的の特定に当たっては、警備業者におい
て個人情報が最終的にどのような事業の用に供され、どのような目的で利用されるか
が本人にとって一般的かつ合理的に想定できる程度に具体的であることが望ましい。
(2) 警備業者は、法、個人情報の保護に関する法律施行令(平成 15 年政令第 507 号。以
下「令」という。)、基本方針、指針、このガイドライン等を踏まえ、自らの個人情報
の保護に関する考え方や方針(いわゆるプライバシーポリシー、プライバシーステー
トメント等をいう。以下同じ。)を策定・公表している場合には、その中に、本人の権
利利益保護の観点から、事業活動の特性、規模及び実態を考慮して、「顧客の種類ごと
9
に利用目的を限定して示したり、顧客の選択による利用目的の限定に自主的に取り組
んだりするなど、本人にとって利用目的がより明確になるようにする」というような
記述をできるだけ盛り込むことが望ましい。
① (1)及び2(1)は、個人情報の適正な取扱いを実現するための前提として、警備業者
に対して、その利用目的をできる限り特定させるとともに、その変更も一定の合理的
な範囲に留めるものとすること、及び利用目的が警備業務等の提供行為を行うため必
要な範囲を超えないものとすることを規定するものである。なお、第4の個人情報の
「利用」とは、第7の第三者提供を含む概念である。
② (1)において、警備業者が、個人情報を取り扱うに当たって、利用目的をできる限り
具体的なものとすることを定めているため、「警備業務の提供のため」や「警備業務の
遂行のため」といった抽象的な目的では足りず、例えば、ホームセキュリティにおい
ては「緊急事態発生時におけるご連絡及び本人確認のためにお客様の個人情報を利用
します。」のように具体的に特定すべきである。
(1) 警備業者は、1の規定により特定した利用目的を変更する場合には、変更後の利用
目的が変更前の利用目的からみて、社会通念上、本人が想定できる範囲を超えて行っ
てはならない。したがって、例えば「アンケート集計に利用」としていた利用目的を
「商品カタログを郵送」と変更することはできない。
(2) 警備業者は、利用目的を変更したときは、その内容を本人に通知し、又は公表しな
ければならない。
(3) 警備業者は、本人が想定できる範囲を超えて利用目的の変更を行う場合には、3の
規定によって、本人の同意を得なければならない。
(1)は、いったん特定された利用目的が無限定に変更されることとなれば、利用目的を特
定させる実質的意味は失われることから、利用目的の変更は認めるものの、変更前の利用
目的からみて、本人が想定することができる範囲に留めるべきであることとするものであ
る。よって、変更の許容範囲を超えた利用目的で個人情報を利用する場合には、あらかじ
め本人の同意を得るか、新たに利用目的を定めて再度個人情報を取得する必要がある。
10
警備業者は、あらかじめ本人の同意を得ることなく、1の規定により特定した利用目
的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。ただし、あらかじ
め本人の同意を得るために個人情報を利用することは、それが当初特定した利用目的に
含まれない場合にも、目的外利用には当たらない。
警備業者に対して、個人情報の取扱いを利用目的の達成に必要な範囲内に限ることによ
り、無限定な個人情報の取扱いを排除することを通じて、本人の権利利益侵害を防止しよ
うとするものである。
個人情報の取扱いとは、個人情報に関する一切の行為を含む概念であることから、何が
「必要な範囲」であるかについては、様々な側面からこれを判断する必要がある。
すなわち、個人情報の取扱いの手段、方法はもちろん、取り扱う個人情報の内容、量等
についても、必要な限度を超えないことが必要である。したがって、利用目的に照らして
過剰な個人情報の取得も本規定によって規制されることになる。例えば、契約者の本人確
認のために、契約者の資産、国籍、思想、信条、学歴、趣味、血液型等は必要とはいえず、
取得は制限される。
警備業者は、合併、分社化、営業譲渡等により他の個人情報取扱事業者から事業を承
継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ることなく、
承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を
取り扱ってはならない。ただし、あらかじめ本人の同意を得るために個人情報を利用す
ることは、それが承継前の利用目的に含まれない場合にも、目的外利用には当たらない。
合併や営業譲渡などによって事業の承継があった場合、通常その承継資産には顧客情報
等の個人情報が含まれると考えられ、必然的に個人情報が移転する。この場合において、
事業を承継した警備業者が自由に利用目的を設定することとなれば、本人にとって不測の
権利利益の侵害が生じるおそれが高まる。このため、合併その他の事由によって他の警備
業者等から事業を承継することに伴って個人情報を取得した場合には、事業承継後におい
ても、本人の同意なく当該個人情報に係る承継前の利用目的の達成に必要な範囲を超えて
取り扱ってはならない。
11
次に掲げる場合については、3又は4の規定によって本人の同意を得ることが求めら
れる場合であっても、本人の同意は不要である。
(1) 法令に基づいて、利用目的の達成に必要な範囲を超えて個人情報を取り扱う、例え
ば以下のような場合(なお、当該法令に、目的外利用の便益を得る相手方についての
根拠のみあって、目的外利用をする義務までは課されていない場合には、警備業者は、
当該法令の趣旨に照らして目的外利用の必要性と合理性が認められる範囲内で対応す
るものとする。)
ア 令状に基づく警察や検察等による捜査への対応(刑事訴訟法(昭和 23 年法律第
131 号)第 218 条等)
イ 捜査に必要な取調べや捜査関係事項照会への対応(刑事訴訟法第 197 条等)
ウ 令状に基づく警察による触法少年の調査への対応(少年法(昭和 23 年法律第 168
号)第6条の5)
エ 触法少年の調査に必要な質問や調査関係事項照会等への対応(少年法第6条の
4等)
オ 証券取引等監視委員会の職員による犯則事件の調査への対応(金融商品取引法
(昭和 23 年法律第 25 号)第 210 条・第 211 条等)
カ 裁判執行関係事項照会への対応(刑事訴訟法第 507 条)
キ 裁判所からの公務所等に対する照会への対応(刑事訴訟法第 279 条、心神喪失
等の状態で重大な他害行為を行った者の医療及び観察等に関する法律(平成 15 年
法律第 110 号)第 24 条第3項)
ク 裁判所からの文書送付の嘱託や調査の嘱託への対応(民事訴訟法(平成8年法
律第 109 号)第 186 条・第 226 条、家事審判規則(昭和 22 年最高裁判所規則第 15
号)第8条)
ケ 家庭裁判所調査官による事実の調査への対応(家事審判規則第7条の2)
コ 犯罪被害財産支給手続関係事項照会への対応(犯罪被害財産等による被害回復
給付金の支給に関する法律(平成 18 年法律第 87 号)第 28 条)
サ 疑わしい取引の届出(犯罪による収益の移転防止に関する法律第9条第1項)
シ 徴税吏員・税務職員の質問検査への対応(地方税法(昭和 25 年法律第 226 号)
第 72 条の7、所得税法(昭和 40 年法律第 33 号)第 234 条等)
ス 弁護士会照会への対応(弁護士法(昭和 24年法律第 205 号)第 23条の2第2項)
セ 国勢調査等の指定統計調査に対する申告や調査実施者からの協力要請への対応
(統計法(平成 19 年法律第 53 号)第5条・第 17 条)
ソ 児童虐待に係る通告(児童虐待の防止等に関する法律(平成 12 年法律第 82 号)
第6条第1項)
(2) 人(法人を含む。以下同じ。)の生命、身体又は財産の保護のために利用目的の達成
12
に必要な範囲を超えて個人情報を取り扱う必要がある場合であって、本人の同意を得
ることが困難である、例えば、以下のようなとき。
ア 急病人の血液型や家族の連絡先を医師や看護師に伝えるとき。
イ 大規模災害や事故等の緊急時に、負傷者情報を家族に提供するとき。
ウ 暴力団等の反社会的勢力に関する情報、業務妨害行為を行う悪質者情報等を企
業間で共有するとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に利用目的の達成に必要な
範囲を超えて個人情報を取り扱う必要がある場合であって、本人の同意を得ることが
困難である、例えば以下のようなとき。
ア 感染症の予防のための調査に応じるとき。
イ 児童虐待のおそれがある家庭情報を、児童相談所、警察、学校、病院等が共有
するとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行
することに対して警備業者が協力する必要がある場合であって、本人の同意を得るこ
とにより当該事務の遂行に支障を及ぼすおそれがあるときに、利用目的の達成に必要
な範囲を超えて個人情報を取り扱う、例えば、以下のような場合(なお、警備業者は、
任意の求めの趣旨に照らして目的外利用の必要性と合理性が認められる範囲内で対応
するものとする。)
ア 任意の求めに応じて、警察や税務署に対して個人情報を提出する場合
イ 承認統計調査や届出統計調査に回答する場合
① (1)から(4)は、警備業者が取得した個人情報について、本人の利益や社会公共の利
益のために本人の同意を得ずに目的外利用が要請される場合もあるので、そうした場
合を目的外利用の禁止の例外として定めている。
② (2)は、自己又は他人の権利利益を保護するため、目的外利用が必要であるものの、
本人の同意を得ることが困難である場合について手当てするものである。人の生命、
身体又は財産といった具体的な権利利益が侵害されるおそれが高まっており、これを
保護するために個人情報の利用が必要である場合には、あらかじめ本人の同意を得な
いで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことに
一定の合理性があると考えられる。一方こうした場合であっても、本人の権利利益侵
害の予防という観点からは同意を得るべきとの原則が変わるものではないことから、
本人の同意を得ることが困難である場合に限って本規定の適用を除外するものであ
る。したがって、人の生命、身体又は財産の保護のために、他の方法によることが十
分可能である場合にまで、本人の同意を得ずに、特定された利用目的の達成に必要な
範囲を超えて、個人情報を取り扱うことを認めるものではない。
13
③ (3)は、例に示すような社会全体の組織的な協力により個人情報を相互に提供して活
用する必要がある場合には本人の同意を得ずに目的外利用を認める規定である。
なお、(1)から(4)に該当する場合の本人の同意なき個人情報の目的外利用について
は、本人の同意を得ずに目的外利用を行うことが真に必要であると慎重に判断した上
で行うこととすべきである。ただし、 (1)において強制力を伴う場合は別である。
なお、目的外で利用する必要性がある場合の多くは、個人情報を第三者に提供する
必要性がある場合も想定されることから、第三者提供に関しては、第 7 の2の解説を
参照されたい。
警備業者は、例えば以下のような偽りその他不正の手段により個人情報を取得しては
ならない。
(1) 本人をだましてその個人情報を取得すること。
(2) 法第23条に規定する第三者提供の制限に違反している個人情報取扱事業者から当該
事情を知って個人情報を取得すること。
個人情報の取得は、適法かつ公正な手段により行わなければならず、偽りその他不正の
手段によることは許されない。
例えば、詐欺等によって個人情報を取得したり、十分な判断能力を有していない子供か
ら家族の個人情報を取得したり、個人を識別できる音声や映像を隠し撮りするなどの取得
方法は適正な取得とはいえない。
警備業者は、個人情報を取得した、例えば、以下のような場合は、あらかじめその利
用目的を公表している場合を除き、速やかにその利用目的を本人に通知し、又は公表し
なければならない。
(1) 電話帳や職員録等から個人情報を取得した場合
(2) 個人情報の第三者提供を受けて、個人情報を取得した場合
(3) 個人情報の取扱いの委託を受けて、個人情報を取得した場合
14
警備業者が契約者に対して、利用目的を通知・公表することによって、本人の不安感を
緩和するとともに、本人自らが必要な注意を払うための契機を提供することによって、本
人の権利利益の侵害を予防しようとするものである。
警備業者は、契約書、アンケートやユーザー入力画面への記入・入力等により、直接
本人から個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示し
なければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある
場合は、あらかじめ、本人に対し、その利用目的を明示する必要はないが、その場合に
は、2の規定に基づいて、取得後速やかにその利用目的を本人に通知し、又は公表しな
ければならない。
なお、「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に
示すことをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される
合理的かつ適切な、例えば、以下のような方法による必要がある。
(1) 往復葉書の往信部に、社会通念上、本人が認識できる場所及び文字の大きさで利用
目的を記載する方法
(2) 面談中、本人に対し、定款等のうち利用目的の記載部分を指摘する方法
(3) ユーザー入力画面において、送信ボタン等をクリックする前等に利用目的が本人の
目に留まる形で配置・記載する方法
契約や調査等のため、書面やコンピュータを用いて直接本人から個人情報を取得する場合
には、個人情報を取得した後に利用目的を通知・公表することで足りることとはせず、原
則として取得前に本人に対して利用目的の明示を定めている。
ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合にまで、あらか
じめその利用目的を明示するものとすることは合理性に欠けることから、このような場合
には、取得前の明示は免除するものである。なお、このような場合には、2の規定に従っ
て、取得後速やかにその利用目的を通知・公表するものとする。
警備業者は、次に掲げる場合は、2、3及び第4の2(2)の規定にかかわらず、利用目
的を本人に対し、通知又は公表をする必要がない。
(1) 利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、
15
財産その他の権利利益を害するおそれがある場合(例えば、暴力団等の反社会的勢力
に関する情報、疑わしい取引の届出の対象情報、業務妨害行為を行う悪質者情報等の
提供者が逆恨みを買うおそれのある場合)
(2) 利用目的を本人に通知し、又は公表することによって警備業者の権利又は正当な利
益を害するおそれがある場合(例えば、暴力団等の反社会的勢力に関する情報、疑わ
しい取引の届出の対象情報、業務妨害行為を行う悪質者情報等を取得したことが明ら
かになることにより、情報提供を受けた企業に害が及ぶ場合)
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必
要がある場合であって、利用目的を本人に通知し、又は公表することによって当該事
務の遂行に支障を及ぼすおそれがあるとき(例えば、犯罪捜査への協力のため、被疑
者等に関する情報を取得したとき。)。
(4) 取得の状況からみて利用目的が明らかであると認められる、例えば、以下のような場合
ア 今後連絡を取り合うために名刺交換をした場合
イ 着信において相手方の電話番号が非通知でない場合で、同じ用件で相手方に電
話を掛け直す場合
(1)から(4)は、警備業者が、個人情報を取得するに当たり、本人又は第三者及び警備業
者若しくは社会公共の利益のために、例外として、第5の2、3及び第4の2(2)に定める
利用目的の本人への通知若しくは公表又は第5の3に定める本人に対する利用目的の明示
をしなくてもよいことを定めている。
警備業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の
内容に保つよう努めなければならない。
誤った個人情報、古くなった個人情報が利用・提供されたときは、その個人の権利利益が
侵害されるおそれが生じるので、個人データは、利用目的に応じ正確かつ最新の状態に保
たれる必要がある。
16
警備業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人デ
ータの安全管理のために必要かつ適切な措置を講じなければならない。
その際、警備業者において、個人データが漏えい、滅失又はき損等をした場合に本人
が被る権利利益の侵害の大きさを考慮し、事業の性質、個人データの取扱状況及び個人
データを記録した媒体の性質等に起因するリスクに応じ、必要かつ適切な、例えば、以
下の(1)から(5)までのような措置を講じなければならない。
(1) 安全管理について従業者の責任と権限を明確に定め、安全管理に対する規程や手順
書を整備・運用し、その実施状況を確認する組織的安全管理措置
(2) 従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・
訓練等を行う人的安全管理措置
(3) 入退館(室)の管理、個人データの盗難の防止等の措置を行う物理的安全管理措置
(4) 個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア
対策、情報システムの監視等、個人データに対する技術的安全管理措置
(5) 情報システム安全対策指針(平成9年国家公安委員会告示第9号。第2編Ⅰ第5章
を除く。)において定める対策の実施
他方、例えば、以下の(6)から(11)のような場合は必要かつ適切な措置を講じているとはいえない。
(6) 公開されることを前提としていない個人データが事業者のウェブ画面上で不特定か
つ多数の者に公開されている状態を警備業者が放置している場合
(7) 組織変更が行われ、個人データにアクセスする必要がなくなった従業者が個人デー
タにアクセスできる状態を警備業者が放置していた場合で、その従業者が個人データ
を漏えいした場合
(8) 本人が継続的にサービスを受けるために登録していた個人データが、システム障害
によって破損したが、採取したバックアップも破損しており、個人データを復旧でき
ずに滅失又はき損し、本人がサービスの提供を受けられなくなった場合
(9) 個人データに対するアクセス制御が実施されておらず、アクセスを許可されていな
い従業者がそこから個人データを入手して漏えいした場合
(10) 個人データをバックアップした媒体が、持ち出しを許可されていない者によって持ち
出し可能な状態になっており、その媒体が持ち出された場合
(11) 委託する業務内容に対して必要のない個人データを提供し、委託先が個人データを
漏えいした場合
なお、例えば、不特定かつ多数の者が書店で随時に購入可能な名簿で、事業者におい
て全く加工をしていないものを処分するために文書細断処理等を行わずに廃棄し、又は
廃品回収に出したとしても、事業者の安全管理措置の義務違反にはならない。
17
① 警備業者が、個人データを取り扱うに当たり、個人データを安全に管理するための
措置を講ずるものとすることを規定したものである。
安全管理措置をとるに当たっては、本人の個人情報が漏えい等した場合に、より重
大な影響を及ぼす可能性がある個人データについては、より厳格に取り扱う安全管理
措置が望まれる。
安全管理措置は、組織的、人的、物理的及び技術的安全管理措置に大きく分類され
る。
② (1)は、組織的安全管理措置として定めたものであるが、組織的安全管理措置には、
次の事項が含まれる。
ⅰ 個人データの安全管理措置を講じるための組織体制の整備
ⅱ 個人データの安全管理措置を定める規程等の整備と規程等に従った運用
ⅲ 個人データの取扱台帳の整備
ⅳ 個人データの安全管理措置の評価、見直し改善
ⅴ 事故又は違反への対処
③ (2)の人的安全管理措置については、従業者の監督、教育及び研修を一体として行わ
せるため、次の3で解説する。
④ (3)は、物理的安全管理措置として定めたものであるが、物理的安全管理措置には、
次の事項が含まれる。
ⅰ 個人データを取り扱う業務又は情報システム等の、入退室管理を実施している物
理的に保護された室内での実施又は設置
ⅱ 離席時の個人データを記した書類、媒体、携帯可能なコンピュータ等の机上等へ
の放置の禁止、パスワード付きスクリーンセーバー等の起動
ⅲ 個人データを含む媒体の施錠保管
ⅳ 氏名、住所、メールアドレス等を記載した個人データとそれ以外の個人データの
分離保管
ⅴ 個人データを取り扱う情報システムの操作マニュアルの机上等への放置の禁止
⑤ (4)は、技術的安全管理措置として定めたものであるが、具体的には個人情報及びそ
れを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システム
の監視等、個人情報に対する技術的な安全管理措置をいう。(5)の情報システム安全対
策指針(平成9年国家公安委員会告示第9号。第2編Ⅰ第5章を除く。)に従い、必要
な対策を講ずることとなるが、一般的に技術的安全管理措置には、次の事項が含まれ
る。
ⅰ 個人データのアクセスにおける識別と認証
ⅱ 個人データへのアクセス制御
ⅲ 個人データへのアクセス権限の管理
ⅳ 個人データのアクセス記録
18
ⅴ 個人データを取り扱う情報システムに対する不正ソフトウェア対策
ⅵ 個人データの移送・通信時の対策
ⅶ 個人データを取り扱う情報システムの動作確認時の対策
ⅷ 個人データを取り扱う情報システムの監視
� ��������� �� ����
警備業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データ
の安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければな
らない。
その際、個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵
害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、
個人データを取り扱う従業者に対する教育及び研修等の内容及び頻度を充実させるな
ど、必要かつ適切な措置を講じるものとする。
なお、例えば、以下のような場合は必要かつ適切な監督を行っているとはいえない。
(1) 従業者が、個人データの安全管理措置を定める規程等に従って業務を行っているこ
とを、あらかじめ定めた間隔で定期的に確認せず、その結果、個人データが漏えいし
た場合
(2) 従業者が、内部規程等に違反して個人データが入ったノート型パソコン又は可搬型
外部記録媒体を繰り返し持ち出していたにもかかわらず、その行為を放置した結果、
それらを紛失し、個人データが漏えいした場合
����
警備業者が、個人データを取り扱うに当たり、2の安全管理措置の一環として、特に警
備業者は従業者に対して必要かつ適切な監督を行うとともに、教育及び研修を一体として
行う責任があることを規定したものである。
「従業者」とは、警備業者の組織内にあって直接間接に事業者の業務に従事している者
をいい、警備業者との間の雇用関係の有無は問わないので、雇用関係にある従業員(正社
員、契約社員、嘱託社員、パートタイマー、アルバイト等)及び役員(取締役、執行役、
監査役、理事、監事等)のほか派遣社員も含まれる。
従業者に対する必要かつ適切な監督には、従業者との秘密保持契約の締結(派遣社員に
ついては、派遣元と派遣先との秘密保持契約の締結及び派遣元と派遣社員の間の適切な秘
密保持契約の締結の確保等の措置)、非開示契約に違反した場合の措置に関する規程の整備
等が含まれる。
また、安全管理措置その他の個人情報の適正な取扱いの確保のため、警備業者は、従業
者に対し、必要な教育及び研修を実施することを規定しており、教育及び研修の内容とし
19
ては、安全管理に関する内部規程・マニュアルの周知、これらについての教育・訓練の実
施、従業者に対する教育・訓練が必要かつ適切に実施されていることの確認等が考えられ
る。
さらに、警備業者は従業者に対し、その業務に関して知り得た個人情報の内容をみだり
に他人に知らせ、又は不当な目的に使用してはならないこと、その職を退いた後において
も同様であることについても研修を行うことが求められる。
� ��������� �� ����
(1) 警備業者は、個人データの取扱いの全部又は一部を外部に委託する場合は、その取
扱いを委託された個人データの安全管理が図られるよう、委託を受けた者(以下「委
託先」という。)に対する必要かつ適切な監督を行わなければならない。
その際、個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の
侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに
応じ、必要かつ適切な措置を講じるものとする。
なお、例えば、以下のような場合は必要かつ適切な監督を行っているとはいえない。
ア 個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず、
外部の事業者に委託した場合で、委託先が個人データを漏えいした場合
イ 個人データの取扱いに関して定めた安全管理措置の内容を委託先に指示せず、
その結果、委託先が個人データを漏えいした場合
ウ 再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱
状況の確認を怠り、委託先が個人データの処理を再委託し、その結果、再委託先
が個人データを漏えいした場合
エ 契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込
まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの
必要な措置を行わず、その結果、委託元の認知しない再委託が行われ、その再委
託先が個人データを漏えいした場合
(2) 警備業者は、(1)の規定の監督を行うに当たっては、契約等において次に掲げる事項
について定めることが望ましい。
ア 委託先の個人データの取扱いに関する事項
イ 委託先の秘密の保持に関する事項
ウ 委託された個人データの再委託に関する事項
エ 契約終了時の個人データの返却等に関する事項
(3) 警備業者は、法、令、基本方針、指針、このガイドライン等を踏まえ、その事業活
動の特性、規模及び実態を考慮し、自らの個人情報の保護に関する考え方や方針を策
定・公表している場合には、その中に、本人の権利利益保護の観点から、事業活動の
20
特性、規模及び実態を考慮して、「委託の有無、委託する事務の内容を明らかにする等、
委託処理の透明化を進める」というような記述をできるだけ盛り込むことが望ましい。
① 警備業者が個人データの取扱いを他の者に委託する場合に、2の安全管理措置のう
ちの組織的安全管理措置の一環として、特に警備業者はその委託先に対して必要かつ
適切な監督を行う責任があることを規定したものである。
「委託」とは、契約の形態・種類を問わず、警備業者が他の者に個人データの取扱
いの全部又は一部を行わせることを内容とする契約の一切を含むものである。具体的
な委託先としては、警備業者の顧客の個人データの入力、編集、出力等の処理を行う
者などが挙げられる。
② 警備業者が個人データの取扱いを他の者に委託するに当たっては、委託先が講ずべ
き安全管理措置に関し、(2)アからエに掲げる事項を委託契約に定めることが望ましい
ことを規定したものである。
さらに、警備業者から委託された個人データの取扱いに係る業務に従事する者が、
その業務に関して知り得た個人情報の内容を、みだりに他人に知らせ、又は不当な目
的に使用してはならないこと、その職を退いた後においても同様であることについて
も委託契約に定めるとともに適切な監督を行うことが求められる。
警備業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはな
らない。例えば、以下の(1)から(3)までのような場合(法第 23 条第4項各号の場合を除
く。)は、第三者への提供に当たると考えられる。
(1) 親子兄弟会社又はグループ会社の間で個人データを交換する場合
(2) 同業者間で、特定の個人データを交換する場合
(3) 外国の会社に国内に居住している個人の個人データを提供する場合
他方、例えば同一事業者内で他部門へ個人データを提供する場合(利用目的に制限が
ある場合を除く。)には第三者への提供には当たらない。
個人データは、原則として本人の同意なく、第三者に提供できないことを規定したもので
ある。
21
� ����������������� �� �������
次に掲げる場合については、1の規定にかかわらず、個人データを第三者に提供する
ことができる。
(1) 法令に基づく、例えば、以下のような場合(なお、当該法令に、第三者提供を受け
る相手方についての根拠のみあって、第三者提供をする義務までは課されていない場
合には、警備業者は、当該法令の趣旨に照らして第三者提供の必要性と合理性が認め
られる範囲内で対応するものとする。)
ア 令状に基づく警察や検察等による捜査への対応(刑事訴訟法第 218 条等)
イ 捜査に必要な取調べや捜査関係事項照会への対応(刑事訴訟法第 197 条等)
ウ 令状に基づく警察による触法少年の調査への対応(少年法第6条の5)
エ 触法少年の調査に必要な質問や調査関係事項照会等への対応(少年法第6条の
4等)
オ 証券取引等監視委員会の職員による犯則事件の調査への対応(金融商品取引法
第 210 条・第 211 条等)
カ 裁判執行関係事項照会への対応(刑事訴訟法第 507 条)
キ 裁判所からの公務所等に対する照会への対応(刑事訴訟法第 279 条、心神喪失
等の状態で重大な他害行為を行った者の医療及び観察等に関する法律第24条第3項)
ク 裁判所からの文書送付の嘱託や調査の嘱託への対応(民事訴訟法第 186 条・第
226 条、家事審判規則第8条)
ケ 家庭裁判所調査官による事実の調査への対応(家事審判規則第7条の2)
コ 犯罪被害財産支給手続関係事項照会への対応(犯罪被害財産等による被害回復
給付金の支給に関する法律第 28 条)
サ 疑わしい取引の届出(犯罪による収益の移転防止に関する法律第9条第1項)
シ 徴税吏員・税務職員の質問検査への対応(地方税法第 72 条の7、所得税法第 234
条等)
ス 弁護士会照会への対応(弁護士法第 23 条の2第2項)
セ 国勢調査等の指定統計調査に対する申告や調査実施者からの協力要請への対応
(統計法第5条・第 17 条)
ソ 児童虐待に係る通告(児童虐待の防止等に関する法律第6条第1項)
(2) 人の生命、身体又は財産の保護のために個人データを第三者に提供する必要がある
場合であって、本人の同意を得ることが困難である、例えば、以下のようなとき。
ア 急病人の血液型や家族の連絡先を医師や看護師に伝えるとき。
イ 大規模災害や事故等の緊急時に、負傷者情報を家族に提供するとき。
ウ 暴力団等の反社会的勢力に関する情報、業務妨害行為を行う悪質者情報等を企
業間で共有するとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に個人データを第三者に提
22
供する必要がある場合であって、本人の同意を得ることが困難である、例えば、以下
のようなとき。
ア 感染症の予防のための調査に応じるとき。
イ 児童虐待のおそれがある家庭情報を、児童相談所、警察、学校、病院等が共有
するとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行
することに対して警備業者が協力する必要がある場合であって、本人の同意を得るこ
とにより当該事務の遂行に支障を及ぼすおそれがあるときに、個人データを第三者に
提供する、例えば、以下のような場合(なお、警備業者は、任意の求めの趣旨に照ら
して第三者提供の必要性と合理性が認められる範囲内で対応するものとする。)
ア 任意の求めに応じて、警察や税務署に対して個人情報を提出する場合
イ 承認統計調査や届出統計調査に回答する場合
① 自己又は他人の権利利益や社会公共の利益のために第三者提供が要請される場合も
あるので、同意を得なくてもよい場合を定めている。
② (1)の「法令に基づく」場合とは、例えば、税務署長に対する支払調書等の提出(所
得税法第 225 条第1項等)なども含まれる。
③ (2)は、自己又は他人の権利利益を保護するため、個人情報を第三者に提供すること
が必要であるものの、本人の同意を得ることが困難である場合について手当てするも
のである。人の生命、身体又は財産といった具体的な権利利益が侵害されるおそれが
高まっており、これを保護するために個人情報の第三者提供が必要である場合には、
個人情報を第三者に提供することに一定の合理性があると考えられる。
一方こうした場合であっても、本人の権利利益の侵害の予防という観点からは同意
を得るべきとの原則が変わるものではないことから、本人の同意を得ることが困難で
ある場合に限って、本規定の適用を除外するものである。したがって、人の生命、身
体又は財産の保護のために、他の方法によることが十分可能である場合にまで、本人
の同意なき第三者への提供を認めるものではない。
④ (3)は、例に示すような社会全体の組織的な協力によって個人情報を相互に提供して
活用する必要がある場合には、本人の同意を得ずに第三者への提供を認める規定であ
る。
⑤ (1)から(4)に該当する場合の本人の同意なき個人情報の第三者提供については、本
人の同意を得ずに第三者提供を行うことが真に必要であると慎重に判断した上で行う
こととすべきである。
23
� ��������������� �� �����������
警備業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人
が識別される個人データの第三者への提供を停止することとしている場合であって、次
に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に
置いているときは、1及び2の規定にかかわらず、当該個人データを第三者に提供する
ことができる。
(1) 第三者への提供を利用目的とすること。
(2) 第三者に提供される個人データの項目(例えば、氏名、住所、電話番号又は商品購
入履歴)
(3) 第三者への提供の手段又は方法(例えば、インターネットへの掲載)
(4) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止する
こと。
ただし、警備業者がこの規定による第三者提供を行っている場合であって、(2)又は(3)
の規定に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通
知し、又は本人が容易に知り得る状態に置かなければならない。
����
本人の求めに応じて、当該本人が識別される個人データの第三者への提供を停止する仕
組みによる第三者提供を認めたものであるが、警備業者が契約者の個人情報を第三者提供
する場合は、契約約款により本人の同意を得て行うことが一般的に可能であるので、基本
的には本人の同意を得て行うこととすることが望ましいと考えられる。
� ���������������� �� �����������
次に掲げる場合において、当該個人データの提供を受ける者は「第三者」に該当しな
いものとし、1から3までの規定にかかわらず、警備業者は当該個人データを提供する
ことができる。
(1) 利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託
する場合(例えば、データの入力等、情報処理を委託するために個人データを提供す
る場合)
(2) 合併、分社化、営業譲渡等による事業の承継に伴って個人データを提供する、例え
ば、以下のような場合
ア 合併又は分社化によって、新会社に個人データを提供する場合
イ 営業譲渡により、譲渡先企業に個人データを提供する場合
24
(3) 個人データを特定の者との間で共同して利用する場合(例えば、グループ企業で総
合的なサービスを提供するために利用目的の範囲内で情報を共同利用する場合、親子
兄弟会社の間で利用目的の範囲内で個人データを共同利用する場合や外国の会社と利
用目的の範囲内で個人データを共同利用する場合)であって、次に掲げる事項につい
て、当該共同利用をする前にあらかじめ、本人に通知し、又は本人が容易に知り得る
状態に置いているとき。
ア 共同利用をする旨
イ 共同して利用される個人データの項目(例えば、氏名、住所、電話番号、商品
購入履歴等)
ウ 共同して利用する者の範囲
エ 利用する者の利用目的
オ 開示等の求め及び苦情を受け付け、その処理に尽力するとともに、個人データ
の内容等について、開示、訂正、利用の停止等の権限を有し、個人データの安全
管理等について共同利用者の中で第一次的に責任を有する事業者の氏名又は名称
ただし、イ又はウの規定に掲げる事項を変更する場合は、あらかじめ本人の同意を
得なければならない(1の規定参照)。
また、エ又はオの規定に掲げる事項を変更する場合は、変更する内容について、変
更前にあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければな
らない(第4の2(1)の規定参照)。
① (1)については、現在、民間企業等においては、顧客情報等大量の個人情報を利用す
るために必要となる編集・加工等の処理を、他の企業に委託することが一般化しつつ
ある。こうした取扱いを第三者提供とした場合、(1)に基づき、処理される個人情報の
本人に対し、個々に同意を取る必要が生じることとなり、事実上委託行為自体が不可
能となるおそれがある。一方、警備業者が個人情報の取扱いを委託した場合には、第
6の4により、適切な委託先を選定し、委託先に対し必要かつ適切な監督を行う責任
が生じ、これらの責任を果たしていない結果、問題が生じた場合には、委託した警備
業者も責めを負うこととなる。これらの事情を勘案し、警備業者が利用目的の達成に
必要な範囲内で個人情報の取扱いを委託する場合には、警備業者が行う取扱いの一部
とみなし、委託先は第三者には該当しないこととしている。なお、一般に個人情報の
処理を委託され、その成果物たる処理データを委託元に返すような場合は、そもそも
第三者への提供であるとは解されない。
② (2)については、合併や営業譲渡などによって事業の承継があった場合、通常その承
継資産には顧客情報等の個人情報が含まれると考えられ、必然的に個人情報が移転す
る。仮にこれを第三者提供とした場合、移転される個人情報の本人すべてから同意を
25
取る必要が生じ、事実上事業承継が困難になるおそれがある。一方、事業承継に伴っ
て個人情報が移転する場合には、第4の4によって利用目的も引き継がれることとな
るため、本人との関係においては、単に取扱いの主体となる事業者の名称が変更した
に過ぎず、個人情報の取扱いに伴う権利利益の侵害のおそれが増大することは考えに
くい。これらの事情を勘案し、事業を承継する者は、本規定の対象となる第三者には
該当しないこととしている。
③ (3)について、これらの規定を満たす形で特定の者との間で個人情報を共同利用する
ことは、本人の同意なく行うことができることを認めたものであるが、警備業者が個
人情報を共同利用する場合は、契約約款によって本人の同意を得て行うことが一般的
に可能であるので、基本的には本人の同意を得て行うこととすることが望ましいと考
えられる。なお、「本人が容易に知り得る状態に置く」とは、公表が継続的に行われて
いる状態をいい、事務所の窓口での掲示・備付けの他、具体的には、ホームページへ
の掲載、新聞等への継続的な掲載等の措置をとっていることをいう。
(1) 警備業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状
態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
ア 当該警備業者の氏名又は名称
イ すべての保有個人データの利用目的(第5の4(1)から(3)までの規定に該当す
る場合を除く。)
ウ 保有個人データに関する本人からの次に掲げる求めに応じる手続(7の規定に
より手数料を定めたときは、その手数料の額を含む。)
(ア) 利用目的の通知の求め((2)の規定参照)
(イ) 開示の求め(2(1)の規定参照)
(ウ) 内容の訂正、追加又は削除(以下「訂正等」という。)の求め(3(1)の規定
参照)
(エ) 利用の停止又は消去(以下「利用停止等」という。)の求め(4(1)の規定参照)
(オ) 第三者提供の停止の求め(4(2)の規定参照)
エ 当該警備業者が行う保有個人データの取扱いに関する苦情を受け付ける担当窓
口名・係名、郵送用住所、受付電話番号その他の苦情申出先
オ 当該警備業者が認定個人情報保護団体(法第 37 条第1項の認定を受けた者をい
う。以下同じ。)の対象事業者である場合には、当該認定個人情報保護団体の名称
及び苦情の解決の申出先
(2) 警備業者は、次に掲げる場合を除き、本人から、当該本人が識別される保有個人デ
ータの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しな
26
ければならない。なお、利用目的を通知しない旨の決定をしたときも、本人に対し、
遅滞なく、当該決定をした旨を通知しなければならない。
ア (1)の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
イ 第5の4(1)から(3)までの規定に該当する場合
① (1)アからオに掲げる事項は、開示等の求めを本人が行う上での実効性を確保し、ま
た、警備業者による保有個人データの取扱いを公平性の確保を図ろうとする観点から
必要不可欠な事項を掲げているものである。
② (1)の「本人の知り得る状態に置かなければならない。」とは、その時点において正
確な情報を正確な状態で本人が知ろうとすれば知ることができる状態に置くことをい
うものであり、内容に変更があった場合には、必ずその内容を変更し、常にその時点
での正確な内容にしておくことが要請される。
本人が知ろうとすれば知ることができる状態とは、ホームページへの掲載、パンフ
レットの配布、書面の掲示・備付け等の措置をとっていることをいい、本人の求めに
応じて遅滞なく回答する場合を含む。
なお、「本人の知り得る状態」とは、第5の2等の規定における「公表」の概念とは
一部異なり、その時点で本人が知ろうと思えば知り得ることを指す。したがって、数
年前に新聞に一度掲載されたということは、「公表」とは言えるが、「本人の知り得る
状態」とは必ずしも言えない。
(1)において、「本人の知り得る状態」に「本人の求めに応じて遅滞なく回答する場
合を含む。」としているのは、警備業者の規模や保有個人データの取扱いの態様等から
みて、一律に本人の知り得る状態に置くこととすることは、負担が過重となる場合が
あることを考慮したものである。
ただし、非常に問い合わせが多いことが予想される警備業者においては、ホームペ
ージへの掲載、パンフレットの配布、書面の掲示・備付け等の措置の方が、個別の求
めへの回答より負担が軽い場合もある。また、当該警備業者が電子商取引を行ってい
るかどうかといった事業形態によっても、措置の形態の妥当性(ホームページへの掲
載、パンフレットの配布、書面の掲示・備付け等の措置のうちいずれの措置が妥当か
等)が変わってくることが考えられる。
したがって、本規定については、「本人の知り得る状態に置く」方法を限定するもの
ではないが、当該警備業者が、その事業形態や保有個人データの取扱いの態様等を踏
まえ、できるだけ本人が容易に知り得るような状態としていくことが望ましいと考え
られる。
③ (1)イについては、保有個人データに関し、その取扱いについて、利用目的による制
限を実効あらしめるようにするために、括弧書きの場合を除き、すべての保有個人デ
27
ータの利用目的を明らかにすることを求めているものである。利用目的に第三者提供
が含まれる場合には、その旨も明らかにする必要がある。
④ (1)ウについては、開示等の求めに応じる手続は、6の規定等に基づき警備業者が個
別に定めることとなるが、求めを受け付ける場所、方法、本人確認の方法等の手続に
ついて定めた場合には、本規定によって本人の知り得る状態に置く必要がある。
また、本人の求めに応じる際に7の規定に基づき手数料を徴収する場合、手数料の
額が事前に明らかにされていることが本人の求めの実効性を確保する上で必要であ
り、括弧書きの規定はその旨を確認的に規定したものである。
(1) 警備業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が
識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同
じ。)を求められたときは、本人に対し、書面の交付による方法(開示の求めを行った
者が同意した方法があるときは当該方法)によって、遅滞なく、当該保有個人データ
を開示しなければならない。ただし、次に掲げる場合は、その全部又は一部を開示し
ないことができるが、開示しない旨の決定をしたときは、本人に対し、遅滞なく、そ
の旨を通知しなければならない。
ア 保有個人データを開示することによって、本人又は第三者の生命、身体、財産
その他の権利利益を害するおそれがある場合
イ 保有個人データを開示することによって、当該警備業者の業務の適正な実施に
著しい支障を及ぼすおそれがある場合(例えば、企業秘密が明らかになるおそれ
がある場合)
ウ 保有個人データを開示することが他の法令に違反することとなる場合(例えば、
刑法(明治 40 年法律第 45 号)第 134 条(秘密漏示罪)や電気通信事業法(昭和
59 年法律第 86 号)第4条(通信の秘密の保護)に違反することとなる場合)
(2) 他の法令の規定によって、本人が識別される保有個人データの全部又は一部を、当
該本人に対し(1)の規定の本文に定める方法に相当する方法で開示することとなる場
合には、(1)の規定は、適用しない。
(3) 警備業者は、法、令、基本方針、指針、このガイドライン等を踏まえ、その事業活
動の特性、規模及び実態を考慮し、自らの個人情報の保護に関する考え方や方針を策
定・公表している場合には、その中に、本人の権利利益保護の観点から、事業活動の
特性、規模及び実態を考慮して、「個人情報の取得元又はその取得方法(取得源の種類
等)を、可能な限り具体的に明記する」というような記述をできるだけ盛り込み、本
人からの求めに適切に対応していくことが望ましい。
28
① (1)は、警備業者は、個人情報に関し、本人の求めによって開示するものとすること
を規定するものである。「開示」とは、開示を求められた保有個人データの存否を含め
てその内容を知らせることを指す。なお、警備業者が開示すべき保有個人データは、
当該警備業者が開示の権限を有している保有個人データである。
② 「遅滞なく」とは、事情の許す限り最も速やかにという意味であり、正当な又は合
理的な理由に基づく遅滞は許されると解されている。したがって、例えば、同一主体
からの大量の開示請求があった場合には開示が遅れてもやむを得ない。
③ (1)アは、例えば、本人に関する情報の中に第三者の情報が含まれており、これを開
示することが当該第三者の不利益となるような場合などが考えられる。
④ (1)イは、例えば、開示の対象が特定されていない場合や個人データに該当しない個
人データベース等を構成していない保有個人データ(Web サーバに一時的に保存されて
いるクッキー情報である個人情報等)の開示が求められた場合など、これに応じて開
示を行うことが警備業者に過大な負担となるような場合や販売・営業上のノウハウに
関する情報、紛争に関する情報、信用上不利益を与える情報、経営方針、経理、人事、
労務管理等もっぱら警備業者内部の情報等の開示が求められた場合をいう。
⑤ なお、保有個人データの取扱いに関し、警備業者と本人との間に生じた苦情の適切
かつ迅速な処理を図るための必要な措置として、警備業者は、本人から、開示を求め
られた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本
人に対し、遅滞なく、その旨を通知しなければならない旨を規定している。
⑥ (2)は、他の法令の規定によって、書面の交付に相当する方法で開示することとされ
ている場合は、その方法に従う旨が規定されている。
(1) 警備業者は、本人から、当該本人が識別される保有個人データの内容が事実でない
という理由によって当該保有個人データの内容の訂正等を求められた場合には、その
内容の訂正等に関して他の法令の規定によって特別の手続が定められている場合を除
き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果
に基づき、当該保有個人データの内容の訂正等を行わなければならない。
(2) 警備業者は、(1)の規定に基づき求められた保有個人データの内容の全部若しくは一部
について訂正等を行ったときは、本人に対し、遅滞なく、その旨(訂正等の内容を含む。)
を通知しなければならない。また、利用目的から見て訂正等が必要でない場合や、本人か
らの誤りである旨の指摘が正しくない場合には、訂正等に応じる必要はないが、そのよう
な場合にも、本人に対し、訂正等を行わない旨の決定を通知しなければならない。
29
① (1)は、警備業者に対し、本人の求めにより訂正等を行うものとすることを規定する
ものである。なお、警備業者が訂正等を行うべき個人データは、当該警備業者が訂正
等の権限を有している保有個人データである。
また、訂正等を行うべき場合としては、当該個人データの内容が事実でない場合の
他、第4の3の規定に違反して目的外に利用している場合、第7の1の規定に違反し
て本人の同意なく第三者に提供している場合など本ガイドラインに違反した取扱いを
行っている場合である。
② (2)は、保有個人データの取扱いに関し、警備業者と本人との間に生じた苦情の適切
かつ迅速な処理を図るための必要な措置として、警備業者は、本人から訂正等を求め
られた保有個人データの内容の全部又は一部の訂正等を行ったとき、又は訂正等を行
わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったとき
は、その内容を含む。)を通知しなければならない旨を規定している。
(1) 警備業者は、本人から、当該本人が識別される保有個人データが第4の3から5ま
での規定に違反して取り扱われている(同意のない目的外利用)という理由又は第5
の1の規定に違反して取得されたものである(不正の手段による個人情報の取得)と
いう理由によって、当該保有個人データの利用停止等を求められた場合であって、そ
の求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅
滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保
有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うこと
が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置
をとるときは、この限りでない。
(2) 警備業者は、本人から、当該本人が識別される保有個人データが第7の1及び2の
規定に違反して第三者に提供されている(同意のない第三者提供等)という理由によ
って、当該保有個人データの第三者への提供の停止を求められた場合であって、その
求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者へ
の提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の
停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合
であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、
この限りでない。
(3) 警備業者は、(1)及び(2)の規定に規定する求めに対し、保有個人データの全部又は
一部について、その求めに応じたとき、又はその求めに応じない旨の決定をしたとき
は、本人に対し、遅滞なく、その旨を通知しなければならない。
(4) 警備業者は、法、令、基本方針、指針、このガイドライン等を踏まえ、その事業活
30
動の特性、規模及び実態を考慮し、自らの個人情報の保護に関する考え方や方針を策
定・公表している場合には、その中に、消費者等、本人の権利利益保護の観点から、
事業活動の特性、規模及び実態を考慮して、「保有個人データについて本人から求めが
あった場合には、ダイレクトメールの発送停止等、自主的に利用停止等に応じる」と
いうような記述をできるだけ盛り込み、本人からの求めに一層対応していくことが望
ましい。
① (1)について、本ガイドラインに違反した取扱いを行っている場合には、違反してい
る取扱いを是正すれば足り、必ずしも当該保有個人データのすべての取扱いをやめる必
要はない(例えば、第4の3の規定に違反して目的外に利用している場合は目的外利用
を停止すればよく、利用目的の範囲内の利用まで停止する必要はない。)。
② (2)の「第三者への提供の停止」とは、新たな提供を停止することの他、既に第三者
に提供された保有個人データについても、その利用を停止させることをいう。
③ (3)は、保有個人データの取扱いに関し、警備業者の本人との間に生じた苦情の適切
かつ迅速な処理を図るための必要な措置として、警備業者は、本人から利用停止等を
求められた保有個人データの全部若しくは一部の利用停止等を行ったとき若しくは利
用停止等を行わない旨の決定をしたとき、又は本人から第三者への提供の停止を求め
られた保有個人データの全部若しくは一部について第三者への提供の停止をしたとき
若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、
その旨を通知しなければならない旨を規定している。
警備業者は、保有個人データの利用目的の通知の求め(1(2)の規定参照)、開示の求
め(2(1)の規定参照)、訂正等の求め(3(1)及び(2)の規定参照)、利用停止等の求め又
は第三者提供の停止の求め(4(1)から(3)までの規定参照)に対し、本人から求められ
た措置の全部又は一部について、その措置をとらない旨又はその措置と異なる措置をと
る旨を本人に通知する場合は、併せて、本人に対して、その理由を説明するよう努めな
ければならない。
警備業者が本人からの開示等の求めに対して、本人から求められた措置の全部又は一部
について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通
知する場合は、本人に対し、その理由を説明するよう努めることを規定したものである。
31
なお、本人の求めに応じた措置をとる場合は、本人の求めによることがその措置をとる
理由であり、理由が自明であることから、理由を説明することとはしていない。
(1) 警備業者は、保有個人データの利用目的の通知の求め(1(2)の規定参照)、開示の
求め(2(1)の規定参照)、訂正等の求め(3(1)の規定参照)、利用停止等の求め(4
(1)の規定参照)又は第三者提供の停止の求め(4(2)の規定参照。以下これらの求め
を総称して単に「開示等の求め」という。)に関し、その求めを受け付ける方法として
次に掲げる事項を定めることができ、定めた場合には、本人の知り得る状態(本人の
求めに応じて遅滞なく回答する場合を含む。)に置いておかなければならない。この場
合において、本人から、当該方法に従わないで開示等の求めが行われたときは、その
求めを拒否することができる。
ア 担当窓口名・係名、郵送用住所、受付電話番号、受付FAX番号等の開示等の
求めの申出先
イ 開示等の求めに際して提出すべき書面(電子的方式、磁気的方式その他人の知
覚によっては認識することができない方式で作られる記録を含む。)の様式その他
の開示等の求めの方式
ウ 開示等の求めをする者が本人又は代理人(未成年者若しくは成年被後見人の場
合はその法定代理人又は開示等の求めをすることにつき本人が委任した者がいる
場合はその受任者)であることの例えば以下のような確認の方法
(ア) 本人の場合運転免許証、健康保険の被保険者証、写真付き住民基本台帳カード、
旅券(パスポート)、外国人登録証明書、年金手帳、印鑑証明書と実印等
(イ) 本人の場合(オンライン)IDとパスワード
(ウ) 本人の場合(電話)一定の登録情報(生年月日等)の確認やコールバック
(エ) 本人の場合(送付(郵送、FAX等))運転免許証や健康保険の被保険者証等
の公的証明書のコピーの送付を顧客等から受け、当該公的証明書のコピーに記
載された顧客等の住所にあてて文書を書留郵便により送付
(オ) 代理人の場合(来所)本人及び代理人について、運転免許証、健康保険の被
保険者証、旅券(パスポート)、外国人登録証明書、年金手帳、弁護士の場合は
登録番号、代理を示す旨の委任状(親権者が未成年者の法定代理人であること
を示す場合は、本人及び代理人が共に記載され、その続柄が示された戸籍謄抄
本や住民票の写し)
エ 保有個人データの利用目的の通知又は保有個人データの開示について手数料を
徴収する場合は、その徴収方法
(2) 警備業者は、本人に対し、開示等の求めに対応するため、その対象となる保有個人
データの特定に必要な事項の提示を求めることができる。なお、その際、本人が容易
32
かつ的確に開示等の求めができるよう、当該保有個人データの特定に資する情報の提
供その他本人の利便性を考慮しなければならない。
(3) 警備業者は、(1)及び(2)の規定に基づき開示等の求めに応じる手続を定めるに当た
っては、事業の性質、保有個人データの取扱状況、開示等の求めの受付方法等に応じ
て適切なものになるよう配慮し、例えば、本人確認のために警備業者が保有している
個人データに比して必要以上に多くの情報を求めないようにするなど、本人に過重な
負担を課するものとならないよう配慮しなければならない。
① (1)の「求めを受け付ける方法」とは、求めを受け付けるための申請書の様式、窓口
の特定、郵送等による受付を認めるかどうかといったことを想定している。(1)は、警
備業者は必ずしも申請書の様式や窓口の特定等を定める必要があるものではなく、定
めない場合には自由な申請を認めることとなる。一方、警備業者が(1)の規定に基づき
申請書の様式等の求めを受け付ける方法を定めたときは、本人は、当該方法に従って、
開示等の求めを行う必要があり、仮に本人から、当該方法に従わないで開示等の求め
が行われたときは、その求めを受け付けなくてよいことを定めている。
② (2)の「対象となる保有個人データの特定に必要な事項の提示を求めることができ
る」とは、警備業者が事業部門や営業所ごとに保有個人データを保有している場合や、
取得年月日別に保有個人データを保有している場合等において、警備業者は、開示等
の求めについて、具体的にどの区分の保有個人データを対象とするものなのかについ
て、特定を求めることができることとするものである。また、「特定に資する情報の提
供その他本人の利便を考慮しなければならない」とは、警備業者が本人に対し、対象
となる保有個人データの特定に必要な事項の提示を求める場合において、保有個人デ
ータの区分を本人の知り得る状態に置くこと等によって、本人が容易に特定し得るよ
うな措置をとる必要があることを規定したものである。
③ 警備業者は、(1)、(2)の規定に基づき開示等の求めに応じる手続をそれぞれ定める
こととなるが、本人に過重な負担を課するような手続を定めた場合、事実上開示等の
求めを制限することとなるおそれがあることから、(3)の規定を置いたものである。「本
人に過重な負担を課する」手続は、保有個人データの性質又は利用方法により、ある
程度異なるものと考えられるが、必要以上に煩雑な書類を書かせることや、求めを受
け付ける窓口を他の業務を行う拠点とは別に、いたずらに不便な場所に限定すること
等はこれに該当するものと考えられる。
33
警備業者は、保有個人データに関する利用目的の通知の求め(1(2)の規定参照)又は
開示の求め(2(1)の規定参照)に応じる場合には、手数料を徴収することができる。こ
の場合において、その手数料の額は、実費を勘案して合理的と認められる範囲内でなけ
ればならない。また、手数料の額を定めた場合には、本人の知り得る状態(本人の求め
に応じて遅滞なく回答する場合を含む。)に置かなければならない(1(1)ウの規定参照)。
警備業者は、保有個人データの利用目的の通知又は開示を求められた場合に、その実施
に関し、手数料を徴収することができること、また、手数料を徴収するときは、実費を勘
案して合理的に認められる範囲内において、その手数料の額を定めるものとすることを規
定したものである。
警備業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければな
らない。
また、苦情の適切かつ迅速な処理を行うに当たり、苦情処理窓口の設置や苦情処理の
手順を定めるなど必要な体制の整備に努めなければならない。もっとも、無理な要求に
まで応じなければならないものではない。
なお、担当窓口名・係名、郵送用住所、受付電話番号その他の苦情申出先については、
本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなけれ
ばならない(第8の1(1)エの規定参照)。
① 警備業者は、個人情報の取扱いに関する苦情について、適切かつ迅速に処理するも
のとすることを規定したものである。
② 「個人情報の取扱いに関する苦情」とは、個人情報の取扱いに関する不平不満をい
う。
③ 苦情を適切かつ迅速に処理しているか否かについては、警備業者によって提供する
警備業務等の内容、契約者数等が様々であること、また、苦情の内容も様々であるこ
とから、「適切かつ迅速な処理」の具体的な内容をすべての警備業者等について一律に
定めることは困難であり、個別具体的に判断する必要があるが、少なくとも、以下の
場合には、適切かつ迅速に処理を行っているとはいえないと考えられる。
34
ⅰ 苦情に対する対応窓口を設けていない場合
ⅱ 苦情に対する対応窓口が設けられていても、その連絡先や受付時間等を一般に明
らかにしていない場合
ⅲ 苦情に対する対応窓口が明らかにされていても、実際にはその対応窓口がほとん
ど利用できないような場合(例えば、電話窓口に頻繁に電話しても繋がらない場合
やメール相談窓口にメールで繰り返し相談しても連絡がない場合)
一方、本規定は、無理な注文をつけてくる場合その他のいわゆる行きすぎた苦情につ
いてまで対応することを求めるものではなく、このような場合に要求を拒む等しても本
規定に違反することにはならない。
��� ����������������������
警備業者は、その取り扱う個人情報(委託先が取り扱うものを含む。)について、法違
反又は法違反のおそれが発覚した場合には、次のような対応をすることが望ましい。
� �����������
事実関係を調査し、法違反又は法違反のおそれが把握できた場合には、その原因究明
に当たる。
� �������
1の規定で把握した事実関係による影響がどれほど及ぶのか、その範囲を特定する。
� �����������
1の規定で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。
� �������������������
法違反の中でも、特に個人データの安全管理(法第 20 条から第 22 条まで。以下同じ。)
について違反があった場合には、二次被害の防止、類似事案の発生回避等の観点から、
事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態に置くこ
とが望ましい。
� ��������������
法違反の中でも、特に個人データの安全管理について違反があった場合には、二次被
害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等について、速
やかに公表することが望ましい。
� �������������������
警備業者は、法違反又は法違反のおそれが発覚した場合には、事実関係及び再発防止
策等について、速やかに国家公安委員会(警察庁長官官房総務課)及び法第 37 条第1項
の認定を受けた認定個人情報保護団体である社団法人全国警備業協会に報告するよう努
めなければならない。
35
個人データの漏えい等安全管理について違反があった場合は、影響を受ける可能性があ
るその個人データの本人が適切に対応できるようにして二次被害を防止するため、また、
類似事案の発生回避等の観点から、警備業者は事実関係を本人に速やかに通知又は本人が
容易に知りえる状態に置くことが望ましいことを規定するものである。
なお、契約者が住所、電話番号、メールアドレスの変更等をし、これを警備業者に通知
していないときなど本人の連絡先が不明である場合には、通知できなくてもやむを得ない
と考えるが、こうした場合は、できるだけ本人が個人データの漏えいの事実を把握できる
ように5に従って公表を行うことが望ましいと考えられる。
警備業者は、雇用管理に関する個人情報の取扱いについて、「雇用管理に関する個人情
報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針(平成 16 年7月
1日、厚生労働省告示第 259 号)」及び「雇用管理に関する個人情報のうち健康情報を取
り扱うに当たっての留意事項について(平成 16 年 10 月 29 日、厚生労働省労働基準局長
通達基発第 1029006 号)」を遵守するものとする。
警備業者は、雇用管理に関する個人情報の適正な取扱いを確保するために、本ガイドラ
インによるほか、次に定める事項その他必要な措置を講じなければならない。
ⅰ 従業者に係る健康診断の結果、病歴、その他健康に関する情報についても、このガ
イドラインにおける個人データに該当するものとして取り扱うこと。
ⅱ 雇用管理に関する個人データを取り扱う従業者及びその権限を明確にした上で、そ
の業務を行わせること。
ⅲ 雇用管理に関する個人データは、その取扱いについての権限を与えられた者のみが
業務の遂行上必要な限りにおいて取り扱うこと。
ⅳ 雇用管理に関する個人データを取り扱う者は、業務上知り得た個人データの内容を
みだりに第三者に知らせ、又は不当な目的に使用してはならないこと。その業務に係
る職を退いた後も同様とすること。
ここでいう「雇用管理に関する個人情報」とは、警備業者が雇用又は使用する従業員等
に係る個人情報のことであり、厚生労働省告示第 259 号においては、「労働者等」として、
事業者に使用されている労働者、労働者になろうとする者及び、なろうとした者並びに過
去において事業者に使用されていた者と定義されている。
36
このガイドラインについては、社会情勢の変化、国民の意識の変化、技術動向の変化
等諸環境の変化を踏まえ、必要に応じ見直しを行うものとする。
附則
このガイドラインは平成 23 年4月1日から実施する。
警備業における個人情報の保護に関するガイドライン
平成 23 年4月
社団法人 全国警備業協会
〒160-0023 東京都新宿区西新宿 1-9-18 永和ビル 7F
TEL03-3342-5821 FAX03-3342-6074
無断転載禁止
社団法人 全国警備業協会
警備業における個人情報の保護に関する
ガイドライン
平成23年
「セキュリティ・タイム」5月号 VOL.389付録 平成23年5月25日発行