数年前の管理組合理事会のメイリング・リストが、Webに残っていて、任期の過ぎた役員のID/パスワードで、そのままアクセス可能なのは、個人情報保護上、何か支障があるでしょうか?
また、何らかの原因で、個人情報漏れにより被害が発生するか、発生したと主張された場合、「数年前の理事会の責任です。今の理事会には関係ありません」で、支障ないでしょうか?
メイリング・リストは便利な上、情報が蓄積されて便利なのですが、そのまま放置されている例も多いようです。その上、ログインしっぱなしにできる認証が使える場合もあります:
http://groups.yahoo.co.jp/search?query=%80%A0%A3%B4%C9%CD%FD%C1%C8%B9%E7&srch_sort=1&srch_cat=1604828131&sc=0&sg=0&ss=1
http://www5.cao.go.jp/seikatsu/kojin/gimon-kaitou.html
これら個人情報取扱事業者から除外される者(たとえば、一般私人や小規模な事業者)については、法第4章の義務は課せられません。なお、個人情報保護法の義務は課せられないとしても、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない」(法第3条)という個人情報保護法の基本理念を尊重して、個人情報の保護に自主的に取り組むことが望ましいところです。
http://www5.cao.go.jp/seikatsu/kojin/kaisetsu/pdfs/hani.pdf
管理組合のような小規模の個人情報を取り扱う事業に関しては個人情報保護法の適用範囲外になりますので、仮に被害が発生しても責任を負うことはありません。
こちらは内閣府の個人情報保護解説ページと個人情報保護法の条文です。
http://www5.cao.go.jp/seikatsu/kojin/
http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html
第十六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用
目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
とありますが、個人情報取扱事業者というのは
個人情報保護法第4章から第6章に定める義務の対象となる「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者(民間部門)をいいます(法第2条第3項。Q1-4も参照)。
ただし、事業の用に供する個人情報データベース等を構成する個人情報によって特定される個人の数の合計が、過去6か月以内のいずれの日においても5,000を超えない者は、除外されます。
と、定義されていますので、おそらくそちらのマンション管理組合の件に関しては対象外になると思われますが、
5,000を超えるかどうかは、その事業者が管理するすべての個人情報データベース等によって識別される個人の数の総和で考えます。ただし、同一人物が含まれる場合、重複分は除きます。
例えば、ある事業者が顧客データを4,000人分、従業員データを3,000人分有しており、そのうち同一人物が100人分含まれる場合、4,000人分+3,000人分-100人分=6,900人分となり、「個人情報取扱事業者」に該当します。
データ数は総和で考えますので、顧客データ数含めて5000を超えるかどうかご注意ください。
もし超えている場合、被害発生時に事業者側に責任が及ぶことになります。
出来るだけ早く削除またはパスワード変更などを行うことをお勧めします。
ありがとうございます。
削除しようにも、以前の理事会の個人が開いたメイリングリストのアーカイブであれば、今の理事会には、権限が無いのが、むずかしい点です。 更に、ID/パスワードは、使い捨てのWebメイルと兼用です。定期的にパスワードを変更する必要もなければ、誰が使っているかも補足しようがありません。
個人情報保護上は問題ありません。
あれは一定の基準以上の事業者を対象とした法律なので、よっぽど大量の個人情報を扱っている管理組合でない限りは対象外です。
しかし、法律上問題無いわけではなくて、例えば個人が誰かの氏名をネット上に公表した場合はプライバシーの侵害となります。
それ自体に罰則はありませんが、相手方が何か不利益を被った場合には公表した人間の責任となります。
数年前の管理組合がやったことだとしても、団体としての責任ですので責任を逃れることは出来ません。
ありがとうございます。
「誰かの氏名をネット上に公表した」の場合の他に、使い捨てID/Passwordで、理事会の情報にアクセスしていますので、「第3者が捨てられていたIDを拾って」、個人情報を読んでいてもわかりません。
この場合に、今の管理組合にも責任があるのか、ちょっと、わからない点です。既に、引越し先のわからない、ID保有者も考えられます。
管理組合のような小規模の個人情報を取り扱う事業に関しては個人情報保護法の適用範囲外になりますので、仮に被害が発生しても責任を負うことはありません。
これは完全な間違いです。
個人情報保護法が適用されないからといって個人情報の流出に全く責任を負わなくていいわけではありません。
個人情報保護法が適用されないから、民法の不法行為責任にも問われなくなるということはありません。
プライバシー侵害などが実際に発生した後の個人の権利利益の救済については従来どおり、民法上の不法行為や刑法上の名誉毀損罪などによって図られることになります。
http://www5.cao.go.jp/seikatsu/kojin/gimon-kaitou.html#1_3
個人情報保護法が適用されるか否かにかかわりなく、そのような管理で個人情報が漏れて被害が発生した場合は、公表した人だけでなく、現在メーリングリストを管理している人(過去の理事会よりも責任が重いくらいです)も民法上の不法行為責任を負う可能性はあります。
「数年前の理事会の責任です。今の理事会には関係ありません」で、支障ないでしょうか?
こう主張してもだめです。現在管理している人も責任はあります。
任期の過ぎた役員はアクセスできないように権限を変更すべきです。
ただし、連絡の便宜や親睦を深める目的で、参加者の了解を得た上で住民全員が全員の個人情報を共有するというスタイルでいくのであればそれはそれでかまわないでしょう。
もし、そのような運用で流出した場合は流出させた人の責任です。
ただ、電子データで個人情報をみんなに配るというのはリスクが高いので、その場合でも昔ながらの紙の名簿を配る形にしておいたほうが無難だと思います。
ありがとうございます。
理事会が居住者には秘密で、メイリングリストで配布・アーカイブに保存していた場合には、どう扱うべきでしょうか?
当然ながら、個人情報を含むと思われる情報が理事個人のパソコンに配布されます。当然、ビールス対策ソフトも入っていませんし、パソコンが壊れれば、そのまま、捨てられてしまうでしょう。
理事会が居住者には秘密で、メイリングリストで配布・アーカイブに保存していた場合には、どう扱うべきでしょうか?
当然ながら、個人情報を含むと思われる情報が理事個人のパソコンに配布されます。当然、ビールス対策ソフトも入っていませんし、パソコンが壊れれば、そのまま、捨てられてしまうでしょう。
もう過去の取り扱いはどうしようもないと思いますが、問題のある取り扱いだと思います。
「使い捨てのID/パスワード」(本来の用法はむしろセキュリティ的に好ましい意味ですが……)で過去の理事会が使っていたメーリングリストからの流出ついてはアクセスできずにどうしようもないのであれば、仕方ないし、責任を負わなくていい可能性もあります。
しかし、過去の理事会のメンバーで連絡が取れる人がいて権限があるならばそれについては情報を削除してもらうように頼むべきです。
また、現行の理事会ではその取り扱いは改めID・パスワードの管理はきちんと行い(管理権限のない「以前の理事会の個人が開いたメイリングリスト」を使いまわしてはいけません)、理事会のメンバーを外れたらIDを無効にする、個人所有のPCで受信した情報は削除するルールを定める、もし流出した場合に特に問題があるファイル(全居住者の名簿等)はメーリングリストではまわさない、くらいの扱いはすべきです。
その程度配慮すれば、個人情報保護法の適用対象ではないですし、流出事件がおきても責任を負わなくても良くなるかと思います。
ともかく、法律上の責任を負う負わない以前の問題として、個人情報を取扱うのですからもっと注意すべきです。
詳細な解説、ありがとうございます。
理事会には、これも当然ながら、電子メイルを、ほとんど使っておいでにならない方々もおいでですし、パソコンの操作はお孫さん任せるとうい場合もあって、どこかの使い捨て無料メイルアカウントに、任期中の情報が蓄積されている場合があります。
IDとかパスワードといっても、お孫さんのネットワークゲームのアカウントと同じ扱いなってしまいますし、ご高齢な場合が多いので、画面の文字は読みづらく、説明の日本語の用語も、まるで意味不明なのが、普通の風景です。
無料で1GBという種のメイルアカウントの場合、メイルを消すことが不要です。
利用者が蓄積した情報は、サービス提供会社の情報収集のために使用することを許諾したことになっているのが、通例です。
すると、入居者の情報を、理事会が、その個人の承諾なしに、第3者に提供したことになってしまいます。しかし、個人情報保護法の対象外=免責されているので、電子メイルなら何を送っても大丈夫というのも、別に聞いた話です。情報漏れの責任は、個人方法保護の対象のサービス提供会社というのも、よくわからない点でした。
理事会には、これも当然ながら、電子メイルを、ほとんど使っておいでにならない方々もおいでですし、パソコンの操作はお孫さん任せるとうい場合もあって、どこかの使い捨て無料メイルアカウントに、任期中の情報が蓄積されている場合があります。
IDとかパスワードといっても、お孫さんのネットワークゲームのアカウントと同じ扱いなってしまいますし、ご高齢な場合が多いので、画面の文字は読みづらく、説明の日本語の用語も、まるで意味不明なのが、普通の風景です。
高齢者でPCを十分に使えない方がいるのであれば、そもそもメーリングリストで情報を伝達するという方法自体を見直したほうがいいかもしれません。
人数が多い場合は仕方ないかもしれませんが、マンション内のことですし、古き良き紙ベースでの情報伝達の方が向いているかもしれません。
それでも使うというのであれば、ある程度運用のルールを定めたり、高齢の方にも個人情報の取扱の重要性を理解してもらうことが必要だと思います。
利用者が蓄積した情報は、サービス提供会社の情報収集のために使用することを許諾したことになっているのが、通例です。
すると、入居者の情報を、理事会が、その個人の承諾なしに、第3者に提供したことになってしまいます。
この点は一応大丈夫だと思います。
サービス提供会社の情報収集といっても、無制限にメールの内容を提供会社が読むわけではなく、機械的に解析してサービス提供会社の広告提供に使うと方法のはずです。
例えば、Gmailでは、
Google ではこのスキャン技術を、ターゲットを絞ったテキスト広告やその他の関連情報の配信に使用しています。この処理は完全に自動化されており、人間が介入することはありません。
http://mail.google.com/mail/help/intl/ja/about_privacy.html#scan...
となっています。
この程度は個人情報取扱事業者でもないですし、許容範囲ではないかと思います。
しかし、繰り返しますが個人情報保護法の対象外である、ということは個人情報を適正に取り扱わなくていいということを意味しません。
しかも、細かく言えば個人情報法適用外という言い方も本来は正確でなく「個人情報取扱事業者」に該当しないというのが正しいのです。
たとえば、個人情報保護法3条
(基本理念)
第三条 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。
http://law.e-gov.go.jp/htmldata/H15/H15HO057.html
は個人情報取扱事業者以外にも適用されます。
そもそも、個人情報保護法の施行以前の事件であっても個人情報流出で損害賠償をさせられたケースは存在します。
個人情報取扱事業者でなくても、個人情報保護法の施行によってより適正な個人情報の取り扱いを求められるようになったということは間違いありません。
個人情報取扱事業者ではないからいいかげんでいい、という考え方は非常に危険です。
マンションの管理組合の問題ですから、仮に裁判沙汰にならずとも、住人から理事会が信用を失うという事態は好ましくありません。
法律で責任がどうであるということよりも、ただ利便性を追求するのではなく流出のリスクを少なくすることも十分考慮し、万一流出が起こってしまった場合でも、こういうルールに基づいて情報を取り扱ってきました、と説明できるくらいの体制にはしておくべきです。
ありがとうございます。
情報管理は、帳票類の保存期間の議論と併せて、面倒な関係があります。
最近の議論としては、リスクの高いコンピュータを使った全理事会文書の永久保存を廃して、紙のみに戻す方向性もあります。更に、紙媒体の保管場所の制約のため、保存期間を過ぎた書類を廃棄するのに併せて、過去のデータも廃棄するのです。社会保険庁や建築偽装でよく聞く議論ですので、気になるところです。
ありがとうございます。
「個人情報保護法により、民法上の責任が免責される」という説かと思います。この点も、よくわからず、質問させていただいた次第です。紙媒体であれば、個人情報漏れは問題ですが、オンライン媒体であれば、支障ないというのも、よく耳にします。 これも、よくわからない点です。 どなたでも、解説いただけると、助かります。