『コンプライアンス』について❺

『個人の同意を得られない場合』は？

現在、日本国内の事業者は全般的に共通した『コンプライアンス』について、年々厳しくなってきたと思います。

前回までは、基本的な内容について記載しましたが、今回は掘り下げて『守秘義務・個人情報』について考察したいと思います。

マイナンバーカードは、個人情報の細分化したカードで、裏面の複写は禁じられており、不動産の取引で写しを撮る場合は、特に注意が必要となります。

１，守秘義務（個人情報保護）について

①宅地建物取引業従業者としての守るべき義務は？

不動産という顧客の重要な財産を取り扱う『宅地建物取引業者』は、不動産取引に関することだけではなく、顧客の財産や家庭に関する秘密を知る機会が、とても多いものです。

宅地建物取引業者、その従業者は『正当事由』がある場合のみ、その業務上取扱い知りえた秘密を他に漏らしていけない『秘密を守る義務』が課されております。

これは、廃業したり、業者の従業員の資格がなくなった後でも、同様の義務を負うものとされております。

【宅地建物取引業法第４５条、第７５条の３】

宅地建物取引業者による顧客の秘密の漏洩は、宅建業法違反になると同時に、顧客の信頼を決定的に喪失し、宅地建物取引業者における顧客情報の守秘義務は、道義的心得以上に、基本的な義務と考えるものです。

宅建業法第４７条第１号は、『重大な事項の告知』を宅建業者に義務付けていますが、『重要な事項』を依頼者に告知することが、他の依頼者の秘密を漏らした場合もありますが、この『重要な事項』の告知は、宅建業法第４５条の『正当な事由』の一つといえ、守秘義務違反とはなりません。

②不動産取引と個人情報保護法

近年、情報通信社会の急速な進展により、顧客データの大量流出や、名簿業者の名簿売買による個人情報の漏洩が社会問題になり、個人の権利利益の侵害の危険性が高まりました。

国際的な法制定の動向を受け、個人情報データベース等を事業にしている業者団体を、『個人情報取扱事業者』と定め、個人情報の取扱いにあたり事業者の遵守すべき義務等を定めた『個人情報の保護に関する法律』が平成１５年５月に交付、平成１７年４月より施行されております。

当初は、取扱う個人情報が５，０００人以下の事業者は規定の対象外

『宅建業者は、指定流通機構（レインズ）のデータを事業活動に利用しえることから、自ら独自に保有する個人情報の数に関わりなく（個人情報取扱い事業者）に該当』でしたが

平成２７年９月に同法改正により、平成２９年５月３０日より、保有する個人情報数に関わりなく、個人情報を取り扱う全ての事業者が規制対象になりました。

令和２年６月には、個人の権利の在り方、事業者の守るべき責務の在り方、事業者による自主的な取り組みを促す仕組みの在り方、データ利活用に関する施策の在り方、違約の在り方、法の域外適用・越境移転の在り方についての改正が令和４年４月１日より、全面施行されました。

また、令和３年５月の『デジタル社会の形成を図るための関係法律の整備に関する法律』の公布により改正された個人情報保護法について、行政機関・独立行政法人等に係る部分については、令和４年４月１日より、地方公共団体・地方独立行政法人に係る部分については、令和５年４月１日より施行されております。

③個人情報保護法の対象となる概念・定義について

意外と知られていないのですが、個人情報保護法は『用語』と『定義』が組み込まれており、当方でも毎回確認しておりますが、ここでご説明したいと思います。

❶個人情報とは？

生存する個人に関する情報で、次の何れかに該当するもの

１、当該情報に含まれる氏名・生年月日・その他の記述等

※文書・図面若しくは電磁的記録に記載され、若しくは記録され、若しくは記録された音声・動作その他の方法を用いて表された一切の事項により、特定の個人を識別できるもの。

※ほかの情報と容易に照合することができ、それにより特定の個人を識別できることも含まれます。

２，個人識別符号（マイナンバー）が含まれるもの

❷個人識別符号とは？

１，DNA、顔、指紋、掌紋など、身体の一部の特徴を電子計算機のために変換した符号

２，旅券番号、免許証番号、マイナンバーカード等の公的番号で、サービス利用や書類において対象者ごとに割り振られた符号

❸要配慮の個人情報

取得について、原則として事前に本人の同意を得る必要のある情報

１，人種・信条・社会的身分・病歴・前科・犯罪被害状況

２，その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものとして、政令で定めているもの

※身体障害・知的障害・精神障害等があるもの

※健康診断その他の検査結果

※保健指導・診療・調剤情報

※本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続きが行われたこと。

※本人の非行少年または、その疑いのある者として、保護処分等の少年の保護事件に関する手続きが行われたこと。

❹個人情報データベース等

個人情報を含む情報の集合物

（検索可能なものや目次等を付けた情報含む）

該当する事例について

※電子メールに保管されているメールアドレス帳

※インターネットサービスにおいて、ユーザーが利用したサービスに係るログイン情報がIDによって整理保管されている電子ファイル

※従業者が、名刺の情報を業務用パソコンの入力整理されている場合

※人材派遣会社が登録カードを、氏名の五十音順に整理しファイルされている場合

❺個人情報取扱い事業者

個人情報データベース等を事業の用に供している者

（国、地方公共団体は除く）

❻個人データ

個人情報データベース等を構成する個人情報

➐保有個人データ

個人情報取扱事業者が開示、内容の訂正、消去、第三者への提供の停止等を行う権限を有する個人データ

❽個人関連情報

生存する個人に関する情報であって、個人情報、仮名加工情報及び、匿名加工情報の何れにも該当しないもの

❾個人関連情報取扱事業者

個人関連情報データベース等を事業の用に供している者

（国、地方公共団体は除く）

❿仮名加工情報

個人情報を、ガイドラインで定める措置を講じることにより、他の情報と照合しない限り、特定の個人を識別することが出来ないように加工して得られる個人に関する情報

⓫仮名加工情報取扱事業者

仮名加工情報データベース等を事業の用に供している者

（国、地方公共団体は除く）

 

⓬匿名加工情報

特定の個人を識別することが出来ないように、個人情報を加工し、当該個人情報を復元できないようにした情報

⓭匿名加工情報取扱事業者

匿名加工情報データベース等を事業の用に供している者

（国、地方公共団体は除く）

この定義によると、かなり広範囲にわたる情報が『個人情報』に該当します。

名刺等は、具体的に名前・住所・電話番号等を記載したものに限らず、地図情報なども個人情報が特定できれば『個人情報』に該当します。

宅建業者にとって、住所・地番等の不動産情報は、登記記録等と照合すれば、個人の特定ができるので、『個人情報』に該当します。

この法の各種の規制全てが、この『個人情報』を対象ではありません。

『個人情報』の集合物である『個人情報データベース』等を取り扱う『個人情報取扱事業者』等を取扱う『個人情報取扱事業者』を対象に、『個人情報』『個人データ』『保有個人データ』の其々の取扱い等に一定の義務付けされております。

ここは重要ですが、万一、個人データの漏洩があった場合の対応については、『個人情報の保護に関する法律についてのガイドライン』に詳しく記載されており、参考になります。

④相談窓口について

❶不正アクセスにより個人データが漏洩した場合や、ランサムウェア等に個人データが暗号化され、復元できない場合等のサイバー攻撃・サイバー犯罪の被害に遭った場合

※警察への通報・相談、独立行政法人情報処理推進機構への届出を、積極的に実施されることが重要です。

２，個人情報取扱事業者が遵守すべきルール

①個人情報を取得・利用するときのルールは？

個人情報を取得した場合は、その利用目的を本人に通知・公表すること。

❶どのような目的で『個人情報を利用』するのかについて、具体的に特定すること。

❷特定した目的は、公表しておく必要が有ります。

予め公表していない場合には、本人に通知公表する必要が有ります。

※個人情報を取得する際に利用目的が明らかであれば、逐一相手に伝える必要は有りません。

❸取得した個人情報を他の目的で利用しない場合、本人の同意を得る必要が有ります。

❹すでに取得した個人情報を他の目的で利用したい場合、本人の同意を得ること。

❺『要配慮個人情報』を取得するときは、原則として事前に本人の同意が必要です。

②個人データを保管するときのルールは？

個人データの漏洩が生じないように『安全に管理』すること

❶安全に管理するための措置をとること。

（紙の顧客台帳は鍵のかかる引出しで保管し、パソコン上の顧客台帳にはパスワードを設定し、顧客台帳を管理するパソコンにウィルス対策ソフトを入れること）

❷正確で最新の内容に保ち、不要になった時はデータを消去すること。

❸従業者に対し、必要かつ適切な監督を行なうこと。

❹個人データを取扱いを委託する場合、委託先に対して必要かつ適切な監督を行なうこと。

③個人データを他人に渡す場合は？

個人データを本人以外の第三者に渡すときは、原則、予め本人の同意を得る必要が有ります。

例外として

❶法令に基づく場合

❷人の生命、身体または財産保護のため、且つ本人の同意を得ることが困難な場合

❸公衆衛生・児童の健全な育成のため、且つ本人の同意を得ることが困難な場合

❹国や地方公共団体等の協力

❺学術研究機関等が個人情報を、学術研究目的で取り扱う場合

④個人の同意を得ない場合の手続きは？

※一般的な言い回し『オプトアウト手続き』ですが、『要配慮個人情報』については禁止されております。

❶本人の求めに応じて、その本人のデータの提供を停止

❷第三者提供を目的にしていること、提供される個人データの項目、提供の方法、本人の求めに応じて提供を停止すること、本人の求めを受け付ける方法を、ホームページに掲載するなど、本人が容易に知ることが出来るようにすること。

❸本人に通知した事項を個人情報保護委員会に届け出ること。

⑤罰則について

❶事業者のルールの遵守状況は、個人情報保護委員会が監督します。

❷国は事業者に対して、必要に応じて報告を求めたり立ち入り検査ができます。

実態に応じて、指導・助言・勧告・命令を行うことができます。

❸監督に従わない場合には、罰則が適用されます。

以上が、『コンプライアンス』についての大方のご説明になりますが、年々、規制が厳しくなりますので、十分取扱いに気を使っていくのが重要です。