受託先の窓口担当者の名刺は、個人情報管理台帳に登録すべきですか?
プライバシーマークの活動一環で構内受託案件(社内持ち帰り請負)における個人情報管理台帳を定期的に見直し、新規を登録しているところで疑問が湧きました。
案件は動画番組企業の素材情報データベース検索システムで、預かるデータは「画像・動画」で、個人情報としては、先方窓口担当者の名刺の案件です。
情報管理上把握すべきものですが、はたして個人情報管理台帳に管理すべきものか、判断に迷うところです。
受託案件の窓口担当者の名刺を、管理台帳に登録すべきかどうかの判断基準について回答申し上げます。
結論から申し上げますと、その名刺を「どのように保管・活用しているか(検索性があるか)」によって台帳登録の要否が決まります。
実務上の判断基準を以下の3つのポイントで整理しました。
1. 台帳登録が必要な判断基準
名刺情報が以下の状態にある場合は、JIS Q 15001上の「個人データ」に該当するため、管理台帳への登録が必要です。
- Excelや名刺管理アプリ、PCの住所録等に入力し、氏名や会社名で検索できるようにしている。
- 名刺ホルダーにアイウエオ順で綴じるなど、紙媒体であっても特定の個人を容易に検索できる。
2. 台帳登録を省略できるケース
一般的な商習慣として名刺を交換し、単に名刺入れや引き出しに保管しているだけで、体系的に整理・検索できるようにしていないのであれば、台帳登録を省略しても審査で指摘を受けることはありません。
- 利用目的の明示:
商習慣上の名刺交換は、利用目的(連絡のため)が本人に明らかであるとみなされ、取得時の通知・公表義務も免除されています。
過去の審査事例においても、単なる「バラの名刺」が台帳に未登録であることで指摘を受けた例はほとんどございません。
3. 取扱い上の注意
今回のケースは「素材情報データベース検索システム」という、非常に機密性の高いデータを扱う受託案件です。たとえ名刺自体は台帳登録不要な状態であっても、以下の運用を推奨します。
なお、プライバシーマークでは、データベース化(データ化)されていない紙の個人情報なども含め、特定した全ての個人情報に対して、セキュリティ対策などの要求事項を適用しなければならないとされています。
- 安全管理の徹底:
台帳登録の有無にかかわらず、名刺は「個人情報」です。名刺をデスクに放置したり、紛失したりすれば「インシデント」になり得ます。「台帳への登録要否」と「安全管理措置(鍵付き引き出しへの保管等)」は切り離して考えてください。 - 目的外利用の禁止:
案件の連絡用として受け取った名刺を、自社の営業活動(DM送付等)に流用する場合は、別途本人からの同意取得が必要になりますのでご注意ください。
4. まとめ
名刺に関しては、個人情報の保護に関する法律についてのガイドラインにもあるように、「一般の慣行として名刺を交換する場合、書面により、直接本人から、氏名・所属・肩書・連絡先等の個人情報を取得することとなるが、その利用目的が今後の連絡のためという利用目的である」ため、利用目的の通知等は不要であり、また「名刺の情報を業務用パソコンの表計算ソフト等を用いて入力・整理」していなければ、個人情報データベース等に該当しないとなっています。
なお、「検索できるように整理している=個人データ」である場合は、台帳への登録が必要となります。また慣行以外の目的で利用(DMを送るなど)する場合は、利用目的の通知・同意が必要になるため、取得される名刺をどのような目的で取り扱うかにより変わってくるかと思います。
名刺は、”慣行”を理由に例外的な取り扱いをされていますが、”個人情報”になりますので、管理や取り扱いにはご注意下さい。
もし、判断に迷われた際は、以下の基準を参考に決めてください。
- システムやExcelで検索可能にしているか? → YESなら台帳へ。
- 案件連絡以外(営業DM等)に使うか? → YESなら同意取得と台帳へ。
- 単なる連絡用として紙で持っているだけか? → YESなら台帳登録なしで、安全保管のみ徹底。
本回答が、PMS運用の助けとなれば幸いです。
