構内受託案件における個人情報管理台帳について
プライバシーマークの活動一環で構内受託案件(社内持ち帰り請負)における個人情報管理台帳を定期的に見直し、新規を登録しているところで疑問が湧きました。
案件は動画番組企業の素材情報データベース検索システムで、預かるデータは「画像・動画」で、個人情報としては、先方窓口担当者の名刺の案件です。
情報管理上把握すべきものですが、はたして個人情報管理台帳に管理すべきものか、判断に迷うところです。
名刺に関しては、個人情報の保護に関する法律についてのガイドラインにもあるように、「一般の慣行として名刺を交換する場合、書面により、直接本人から、氏名・所属・肩書・連絡先等の個人情報を取得することとなるが、その利用目的が今後の連絡のためという利用目的である」ため、利用目的の通知等は不要であり、また「名刺の情報を業務用パソコンの表計算ソフト等を用いて入力・整理」していなければ、個人情報データベース等に該当しないとなっています。
審査の際にも、名刺(検索できるように整理していない=個人データではない)が、台帳に登録されていないことで指摘を受けたことはありません。
なお、「検索できるように整理している=個人データ」である場合は、台帳への登録が必要となります。また慣行以外の目的で利用(DMを送るなど)する場合は、利用目的の通知・同意が必要になるため、取得される名刺をどのような目的で取り扱うかにより変わってくるかと思います。
名刺は、”慣行”を理由に例外的な取り扱いをされていますが、”個人情報”になりますので、管理や取り扱いにはご注意下さい。
