ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

セミナーでいただいた名刺のメルアドの利用に関して

2009/03/31 (2019/09/19)

平成20年11月版 総務省総合通信基盤局消費者行政課の「特定電子メールの送信等に関するガイドライン」と規程の関係についてです。

3 オプトイン規制の例外(法第3条第1項第2号~第4号)
①「電子メールアドレスの通知」をした者
3)通知の方法

上記の文中で、名刺を受け取れればオプトインとなる、と読み取れます。

昨年も実施したセミナーの集客に都合が良いと考えました。
名刺にあるメルアドに、集客用のメールを送ります。

そこで、御社の構築パッケージを改めて見るとメールについてはあまり書いていません。

本人にアクセスする場合として、特に別途定める必要は無いで良いでしょうか。
また、日常営業で名刺を集めているので、「個人情報収集管理台帳」が必要ですか。

名刺からメルアドをリスティングします。
結果出来上がったメーリングリストは、漏洩すると大変な事態です、事務局かネットワーク管理者の集中管理と明記した方が良いですか。

以上、よろしくお願いします。

法律では、以下のように記述されております。
「前号に掲げるもののほか,総務省令で定めるところにより自己の電子メールアドレスを送信者又は送信委託者に対し通知した者」

また、ガイドラインでも、以下のように記述されております。
「名刺などの書面により自己の電子メールアドレスを通知した場合には、書面を提供した側にも、書面の通知を受けた者から電子メールの送信が行われることについての一定の予測可能性があるものと考えられる」

よって、オプトイン規制の例外が適用され、オプトインとなるとの考え方で良いかと思います。
なお、JIS Q 15001を意識した場合、名刺による個人情報の収集は、以下の要求事項が適用されるかと思います。

収集時は →「3.4.2.4 本人から直接書面~場合の措置」
アクセス時には →「3.4.2.7 本人にアクセスする場合の措置」

無理なことをいう審査員にいるみたいなので、その場合も考慮して、ある程度の審査対応もした方が良いかと考えています。

今回の場合、オプトイン規制の例外が適用されます。
その適用が、以下の箇所に該当する旨を明記すると良いかと思います。

「3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置」
 └d) 取得の状況からみて利用目的が明らかであると認められる場合
   └ のただし書き に該当する

念のためにHPなどに取得した名刺の利用目的や、また法規制点検表などにも、法律やガイドラインを追記されると良いかと思います。

慎重になる理由としては、審査員対応もありますが、
JIPDECのHP(http://privacymark.jp/privacy_mark/faq/operation.html)
「FAQ:7.運用について-7-5 個人情報の取扱い-7-5-4 印刷業者が、お客様から多数の住所~」でのJIPDECの回答内容の意図・意味を図りかねているためです。

「本人にアクセスする場合として、特に別途定める必要は無いで良いでしょうか。」に関しては、先に回答した内容(オプトイン規制の例外が「3.4.2.5-d)」として、適用されている旨を別途定めると良いかと思います。

書面によって直接収集する場合にも同様の内容を定めると良いかと思います。

「個人情報収集管理台帳」に関してですが、あった方が良いかと思いますが、名刺を収集する度に台帳を作成するのは大変ですから、固定的なものとして名刺収集用の「個人情報収集管理台帳」を1枚だけ作成されてはいかがでしょうか。

また、結果出来上がったメーリングリストの管理者は、明記した方が良いかと思います。