管理組合での個人情報取り扱いに関する注意点
管理組合は各区分所有者の氏名・電話番号・緊急連絡先・口座情報など、多くの個人情報を扱います。
それと関連して、管理組合も一般企業と同じように個人情報を適正に管理することが求められます。
しかし「適正な管理」と言われても何が適していて何が正しいのか、むずかしいところなのではないでしょうか。
そこで、本コラムではマンションの管理組合が個人情報を管理する際、どのような点に注意すべきかを解説しています。
INDEX
管理組合と個人情報の密接な関係とは
平成29年5月30日。
個人情報保護法が改正され、管理組合も適切な個人情報の保管を行わなければならなくなりました。
改正前は保有する個人情報が5,000人以下であれば、その事業者は個人情報保護法の適用が免除されていました。
しかし、法改正によってすべての事業者が個人情報保護法の適用がされることとなり、管理組合も例外ではなくなってしまったのです。
つまり、管理組合であっても個人情報保護法の違反行為があると、一般の事業者と同じように罰則の対象となってしまうのです。
そのため、より慎重かつ適切に個人情報を管理する必要があります。
管理組合としてどのような点に注意していくべきかを確認する前に、まずは個人情報保護用や個人情報の概要について確認していきましょう。
「個人情報保護法」とは
氏名や性別、生年月日、住所などの情報は、個人のプライバシーに関わる大切な情報です。
さまざまな分野においてこれらの情報を活用することで、サービスの向上や業務の効率化が図られるという側面があります。
個人情報はよい側面もありますが、悪用され、情報の該当者に危険がおよんだり不利益を被ったりすることも考えられます。
そこで、個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的とした「個人情報保護法(正式名称:個人情報の保護に関する法律)」が2003年5月に制定され、2005年4月に全面施行されました。
以降、デジタル技術の進展やグローバル化による経済・社会情勢の変化、世の中の個人情報に対する意識の高まりなどに対応すべく、個人情報保護法はこれまでに何度か改正が行われてきたのです。
どんな情報が「個人情報」になるの?
個人情報保護法において「個人情報」とは、生存する個人に関する情報を指します。
たとえば氏名、生年月日、住所、顔写真など、特定の個人を識別できる情報のことです。
場合によっては電話番号なども含まれます。
他の情報と簡単に照合することができ、かつ特定の個人を識別することができるものも、個人情報として数えられることがあるのです。
たとえば、生年月日や電話番号などは、それ単体では特定の個人を識別できないような情報でしょう。
しかし、氏名などと組み合わせることで特定の個人を識別することが可能になります。
そのため、個人情報に該当する場合があります。
また、メールアドレスについてもユーザー名やドメイン名から特定の個人を識別することができる場合は、それ自体が単体で個人情報に該当します。
番号、記号、符号などで、その情報単体から特定の個人を識別できる情報、かつ政令・規則で定められたものを「個人識別符号」といい、個人識別符号が含まれる情報は「個人情報」と判断されます。
例
①身体の一部の特徴を電子処理のために変換した符号で、顔認証データ、指紋認証データ、虹彩、声紋、歩行の態様、手指の静脈、掌紋などのデータがあります。
②サービス利用や書類において利用者ごとに割り振られる符号で、パスポート番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー、保険者番号などがあります。
管理組合が扱う個人情報は主に「氏名」「電話番号」「メールアドレス」「口座情報」あたりでしょうか。
要配慮個人情報とは?
個人情報の中には、他人に公開されることで、本人が不当な差別や偏見などの不利益を被らないよう、その取り扱いに特に配慮すべき「要配慮個人情報」があります。
たとえば次のような個人情報は要配慮個人情報として、特に配慮が必要です。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により被害を被った事実
- 身体障がい・知的障がい・精神障がいなどの障がいがあること
- 健康診断その他の検査の結果
- 保健指導、診療・調剤情報
- 逮捕など、刑事事件に関する手続きが行われたこと
- 非行・保護処分など、少年の保護事件に関する手続きが行われたこと
これらの記述が含まれた個人情報はデリケートなところであるため、特に取り扱いに注意しなければなりません。
「要配慮個人情報」の取得には、原則としてあらかじめ本人の同意が必要です。
しかし管理組合がこのような要配慮情報を保有することはまずないでしょうから、あまり気にする必要はありません。
「個人情報データベース等」「個人データ」「保有個人データ」とは?
個人情報保護法には「個人情報」という用語のほか「個人情報データベース等」「個人データ」「保有個人データ」と、かなり似た用語が登場します。
ここでは、それぞれの用語の定義について説明します。
(1)個人情報データベース等
「個人情報データベース等」とは、特定の個人情報を検索することができるように構成された、個人情報を含む情報の集合物をいいます。
コンピュータを用いて検索できるように体系的に構成したものや、紙面で処理した個人情報を一定の規則に従って整理・分類し、簡単に調べられるように目次や索引を付けているものが該当します。
たとえば、五十音順で整理された名簿などがこれに当たりますね。
管理組合の場合だと区分所有者名簿が該当します。
システム上やExcelで作成したものだけなく、ノートなどの紙ベースで作成されたものも「個人情報データベース等」に当てはまります。
(2)個人データ
「個人情報データベース等」を構成する個人情報を「個人データ」と呼びます。
たとえば、名簿を構成する氏名・誕生日・住所・電話番号などの個人情報がこれに当たります。
(3)保有個人データ
個人データのうち、個人情報取扱事業者が本人から請求される開示・訂正・削除などに応じることができる権限を有するものを「保有個人データ」といいます。
個人情報や個人データを取り扱うときの基本ルール
次に個人情報や個人データを取り扱うときの基本的なルールを確認していきましょう。
個人情報や個人データを取り扱うときの4つの基本ルールのポイント
(1)個人情報を取得・利用するとき
個人情報を取り扱うに当たっては、どのような目的で個人情報を利用するのか具体的に特定する必要があります。
個人情報の利用目的は、あらかじめホームページなどで公表するか、本人に知らせなければなりません。
ほとんどの管理組合はホームページを持っていませんので、管理規約や細則に定めておくのがよいでしょう。
(2)個人データを保管・管理するとき
個人データの漏えいなどが生じないように、安全に管理するために必要な措置を講じなければなりません。
(例)
- 紙で管理している場合:鍵のかかるキャビネットに保管する
- パソコンで保管している場合:ファイルにパスワードを設定する
- セキュリティ対策ソフトを導入する など
従業者や委託先においても、個人データの安全管理が図られるよう、必要かつ適切な監督を行わなければなりません。
個人情報保護法 第二十五条(委託先の監督)
個人情報保護法
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
管理会社に管理業務を委託している管理組合の場合、個人情報の管理も管理会社に委託しているケースがあります。
そのような場合、管理組合としては管理会社がきちんと管理できているか、監督を行う必要があるということです。
関連記事:【管理組合役員は必見】管理会社の変更手順とその注意点
関連記事:マンション管理の委託費用の相場とは?
(3)個人データを第三者に提供するとき
個人データを本人以外の第三者に提供するときは、原則として、あらかじめ本人の同意が必要です。
ただし、本人の同意を得なくても、例外的に個人データを第三者に提供できる場合があります。
(例)
- 法令に基づく場合(警察、裁判所、税務署等からの照会)
- 人の生命・身体・財産の保護に必要で本人の同意取得が困難な場合
- 公衆衛生・児童の健全育成に必要で本人の同意取得が困難な場合 など
ある区分所有者が何らかの刑事事件に関与している可能性がある場合や、税金を滞納している場合など、警察や税務署などから「こういった人がマンションに住んでいますか?」と聞かれる場合があります。
このような場合は、個人情報を開示しても問題はありません。
ただし、警察等からの依頼であることの証拠を残すために、そのような依頼は書面でもらうようにしましょう。
また、開示した記録なども残しておくとなおよいです。
(4)本人から保有個人データの開示等を求められたとき
個人情報保護法上は、本人からの請求があった場合、きちんと保有個人データの開示、訂正、利用停止などに対応する必要があります。
管理組合に対してこのような申し入れをされる方はほとんどいらっしゃらないかと思いますが、万が一データの提供などを求められた場合はしっかり対応しましょう。
個人データの漏えいなどが発生したときは?
下記のような情報が漏えいした事案が発生した場合、または発生した可能性が高い場合は、個人の権利や利益を侵害するおそれがあります。
個人情報取扱事業者は、速やかに個人情報保護委員会へ報告し、本人へ通知しなければいけません。
- 要配慮個人情報の漏えい
- 財産的被害のおそれがある漏えい
- 不正の目的によるおそれがある漏えい
- 1,000人を超える個人データの漏えい
①②は管理組合の場合はあまり気にする必要は無いでしょう。
③はたとえば区分所有者名簿が盗まれた場合などは、不正の目的によるおそれがあるため、原則として報告義務が生じます。
④について、今は1,000人を超えていなくても過去の区分所有者や居住者情報などをずっと保管し続けていると、いつかは1,000人を超えてしまうかもしれません。
そうなる前に、不要な個人情報は定期的に削除してしまいましょう。
関連記事:【マンション管理組合役員向け】書類の保存期間は?各例を紹介
管理組合の個人情報の取り扱いに関するよくあるご質問
Q.メールアドレスだけでも個人情報に該当しますか?
A.メールアドレスのユーザー名やドメイン名から特定の個人が識別できる場合はそれ自体が単独で個人情報に該当します。
これ以外の場合、他の情報と容易に照合することによって特定個人が識別できれば個人情報に該当します。
Q.マンション内に防犯等のための防犯カメラを設置し、録画することを考えていますが、気をつけることはありますか?
A.防犯カメラについては有用性が認識されている一方で、個人情報やプライバシー侵害等の面で不安を感じる方もいます。
法律や条例の趣旨を踏まえ、カメラ設置の必要性や利用の目的・範囲、管理方法等について、住民の皆さんで話し合い、同意を得ることが望ましいと思われます。
Q.大規模修繕を予定しており、工事会社に居住者の個人情報を提供する必要がありますが、あらかじめ本人の同意を得なければならないのでしょうか?
A.利用目的の範囲で、個人データの取り扱いを委託する場合には、本人の同意は不要です。
したがって、マンション管理組合が工事会社に修繕を発注する際に、工事会社が修繕を行うために個人データを委託する必要がある場合には、居住者の氏名などを提供するのに本人の同意はいりません。
ただし、管理組合は、委託先を監督する義務があります。
Q.管理組合と管理会社との間で居住者の氏名などの情報を共有することは可能ですか?
A.本人からあらかじめ同意を得ている場合はもちろん、同意を得ていなくとも、管理組合が管理会社に対して、利用目的の達成の必要な範囲内で個人データの取り扱いを委託する場合には、第三者提供に該当しないため可能です。
ただし、その場合には管理組合は個人データの取り扱いについて委託先を監督する義務があります。
まとめ
個人情報保護法は法律ですので、知らなかったでは済まされません。
自主管理をされているマンションの方はもちろん、管理会社に管理業務を委託している方も決して他人事ではありません。
(管理組合員の個人情報は、管理組合に提出されたものを、管理会社が管理業務を遂行するために、管理会社に提供されているというパターンが一般的です。そのため、管理会社が情報漏洩した場合、区分所有者に対して法的な責任を負っているのは管理組合ということになります)
ちなみに弊社が提供するマンション管理支援アプリ「クラセル」は、個人情報対策もバッチリです。
個人情報にアクセスできるのは役員の権限を持っている方に制限し、また、クラセル上に紙で提出された届出書類も保管できますので、個人情報の書かれた紙を保管しておくが必要なくなります。
これにより盗難による悪用リスクを軽減できます。
クラセルにご興味ある方は、ぜひお気軽にお問合せ下さい。