このようなデータと取得手段は個人情報に触れる？

《 登場人物 》

A:弊社
B:ユーザ（システム購入会社）
C:購入者(ユーザと取引をしてる末端顧客)

《 全体の流れ 》

弊社(A)で開発したソフトウェアを販売しようと考えております。
このソフトは業務支援システムで、販売先ユーザ(B)の日々の業務を支援するソフトウェアです。
※現在のところ、無償ではなく有償販売を計画しております。

このシステムの中の1機能に、帳票を作成する機能があります。
ユーザは帳票作成の為に、内容を入力または選択し、データを登録する作業を行います。
この作業を完了させ、ユーザはユーザの取引顧客であるエンドユーザー(C)へ出力後提出します。

《 データ送信プログラムの内容 》

帳票が完成した段階で、
この入力または選択したデータの中から、抜粋されたデータ（あらかじめデータの種類を指定）
をバックグラウンド作業（ユーザは画面上に変化が起こらないので分からない）
にて処理し、メーラーを使用して暗号化した後、弊社にデータを送信させます。


《 作成する帳票（分かりやすくする為に、見積書形式に致しました） 》

システムに登録されている顧客である
見本太郎さん
東京都港区六本木X-X-X
03-XXXX-XXXX
に対して、ご要望の
自宅の仕事環境整備
の為に、下記のような見積を作成した。

(1)S●ny V●io XXXX
123456円（税込）で2台
★仕入価格:74321（税込）
※既存のルーターを使うので、新規ルーターは不要。

(2)EPS●N 複合機プリンター XX
12345円（税込）で1台
★仕入価格:7432（税込）
※プリンターをつなぐケーブルが付属されていないので、サービスで付属。

(3)運搬費及び取付費用
を、750円（税込）で1式
★仕入価格:0（税込）
※1名でお伺いをして、据付まで行います。

補足欄
※キャンペーン価格の特価です。
※ＯＳ以外のソフトは含まれておりません。

《 指定する取得データ 》

(1)自宅の仕事環境整備
(2)S●ny V●io XXXX,123456,2,74321,既存のルーターを使うので、新規ルーターは不要。
(3)EPS●N 複合機プリンター XX,12345,1,7432,プリンターをつなぐケーブルが付属されていないので、サービスで付属。
(4)運搬費及び取付費用,750,1,0,1名でお伺いをして、据付まで行います。
(5)キャンペーン価格の特価です,OS以外のソフトは含まれておりません。


《 補足事項 》
※ソフトウェアの使用許諾同意書及び契約書にはこの送信機能の説明（条項）を入れることに致します。

※この抜粋するデータには、
生存する個人に関する情報は含まれておらず、当該情報に含まれる氏名等により特定の個人を識別することができる情報は取得いたしません。

※『特定できる個人の情報』ではありませんので、いずれの時点においても5000人など『人の数』では無く『案件の数』との解釈です。

※おそらく、ユーザ側ではセキュリティーソフトの関係上、最初にこのプログラムが作動する時に、
　セキュリティーソフトの警告が表示されるはずです。全く警告が無い訳ではない。

※取得したデータは弊社のマーケティングデータとして活用します。

※取得したデータを加工し、有益情報として、無償か有償のどちらかでユーザ(B)に還元します。

※取得し加工したデータは、金銭を伴い第三者へ譲渡する場合が想定されます。


《 重要な論点 》

★上記の取得情報（の内容）及び取得手段（プロセス）は、
　個人情報保護法ならびに個人情報の保護に関する法律に
　規定される個人情報に対して問題か否か？


《 質問の内容 》

(1)　このような条件で、この送信プログラムをソフトウェアに付帯した場合、
　　 何らかの犯罪に当たり、罪に問われるものでしょうか？

(2)　このようなデータを弊社がユーザを介して取得する場合に、
　　 ユーザはエンドユーザに『利用目的の明示と本人の了解』を行う義務がありますでしょうか？
　　 また、行う場合にはどのようなプロセスを弊社がユーザにお願いすることが適当でしょうか？

(3) このような情報を取得し加工したデータを第三者へ譲渡する場合があるとするならば、この取得情報（の内容）は、
　　 『安全性の確保（流出や盗難、紛失を防止する）』に触れますでしょうか？

(4)　使用許諾書や契約書に、送信プログラムの説明を記載する場合、どのような文言が適当でしょうか？

的確なご指導を頂戴できますよう、何卒よろしくお願いいたします。

No.1 ベストアンサー 回答者： sppla 回答日時： 2012/05/17 23:21

社内ＳＥで自社業務のために個人情報保護法を調べたことがあるものです。

法律家ではありません。

ところどころに出てくるキーワードからあなたも個人情報保護法についていくらか調べていると思いますが、まずは重要な論点から。

＞★上記の取得情報（の内容）及び取得手段（プロセス）は、個人情報保護法ならびに個人情報の保護に関する法律に規定される個人情報に対して問題か否か？

「生存する個人に関する情報は含まれておらず、当該情報に含まれる氏名等により特定の個人を識別することができる情報は取得いたしません。」「『特定できる個人の情報』ではありませんので」とありますので、この通りと解釈すれば個人情報保護法でいう個人情報の範囲外です。

ただ、プログラムのバグで個人情報に相当するものを取得してしまうケース、あなたが認識していなくてもユーザーＢが備考欄に個人情報を入力してそれを収集してしまうケースに注意を払う必要があるでしょう。

また、メールアドレスはものによってはそれ単独で個人情報となりますので注意が必要です。

＞(1)　このような条件で、この送信プログラムをソフトウェアに付帯した場合、何らかの犯罪に当たり、罪に問われるものでしょうか？

細かい条件次第です。ユーザーＢにはこの件について詳しく説明し了解を文書で得ておく必要があるでしょうね。ユーザーＢが了解していない場合には、営業秘密の窃盗・不当利用ということで不正競争防止法違反だと思われます。また了解を得ていても後で「そういうことは聞いていなかった」などのトラブルが起きることも想定されます。
また法律家でないので自信がないですが、やっていることはスパイウェアと同じですので電子計算機の不正利用関連の法律にひっかかるかもしれません。（こちらもＢが納得しなかった場合ですね）

＞(2)　このようなデータを弊社がユーザを介して取得する場合に、ユーザはエンドユーザに『利用目的の明示と本人の了解』を行う義務がありますでしょうか？また、行う場合にはどのようなプロセスを弊社がユーザにお願いすることが適当でしょうか？

ＢとＡでのやりとりは個人情報ではないということですのでＡからＢにお願いすることは特にはないように思います。Ｂ自体はＣから普通に個人情報を取得するでしょうから個人情報保護法にもとづく対応は必要です。
ただＢは顧客情報（法律での個人情報とは意味が違います）を他社（Ａ）に流しますので、なんらかの注記はしておく方がいいとは思います。
（今回の仕組みがどういうものかはわかりませんが、顧客情報を外部に渡すというのは信用面でマイナスにしかなりませんので、私がＢの担当ならＡ社とこのシステムのは契約しません。）

＞(3) このような情報を取得し加工したデータを第三者へ譲渡する場合があるとするならば、この取得情報（の内容）は、『安全性の確保（流出や盗難、紛失を防止する）』に触れますでしょうか？

あなたの言う通りなら、もともと個人情報保護法の対象外のはず。

＞(4)　使用許諾書や契約書に、送信プログラムの説明を記載する場合、どのような文言が適当でしょうか？

パス。詳しいことがわからないので何とも言えないですし、少なくとも契約書の方は「送信プログラムの説明」だけでは全然足りないはずです。Ａが受けとったデータの取り扱いなどにも触れる必要があるでしょうから。

この回答へのお礼

sppla 様

この度は、お時間を頂戴し、的確なご指導誠にありがとうございました。
ご経験からのご指導大変、参考になりました。

中でも、
(1)プログラムのバグ、備考欄に個人情報を入力してそれを収集してしまうケース
(2)メールアドレスはものによってはそれ単独で個人情報
は、私の完全なる盲点でございましたので、本当に感謝しております。

また、
(3)営業秘密の窃盗・不当利用ということで不正競争防止法違反
(4)電子計算機の不正利用関連の法律
(5)Ｂは顧客情報を他社（Ａ）に流しますので、なんらかの注記
(6)送信プログラムの説明だけでは全然足りない。Ａが受けとったデータの取り扱いなどにも触れる必要

このプロセスを実現するにあたり、他の問題も整理でき、非常に明確になりました。
感謝してもしきれないほど、感謝しております。

またの機会がございましたら何卒、よろしくお願いいたします。

お礼日時：2012/05/18 17:46