管理組合と個人情報保護
管理組合は、管理規約に基づいて組合名簿や居住者名簿を典型として、マンションの居住者の個人情報を取り扱っています。
平成29年5月30日改正個人情報保護法が施行され、個人情報を保有するすべての事業者に個人情報保護法が適用されることとなってから約2年が経過しています(この改正法施行前までは「保有する個人情報が5000人以下の事業者」は適用が免除されていました)。しかし、改正法によって、全ての事業者が個人情報保護法を適用されることとなり、管理組合も例外ではありません。以下、注意点を確認していきます。
1 「個人情報」とは?
法律は、『生存する個人の情報であって、特定の個人を識別できるもの』を個人情報として定義しています。
まず、生存者の情報であることが前提となります。
そして、その情報によって特定の個人を識別できるものが個人情報に該当します。
その情報だけでは特定個人を識別できなくとも、他の情報と容易に照合することができ、それによって特定の個人を識別できるのであれば、その情報も個人情報に該当します。
典型的には、以下のような、氏名、住所、電話番号が個人情報に該当します。
〇 氏名、住所、電話番号が掲載されている組合員名簿の各情報
〇 理事が総会案内書発送の便宜のために自宅パソコン内でエクセルで作った組合員の氏名と部屋番号が表示されたパソコン内のデータ
〇 氏名と一体となって管理されている、携帯電話番号やメールアドレス
注:もしも、紙に携帯電話番号だけが羅列されているだけならば、それだけで特定個人を識別できませんから個人情報には該当しません。しかし、氏名と一体となって管理されていれば、他の情報と容易に照合することで、特定個人を識別できることとなりますので、その携帯電話番号も個人情報に該当します。
2 管理組合の個人情報保護に関する主な法律の義務
管理組合の義務 | 内容 | 留意点など |
利用目的を特定 |
個人情報の取扱いにあたっては利用目的をできるだけ特定しなければならない |
規約または個人情報取扱細則内で利用目的を定めて公表する。 【条文例】 管理組合が保有する個人情報は、以下の目的の範囲内で使用します ①組合名簿作成のため ②総会等招集及び議事運営のため ③防犯及び防災活動業務運営のため ④区分所有者及び居住者名簿作成のため ⑤管理組合の業務遂行目的で法律、規約または契約等に基づき権利を行使し、または義務を履行するため |
利用目的を変更する場合 |
利用目的変更の場合、変更前と変更後で合理的に関連性を有することが必要 |
通常予測できる範囲内であれば、本人の同意なく利用目的を変更可能とされている。ただ個人情報取扱細則に定められた利用目的を変更・追加する場合、総会決議を経なければならないので、組合員にとって不意打ちの問題が発生しないこととなる。 |
利用目的内での取り扱い | 本人の同意なく利用目的達成に必要な範囲を超えて個人情報を取り扱ってはならない |
①警察や検察等から刑訴法に基づく捜査関係事項照会があった場合、同意なく提供可、②大規模災害時や事故緊急時に、家族等や医療機関から管理組合に情報提供依頼があった場合、本人同意なく個人情報提供可能、③児童相談所、税務署や地方公共団体などが職権に基づき個人情報提供依頼があったとき、同意なく個人情報提供可能 |
利用目的の通知 または公表 |
個人情報を取得した場合、あらかじめ利用目的を公表している場合を除いて、本人に利用目的を通知または公表しなければならない |
細則などで利用目的が公表されていない場合には、個人情報を取得する際の用紙、例えば新居住者の居住者届出書や引越しに伴う変更届出書式に、個人情報の利用目的を記載しておく。 |
安全管理 | 個人データの漏えい、滅失、毀損の防止、安全管理のために必要・適切な措置をとらなければならない |
居住者名簿などにつき、①保管場所、②保管の方法、③保管責任者、④閲覧手続、方法、場所、⑤複写の可否、⑥保管期間、⑦破棄の方法などについて 個人情報取扱細則内で定めたうえで、組合員や役員に周知し遵守 |
従業者や委託先の監督 |
個人データの取扱を従業者に行わせたり、第三者に委託する場合には、必要・適切な監督を行わなければならない |
理事などの役員は「従業者」に該当するとされているため、管理組合に監督責任がある。 管理会社に居住者名簿の取り扱いを委託する場合でも、管理組合に監督責任が発生 |
第三者提供制限 | 個人データを第三者に提供する場合には本人の同意が必要 |
①法令に基づく場合、②生命身体財産の保護に必要で本人の同意をとることが困難な場合、③官公庁の事務の遂行に必要で、同意を得ることで事務遂行に支障が生じる場合などは、同意なくして提供可能。 管理委託をしている管理会社に対して組合員名簿を提供する行為は、委託の範囲内であり「第三者提供」に該当しない |
* 個人データとは、『検索性があるように体系的に構成された情報の集合物の中の個人情報』をいいます(個人情報よりも定義範囲が狭い)。典型的には、顧客データベース内の個々の個人情報や、居住者名簿内にある個々の個人情報をさします。
3 管理組合業務で個人情報保護法が問題となる場面
2で表にした管理組合の法律上の義務が実際にどのような場面で問題となりうるのかについて、個人情報保護委員会(国の機関)が定めたガイドラインとともに公表されているQ&A集の一部を引用して紹介します。
Q メールアドレスだけでも個人情報に該当しますか?
A メールアドレスのユーザー名やドメイン名から特定の個人が識別できる場合(例 ikeda-taisuke@○○.com)、そのメールアドレスはそれ自体が単独で個人情報に該当します。これ以外の場合、他の情報と容易に照合することによって特定個人が識別できれば個人情報に該当します。
Q 電話の通話内容は個人情報に該当しますか。通話内容を録音する場合、録音をする旨を相手に伝えなければなりませんか
A 通話内容から特定個人を識別可能であれば個人情報に該当します。個人情報に該当する場合、法律上、利用目的を通知または公表する義務はありますが、録音をしていることを伝える義務まではありません。
Q マンション管理組合でマンションの修繕を予定しており、工事会社に居住者の個人情報を提供する必要がありますが、あらかじめ本人の同意を得なければならないのでしょうか?
A 利用目的達成に必要な範囲で、個人データの取扱いを委託する場合には、本人の同意は不要です。したがって、マンション管理組合が工事会社に修繕を発注する際に、工事会社が修繕を行うために個人データを委託する必要がある場合には、居住者の氏名などを提供するのに本人の同意は不要です。ただし、管理組合は、委託先を監督する義務があります。
Q マンション管理組合とマンション管理会社との間で居住者の氏名などの情報を共有することは可能ですか?
A 本人のあらかじめの同意を得ている場合はもちろん、同意を得ていなくとも、管理組合が管理会社に対して、利用目的の達成の必要な範囲内で個人データの取扱いを委託する場合には、第三者提供に該当しないため可能です。ただしその場合には管理組合は個人データの取扱いについて委託先を監督する義務があります。
Q 自治会、町内会、同窓会などが本人から書面で提出を受けた個人情報を利用して名簿を作成し配布する場合にはどのようにすればいいですか
A 本人に利用目的を明示したうえで個人情報を取得し名簿を作成可能です。名簿を配布するなど本人以外の者に個人データを提供する場合、原則として本人の同意が必要です。
Q 取得した個人情報はいつ廃棄しなければなりませんか
A 個人情報保護法では、保存期間や廃棄すべき時期について規定していませんが、個人データを利用する必要がなくなったときには遅滞なく消去するように努めなければなりません。
Q マンション管理組合において、監督が必要となる「従業者」には、どのような者が該当しますか
A 管理組合の形態や管理の実態にもよりますが、例えば管理組合の運営を担う理事等は、個人情報保護法のおける「従業者」に該当すると考えられます。