債権管理回収業分野における個人情報保護に関するガイドライン
(平成 29 年個人情報保護委員会・法務省告示第1号)
- 目 次 -
1 利用目的の特定(法第 15 条第1項関係)
2 利用目的の変更(法第 15 条第2項・法第 18 条第3項関係)
3 利用目的による制限(法第 16 条関係)
1 データ内容の正確性の確保(法第 19 条関係)
2 安全管理措置(法第 20 条関係)
3 委託先の監督(法第 22 条関係)
1 第三者提供の制限に関する原則
2 第三者提供の制限に関する例外
3 オプトアウト(法第 23 条第2項関係)
4 第三者に該当しないもの
5 個人信用情報機関に対する提供
1 保有個人データに関する事項の公表等(法第 27 条関係)
2 保有個人データの開示(法第 28 条関係)
3 理由の説明(法第 31 条関係)
4 開示等の請求等に応じる手続(法第 32 条関係)
第1 目的等(法第1条関係)
第2 用語の定義(法第2条関係)
第3 個人情報の利用目的に関する義務
第4 機微(センシティブ)情報
第5 個人情報の取得に関する義務(法第 18 条関係)
第6 個人データの管理に関する義務
第7 個人データの第三者提供に関する義務(法第 23 条関係)
第8 保有個人データの開示等に関する義務
第9 苦情処理に関する義務(法第 35 条関係)
第 10 個人情報保護に関する宣言の制定
第 11 法違反又は法違反のおそれが発覚した場合の対応
第 12 ガイドラインの見直し
第1 目的等(法第1条関係)
1 本ガイドラインは,
個人情報の保護に関する法律
(平成 15 年法律第 57 号。
以下
「法」
という。),個人情報の保護に関する法律施行令(平成 15 年政令第 507 号。以下「施
行令」という。
)及び個人情報の保護に関する法律施行規則(平成 28 年個人情報保護
委員会規則第3号。以下「施行規則」という。
)を踏まえ,個人情報の保護に関する
法律についてのガイドライン(通則編)
(平成 28 年個人情報保護委員会告示第6号。
以下「通則ガイドライン」という。
)を基礎として,法第6条及び第8条に基づき,
法務省が所管する分野のうち債権管理回収業分野における個人情報について保護の
ための格別の措置が講じられるよう必要な措置を講じ,及び債権回収会社が個人情報
の適正な取扱いの確保に関して行う活動を支援する具体的な指針として定めるもの
である。
本ガイドラインにおいて特に定めのない事項については,通則ガイドライン,個人
情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(平成 28 年個人情報保護委員会告示第7号)
,同ガイドライン(第三者提供時の確認・記
録義務編)
(平成 28 年個人情報保護委員会告示第8号)及び同ガイドライン(匿名加
工情報編)
(平成 28 年個人情報保護委員会告示第9号)が適用される。
2 本ガイドラインにおいて,
「〜なければならない」と記載している規定については,
それに従わない場合は,法違反と判断される可能性がある。
また,本ガイドラインにおいて,
「〜こととする」と記載している規定については,
法の課す義務ではなく,債権回収会社がそれに従わない場合,法違反と判断されるこ
とはないが,法の基本理念(法第3条)を踏まえ,債権管理回収業分野における個人
情報の適正な取扱いを確保する観点から,債権回収会社において積極的な取組に努め
ることを求める努力規定である。
3 なお,本ガイドラインにおいて記載した具体例については,これに限定する趣旨で
記載したものではない。また,記載した具体例においても,個別ケースによって別途
考慮すべき要素があり得るので注意を要する。
4 認定個人情報保護団体が個人情報保護指針を策定又は改定し,また,事業者団体等
が,事業の実態及び特性を踏まえ,当該事業者団体等の会員企業を対象とした自主的
ルール(事業者団体ガイドライン等)を策定又は改定することもあり得るが,その場
合は,認定個人情報保護団体の対象事業者や事業者団体等の会員企業は,個人情報の
取扱いに当たり,個人情報の保護に関する法令,通則ガイドライン及び本ガイドライ
ン等に加えて,当該指針又はルールに沿った対応を行う必要がある。特に,認定個人
情報保護団体においては,法改正により,認定個人情報保護団体が対象事業者に対し
個人情報保護指針を遵守させるために必要な措置をとらなければならないこととさ
れたことを踏まえることも重要である。
5 債権回収会社は,個人情報の漏えい,不正流出等を防止等するため,個人情報の保
護に関する法令,通則ガイドライン及び本ガイドラインのほか,関係法令等に従い,
個人情報の適正な管理体制を整備する必要がある。
第2 用語の定義(法第2条関係)
1 債権回収会社
「債権回収会社」とは,債権管理回収業に関する特別措置法(平成 10 年法律第 126
号。以下「サービサー法」という。
)に基づき法務大臣からサービサー法第3条の営業
許可を受けた会社(サービサー法第2条第3項で定義される株式会社)をいう。
2 本業
「本業」
とは,
債権回収会社の業務のうち,
サービサー法第 12 条
(ただし書を除く。)に規定する業務をいう。
3 兼業
「兼業」とは,債権回収会社の業務のうち,サービサー法第 12 条ただし書に規定す
る法務大臣の承認を受けた業務をいう。
4 本人に通知
以下の事項の他は通則ガイドラインの例による。
債権回収会社は,本人に通知する場合には,原則として,書面(電磁的記録を含む。
以下同じ。
)によることとする。
5 本人の同意
以下の事項の他は通則ガイドラインの例による。
債権回収会社は,法第 16 条,第 23 条及び第 24 条に規定する本人の同意を得る場合
には,原則として,書面によることとする。
この際,債権者から委託を受けた者又は債権者としての立場を不当に利用して,同
意を強いることのないようにすることとする。
同意を確認する書面においては,個人情報の取扱いに関する項目と,他の項目とを
明確に区別し,包括的な同意とならないようにすることとする。
6 1から5までに規定するもののほか,本ガイドラインにおける用語は,他に特段の
定めのない限り,個人情報の保護に関する法令の定義による。
第3 個人情報の利用目的に関する義務
以下の事項の他は通則ガイドラインの例による。
1 利用目的の特定(法第 15 条第1項関係)
債権回収会社は,法第 15 条に規定する利用目的の特定に当たっては,本人が自己の
個人情報の利用結果を合理的に予測し得る程度の具体性をもって特定しなければなら
ない。
具体的には,債権回収会社が本業での利用を利用目的とする場合には,少なくとも
「サービサー法第 12 条(ただし書を除く。
)に規定する業務(特定金銭債権の管理及
び回収)
」という程度には特定しなければならず,兼業での利用を利用目的とする場合
には,少なくとも兼業承認申請書の「事業の種類」欄の記載(原則として日本標準産
業分類表細分類により記載することとされている。債権管理回収業に関する特別措置
法施行規則(平成 11 年法務省令第4号)別紙様式第 11 号参照)程度には特定しなけ
ればならない。さらに,可能であれば,個人情報の取扱いの具体的態様が本人に明ら
かになるような特定をすることとする。
2 利用目的の変更(法第 15 条第2項・法第 18 条第3項関係)
法第 15 条第2項に規定する
「変更前の利用目的と関連性を有すると合理的に認めら
れる範囲」を超える変更となるのは,例えば,次のような場合である。
(1) 本業で利用する目的を,本業と全く関連性のない兼業で利用する目的に変更し,
又は本業と全く関連性のない兼業で利用する目的を,本業で利用する目的に変更す
ること。
(2) ある兼業で利用する目的を,当該兼業と全く関連性のない他の種類の兼業で利用
する目的に変更すること。
3 利用目的による制限(法第 16 条関係)
(1) 法第 16 条第1項に規定する「利用目的の達成に必要な範囲を超えて」とは,利用
目的を実現するために必要とはいえない場合をいい,例えば,次のような場合であ
る。
ア 債権の管理回収に際し,業務に不必要な当該債務者の隣人に関する個人情報を
取り扱う場合
イ 債権の管理回収目的で取得した情報を名簿化して,債務状況リストなどとして
販売等する場合
(2) 法第 16 条第3項第1号(法令に基づく場合)に規定する場合の例としては,通則
ガイドライン3-1-5「利用目的による制限の例外」に掲げている場合以外に,
次に掲げる場合が考えられる。
(例)
・ 債務者の本人確認のために住民票の写しを交付請求する際,市町村役場の職
員の求めに応じて,不当な目的で請求するものではないことを証明するため,
当該債務者の個人情報を提出する場合
・ 民事訴訟法第 223 条に基づく裁判所による文書提出命令に対して文書を提出
する場合
・ 民事訴訟法第 186 条に基づく調査の嘱託又は同法第 226 条に基づく文書の送
付の嘱託に応ずる場合
なお,法令に,目的外利用の便益を得る相手方についての根拠のみあって,目的
外利用をする義務までは課されていない場合には,債権回収会社は,当該法令の趣
旨に照らして目的外利用の必要性と合理性が認められる範囲内で対応するものとす
る。
第4 機微(センシティブ)情報
1 債権回収会社は,法第2条第3項に規定する要配慮個人情報並びに労働組合への加
盟,門地,本籍地,保健医療及び性生活(これらのうち要配慮個人情報に該当するも
のを除く。
)に関する情報(本人,国の機関,地方公共団体,法第 76 条第1項各号若
しくは施行規則第6条各号に掲げる者により公開されているもの,又は,本人を目視
し,若しくは撮影することにより取得するその外形上明らかなものを除く。以下「機
微(センシティブ)情報」という。
)については,次に掲げる場合を除くほか,取得,
利用又は第三者提供を行わないこととする。
(1) 法令等に基づく場合
(2) 人の生命,身体又は財産の保護のために必要がある場合
(3) 公衆衛生の向上又は児童の健全な育成の推進のため特に必要がある場合
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂
行することに対して協力する必要がある場合
(5) 相続手続による権利義務の移転等の遂行に必要な限りにおいて,機微(センシテ
ィブ)情報を取得,利用又は第三者提供する場合
(6) 戸籍謄本その他の本人を特定することができる書類につき本人特定のために必要
な場合
(7) 債権の内容の特定に必要な限りにおいて,機微(センシティブ)情報を取得,利
用又は第三者提供する場合
(8) 本業及び兼業その他債権管理回収業分野の事業の適切な業務運営を確保する必要
から,本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取
得,利用又は第三者提供する場合
(9) 機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき,本人
確認に用いる場合
2 債権回収会社は,機微(センシティブ)情報を,1に掲げる場合に取得,利用又は
第三者提供する場合には,1に掲げる事由を逸脱した取得,利用又は第三者提供を行
うことのないよう,特に慎重に取り扱うこととする。
3 債権回収会社は,機微(センシティブ)情報を,1に掲げる場合に取得,利用又は
第三者提供する場合には,例えば,要配慮個人情報を取得するに当たっては,法第 17
条第2項に従い,あらかじめ本人の同意を得なければならないとされていることなど,
個人情報の保護に関する法令等に従い適切に対応しなければならないことに留意す
る。
4 債権回収会社は,機微(センシティブ)情報を第三者へ提供するに当たっては,法
第 23 条第2項(オプトアウト)の規定を適用しないこととする。なお,機微(セン
シティブ)情報のうち要配慮個人情報については,同項において,オプトアウトを用
いることができないとされていることに留意する。
第5 個人情報の取得に関する義務(法第 18 条関係)
以下の事項の他は通則ガイドラインの例による。
1 債権回収会社が行う法第 18 条第1項に規定する通知においては,取り扱う個人情
報の具体的内容を明らかにする必要はないが,できる限り取り扱う個人情報の項目を
明らかにすることとし,項目ごとに利用目的が異なる場合には,それが明らかになる
ようにすることとし,例えば,次に掲げる例が考えられる。
(例)
・ A,B,Cという項目の個人情報を取り扱っており,Aについては本業及び兼
業aを利用目的とし,Bについては本業のみを利用目的とし,Cについては兼業
a及び兼業bを利用目的とする場合において,漫然と「個人情報A,B,Cは本
業並びに兼業a及びbを利用目的とする。」というような包括的な通知をすべきで
はなく,その利用目的と個人情報の項目の対応関係を明らかにして通知する。
また,同項に規定する公表においては,本人ごとに個別に公表すること及び取り扱
う個人情報の具体的内容を明らかにすることは必要ではないが,できる限り取り扱う
個人情報の項目を明らかにすることとし,項目ごとに利用目的が異なる場合には,そ
れが明らかになるようにすることとする。
2 債権回収会社は,法第 18 条第2項に従い,本人に対し,その利用目的を明示する
場合には,当該利用目的を書面に記載し,その書面と同一の書面をもって,当該目的
に利用することについての本人の同意を取得することとする。
3 法第 18 条第4項の場合の例としては,通則ガイドライン3-2-5「利用目的の
通知等をしなくてよい場合」に掲げている場合以外に,次に掲げる場合が考えられる。
(1) 利用目的を本人に通知し,
又は公表することにより本人又は第三者の生命,
身体,
財産その他の権利利益を害するおそれがある場合
(例)
・ 暴力団等の反社会的勢力情報,疑わしい取引の届出の対象情報,業務妨害行
為を行う悪質者情報の提供者が逆恨みを買うおそれのある場合
(2) 利用目的を本人に通知し,又は公表することにより債権回収会社の権利又は正当
な利益を害するおそれがある場合
(例)
・ 利用目的を知られることにより,企業秘密にかかわる事項が明らかになり,
企業の健全な競争を害する場合
(3) 取得の状況からみて利用目的が明らかであると認められる場合
(例)
・ 事務代行業務として個人情報の入力等の処理業務の委託を受けて,委託者の
指示の下,機械的な事務として当該個人情報を取り扱う場合
第6 個人データの管理に関する義務
以下の事項の他は通則ガイドラインの例による。
1 データ内容の正確性の確保(法第 19 条関係)
(1) 債権回収会社は,利用目的の達成に必要な範囲内において,個人データを正確か
つ最新の内容に保つこととする。
(2) 「正確かつ最新の内容」とは,利用目的に照らして最新の事実と一致することを
いう。(1)の規定の努力義務は,評価又は判断に関する個人データには及ばない。
(3) (1)の規定の目的を達成するために,債権回収会社は,次のような手続等を整備す
ることとする。
ア 個人情報データベース等への個人データ入力時の照合・確認の手続
イ 個人データの誤り等を発見した場合の訂正・追加・削除の手続
ウ 不要となった個人データの消去・返還の手続
(4) 債権回収会社は,個人データの保存期間を設定し,利用目的の達成に必要のなく
なった,次のような個人データ等は,速やかに返還又は消去するなどして取扱いを
止めることとする。
ア 保存期間の満了したサービサー法第 20 条に基づく法定帳簿に記載された個人
データ
イ 債権の買取査定のために個人データを取得したが,結局債権を譲り受けなかっ
た場合の当該個人データ
2 安全管理措置(法第 20 条関係)
法第 20 条に規定する安全管理措置として,
債権回収会社が具体的に講じなければな
らない措置や当該項目を実践するための手法の例等については,通則ガイドライン8「(別添)講ずべき安全管理措置の内容」に掲げるもののほか,特に,事業者の内部又
は外部からの不正行為による個人データの漏えい等を防止するための手法として,例
えば次のような措置を講ずることとする。
(1) 責任の所在の明確化のための措置
(例)
・ 事業者内の個人データの取扱いの点検・改善等の監督を行う部署の設置
・ 事業者内の個人データの取扱いの点検・改善等の監督を行う合議制の委員会
の設置
(2) 新たなリスクに対応するための,安全管理措置の評価,見直し及び改善に向けた
監査実施体制の整備
(例)
・ 個人情報保護対策及び最新の技術動向を踏まえた情報セキュリティ対策に十
分な知見を有する者による事業者内の対応の確認(必要に応じ,外部の知見を
有する者を活用し確認させることを含む。)(3) 不正な操作を防ぐための,個人データを取り扱う端末に付与する機能の,業務上
の必要性に基づく限定
(例)
・ スマートフォン,パソコン等の記録機能を有する機器の接続の制限及び機器
の更新への対応
(4) 入館(室)者による不正行為等の防止のための,業務実施場所及び情報システム
等の設置場所の入退館(室)管理の実施
(例)
・ 入退館(室)の記録の保存
・ 個人データを取り扱う機器・装置等の破壊,火災,停電等からの保護
(5) 盗難等の防止のための措置
(例)
・ カメラによる撮影や作業への立会い等による記録又はモニタリングの実施
・ 記録機能を持つ媒体の持込み・持出し禁止又は検査の実施
・ 離席時の個人データの放置禁止
(6) 次の各事項に関する個人データの保護に関する内部規程類の策定及びこれに従っ
た運用
・ 安全管理に関する組織的事項
・ 個人データの取扱いの各場面(取得・入力,照合・確認,移送・送信,利用・
加工,保管・バックアップ,訂正・追加及び消去・廃棄・返還等の作業)に関
する手続的事項
・ 防犯,防災のための物理的保護の設備及び機器設置環境に関する事項
・ 情報システムの安全管理に関する事項
・ 従業者に対する教育研修に関する事項
・ 個人データの取扱いを委託する場合の委託先の監督に関する事項(委託先の
評価及び選定基準並びに委託契約に盛り込むべき事項を含む。)・ 従業者及び委託先に対する監査に関する事項
・ 個人データの漏えい等発生時の対処に関する事項
・ 法令及び内部規程違反への対処に関する事項
なお,通則ガイドライン8「
(別添)講ずべき安全管理措置の内容」に掲げる「中小
規模事業者」に該当する債権回収会社についても,取り扱う個人情報の性質はその他
の個人情報取扱事業者と同じであることから,法の基本理念(法第3条)を踏まえ,
その他の個人情報取扱事業者が講ずべき安全管理措置の内容に準じた措置を講ずるこ
ととする。
3 委託先の監督(法第 22 条関係)
(1) 債権回収会社は,委託先の選定に当たっては,委託先の安全管理措置が,少なく
とも法第 20 条で求められるものと同等であることを確認するため,
通則ガイドライ
ン及び第6.2で例示した安全管理措置の項目等が,委託する業務内容に応じて,
確実に実施されることについて,委託先の体制,規程等の確認に加え,必要に応じ
て個人データを取り扱う場所に赴く又はこれに代わる合理的な方法による確認を行
った上で,個人情報保護管理者等が,適切に評価することとする。
(2) 「委託」とは,契約の形態・種類を問わず,債権回収会社が他の者に個人データ
の取扱いの全部又は一部を行うよう依頼する契約をいう。
(3) 「必要かつ適切な監督」として,次のような措置を講ずることとする。
ア 委託契約に盛り込む事項
委託先との契約には,具体的な安全確保措置等に関する事項として,例えば,
次の事項を明記する。
・ 委託先の秘密の保持に関する事項
・ 委託者及び受託者の責任の明確化に関する事項
・ 再委託に関する事項(再委託の禁止又は再委託する場合の個人データ保護の
水準の条件等)
・ 個人データの取扱いの制限に関する事項
(委託契約範囲外の取扱いの禁止等)
に関する事項
・ 個人データの取扱いに係る安全管理措置に関する事項
・ 個人データの管理状況の報告及び監査に関する事項
・ 個人データの漏えい等発生時の対処に関する事項
・ 委託終了時における個人データの返還・消去に関する事項
・ 契約に違反した場合における契約解除の措置その他必要事項(
「その他必要事
項」としては,善良なる管理者の注意義務及び漏えい等事案発生時における被
害に対する損害賠償責任などがある。)イ 委託先の管理
委託先における委託された個人データの取扱状況を把握するためには,定期的
に監査を行う等により,
委託契約で盛り込んだ内容の実施の程度を調査した上で,
その結果を記録するとともに,個人情報保護管理者等が,委託の内容等の見直し
を検討することを含め,適切に評価し,改善すべき事項があれば必要な措置を講
ずることとする。
(4) 委託先が再委託を行おうとする場合は,委託元は委託を行う場合と同様,再委託
の相手方,再委託する業務内容及び再委託先の個人データの取扱方法等について,
委託先に事前報告又は承認手続を求める,直接又は委託先を通じて定期的に監査を
実施するなどにより,委託先が再委託先に対して本条の委託先の監督を適切に果た
すこと,
再委託先が法第 20 条に基づく安全管理措置を講ずることを十分に確認する
こととする。再委託先が再々委託を行う場合以降も,再委託を行う場合と同様とす
る。
第7 個人データの第三者提供に関する義務(法第 23 条関係)
以下の事項の他は通則ガイドラインの例による。
1 第三者提供の制限に関する原則
債権回収会社は,
法第 23 条に従い,
第三者提供についての本人の同意を得る際には,
原則として,次の事項を本人に対してあらかじめ書面で示した上で同意を得ることと
する。
(1) 個人データの提供先の第三者の氏名又は名称及び連絡先
(2) 第三者に提供される個人データの項目
(3) 提供先での個人データの利用目的
2 第三者提供の制限に関する例外
債権譲渡に付随して譲渡人から譲受人に対して当該債権の管理に必要な範囲におい
て債務者及び保証人等に関する個人データが提供される場合には,
法第 23 条により求
められる第三者提供に関する本人の同意が推定されるものとして,また,債権の譲渡
に関連して行われるデューデリジェンスや譲受人の選定等,当然必要な準備行為につ
いても,債権の管理に必要な範囲に含まれることから同意の推定が及ぶものとして取
り扱って差し支えない。なお,本人たる債務者又は保証人等が債権譲渡に伴う個人デ
ータの第三者提供について明示的に拒否する意思を示し,これにより,当該債権の管
理に支障を来し,債権の譲渡人又は譲受人の財産等の保護のために必要な場合には,
法第 23 条第1項第2号に該当する。
3 オプトアウト(法第 23 条第2項関係)
債権回収会社は,本業において,法第 23 条第2項に基づく個人データの第三者への
提供(オプトアウト)は,用いないこととする。
また,債権回収会社は,兼業において,新たにオプトアウトを用いる場合は,サー
ビサー法第 12 条により本業についての専業義務が課されていることを踏まえ,
兼業承
認を受けた範囲を超えて業務を行わないこととし,必要に応じて兼業承認を受けるこ
ととする。
なお,個人の支払能力に関する情報を個人信用情報機関へ提供するに当たっては,
オプトアウトを用いないこととし,1に従い本人の同意を得ることとする。
4 第三者に該当しないもの
債権回収会社は,法第 23 条第5項第3号に規定する事項については,次のとおりと
する。
(1) 「共同して利用する者の範囲」については,本人が理解可能な程度に,客観的に
明確に示さなければならないが,これに加えて,できる限り個別企業名を示すこと
とする。
(2) 「当該個人データの管理について責任を有する者の氏名又は名称」
(以下「管理責
任者」という。
)とは,当該個人データに係る苦情処理の責任を負い,個人データの
内容等について,共同で利用する者の中で第一次的に開示,訂正等又は利用停止等
を行う権限を付与されている者であり,複数であっても差し支えない。
なお,同号は,同号に定める管理責任者以外の共同して利用する者における安全
管理責任等を免除する趣旨ではないことに留意する。
5 個人信用情報機関に対する提供
債権回収会社が,個人信用情報機関(個人の返済能力又は支払能力に関する情報の
収集及び会員に対する当該情報の提供を業とする者をいう。以下同じ。
)に対し個人デ
ータを提供する場合には,
当該提供が法第 23 条第5項第3号の規定に該当する場合で
あっても,あらかじめ本人の同意を得ることとする(ただし,債権回収会社が債権の
譲受け又は委託を受ける以前に債権者において,当該個人信用情報機関への個人デー
タの提供について本人の同意を得ている場合は,この限りでない。)。この場合及び同
条第1項の規定により同意を得るに当たっては,1の規定に基づいて同意を得ること
とするが,1(1)から(3)までの事項に加えて,個人データが個人信用情報機関及び当該
個人信用情報機関と提携する個人信用情報機関並びにこれらの会員企業にも提供され
る旨を示すこととする。また,できる限り,個人信用情報機関の加入資格に関する規
約,個人信用情報機関及び当該個人信用情報機関と提携する個人信用情報機関に加入
する会員企業のリストについては,本人が容易に知り得る状態に置くこととする。
第8 保有個人データの開示等に関する義務
以下の事項の他は通則ガイドラインの例による。
1 保有個人データに関する事項の公表等(法第 27 条関係)
債権回収会社が,法第 27 条に従い,保有個人データに関する事項を本人の知り得る
状態に置く際には,例えば,インターネットのホームページへの掲載,パンフレット
の配布,
本店を始めとする営業所窓口への備付け等を継続的に行うことが考えられる。
2 保有個人データの開示(法第 28 条関係)
(1) 法第 28 条第2項の場合の例としては,通則ガイドライン3-5-2「保有個人デ
ータの開示」に掲げている場合以外に,次に掲げる場合が考えられる。
ア 本人又は第三者の生命,身体,財産その他の権利利益を害するおそれがある場合(例)
・ 反社会的勢力に関する保有個人データであって,当該本人に開示すること
により,当該反社会的勢力による業務妨害や従業者への危害を招くおそれが
ある場合
イ 当該債権回収会社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
(例)
・ 保有個人データを開示することにより,企業秘密にかかわる事項が明らか
になるような場合
・ 当該保有個人データが債権回収会社等,本人以外の者による本人に関する
評価又は判断であって,これを開示することにより,債権管理回収業務にお
ける本人たる債務者及び保証人との交渉の実施が著しく困難になるおそれ
がある場合
(2) 本人から開示の請求があった保有個人データの一部のみが同項各号のいずれかに
該当する場合には,債権回収会社は,その残りの開示すべき部分については開示を
拒んではならない。
(3) 委託を受け又は他に委託して債権の管理回収を行う場合,本条の開示義務が委託
者と受託者のいずれにあるかは,委託者と受託者の契約関係において受託者に個人
データの開示又は内容の訂正等を行う権限が与えられているかどうかによる。した
がって,受託者が当該権限を与えられている場合には,委託者及び受託者の双方に
開示義務があり,受託者が当該権限を与えられていない場合には,委託者のみに開
示義務がある。
3 理由の説明(法第 31 条関係)
債権回収会社は,法第 31 条に従い、法第 27 条第3項(保有個人データの利用目的
の通知の求め)
,法第 28 条第3項(開示の請求)
,法第 29 条第3項(訂正等の請求),法第 30 条第5項(利用停止等の請求又は第三者提供の停止の請求)の規定により,本
人から求められ,又は請求された措置の全部又は一部について,その措置を講じない
旨を通知する場合又はその措置と異なる措置を講ずる旨を通知する場合における当該
通知は,原則として,書面によることとし,その理由を記載することとする。
また,当該通知に際し,本人に対しその理由を説明する場合には,措置を講じない
こととし,又は異なる措置を講ずることとした判断の根拠及び根拠となる事実を示す
こととする。
4 開示等の請求等に応じる手続(法第 32 条関係)
債権回収会社は,法第 32 条第2項及び第3項に関し,権限のない者に開示すること
がないよう,本人又は代理人の同一性の確認については,身分を証明するものの提示
を求めるなど,十分かつ適切な確認手続を採ることとする。
なお,施行令第 11 条第2号の代理人による「開示等の請求等」に対して,債権回収
会社が,本人にのみ直接「開示等」をすることは妨げられない。
第9 苦情処理に関する義務(法第 35 条関係)
以下の事項の他は通則ガイドラインの例による。
法第 35 条第2項に定める必要な体制の整備の例としては,
通則ガイドライン3-6
「個人情報の取扱いに関する苦情処理について」に掲げているもの以外に,苦情処理
に当たる従業者への十分な教育・研修が考えられる。
第 10 個人情報保護に関する宣言の制定
1 債権回収会社は,個人情報の保護に関する法令,通則ガイドライン及び本ガイドラ
イン等を踏まえ,事業者の個人情報保護に関する考え方や方針に関する宣言(いわゆ
るプライバシーポリシー,
プライバシーステートメント等。
以下
「個人情報保護宣言」
という。
)を策定して公表することとする。
個人情報保護宣言では,法第 18 条の利用目的の通知及び公表に関する事項,第 20
条の安全管理措置の概要,
第 21 条の従業者の監督方針,
第 22 条の委託先の監督方針,
第 27 条の保有個人データに関する事項,第 32 条の開示等の請求に応じる手続,第 35
条の苦情処理窓口に関する事項などを明らかにすることとする。
2 個人情報保護宣言には,消費者等,本人の権利利益保護の観点から,事業活動の特
性,規模及び実態に応じて,次に掲げる点に考慮した記述をできるだけ盛り込むこと
とする。
(1) 事業者がその事業内容を勘案して顧客の種類ごとに利用目的を限定して示したり,
事業者が本人の選択による利用目的の限定に自主的に取り組むなど,本人にとって
利用目的がより明確になるようにすること。
(2) 委託の有無,委託する事務の内容を明らかにする等,委託処理の透明化を進める
こと。
(3) 個人情報の取得元又はその取得方法(取得源の種類等)を,可能な限り具体的に
明記すること。
(4) 保有個人データについて本人から求めがあった場合には,ダイレクトメールの発
送停止など,自主的に利用停止等に応じること。
第 11 法違反又は法違反のおそれが発覚した場合の対応
以下の事項の他は個人データの漏えい等の事案が発生した場合等の対応について
(平成 29 年個人情報保護委員会告示第1号。以下「個人データ漏えい等対応告示」と
いう。
)の例による。
1 債権回収会社は,その取り扱う個人情報(委託を受けた者が取り扱うものを含む。)について,法違反又は法違反のおそれが発覚した場合には,個人データ漏えい等対応
告示に従った措置を講ずることとするほか,例えば次に掲げる措置を速やかに講ずる
こととする。
(1) 二次被害防止策の実施
債権回収会社は,
個人データ漏えい等対応告示2.(3)の規定により影響範囲を特定
した場合には,漏えい情報の回収等の二次被害防止策を速やかに実施する。
2 事業所管大臣等への報告
債権回収会社は,法違反又は法違反のおそれが発覚した場合には,その事実関係及
び再発防止策等について,速やかに,法務大臣(法務省大臣官房司法法制部審査監督
課)に報告することとする。
なお,債権回収会社が,認定個人情報保護団体に加入している場合には,当該認定
個人情報保護団体にも併せて報告することとする。
3 債権回収会社は,個人情報の取扱いに関し格別の措置を講ずる必要性があることに
鑑み,個人データ漏えい等対応告示3.(2)に規定する場合であっても,2に従って,
法務大臣等に報告することとする。
第 12 ガイドラインの見直し
個人情報の保護についての考え方は,社会情勢の変化,国民の認識の変化,技術の
進歩,国際的動向等に応じて変わり得るものであり,本ガイドラインは,法の施行後
の状況等諸環境の変化を踏まえて,必要に応じ見直しを行うものとする。