令和6年3月
個人情報保護委員会
法務省
PDF版 (PDF : 229KB) | 新旧対照表 (PDF : 94KB) ]
債権管理回収業分野における個人情報保護に関するガイドライン
(平成 29 年個人情報保護委員会・法務省告示第1号)
目次
- 第1目的等(法第1条関係)
- 第2用語の定義(法第2条関係)
- 第3個人情報の利用目的に関する義務
- 1利用目的の特定(法第17条第1項関係)
- 2利用目的の変更(法第17条第2項・法第21条第3項関係)
- 3利用目的による制限(法第18条関係)
- 4不適正利用の禁止(法第19条関係)
- 第4機微(センシティブ)情報
- 第5個人情報の取得に関する義務(法第21条関係)
- 第6個人データの管理に関する義務
- 1データ内容の正確性の確保(法第22条関係)
- 2安全管理 措置(法第23条関係)
- 3委託先の監督(法第25条関係)
- 第7個人データの漏えい等の報告等の義務(法第 26 条関係)
- 1 漏えい等事案が発覚した場合の措置
- 2事業所管大臣への報告
- 第8個人データの第三者提供に関する義務(法第27条関係)
- 1第三者提供の制限に関する原則
- 2第三者提供の制限に関する例外
- 3オプトアウト(法第27条第2項関係)
- 4第三者に該当しないもの
- 5個人信用情報機関に対する提供
- 第9保有個人データの開示等に関する義務
- 1保有個人データに関する事項の公表等(法第32条関係)
- 2保有個人データの開示(法第33条関係)
- 3保有個人データの利用停止等(法第 35 条関係)
- 4理由の説明(法第36条関係)
- 5開示等の請求等に応じる手続(法第37条関係)
- 第10苦情処理に関する義務(法第40条関係)
- 第11個人情報保護に関する宣言の制定
- 第12ガイドラインの見直し
第1 目的等(法第1条関係)
- 本ガイドラインは、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「施行令」という。)及び個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号。以下「施行規則」という。)を踏まえ、個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年個人情報保護委員会告示第6号。以下「通則ガイドライン」という。)を基礎として、法第6条及び第9条に基づき、法務省が所管する分野のうち債権管理回収業分野における個人情報について保護のための格別の措置が講じられるよう必要な措置を講じ、及び債権回収会社が個人情報の適正な取扱いの確保に関して行う活動を支援する具体的な指針として定めるものである。
本ガイドラインにおいて特に定めのない事項については、通則ガイドライン、個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(平成 28 年個人情報保護委員会告示第7号)、同ガイドライン(第三者提供時の確認・記録義務編)(平成 28 年個人情報保護委員会告示第8号)、同ガイドライン(仮名加工情報・匿名加工情報編)(平成 28 年個人情報保護委員会告示第9号)及び同ガイドライン(認定個人情報保護団体編)(令和3年個人情報保護委員会告示第7号)が適用される。
- 本ガイドラインにおいて、「~なければならない」と記載している規定については、それに従わない場合は、法違反と判断される可能性がある。
また、本ガイドラインにおいて、「~こととする」と記載している規定については、法の課す義務ではなく、債権回収会社がそれに従わない場合、法違反と判断されることはないが、法の基本理念(法第3条)を踏まえ、債権管理回収業分野における個人情報の適正な取扱いを確保する観点から、債権回収会社において積極的な取組に努めることを求める努力規定である。
- なお、本ガイドラインにおいて記載した具体例については、これに限定する趣旨で記載したものではない。また、記載した具体例においても、個別ケースによって別途考慮すべき要素があり得るので注意を要する。
- 認定個人情報保護団体が個人情報保護指針を策定又は改定し、また、事業者団体等が、事業の実態及び特性を踏まえ、当該事業者団体等の会員企業を対象とした自主的ルール(事業者団体ガイドライン等)を策定又は改定することもあり得るが、その場合は、認定個人情報保護団体の対象事業者や事業者団体等の会員企業は、個人情報の取扱いに当たり、個人情報の保護に関する法令、通則ガイドライン及び本ガイドライン等に加えて、当該指針又はルールに沿った対応を行う必要がある。
- 債権回収会社は、個人情報の漏えい、滅失又は毀損並びに不適正利用等を防止等するため、個人情報の保護に関する法令、通則ガイドライン及び本ガイドラインのほか、関係法令等に従い、個人情報の適正な管理体制を整備する必要がある。
第2 用語の定義(法第2条関係)
- 債権回収会社
「債権回収会社」とは、債権管理回収業に関する特別措置法(平成10年法律第126号。以下「サービサー法」という。)に基づき法務大臣からサービサー法第3条の営業許可を受けた会社(サービサー法第2条第3項で定義される株式会社)をいう。
- 本業
「本業」とは、債権回収会社の業務のうち、サービサー法第12条(ただし書を除く。)に規定する業務をいう。
- 兼業
「兼業」とは、債権回収会社の業務のうち、サービサー法第12条ただし書に規定する法務大臣の承認を受けた業務をいう。
- 本人に通知
以下の事項の他は通則ガイドラインの例による。
債権回収会社は、本人に通知する場合には、原則として、書面(電磁的記録を含む。以下同じ。)によることとする。
- 本人の同意
以下の事項の他は通則ガイドラインの例による。
債権回収会社は、法第 18 条、第 27 条、第 28 条及び第 31 条第1項第1号(債権回収会社が個人関連情報取扱事業者から同項の規定による個人関連情報の提供を受けて個人データとして取得する場合に限る。)に規定する本人の同意を得る場合には、原則として、書面によることとする。
この際、債権者から委託を受けた者又は債権者としての立場を不当に利用して、同意を強いることのないようにすることとする。
同意を確認する書面においては、個人情報の取扱いに関する項目と、他の項目とを明確に区別し、包括的な同意とならないようにすることとする。
- 1から5までに規定するもののほか、本ガイドラインにおける用語は、他に特段の定めのない限り、個人情報の保護に関する法令の定義による。
第3 個人情報の利用目的等に関する義務
以下の事項の他は通則ガイドラインの例による。
- 利用目的の特定(法第17条第1項関係)
債権回収会社は、法第 17 条に規定する利用目的の特定に当たっては、本人が自己の個人情報がどのような事業の用に供され、どのような目的で利用されるのかを合理的に予測し得る程度の具体性をもって特定しなければならない。
具体的には、債権回収会社が本業での利用を利用目的とする場合には、少なくとも「サービサー法第12条(ただし書を除く。)に規定する業務(特定金銭債権の管理及び回収)」という程度には特定しなければならず、兼業での利用を利用目的とする場合には、少なくとも兼業承認申請書の「事業の種類」欄の記載(原則として日本標準産業分類表細分類により記載することとされている。債権管理回収業に関する特別措置法施行規則(平成11年法務省令第4号)別紙様式第11号参照)程度には特定しなければならない。さらに、可能であれば、個人情報の取扱いの具体的態様が本人に明らかになるような特定をすることとする。
- 利用目的の変更(法第17条第2項・法第21条第3項関係)
法第17条第2項に規定する「変更前の利用目的と関連性を有すると合理的に認められる範囲」を超える変更となるのは、例えば、次のような場合である。
- 本業で利用する目的を、本業と全く関連性のない兼業で利用する目的に変更し、又は本業と全く関連性のない兼業で利用する目的を、本業で利用する目的に変更すること。
- ある兼業で利用する目的を、当該兼業と全く関連性のない他の種類の兼業で利用する目的に変更すること。
- 利用目的による制限(法第18条関係)
- 法第18条第1項に規定する「利用目的の達成に必要な範囲を超えて」とは、利用目的を実現するために必要とはいえない場合をいい、例えば、次のような場合である。
- ア債権の管理回収に際し、業務に不必要な当該債務者の隣人に関する個人情報を取り扱う場合
- イ債権の管理回収目的で取得した情報を名簿化して、債務状況リストなどとして販売等する場合
- 法第18条第3項第1号(法令(条例を含む。以下この第3、第4.1及び第6.2において同じ。)に基づく場合)に規定する場合の例としては、通則ガイドライン3-1-5「利用目的による制限の例外」に掲げている場合以外に、次に掲げる場合が考えられる。
- (例)
-
- 住民基本台帳法第 12 条の3に基づき、債務者の本人確認のために住民票の写しを交付請求する際、市町村役場の職員の求めに応じて、不当な目的で請求するものではないことを証明するため、当該債務者の個人情報を提出する場合
- 民事訴訟法第223条に基づく裁判所による文書提出命令に対して文書を提出する場合
- 民事訴訟法第186条に基づく調査の嘱託又は同法第226条に基づく文書の送付の嘱託に応ずる場合
なお、法令に、目的外利用の便益を得る相手方についての根拠のみあって、目的外利用をする義務までは課されていない場合には、債権回収会社は、当該法令の趣旨に照らして目的外利用の必要性と合理性が認められる範囲内で対応するものとする。
- 法第18条第1項に規定する「利用目的の達成に必要な範囲を超えて」とは、利用目的を実現するために必要とはいえない場合をいい、例えば、次のような場合である。
- 不適正利用の禁止(法第 19 条関係)
法第 19 条に規定する場合の例としては、通則ガイドライン3-2「不適正利用の禁止」に掲げている場合以外に、次に掲げる場合が考えられる。
- (例)
-
- 債務者等の所在等を調査するため、債権回収目的で収集した個人情報を違法な行為を営むことが予見される探偵業者に提供する場合
- 債権回収を第三者に委託し、又は債権を第三者に譲渡するに当たり、当該第三者が違法・不当な回収行為を行うことが予見されるにもかかわらず、当該債権に係る個人情報を当該第三者に提供する場合
第4 機微(センシティブ)情報
- 債権回収会社は、法第2条第3項に規定する要配慮個人情報並びに労働組合への加盟、門地、本籍地、保健医療及び性生活(これらのうち要配慮個人情報に該当するものを除く。)に関する情報(本人、国の機関、地方公共団体、学術研究機関等、法第57条第1項各号に掲げる者若しくは施行規則第6条各号に掲げる者により公開されているもの、又は、本人を目視し、若しくは撮影することにより取得するその外形上明らかなものを除く。以下「機微(センシティブ)情報」という。)については、次に掲げる場合を除くほか、取得、利用又は第三者提供を行わないこととする。
- 法令等に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合
- 公衆衛生の向上又は児童の健全な育成の推進のため特に必要がある場合
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合
- 法第 20 条第2項第6号に掲げる場合に機微(センシティブ)情報を取得する場合、法第 18 条第3項第6号に掲げる場合に機微(センシティブ)情報を利用する場合、又は法第 27 条第1項第7号に掲げる場合に機微(センシティブ)情報を第三者提供する場合
- 相続手続による権利義務の移転等の遂行に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者提供する場合
- 戸籍謄本その他の本人を特定することができる書類につき本人特定のために必要な場合
- 債権の内容の特定に必要な限りにおいて、機微(センシティブ)情報を取得、利用又は第三者提供する場合
- 本業及び兼業その他債権管理回収業分野の事業の適切な業務運営を確保する必要から、本人の同意に基づき業務遂行上必要な範囲で機微(センシティブ)情報を取得、利用又は第三者提供する場合
- 機微(センシティブ)情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合
- 債権回収会社は、機微(センシティブ)情報を、1に掲げる場合に取得、利用又は第三者提供する場合には、1に掲げる事由を逸脱した取得、利用又は第三者提供を行うことのないよう、特に慎重に取り扱うこととする。
- 債権回収会社は、機微(センシティブ)情報を、1に掲げる場合に取得、利用又は 第三者提供する場合には、例えば、要配慮個人情報を取得するに当たっては、法第 20 条第2項に従い、あらかじめ本人の同意を得なければならないとされていることなど、個人情報の保護に関する法令等に従い適切に対応しなければならないことに留意す る。
- 債権回収会社は、機微(センシティブ)情報を第三者へ提供するに当たっては、法第 27 条第2項本文(オプトアウト)の規定を適用しないこととする。なお、機微(センシティブ)情報のうち要配慮個人情報又は法第 20 条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者から法第 27 条第2項本文の規定により提供されたものについては、同項ただし書において、オプトアウトを用いることができないとされていることに留意する。
第5 個人情報の取得に関する義務(法第21条関係)
以下の事項の他は通則ガイドラインの例による。
- 債権回収会社が行う法第21条第1項に規定する通知においては、取り扱う個人情報の具体的内容を明らかにする必要はないが、できる限り取り扱う個人情報の項目を明らかにすることとし、項目ごとに利用目的が異なる場合には、それが明らかになるようにすることとし、例えば、次に掲げる例が考えられる。
- (例)
-
- A、B、Cという項目の個人情報を取り扱っており、Aについては本業及び兼業aを利用目的とし、Bについては本業のみを利用目的とし、Cについては兼業a及び兼業bを利用目的とする場合において、漫然と「個人情報A、B、Cは本業並びに兼業a及びbを利用目的とする。」というような包括的な通知をすべきではなく、その利用目的と個人情報の項目の対応関係を明らかにして通知する。
また、同項に規定する公表においては、本人ごとに公表すること及び取り扱う個人情報の具体的内容を明らかにすることは必要ではないが、できる限り取り扱う個人情報の項目を明らかにすることとし、項目ごとに利用目的が異なる場合には、それが明らかになるようにすることとする。
- 債権回収会社は、法第21条第2項に従い、本人に対し、その利用目的を明示する場合には、当該利用目的を書面に記載し、その書面と同一の書面をもって、当該目的に利用することについての本人の同意を取得することとする。
- 法第21条第4項の場合の例としては、通則ガイドライン3-3-5「利用目的の通知等をしなくてよい場合」に掲げている場合以外に、次に掲げる場合が考えられる。
- 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- (例)
-
- 暴力団等の反社会的勢力情報、疑わしい取引の届出の対象情報、業務妨害行為を行う悪質者情報の提供者が逆恨みを買うおそれのある場合
- 利用目的を本人に通知し、又は公表することにより債権回収会社の権利又は正当な利益を害するおそれがある場合
- (例)
-
- 利用目的を知られることにより、企業秘密に関わる事項が明らかになり、企業の健全な競争を害する場合
- 取得の状況からみて利用目的が明らかであると認められる場合
- (例)
-
- 事務代行業務として個人情報の入力等の処理業務の委託を受けて、委託者の指示の下,機械的な事務として当該個人情報を取り扱う場合
- 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
第6 個人データの管理に関する義務
以下の事項の他は通則ガイドラインの例による。
- データ内容の正確性の確保(法第22条関係)
- 債権回収会社は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つこととする。
- 「正確かつ最新の内容」とは、利用目的に照らして最新の事実と一致することをいう。(1) の規定の努力義務は、評価又は判断に関する個人データには及ばない。
- (1)の規定の目的を達成するために、債権回収会社は、次のような手続等を整備することとする。
- ア個人情報データベース等への個人データ入力時の照合・確認の手続
- イ個人データの誤り等を発見した場合の訂正・追加・削除の手続
- ウ不要となった個人データの消去・返還の手続
- 債権回収会社は、個人データの保存期間を設定し、利用目的の達成に必要のなくなった、次のような個人データ等は、速やかに返還又は消去するなどして取扱いを止めることとする。
- ア保存期間の満了したサービサー法第20条に基づく法定帳簿に記載された個人データ
- イ債権の買取査定のために個人データを取得したが、結局債権を譲り受けなかった場合の当該個人データ
- 安全管理措置(法第23条関係)
法第23条に規定する安全管理措置として、債権回収会社が具体的に講じなければならない措置や当該項目を実践するための手法の例等については、通則ガイドライン10「(別添)講ずべき安全管理措置の内容」に掲げるもののほか、特に、事業者の内部又は外部からの不正行為による個人データの漏えい等を防止するための手法として、例えば次のような措置を講ずることとする。なお、法第23条に定める「その他の個人データの安全管理のために必要かつ適切な措置」には、債権回収会社が取得し、又は取得しようとしている個人情報であって、当該債権回収会社が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。
- 責任の所在の明確化のための措置
- (例)
-
- 事業者内の個人データの取扱いの点検・改善等の監督を行う部署の設置
- 事業者内の個人データの取扱いの点検・改善等の監督を行う合議制の委員会の設置
- 新たなリスクに対応するための、安全管理措置の評価、見直し及び改善に向けた監査実施体制の整備
- (例)
-
- 個人情報保護対策及び最新の技術動向を踏まえた情報セキュリティ対策に十分な知見を有する者による事業者内の対応の確認(必要に応じ、外部の知見を有する者を活用し確認させることを含む。)
- 不正な操作を防ぐための、個人データを取り扱う端末に付与する機能の、業務上の必要性に基づく限定
- (例)
-
- スマートフォン、パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応
- 入館(室)者による不正行為等の防止のための、業務実施場所及び情報システム等の設置場所の入退館(室)管理の実施
- (例)
-
- 入退館(室)の記録の保存
- 個人データを取り扱う機器・装置等の破壊、火災、停電等からの保護
- 盗難等の防止のための措置
- (例)
-
- カメラによる撮影や作業への立会い等による記録又はモニタリングの実施
- 記録機能を持つ媒体の持込み・持出し禁止又は検査の実施
- 離席時の個人データの放置禁止
- 次の各事項に関する個人データの保護に関する内部規程類の策定及びこれに従った運用
- 安全管理に関する組織的事項
- 個人データの取扱いの各場面(取得・入力、照合・確認、移送・送信、利用・加工、保管・バックアップ、訂正・追加及び消去・廃棄・返還等の作業)に関する手続的事項
- 防犯、防災のための物理的保護の設備及び機器設置環境に関する事項
- 情報システムの安全管理に関する事項
- 従業者に対する教育研修に関する事項
- 個人データの取扱いを委託する場合の委託先の監督に関する事項(委託先の評価及び選定基準並びに委託契約に盛り込むべき事項を含む。)
- 従業者及び委託先に対する監査に関する事項
- 個人データの漏えい等発生時の対処に関する事項
- 法令及び内部規程違反への対処に関する事項
なお、通則ガイドライン10「(別添)講ずべき安全管理措置の内容」に掲げる「中小規模事業者」に該当する債権回収会社についても、取り扱う個人情報の性質はその他の個人情報取扱事業者と同じであることから、法の基本理念(法第3条)を踏まえ、その他の個人情報取扱事業者が講ずべき安全管理措置の内容に準じた措置を講ずることとする。
- 責任の所在の明確化のための措置
- 委託先の監督(法第25条関係)
- 債権回収会社は、委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第23条で求められるものと同等であることを確認するため、通則ガイドライン及び第6.2で例示した安全管理措置の項目等が、委託する業務内容に応じて、確実に実施されることについて、委託先の体制、規程等の確認に加え、必要に応じて個人データを取り扱う場所に赴く又はこれに代わる合理的な方法による確認を行った上で、個人情報保護管理者等が、適切に評価することとする。
- 「委託」とは、契約の形態・種類を問わず、債権回収会社が他の者に個人データの取扱いの全部又は一部を行わせることをいう。
- 「必要かつ適切な監督」として、次のような措置を講ずることとする。
- ア委託契約に盛り込む事項
委託先との契約には、具体的な安全管理措置等に関する事項として、例えば、次の事項を明記する。
- 委託先の秘密の保持に関する事項
- 委託者及び受託者の責任の明確化に関する事項
- 再委託に関する事項(再委託の禁止又は再委託する場合の個人データ保護の水準の条件等)
- 個人データの取扱いの制限に関する事項(委託契約範囲外の取扱いの禁止等)
- 個人データの取扱いに係る安全管理措置に関する事項
- 個人データの管理状況の報告及び監査に関する事項
- 個人データの漏えい等発生時の対処に関する事項
- 委託終了時における個人データの返還・消去に関する事項
- 契約に違反した場合における契約解除の措置その他必要事項(「その他必要事項」としては、善良なる管理者の注意義務及び漏えい等事案発生時における被害に対する損害賠償責任などがある。)
- イ委託先の管理
委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、その結果を記録するとともに、個人情報保護管理者等が、委託の内容等の見直しを検討することを含め、適切に評価し、改善すべき事項があれば必要な措置を講ずることとする。
- ア委託契約に盛り込む事項
- 委託先が再委託を行おうとする場合は、委託元は委託を行う場合と同様、再委託の相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先に事前報告又は承認手続を求める、直接又は委託先を通じて定期的に監査を実施するなどにより、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することとする。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。
第7 個人データの漏えい等の報告等の義務(法第26条関係)
以下の事項の他は通則ガイドラインの例による。
- 漏えい等事案が発覚した場合の措置
債権回収会社は、漏えい等事案が発覚した場合は、漏えいした個人データの回収等の二次被害防止策を速やかに実施する等、通則ガイドライン3-5-2(漏えい等事案が発覚した場合に講ずべき措置)に従った措置を講じなければならない。
- 事業所管大臣への報告
債権回収会社は、施行規則第7条各号に定める事態を知ったときは、通則ガイドライン3-5-3(個人情報保護委員会への報告) に従って、個人情報保護委員会(法第 150 条の規定により法務大臣が報告を受理する権限の委任を受けている場合には、法務大臣)に報告しなければならない。
第8 個人データの第三者提供に関する義務(法第 27 条関係)
以下の事項の他は通則ガイドラインの例による。
- 第三者提供の制限に関する原則
債権回収会社は、法第 27 条第1項に従い、第三者提供についての本人の同意を得る際には、原則として、次の事項を本人に対してあらかじめ書面で示した上で同意を得ることとする。
- 個人データの提供先の第三者の氏名又は名称及び連絡先
- 第三者に提供される個人データの項目
- 提供先での個人データの利用目的
- 第三者提供の制限に関する例外
債権譲渡に付随して譲渡人から譲受人に対して当該債権の管理に必要な範囲において債務者及び保証人等に関する個人データが提供される場合には、法第 27 条第1項により求められる第三者提供に関する本人の同意が推定されるものとして、また、債権の譲渡に関連して行われるデューデリジェンスや譲受人の選定等、当然必要な準備行為についても、債権の管理に必要な範囲に含まれることから同意の推定が及ぶものとして取り扱って差し支えない。 なお、本人たる債務者又は保証人等が債権譲渡に伴う個人データの第三者提供について明示的に拒否する意思を示し、これにより、当該債権の管理に支障を来し、債権の譲渡人又は譲受人の財産等の保護のために必要な場合は、法第27条第1項第2号に該当する。
- オプトアウト(法第27条第2項関係)
債権回収会社は、本業において、法第27条第2項に基づく個人データの第三者への提供(オプトアウト)は、用いないこととする。
また、債権回収会社は、兼業において、新たにオプトアウトを用いる場合は、サービサー法第12条により本業についての専業義務が課されていることを踏まえ、兼業承認を受けた範囲を超えて業務を行わないこととし、必要に応じて兼業承認を受けることとする。
なお、個人の支払能力に関する情報を個人信用情報機関へ提供するに当たっては、オプトアウトを用いないこととし、1に従い本人の同意を得ることとする。
- 第三者に該当しないもの
債権回収会社は、法第27条第5項第3号に規定する事項については、次のとおりとする。
- 「共同して利用する者の範囲」については、本人が理解可能な程度に、客観的に明確に示さなければならないが、これに加えて、できる限り個別企業名を示すこととする。
- 「当該個人データの管理について責任を有する者」(以下「管理責任者」という。)とは、当該個人データに係る苦情処理の責任を負い、個人データの内容等について、共同で利用する者の中で第一次的に開示、訂正等又は利用停止等を行う権限を付与されている者であり、複数であっても差し支えない。
なお、同号は、同号に定める管理責任者以外の共同して利用する者における安全管理責任等を免除する趣旨ではないことに留意する。
- 個人信用情報機関に対する提供
債権回収会社が、個人信用情報機関(個人の返済能力又は支払能力に関する情報の収集及び会員に対する当該情報の提供を業とする者をいう。以下同じ。)に対し個人データを提供する場合には、当該提供が法第27条第5項第3号の規定に該当する場合であっても、あらかじめ本人の同意を得ることとする(ただし、債権回収会社が債権の譲受け又は委託を受ける以前に債権者において、当該個人信用情報機関への個人データの提供について本人の同意を得ている場合は、この限りでない。)。この場合及び同条第1項の規定により同意を得るに当たっては、1の規定に基づいて同意を得ることとするが、1 (1)から(3)までの事項に加えて、個人データが個人信用情報機関及び当該個人信用情報機関と提携する個人信用情報機関並びにこれらの会員企業にも提供される旨を示すこととする。また、できる限り、個人信用情報機関の加入資格に関する規約、個人信用情報機関及び当該個人信用情報機関と提携する個人信用情報機関に加入する会員企業のリストについては、本人が容易に知り得る状態に置くこととする。
第9 保有個人データの開示等に関する義務
以下の事項の他は通則ガイドラインの例による。
- 保有個人データに関する事項の公表等(法第32条関係)
債権回収会社が、法第32条に従い、保有個人データに関する事項を本人の知り得る状態に置く際には、例えば、インターネットのホームページへの掲載、パンフレットの配布、本店を始めとする営業所窓口への備付け等を継続的に行うことが考えられる。
- 保有個人データの開示(法第33条関係)
- 保有個人データを開示するに当たっては 、その具体的な開示方法に応じて、 漏えい等の 防止の観点を踏まえた上で 、適切な措置を講じなければならない。例えば、電磁的記録の提供による方法によって保有個人データを開示する場合には、当該電磁的記録にパスワードを付す等の措置を講じることが考えられる。
- 法第33条第2項の場合の例としては、通則ガイドライン3-8-2「保有個人データの開示」に掲げている場合以外に、次に掲げる場合が考えられる。
- ア本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- (例)
-
- 反社会的勢力に関する保有個人データであって、当該本人に開示することにより、当該反社会的勢力による業務妨害や従業者への危害を招くおそれがある場合
- イ当該債権回収会社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- (例)
-
- 企業秘密の保護の必要性が、本人が個人情報取扱事業者における保有個人データの取扱い等を把握する必要性を上回る特別の事情がある場合
- 当該保有個人データが債権回収会社等、本人以外の者による本人に関する評価又は判断であって、これを開示することにより、債権管理回収業務における本人たる債務者及び保証人との交渉の実施が著しく困難になるおそれがある場合
- ア本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 本人から開示の請求があった保有個人データの一部のみが同項各号のいずれかに該当する場合には、債権回収会社は、その残りの開示すべき部分については開示を拒んではならない。
- 委託を受け又は他に委託して債権の管理回収を行う場合、本条の開示義務が委託者と受託者のいずれにあるかは、委託者と受託者の契約関係において受託者に個人データの開示又は内容の訂正等を行う権限が与えられているかどうかによる。したがって、受託者が当該権限を与えられている場合には、委託者及び受託者の双方に開示義務があり、受託者が当該権限を与えられていない場合には、委託者のみに開示義務がある。
- 有個人データの利用停止等(法第 35 条関係)
債権回収会社は、サービサー法第20条で定める法定帳簿の内容として一定期間保存することが義務付けられている保有個人データについて、本人から、法第35条第5項に基づき保有個人データの消去を求められた場合、同項の要件を満たす場合であっても、サービサー法第20条を遵守するため、これを遅滞なく消去するのではなく、これに代わるべき措置として、法令上の保存期間の終了後に消去することを約束する等の代替措置を講じる必要があることに注意する。
- 理由の説明(法第36条関係)
債権回収会社は、法第36条に従い、法第32条第3項(保有個人データの利用目的の通知の求め)、法第33条第3項(開示の請求。同条第5項において準用する場合を含む。)、法第34条第3項(訂正等の請求)、法第35条第7項(利用停止等の請求又は第三者提供の停止の請求)の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置を講じない旨を通知する場合又はその措置と異なる措置を講ずる旨を通知する場合における当該通知は、原則として、書面によることとし、その理由を記載することとする。
また、当該通知に際し、本人に対しその理由を説明する場合には、措置を講じないこととし、又は異なる措置を講ずることとした判断の根拠及び根拠となる事実を示すこととする。
- 開示等の請求等に応じる手続(法第37条関係)
債権回収会社は、法第37条第2項及び第3項に関し、権限のない者に開示することがないよう、本人又は代理人の同一性の確認については、身分を証明するものの提示を求めるなど、十分かつ適切な確認手続を採ることとする。
なお、施行令第13条第2号の代理人による「開示等の請求等」に対して、債権回収会社が、本人にのみ直接「開示等」をすることは妨げられない。
また、 開示等の請求等の手続を円滑に行うことができるようにするため 、できる限り開示等の請求等を受け付ける方法を合理的な範囲で定めておくことが望ましい。
第10 苦情処理に関する義務(法第40条関係)
以下の事項の他は通則ガイドラインの例による。
法第40条第2項に定める必要な体制の整備の例としては、通則ガイドライン3-9「個人情報の取扱いに関する苦情処理」に掲げているもの以外に、苦情処理に当たる従業者への十分な教育・研修が考えられる。
第11 個人情報保護に関する宣言の制定
- 債権回収会社は、個人情報の保護に関する法令、通則ガイドライン及び本ガイドライン等を踏まえ、事業者の個人情報保護に関する考え方や方針に関する宣言(いわゆるプライバシーポリシー、プライバシーステートメント等。以下「個人情報保護宣言」という。)を策定して公表することとする。
個人情報保護宣言では、法第21条の利用目的の通知及び公表に関する事項、第23 条の安全管理措置の概要、第24条の従業者の監督方針、第25条の委託先の監督方針、第32条の保有個人データに関する事項、第37条の開示等の請求に応じる手続、第40条の苦情処理窓口に関する事項などを明らかにすることとする。
- 個人情報保護宣言には、本人の権利利益保護の観点から、事業活動の特性、規模及び実態に応じて、次に掲げる点に考慮した記述をできるだけ盛り込むこととする。
- 事業者がその事業内容を勘案して顧客の種類ごとに利用目的を限定して示したり、事業者が本人の選択による利用目的の限定に自主的に取り組むなど、本人にとって利用目的がより明確になるようにすること。
- 委託の有無、委託する事務の内容を明らかにする等、委託処理の透明化を進めること。
- 個人情報の取得元又はその取得方法(取得源の種類等)を、可能な限り具体的に明記すること。
第12 ガイドラインの見直し
個人情報の保護についての考え方は、社会情勢の変化、国民の認識の変化、技術の進歩、国際的動向等に応じて変わり得るものであり、本ガイドラインは、法の施行後の状況等諸環境の変化を踏まえて、必要に応じ見直しを行うものとする。