古物商にも適用される個人情報保護法のルールとは?事例付きで明快解説
はじめに
個人情報保護法は、個人情報の有用性(ビッグデータの利活用)に配慮しつつ、個人の権利や利益を保護することを目的とした法律です。平成29年の法改正までは、保有する個人情報が5,000人未満であれば同法の適用外でしたが、現在では、ほぼすべての事業者が対象となっています。
対象となる事業者は、個人情報保護委員会の監督を受け、違反があった場合は行政処分が科される可能性があり、重大な違反には刑事罰が適用される場合もあります。そのため、ルールを正確に理解することが重要です。
本記事では、遵守すべき個人情報保護法のルールについて、具体的な事例を紹介しつつ、行政書士がわかりやすく解説します。
古物商必見!特定商取引法で押さえるべき通信販売のルール
インターネットを利用して古物を販売することは、特定商取引法の通信販売に該当し規制の対象となります。広告の表示や禁止事項について、行政書士が解説します。
古物商許可申請 
目次
古物商の義務と個人情報の関係
古物商とは、古物営業法に基づき、中古品を営利目的で継続的に売買する許可を受けた個人または法人を指します。古物商は、特定の古物を買い取る際に、相手方の「住所」「氏名」「職業」「年齢」を法定の方法により確認する義務があります。また、確認した相手方の氏名等は、取引年月日等と共に古物台帳に記録する必要があります。
一方で、個人情報保護法における「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報を指します。生年月日や電話番号、メールアドレスなどは、それ単独では特定の個人を識別できない情報ですが、氏名などと組み合わせることで特定の個人を識別できるため個人情報にあたります。
このように、古物営業法に基づき古物商が記録する相手方の氏名等は、個人情報保護法上の『個人情報』に該当することになります。
古物商の本人確認義務とは?対面取引における4つの確認方法
古物商は、古物の買取等を行う際に、相手方の本人確認をしなければなりません。本人確認が必要な古物や、対面取引での本人確認方法について、行政書士が詳しく解説します。
PC等で古物台帳を管理する古物商が対象
個人情報保護法の規制の対象となるのは「個人情報取扱事業者」です。個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者を指します。
個人情報データベース等とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物を指します。
したがって、PCなどで管理されている古物台帳は個人情報データベース等に該当し、その古物商は個人情報取扱事業者となり、個人情報保護法に基づく適切な管理が求められます。
紙で記録する古物台帳は?
古物台帳を紙面で記録している場合であっても、一定の規則(例えば、五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているのであれば「個人データベース等」に該当します。
古物商の取引記録義務 - 記録義務のある古物と記録の方法
古物商は、古物の取引を行ったときは、その日付や古物の特徴、相手方の氏名等を帳簿等に記録し、3年間保存しておかなければなりません。
https://hayward-law.com/kobutsusho/古物商許可/丸投げ依頼でラクラク申請
【全国対応】家に届く書類にサインして返送するだけ!面倒なことは行政書士にまかせて時間節約。
【とにかく忙しい方必見】東京・千葉なら警察署への書類提出代行も対応。今すぐネットから無料相談!
個人情報保護法におけるルール
利用目的の特定・利用目的による制限
個人情報取扱事業者は、個人情報を取り扱うにあたっては、その利用目的をできる限り特定しなければなりません。単に「事業活動に用いるため」や「マーケティング活動に用いるため」など、一般的・抽象的なものでは特定したことにはならず、できる限り具体的でなければなりません。
具体的に利用目的を特定している例(古物営業)
個人情報の利用目的
株式会社〇〇(以下「当社」といいます。)は、お客様からお預かりした個人情報を、古物取引に関する業務の実施等を目的として、以下の内容で利用します。
- お問い合わせへの対応、古物の取引に関する手続きのご案内等
- 古物取引の可否判断、当該契約後の取引状況管理
- 古物の査定、お客様の真偽確認
- その他、法令に基づく対応等を含めた、古物の取引等に必要な業務
定めた利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意を得る必要があります。
不適正な利用の禁止
個人情報取扱事業者は、違法・不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはなりません。
不適正な利用にあたる事例
- 違法な行為を営むことが疑われる事業者(例:貸金業登録を行っていない貸金業者等)に個人情報を提供する場合
- 個人情報を提供した場合、提供先において本人の同意なく第三者提供がなされることを予見できるにも関わらず、個人情報を提供する場合 など
適正な取得
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはなりません。
不正取得にあたる事例
- 十分な判断能力のない子供や障碍者から、その家族の個人情報(収入事情)などを、家族の同意なく取得する場合
- 個人情報を取得する主体や利用目的等について、意図的に虚偽の情報を示して、本人から個人情報を取得する場合 など
利用目的の通知または公表
個人情報取扱事業者は、個人情報を取得する場合は、その利用目的をあらかじめ公表しておくか、公表していない場合は、速やかに、その利用目的を本人に通知、または公表しなければなりません。
公表に該当する事例
- 自社のホームページのトップページから1回程度の操作で到達できる場所への掲載
- 例:フッターに「個人情報保護方針」や「プライバシーポリシー」等の文言を表示し、当該ページへのリンクを設定する
- 自社の店舗や事務所など顧客が訪れることが想定される場所におけるポスター等の掲示、パンフレット等の備置き・配布
- 通信販売用のパンフレット・カタログ等への掲載
ウェブサイトへの氏名等の掲載義務 - 原則すべての古物商が対象に - 令和6年4月
古物営業法の一部改正により、古物商はウェブサイトへの氏名等の情報掲載が原則義務化されました。掲載内容や掲載対象、免除条件について解説します。
https://hayward-law.com/kobutsusho/古物商許可/サポート
【丸投げサポート】すぐに古物商の許可が欲しいけど、何をしたらいいかわからない方におすすめ。
【東京千葉限定】忙しい平日の日中に、申請代行も受付中。個人・法人どなたでも対応OK。
データ内容の正確性の確保等
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければなりません。また、保有する個人データについて利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません(努力義務)。
個人データの正確性を確保するための措置
- 個人情報データベース等への個人情報の入力時の照合・確認の手続の整備
- 誤り等を発見した場合の訂正等の手続の整備
- 記録事項の更新
- 保存期間の設定 など
安全管理措置
個人情報取扱事業者は、その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければなりません。この安全管理措置は、「組織的」「人的」「物理的」「技術的」の4つの観点から規定する必要があります。
中小規模事業者の場合は緩和される
中小規模事業者は、取り扱う個人データの数量や個人データを取り扱う従業者数が一定程度にとどまることから、大企業が求められる安全管理措置の水準に比べて緩和されます。中小規模事業者とは、従業員の数が100人以下の個人情報取扱事業者で、以下に該当しない者を指します。
- その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において5,000を超える者
- 委託を受けて個人データを取り扱う者
従業者や委託先の監督
個人情報取扱事業者は、従業者や委託先に個人データを取り扱わせる場合、データの安全管理が図られるよう、必要かつ適切な監督を行わなければなりません。「従業者」とは、正社員、契約社員、パート・アルバイト社員等に加え、取締役等の役員も含まれます。
従業者に対して監督を行っていない事例
- 従業者が、安全管理措置を定める規程等に従って業務を行っていることを確認しなかった結果、個人データが漏えいした場合
- 内部規程等に違反して個人データが入ったノートパソコンやUSBメモリなどの外部記録媒体が繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、そのパソコン等が紛失し、個人データが漏えいした場合 など
漏えい等の報告等
個人情報取扱事業者は、個人データについて、漏えい等が発生し、または、発生したおそれがあることを知ったときは、この事態が生じた旨を個人情報保護委員会に報告し、本人に通知する必要があります。
報告対象事態
- 要配慮個人情報が含まれる個人データの漏えい等
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等
- 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データの漏えい等
- 個人データに係る本人の数が1,000人を超える漏えい等
要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものをいいます。
第三者提供の制限(オプトイン・オプトアウト)
個人情報取扱事業者は、個人データを第三者への提供する場合は、あらかじめ本人の同意を得ないで提供することはできません(オプトイン)。
第三者提供にあたる事例
- 親子兄弟会社、グループ会社の間で個人データを交換する場合
- ※「同一事業者内で他部門へ個人データを提供する場合」は、第三者提供にあたらない
- フランチャイズ組織の本部と加盟店の間で個人データを交換する場合
- 同業者間で、特定の個人データを交換する場合
なお、以下の措置を講じた上で、本人の求めに応じて第三者提供を停止することとしている場合は、あらかじめ本人の同意を得ることなく、個人データを第三者に提供することができます(オプトアウト)。
オプトアウトによる第三者提供
- 法定事項について、あらかじめ本人に通知するか、本人が容易に知り得る状態に置く
- 個人情報保護委員会への届出
通知または公表する事項は、「第三者への提供を利用目的とすること」や「第三者に提供される個人データの項目」など9項目に渡ります。
個人情報保護法に違反した場合の罰則
個人情報保護委員会からの命令等違反
個人情報取扱事業者等が個人情報保護法の義務規定に違反して個人情報等を取り扱っている場合、個人情報保護委員会は、事業者等に対して「報告徴収・立入検査」「指導・助言」「勧告・命令」といった行政処分等を行うことができ、これらに違反した場合、以下の刑事罰が科せられる可能性があります。
報告徴収・立入検査に応じなかった場合や、報告徴収に対して虚偽の報告をした場合等
- 【違反行為者】50万円以下の罰金
- 【その法人】50万円以下の罰金
命令に違反した場合
- 【違反行為者】1年以下の懲役又は100万円以下の罰金
- 【その法人】1億円以下の罰金
命令に違反した場合、刑事罰の適用に加え、個人情報保護委員会はその旨を公表することができるため、レピュテーションリスク(社会的信用の低下)につながるおそれがあります。
個人情報データベース等の不正な提供等
個人情報取扱事業者やその従業者、これらであった者が、その業務に関して取り扱った個人情報データベース等を自己、もしくは第三者の不正な利益を図る目的で提供し、または盗用したときは、以下の刑事罰が科せられる可能性があります。
- 【違反行為者】1年以下の懲役又は100万円以下の罰金
- 【その法人】1億円以下の罰金
まとめ
- 個人情報は、その利用目的を明確にするとともに、目的達成に必要な限度において取り扱う
- 個人情報は、適法かつ適正な方法で取得する
- 個人情報は、正確かつ最新の内容に保つよう努める
- 個人情報に対し、必要な安全管理措置(漏えい・滅失・毀損の防止等)を講じる
- 個人情報の取扱いに関し、本人が適切に関与し得るよう配慮する
これはあなたの
許可証です。
ヘイワード行政書士事務所に依頼して、古物商許可を手間なく最短で取得しませんか?個人も法人も15,400円から。東京千葉なら警察署での申請代行もおかませ!「古物営業ガイド」と「古物台帳」も無料でご提供。
\ 年間100件以上の許可取得実績 /
