マンション管理組合における個人情報の取扱い

このページでは、
「個人情報保護法」を「法」
「個人情報の保護に関する法律についてのガイドライン(通則編)」を「GL通則編」
『「個人情報の保護に関する法律についてのガイドライン」に関するQ&A』を「Q&A」
と記載しています。

マンションの管理組合は「個人情報取扱事業者」に該当し、個人情報保護法に定められた様々な義務を負います(Q&A1-54)。

「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます(法16条2項本文)。

個人情報保護法の義務は、①個人情報、②個人データ、③保有個人データという3種類に応じて内容が異なります(①→②→③の順に義務が重くなります。)。

以下、①個人情報、②個人データ、③保有個人データそれぞれに関する義務の概要について説明します。

個人情報

「個人情報」とは、生存する個人に関する情報で、以下のいずれかに該当するものをいいます(法2条1項)。

  1. 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
  2. 個人識別符号が含まれるもの

利用目的の特定

マンション管理組合は、個人情報を取り扱うに当たっては、利用目的をできる限り特定しなければなりません(法17条1項)。

また、利用目的を変更する場合、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えることはできません(法17条2項)。

利用目的による制限

マンション管理組合は、原則として、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことはできません(法18条1項)。

もっとも、①法令に基づく場合、②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき、③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき等は、例外的に特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことができます(法18条3項)。

不適正な利用の禁止

マンション管理組合は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用できません(法19条)。

適正な取得

マンション管理組合は、偽りその他不正の手段により個人情報を取得できません(法20条1項)。

また、原則として、あらかじめ本人の同意を得ないで、要配慮個人情報を取得できません(法20条2項)。

「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます(法2条3項)。

災害等の緊急時に、要援護者の生命・身体・財産を保護することを目的として作成する要援護者名簿に記載する情報は、「要配慮個人情報」に該当する可能性があります。

もっとも、①法令に基づく場合、②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき、⓷公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき等は、例外的に本人の同意を得ないで、要配慮個人情報を取得できます(法20条3項各号)。

取得に際しての利用目的の通知等

マンション管理組合は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知又は公表しなければなりません(法21条1項)。

また、本人から直接書面(電磁的記録も含みます。)に記載された本人の個人情報を取得する場合、原則として、あらかじめ、本人に対し、その利用目的を明示しなければなりません(法21条2項本文)。

個人データ

「個人データ」とは、個人情報データベース等を構成する個人情報をいいます(法16条3項)。

「個人データベース等」とは、個人情報を含む情報の集合物であって、以下のいずれかに該当するもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定められているものは除かれます。)をいいます(法16条1項)。

  1. 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
  2. 特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

データ内容の正確性の確保等

マンション管理組合は、①利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、②利用する必要がなくなった場合、個人データを遅滞なく消去するよう努めなければなりません(法22条)。

安全管理措置

マンション管理組合は、取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません(法23条)。

そのため、個人データが記載された書類を施錠した金庫で保管したり、データにパスワードを設定する等の措置が必要となります。

また、個人データの取扱いを委託する場合、取扱いを委託された個人データの安全管理が図られるように、委託を受けた者に対する必要かつ適切な監督を行わなければなりません(法25条)。

そのため、管理組合が管理会社に個人データの取扱いを委託する場合、管理会社に対する監督が必要になります。

さらに、マンション管理組合は、取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものが発生した場合、個人情報保護委員会に報告しなければなりません(法26条1項本文)。

第三者提供の制限

マンション管理組合は、原則として、あらかじめ本人の同意を得ないで、個人データを第三者に提供できません(法27条1項)。

もっとも、①法令に基づく場合、②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき、⓷公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき等は、例外的に本人の同意を得ないで、個人データを第三者に提供することができます(法27条1項各号)。

また、マンション管理組合が、利用目的の達成に必要な範囲内において個人データの取扱いを委託することに伴って個人データを提供する場合、個人データの提供を受ける者は「第三者」には該当せず(法27条5項1号)、本人の同意を得ないで個人データを提供することができます。

例えば、管理組合が管理会社に対して、利用目的の達成に必要な範囲内において、個人データの取扱いを委託する場合(法27条5項1号)、第三者提供に該当しないため、管理会社は、本人の同意がなくとも、個人データの提供を受けることができますが、管理組合には個人データの取扱いについて、管理会社を監督する義務(法25 条)があります(Q&A7-57・58)。

さらに、マンション管理組合は、個人データを第三者に提供した場合、原則として、個人データを提供した年月日、第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならず(法29条1項本文)、その記録を個人情報保護委員会規則で定める期間保存しなければなりません(法29条2項)。

なお、個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、原則として、①第三者の氏名又は名称・住所・法人の場合はその代表者の氏名、②第三者による個人データの取得の経緯の確認を行わなければなりません(法30条1項本文)。

保有個人データ

「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいいます(法16条4項)。

保有個人データに関する事項の公表等

マンション管理組合は、保有個人データに関し、以下の事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます。)に置かなければなりません(法32条1項)。

  1. 名称・住所・法人の場合はその代表者の氏名
  2. 全ての保有個人データの利用目的(法21条4項1号から3号までに該当する場合を除きます。)
  3. 利用目的の通知(法32条2項)、開示(法33条1項)、訂正・追加・削除(法34条1項)、利用の停止・消去(法35条1項)の請求に応じる手続(手数料の額を定めた(法38条2項)ときはその手数料の額を含みます。)
  4. 保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの

本人による開示等の請求等

利用目的の通知

マンション管理組合は、本人から、本人が識別される保有個人データの利用目的の通知を求められた場合、原則として、本人に対し、遅滞なく、通知しなければなりません(法32条2項本文)。

開示

マンション管理組合は、保有個人データの開示の請求を受けたときは、原則として、本人に対し、本人が請求した方法により、遅滞なく、保有個人データを開示しなければなりません(法33条2項)。

訂正等

マンション管理組合は、保有個人データの内容の訂正・追加・削除の請求を受けた場合、原則として、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、保有個人データの内容の訂正等を行わなければなりません(法34条2項)。

利用停止等

マンション管理組合は、保有個人データの利用の停止・削除の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければなりません(法35条2項本文)。