Legal X Design

大阪で働く法務パーソンのはなし

もらった名刺は誰のもの?

X CORPORATE MATTERS

f:id:itotanu:20211219112413p:plain

今日は、あまり真面目に考えたくない話です。でも、みなさんどうしているのか聞きたい話題でもあります。それは、名刺にまつわる個人情報のこと。

仕事で交換した名刺は個人のものか会社のものか

すっかり機会が減ったとはいえ、社外の人と会えば名刺交換は健在です。毎週のようにお目にかかる方も、二度と会うことのない方も、名刺は溜まっていくばかり。社歴が長くなると、お相手も社名が変わったり昇進されたりして新しい名刺をもらうこともままあります。

さて、このいただく名刺は、「私」のものなのでしょうか。それとも、私が会社の手足として受け取ったに過ぎず、「会社」のものなのでしょうか。名刺交換の目的(通常は、業務上の連絡や自社プロダクトの案内)を考えれば、「会社」に帰属すると考えるのが自然に思われます。
実際、お取引先から取得する個人情報の利用目的をプライバシーポリシーで特定する企業も珍しくありません*1し、個人情報保護委員会のQAでも以下のように述べられています。

f:id:itotanu:20211219001215p:plain

https://www.ppc.go.jp/files/pdf/2109_APPI_QA_4ejj3t.pdf

退職時には名刺を没収すべきか

仕事で交換した名刺やそこに含まれる個人情報は会社に帰属すると整理すれば、退職時には名刺を会社に置いていく(か指示に従い処分する)よう求めるのが筋です。とはいえ、実際にはどれくらい徹底されているでしょう…

コネがものをいう職種(コンサルティングやロケーション開発など)だと名刺を持っていきたい人もいそうです。持ち出している人は絶対いると思う。それに士業だと、移籍したり独立されたりすると、新事務所のお知らせが届くことはよくあります。頻繁にやりとりしていなかった方だと、身に覚えがないと思ってしまうことも…

会社としては、取引先からクレームが来るのも怖いので、「名刺は置いていけ」というのが原則でしょうか。例外は、「新しいところに行っても連絡していいよ」と言われた方=会社のつながりから個人のつながりにスイッチした方のみ。
ただし、徹底できるかは別問題で、抵抗する人やこっそり持ち出す人は後を絶たなそうです。

名刺を企業別に整理した名刺ファイルは個人情報データベース等か

名刺はそれ単体では個人情報にすぎないので、もらった順に重ねておくだけであれば、正確性を確保したり、安全管理措置を講じたりといった個人データに適用される義務を負うことはありません。

しかし実際には、紙でもらった名刺は、何らか整理してファイリングしていることが多いはずです。でないと、連絡をとりたいときに取り出せません。そうすると、名刺ファイルは個人情報データベース等にあたり、ファイリングされた名刺は個人データになるのでしょうか。

有体物である名刺ファイルが個人情報データベース等に当たるかは、それが「個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するもの」(個人情報保護法施行令3条2項)であるかで決まります。

ファイリングの作法は色々ありますが、一般的には、企業名で五十音又はアルファベット順に並べ、ある企業の塊の中では日付順や役職順に並べる人が多いと思います。
果たしてこの並べ方は、「特定の個人情報を容易に検索することができるように体系的に構成」され、「目次、索引その他検索を容易にするためのものを有する」のか。

結論としては、個人情報データベース等にあたるとするのがいいのだろうと思っています。企業名のみであっても一定の秩序で並べると検索性は格段に上がりますし*2、名刺ファイルにインデックスをつける人もいますし(そもそもついている名刺ケースも)。

ということは、名刺は会社(=個人情報取扱事業者)の個人データだから、正確性を保つように努め、安全管理措置や従業者の監督も必要になるという帰結に。
個人情報保護法関連のセミナーに行くと、自社で取り扱っている個人情報・個人データの洗い出しが大切とほぼ必ず言われますが、「名刺と契約書は個人情報台帳に載せなくてOK」という助言?もよく聞きます。どういう趣旨なんでしょう。。

名刺管理ツールの利用を正面から認めるべきか

ここまででも十分モヤモヤするのですが、ここ数年頭を悩ませるのが名刺管理ツールです。

そもそもは、営業部門の社員が大量の名刺の扱いに苦慮し、私用スマホでツールを利用するようになりました。数年前の時点で、営業部門の社員には欠かせないツールになっていたようです。
そこにきてコロナ禍では、物理的に名刺交換できなくなり、私たちのような管理部門系の社員でさえ、ウェブ会議のバーチャル背景に自分の名刺情報のQRコードを貼ったり、メールの署名にURLを載せたりするようになっています。

冒頭で見たように、業務上受領する名刺は、会社に帰属すると考えるのが自然なので、会社が認めていない非公式の管理ツールに他人の個人情報を登録するのは不適切でしょう。
しかし、そんなことを言っては仕事は回らないらしく(本当でしょうか…)、事実上の黙認状態。これでは、真面目にやっている人たちが気の毒です。
来る法改正では、保有個人データの保管先であるクラウド事業者やそのサーバの所在国、それらが外国の場合は当該国の個人情報保護制度を把握しなければなりません。

ということは、使ってよい名刺管理ツールは会社で早急に指定すべきということになりますね。「名刺に含まれる個人情報は、会社に帰属しない」と整理できれば簡単なんですが…

*1:ガイドラインでは、「一般の慣行として名刺を交換する場合(略)その利用目的が今後の連絡や、所属する会社の広告宣伝のため冊子や電子メールを送付するという利用目的であるような場合」は取得の状況からみて利用目的が明らかなので、利用目的の通知等は不要とされていますが(ガイドライン(通則編)p.50)。

*2:同一企業の大勢の社員と名刺交換していれば、検索性としては不十分かもしれませんが。