マンション管理組合では居住者などの個人情報の取扱の場面が多いけど、個人情報保護法の勘違いとか認識の誤りが結構あるって聞いたので、これについてホニ先生に聞いてみようと思います。

わかりました。個人情報保護法ってわかっているようで知らなかった、保護するのは当然と思いながら抜けていた、などという事が結構あるように思います。個人情報やその保護というのが身近な事柄だけに、逆に思い込みで進めてしまっている事があるのかもしれません。

なるほど、それじゃあ最初の疑問なんだけど、マンション管理組合は個人情報保護法の規制対象になるのかしら？これって会社とか、顧客情報を扱うような所だけじゃないの？

個人情報保護法は国や地方公共団体の他、個人情報データベース等を事業の用に供している者（「個人情報取扱事業者」と言います）を対象にしていますが、ここで「事業の用」には非営利の活動も含まれるとされています。ですから例えば自治会、カラオケ同好会など非営利、プライベートなものも対象となります。マンション管理組合も同じように該当することになります。

管理組合は居住者の個人情報やマンション内に出入りしている業者の氏名とかも保存管理していて、法律の対象となるなら利用目的の通知が義務付けられるけど、自分の所では「マンション管理のため」って明示しているから、法律に準拠した対応はできているよね。

いえ、通知の仕方として「マンション管理のため」は不十分だと考えます。
個人情報保護法を所管する個人情報保護委員会は、利用目的は具体的でなければならないとしています。「管理組合の規約によりあらかじめ規定された業務の遂行のため」程度の具体性が必要であり、この場合では管理業務の内容は具体的に規約に定義されていることが求められます。

そんなことを言っても、マンション管理って結構広範な業務があるから、あらかじめ提示したこと以外で、後からこういう利用もしたいっていうのが出てくると思うんだけどなあ。

法律の規定上、本人が認識していない目的と異なるような利用は目的外利用に該当する可能性があり、そうなれば違法行為になります。
例えば、理事会が居住者の交流目的のイベント開催のアンケートで個人情報を取得するなどマンション管理とは異なる新たな目的で個人情報の利用をしようとする場合、そのアンケート用紙等には、イベント開催のアンケートの利用という目的を明記すること、アンケートの目的外での利用はしないこと、目的を達した場合には破棄することを示すべきです。このように、予め定義していないものの利用は、個別具体的に利用目的を提示する必要があります。

でも、細かい利用目的をいちいちあげつらったりって面倒だし、使いたい時に使えないっていう事があると、それはどうなんだろうって思うんだけど。

提示する利用目的には具体性が求められていますが、「このような利用法はこの利用目的から当然だろう」と言えるようなものは提示がなくとも目的の範囲内での利用に該当します。例えば、商品を発送するために顧客が知らない宅配業者に個人情報を渡す行為、犯罪行為の確認のため防犯カメラが撮影した個人を確認することなどです。一般的な認識あるいは常識として「このような利用法はこの利用目的から当然」と言えるかどうか、それによって判断してみてください。

ところでさ、以前は居住者だったけど引っ越して今はいない人とか、保管している個人の情報は後から利用することもあると考えて残しているけど、これって良かったんだっけ。

保管し利用し続けることを本人は知っているか、保管利用が提示した利用目的の範囲内にあるのか、そうでなければ何となく利用する可能性があるというだけで保管し続けるのは間違っています。旧居住者の退去後、管理費納付に関する問い合わせなど、居住者でなくなった者との連絡が必要なことはありますが、それなら転居先住所など新たな個人情報の取得になり、過去のものは削除または更新という手続きがとられますよね。

法は提示した利用目的を果たした個人情報は原則破棄することを求めています。各団体が提示する個人情報保護方針でも、多くは安全管理措置として明記していますね。保管を継続したいのであれば、どのような利用目的で保管するのかを明確にし、本人に提示する必要があります。皆さんも例えば、利用していたサービスを解約したのに、そのサービス会社が自分の情報を削除せず、何の説明もなく後日DMを送ってこられては迷惑にしか感じないのではないでしょうか。

管理組合は居住者の情報以外にも、マンションに出入りしている業者さんの名刺情報とかも管理しているけど、こういう公的な感じの情報は個人情報には該当しないでいいのかな。

会社の名刺のようなプライベートな情報とは言えなさそうなものであっても、個人情報保護法では個人を特定できる情報であれば「個人情報」としてその取扱を規定しています。従って、会社の名刺情報が個人を特定できれば個人情報となり、会社名と部署名、メールアドレス、携帯番号、氏名は、それらの組合せ等で個人情報に該当し得ます。メールアドレスでは氏名と会社名が組み合わさったものを会社のメールアドレスとして用意される場合がありますが、この場合はメールアドレス単独でも個人情報と考えて取り扱う必要があります。

先日管理組合で居住者名簿を作成して各戸に配ったんだけど、管理組合理事の一人から、このような利用は大丈夫だったのかって疑問を言われたんだけど、どうなんだろう。

次の２つの点を検討するべきです。
まず、管理組合として居住者の情報を集めている場合、組合員でない者は明らかに「第三者」です。個人情報の第三者提供は厳しく制限がされています。組合員に該当しない、区分所有者ではない者、賃貸で入居されている家にも配っていれば、これは第三者提供に該当してしまいます。次に、名簿情報を収集する際に、各人の個人情報を他居住者に開示するという目的を提示していたでしょうか。そうでなければこれは目的外利用に該当してしまいます。
なお、法律を所管する個人情報保護委員会は、マンションの居住者への名簿の配布は第三者提供に該当するとしています。従って名簿作成のために居住者情報を集める時には、各個人の情報を他の居住者に公開しても良いかどうかの同意を取った上で、同意のあった人たちの間にだけ配布するといったような措置が必要でした。

そうなんだ。名簿は、名簿の情報だけに限らないんだけど、マンションの居住者で作られている自治会とも、自治会側からの要請で共有しているんだけど、これは大丈夫かな

個人情報保護委員会は、他団体との個人情報の共有や他団体への譲渡を「第三者提供」として原則禁止としていますが、その「他団体」の範囲はかなり広くて、例えば同じグループ内の親子会社間の顧客情報のやり取りでも「第三者提供」に該当するとしています。子会社はいつでも親会社から切り離し得て、無関係の他社になり得るからだそうです。自治会と管理組合間も「第三者提供」になります。区分所有者でなくても自治会員になることができるし、自治会役員にも、自治会長にもなれることを考えると理解できるでしょう。

そうなんだ。それじゃ最後に、個人情報保護法に違反したからといって罪に問われることはないよね

そのようなことはありません。法律にはしっかりと罰則規定が設けられており、違反者には1年以下の拘禁刑または50万円以下の罰金、違反団体には一億円以下の罰金が科せられる可能性があります。管理組合の場合法人化されていなければ管理組合は全て理事長の名前で責任が科せられてしまうことになるので、理事長に対して一億円の違反金の支払いが科せられてしまう可能性があります。また、これとは別に、個人情報取扱義務違反という不法行為に基づく賠償請求、プライバシの侵害に基づく賠償請求なども考えられます。罰則があるなしに関わらず、個人情報の取り扱いが粗雑だったことで、本人の知らないところで何か良くないことに利用されてしまったり、不正な行為ではなくても本人に不利益になるような事が起こってしまうとも限らないので、そうしたことを事前に防止するという法律の意図を汲んで、適切に利用、管理するようにしましょう。