不動産管理会社必読！個人情報の正しい取り扱い方

申込書を書いてもらう時やお客様来店時などに「個人情報取り扱いに関する同意書」っていうのには会社のルールだからサインしてもらってるんだけど、実際のところは個人情報の取り扱いについてはそんなに詳しく知らない。

本当は社内研修とかで1回きちんと勉強した方がいいんだけど、ついつい後回しにしてしまってるなー。

個人情報の取り扱いについて、あなたの不動産会社ではどのような取り組みをされていますか？

不動産会社の従業員が某有名芸能人夫妻が物件を探して来店したことをSNS上に投稿し、大変な騒動になったことも記憶に新しく、個人情報の取り扱いに対する消費者の意識は高まっています。
不動産会社はお客様の氏名、住所、連絡先はもちろん、物件情報、成約情報など多様な情報を処理しなくてはなりませんので、個人情報の取り扱いには特に慎重にならなくてはなりません。

今回は不動産会社向けの個人情報の正しい取り扱い方をご紹介します。

個人情報保護法の基本

個人情報保護法が公布されたのは平成15年5月(2003年5月)です。その後平成17年4月1日(2005年4月)からは5,000件を超える個人情報を取り扱う民間企業や医療機関なども新たに適用対象となりました。
規制対象となる個人情報には、氏名・性別・生年月日・住所・電話番号・メールアドレス・勤務先・役職・年収・財産など、“生存する”個人に関するさまざまなもの（特定の個人を識別できる情報）が含まれます。

個人情報を取り扱う時に事業者には、

• 利用目的の特定・公表
• 適正管理、利用、第三者への提供
• 本人の権利と関与
• 本人の権利への対応
• 苦情の処理

の5つの義務が課せられます。
簡単にこれらの義務の内容について見ていきましょう。

利用目的の特定・公表

事業者は取得した情報の「利用目的を具体的に特定し公開する」ことが義務付けられています。
また、一度、同意を得て取得した個人情報の利用目的を大きく変更することはNGです。何らかの理由で大きく利用目的の変更が必要な場合は、「新しい利用目的」を明示して同意を再取得することが必要とされています。

適正管理、利用、第三者への提供

適正に管理を行うために、「個人情報の閲覧者の制限」や「アクセス権限の制限」「アクセスの監視」「取り扱い社員への教育」といった措置をを行うことが必要です。
また、第三者に取得した個人情報を提供するケースがある場合は、提供先の明示や提供についての同意を得る必要があります。

本人の権利と関与

事業者が保有している個人情報は、基本的に本人のものとされています。そのため、本人は個人情報についての訂正や開示など請求する権利があります。

本人の権利への対応

本人から事業者が保有している個人情報について開示や訂正・利用停止の請求があった場合は、これに応じるか、応じられない場合はその理由を説明することが求められます。

苦情の処理

個人情報の取り扱いに対して、本人からの苦情に対応する体制を確立させておくことが個人情報保護法で定められています。
問い合わせフォームなどを設置する、連絡先を明記するなどの対策が必要です。

つまり、個人情報をいずれかひとつでも企業などが取得する際には、その利用目的をできる限り特定して明示しなくてはなりません。また、事前に本人の同意を得ていない場合は第三者に公開してはいけません。
さらに、企業内部などでも個人情報保護のために必要かつ適切な措置を講じる義務があり、個人情報の漏洩などが生じないよう、管理体制の構築や従業員の監督、指導、教育なども行なわなければなりません。

不動産業界ならではの特殊事情

一般的な企業であれば、個人情報保護法への実務的な取り組みは、経済産業省によるガイドラインに沿って行なわれるケースが多いでしょう。

しかし、不動産業界においては国土交通省が定めた 「不動産業における個人情報保護法に関するガイドライン」、「不動産業における個人情報保護のあり方に関する研究会」がまとめた指針に基づいて対応することになっています。

なぜならば、通常民間企業に関しては取り扱う個人情報が5,000件に満たない場合は個人情報保護法の定める義務を負う企業には含まれません。つまり、一部大手の不動産会社を除く、大多数の中小事業者は個人情報保護法の対象外になるはずでした。

しかし、「物件情報も個人情報である」（売買物件、賃貸物件を問わず、成約データも含む）という判断がなされたために不動産業は特殊な扱いを受ける業種となってしまいました。

全国のほぼすべての不動産業者は、各都道府県の宅地建物取引業協会・全日本不動産協会・その他の業界団体などを通じて「レインズ」に加入していると思います。 「レインズ」上には当然ながら、5,000件を優に超える物件情報が登録されています。そのため、レインズが個人情報保護法で規定する「個人情報データベース等」に該当するも のと解釈されました。

よって、不動産業者は例えば、夫婦経営や個人で営業しているような零細企業も含め、「個人情報取扱事業者」として個人情報保護法の対象として果たす義務を負わなくてはならないのです。

具体的な個人情報の取り扱い方は？

個々の不動産業者として対応すべきこととしては、個人情報保護法に基づく最低限の対応として、個人情報保護方針（プライバシーポリシー）を記載した書面を事務所・店舗やモデルルームなどの、お客様から見やすいところへ掲示したり、会社のWEBサイト上に掲載する必要があります。

しかし、お客様カードや、買付証明書・重要事項説明書・売買契約書・媒介契約書・住宅ローンの申込書などに住所・氏名を書いていただく際、常に不動産業者の店舗や事務所など、同意を得たと確認出来る状況ばかりであるとは限りません。その都度「ホームページを見てください」と言っても大変ですから、「個人情報保護方針の通知の文書」などを作成し、お客様にお渡しすることも必要でしょう。

特に、個人情報の第三者への提供については特に注意が必要です。

不動産業は物件情報の広告など個人情報の第三者への提供が仕事の重要な内容であるという大きな特色をもつ業種だといえます。そのため、どの情報を、何の利用目的で、どの範囲まで提供するのかを明示することが大切です。

• 「当社の事業活動に用いるため個人情報を利用します」
• 「当社の提供するサービスの向上のため個人情報を利用します」

などのような曖昧な利用目的の記載はNGです。何のサービスに、どの情報を使うのかを限定して明示するよう留意しましょう。また、本人の求めに応じて第三者への提供を停止することが可能であることも明示しましょう。（オプトアウトの設置）

普段からの心がけや、漏えいを防ぐセキュリティ体制が大切

個人情報を万が一漏えいさせてしまった場合、6ヶ月以下の懲役または30万円以下の罰金」の刑事罰が課せられます。さらに、漏えいした個人情報の本人から、漏えいによる被害や、実被害が無くても、漏えいしたという事実による損害賠償民事訴訟のリスクが発生します。これらによって、大規模漏えい事件事故の場合は巨額（総額）の賠償金支払いに直面する可能性もあるのです。

不動産会社から個人情報が流出した際に考えられる被害には、顧客への被害とその損害賠償、企業イメージの低下などの「悪用されることによる被害」と、データ消失による業務不能、データ復元コストなどの「消失による被害」の二つが挙げられます。

実は、近年の個人情報流出事件では、外部からの不正アクセスによる情報漏えいは20％以下で、80％以上が従業員や業務委託先従業員といった内部の従業者による流出事故や漏えい事件であると言われています

情報漏えいを未然に防ぐためには以下のような対策が重要です。

• 個人情報を閲覧できる従業者を限定する。(IDやパスワードを設けるなど技術的対策も)
• メモ紙やファイルでの個人情報の持ち出し厳禁。
• 外部からの個人情報への不正アクセス防止策の導入（ウィルス対策ソフトやファイヤウォールの設置）
• ノートPC、スマートフォン、USBメモリなど、紛失・盗難の可能性の高い媒体での管理禁止
• データ消失時のための定期的なデータのバックアップやクラウド上での保管などの導入。
• 従業員への個人情報保護研修の実施。
• 個人情報漏えい時は当該本人に速やかに通知し、類似事件を防ぐため公表する。

このような対策を取り、リスクマネジメントに十分な配慮を行うことが重要です。

まとめ

前述のように、中小規模の事業者まで個人情報保護法の対象に含まれてしまうことも考慮すると、すべての不動産会社が実務をこなしながら、完璧な対策を設けるというのは困難な部分も多いと思います。

しかし、万が一情報漏えいを起こしてしまった際には、信用が大切な不動産業ですから、本当に取り返しがつかないほどの被害を受ける危険性もあるということを忘れてはいけません。業務用PCをチェーンで固定する、従業員間でマニュアルを共有するなど、普段の心がけが個人情報の漏えいを防ぐ大切な鍵になるでしょう。

何気なく記入してもらったお客様の個人情報。そこには危険が潜んでいるということを忘れず、日々の業務をこなしていきましょう。

この記事は「クラウド賃貸管理ソフトReDocS（リドックス）」が運営しています。
私たちは、「不動産管理ソフトを活用することで解決できる課題」だけでなく「不動産管理に関わる全ての悩み」を対象として様々なことをお伝えしていきます。