JQS

クイズ大会開催における個人情報管理の「参考例」

はじめに

管理方針 「方針3補足1:各大会は各大会の責任で個人情報管理をしていただきます。」で示したように、「中小規模事業主」として「クイズ大会」を開催される団体様における「個人情報管理」は、「各大会の責任」で行っていただきます。

以下は現状のクイズ大会運営の実情を踏まえ、クイズ大会における個人情報管理の「参考例」を示しますが、あくまで例あり、これに従えば個人情報保護法を必ずクリアできるわけではありません。各大会で「適切な管理」をお願いしたいと思います。

クイズ大会開催における個人情報の扱い例

個人情報保護委員会作成の、中小規模事業主向けの資料も参考にしてください。

個人情報を取得する

「何に使うか目的を決めて、本人に伝える」ことが原則になります。これを踏まえ、以下が推奨事項となります。

Webでの事前エントリーの際には、プライバシーポリシーを明示し、各大会開催時のプライバシーポリシー雛形に用意したプライバシーポリシー例を参考に、個人情報の使用目的等を明示する。

→文面は各大会の責任で変更していただいてかまいませんが、一心精進に「クイズ大会」として申請し、結果を報告される意思がある大会の方は、必ず「『新・一心精進』への報告及び『新・一心精進」での結果掲載」の許可の部分は削除せず、残してください。

プライバシーポリシーは、「エントリーフォーム」に埋め込むのが理想。難しければ、エントリーフォームからワンクリックで行けるリンク先に記述するようにし、「エントリーした人が必ず目にしている」状態とする。

フォーム内への埋め込みを解説した外部サイトの例

「上記プライバシーポリシーの扱いに同意する」ことについてクリックできる場所(チェックボックス等)を必ず用意し、エントリーフォームでクリックしないとエントリーできないようにする。
Webで事前エントリーを行わず当日エントリーを受け付ける場合、プライバシーポリシーを印刷して用意し、当日参加者の目に入るように掲示。当日の受付名簿などに「確認した」というチェックをご本人に入れていただく。

→そのチェックを入れた資料は、その個人情報を持ち続ける限りは、電子媒体でもよいので保存しておく。

事前に提示した目的以外に使わない

取得した個人情報はプライバシーポリシーで明示した目的以外に使わないことが大前提となります。

何か使う予定のある方は、必ずプライバシーポリシーで明示する

取得した個人情報は安全に管理する。

取得した個人情報は、しっかり管理することが求められます。これを踏まえ、クイズ大会の運営については、以下が推奨事項となります。

個人情報にアクセスできる人を限定する。「大会公式の問い合わせアドレス」「エントリーリスト」「アンケート」等へのアクセスは、必要最低限の人員を選出する。

→個人情報にアクセスできる人を誰に決めたかをプライバシーポリシー等に明記までする必要はありませんが、信頼度アップのために大会サイトに明記してもよいでしょう。

個人情報を扱う人のPCは、ウィルス対策等を行う。
個人情報が入ったExcel等は、パスワードを設定する。

Excelでのパスワードのかけ方(例)

アクセス制限の管理はしっかり行う

→複数回継続して開催する大会の場合、個人情報へのアクセスパスワードを変える。

→サイボウズLive等を使うのであれば、個人情報を扱う人のグループは別途もう一つ作るなど、大会スタッフ全体の中でも個人情報を扱う人だけがアクセスする場を作る。

パスワードを教える通信手段と、Excelファイルを渡すときの通信手段は変える。

→例:パスワードはメールでやり取りし、ファイルはサイボウズLiveなどのSNSだけでやり取りをするなど。

個人情報が入ったファイルを、外部の無料ストレージやSNS(dropboxやサイボウズLive等)を使いメンバーで共有する場合や、gmailなどのフリーメールに転送する場合、ファイルにパスワードをかける。また、アクセス者を限定する。
スタッフ内のやり取りを行う際(例:ネームプレート作成時に、作成担当に一覧を送るなど)、「個人情報の入ったExcelファイル等を、パスワード有で外部の無料ストレージやSNSに保存したり、gmail宛てに送付する行為」等が、「中小規模事業主」の場合法律的に許されるかについて個人情報保護委員会に問い合わせましたが、明確に可否の回答を得られませんでした。実務上、フリーメールや無料ストレージを一切用いない運営は難しいことを踏まえこのような暫定を記述させて頂きましたが、今後個人情報保護委員会への問い合わせ結果などによっては、この暫定記述は後日変更になる可能性があることをご了承下さい。
エントリーを収集する時に無料Webフォームを用いる場合はSSL対応のものを用いるほうが望ましい(必須ではない)
「エントリースクリプトの送付先メールアドレスをgmailにすること」「エントリースクリプトをSSL対応でないものを用いること」等が、「中小規模事業主」の場合法律的に許されるかについて個人情報保護委員会に問い合わせましたが、明確に可否の回答を得られませんでした。実務上、フリーメールや安価なレンタルWebフォーム(SSL未対応)を一切用いない運営は難しいことを踏まえ、用いるWebフォームの規定をあえて必須としませんでしたが、今後NGとされる恐れもあります。よって、この暫定記述は後日変更になる可能性があることをご了承下さい。
スクリプトを自主開発しエントリーリストをWeb上で管理する場合、SSL等を用いた通信の暗号化を行うのが理想。また、管理先へのアクセスパスワードは必ず設定し、バグで個人情報が流出することが無いようテストを実施する。

→よりセキュリティに配慮する場合、外部発行のSSL/TLS証明書の取得などを行うことが好ましい。
参考:Let's Encrypt(無料のSSL/TLS証明書)
Let's Encryptについての解説

スタッフメンバーに対し、個人情報の扱いについて簡単な教育を実施する

→個人情報を扱うスタッフはもちろんのこと、扱わないスタッフも基本的なことは理解してもらうのが望ましいです。スタッフ全員に、本サイトのリンクを伝えてご一読頂く、というので良いと思います。

大会後不要になった個人情報は、プライバシーポリシーに従った形で破棄する。

個人情報を他人に渡す際は、本人の同意を得る。

一心精進に「クイズ大会」として申請し、後日大会結果を報告される意思がある大会の方は、必ずプライバシーポリシーに「一心精進に結果を報告すること」の許可をご記入ください。

ただし、以下は例外とされるそうです。

本人からの「個人情報の開示請求」には応じる。

個人情報について本人から開示や訂正等を請求されたら、必ず対応する。
個人情報の利用目的を問われた場合に、しっかりと答えられるようにしておく。