顧客の家族から、本人がいつ来店したか問い合わせがあったのですが、答えてよいのでしょうか？

結論

　本人の同意がない限り答えてはいけません。

家族の位置付け

　個人情報保護法27条1項は、一定の場合を除いて、あらかじめ本人の同意なく「個人データ」を第三者に提供することを禁止しています。

　また、意図せずに「個人データ」が第三者の目に触れることを「漏えい」として扱っています。

　「第三者」とは、本人と個人情報取扱事業者以外の者をいうので、配偶者や親子などの家族であっても「第三者」に変わりありません。

　したがって、本人の同意なく本人の家族に「個人データ」を伝えた場合には、同意なき第三者提供又は漏えい事案として扱われ、行政処分や、場合によっては刑罰の対象となります。

　また、当該情報提供により本人に損害が生じた場合には、その賠償責任も問われます。

来店情報は個人情報か

　よくある勘違いとして、来店情報などの、それだけでは個人を識別できない情報は個人情報に当たらないというものがありますが、これは間違いです。

　名前や住所はもちろんのこと、いつ来店したか、何を買ったか、どんなサービスを受けたかなど、いかなる情報も個人情報にあたります。

　「その顧客の情報があること」も個人情報です。

　名前や住所など、一般に個人情報と認識されている情報以外の情報であっても、第三者に情報開示をする前に本人に必ず確認をとりましょう。※

　ただし、人の生命、身体、財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときなど、個人情報保護法27条には一定の例外が規定されています。

　なお、本人の同意を得た上で個人データを第三者に提供する場合には、記録の作成保存義務が課されますが（個人情報保護法29条）、本人の同意の上で家族に情報提供する場合には、本人に対する開示と同視され、記録の作成義務の対象とはなりません。

補足（※）

　正確にいうと、「個人データ」に当たらない個人情報は、外部に漏れても漏えいや同意なき第三者提供とはなりません。

　「個人データ」とは、「個人情報データベース等」を構成する個人情報をいいます。

　「個人情報データベース等」については個人情報保護法16条1項と個人情報保護法施行令4条2項で定義されているのですが、例えば、顧客の情報を顧客名簿として整理している場合には、顧客名簿は「個人情報データベース等」に該当する可能性が高いです。

　その顧客名簿が「個人情報データベース等」に該当すると評価される場合、そこに記載された顧客に関する情報は「個人データ」にあたります。

　仮に来店情報が顧客名簿に記載されていなければ、その来店情報は「個人データ」には該当しないので、本人の同意なく家族に情報提供しても違法とはなりません。

　しかし、そもそも家族の行動を本人ではなく店に聞いてくるということ自体、家族間の不和を推認させる事情ですので、無用なトラブルに巻き込まれないためにも、「個人データ」に該当しないからといって安易に「個人情報」を第三者に伝えないような運用を基本とし、従業員にも徹底すべきです。

　そうすることで、窓口の担当者が誤って「個人データ」を第三者に伝えてしまうなどのミスも極力減らすことができますし、運用方針が明確になることによって従業員も自信を持って対応することができるようになります。