覚えておきたい個人情報取得方法の基本的ルール
目次
個人情報を取り扱う事業者である「個人情報取扱事業者」は、個人情報の取得方法についてもルールを守らなければなりません。今回は、個人情報取扱事業者が守るべき重要事項のうちの一つである適正な個人情報取得方法についての基本的な内容と、法に基づいて注意が必要な点を解説します。
個人情報の適正な取得等
個人情報を含む情報がインターネット等により公にされている場合、その情報を閲覧するだけの場合には「個人情報を取得」したことにはなりません。 しかし、閲覧した個人情報を転記の上、データベース化するようなケースは、「個人情報を取得」したことになります。この「取得」に関する認識の違いでルール違反になってしまっているケースも少なくありません。
個人情報保護法は、第20条(適正な取得)において、個人情報について「偽りその他不正の手段」による取得を禁止しています。騙したり、偽ったり、必要にもかかわらず同意を得ていない情報を取得することなく、ルールに沿った適正な取得になるよう考えて行動しなくてはなりません。まずは、取得を含めた個人情報の取り扱いについて、具体的なルールを見ていきましょう。
取得・利用に関するルール
個人情報保護法第21条に定められているとおり、取得の状況により利用目的が明らかである場合は、例外として利用目的の明示は必要ありませんが、取得前にあらかじめ、その利用目的を本人に通知、又は公表することがルールとなっています。例えば、ホームページ上の入力画面など、本人が記入して、直接その本人から個人情報を取得する場合、入力の際に利用目的を閲覧することができるようにして利用目的を明らかにします。アンケート用紙などの書面に個人情報を記入してもらう場合には、そのアンケート用紙に利用目的を印刷しておくなどし、明示しておくことが必要です。
また、利用目的の特定ができている場合に限り、個人情報を取得した後でも、その利用目的を本人へ通知又は公表することで、この規定に沿った対応とすることができます。
保管に関するルール
保管・管理に関するルールは同法第22条に定められており、利用目的を遂げるのに要する範囲に限って、取得した個人情報のデータを正確かつ最新の内容となるように保持し、不要となったら遅滞なく消去することが求められています。
また、同法第23条~26条の規定の通り、取得したデータの漏えいや紛失などが起きないように、しっかりと安全管理対策を行わなければなりません。この安全対策としては、物理的安全管理と人的安全管理の両輪で措置を講ずる必要があります。
提供に関するルール
提供に関するルールは同法第27条~31条に規定があり、取得した個人データを自己以外の者が利用可能な状態にする、つまり第三者に提供する場合には、原則として提供前に本人の同意をとらなければなりません。ここで、第三者提供とみなされる事例には、グループ会社の間で個人データをやり取りする場合も含まれるため、注意が必要です。
本人からの開示請求等に関するルール
開示請求等への対応に関するルールは、同法第33条~39条に定められ、本人から保有している個人データに関する請求を受けた場合、その求めに応じて保有データの開示や訂正、利用停止などを遅滞なく行わなければなりません。開示の方法については様々ありますが、電磁的記録をCD-ROM等の媒体に保存して、当該媒体を郵送する方法や、本人から電子データではなく、印刷した書類の形で情報を提供するように求められたら、その通りに対応することが必要です。
その他GDPR等への対応
個人情報の保護については、GDPR等、他国・他地域の法令への対応も必要です。GDPRとは、General Data Protection Regulationの略語で、「EU一般データ保護規則」のことです。日本の個人情報保護法よりも厳しい規制であり、EUに所属する国や地域すべてに適用されています。
日本はEUに属していませんが、もし自社の顧客にEU居住者が含まれていたら、GDPRへの対応が必要になるため、日本企業の多くがGDPRに対応すべき企業に含まれていると考えられます。
取得時における利用目的の「通知又は公表」
個人情報保護法第21条(取得に際しての利用目的の通知等)において、「個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。」と定められています。
「通知又は公表」を行う必要がある
「本人に通知」とは、本人に直接知らしめることであり、口頭又は電子メール、FAX等により送信し、又は文書を郵便等で送付することにより知らせることを言います。
「公表」とは、広く一般に自己の意思を知らせることで、自社のホームページのトップページから1回程度の操作で到達できる場所への掲載やポスター等の掲示、パンフレット等の備置き・配布等がこれにあたります。
例外的に通知又は公表が不要な場合
名刺交換をする場合に、その利用目的が今後の連絡のためであるという場合や、商品やサービスを提供するために、住所・電話番号等の個人情報を取得するケースは、その利用目的が明らかな状況と言えます。このような場合は、例外的に通知又は公表が不要と考えられます。
また、利用目的を公開すると、個人情報取扱事業者の新商品の開発内容や、ノウハウ等の企業秘密にかかわるものが明らかになってしまう場合等、個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合も、通知又は公表は不要とみなされます。
利用目的の変更
個人情報の取得には、予め利用目的を特定する必要がありますが、取得後に利用目的を変更する場合、その変更可能な範囲については、変更後の利用目的が変更前の目的と関連していると合理的に認められる範囲内に限ります。もちろん利用目的を変更した場合も、変更された目的を本人へ通知又は公表する必要があります。利用目的の変更が認められないような場合には、あらためて新目的について本人の同意を得なければなりません。
「要配慮個人情報」の取得について
個人情報保護法第2条第3項において、「要配慮個人情報」とは「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」と定義されています。
通常の個人情報については、偽りその他不正の手段により取得する場合を除き、「取得そのもの」についての本人の同意は必要とされていません。しかし、要配慮個人情報については、同法第20条第2項において、個人情報取扱事業者は、法令に基づく場合等一定の例外を除き、あらかじめ本人の同意を得ないで取得してはならないと定められています。
その他個人情報を取得する際に注意すべき点
個人情報取扱事業者が名簿業者から個人の名簿を購入すること自体は、禁止されていません。しかし、名簿の購入の際に、相手方が個人データを取得した経緯などを確認・記録する必要があります。
名簿業者は、個人情報保護法第27条第2項に基づくオプトアウト規定(第三者提供の原則である「オプトイン」方式ではなく、「オプトアウト」方式を用いるためにクリアしなければならない規定)による個人データの第三者提供の届出(「オプトアウト届出」)が必要であるため、個人情報取扱事業者は、個人情報保護委員会のWebサイト上で、名簿業者が届出を出しているかどうか確認する必要があります。
確認したい場合は、下記のサイトを参考にしてください。
(個人情報保護委員会:オプトアウト規定による第三者提供の届出)
https://www.ppc.go.jp/personalinfo/legal/optout/
まとめ
今回は、個人情報の取得方法について解説しました。個人情報を取得する際には、あらかじめ利用目的を公表しておき、どういう経緯で取得したものか、偽りや不正な手段により取得したものでないかを確認することが必要です。法令の理解不足や認識の誤りによって違法な取得となってしまわないように、十分な注意を払いましょう。「このような場合はどうなるのか?」といった個別の疑問点がありましたら、ぜひお気軽にご相談ください。
弁護士法人ファースト&タンデムスプリント法律事務所は、EC・通販法務には特に高い知見と経験を有しています。
「助ネコ」の株式会社アクアリーフ様、「CROSS MALL」の株式会社アイル様など、著名なECシステム企業が多数、当法律事務所の顧問契約サービスを利用されています。
企業の皆様は、ビジネスのリスクは何なのか、リスクが発生する可能性はどれくらいあるのか、リスクを無くしたり減らしたりする方法はないのか、結局会社としてどうすれば良いのか、どの方法が一番オススメなのか、そこまで踏み込んだアドバイスを、弁護士に求めています。当法律事務所は、できない理由を探すのではなく、できる方法を考えます。クライアントのビジネスを加速させるために、知恵を絞り、責任をもってアドバイスをします。多数のEC企業様が、サービス設計や利用規約・契約書レビューなどにあたり当事務所を活用されていますので、いつでもご相談ください。
執筆者:弁護士小野智博
弁護士法人ファースト&タンデムスプリント法律事務所
※本稿の記載内容は、2023年2月現在の法令・情報等に基づいています。
本稿は一般的な情報提供であり、法的助言ではありません。正確な情報を掲載するよう努めておりますが、内容について保証するものではありません。