ECサイト運営者に必要な個人情報取り扱いの基本的ルールについて解説!
目次
個人情報保護法の措置命令違反の罰則は「1年以下の懲役又は100万円以下の罰金」となり、個人情報漏洩は事業者にとって社会的信用を失う大問題です。日本ネットワークセキュリティ協会による2017年の個人情報漏えいインシデントの分析結果によると、漏えいの原因のなかで最も多かったのは誤操作で、次いで紛失・置忘れ、不正アクセス、管理ミスと続いており、これらを防ぐ対応が不可欠となっています。そこで、ECサイト運営者に必要な個人情報取り扱いの基本的ルールについて、注意が必要な点を解説します。
個人情報保護法とは
個人情報とは、個人情報保護法第2条において、次のように定義されています。
「この法律において『個人情報』とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」これは、政令・規則で定められた「個人識別符号」が含まれる情報や、メールアドレスについてもユーザー名やドメイン名から特定の個人を識別することができる場合は、それ自体が単体で、個人情報に該当します。
個人情報保護法とは、その情報によって、ある個人を他の個人と区別できる「個人情報」を、個人本人が意図しない形で第三者から侵害されることから保護する目的で制定されているものです。
個人情報取扱事業者とは
「個人情報取扱事業者」とは、個人情報保護法第16条第2項において、個人情報データベースなどを事業の用に供している者のうち、国の機関、地方公共団体、一定の独立行政法人等及び地方独立行政法人を除いた者をいうと定められています。
ここでいう「事業」は、営利・非営利の別を問わず、また、法人格のない団体や個人であっても、個人情報データベース等を事業の用に供している場合には個人情報取扱事業者に該当します。
個人情報保護法の基本的なルール(概要)
個人情報取扱事業者に該当する場合、どのようなルールが適用されるのか、その概要を見て行きましょう。
利用について
個人情報については、利用目的を具体的に特定し、その利用目的の範囲内でしか使用することができません。利用目的の特定に当たっては、「サービスの向上」等のような抽象的で一般的な内容ではなく、「購買履歴等の情報を分析して趣味・嗜好に応じた商品の提案に繋げるため」など具体性が求められます。
取得方法について
個人情報を取得する場合には、あらかじめ利用目的を公表していることが望ましいです。公表していない場合には、取得後速やかに、その利用目的を本人に通知するか又は公表しなければなりません。つまり、個人情報について、その利用目的を本人が知ることができる状態にしておくことが大切です。
また、本人を欺く等不正の手段により個人情報を取得してはいけません。
第三者(他の人や会社への)提供について
原則として、個人情報保護法第27条第1項にあるように、あらかじめ本人の同意を得なければ、第三者に個人データ(個人情報データベース等を構成する個人情報)を提供してはいけません。
また、個人情報取扱事業者が第三者から個人データの提供を受ける場合には、当該第三者が当該個人データを取得した経緯等を確認する義務が課されています。
取得後の管理について
個人情報を取得した後の管理においては、正確かつ最新の内容に保つように努め、個人情報を扱う従業員や委託先に対して監督を行うことを含む、必要な安全管理措置を講じることが必要となります。
本人に向けた対応について
基本的には下記4点の対応をする体制を整えておく必要があります。
- 保有する個人データの開示
- 内容が事実でないときの訂正等
- 目的外利用や適正に取得・利用されていない場合の利用停止等
- 苦情を適切かつ迅速に処理すること及びその体制の整備に努めること
利用目的についての義務(ルール)について
利用目的についての義務のうち重要なものは、下記3点です。
- 個人情報保護法第17条第1項:個人情報を取り扱うにあたっては、その利用目的をできる限り特定しなければならない(利用目的の特定)
- 個人情報保護法第18条第1項:本人の同意を得ることなしに、利用目的のために必要な範囲を超えて個人情報を取り扱ってはならない(利用目的による制限)
- 個人情報保護法第32条第1項第2号:保有している個人データについて、その利用目的等を本人が知ることができる状態にしておくこと(保有個人データに関する事項の公表等)
つまり、具体的に利用目的を特定・公表して、目的の範囲内でのみ利用可能ということです。
利用目的による制限について
例えば「趣味・嗜好に合う商品の提案」という利用目的を通知または公表の上で、個人情報を取得した場合、あらかじめ本人の同意を得ることなく、他の事業のためにその個人情報を利用することは許されません。
ただし、本人の同意を得ることができない場合に、その個人情報をおよそ他の事業で利用することができないわけではありません。事業拡大し、別の目的で個人情報を利用したい場合には利用目的を変更して、利用目的の範囲外だったものを利用目的の範囲内に収めることで本人の同意を不要とすることができます。
利用目的を変更しても良い場合
個人情報の利用目的の変更は無条件に認められるものではありません。個人情報保護法第17条第2項により、利用目的の変更は、変更前の利用目的と関連性を有すると合理的に認められる範囲に限り認められます。そして、この範囲内の変更であれば、「本人の同意」までは必要なく、変更された利用目的を「通知又は公表」すれば、変更された利用目的のために個人情報を利用することができます。
本人の同意も、利用目的の変更も不要の場合
例外的ではありますが、個人情報保護法第18条第3項により、下記6つにあたる場合は、本人の同意や利用目的の変更をすることなく、利用目的の範囲外で個人情報を利用することが可能です。
- 法令に基づく場合
- 人の生命、身体又は財産の保護のために必要で、本人の同意を得ることが困難であるとき
- 公衆衛生の向上又は児童の健やかな育成の推進のために特に必要で、本人の同意を得ることが困難であるとき
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して関係事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
- 当該個人情報取扱事業者が学術研究機関である場合であって、当該個人情報を学術研究の用に供する目的で取り扱う必要があるとき
- 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき
保有個人データに関する事項の公表等について
本人が知ろうとすれば、簡単に知ることができる状態に置いていることが必要とされており、下記5点について「本人の知り得る状態」に置かなくてはならないとされています。
- 個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
- すべての保有する個人データの利用目的
- 利用目的の通知、開示・訂正等に応じる手続き等
- 保有個人データの安全管理のために講じた措置
- 保有個人データの取り扱いに関する苦情の申出先
改正個人情報保護法対応チェックポイント
個人情報保護法については改正や例外など、確認しておくべき点が多くありますので、
詳しく解説しているガイドラインなども参考にすることをおすすめします。
参考:個人情報保護委員会ガイドラインのチェックポイント
https://www.ppc.go.jp/news/kaiseihogohou_checkpoint/
まとめ
個人情報保護法は、個人の権利や利益を守ることと、企業が個人データ利活用を両立させるための法律です。改正に伴い、これまでの契約内容や社内規定を見直す必要も出てくるため注意が必要です。トラブルや急な利用停止対応での損失などを防ぐためにも、法改正への理解を深め、対策に関する情報のアップデートを行いましょう。疑問点はお気軽にご相談ください。
弁護士法人ファースト&タンデムスプリント法律事務所は、EC・通販法務には特に高い知見と経験を有しています。
「助ネコ」の株式会社アクアリーフ様、「CROSS MALL」の株式会社アイル様など、著名なECシステム企業が多数、当法律事務所の顧問契約サービスを利用されています。
企業の皆様は、ビジネスのリスクは何なのか、リスクが発生する可能性はどれくらいあるのか、リスクを無くしたり減らしたりする方法はないのか、結局会社としてどうすれば良いのか、どの方法が一番オススメなのか、そこまで踏み込んだアドバイスを、弁護士に求めています。当法律事務所は、できない理由を探すのではなく、できる方法を考えます。クライアントのビジネスを加速させるために、知恵を絞り、責任をもってアドバイスをします。多数のEC企業様が、サービス設計や利用規約・契約書レビューなどにあたり当事務所を活用されていますので、いつでもご相談ください。
執筆者:弁護士小野智博
弁護士法人ファースト&タンデムスプリント法律事務所
※本稿の記載内容は、2023年4月現在の法令・情報等に基づいています。
本稿は一般的な情報提供であり、法的助言ではありません。正確な情報を掲載するよう努めておりますが、内容について保証するものではありません。