この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
この連載ではこれまで「個人情報とは?」(第1回)、「個人データとは?」(第2回)と解説してきましたが、今回は「利用目的」について解説していきます。
「個人情報の保護に関する法律」(以下、個人情報保護法)では、情報主体(個人情報を提供する本人)のさまざまな権利と個人情報取扱事業者の義務をうたっています。その中では、「自己の個人情報の使われ方を知る」という権利が一番重要で大きなテーマです。この法律は、自己の個人情報が何に使われるために収集されるかを、情報主体が知ったうえで個人情報を提供しましょう、という法律といえます。
では、個人情報取扱事業者となった企業は、どこまで利用目的を特定しておく必要があるのでしょうか? 今回も個人情報保護法と、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を参照しながら解説していきます。
個人情報の保護に関する法律http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html
個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインhttp://www.meti.go.jp/policy/it_policy/privacy/041012_hontai.pdf
個人情報取扱事業者が個人情報を収集するときには、情報主体に対し以下のような内容を公表しておく必要があります。
第二十四条(保有個人データに関する事項の公表等)
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称
二 すべての保有個人データの利用目的(第十八条第四項第一号から第三号までに該当する場合を除く。)
三 次項、次条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による求めに応じる手続(第三十条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
誰が、何のために個人情報を収集するのか、ということが本人に分かるようにしておくことが義務付けられているのです。
個人情報保護法では、個人情報取扱事業者に対し、情報主体から個人情報を収集する際に利用目的について通知義務を課しています。
第十八条(取得に際しての利用目的の通知等)
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
「本人に通知し、又は公表」の部分について、経済産業省のガイドラインでは、以下のように解説しています。
「本人に通知」とは、本人に直接知らしめることをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。
事例1)面談においては、口頭又はちらし等の文書を渡すこと。
事例2)電話においては、口頭又は自動応答装置等で知らせること。
事例3)隔地者間においては、電子メール、ファックス等により送信すること、又は文書を郵便等で送付すること。
事例4)電話勧誘販売において、勧誘の電話において口頭の方法によること。
事例5)電子商取引において、取引の確認を行うための自動応答の電子メールに記載して送信すること。
「公表」とは、広く一般に自己の意思を知らせること(国民一般その他不特定多数の人々が知ることができるように発表すること)をいう。ただし、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならない。
事例1)自社のウェブ画面中のトップページから1回程度の操作で到達できる場所への掲載、自社の店舗・事務所内におけるポスター等の掲示、パンフレット等の備置き・配布等
事例2)店舗販売においては、店舗の見やすい場所への掲示によること。
事例3)通信販売においては、通信販売用のパンフレット等への記載によること。
「通知又は公表」の中には、口頭での通知も許されています。情報主体に対し利用目的を通知するという方法の中で「口頭での通知」は一番簡単でありますが、一番不確実な方法ともいえます。なぜなら、「いった、いわない」の議論に発展する可能性があるからです。
個人情報保護法への対応をするに当たって、個人情報取扱事業者が気を付けたいことに「証拠を残す」ということがあります。確かに法は守っており、口頭での通知を行っていれば、法律違反にはなりませんが、何かのトラブルになった場合に、口頭でいったことを証明することが必要になるかもしれません。
それ故、通知または公表する場合、文面を見せる方法(書面やホームページへの掲載)がより確実な方法であるといえます。
さらに確実な方法には「同意を得る」ということが考えられます。実際、JIS Q 15001「個人情報保護に関するコンプライアンス・プログラムの要求事項」では同意を得るということを求めています。
特に収集する個人情報が機微情報である場合などは、JIS Q 15001では「明示的な同意」を求めていますので、個人情報保護法ではうたわれていなくても、同意を得ることをお勧めします。個人情報の重要度に応じて、通知または公表の手段について、検討する必要があります。
4.4.2.3 特定の機微な個人情報の収集の禁止
次に示す内容を含む個人情報の収集、利用叉は提供は行ってはならない。ただし、これらの収集、利用叉は提供について、明示的な情報主体の同意、法令に特別の規定がある場合、及び司法手続上必要不可欠である場合は、この限りでは無い。
a)思想、信条及び宗教に関する事項。
b)人種、民族、門地、本籍地(所在都道府県に関する情報を除く)、身体、精神障害、犯罪歴、その他社会的差別の原因となる事項。
c)勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項。
d)集団示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事項。
e)保健医療及び性生活。
Copyright © ITmedia, Inc. All Rights Reserved.