「個人情報保護法⑦」
2016.05.28
「個人情報保護法⑦」
本日、ブログを担当するシステム開発課の鈴木です。
前回は「保有個人データに対する法律」について記載しました。
今回は「個人情報取得時における利用目的」について記載します。
「個人情報の保護に関する法律」(以下、個人情報保護法)では、情報主体(個人情報を提供する本人)
のさまざまな権利と個人情報取扱事業者の義務をうたっています。
その中では、「自己の個人情報の使われ方を知る」という権利が一番重要で大きなテーマです。
では、個人情報取扱事業者となった企業は、どこまで利用目的を特定しておく必要があるのでしょうか?
『情報取得時に公表すべき事項』
個人情報取扱事業者が個人情報を収集するときには、情報主体に対し以下のような内容を公表しておく
第二十四条(保有個人データに関する事項の公表等)
一 当該個人情報取扱事業者の氏名又は名称
誰が、何のために個人情報を収集するのか、ということが本人に分かるようにしておくことが
『利用目的の通知義務』
個人情報保護法では、個人情報取扱事業者に対し、情報主体から個人情報を収集する際に
第十八条(取得に際しての利用目的の通知等)
「本人に通知」とは、本人に直接知らしめることをいい、事業の性質及び個人情報の取扱状況に応じ、
事例1)面談においては、口頭又はちらし等の文書を渡すこと。
「公表」とは、広く一般に自己の意思を知らせること(国民一般その他不特定多数の人々が知ることが
事例1)自社のウェブ画面中のトップページから1回程度の操作で到達できる場所への掲載、自社の
「通知又は公表」の中には、口頭での通知も許されています。
4.4.2.3 特定の機微な個人情報の収集の禁止
a)思想、信条及び宗教に関する事項。
『利用目的の特定』
個人情報保護法では、個人情報を取得するときに、利用目的を特定しなくてはならないと
第十五条(利用目的の特定)
利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、
事例1)「事業活動に用いるため」
本人が、取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に、具体的、
要するに、通知または公表された利用目的を知ることで、情報主体が個人情報がどのように扱われるのか
個人情報の利用目的については、情報主体が個人情報を提供するタイミングで目に触れることが
事例1) 利用目的を明記した契約書その他の書面を相手方である本人に手渡し、又は送付すること
つまり、利用目的をどこかに書いておけばよい、ということでなく、収集時にきちんと本人の目に
第十八条(取得に際しての利用目的の通知等)
例えば、通販で商品を届けるためには住所・氏名などの送り先情報が必要です。
『利用目的の特定の具体例』
・アンケート収集
★ポイント
また、第三者提供については、法的には本人の同意さえあれば問題のない行為です。
・通販
★ポイント
今後のセールスに利用しない個人情報を、企業が保有することは自由ですが、利用しない個人情報を
第十六条(利用目的による制限)
『利用目的の変更』
利用目的の変更について、個人情報保護法では以下のような制限を設けています。
第十五条(利用目的の特定)
要約すると次のように解釈できます。収集時に通知または公表した利用目的の変更は、本人が想定
同意を得るために個人情報を利用すること(メールの送付や電話をかけること等)は、当初の利用目的と
つまり、利用目的の変更の同意を得るために、本人に対し連絡を取ることは問題ない、ということです。
『個人情報保護法施行以前に収集した個人情報の取り扱い』
では、個人情報保護法施行前に収集した個人情報は、どうしたらよいのでしょう。
また、収集した個人情報は、企業の判断でどのようにでも利用されることが当たり前でした。して
企業によっては、名簿業者へ顧客リストを販売したり、ほかの業者へ情報を流したりすることも
第二十四条(保有個人データに関する事項の公表等)
一 当該個人情報取扱事業者の氏名又は名称
「本人の知り得る状態」について、以下のように解説しています。
事例1) 問い合わせ窓口を設け、問い合わせがあれば、口頭又は文章で回答できるよう
これにより、個人情報保護法施行前から保有している個人情報を利用する場合は、第二十四条第1項に
次回は「個人情報取得における委託契約」について記載したいと思います。
この法律は、自己の個人情報が何に使われるために収集されるかを、情報主体が知ったうえで個人情報を
提供しましょう、という法律といえます。
必要があります。
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態
(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
二 すべての保有個人データの利用目的
(第十八条第四項第一号から第三号までに該当する場合を除く。)
三 次項、次条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による
求めに応じる手続
(第三十条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で
定めるもの
義務付けられているのです。
利用目的について 通知義務を課しています。
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している
場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
内容が本人に認識される合理的かつ適切な方法によらなければならない。
事例2)電話においては、口頭又は自動応答装置等で知らせること。
事例3)隔地者間においては、電子メール、ファックス等により送信すること、又は文書を郵便等で
送付すること。
事例4)電話勧誘販売において、勧誘の電話において口頭の方法によること。
事例5)電子商取引において、取引の確認を行うための自動応答の電子メールに記載して送信
すること。
できるように発表すること)をいう。
ただし、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法に
よらなければならない。
店舗・事務所内におけるポスター等の掲示、パンフレット等の備置き・配布等
事例2)店舗販売においては、店舗の見やすい場所への掲示によること。
事例3)通信販売においては、通信販売用のパンフレット等への記載によること。
情報主体に対し利用目的を通知するという方法の中で「口頭での通知」は一番簡単でありますが、
一番不確実な方法ともいえます。
なぜなら、「いった、いわない」の議論に発展する可能性があるからです。
個人情報保護法への対応をするに当たって、個人情報取扱事業者が気を付けたいことに「証拠を残す」と
いうことがあります。
確かに法は守っており、口頭での通知を行っていれば、法律違反にはなりませんが、何かのトラブルに
なった場合に、口頭でいったことを証明することが必要になるかもしれません。
それ故、通知または公表する場合、文面を見せる方法(書面やホームページへの掲載)がより確実な方法
であるといえます。
さらに確実な方法には「同意を得る」ということが考えられます。
実際、JIS Q 15001「個人情報保護に関するコンプライアンス・プログラムの要求事項」では同意を
得るということを求めています。
特に収集する個人情報が機微情報である場合などは、JIS Q 15001では「明示的な同意」を求めて
いますので、個人情報保護法ではうたわれていなくても、同意を得ることをお勧めします。
個人情報の重要度に応じて、通知または公表の手段について、検討する必要があります。
次に示す内容を含む個人情報の収集、利用叉は提供は行ってはならない。ただし、これらの収集、
利用叉は提供について、明示的な情報主体の同意、法令に特別の規定がある場合、及び司法手続上
必要不可欠である場合は、この限りでは無い。
b)人種、民族、門地、本籍地(所在都道府県に関する情報を除く)、身体、精神障害、犯罪歴、
その他社会的差別の原因となる事項。
c)勤労者の団結権、団体交渉及びその他団体行動の行為に関する事項。
d)集団示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事項。
e)保健医療及び性生活。
うたっています。
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」と
いう。)をできる限り特定しなければならない。
個人情報取扱事業者において最終的にどのような目的で個人情報を利用するかを可能な限り具体的に
特定する必要がある。
抽象的、一般的な特定では、「できる限り特定」には当たらないとしています。以下が、利用目的を
特定していない事例です。
事例2)「提供するサービスの向上のため」
事例3)「マーケティング活動に用いるため」
個別的に特定しなければならない。
を予測できるように利用目的を特定する必要があるのです。
求められています。
(契約約款又は利用条件等の書面(略)中に利用目的条項を記載する場合は、例えば、裏面約款に
利用目的が記載されていることを伝える、又は裏面約款等に記載されている利用目的条項を表面
にも記述する等本人が実際に利用目的を目にできるよう留意する必要がある。)
事例2) ネットワーク上においては、本人がアクセスした自社のウェブ画面上、又は本人の端末装置上に
その利用目的を明記すること(ネットワーク上において個人情報を取得する場合は、本人が送信
ボタン等をクリックする前等にその利用目的(利用目的の内容が示された画面に1回程度の操作
でページ遷移するよう設定したリンクやボタンを含む。)が本人の目にとまるようその配置に
留意する必要がある。)
触れることが重要なのです。
第4項 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の
権利利益を害するおそれがある場合
二 利用目的を本人に通知
し、又は公表することにより当該個人情報取扱事業者の権利又は
正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合で
あって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれが
あるとき
四 取得の状況からみて利用目的が明らかであると認められる場合
この場合、住所・氏名などの個人情報を取得することは第4項の四に当たりますので、法的には
利用目的適用外と考えることができます。もちろん、今後の商品案内を送るなど別の用途で
個人情報を利用したい場合には、利用目的を通知または公表しておく必要があります。
「本アンケートにご記入いただいた内容は、今後、弊社からの教育プログラムのご案内の送付および、
コースを改善する際の情報としてのみ利用いたします。第三者へ開示することは一切ございません。」
アンケートに記入すること自体、何のためなのかを記述する必要があります。多くの場合「今後の
参考に」や「改善のため」ということがアンケートの目的でもあります。
社内でどのように利用するかは、あまり情報主体には関係がなく、一番問題なのは、そのアンケートで
収集した個人情報を元に、今後本人に対して何らかのアクションを起こすのか、ということです。
本人の同意なく第三者提供してはならない、ということですから、第三者提供の予定があれば、
きちんと明示し同意を得るようにしましょう。
「お客さまから収集した個人情報は、商品のお届け、アフターサービス、決済などのために利用します。
上記利用目的の達成に必要な範囲において、弊社契約基準を満たした委託先に、お客さまの個人情報を
委託することがあります。」
上記のような場合、今後のセールスには、個人情報を利用することはできません。
あくまでも、今回限りの買い物のために個人情報を利用する、ということになります。
持ち続けることはお勧めできません。
個人情報を収集する際には、その特定した利用目的に沿った情報のみを取得するということも重要です。
個人情報収集のタイミングで、まとめてあれこれ情報を取りたいと思うのが企業側の考えでもあります
が、この法律により、利用目的から大きく外れた情報の収集はできないということになります。
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の
達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
第2項 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継すること
に伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該
個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
第2項 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有する
と合理的に認められる範囲を超えて行ってはならない。
第十八条(取得に際しての利用目的の通知等)
第3項 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知
し、又は公表しなければならない。
できる範囲でしかできません。
例えば、本人が想定できる範囲の利用目的の変更の例としては、連絡手段をメールから郵送に変更する
といったことが挙げられます。
また、変更したときにはあらためて通知または公表しなければなりません。ただし本人の同意があれば、
通知なしでも利用目的の変更ができます。
して記載されていない場合でも、目的外利用には該当しない。
法施行前は、多くの企業が利用目的を特定、通知せずに個人情報を収集していました。
多く見られました。
個人情報保護法により、情報主体本人が了解(理解)していないような利用はしてはならないことになります。
では、利用目的を通知または公表しないで収集した個人情報はすべて利用できない、ということに
なるのでしょうか?
まずは、現在保有している個人情報の利用目的を特定しましょう。
いままで特に明確に利用目的を特定、通知していなかった場合でも、意外と利用目的ははっきり
しているものです。
個人情報保護法対策として、すでに保有している個人情報が、今後も利用したい個人情報であるかを
見極めるために、個人情報の利用目的を特定します。
もし、利用目的の分からない(特定できない)個人情報があったら、迷わず捨てることです。
個人情報を無意味に保有していることは、企業にとってリスクを大きくすることになります。
何のために個人情報を保有するのかをよく検討し、利用するもののみを保有することが重要です。
個人情報保護法施行前に収集した個人情報は、収集時の通知義務(第十八条)は適用されませんが、
第二十四条第1項は適用されます。
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態
(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
二 すべての保有個人データの利用目的
(第十八条第四項第一号から第三号までに該当する場合を除く。)
三 次項、次条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による
求めに応じる手続
(第三十条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として
政令で定めるもの
「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」とは、ウェブ画面への
掲載、パンフレットの配布、本人の求めに応じて遅滞なく回答を行うこと等、本人が知ろうとすれば、
知ることができる状態に置くことをいい、常にその時点での正確な内容を本人の知り得る状態に
置かなければならない。
必ずしもウェブ画面への掲載、又は事務所等の窓口等へ掲示すること等が継続的に行われることまでを
必要とするものではないが、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的
かつ適切な方法によらなければならない。
体制を構築しておくこと。
事例2) 店舗販売において、店舗にパンフレットを備え置くこと。
事例3) 電子商取引において、問い合わせ先のメールアドレスを明記すること。
従って、利用のタイミング(またはそれ以前)に利用目的を通知または公表しなければなりません。
ホームページへの掲載も通知または公表となりますが、顧客が頻繁にホームページを見ることが少ないと
予想される場合は、個別に通知をした方が安心です。
個人情報保護法に対応することプラス、顧客満足度も視野に入れて対応することが求められます。
個人情報を収集するには、利用目的を本人の知るところにする、ということが重要であることを
ご理解いただけましたか。
個人情報保護法は、消極的な個人情報の利用を求めてはいません。
企業は、個人情報をより有効に活用するためにも、利用目的を明確にし、また明言し、個人の理解を
得られた範囲で利用すればよいのです。
