個人情報の取得・利用・提供にはそれぞれ「ただし書き」というものが存在します。
プライバシーマークの仕組みの中では基本的に相手方(本人)に対して同意を求める必要がありますが、「ただし書き」が適用出来るのであれば、社内的な承認だけで本人の同意等を得なくても取得や利用、提供を行ってよい。ということになります。
ただ、原則を曲げて同意を得ないで取得・利用・提供するわけですからその理由はかなり限られています。
ですので、プライバシーマーク取得企業や経営者、個人情報保護管理者の独断でこれがただし書きだ!と決めてしまって運用してはプライバシーマークの規格に違反し、最悪情報の不正利用となり情報漏えい等の事故と同じ扱いとなってしまうので気をつけなければなりません。
詳細の具体例についてはまた別の機会にお話しようかと思いますが、ただし書きに適用されうるものとしては法律に定めがある場合や人の生命身体に係わる場合、役所等に求められている場合などが規格に書かれている内容の一例になります。
ですので、ただし書きを適用出来る場合は緊急性の伴うものや法律など拘束力を伴うものが主に定めれられている内容であると言えます。
