企業の営業やマーケティングなどの場面で、個人情報を入手する機会は少なくありません。
しかし不適切な方法で個人情報を入手してしまうと、個人情報保護法違反となり、処罰されたり社会的信用を失ったりするリスクがあります。
この記事では、個人情報の取得時のルールについて、具体的な事例と併せて詳しく解説します。
また、個人情報取得時など、企業の情報セキュリティポリシーを策定・運用する際のポイントをまとめた資料を無料で配布しています。ぜひご活用ください。
個人情報の定義とは
頻繁に耳にする機会が多い「個人情報」という言葉ですが、具体的にどのような情報を指しているのかご存じでしょうか。
個人情報の定義は「個人情報保護法第二条」にて明確に定義されています。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
個人情報の保護に関する法律より
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
「個人識別符号」とは、身体の一部の特徴を電子計算機のために変換した符号やサービス利用や商品の購入に割り当てられ、あるいはカード等の書類に記載された、対象者ごとに割り振られる符号のいずれかに該当するもので、政令で指定されているものです。
例えば指紋やDNAは身体の一部の特徴にあたりますし、マイナンバーや免許証の番号は、対象者ごとに割り振られている符号といえます。
個人情報取得時の利用目的の特定など
事業者は、個人情報を取り扱うに当たっては、その利用目的を特定しなければなりません。
その場合、次の2点のいずれかを行う必要があります。
- 取得前にあらかじめ、その利用目的を公表する
- 個人情報を取得した後速やかに、その利用目的を本人へ通知、又は公表する
アンケート用紙などの書面に個人情報を記入してもらう場合には、そのアンケート用紙に利用目的を印刷しておくなど明示しておくことが必要です。また、万が一のトラブル発生時のために、その利用目的を明示してあったことを示す証拠を残しておくと良いでしょう。
ウェブサイトでのフォーム入力の場合は、入力の際に利用目的を閲覧することができるようにするなどの措置も必要です。
なお、個人情報を取得する際に、利用目的が明らかであれば逐一相手に伝える必要はありません。
適正な手段による個人情報の取得など
当たり前の話ですが、事業者は偽りその他不正な手段によって個人情報を取得してはなりません。
また要配慮個人情報(個人の障害の情報や、差別、偏見が生じそうな個人情報)の取得にあたっては、原則として本人の同意が必要です。
取得した個人情報は特定した利用目的の範囲内で利用することが求められます。
個人情報取得後の利用目的の変更
個人情報の取得には予め利用目的を特定する必要がありますが、取得後に利用目的を変更する場合は、本人の同意が必要です。変更後の利用目的が変更後の目的と関連していると合理的に認められる範囲内で、変更可能です。
利用目的を変更した場合は、変更された目的を本人へ通知、又は公表する必要があります。
要配慮個人情報の取得について
要配慮個人情報とは「人種、信条、社会的身分、病歴、前科、犯罪被害情報などのほか、本人に対する不当な差別、偏見が生じないように特に配慮を要するものとして政令で定める個人情報」と定義されています。
これは改正個人情報保護法2条3項に定義されています。この要配慮個人情報の取得については、原則として事前に本人の同意を得る必要があります。
その他個人情報を取得する際に注意すべき点
個人情報の取得の際に注意すべき点は、ほかにも多数あります。
同意したことによって生ずる結果について十分な判断能力を有しない障害者であるような場合
障害者本人に十分な判断能力がない場合、成年後継人等の法定代理人から同意を得る必要があります。もし法定代理人が選任されていない場合で、本人の同意を得ることが困難である場合は、障害者の親族等から要配慮個人情報を取得することができます。
名簿業者から個人の名簿を購入する場合
名簿業者から個人の名簿を購入すること自体は禁止されていません。
しかし名簿の購入の際に、相手方が個人データを取得した経緯などを確認・記録する必要があります。
もし相手方が不正な方法で個人情報を取得したことを知っている、あるいは容易に知ることができたにもかかわらず、その個人情報を取得すると、個人情報保護法第17条1項に違反する可能性があります。
平成27年の改正の改正以降は、名簿業者はオプトアウト規定に伴う届出が必要となったため、個人情報保護委員会のWebサイト上で、名簿業者が届出を出しているかどうか確認する必要があると解されます。
個人情報を含む情報がインターネットなどで公開されている場合
個人情報を含む情報がインターネット等により公にされている場合、それらの情報を単に閲覧するにすぎない場合には「個人情報を取得」したことにはなりません。
しかし閲覧した個人情報を転記の上、検索可能な状態にした場合やデータベース化するようなケースは、「個人情報を取得」したことになりますので注意が必要です。
本人の話し方や振る舞いから要配慮個人情報を取得した場合も、外形上明らかな要配慮個人情報を取得する場合
本人の話し方や振る舞いを基に、外見上、障害や疾患が明らかだとわかれば、それは要配慮個人情報の取得の例外にあたると考えられます。
障害や疾患にもよりますが、外見で推知できるにすぎなければ、要配慮個人情報いは該当しません。
申込書やホームページ上のユーザー入力画面で連絡先を記入させる場合の利用目的の明示
ホームページ上の入力画面など、本人が記入して、直接その本人から個人情報を取得する場合、原則として利用目的の明示が必要です。
しかし取得の状況により利用目的が明らかである場合は、例外として利用目的の明示は必要ありません。
会社の他の部署へ個人データを提供する場合の本人の同意について
同一事業者内における個人データの提供は「第三者提供」にあたらないため、本人の同意は不要です。しかし他の部署において、当初の利用目的の範囲を超えて個人情報を利用される場合には、目的以外利用のための本人の同意が必要です。
名刺交換で取得した連絡先に対して、自社の冊子や電子メールを送信することについて
自社が個人情報取扱事業者であると明らかにして名刺を交換した場合、相手側は広告や宣伝のための冊子や電子メールが送られてくることを、ある程度予測できると考えられます。
この場合、取得した個人情報を元に、冊子や電子メールを送信する行為は「取得の状況からみて利用目的が明らかであると認められる場合」に該当すると解されるでしょう。
この場合、個人情報保護法の違反するケースにはあたらないため、個人データの利用停止や消去請求に応じる必要はありませんが、冊子や電子メールの送信を停止する要求があった場合、苦情として扱ったうえで、適切かつ迅速に処理するように努める必要があります。
まとめ
個人情報の取得時に守るべきルールを、いくつかの事例とあわせて解説してきました。
現在、個人情報の多くはコンピュータを使って簡単に処理できますが、だからこそ取得時にはルールをしっかりと守ることが必要です。
個人情報の取得時には留意点をしっかりと押さえた上で、適切な対応を心掛けましょう。
また、情報セキュリティポリシーの策定・運用のポイントをまとめた資料を配布しています。
ぜひ無料でダウンロードして参考にしてくだされば幸いです。
