令和3年12月11日
3.個人情報保護法について③
今回は、具体的に個人情報取扱事業者にどんな義務が課されているのか、見ていきます。
個人情報取扱事業者の義務の概要とは
以下では、個人情報の取得・利用、管理、第三者への提供、開示等の各場面において、個人情報取扱事業者が遵守すべき義務の概要について説明いたします。
(1)取得・利用の場面
① 適正な取得
個人情報の取得にあたっては、虚偽や不正な手段を用いない限り、本人の同意は不要です。但し、要配慮個人情報の取得に際しては原則として本人の事前の同意が必要となります。
虚偽や不正な手段を用いるとは、例えば、本人に対して、個人情報を収集しているという事実や収集目的を偽って取得する場合や、正当な権限なく他人が管理している個人情報を取得したり隠し撮りする場合などが典型例として考えられます。
その他にも、部外秘・社外秘である旨のラベリング、メモ書き、透かしがある従業員名簿・ファイルなど、第三者提供が制限されていることが外形上明らかである場合や、クレジットカード情報が含まれる顧客名簿・ファイルなど、社会通念上、第三者提供が制限されていることが推知できるような場合は、仮に取得時に交付した者の了承は得ていたとしても、本来第三者に提供されることが想定されていない個人情報ですので、個人情報の主体である本人の同意を得ることなく取得した場合は、不正な手段を用いて取得したことに該当し得ます。
また、名簿業者から個人の名簿を購入すること自体は禁止されていませんが、その購入に際しては、相手方が個人データを取得した経緯などを確認・記録する必要があります。それがどこまで現実的であるかは正直疑問ですが、経緯を確認した結果として、相手方が不正の手段により個人データを取得したことを知り又は容易に知ることができたにもかかわらず当該個人データを取得する場合には適正な取得に該当しない場合があります。現在は、名簿業者は届出が義務付けられているので、個人情報保護委員会のホームページ上で、当該名簿業者が届出をしていることを確認することが必要です。届出していない名簿業者から取得した場合は、適正な取得ではないと判断される可能性が高いでしょう。
② 利用目的の特定
個人情報を取り扱うにあたっては利用目的をできる限り特定する必要があります。
個人情報保護法上は利用目的として絶対的に禁止されるべき事項は特に規定されていませんが、公序良俗に反する行為は許されませんし、個別法において利用目的の範囲を制限することはあり得ます。
利用目的を「できる限り」特定するとは、個人情報取扱事業者が、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、本人にとっても、自己の個人情報がどのような事業の用に供され、どのような目的で利用されるのかが、一般的かつ合理的に想定できる程度に特定するという趣旨なので、具体的で本人にとって分かりやすいものであることが望ましいとされています。例えば、単に「お客様のサービスの向上」等のような抽象的、一般的な内容を利用目的とすることは避けた方が良いでしょう。従業員の個人情報も利用目的の特定が必要ですので、例えば、人事・労務、報酬の計算・支払、研修、福利厚生、社会保険関係の手続、解職・退職、その他の雇用管理・業績管理、会社から従業員等への連絡等に使用する、などと特定しておきます。
利用とは、取得及び廃棄を除く取扱い全般を意味すると考えられますので、単に保管しているだけでも利用に該当します。
③ 利用目的の通知または公表
個人情報を取得する場合、あらかじめ利用目的を公表するか、取得後速やかに本人に通知または公表する必要があります。
例えば、市販の人名録を使ってダイレクトメールを送付する場合は、その人名録の利用目的を当該ダイレクトメールに記載して送付することが考えられます。また、企業のホームページによく掲載されているプライバシーポリシーは、利用目的の事前公表のために行なっているという意味合いがあります。
他方、取得の状況からみて利用目的が明らかであると認められるときには通知や公表は不要とされています。例えば、名刺交換により取得した連絡先に対して、自社の広告宣伝のための冊子や電子メールを送る場合は、個人情報取扱事業者の従業者であることを明らかにした上で名刺を交換することで、相手側から広告宣伝のための冊子や電子メールが送られてくることについて一定の予測可能性があると考えられるので、この例外の場合に該当すると考えられます。
④ 利用目的による制限
個人情報は利用目的の範囲内で取り扱うことができ、事前の同意なく、利用目的の範囲を超えて個人情報を取り扱うことはできません。
但し、法令に基づく場合や、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(例えば、本人の連絡先が不明等により本人の同意を得ることが物理的にできない場合や、本人の連絡先の特定のための費用が極めて膨大で時間的余裕がない等の場合など)などは例外とされています。
そして、事後的に利用目的を変更すること自体は可能ですが、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて利用目的を変更することはできません。例えば、フィットネスクラブの運営事業者が、新たに栄養指導サービスの案内を配信する場合に、「当社が提供する既存の商品・サービスに関する情報のお知らせ」という利用目的について、「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追加する場合などが該当します。一方で、当初の利用目的を「会員カード等の盗難・不正利用発覚時の連絡のため」としてメールアドレス等を取得していた場合において、新たに「当社が提供する商品・サービスに関する情報のお知らせ」を行う場合は関連性がないため認められないと考えられます。
⑤ 不適正な方法による利用禁止
令和2年の改正(令和4年4月施行)により、不適正な方法による利用が禁止されます。それまでは、前で述べたとおり個人情報の不適正な取得は禁止されていましたが、不適正な利用までは禁止されていなかったため、不適正な利用目的を定めて個人情報を取得した場合や、適法に取得した個人情報の利用態様が不適正な場合は、個人情報保護法では直接規制できない状態でした。例えば、官報に掲載された破産者の氏名や住所をインターネット上の地図に表示した「破産者マップ」について、プライバシー権の侵害や破産者の経済的再生の阻害になるという意味で大いに問題であるものの、個人情報保護法上は規制できない状態でした。そこで、個人情報取扱事業者が、違法または不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が明確化されました。例えば、違法行為を営む第三者に個人情報を提供する場合や、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、採用選考を通じて取得した個人情報を利用する場合などが挙げられます。
その他の場面における個人情報取扱事業者が遵守すべき義務の概要については、また次回以降にお話します。
top