1 個人情報を取得・利用するときのルールは計5つ
個人情報を取り扱う際は、個人情報保護法に基づく取得・利用のルールを守らなければなりません。具体的には、
- 個人情報を取得するときのルールが2つ
- 個人情報を利用するときのルールが3つ
あります。以降で確認していきましょう。
2 個人情報を取得するときのルール
1)不正の手段によって個人情報を取得してはならない
当然ですが、不正の手段(偽りなど)によって個人情報を取得してはなりません。
2)個人情報を取得した場合は、速やかに、その利用目的を本人に通知または公表する
あらかじめその利用目的を公表している場合を除いて、個人情報を取得した場合は、速やかに、本人に個人情報の利用目的を通知・公表しなければなりません。
利用目的の通知・公表の方法については、特に定めはありません。
- 通知であれば、書面・メール等に記載する
- 公表であれば、ウェブサイトの分かりやすい場所や、店舗に掲示する
といった方法が考えられます。本人に対して口頭で利用目的を通知する方法も認められます。
なお、取得の状況から見て利用目的が明らかな場合は、利用目的の明示は不要です。例えば、名刺交換した相手に自社の商品・サービスの案内を送るときなどがそうです。
3 個人情報を利用するときのルール
1)利用目的をできる限り特定しなければならない
個人情報の利用目的は、できる限り具体的に特定しなければなりません。
例えば、ネット通販で商品を購入しようとしたとき、氏名や住所などの個人情報を入力しますが、その利用目的として「当社の商品の配送およびアフターサービスのご案内のため」と書いてあれば、商品を購入した顧客は、どのような目的で自分の個人情報が使われるのか認識できます。「事業活動に用いるため」「マーケティング活動に用いるため」といった曖昧な表現はNGです。具体的に利用目的を特定しているとは言えないからです。
2)利用目的の範囲を超えて取り扱うときは、あらかじめ本人の同意を得る
あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはなりません。
ただし、この同意を得るために個人情報を利用すること(メールを送ったり、電話をかけたりするなど)は目的外利用には該当しません。
3)違法または不当な行為につながるような利用方法はNG
違法または不当な行為とは、法令(個人情報保護法など)に違反する行為や、直ちに違法とはいえないものの、法令の制度趣旨や公序良俗に反する行為など、社会通念上適正とは認められない行為をいいます。
解釈の余地はありますが、個人情報についてこれまでと異なる取り扱いをしようとするときは、見切り発車にせず、弁護士や個人情報保護委員会に確認するのがよいでしょう。不適正な利用の具体例が、「個人情報の保護に関する法律についてのガイドライン(通則編)」に列挙されています。興味のある方は確認してみてください。
■ガイドライン3-2 不適正利用の禁止(法第19条関係)■
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-2
4 要配慮個人情報を取得するときは「本人の同意が必要」
要配慮個人情報とは、
不当な差別や偏見などの不利益が生じないよう、取り扱いに特に配慮を要する個人情報
のことです。具体的には、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、心身の機能の障害があること、医師等により行われた健康診断の結果などが該当します。
法令に基づく場合などの例外を除き、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはなりません。
実務上、あらかじめ本人の同意を得ておくほうがよいのは、
社員の健康情報(健康診断の結果や病歴など、健康に関する個人情報)を取得する場合
です。健康情報の多くは要配慮個人情報に該当しますが、そうでない場合も機微な情報が含まれ得ることなどから、要配慮個人情報に準じて取り扱うのが望ましいとされています。
例えば、定期健康診断の結果などは、労働安全衛生法に基づいて取得するものですが、「健康の確保のため」という利用目的を通知し、社員の同意を得て取得するとよいでしょう。
■個人情報保護委員会「雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項」■
https://www.ppc.go.jp/personalinfo/legal/ryuuijikou_health_condition_info/
以上(2024年12月更新)
pj60174
画像:pixabay