- Home
- 利用目的についてのルール_個人情報保護法【ECサイト運営者のための弁護士が教える個人情報対策③】
利用目的についてのルール_個人情報保護法【ECサイト運営者のための弁護士が教える個人情報対策③】
さて、前前回(個人情報漏洩のリスクと対策の必要性についての記事)、前回(個人情報保護法の概要についての記事)と個人情報に関連する記事を書いてきました。
今回は、前回の個人情報保護法の概要の中で、「個人情報取扱事業者」が負う5つのルールについての1つ目である「個人情報」の取り扱いにおける「利用目的」について詳細に説明したいと思います。
目次
1 利用目的についての義務(ルール)について
まず、前回の復習になりますが、「個人情報取扱事業者」の基本ルールについて見てみましょう。
② 本人の同意を得ることなしに、利用目的のために必要な範囲を超えて取り扱ってはならない(個人情報保護法16条)
③ 保有しているデータについて、その利用目的等を本人が知ることができる状態にしておくこと(個人情報保護法24条1項2号)
が、基本的なルールになります。
つまりは、利用目的を具体的に特定・公表して、目的の範囲内でのみしなさいということなんです。とはいっても、これだけではどのように対策して良いのかいまいち明らかになりません。
そこで、以下、各ルールについてもう少し詳細に見て行きましょう。
2 利用目的の特定について
上記の通り、個人情報保護法は、個人情報を取得・利用する場合に、「利用目的をできる限り特定する」ということを義務として課しています。「できる限り特定」ってどのくらいか非常にわかりにくいですよね。
そもそも、「できる限り特定」するとしている趣旨は、個人情報を利用される立場にある人がどのように情報を利用されるのかわかるように利用目的の範囲を明確にして下さい、という点にあります。
そこから考えると、「当社の事業のために」とか、「マーケティングに利用します」とかという抽象的なレベルですとなかなか「できる限り特定」されているとは評価されにくいでしょう。利用される側がこれではどのように情報を利用されるのかわからないからです。
かといって、あまりに限定を要求すると実際ビジネスがうまく回らなかったり、お客さんにとっても逆に不便を強いることにもなりかねません。
そこで、「当社セミナー事業の新セミナーのご案内」とか、「DVD事業における商品の発想、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用致します」程度の記載があれば必要かつ十分と考えれます。
事業分野の特定があり、どのような情報が送られてくる可能性があるかがそこそこ予想できればOKと評価されるでしょう。
3 利用目的に必要な範囲でのみ利用可能という点について
次に、上記の通り、個人情報保護法は、「本人の同意を得ることなしに、利用目的のために必要な範囲を超えて取り扱ってはならない」としています。ですので、例えば上記の「当社セミナー事業の新セミナーのご案内」という利用目的を明示して(又は通知・公表した)個人情報を取得した場合、他の事業でその個人情報を利用することは許されないということになります。
ただし、その情報を絶対に他のサービスで利用しちゃいけないよということではありません。ビジネスが拡大してくれば、別の目的で情報を利用したいということは当然あります。その際には、どうすればいいのか説明します。
3.1 「通知又は公表」すれば利用目的を変更しても良い場合
個人情報の利用目的に変更を無条件に認めると、上記「2」で述べた利用目的の特定の趣旨(利用される側がどのように情報を利用されるかわかるようにする)の意味がなくなります。ですので、利用目的が変更になる場合には、改めて、利用される側の同意が必要になります。
ただし、法律は、利用目的を変更する場合に変更前の利用目的と相当の関連性を有すると合理的に認められる範囲の変更であれば、「同意」までは必要なく、変更された利用目的を「通知又は公表」すれば、変更された利用目的のために個人情報を利用しても良いですよとしています(個人情報保護法15条2項)。このように相当の関連性がある場合には、利用される側(お客さん)も、その変更があることを予想はできていたでしょ!?というのが理由です。
3.1.1 変更前の利用目的と相当の関連性がある場合
では、どのような場合に「相当の関連性がある」といえるのでしょうか。
抽象的な説明ではわかりにくいので、ここは具体例から考えてみましょう。
例えば、「アンケート集計」という利用目的を「商品カタログの郵送」に変更するという場合には、相当の関連性があるとはいえないでしょう。
これは、利用目的の特定の趣旨から考えていただきたいのですが、「アンケート集計」のために個人情報を提供した人(お客さん)としては、いきなり「商品カタログの郵送」という形で、個人情報が利用されるとは想定しないでしょう。ただのアンケートだったから答えたのに、宣伝がいきなりくるなんて、普通に考えたら嫌ですよね。
一方で、「商品カタログの郵送」という利用目的を「商品一覧のURLが書かれたメールを送る」という目的に変更する場合には、相当の関連性があるといえるでしょう。情報の利用の意図はこの場合、商品の宣伝という点で共通していますし、その手段がメールか郵送かに違いがあるだけですので、相当の関連性を認めても良い場合といえます。
また、「セミナー事業の新セミナーのご案内」という利用目的を、その「セミナーを録画したDVD販売のご案内」という目的に変更する場合であっても、このDVDはセミナーを録画したもので、セミナー事業との関連性も強いですので、相当な関連性があると評価できます。
3.1.2 「通知又は公表」の方法
それでは、相当な関連性が認めれる場合に必要となる「通知又は公表」とはどのようにすれば良いのでしょうか。
これは、一般のお客さんが認識できるようにすれば良いということです。
つまり、「通知」であれば、変更があったことと変更後の利用目的を、メールでお客さんに送る(例えば、メルマガの冒頭部分に記載する等)ことで良いでしょう。また、「公表」であれば、サイトに掲載したり、店舗等であればポスターやパンフレットを置いておくとか配布するとかという方法があります。
具体的にECサイト運営者であれば、サイトに掲載することで足りるでしょう。ただし、お客さんが目にしないような深い階層にそれを記載する等ではなく、お知らせやトップページの冒頭等に掲載することが必要なので、その点は注意して下さい。
3.2 改めて、変更後の利用目的について同意を得る必要がある場合
上記の通り、利用目的の変更がある場合には、「3.1.1」の場合でない限り、改めて利用される側(お客さん)の同意を得る必要があります。
同意を得る方法としては、
① メールで改めて同意を得るという方法
② チェックボックス等で同意を得るという方法
等が考えられます。
3.3 そもそも通知・公表・同意すらいらない例外的な場合
いままで、利用目的の範囲でしか、個人情報は利用できないし、それを変更する場合には、「通知又は公表」、場合によっては「同意」が必要という説明をしてきましたが、例外的にこれらの手続きなしで、利用しても良い場合というものがあります(ビジネスでは通常関係ないところですが、一応記載しておきます。)
3.3.1 法令に基づく場合
例えば、警察の捜査関係の事項照会に回答のために利用する場合や弁護士会照会(弁護士が弁護士会を通じて質問する制度)に回答する場合等があります。
3.3.2 人の生命、身体又は財産の保護のために必要で、本人の同意を得ることが困難であるとき
例えば、急病人の血液型や家族の連絡先を医療機関等(医師や看護師)に伝える場合、大規模災害や事故等の緊急時に、負傷者情報を家族に提供する場合、暴力団等の反社会的勢力情報、業務妨害行為を行う悪質者情報を企業間で共有する場合等が挙げられます。
3.3.3 公衆衛生の向上又は子ども・若者の健やかな育成等の推進のために必要で、本人の同意を得ることが困難であるとき
例えば、感染症の予防のための調査に応じる場合や児童虐待のおそれのある家庭情報を、児童相談所、警察、学校、病院等が共有する必要があるとき等が挙げられます。
3.3.4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して関係事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある場合
例えば、税務署の反面調査に協力する場合等があります。
4 利用目的を本人が知ることができる状態にしておくことについて
最後に、上記の通り、個人情報保護法は保有している個人情報について、一定の事項を「本人の知り得る状態に」置かなければならないとしています。これは、上でみた「公表」よりも、緩く考えてよく、本人の求めに応じて回答するということでも足りるとされています。例えば問い合わせ窓口を設置して、それに回答する仕組みを作ることでも、「本人の知り得る状態」といえるということです。
ただし、EC運営者の場合には、個人情報のページを一枚作りリンクを貼っておくのが一番良い方法だと私は思います。その方が、オペレーションコストも低くなりますし、お客さんに親切でしょう。いわゆるプライバシー・ポリシーというやつがこれです。
そして、どのような事項を「本人の知り得る状態」置かなくてはならないかというと
② すべての保有する個人情報の利用目的
③ 利用目的の通知、開示・訂正等に応じる手続き
④ 個人情報の取り扱いに関する苦情の申出先
を本人が知ることができる状態にしておくことが必要です。③や④については、この記事以外のルールにも関連してきますので、その際に再度触れるか、ここにリンクを貼るようにしますので、こうしなければならない理由等詳細はそちらを参照して下さい。
5 まとめ
以上が、個人情報保護法が定める利用目的に関するルールになります。
個人情報の利用目的の変更は、ビジネスが拡大してくれば当然当初のものと変化していくもので、おかしいことではありません。ですので、特に公表で足りるのか、それとも同意まで必要なのかという「3」やプライバシー・ポリシーの基礎となる「4」の部分を、ECサイト運営者の方には読んでいただければ幸いです。