- Home
- 個人情報取得方法のルール_個人情報保護法【ECサイト運営者のための弁護士が教える個人情報対策④】
個人情報取得方法のルール_個人情報保護法【ECサイト運営者のための弁護士が教える個人情報対策④】
これまで、個人情報保護法に関する記事を3つ書いてきました(個人情報保護法の記事一覧はこちら)。今回も個人情報保護法に関連する記事で、「個人情報取扱業者」が守るべき5つの事項のうちの一つである個人情報の取得方法に関するルールについて書いていきたいと思います。
目次
1 個人情報の適正な取得
(適正な取得)
個人情報保護法第17条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
個人情報保護法は、このように個人情報について「偽りその他不正の手段による」取得を禁止しています。これは、ちゃんとルールを守って取得してね!という当たり前のことをいっているに過ぎないのですが、会社名や利用目的等を偽ったり、子供を騙して取得したり、本人から他の誰かに提供することの同意を得ていない名簿業者から情報を取得することは、この規定により当然禁止されます。
2 取得時における利用目的の「通知又は公表」
また、個人情報保護法は、個人情報の取得に際して、利用目的を伝えるようにということの規定もあります(個人情報保護法18条)。これは、利用目的についてのルールを知っていることが前提に法律が定めれていますので、利用目的のルールについてのこちらの記事を前提としてご理解いただいていればよりわかりやすいと思います。
それでは、利用目的と情報取得時のルールを見ていきましょう。
2.1 「通知又は公表」を行う必要がある!
2.1.1 通常の場合
利用目的を特定した後は、あらかじめ公表しておくことがより良いのですが、個人情報保護法は、あらかじめ公表していない場合には、すぐにその利用目的を本人(お客さん)に通知又は公表すれば良いと規定しいます(個人情報保護法18条1項)。
とすると。。。。。
個人情報なんて取得すれば、後で通知とか公表すれば取り放題じゃん!?
みたいに思えるのですが、これはあくまでも、あらかじめ個人情報の利用目的を特定しているのが大前提になります。利用目的のルールの記事でも書きましたが、そもそも「個人情報取得事業者」である時点で、(公表しているか否かにかかわらず)個人情報の利用目的を特定していなければならないのです(個人情報保護法15条)から、公表前に特定されている利用目的(又はそれと相当の関連性がある範囲)以外の方法で個人情報を取得・利用するには、本人(お客さん)の同意が必要となります。
これは、かなりわかりにくい部分で、ちまたの書籍等でもあまり詳細に説明がなくわかり辛くかかれているので要注意が必要です。
2.1.2 必ず事前に利用目的を明示する必要がある場合
あらかじめ利用目的の特定はできている場合であっても、個人情報取得に先立って利用目的を必ず明示しなければならない場合もあります。条文を見ると
(取得に際しての利用目的の通知等)
個人情報保護法第18条 ・・・省略・・・
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 ・・・省略・・・
4 ・・・省略・・・
ちょっとわかりにくいですが、EC(IT取引)サイト運営者としては、商品(又はサービス)の購入の際にお客さんに個人情報を入力してもらう場合がこれにあたります。
2.2 例外的に通知又は公表が不要な場合!?
個人情報保護法18条4項は、「通知又は公表」すら例外的に不要な場合も定めています。一応、紹介しますが、通常のビジネスや生活の中で、関連があるのは、「2.2.2」、「2.2.4」の場合くらいです。
2.2.1 「通知又は公表」により、誰か(本人含む)の生命、身体、財産その他の権利利益を害するおそれがある場合
例えば、病院で検査を行う場合に検査目的を教えることが、実質的にがん告知と同一の意味を有し、本人に重大な精神的苦痛を与える場合等が考えられます。
2.2.2 「個人情報取扱事業」の権利又は正当な利益を害するおそれがある場合
例えば、利用目的を公開すると、個人情報取扱事業者の新商品の開発内容や、営業ノウハウ等の企業秘密にかかわるものが明らかになってしまう場合等があります。
2.2.3 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要があり、「通知又は公表」が当該事務遂行に支障を及ぼすおそれがある場合
例えば、犯罪捜査に協力するために被疑者等に関する情報を取得する場合等があります。
2.2.4 取得の状況からみて利用目的が明らかであると認められる場合
商品やサービス等を販売・提供する場合において、住所・電話番号等の個人情報を取得する場合において、その利用目的がその商品やサービス等の販売・提供を行うためというものであるある場合や名刺交換をする場合に、その利用目的が今後の連絡のためであるという場合等が挙げれます。
2.3 利用目的の内容や変更、通知又は公表について
以上が、個人情報取得時の利用目的に関するものなのですが、その利用目的の内容面や変更、「通知又は公表」ってどうやるの!?等については、利用目的に関するルールの記事に書いてあるので、そちらを参考にして下さい。
3 まとめ(具体的な対応)
以上、個人情報取得についてのルールについて長々と書いてきましたが、EC事業者としては、
① 個人情報を取得する際には、あらかじめ利用目的を公表しておく(当然利用目的のルールを守ったうえで)
② 不正な取得とならないように、正確な情報開示を心がけつつ、他社から情報を取得する場合には、どういう経緯で取得したものか、本人(お客さん)は情報提供に同意しているのかを必ず確認する
ということで良いと思います。「2.1.1」では、利用目的は取得後の「通知又は公表」で許される場合があるとなっていますが、上記の通り、「利用目的の特定」がなされている前提の話です。どうせ、特定ができているのですから、あらかじめ公表しておく方が、オペレーションコストも低くて済む上、お客さんにも親切です。