第1 個人情報とは
個人情報の取得に当たり、守らなければならない義務としては、次のとおりです。
①利用目的の特定(利用目的の変更に関する規律)
②利用目的の公表
③(要配慮個人情報の取得の場合に)本人の同意の取得
ここで、個人情報とは、生存する本人を特定識別することができる情報(例えば、氏名や氏名と組み合わせた情報等)と個人識別符号と呼ばれる個人情報として取り扱うことが法律上定められている情報(例えば、旅券番号等)をいいます。
第2 利用目的の特定
事業者は、個人情報(※1)を取り扱うに当たっては、利用目的をできる限り具体的に特定しなければならないとされています(第15条第1項)。
事業者は、個人情報を取得したとなれば、個人情報を取り扱うことになりますので、あらかじめ利用目的を特定しておく必要があります。
ここで、どの程度特定したらよいのかが問題となりますが、個人情報保護委員会のガイドライン通則編は、「個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい。」としています。
例えば、ある製品を商品の販売を行う事業者が個人情報を利用して顧客に広告を行うことを想定しますと、以下のような記載であれば、具体的に利用目的を特定していると認められます。
(例) 「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」 |
他方で、以下のような記載にとどまる場合には具体的に利用目的を特定しているとは認められません。
×「事業活動に用いるため」 ×「マーケティング活動に用いるため」 |
プライバシーポリシーなどの記載では、利用目的の例示とともに、「上記利用目的以外の方法でお客様の個人情報を利用する場合は、その都度個別に利用目的をお知らせいたします。」と記載されている例が散見されますが、このような特定の仕方には注意が必要です。
なぜなら、後に利用目的を追加できるとなった場合には、取得時に利用目的の特定を要求する法の規律が骨抜きになってしまうので、このような方法では利用目的を特定しているとはいえないとされる可能性があります。
第3 利用目的の変更
利用編(https://www.kp-lo.jp/law-info/---1.html)でも説明しますが、当初特定していた利用目的を超えて個人情報を利用するためには、本人の同意を得る必要があります(法第16条第1項)。
但し、利用目的の変更について、変更前の利用目的と関連性を有すると合理的に認められる範囲であれば、本人の同意を得る必要はありません。この場合でも、変更後の利用目的に関して、本人に通知し、又は公表する必要があります(法第15条第2項)。
ここで、「変更前の利用目的と関連性を有すると合理的に認められる範囲」がどのような範囲をいうのかが問題となりますが、ガイドライン通則編では、「変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内」を指すものとしています。
例えば、以下のように変更する場合には本人が予期し得る限度と客観的に認められる範囲内であるとされています。
変更前 「当社が提供する既存の商品・サービスに関する情報のお知らせ」 変更後 上記変更前の利用目的に「新規の提供を行う関連商品・サービスに関する情報のお知らせ」を追加する場合 |
第4 利用目的の公表
事業者は、特定した利用目的について、原則として予め公表しておく必要があります(法第18条第1項)。利用目的を公表していない場合には、個人情報を取得した後、速やかに本人に通知し、あるいは公表する必要があります(同項)。
また、例えば、本人と契約を締結する際に本人の氏名等の情報を取得する場合がそうですが、契約書等の書面でもって個人情報を取得するような場合には、あらかじめ、本人に対し、利用目的を明示しなければならないとされています。
第5 要配慮個人情報の取得
要配慮個人情報とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等」が含まれる個人情報をいいます(法第2条第3項)。
「政令で定める記述等が含まれる個人情報」とは、身体障害、知的障害、精神障害や健康診断等の結果、医師による診療等の事実、刑事事件に関する手続きが行われた事実、少年事件に関する手続きが行われた事実をいいます(法施行令第2条)。
個人情報保護法では、要配慮個人情報がプライバシー性の高い情報であることに鑑み、原則として本人の同意を得ることが必要です。
なお、本人の同意を取得する方式は制限されていないので、口頭により同意を得ることは否定されていません。ただし、同意の取得の有無に関して争いが生じないように、何らかの形で記録化することは必要であると思われます。
第6 不適正な取得の禁止
事業者は、偽りその他不正の手段により個人情報を取得してはならないとされています。
偽りその他の不正の手段に該当するかどうかを一般的に画することは困難ですが、一例として本人に対し取得の事実を一切告げないまま個人情報を取得することが特に問題となると考えられます。
偽りその他の不正の手段に関する一例として、フェイスブック社に対する個人情報保護委員会による指導の事例が参考となります。
フェイスブック社では、「いいね!」ボタンが設置されているウェブサイトを閲覧した場合に、閲覧者がボタンを押さなくともユーザーIDやアクセス履歴等の情報を取得していました。この点について、個人情報保護委員会は、平成30年10月22日付けでフェイスブック社に対し、「いいね!」ボタンが設置されているウェブサイトを閲覧した場合に、ボタンを押さなくてもユーザーIDやアクセス履歴等の情報がフェイスブック社に送信されていたという仕組みについて、ユーザーへのわかりやすい説明や本人からの同意の取得の徹底等をするよう指導を行いました(https://www.ppc.go.jp/news/press/2018/20181022/)。
当時、フェイスブック社のプライバシーポリシーには、ユーザーの外部ウェブサイトにおける閲覧履歴を収集することが一応記載されていました。このような指導は、通常の人であれば、「いいね!」ボタンを押して初めて情報が送信されるものと想定するのが通常であるところ、ボタンを押さなくてもユーザーIDやアクセス履歴等の情報が送信されるというのは不意打ち的であろうということが考慮されたと思われます。
このフェイスブック社の指導に関する事例は、不適正な取得の禁止の一例として参考となると考えられます。
第7 まとめ
個人情報の取得に関しては利用目的を特定して、原則あらかじめ公表しておく必要があります。利用目的の特定については具体的に行う必要があり、特定の方法についてはガイドラインを参照しながら、具体的にどの程度記載するべきかを検討する必要があります。
また、一旦設定した利用目的と関連性を有すると合理的に認められる範囲を超えて利用目的を変更する場合には同意が必要となりますので、例えばプライバシーポリシーの改訂において利用目的を変更する場合には注意が必要です。
さらに、個人情報の取得自体には同意を得る必要がありませんが、それが要配慮個人情報に当たる場合には同意を取得する必要があります。要配慮個人情報とは平たく言えば人にしられたくない病歴などの情報をいいます。
不適正な取得についても制限されていますので、顧客等に誤解を生じさせかねないような形で個人情報を取得しないように注意が必要です。