こんにちは、前田です。
今回からは、個人情報保護法の具体的な中身について、その概要をお話していきます。
今日は、個人情報を取得して自社でこれを利用したい場合の、利用目的の公表等につきお話しします。
個人情報取扱事業者は、取得した個人情報を利用したいわけですが、原則としてこれを勝手に利用することは出来ません。
個人情報保護法18条1項で、
「個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない」
と、規定されています。
個人情報を大量に扱う場合には、個人情報を取得して利用するごとに本人に通知するのは大変ですから、通常は利用目的をあらかじめ公表しておく場合が多いのではないかと思います。
そこで、「公表」とはどういう場合をいうかというと、広く一般に自己の意思を知らせること(国民一般その他不特定多数の人々が知ることが出来るように発表すること)をいいます。この公表の方法は自社の事業の性質や個人情報の取り扱い状況に応じて、合理的かつ適切な方法で行う必要があります。
すなわち、
・ホームページ上でトップページから1回程度クリックすれば見ることの出来る画面に利用目的を載せる。
・パンフレットに記載して社内等に備え置く。
・店舗販売なら、店舗や事務所内にポスター等を掲示する。
・通信販売なら通信販売用のパンフレットに載せる。
などの方法があります。
もっとも、同法18条2項で、契約書等の書面を交わし、その書面上の個人情報を取得して利用する場合には、上記の同法18条1項にかかわらず、「本人に対し、その利用目的を明示しなければならない」とされています(ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りではありません)。
たとえば
・申込書・契約書に記載された個人情報を本人から直接取得する。
・アンケートに記載された個人情報を本人から直接取得する。
・懸賞の応募はがきに記載された個人情報を本人から直接取得する。
等の場合には、利用目的の明示が必要です。
この場合には、例えばその契約書その他の書面に利用目的を明記し、その記載箇所を本人に伝える、あるいはネットワーク上であれば本人の目にとまるように配置に配慮した上で、ウェブ画面上や本人の端末操作上にその利用目的を明記するといったことが必要です。
このように、個人情報を利用するためには利用目的を定め、これを公表等する必要があります。
そして、上記を裏返せば、利用目的の達成のために必要な範囲を超えて個人情報を扱う必要が生じた場合には、原則として本人の同意が必要になるのです(同法16条1項)。
では、どういう場合であれば「本人の同意」を得たと言えるのでしょうか。
・同意する旨を、本人から口頭又は書面で確認する。
・本人が署名又は記名押印した同意する旨の文書(申込書等)を受領して確認する。
・本人から同意する旨のメールを受信する。
・本人に、同意する旨の確認欄にチェックをしてもらう。
・本人に、同意する旨のウェブ画面上のボタンをクリックしてもらう。
・本人に、同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力をしてもらう。
などの方法があります。
また、利用目的を変更した場合にも、本人に通知し、又は公表しなければなりません。
この場合の「公表」についても、上記の公表と同様に考えられます。
これらの規定には適用除外がありますが、これについては次回お話ししようと思います。
ただ、適用除外は例外的な場合ですので、原則として利用目的の公表等は必要です。
次回、併せて利用目的の定め方についてもお話しいたします。
弁護士 前田瑞穂