いよいよ、個人情報取扱事業者の具体的な義務の内容の解説に入ります。今回は、個人情報に関する義務についてです。
1 個人情報に関する義務
個人情報に関するルールをまとめると、以下のようになります。
(1) 個人情報の取得に関するルール
- 利用目的の特定(個人情報保護法15条)
- 取得に際しての利用目的の通知等(個人情報保護法18条)
- 適正な取得(個人情報保護法17条)
(2) 個人情報の利用に関するルール
- 利用目的による制限(個人情報保護法16条)
今回のコラムでは、これらのルールを詳しく解説します。
2 利用目的の特定(個人情報保護法15条)
(1) 農業経営者の皆さんは、従業員、取引先、顧客など、いろいろな人の個人情報を取得することがあると思います。個人情報保護法では、個人情報取扱事業者は、個人情報を取り扱うに当たっては(わかりやすく言い換えると、個人情報を取得するときは)、利用目的(何のために利用するか)を具体的に特定しなければいけない(決めなければいけない)ことになっています(個人情報保護法15条1項)。「利用」目的といっても、自分で個人情報を利用する場合に限られず、第三者に個人情報を提供する場合も、利用目的としてそのことがはっきりとわかるようにする必要があります。
どの程度具体的に決めなければいけないのかというと、「最終的にどのような事業のために使われ、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度」と考えられています。具体例を挙げると、「事業活動に用いるため」という利用目的では不十分とされていますが、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」という利用目的は構わないとされています。インターネットを通じて農作物の販売などを行っている農業経営者の方などは、参考にしてください。
(2) もっとも、利用目的を決めて個人情報を取得した後に、当初の利用目的とは別の目的で個人情報を利用したくなったということもあり得ます。そこで、個人情報保護法では、利用目的を変更することも認められているのですが、利用目的の変更は、「変更する前の利用目的と関連性があると合理的に認められる範囲」、簡単に言えば、本人が通常予想できる範囲内でしか行うことができません(個人情報保護法15条2項)。
このように、利用目的を後から変更することには限界がありますので、後で「こういう目的のためにも使いたかったのに……」ということにならないよう、最初に利用目的を決める際に、考えられる利用目的を全て挙げておくことをオススメします。
3 取得に際しての利用目的の通知等(個人情報保護法18条)
(1) 上記「2」で解説したとおり、個人情報取扱事業者は、個人情報を取得するときは利用目的を決めなければいけませんが、その決めた利用目的は、本人が知ることができるようにしなければいけません。そして、以下の①、②のどちらの方法で個人情報を取得するかによって、必要な対応が変わってきます。
① 書面(契約書など)やウェブサイトへの打ち込みなどによって直接本人から個人情報を取得するときは、取得する前に利用目的を本人に明示しておかないといけません(個人情報保護法18条1項)。
「明示」とは、利用目的をはっきりと示すことをいいます。明示の方法は、内容を本人が確認できる合理的で適切な方法でないといけないとされています。例えば、書面(契約書など)やウェブサイトへの打ち込みなどによって直接本人から個人情報を取得するときは、利用目的を書く場所や文字の大きさなどに気をつけて、本人の目に留まるようにするなどの対応が考えられます。
② ①以外の方法で個人情報を取得するときは、
- 個人情報を取得する前に、利用目的を公表しておく
- 個人情報を取得した後、すぐに利用目的を本人に直接伝える
- 個人情報を取得した後、すぐに利用目的を公表する
のいずれかの対応が必要になります(個人情報保護法18条2項)。
「公表」とは、広く一般に自分の意思を知らせることをいいます。公表の方法としては、ホームページのトップページから1回程度の操作でたどり着ける場所への掲載、事務所などへのポスターの掲載やパンフレットの備え置き、通信販売用のカタログ・パンフレットなどへの掲載といった方法が考えられます。
また、本人に直接伝える際の方法としては、口頭で知らせる、電子メールやFAXを送る、書面を直接渡すか郵便などで送る、といった方法が考えられます。
(2) また、上記「2」で解説した利用目的の変更をした場合は、変更された利用目的について、本人に直接知らせるか、公表しなければいけません(個人情報保護法18条3項)。具体的な方法については、上記「(1)」の「②」を参照してください。
(3) なお、取得の状況からみて利用目的が明らかであると認められる場合(個人情報保護法18条4項4号)など、一定の場合(個人情報保護法18条4項各号が定める場合)は、上記「(1)」、「(2)」で述べた対応をすることは不要とされています。
4 適正な取得(個人情報保護法17条)
(1) 個人情報取扱事業者は、不正な方法で個人情報を取得してはいけません(個人情報保護法17条1項)。
不正な方法とは、例えば、個人情報保護法で定められた個人データの提供のルールに違反して提供するように強要したり、本人をだましたりすることです。さらに、不正な方法によって取得された個人情報であることを知りながら、あるいは簡単に知ることができたにもかかわらず、そのまま個人情報を取得する行為も不正な方法に当たりますので、個人情報を取得する際は、自分が取得しようとしている情報が不正な手段で取得されたものでないかについても注意するようにしましょう。
(2) また、以前「要配慮個人情報」という概念を紹介しました。これは、本人に対する不当な差別や偏見などの不利益が生じないようにその取扱いに特に配慮が必要な内容(本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪によって被害を受けた事実など)が含まれる個人情報のことです(個人情報保護法2条3項参照)。この要配慮個人情報は、一定の場合(個人情報保護法17条2項各号が定める場合)以外、事前に本人の同意を得ないで、取得してはいけません(個人情報保護法17条2項本文)。
「一定の場合」として代表的なものを紹介すると、法令に基づく場合(個人情報保護法17条2項1号)や、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(個人情報保護法17条2項2号)などです。
「法令に基づく場合」とは、例えば、労働安全衛生法に基づいて実施した健康診断によって、従業員の身体状況、病状、治療等の情報を取得する場合などです。
「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」とは、例えば、急病などの事態が生じたときに、本人の病歴等を家族から聴き取る場合などです。
5 利用目的による制限(個人情報保護法16条)
上記「2」で解説したとおり、個人情報取扱事業者は、個人情報を取得するときは利用目的を決めなければいけません。そして、個人情報取扱事業者は、一定の場合(個人情報保護法16条3項各号が定める場合)以外、事前に本人の同意を得ないで、取得するときに決めた利用目的の達成に必要な範囲を超えて、個人情報を利用してはいけません(個人情報保護法16条1項)。事業承継(合併、分社化、営業譲渡など)に伴って個人情報を引き継いだ場合は、引き継ぐ前の利用目的の達成に必要な範囲を超えて、個人情報を利用してはいけません(個人情報保護法16条2項)。
「一定の場合」は、先ほど要配慮個人情報のところで述べたものと一部重なっていますが、代表的なものを紹介すると、法令に基づく場合(個人情報保護法16条3項1号)や、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(個人情報保護法16条3項2号)などです。
「法令に基づく場合」とは、例えば、刑事訴訟法に基づく捜査機関の捜査や、国税通則法に基づく税務調査などに対応する場合などです。
「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」とは、例えば、急病などの事態が生じたときに、本人の血液型や家族の連絡先などを医師や看護師に提供する場合などです。
当該コンテンツは、担当コンサルタントの分析・調査に基づき作成されております。
公開日