個人情報保護法の基礎知識 (4) – 個人情報の取得の場面
投稿日 : 2023年9月19日|最終更新日時 : 2023年9月19日| 秦野真衣
事業者における個人情報の取扱いは、当然ながら、個人情報を取得するところから始まります。個人情報を取得する前に注意しなければならないこと、及び個人情報を取得した後にすべきことは何なのかを見ていきたいと思います。
シリーズ一覧
個人情報の「取得」
個人情報を取得する場面は多岐にわたります。古典的には、記名式アンケートや応募はがきへの記載、問い合わせフォームに氏名や住所を入力してもらう場合やなどが考えられますが、ECサイトから商品の注文に伴うお客様情報の取得を行う場合や、自社サービスのアカウント情報に紐づいた情報の取得といったデジタルベースでの取得も一般的です。また、本人から直接取得する場合のみではなく、第三者から個人情報を取得することも考えられます。
取得する/したときにまずすべきこととは?
個人情報を取得した場合、まずは利用目的をできる限り特定することが必要となります(法17条1項)。特定した利用目的については、(法21条2項)しなければなりません。ただし、本人から直接書面で取得する場合は、あらかじめ本人に明示することが要求されています(法21条1・2項)。
また、個人情報の中でも病歴や犯罪の経歴などのセンシティブな情報については、として、取得の際に、あらかじめ「本人の同意」が必要となります(法20条2項)。
以下、詳しく見ていきます。
取得した個人情報の利用目的の「特定」
個人情報を取得した場合、まずその利用目的を特定しなければなりません(法17条1項)。利用目的は、個人情報の利用範囲の外延を決めるものですので、個人情報の本人から見て、その個人情報がどのように利用されるかが分かるものである必要があります。個人情報保護法ガイドライン(総則編)3-1-1においては、「最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」とされています。
なお、個人情報の「利用目的」と個人情報の「利用(処理)方法」は、厳密には別の概念です。例えば、当社の●●事業におけるサービスの提供、といった利用目的がある場合において、この利用目的のためにどういった方法で個人情報を処理するかについては、限定されていません。
ガイドラインには、「本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できないような場合は、(略)できる限り利用目的を特定したことにはならない。」との記載があります。これは、AIなどの処理技術が発達し、本人が予想できないような形で個人情報が処理される可能性があるため、利用目的のみでは予想できないような処理の方法を行う場合については、処理の方法についても併せて記載しないと個人情報の特定にはならない、ということを明確に示したものになります。したがって、例えば分析やスコアリングといった特殊な、または本人に不利益の及びうるような類型の処理を行う場合には、利用目的に明示しておくことが望ましいと考えられます。
配慮個人情報の取得
要配慮個人情報を取得するにあたっては、あらかじめ本人の同意を取得する必要があります。もっとも、本人から直接要配慮個人情報を取得する場合は、本人が提供した時点で、本人の同意があるといえますので、この規定が実際に問題となるのは、第三者から個人情報の提供を受ける場合や、公開情報からの取得であると考えられます。具体的には、第三者提供を受ける前に、提供元から本人に同意をとっているかを確認し、同意を得ていない場合は、同意を得てから提供を受けることなどが考えられます。
なお、例えば、本人が自ら公開している情報や、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときなど、いくつかの例外は存在します。
利用目的の通知・公表・明示(法21条)
利用目的を特定しても、これを本人が知り得なければ、利用目的を特定した意味がありません。そこで、個人情報保護法は、特定した利用目的について、原則として本人にあらかじめ通知等を行うことを求めています(法21条)。
通知等の方法としては、まず、下記の直接書面取得以外の場面においては、公表、すなわち、プライバシーポリシーなどでネット上に取得した情報の利用目的をあらかじめ公表しておけばそれで問題ありません。もっとも、プライバシーポリシー記載の利用目的とは別の目的で利用する場合については、本人に対して別途速やかに通知又は公表を行うこととなります。
一方、書面にて直接個人情報をには、あらかじめ利用目的の明示(明確に示すこと(ガイドライン3-3-4))が必要となります。「書面」については、契約書や懸賞応募はがき等の書面等による記載のほか、デジタルなメディア(法律上は、、といいます。)による場合も含まれますので、例えばユーザー入力画面への打ち込みの場合には、少なくとも送信ボタンを押す前に、ユーザーに利用目的が明示される形にする等といった注意が必要です。
直接取得 | 書面以外による取得 | 通知・公表 |
---|---|---|
書面取得 | あらかじめ明示 | |
間接取得 | 通知・公表 |
ただし、この通知・公表又は明示(以下、まとめて「通知等」といいます。)の義務については、いくつかの例外が設けられています。特に、「取得の状況からみて利用目的が明らかであると認められる場合」については、通知等は不要となっている点については、実務上もよく用いられるところです。わかりやすいところでは、例えば、名刺を受け取る行為は書面による直接取得であり、この場合は本人に対する利用目的の明示が必要となるところですが、受け取った名刺の利用目的が、一般的な名刺の利用(今後の連絡や所属する会社の広告宣伝など)の範囲にとどまる場合は、取得の状況からみて利用目的が明らかであるといえ、改めて利用目的を明示する必要はありません。
利用目的の変更
個人情報は、利用目的を超えて利用をすることはできません。特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合は、公衆衛生の例外や学術研究の例外といった一定の例外を除き、本人の同意を得る必要があります。
ただし、元の利用目的と関連性を有すると合理的に認められる範囲において変更する場合には、同意なしに利用目的を変更することができます。なお、変更した後の利用目的についても、本人への通知・公表又は明示は必要です。
「元の利用目的と関連性を有すると合理的に認められる範囲」については、ガイドライン上、変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内とされております。変更が認められると考えられる具体例と、変更が認められないと考えられる具体例については、個人情報保護委員会から発出されているQ&Aに記載されていますので、そちらを参考にしていただくのが良いと思われます。
「個人情報の保護に関する法律についてのガイドライン」に関するQ&A Q2-7 Q2-8
もっとも、実際に変更が可能かどうかについては、具体的事例を目の当たりにすると、その判断はやはり難しく、かといって、改めて本人に同意を取り直すのは現実的でない場合がほとんどであるため、取得時の利用目的の特定は慎重に行うべきです。なお、変更後の利用において内部利用のみを行う場合には、本人の同意なく利用目的が変更できる仮名加工情報の制度を利用することも有用です。
本記事に関するお問い合わせはこちらから。
(文責・秦野)