ニュース&トピックス

News and Topics

『改正個人情報保護法について』 その② 弁護士 齋藤 拓

(その①の続きです!)

第4 事業者が負う4つの義務について

1 個人情報の利用目的を特定して本人に通知又は公表する義務

まず,事業者は,個人情報の取扱いについて,
利用目的をできる限り特定しなければなりません。

たとえば,「○○事業における商品の発送,関連するアフターサービス,
新商品・サービスに関する情報のお知らせのために利用いたします。」となっていれば,
特定として十分であるとされています。

しかし,「事業活動に用いるため」,「マーケティング活動に用いるため」などとの
抽象的な記載にとどまる場合には,特定として不十分であるとされていますので注意が必要です。

その上で,個人情報を取得した場合には,
あらかじめ特定した利用目的を公表していない限り,
本人に対し,利用目的を通知するか,公表することが必要になります
(ただし,本人から直接書面で個人情報を取得する場合には,
利用目的を明示しなければならないことには注意してください。)。

2 目的外利用の禁止

(1) 目的外利用

事業者が取得した個人情報を,利用目的以外の目的で利用することは原則として禁止されています。

(2) 利用目的の変更

利用目的の変更について,個人情報保護法は,
変更前の利用目的と関連性がある場合にのみ,本人の同意なく変更できると定めています 。

具体的には,当初の利用目的を,
「会員カード等の盗難・不正利用発覚時の連絡のため」として
メールアドレス等を取得していた場合において,
新たに「当社が提供する商品・サービスに関する情報のお知らせを行う場合」は,
「関連性」がないとされています(※)。

ですから,蓄積した顧客情報を使ってダイレクトマーケティングしたいとお考えの場合には,
当初からその旨を利用規約やプライバシーポリシーに明記しておくか,
変更後の利用目的で個人情報を取り扱うことについて,
あらかじめ顧客の同意を得る必要があります。

これらの措置を採らない場合には,利用目的を変更した後に,
変更後に取得した顧客情報を使ってダイレクトマーケティングしなければなりません。

※「関連性」とは,「変更後の利用目的が変更前の利用目的からみて,
社会通念上,本人が通常予期し得る限度と客観的に認められる範囲内」とされています
(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」27頁,
以下単に「ガイドライン」といいます。)。

3 個人データの漏えい等を防止するための安全管理措置を講じる義務

個人データを取り扱う場合には,それが漏えいしたり,滅失したり,毀損したりしないよう,
「必要かつ適切な措置」を講じる義務があります。

この措置のことを「安全管理措置」といいます。

この安全管理措置には,以下(1)~(6)までの6つの措置があります。

もっとも,以下の措置については,
個人データといってもクレジットカード情報などの権利侵害が大きくなる可能性のある情報から,
顧客等に付している管理番号などの直ちに特定の個人が識別できない情報もあり,
また,社内に保有する個人データの数が数十件にとどまる会社もあれば,
数千万件を取り扱う大会社もあるわけですから,
「リスクに応じて」必要かつ適切な内容にすることが求められています(ガイドライン41頁)。

(1)基本方針の策定

プライバシーポリシーとも呼ばれる基本方針を策定し,

①事業者の名称
②関係法令・ガイドラインの遵守
③安全管理措置に関する事項
④質問及び苦情処理の窓口

の4項目を記載することが推奨されています。

(2)個人データの取扱いに係る規律の策定

「個人情報取扱規程」のような社内規程を策定することをいいます。

ただし,従業員100人以下の事業者であり,
個人データによって識別される特定の個人の数が過去6か月以内に5000を超えたことがなく,
委託を受けて個人データを取り扱う事業者ではない「中小規模事業者」であれば,
社内規程の策定に代えて,社内の告知文書や電子メール等で基本的な取扱方法を告知するなど,
個人データの取得,利用,保存等を行う場合の基本的な取扱方法を整備すれば足りるとされています
(ガイドライン86~87頁)。

(3)組織的安全管理措置

①組織体制の整備
②個人データ取扱いのルールに従った運用
③個人データの取扱状況を確認する手段の整備
④漏えい等の事案に対応する体制の整備
⑤取扱状況の把握及び安全管理措置の見直し

などの措置が求められます。

(4)人的安全管理措置

従業者(※)に,個人データの適正な取扱いを周知徹底するとともに,
適切な教育を行わなければならないとされています。

たとえば,定期的な研修や,個人データの秘密保持に関する事項を
就業規則に盛り込むなどの措置が必要であるとされています。

※ 「従業者」とは,雇用関係にある従業員のみならず,
取締役等の役員や,派遣社員等も含まれます(ガイドライン42頁)。

(5)物理的安全管理措置

個人データが漏えい等しないように,

①個人データを取り扱う区域の管理,
②機器及び電子媒体等の盗難等の防止,
③電子媒体等を持ち運ぶ場合の漏えい等の防止,
④個人データの削除及び機器・電子媒体等の廃棄などの措置が求められます。

(6)技術的安全管理措置

コンピュータで個人データを取り扱う場合には,
コンピュータから情報が漏えい等しないように,

①アクセス制御
②アクセス者の識別と認証
③外部からの不正アクセス等の防止
④情報システムの使用に伴う漏えい等の防止

などの措置が求められます。

(その③に続きます!)

当事務所は、(財)日本情報処理開発協会(JPDEC)より個人情報の適切な取扱いを行う事業者に付与される「プライバシーマーク」を取得しています。

法律相談

当事務所では、依頼者のために闘う弁護士がいるということを広く認知していただくため、法律相談料30分5,500円で応じております。まずは扉を開けて、気軽に悩みを我々にご相談ください。

法律相談料30分5,500円

法律相談申し込み »

弁護士法人マーシャルアーツ 書籍情報