個人情報の取得・利用の実務!具体例でわかりやすく解説します
法務

個人情報の取扱いには注意する必要があります。
サイバー攻撃による情報漏洩の被害がニュース等で報じられるほか、企業の管理の甘さが原因で個人情報が流出してしまう事件もよく耳にします。情報漏洩に対し世間の関心も高まっており、このような事件を起こしてしまうと信用を失い大きなダメージを負ってしまいます。

そこでリスクを軽減するためにも、個人情報保護法に則り適切な管理を維持することが大切になります。
そこで、まず個人情報とは何か、これを取得・利用する際には何に注意しないといけないのか、具体例を交えて解説していきます。

この記事の目次

個人情報には何がある?

個人情報保護法における「個人情報」とは、特定の個人を識別できる情報のことです。あくまで個人の情報が対象であり、法人自体の情報はここでの個人情報とは言いません。
例えば本人の氏名や顔写真などは基本的に個人情報にあたります。また生年月日や連絡先、SNSのアカウントなども、特定の個人を識別できるのであれば広く個人情報になり得ます。

ここで重要なのは、実質的に個人が識別できるかどうかということです。生年月日のみを与えられても通常は識別するに至りません。しかしその情報とメールアドレス、住所等を組み合わせれば識別できることがあり、その場合には個人情報として扱われることになります。

情報が組み合わさった例で言うと、採用時に利用した履歴書などは明らかに個人を識別できるものだと言えるでしょう。顧客との電話対応において録音することもあるかと思います。また監視カメラを設置している会社もあるでしょう。それぞれ音声や映像は個人情報です。そして個人情報に当たる場合、後述する利用目的の特定・利用制限・適正な取得・利用目的の通知といった義務を負うことになります。

個人情報データベース等

個人情報の取扱いにおける義務を負うのは「個人情報取扱事業者」です。この事業者とは、「個人情報データベース等」を事業の用に供している者と定められています。営利事業に限らず、法人格のない個人であっても該当し、その規模などは関係なく法の適用を受けます。次に個人情報データベース等についてですが、こちらは個人情報を容易に検索できるよう体系的に構成された集合体を指します。

アドレス帳が代表例です。特別なシステムである必要はなく、例えば社内PCのエクセルで名刺情報を整理している場合にはこれも個人情報データベース等に該当します。

他方、市販の電話帳や乱雑に名刺が詰め込まれたファイルなどはこれに該当しません。しかし通常は何かしらの情報を取得するとそれを整理し、すぐに取り出せるような状態にするかと思います。50音順にインデックスし、ファイリングするだけでも基本的には個人情報データベース等にあたりますので、多くの企業は個人情報取扱事業者であると言えるでしょう。

個人データ

同法では情報を分類し、重要度に合わせて段階的な義務規定を置いています。「個人情報」は最も広い意味を持ち、その中に「個人データ」という分類がなされます。
これは個人情報データベース等を構成する要素のことです。1枚の履歴書は単なる個人情報ですが、履歴書をデータベース状に保管した場合、その履歴書は個人データとして扱われます。紙媒体、電子媒体を問いません。

個人データに対しては個人情報で課されていた義務に加え、データの正確性確保・従業者の監督・委託先の監督・第三者提供の制限などの義務も課されます。

保有個人データ

「保有個人データ」はさらに狭義の情報です。個人情報の一部である個人データ、そのさらに一部を成すものが保有個人データです。これは企業側がデータの開示や内容の訂正、追加、削除等を行うことのできる権限を有する個人データを言います。ただし、政令で除外すると定められた個人データは該当しません。

利用目的は具体的に定める

上で紹介したいずれの情報も、本人から取得し、利用する場合にはその目的を定める必要があります。同法の条文にもそのような規定が置かれていますが、実際にどのように定めないといけないのか、実務上の疑問点に言及していきます。

利用目的の具体性

利用目的を設定し、本人へ通知、そして取得した情報は目的の範囲内で使うようにしなければなりません。 そこでできるだけ具体的に目的を特定する必要がありますが、このときの特定とは「一般的抽象的な特定」では不十分とされています。最終的にどのような事業の用に供されるのか、見た人が「合理的に想定できる程度の具体性」を帯びていることが望ましいです。

例えば「事業活動のために用いる」と定めていても抽象的すぎて実際どのように使われるのか理解できません。そこで「商品の発送や当社の関連商品・サービスに関する情報をお知らせするために利用します。」などと明示します。もちろん、取得する情報の内容に合わせて利用目的も考える必要があります。

利用目的は知らせなければならない

利用目的を具体的に定めても、その内容を本人が知らなければ意味がありません。そこで個人情報を取得する前にこれを知らせます。ただし一人ひとりに通知をしていては手間がかかり過ぎますので、個別に対処するまでの必要性はありません。本人が利用目的を知り得る状態に置いて「公表」すれば足りるとされています。

例えばホームページや事業所の分かりやすい場所に掲示しておけばここで言う「公表」にあたり、利用目的を知らせたと言えます。 しかしながら、本人から直接書面で個人情報を取得する場合には、利用目的を明示しなければなりません。

利用目的を変更したい場合

当初定めた利用目的を変更して個人情報を利用したいという場合もあるでしょう。この場合、変更前後の目的に関連性が認められる場合には変更ができると定められています。本人の同意も必要ありません。

例えば「商品の発送や当社の関連商品・サービスに関する情報をお知らせするために利用します。」という利用目的に「当社の新商品・新サービスに関する情報をお知らせするために利用します。」という内容を追加するのであれば関連性が認められ、変更に際しての同意も必要ないと考えられます。

目的外利用をするには?

原則、定めた利用目的以外に個人情報を使うことは禁止されます。ただし例外パターンが2つあります。1つは本人の同意を得た場合です。本人が認めている以上当然であるとも言えます。もう1つは法の定める除外規定に該当する場合です。

例えば警察からの照会に対応する場合や、急病により家族の連絡先を医師等に提供する場合、地方公共団体が行う統計調査への回答を行う場合などです。公衆衛生上の問題や人の命に関わるような緊急事態では本人の同意を得ることが難しいと想定されますので、このような規定が置かれています。

合併で個人情報を取得する場合

合併や事業承継によって他社の持つ個人情報を取得することもあります。この場合、自社側で定めていた利用目的と取得する個人情報とがそのままだとマッチしていない可能性もあります。そうすると合併等により目的の範囲を超えて取り扱うことになり、本人の同意を得る必要が出てきます。

合併のように大きな変化が起こる場合、問題も複雑化し、より個人情報の取扱いにも配慮が必要になります。そこで困ったことは専門家へ相談するようにし、トラブルに発展することのないよう対処すると良いでしょう。

まとめ

ここでは個人情報を取得するために注意すべきこと、特に利用目的の決め方や変更等について紹介しました。個人情報の分類には個人データなどいくつかありますが、ここで説明した義務規定は広く適用されるものです。

「勝手に目的とされていないことに利用をされた」と主張され争いが生じないよう、利用目的はできるだけ具体的に設定するようにしましょう。実際には各企業の事業内容に合わせた設定が必要になりますので、最適化するためにも専門家への相談がおすすめされます。

記事のキーワード*クリックすると関連記事が表示されます

メルマガ登録(毎週水曜配信)

SHARES LABの最新情報に加え、
経営に役立つ法制度の改正時事情報などをお送りします。