個人情報保護法のルール①～取得・利用～

REAPRA CGTEAM

2024年2月16日 17:47

はじめに

こんにちは！CGチームインターン生です！

事業者向けの個人情報保護法上の義務は、大きく分けて①取得・利用、②保管・管理、③第三者提供、④開示請求の4つです。

今回はこのうちの①取得・利用について解説していきたいと思います。
ここは、特にプライバシーポリシーと関連が深い部分です。

個人情報保護委員会広報・お知らせマンガで学ぶ個人情報保護法マンガで学ぶ個人情報保護法　第4話

利用目的の特定・目的外利用の禁止

原則

利用目的を特定しなければならない。(17条1項)
原則として事前に本人の同意を得ないで個人情報を利用目的以外のことに用いてはならない。(18条1項)

事例①

アルバイトを募集しているサロン経営者・洋子さんの事例です。

洋子さんが、お客さんの会員情報を使ってアルバイトの勧誘をすることは個人情報保護法18条に反し、違法となります。

なぜなら、洋子さんはサロンの顧客へのサービスのために和美さんの電話番号を取得したのに、採用目的で使用しており、目的外利用にあたるからです。

洋子さんはどうすればよかったのでしょうか？
・お店にきた際に直接声をかける
・張り紙をする

上記のような対応をとることが考えられます。

事例②

Y病院の看護師XがY病院の医師の紹介を受けてA病院でHIV検査を受けた結果、HIVに感染していると診断され、その情報 (本件情報)がA病院の医師からY病院の医師にもたらされた後、Y病院内部で Xの労務管理を検討するために数名の幹部職員で共有されたことについて、裁判所は、Y病院は本件情報をXの診療目的で取得したのであるから、本件情報をXの労務管理目的で用いることは目的外利用にあたり、事前の本人の同意がない限り法16条1項に違反すると判示した (福岡高判平成 27年 1月 19日判時2251号 57頁)。

夏生利ほか「個人情報保護法コンメンタール」160頁

Y病院に勤めている看護師Xの、A病院での診断結果が、Y病院の労務管理のためにY病院内で共有された事例です。

XはY病院の労務管理のためにA病院を受診したわけではありません。
この場合、目的外利用にあたるため、病院は看護師Xの情報を共有してはいけません。

対象となる情報

個人情報
個人識別符号
要配慮個人情報
個人データ
個人保有データ

要配慮個人情報の取得

原則

要配慮個人情報は本人の同意を得ないで取得してはならない(個人情報保護法20条2項)。

対象となる情報

要配慮個人情報

赤い楕円の中に位置する情報が対象です。

主な例外

健康診断・ストレスチェックの結果は要配慮個人情報にあたるが、20条2項1号「法令に基づく場合」にあたるため、本人の事前同意なく取得してよい。

取得に際しての利用目的の通知

事例

スマートウォッチと連携するヘルスケアアプリを提供する事業者C社は,ユーザーの歩数や心拍数等のバイタルデータを収集していました。C社は,様々なアプリがダウンロードできるようになっているD社のプラットフォームに登録して,そのヘルスケアアプリを一般に公開していました。D社のプラットフォーム利用規約には,ユーザーのデータを収集する場合にはユーザーの同意を取得することが義務づけられていましたが,C社のプライバシーポリシーにはバイタルデータの収集について明示されておらず,C社はユーザーからの同意も取得していませんでした。
D社は,C社のプライバシーポリシーにおいて,バイタルデータの収集について適切な表示がされておらず,同意も取得していないことを理由に,D社のプラットフォームサービス上でのC社のアプリの公開を停止する措置を講じました。その結果,同プラットフォーム上でC社のアプリをダウンロードやアップデートすることができなくなり,C社のアプリのユーザー獲得に支障を来すようになりました。
この事例では,個人情報保護法上,要配慮個人情報には該当しないバイタルデータの収集について本人からの同意を取得することは必ずしも求められていませんが,プラットフォーマーとの契約上,その収集についての同意の取得が求められていました。特に,海外のプラットフォーマーとの契約上,日本の個人情報保護法以上の対応が求められている場合があるため,自社のプライバシーポリシーに不備がないかについては注意して確認する必要があります。

白石和泰ほか「プライバシーポリシー作成のポイント」8頁

スマートウォッチと連携するヘルスケアアプリの開発者C社と、アプリストアであるD社の事例です。