個人情報保護法のルール①~取得・利用~
はじめに
こんにちは!CGチームインターン生です!
事業者向けの個人情報保護法上の義務は、大きく分けて①取得・利用、②保管・管理、③第三者提供、④開示請求の4つです。
今回はこのうちの①取得・利用について解説していきたいと思います。
ここは、特にプライバシーポリシーと関連が深い部分です。
利用目的の特定・目的外利用の禁止
原則
利用目的を特定しなければならない。(17条1項)
原則として事前に本人の同意を得ないで個人情報を利用目的以外のことに用いてはならない。(18条1項)
事例①
アルバイトを募集しているサロン経営者・洋子さんの事例です。
洋子さんが、お客さんの会員情報を使ってアルバイトの勧誘をすることは個人情報保護法18条に反し、違法となります。
なぜなら、洋子さんはサロンの顧客へのサービスのために和美さんの電話番号を取得したのに、採用目的で使用しており、目的外利用にあたるからです。
洋子さんはどうすればよかったのでしょうか?
・お店にきた際に直接声をかける
・張り紙をする
上記のような対応をとることが考えられます。
事例②
Y病院に勤めている看護師Xの、A病院での診断結果が、Y病院の労務管理のためにY病院内で共有された事例です。
XはY病院の労務管理のためにA病院を受診したわけではありません。
この場合、目的外利用にあたるため、病院は看護師Xの情報を共有してはいけません。
対象となる情報
個人情報
個人識別符号
要配慮個人情報
個人データ
個人保有データ
要配慮個人情報の取得
原則
要配慮個人情報は本人の同意を得ないで取得してはならない(個人情報保護法20条2項)。
対象となる情報
要配慮個人情報
赤い楕円の中に位置する情報が対象です。
主な例外
健康診断・ストレスチェックの結果は要配慮個人情報にあたるが、20条2項1号「法令に基づく場合」にあたるため、本人の事前同意なく取得してよい。
取得に際しての利用目的の通知
事例
スマートウォッチと連携するヘルスケアアプリの開発者C社と、アプリストアであるD社の事例です。
D社のプラットフォーム利用規約には,ユーザーのデータを収集する場合にはユーザーの同意を取得することが義務づけられていました。
しかしC社のプライバシーポリシーにはバイタルデータの収集について明示されておらず,C社はユーザーからの同意も取得していませんでした。
D社は,C社のプライバシーポリシーにおいて,バイタルデータの収集について適切な表示がされておらず,同意も取得していないことを理由に,D社のプラットフォームサービス上でのC社のアプリの公開を停止する措置を講じました。
法令の原則を守ることはもちろんですが、法令以上に厳格なルールを敷いているプラットフォーマーや事業者も存在します。
まずは下記の法令の原則を大前提として守りつつ、実態に合ったプライバシーポリシーを作成するのがよいでしょう。
原則
本人以外から取得する場合
あらかじめ利用目的を公表している場合を除き、速やかにその利用目的を本人に通知or公表しなければならない。
本人から取得する場合
個人情報を書面で取得する場合には、利用目的を本人に明示する必要がある。
主な例外
取得の状況からみて利用目的が明らかである場合は通知・公表する必要はない。(21条4項4号)
例えば…
商品発送のために郵送伝票に氏名・住所を記入してもらう場合
おわりに
note作成のために個人情報保護委員会のHPを見ていたら、進撃の巨人コラボが行われていて驚きました。
©諫山創・講談社/「進撃の巨人」The Final Season製作委員会
この記事が気に入ったらサポートをしてみませんか?