[個人情報保護法] 第2回:個人情報の取得
1.取得の場面における検討の流れ
個人情報を取得する場面では、情報の取り扱いについて事前検討をしたうえで(プライバシー・バイ・デザイン)、その内容に照らして利用目的を特定し(個人情報保護法(以下「法」という)15条)、その内容を通知・公表して(法18条)、個人情報を取得する(不適正な取得は許されない(法17条))ことになる。本人から第三者提供などに関する同意(法23条1項等)を取得する場合、個人情報取得時に取得することが通常であるため、同意の取得についても併せて説明する。また、取得の場面を含め、個人情報の取扱いにおいては、透明性が必要となるため、透明性に関する議論も説明する。第三者提供を受ける際の確認等(法26条)については、第三者提供の場面において、法25条と併せて説明する。
取得の場面に関しては、令和2年個人情報保護法改正による直接の影響はない。
*企業が個人情報を取り扱う場面のイメージ(取得の場面は①)
*取得の場面において情報を取扱う流れのイメージ
2.プライバシー・バイ・デザイン
プライバシー・バイ・デザインとは、プライバシー情報(個人に関する情報をいう。「パーソナルデータ」と表現されることも多い。)を扱うあらゆる側面において、適切に取り扱われる環境を設計段階で検討し、あらかじめ作り込もうというコンセプトをいう。個人情報保護法上で、プライバシー・バイ・デザインに関して直接定めた規定はないが、情報の取扱いについて、事前に十分に検討しておかないと、実際にサービスインした後に、プライバシー侵害の程度が大きく、情報を利用できないという事態にもなりかねないため、プライバシー・バイ・デザインの考え方に沿った検討が必要となる。
プライバシー・バイ・デザインには7つの基本原則があるが、その中で特に重要なものとして、次の3つがあげられる。
- ・事後的でなく事前的、救済策的でなく予防的であること
- ・プライバシー侵害が発生する前に、予想、予防すること
- ・全機能的であること。ゼロサムではなくポジティブサムであること
プライバシー・バイ・デザインの一環として、プライバシー影響評価(PIA)がある。プライバシー影響評価(Privacy Impact Assessment : PIA)とは、個人情報・プライバシー情報の収集を伴う情報システムの導入にあたり、プライバシーへの影響度を「事前」に評価し、その構築・運用を適正に行うことを促す一連のプロセスをいう。特に、新しいサービスを提供する場合に、プライバシーへの影響が大きいと考えられる場合には、プライバシー影響評価を実施し、必要な対策を行うことが重要である。
3.利用目的の特定(法15条)
法15条1項では、「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない。」とされている。企業は、取得した個人情報を利用目的の範囲内でしか取り扱うことができないことから(法16条)、利用目的の特定は、個人情報保護法でもとりわけ重要である。
利用目的の特定に際して、利用目的の対象が広すぎると、個人(本人)の想定を超えた利用がなされてしまう可能性があるが、逆に、狭すぎると、利活用が制限されてしまう。
個人情報保護委員会は、特定の程度について、個人情報取扱事業者が、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、本人にとっても、自己の個人情報がどのような事業の用に供され、どのような目的で利用されるかが、一般的かつ合理的に想定できる程度に特定すればよいとしている(委員会Q&A2-1)。
委員会ガイドライン(通則編)3-1-1では、具体的に利用目的を特定している事例として、事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合があげられている。
4.利用目的の通知・公表(法18条)
個人情報を取得する際には、① 取得前にあらかじめ、その利用目的を公表するか、② 個人情報を取得した後速やかに、その利用目的を本人へ通知、又は公表する必要がある(法18条1項)。そして、法18条2項では、前項の特則として、個人本人から書面(電磁的記録を含む)に記載された個人情報を直接取得する場合、あらかじめ、本人に対し、利用目的を明示しなければならないとされている。例として、申込書・契約書やアンケート等、ホームページの入力画面に入力した個人情報を本人から直接取得するケースがあげられる。
利用目的の通知・公表は、事後的でもよいとされているが、企業のホームページ上では、利用目的の通知・公表等のため、「個人情報の取扱い」「プライバシーポリシー」などの名称を付した文書を掲載していることが通常である。どのような名称を付すかは、企業の自由であるけれども、プライバシーポリシー(狭義)は、個人情報保護を推進する上での考え方や方針といった理念的な規程(個人情報保護指針)を意味することに注意が必要である。「個人情報の取扱い」「プライバシーポリシー」はともに、利用規約(サービス約款)の一部のうち、特に、個人情報に関する取扱いを明らかにするものであり、利用規約との結びつきが不明である場合、それらに記載されている第三者提供に関する同意など自体が適切に取得されていないことになるため、注意が必要である。
5.適正な取得(法17条)、要配慮個人情報の取得、データ最小化
企業は個人情報を、適正に取得しなければならない。個人情報保護法では、企業は、偽りその他不正な手段によって個人情報を取得してはならないとされている(法17条1項)。法17条1項に該当する事例として、委員会ガイドライン(通則編)では、十分な判断能力を有していない子供や障害者から、取得状況から考えて関係のない家族の収入事情などの家族の個人情報を、家族の同意なく取得する場合などが上げられている。
また、法17条2項では、要配慮個人情報の取得について、原則として、事前に本人から同意を得ることが必要とされている。要配慮個人情報とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」(法2条3項)に該当するものであり、取り扱う情報がこれらに該当する可能性がある場合には、取扱いについて注意が必要である。なお、要配慮個人情報は、オプトアウトによる提供はできない(法23条2項)。
そのほか、取得の場面に限らない議論であるが、データの取得、利用などの取扱いの際には、利用目的達成のために必要最低限でなければならないという、データ最小化の考え方を念頭に置く必要がある。2020年6月下旬、米グーグルが、インターネット検索やウェブ閲覧の履歴保存を原則として18カ月までとして、同期間が過ぎると自動消去すると発表したことも、必要ではない情報は取り扱わないという考え方に基づくものと評価できる。
6.「同意」の取得について(法23条等)
法律上一般に、同意とは、他人の行為に許諾ないし肯認の意思表示をすることをいう。口頭でも成立するが、同意の対象となる内容が重要な場合、同意の存在を客観的に明らかにするために、各当事者が記名押印又は署名捺印した契約書、覚書などの書面を作成することが通常である。
個人情報保護法上で、同意が必要とされる場合は、16条、17条、23条、24条など複数あるが、特に実務上は、個人データを第三者に提供する場合(法23条1項本文)における同意取得が問題となることが多い。
個人情報保護法上、「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう。また、「本人の同意を得(る)」には、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない(委員会ガイドライン(通則編)2-12)。
委員会ガイドライン(通則編)で、以下①~⑥は、本人の同意を得ている事例とされている。
①口頭による意思表示、②書面(電磁的記録を含む。)の受領、③メールの受信、④確認欄へのチェック、⑤ホームページ上のボタンのクリック、⑥音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力
実務上は、同意取得の種類対象となる個人情報やプライバシーの要保護性の高さ、対象となる人数など、プライバシー侵害を根拠として損害賠償請求をされた場合や、利用できない場合におけるリスクに応じ、どのような方法で同意を取得するかを検討する必要がある。また、要配慮個人情報など特に重要な情報については、包括的な同意の他に、個別に表示して同意取得をするなどの方法も検討するべきである。
2019年に個人情報の取り扱いが問題となったリクナビDMPフォロー問題においても、個人情報保護委員会は、「リクルートキャリアのプライバシーポリシーの記載内容は、現DMPフォローにおける個人データの第三者提供に係る説明が明確であるとは認めがたい」として、指導(法41条)をしており、第三者提供については、透明性がある説明をした上で、適切に同意を取得するように注意が必要である。
7.透明性
透明性とは、個人に、企業における情報の取扱いについて、容易に理解できる内容、かつ、容易にアクセスできる方法を提供することをいう。
個人情報保護法上、透明性に関する定義はないが、取得から本人対応に至る場面まで、透明性を高めるための手段が採用されている。透明性が低い場合には、情報の取扱いが必ずしも違法とは評価されない場合でも炎上するケースが多い。企業は、いわゆる炎上を防ぐためにも、情報の取扱いなどに関するわかりやすい説明などを心掛け、意識的に透明性を高めていくことが重要である。