個人情報の取扱・利用・提供に関しては以下のルールを遵守する。
(1)
利用目的
@ 利用目的の特定
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その
利用目的をできる限り特定しなければならない(法15条1項)。
例 「毛髪製品の製造及び販売事業並びに育毛事業における
商品の発送、役務の提供、関連するアフターサービス、新商
品・サービスに関する情報のお知らせの為に利用いたしま
す。」
A 利用目的の通知・公表等
a
利用目的の通知・公表
個人情報取扱事業者は、個人情報を取得した場合は、あらか
じめその利用目的を公表している場合を除き、速やかに、その
利用目的を、本人に通知し、又は
公表しなければならない
(法18条1項)。
※ 公表
「公表」とは、広く一般に知らしめることをいう。ただし、公表に
当たっては、事業の性質及び個人情報の取扱状況に応じ、
内容が本人に認識される合理的かつ適切な方法によらなけ
ればならない。
◎参考該当事例
1) ウェブ画面中のトップページから1回程度の操作で到達でき
る場所への記載、自社の店舗・事務所内において見やすい
場所へのポスターの掲示、パンフレット等の備置き・配布等
2) 通信販売においては通信販売用のパンフレット等への記載
等
※ 本人に通知
「本人に通知」とは、本人に直接知らしめることをいい、事業の
性質及び個人情報の取扱状況に応じ、内容が本人に認識さ
れる合理的かつ適切な方法によらなければならない。
◎参考該当事例
1)面談においては、口頭又はチラシ等の文書を渡すこと。
2)電話においては、口頭又は自動応答装置等で知らせること。
3)隔地者間においては、電子メール、ファックス等により送信す
ること、又は文書を郵便等で送付すること。
4)電話勧誘販売においては、勧誘の電話において口頭の方法
によること。
5)電子商取引においては、取引の確認を行うための自動応答
の電子メールに記載して送信すること。
b
利用目的の明示
あらかじめその利用目的を公表している場合であっても、契約
書その他の書面(電子的方式、磁気的方式で作られる記録を
含む。)により本人から直接個人情報を取得する場合には、あ
らかじめ、本人に対し、利用目的を明示しなければならない。た
だし、人の生命、身体又は財産の保護のために緊急に必要が
ある場合は、この限りでない (法18条2項)。
c 利用目的の通知・公表の例外
次の場合は、利用目的を通知・公表しなくてもよい
(法18条4項)。
ア 利用目的を本人に通知又は公表することにより、本人又は第
三者の生命、身体、財産その他の権利利益を害するおそれ
がある場合
イ 利用目的を本人に通知又は公表することにより、当該個人情
報取扱業者の権利又は正当な利益を害するおそれがある場
合
ウ 国の機関又は地方公共団体が法令の定める業務を遂行す
ることに対して協力する必要がある場合であって、利用目的
を本人に通知又は公表することにより、当該業務の遂行に
支障を及ぼすおそれがある場合
エ 取得の状況からみて利用目的が明らかである場合
B 利用目的の変更
個人情報取扱事業者は、利用目的を変更する場合には、変更前
の利用目的と相当の関連性を有すると合理的に認められる範囲
を超えて行ってはならず(法15条2項)、変更された目的につい
て、本人に通知し、又は公表しなければならない(法18条3項)。
C 利用目的による制限
a
利用目的による制限
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、
利用目的の達成に必要な範囲を超えて、個人情報を取り扱っ
てはならない(法16条1項)。
※ 本人の同意
「本人の同意を得る」とは、あらかじめ本人に個人情報の利
用目的に関する情報を提供した上で、本人からその利用目
的にかかる利用を承諾する旨の意思表示を得ることをい
う。
◎参考該当事例
1) 本人の口頭での同意
2) 同意書への本人による署名捺印
3) 同意する旨のメールの受信
4) 同意する旨の確認欄へのチェック
5) 同意する旨のボタンクリック
6) 音声入力・タッチパネルによる承諾
b 事業承継による個人情報の取得の場合
個人情報取扱事業者は、合併その他の事由により他の個人情
報取扱事業者から事業を承継することに伴って個人情報を取得
した場合は、あらかじめ本人の同意を得ないで、承継前におけ
る当該個人情報の利用目的の達成に必要な範囲を超えて、当
該個人情報を取り扱ってはならない(法16条2項)。
c 例外
次の場合は、abの例外として個人情報を取り扱うことができる
(法16条3項)。
ア 法令に基づく場合
イ 人の生命・身体又は財産の保護のために必要がある場合で
あって、本人の同意を得ることが困難であるとき。
ウ 公衆衛生の向上又は児童の健全な育成の推進のために特に
必要がある場であって、本人の同意を得ることが困難である
とき。
エ 国の機関又は地方公共団体又はその委託を受けた者が法令
の定める事務を遂行することに対して協力する必要があっ
て、本人の同意を得ることにより当該事務の遂行に支障を及
ぼすおそれがあるとき。
(2) 取得
@ 取得目的の明確化
個人情報の取得の目的を明確にし、必要でない個人情報は取得
しないようにする。
A 不正取得の禁止
不正手段(窃盗・脅迫・偽り等)により個人情報を取得してはなら
ない(法17条)。
(3)
第三者への提供
@ 第三者への提供の制限
個人情報取扱事業者は、次の場合を除くほか、あらかじめ本人の
同意を得ないで、個人データを第三者に提供してはならない
(法23条1項)。
a 法令に基づく場合
b
人の生命・身体又は財産の保護のために必要がある場合であ
って、本人の同意を得ることが困難であるとき。
c
公衆衛生の向上又は児童の健全な育成の推進のために特に
必要がある場合であって、本人の同意を得ることが困難である
とき。
d
国の機関又は地方公共団体又はその委託を受けた者が法令
の定める事務を遂行することに対して協力する必要があって、
本人の同意を得ることにより当該事
務の遂行に支障を及ぼす
おそれがあるとき。
A 第三者に該当しないもの
次に掲げる場合は、個人データの提供を受ける者は、第三者に
該当しないものとする(法23条3項)。
a 委託
個人情報取扱事業者が利用目的の達成に必要な範囲内にお
いて個人データの取り扱いの全部又は一部を委託する場合
b 事業の承継
合併、分社化、営業譲渡等による事業の承継に伴って個人デ
ータが移転される場合
c 共同利用
個人データを特定の者との間で共同して利用する場合であっ
て、その旨及び以下の事項について、あらかじめ本人に通知
し、又は本人が容易に知りうる状態に置いているとき。
ア 共同して利用される個人データの項目
イ 共同して利用する者の範囲
ウ 利用する者の利用目的
エ 利用する者の当該個人データの管理について責任を有する
者の氏名又は名称
◎第三者提供とされる事例
1)
親子会社、グループ会社の間で、一方が他方に個人データ
を提供し、又は相互に提供しあう場合
2)
同業者間で、一方が他方に個人データを提供し、又は相互
に提供しあう場合
B オプトアウト
個人情報取扱事業者は、第三者提供におけるオプトアウトを行っ
ている場合は、本人の同意なく、個人データを第三者に提供する
ことができる。
※ オプトアウト
「第三者提供におけるオプトアウト」を言い、提供に当たり、あら
かじめ、以下の情報を本人に通知し又は本人が容易に知りうる
状態に置いておくとともに、本人の求めに応じて第三者への提
供を停止することをいう。
ア
第三者への提供を利用目的とすること。
イ 第三者に提供される個人データの項目
ウ 第三者への提供の手段又は方法
エ
本人の求めに応じて第三者への提供を停止すること。
|
