個人情報の取扱い

  • Q&Aの内容は、作成日時点の情報に基づき正確を期するようにしておりますが、最新の法令、判例等との一致を保証するものではございません。また、具体的な案件を想定して作成しておりませんので、個別の案件につきましては専門家にご相談下さい。

質問をクリックすると回答が開きます。 もう一度クリックすると回答が閉じます。

Q00195 当社はメールマガジンの配信のサービスを行っていますが、購読ユーザーの個人情報をユーザーの承諾をとらずにメール配信業者に提供することは、個人情報保護法に反するのでしょうか。

個人情報の第三者への提供は、原則として本人の同意が必要ですが、一定の例外が認められています。この例外のひとつとして、利用目的の達成に必要な範囲内において、第三者に個人情報の取扱いを委託する場合があります。メールマガジンの配信に必要な業務を配信業者に委託し、そのために必要な範囲で個人情報を当該業者に提供することは、この上記例外に該当するため、ユーザーの個別の同意は不要と考えられます。
(作成日:2012年1月27日)

Q00196 インターネット上の個人ユーザー向けのサービスにユーザー登録してもらう場合に、個人情報の利用目的を本人に通知する必要があると聞いたのですが、プライバシーポリシーをサイトに載せているだけでは駄目なのでしょうか。

個人情報保護法上、個人との間で契約を締結することに伴って書面又は電磁的な方法に記載されたその人の個人情報を取得する場合には、あらかじめ本人に対し、その利用目的を明示しなければならないとされています。インターネット上のサービスについては、本人が個人情報の送信ボタン等をクリックする前等にその利用目的を表示したり、利用目的の内容が示された画面に1回程度の操作でページ遷移するよう設定したリンクボタンを表示したりして、本人の目に留まるようにする必要があると解されています。したがって、利用目的を記載したプライバシーポリシーを掲示している場合には、ユーザーが個人情報を入力する画面等で、そのプライバシーポリシーへのリンクを分かりやすく表示する必要があると考えられます。
(作成日:2012年1月27日)

Q00197 ユーザーから取得した個人情報の第三者提供を予定しており、個人情報の取得時にユーザーからその承諾をとるのですが、提供先の第三者における個人情報の利用目的も当社の方で開示する必要があるのでしょうか。

個人情報の提供者側で、提供先の利用目的まで開示する義務はありません。ユーザーから理解を得るビジネス上の必要から、開示する対応をとることは考えられますが、個人情報保護法上の義務ではありません。なお、提供先の方で利用目的を公表等する必要はあり、その義務が履行されないとトラブルの原因になり得るため、提供先がきちんと公表等を行うよう提供先との間できちんと確認しておくことは必要と考えられます。
(作成日:2012年1月27日)

Q00198 個人情報の漏洩事故が生じた場合、その漏洩の事実を公表すべきでしょうか。また、特定の所轄官庁に報告する必要があるでしょうか。

個人情報保護法上は、漏洩事故時における公表や報告の義務は法令上の義務としては規定されていません。しかし、事故の発生を公表したり、個人情報が漏洩した本人に通知することによって、当該情報の悪用などの被害拡大を抑制できる場合があります。そのような場合には、公表や通知を行わなかったことで、拡大した被害についての責任を後日問われる可能性があるため、かかるリスクを回避する観点からは積極的な公表や通知を検討すべきであり、その際必要に応じて所轄官庁に報告し、指示を仰ぐことが考えられます。
なお、経済産業省のガイドラインによれば、事故又は違反への対処として、①事実調査、原因の究明、②影響範囲の特定、③再発防止策の検討、実施④影響を受ける可能性のある本人への連絡、⑤主務大臣等への報告⑥事実関係、再発防止策の公表という措置を講じることが望ましいとされており、参考になります。
(作成日:2012年1月27日)