1 前回は、「個人情報」や「個人情報取扱事業者」の定義といった、個人情報保護法を理解する上で必要となる基礎的なところをご説明させていただきましたが、今回は、個人情報を取得する場面での注意点についてご説明させていただきます。
個人情報の取得の場面での主な注意点としては、以下の4点があります。
2 注意点①:不正の手段による取得の禁止
まず、利用目的を偽る等、不正の手段によって個人情報を取得することはできません。取得者自身が不正の手段を用いることはもちろん、提供元の事業者によって不正に取得された情報であることを認識した状態で個人情報を取得することも禁止されます。
3 注意点②:要配慮個人情報の取得には原則として本人の同意が必要
次に、取得しようとする情報に、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害事実、健康診断の結果等、その取扱いに特に配慮が必要な情報(要配慮個人情報)が含まれる場合は、原則として、個人情報の取得前に本人の同意を得る必要があります。
ただし、法令に取得の根拠となる規定がある場合など、一定の例外的な場合には、要配慮個人情報が含まれていても、本人の同意を得ずに取得することが可能とされています。
要配慮個人情報には、健康診断の結果も含まれますが、従業員の雇い入れの際の健康診断や定期健康診断は、法令により実施することを義務付けられているものですので、上記例外的な場合として、そのような健康診断の結果の取得には本人の同意は不要です。一方で、法令により実施が義務付けられていない健康診断の結果については、その取得に本人の同意が必要となります。
4 注意点③:利用目的の特定、利用目的の通知・公表・明示
個人情報取扱事業者は、個人情報の利用目的をできる限り特定しておく必要がありますが、「利用目的の特定」は、一般的抽象的に特定するのでは足りず、個人情報がどのような事業に関し、どのような目的で利用されるのか、本人が想定できる程度に具体的に特定する必要があります。
また、個人情報保護法上は、「個人情報取扱事業者が個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。」とされていますが、個人情報を取得する都度、本人に利用目的を通知することは面倒ですから、ホームページなどで、プライバシーポリシーを公表しておくことがお勧めです。
そして、従業員や顧客から個人情報が記載された契約書、申込書、アンケート等を取得する場合など、本人から個人情報を書面等により直接取得する場合は、取得前に利用目的を明示する必要がありますので、個人情報の利用目的を明記した契約書、申込書、アンケート等の雛形を作成しておく必要もあるでしょう。
5 注意点④:第三者から個人データの提供を受ける場合の、確認・記録・保存義務
個人情報取扱事業者が第三者から個人データ(個人情報がデータベース化されたもの)の提供を受ける場合は、提供元の第三者の氏名、住所、取得経緯等の確認をした上、個人データの提供を受けた年月日、確認に係る事項等を記録し、一定期間保存する義務が、個人情報保護法上課されています。
ただし、この義務は、法令に基づく取得の場合等、適用が除外される場合が少なくありませんので、第三者から個人データの提供を受ける場合は、これら確認・記録・保存の負担を軽減するため、これらの義務が除外される場合に該当しないか、まず検討することとなります。
契約書の作成、チェックといった紛争予防法務から、実際に紛争になった場合の交渉・訴訟対応まで、数多くの案件に携わってまいりました。話しやすい雰囲気と分かりやすい説明を心がけて業務に取り組んでいます。