改正個人情報保護法が、平成29年5月30日より全面施行されます。
改正前の個人情報保護法では、5,000件を超える個人情報を保有する事業者のみが個人情報保護法の適用対象でした。
しかし、改正個人情報保護法では、保有している個人情報が5,000件以下の事業者であっても、適用の対象になります。
これまで個人情報保護法の適用対象ではなかった小規模事業者も、個人情報保護法の規制を把握し、対応する必要があります。
では、個人情報を「取得」する際、企業はどのような対応をすればいいのでしょうか。
企業が個人情報を取得する際には、取得する個人情報の利用目的を明確にし、その目的を本人に通知、又はHPや事業所内の掲示等で公表する必要があります。
個人情報を「取得」する際のルールは、主に以下です。
- あらかじめ利用目的をできる限り特定しておき、
- 個人情報を取得する際にこれを本人に通知・公表などしたうえで、
- その利用目的の範囲内でのみ、個人情報を取り扱う必要があります。
- 個人情報を取得する方法も適正なものでなければなりません。
以下、それぞれご説明します。
取得時の利用目的の特定、通知・公表等
事業者は、個人情報を取り扱うに当たっては、その利用目的を特定しなければなりません。また、個人情報を取得するに当たっては、次の2点のいずれかを行う必要があります。
(a)取得前にあらかじめ、その利用目的を公表する
(b)個人情報を取得した後速やかに、その利用目的を本人へ通知、又は公表する
なお、書面によって本人から直接個人情報を取得する場合には、あらかじめ本人にその利用目的を明示しなければなりません。
会社は、トラブルが発生する場合に備えて、受け取るべき書面に利用目的を明記しておくなどの工夫をするなど、利用目的を明示したことの証拠を残しておくとよいでしょう。
例えば、アンケート用紙に記入してもらう場合には、そのアンケート用紙に利用目的を印刷しておくという方法があります。
また、ウェブサイトの画面上で顧客に個人情報を入力してもらい、画面上の送信ボタンを押すという方法の場合には、入力の際に利用目的を閲覧することができるように画面表示するなど、明示するための措置が必要となります。
適正な手段による取得等
事業者は、偽りその他不正な手段によって個人情報を取得してはなりません。
要配慮個人情報(心身の機能障害や健康診断結果、刑事事件に関する手続きが実施されたことなど、本人に不当な差別や偏見などが生じないように特に配慮が必要な情報)を取得するに当たっては、原則として本人の同意をとる必要があります。
利用目的の変更
事業者は、特定した利用目的の範囲内で個人情報を取り扱わなければならず、その目的の範囲を超えて取り扱う場合には、あらかじめ本人の同意をとる必要があります。
もっとも、変更前の利用目的に関連すると合理的に認められる範囲内であれば、利用目的を変更することができます。
利用目的を変更した場合は、変更された目的を本人へ通知、又は公表する必要があります。
