個人情報保護法のエッセンス＜企業経営者へのアプローチに役立つ法律講座 第２回＞

鳥飼総合法律事務所 弁護士
佐藤香織

2021/7/17

第2回　個人情報保護法のエッセンス【後編】

前編はこちら

１　個人情報保護法で事業者が守るべきルール

前回、個人情報保護法について、個人情報保護法が適用される者、個人情報の定義、などをご説明しました。
今回は、個人情報保護法が適用される事業者が、何を守らなければならないのかについて、重要なところを2点、説明します。

２　個人情報を取得・利用する時のルール

まず1点目です。
個人情報を取得した事業者は、その利用にあたって以下のルールを守らなければなりません。

①個人情報の利用目的を具体的に特定する。
利用目的は、できる限り具体的に特定します。
例えば、ある商品販売のために個人から氏名・住所などを取得する場合は、「〇〇事業における商品の発送のため」などとします。
そのため、「お客様のサービス向上のため」などの抽象的な利用目的では、具体的に特定したことにはなりません。

②特定した目的を公表する。あらかじめ公表していない場合は、本人に通知、または公表する。
「公表」とは、広く一般に自己の意思を知らせることです。
例えば、自社のホームページからワンクリック程度で到達できる場所へ掲載するとか、自社店舗や事務所などお客様が訪れることが想定される場所にポスターやパン フレット等を置いて配布する、などがこれに当たります。

③取得した個人情報は、特定した利用目的の範囲内で利用する。
例えば、上記①で説明した「商品の発送のため」という目的で個人情報を取得した場合、その情報は「自社商品の宣伝」には使えません。

④すでに取得した個人情報を他の目的で利用したい場合には、本人の同意を得る。
本人の同意は、法律上はその方法に制限はなく、口頭によるものでもいいのですが、“言った言わない”でもめないように、書面やメールなどの記録が残る方法を活用 しましょう。

３　個人情報を保管する時のルール

次に2点目です。
取得した個人情報の漏洩などが生じないように、事業者は安全に管理することが必要です。そのために、以下のルールに注意しなければなりません。

①安全に管理するための措置をとる。
例えば、紙の顧客台帳を使っている会社は鍵のかかる場所で保管する、パソコンのデータの顧客台帳はパスワードを設定する、というようなことが必要です。

②必要がなくなった個人情報の資料やデータは破棄・消去するように努める。
必要がなくなったら個人情報は、持ち続けないで、速やかに破棄・消去をしておきましょう。それが会社のリスク回避にもなります。ただし、第三者が容易に資料や
データを見られるような破棄・消去の方法をとってはいけません。

③会社の従業員に対して、必要かつ適切な監督を行う。
例えば、会社で従業員に対する研修を行うことなどが考えられます。事業の規模などに応じて、会社ごとに、適切な監督の方法を考えましょう。

４　さいごに

個人情報を取り扱う事業者がこれらのルールを守っているかは、どのように監督しているのでしょうか。その役割を担っているのは、「個人情報保護委員会」という 国の機関です。
ルールを守らず、個人情報保護委員会の監督にも従わない事業者には、罰則が適用される可能性もあります。
個人情報保護法にはまだまだ多くのことが定められていますが、前回と今回でエッセンス中のエッセンスをご紹介しました。
事業者の皆さんは、一度チェックしてみてはいかがでしょうか。