通知・公表?同意?個人情報取得時にすべきこと

会社が個人情報を取得する時にやるべきことにどんなことがあるかご存知でしょうか?

以前、利用目的の特定が必要であることはこのブログでも触れさせてもらっています。

 

はたして利用目的を特定出来ていれば他に何もしなくて問題ないのでしょうか・・・

 

実際のところは個人情報保護法に準拠する意味でも、プライバシーマークを取得するためもどちらの場合でも、それだけでは足りません。

 

今回は個人情報を取得する際に実際に行わなければならないことについてお話したいと思います。

 

【法律上求められること】

まず、法律上の要求ですが、個人情報について利用目的を通知または公表することを要求しています。

通知の手段だと、個人情報の本人にどんな目的で個人情報を伝える形になります。

イメージとしては紙に記載して、伝える形がわかりやすいかもしれませんね。

 

公表の場合ですが、言葉の通りでいくとどこかで公に公表する形になります。

わかりやすい例と言えば、会社のHPに掲載するこになります。

分かりやすいところに公表することで個人情報保護法で求められる法的要求を満たすことが可能になります。

HPを持っていない場合は別の形で公表することになります。

 

【プライバシーマークで求められること】

プライバシーマークでも最低限求められるのは利用目的の通知または公表になります。

ただ、プライバシーマークの場合、個人情報を直接書面で取得する際には本人から同意を得ることが求められてきます。

 

 

この場合に単に利用目的を記載して同意を得るだけではダメです。

下記のような内容を示して同意を得ることが必要になります。

 

a)     社名。

b)     個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先。

c)     利用目的。

d)     個人情報を第三者に提供することが予定される場合の事項。

  第三者に提供する目的。

  提供する個人情報の項目。

  提供の手段又は方法。

  当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性。

  個人情報の取扱いに関する契約がある場合はその旨。

e) 個人情報の取扱いの委託を行うことが予定される場合には、その旨。

f)付属書A3.4.4.4~A3.4.4.7に該当する場合には、その求めに応じる旨及び問合せ窓口。

g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果。

h) 本人が容易に認識できない方法によって個人情報を取得する場合には、その旨。

※JISQ15001:2017から一部抜粋

 

【利用目的としてNGな例】

では通知・公表及び同意を得る上で利用目的はどのように記載すべきでしょうか。

できるだけ具体的に記載することが求められています。

これについては、以前のブログでも触れていますので、詳細は割愛しますが、抽象過ぎる内容や如何様にも取れる利用目的だとNGとなってくるので、しっかり考えないといけません。

逆に細か過ぎたり、厳格過ぎるとご自身の首を絞めることとなるため、ちょうど良い内容を精査する必要があります。

参考:個人情報の利用目的ってどんな感じにすべきなの?