弁護士 野溝夏生

個人情報取扱事業者の義務(「取得に際しての利用目的の通知等」編)

個人情報取扱事業者の義務一覧

そもそも「個人情報取扱事業者」とは

「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。

取得に際しての利用目的の通知等(18条)

個人情報保護法第18条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
 一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
 二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
 三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
 四 取得の状況からみて利用目的が明らかであると認められる場合

「個人情報を取得した場合は」(1項)

「個人情報取扱事業者」とは「個人データ」を取り扱っているすべての民間事業主体であると考えて差し支えないと前述しました。 しかし、取得に際しての利用目的の通知等の義務は、「個人データ」のみが適用対象ではなく、「個人情報」全体にかかります。 このように、個人情報取扱事業者になる要件と、個人情報取扱事業者としての個人情報の取得に際しての利用目的の通知等の義務の範囲とが、それぞれ異なっていることには注意が必要です。

「あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない」(1項)

本項は、利用目的を通知又は公表することで、本人の個人情報がどのように利用されているかを明らかにし、本人の不安感を解消させるとともに、目的外利用の疑いがある場合に本人に適切な措置を講じる機会を与えることを可能にするという点にその意義があります。

「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要があります(前記ガイドラインp38)。

「通知」及び「公表」の方法について、いずれも特に定めはありません
通知については、郵送等による書面に限定されず、電子メールや電話等でも問題ありませんし(客観証拠が残るほうがよいとも考えられますが。)、公表についても、Webサイト上での公表でも問題ありません。

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」pp22-23
 「『本人に通知』とは、本人に直接知らしめることをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。」
 「『公表』とは、広く一般に自己の意思を知らせること不特定多数の人々が知ることができるように発表することをいい、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならない。」

「速やかに」とは、特に具体的な期日の定めがあるわけではありませんが、「事情が許容する限りもっとも早期に」通知をする必要がある、という意味です(個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」p24(A3-11))。

例えば、飲食店を営む事業者が顧客から予約を受ける際、通常は「個人情報」を取得することになるかと思われます。
個人情報取扱事業者でなければ、利用目的の通知又は公表は不要ですが、個人情報取扱事業者に該当する場合、利用目的の通知又は公表が必要となります(前記Q&A p24(A3-10-2))。

前記ガイドラインpp36-37によると、本人への通知又は公表が必要な事例は、次のような事例となります。

直接書面等による取得(2項)

1項の規定の例外として、本人に書面や電磁的記録に記載等をさせることによって当該本人の個人情報を取得する場合には、事後的な通知等ではなく、あらかじめ、本人に対して利用目的を明示しなければなりません
書面により個人情報を取得する例としては、契約書、懸賞はがき等、電磁的記録により個人情報を取得する例としては、Webアンケート、キャンペーン登録等が挙げられます。

前記ガイドラインpp37-38によると、利用目的の明示に該当する事例は、次のようなものとなります。

前記ガイドラインpp37-38
 なお、契約約款又は利用条件等の書面電磁的記録を含む。中に利用目的条項を記載する場合は、例えば、裏面約款に利用目的が記載されていることを伝える、又は裏面約款等に記載されている利用目的条項を表面にも記載し、かつ、社会通念上、本人が認識できる場所及び文字の大きさで記載する等、本人が実際に利用目的を確認できるよう留意することが望ましい。

前記ガイドラインp38
 なお、ネットワーク上において個人情報を取得する場合は、本人が送信ボタン等をクリックする前等にその利用目的(利用目的の内容が示された画面に1回程度の操作でページ遷移するよう設定したリンクやボタンを含む。)が本人の目に留まるようその配置に留意することが望ましい

なお、1項の例外の例外として、人の生命、身体又は財産の保護のために緊急に必要がある場合は、あらかじめ利用目的を明示する義務は免除されています。
ただし、この場合であっても、2項本文の義務が免除されるのみで、1項の義務は免除されないことには注意が必要です。

「利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない」(3項)

個人情報取扱事業者は、特定した利用目的を変更した場合には、変更後の利用目的を、本人に通知するか、又は公表しなければなりません。
この場合の通知や公表については、1項と同様です。

なお、個人情報取扱事業者の義務(「利用目的の特定」編)にも記載したとおり、利用目的の変更は、変更前の利用目的と関連性を有すると合理的に認められる範囲内でのみ認められます(15条2項)。

「利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合」(4項1号)

本号が適用される例は、次のとおりです(前記ガイドラインpp38-39)。
児童虐待等のほか、家庭内暴力等の場合も同様に該当すると考えられます。

なお、「おそれ」の有無は、客観的な蓋然性が認められなければならないとされています。

「利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合」(4項2号)

例えば、利用目的の通知や公表を行うことにより、営業戦略等の企業秘密が明るみに出てしまうような場合や、総会屋対策のために他企業から総会屋の氏名等に関する個人情報を取得しているような場合が、本号に該当するものと考えられます。
ただし、あくまで「権利又は正当な利益」を本号は保護するものですので、社会通念上正当とは言えないような利益は保護されず、本号の対象にはなりません。

前記ガイドラインp39によると、本号が適用される事例は次のとおりです。

「国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。」(4項3号)

本号が適用される例は、次のとおりです(前記ガイドラインp39)。

「取得の状況からみて利用目的が明らかであると認められる場合」(4項4号)

取得状況からみて利用目的が明らかであるにもかかわらず、いちいち利用目的の通知や公表を行わなければならないというのでは、本人にとって何ら利益がないどころか、そもそも通知や公表は事業者に負担をかけるものですから、事業者にとって有害であるとすら言い得ます。
そこで、取得の状況からみて利用目的が明らかであると認められる場合には、本条1項から3項までの規定は適用されません。

具体例を挙げると、出前を注文する場合、通常、氏名、住所、電話番号を店舗側に伝えることになるかと思われますが、事業者において、出前を正確に注文者に届けることを目的としてこれらの情報を利用することが明らかですから、あえて利用目的の通知や公表を行う実益は乏しいと言い得ます。
そこで、このような場合には、あえて取得した個人情報の利用目的の通知や公表は不要ということになります。
ただし、これらの情報を、単に出前を正確に注文者に届けること以外の目的でも利用する場合には、取得の状況からみて利用目的が明らかであるとは認められませんから、利用目的の通知や公表を行う必要が生じます(1項)。
また、単に出前を正確に注文者に届けること以外の目的でも利用する場合で、かつ、書面や電磁的記録によって注文させて個人情報を取得することとなる場合には、あらかじめ利用目的を明示しなければなりません(2項)。

本号が適用される例は、次のとおりです(前記ガイドラインpp40、前記Q&A p25(A3-13))。

まずはお気軽にお問い合わせください。

03-3580-7110

受付: 09:30~18:30 / 土日祝を除く