§ 「個人情報」に対する個人情報取扱事業者の義務(17~21条)

《 インターネット上の個人情報保護 》 ◆個人情報保護法の概要

← 前へ

§ 「個人情報」に対する個人情報取扱事業者の義務(17~21条)

 前述のように、本法は、個人に関する情報を個人情報、個人データ、保有個人データに区分して、それぞれについて個人情報取扱事業者の義務を定めている(前項の図も参照)。ここではまず、「個人情報」に関する個人情報取扱事業者の義務を概観する。

(1)利用目的の特定

 個人情報取扱事業者は、個人情報を取り扱うに当たっては、利用目的をできる限り特定しなければならない(17条1項)。利用目的の特定は、個人情報の取扱いに関する他の義務の基礎となるため、重要である。
 利用目的を変更することも可能ではあるが、その場合でも、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(2)利用目的による制限

 個人情報取扱事業者は、特定された利用目的の達成に必要な範囲を越えて、個人情報を取り扱ってはならないのが原則であり、目的外利用をするためには、18条3項所定の例外的な場合のほかは、事前に本人の同意が必要である(18条1項)。取得された個人情報が本人の予期しない目的で取り扱われ、本人の権利利益が損なわれることを防止する趣旨である。
 本人の同意は、事前のものである必要がある。したがって、いわゆるオプトアウト方式は認められない。ただし、後述のとおり、個人情報の取扱いの中でも第三者提供については、特則がおかれている(27条2項)。
 目的外利用が認められる場合として、本人同意がある場合のほか、18条3項の定める以下の4つの場合がある(他にも、学術研究機関等に限って許される目的外利用があるが、ここでは省略)。

  • ・法令に基づく場合(1号)。
  • ・人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(2号)。
  • ・公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(3号)。
  • ・国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(4号)。

(3)適正な取得・不適正利用の禁止

 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない(20条1項)。不正の手段によるものでなければ、本人以外からの取得も可能であり、また、本人の同意も不要である。ただし、要配慮個人情報の取得は、原則としてあらかじめ本人の同意が必要である(20条2項)。
 また、個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない(不適正利用の禁止。19条)。

(4)取得に際しての利用目的の通知等

 本人が個人情報の利用目的を知りうるようにすることは、透明性を確保し、自己の個人情報がどのような目的で利用されるか不明であることによる個人の不安を緩和し、また、開示等の本人関与を求める際の拠り所となることを可能とする。21条は、利用目的の通知・公表について、本人から直接書面で個人情報を取得する例外的な場合(2項)と、それ以外の原則的な場合(1項)とに分けて規定している。なお、いずれについても例外がある(4項)。
 前者の本人から直接書面で個人情報を取得する場合の例としては、商品やサービスの申込書、アンケート調査票、懸賞の応募はがき等に個人情報の記載を求めるといったものがある。この場合、個人情報取扱事業者は、あらかじめ本人に対して利用目的を明示する必要がある(例外として、人の生命、身体又は財産の保護のために緊急に必要がある場合には不要)。これによって、本人は個人情報提供の是非を慎重に判断することができる。
 後者の場合、個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

PAGE TOP