今回は、以下のような質問について検討します。
当社はマンション管理会社です。マンションの区分所有者本人から当社が取得した個人情報を利用して、当該区分所有者に対し、当社が提供している専有部分関係サービス案内(ダイレクトメール)を送付する予定です。
個人情報保護法との関係で問題(違法性)はありますか。■ はじめに
1 個人情報保護法について
「個人情報の保護に関する法律」【※1】(以下「法」または「個人情報保護法」といいます。)との関係のご質問なので、一般的に、法を確認することはもちろん、「個人情報の保護に関する法律施行令」【※2】(以下「政令」といいます。)や「個人情報の保護に関する法律施行規則」【※3】(以下「規則」といいます。)、さらには個人情報保護委員会が定めているガイドライン等(例えば【※4】や【※5】等)を確認すべきです。
【※1】
令和4年6月現在の個人情報の保護に関する法律(平成十五年法律第五十七号)を前提に検討します。個人情報保護法はこちら。【※2】
令和4年6月現在の個人情報の保護に関する法律施行令(平成十五年政令第五百七号)を前提に検討します。政令はこちら。
【※3】
令和4年6月現在の個人情報の保護に関する法律施行規則(平成二十八年十月五日個人情報保護委員会規則第三号)を前提に検討します。規則はこちら。【※4】
個人情報の保護に関する法律についてのガイドライン(通則編)(令和3年10月一部改正)はこちら。【※5】
「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(令和4年5月26日更新)はこちら。2 「個人情報」等の定義について
個人情報保護法上のルールを理解するには、同法上の定義(例えば下記)を確認する必要があります。
① 「個人情報」とは(法2条1項【※1】)
② 「要配慮個人情報」とは(法2条3項【※1】、政令2条【※2】、規則5条【※3】)
③ 「個人情報データベース等」とは(法16条1項【※1】、政令4条【※2】)
④ 「個人情報取扱事業者」とは(法16条2項【※1】)
⑤ 「個人データ」とは(法16条3項【※1】)
⑥ 「保有個人データ」とは(法16条4項【※1】、政令5条【※2】)
3 個人情報取扱事業者の義務について
「個人情報取扱事業者」(以下「事業者」といいます。)の義務に関しては、法17条から40条まで(法第四章第二節)の規定を確認する必要があります。なお、本稿では「仮名加工情報取扱事業者等の義務」(法第四章第三節)や「匿名加工情報取扱事業者等の義務」(法第四章第四節)に関しては省略します。
4 整理の視点
事業者の義務を検討するにあたっては下記①から⑤の場面に応じて整理すると分かりやすいでしょう【※6】。今回は、個人情報の「取得」及び「利用」に関する法17条から21条までの規定との関係で検討することとします。
① 個人情報の「取得」
② 個人情報の「利用」
③ 個人データの「第三者提供」
④ 個人データの「管理」
⑤ 保有個人データの「開示・利用停止等」
【※6】分類の視点
事業者の義務に関しては、「個人情報」を対象とする規定(法17条~21条、40条)、個人情報のうちの「個人データ」を対象とする規定(法22~30条)、個人データのうちの「保有個人データ」を対象とする規定(法32条~39条)に分類することもできます。■ 個人情報の「取得」に関するルールについて
事業者が個人情報を取得する際のルールの骨子を整理します。
1 事業者は、偽りその他不正の手段により個人情報を取得してはならない(法20条1項)。
2 事業者は、あらかじめ本人の同意を得ないで要配慮個人情報を取得してはならない(法20条2項)。ただし、法20条2項各号に掲げる場合は別。
3 事業者は、個人情報を取得する場合には、取得する個人情報の利用目的をできる限り特定しなければならない(法17条1項)。
4 事業者は、本人から契約書その他の書面(電磁的記録を含む。)に記載された当該本人の個人情報を取得する場合や直接書面に記載された当該本人の個人情報を取得する場合には、あらかじめ、本人に対し、その利用目的を明示しなければならない(法21条2項)。ただし、「人の生命、身体又は財産の保護のために緊急に必要がある場合」や法21条4項各号に掲げる場合は別。
5 (前項の事前明示が不要なケースにおいて)事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除いて、速やかに、その利用目的を、本人に通知し、又は公表しなければならならない(法21条1項)。ただし、法21条4項各号に掲げる場合は別。
■ 個人情報の「利用」に関するルールについて
事業者が個人情報を利用する際のルールの骨子を整理します。
6 事業者は、あらかじめ本人の同意を得ないで、法17条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない(法18条1項)。ただし法18条3項各号に掲げる場合は別。
7 事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない(17条2項)。ただし、本人の事前同意があれば別(法18条1項)。
8 事業者は、変更前の利用目的と関連性を有すると合理的に認められる範囲において利用目的を変更した場合、変更された利用目的について、本人に通知し、又は公表しなければならない(法21条3項)。
9 事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない(法19条)。
■ まとめ(上記ルールとの関係)
ご質問にある個人情報の利用にあたっては、上記ルール(1〜9)に反していないかチェックする必要があります。
例えば、①偽りその他不正の手段により個人情報を取得したものではなく(上記1についてクリアー)、②取得した個人情報は要配慮個人情報ではなく(上記2についてクリアー)、③その個人情報の利用目的をできる限り特定しており(上記3についてクリアー)、④その個人情報は本人から直接書面で取得したものであったことから、あらかじめ本人に対しその利用目的を明示していたものであり(上記4、5についてクリアー)、⑤その個人情報利用は特定された利用目的の達成に必要な範囲内のものであり(上記6、7、8についてクリアー)、⑥違法・不当な行為を助長・誘発するおそれがある方法での個人情報利用でもない(上記9についてクリアー)ということであれば、問題(違法性)はないと思われます。
留言