個人情報を取得するときの法規定とは?
利用目的を整理しよう
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
個人情報の保護に関する法律(利用目的の特定)
個人情報を取得する際は、取得後どのようなことで利用するのか予め整理を行い、利用目的を特定しておくことが必要です。
利用目的の特定は「事業活動のため」といった抽象的なレベルではなく、どのような情報を何のために・どのように利用するのかといった具体的なレベルまで掘り下げて洗い出しを行いましょう。
利用目的特定のレベル感や事例については個人情報保護法ガイドラインをご参照ください。
なお、特定した利用目的の範囲を超えて個人情報を取り扱う場合は改めて本人の同意を得る必要があります。
特定した利用目的を本人へ通知または公表しよう
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
個人情報の保護に関する法律(取得に際しての利用目的の通知等)
個人情報を取得する際は、前述で特定した利用目的をあらかじめ通知または公表する必要があります。
本人から直接取得する場合は利用目的を明示しましょう。インターネットで一般に公開されている情報を取得するといった場合は、本人が確認できるように、ホームページなど分かりやすい場所に利用目的を掲載しておくことが必要です。
インターネットで公開されている情報を取得する際には、そのサイトで無断転載禁止等、情報の取り扱いに制限が行われていないか取得前にきちんと確認しましょう。
通知や公表の具体例については個人情報保護法ガイドラインをご参照ください。
適正に取得しよう
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
個人情報の保護に関する法律(適正な取得)
本人を騙したり脅したりして個人情報を取得したり、判断能力のない子どもなどから個人情報を取得するような場合や、従業員が自社の保有している情報を盗んで第三者へ提供したりといったケースが不正取得に該当します。
また、不適正な利用の禁止として「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」という規定が設けられています。
差別や不当な取り扱いが行われる可能性がある情報を収集してデータベース化しインターネットで公開したり、第三者へ提供したりする行為が制限されています。
なお、人種・信条・社会的身分・病歴・犯罪歴・犯罪により害を被った事実など、本人に不当な差別や偏見・その他不利益が生じないよう取り扱いについて特に配慮を要するものを要配慮個人情報といい、情報を取得する際には本人の事前同意が必要となります。