Menu

b5ce9e13feb240bebdcbecfffe7e0211_m
みなさま、こんにちは。有限会社マイカのライター「秋葉けんた」です。大雨の被害が心配です。

さて、「分かりやすいセキュリティ用語集」の第四回目は「個人情報の取り扱いにおける本人同意」です。

【個人情報の取り扱いにおける本人同意】とは何ですか?

個人情報の保護に関する法律の第16条には

「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない」

と明記されています。また、同第23条には

「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」

と書かれています。このことからも、個人情報を取り扱うにあたっては「本人の同意」が欠かせないことになることが分かると思います。

それでは、「本人の同意」とはどのようなことをさすのでしょうか。経済産業省が出している「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(通称:経産省ガイドライン)」では、「本人の同意」について

「本人の個人情報が、個人情報取扱事業者によって示された方法で取り扱うことを承諾する旨の当該本人の意思表示」

と定義しています。また、同ガイドラインでは「本人の同意」を得たとする具体例として
・「口頭」
・「書面」
などのほか、
・「本人による署名または記名押印した申込書、確認欄へのチェック」
・「ウェブ画面上のボタンのクリック」
などを挙げています。これらの行為や書類がなければ、「本人の同意」を得たとは言えないことになります。

もし個人情報取扱事業者が、不正な手段によって個人情報を収集した結果、懲罰を受けることもありえます。また、これらの懲罰とは別に、補償や賠償なども必要になることがあります。この補償や賠償金額は増加傾向にあり、莫大な金額になることも少なくない。これは、大規模漏えいが増えていることと関係しています。

昨年、教育系大手企業から3500万件を超える個人情報が漏えいし、名簿業者に販売されるという事件がありました。この事件では、教育系大手企業のみならず、漏えいした個人情報を名簿業者より購入したIT企業の対応についても問題視されたことが記憶に新しいと思います。

最近では、デジタルデータで個人情報を管理することが多いため、数万件の情報も容易に漏えいしてしまい、これらの個人情報が不正に販売されることがありえます。名簿業者が販売している個人情報については、取得方法や「本人の同意」を確認せずに使用すると、企業ブランドに傷がつくこともありうることを知っておく必要があると思います。

個人情報を取り扱う際は、個人情報そのもののだけではなく、「本人の同意」を得ているのかなどについても、適切に管理する必要があるのです。

著:秋葉けんた(有限会社マイカ
監修:中康二(オプティマ・ソリューションズ株式会社)