「必須」か「任意」か【Ｐマーク取得の基礎知識】

会社がお客様から取得する個人情報の中には、サービス提供のために不可欠な項目もあればそうでない項目もあります。

たとえばあなた自身がユーザーの立場で何かのWebサービスに新規登録しようとした時のことを思い出してください。SNSでもネットショップでも何でもいいです。登録の際に個人情報の入力を求められたと思いますが、その時、入力欄を見ていくと項目ごとに「必須」とか「任意」とか書いてありませんでしたか？

必須項目と任意項目

必須な項目はそのサービスのために必要なものであって、入力しなければサービスが受けられなかったりします。一方、任意の項目は付加的なサービスを受ける場合にのみ必要なものであったり、事業者側がサービス向上のために役立てるものであったりします。

さて、この「必須」か「任意」かの区別ですが、これは事業者側だけが把握していればよいのでしょうか。それともお客様にも知らせる必要があるのでしょうか。

答えは“お客様にも知らせる必要がある”です。

プライバシーマーク（Pマーク）の基準となるJIS Q 15001には、「本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果」を書面やWeb画面で本人に対して明示しなければならないとあります。

実のところこれはJIS Q 15001だけでなく個人情報保護法にも定められていることですので、プライバシーマーク（Pマーク）を取っていない会社であっても必要とされていることです。

本人が個人情報を与えることの任意性

上記のJIS Q 15001の文言は2つのことを述べています。一つ目は「情報を与えることの任意性」をお客様に明示しなさいということです。

たとえば申込書に書いてもらう個人情報が義務的なものか、あるいは任意的なものなのかをはっきり示す必要があります。

当該情報を与えなかった場合に本人に生じる結果

JIS Q 15001で言われているもう一つの点は、提供を求める個人情報をもしもお客様が提供しなかった場合にどんな影響があるのかを明示しなさいということです。

たとえば結婚紹介所に登録する場合、年収の欄の入力は任意とされているかもしれません。しかし入力しなければ、登録はできても年収を考慮した相手を紹介してもらうという部分のサービスが受けられないかもしれません。

このようなケースにおいて事業者側は、入力しなかった場合の不利益をあらかじめ登録者に書面やWeb画面で伝えておく必要があるわけです。

他にも、従業員募集中の会社が入社希望者から履歴書の提出を求める場合、職歴の欄を記入しなければ選考対象となり得ないケースがあるかもしれません。この場合でも記入しなかったときの不利益を明示しておくべきです。

まとめ

情報提供の任意性を本人に知らせなければならないとする規定の背後にあるのは、個人情報に対する権利があくまで本人にあるという原則です。個人情報を提供してサービスの恩恵にあずかるかどうかを決めるのは本人です。個人情報を取得する側は本人の権利を尊重しなければなりません。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】