西山

Pマークにおける明示がいらない5つの例外的ケース その1


 

プライバシーマーク(Pマーク)取得会社をはじめ個人情報を取得し取り扱っている事業者は、個人情報を取得する時に必ず利用目的などを明示しなければなりません。

ここでいう「明示」とは個人情報の本人に対して「お預かりした個人情報はこのような目的で利用します」ということをはっきりと示すことです。もちろんこれはプライバシーマーク(Pマーク)でも求められていることです。

しかしすべての場面で個人情報の利用目的を明示しなければならないかというと、そうではありません。例外的なケースとしてこれから解説する5つの状況においては明示の必要がありません。

 

緊急に必要がある場合

このケースはプライバシーマーク(Pマーク)の規格書であるJIS Q 15001に「人の生命,身体又は財産の保護のために緊急に必要がある場合」というただし書きで記載されています。

差し迫った危険が本人に対して及ぶことが具体的に想定される場面で、なおかつ利用目的の明示という手順を踏むことでその危険の度合いが高まるような場合は、明示も同意も必要としません。

 

本人や第三者を害するおそれがある場合

プライバシーマーク(Pマーク)の規格書であるJIS Q 15001には次のように書かれています。

「利用目的を本人に通知し,又は公表することによって本人又は第三者の生命,身体,財産その他の権利利害を害するおそれがある場合」

具体的な事例としては、いわゆる総会屋による不当要求の被害を防止するために総会屋担当者個人に関する情報を取得し、相互に情報交換を行っている場合が考えられます。このようなケースでは利用目的が公表されることが原因となってその総会屋の逆恨みにより第三者である情報提供者が被害を受けるということもありえます。

そういった被害を考慮して利用目的を明示しなくてもよいとするのがこの特例です。

 

会社に害が及ぶおそれがある場合

プライバシーマーク(Pマーク)の規格書であるJIS Q 15001ではこうなっています。

「利用目的を本人に通知し,又は公表することによって当該事業者の権利又は正当な利益を害するおそれがある場合」

たとえば利用目的が公表されることによりその会社の企業秘密である新商品・新サービスの内容や営業ノウハウなどが明らかになってしまうこともあるかもしません。

あるいは暴力団や業務妨害行為を行う悪質者に関連する情報、また疑わしい取引の届出に関連する情報を取得したことが明らかになり、情報提供を受けたその会社に危害が加えられるという事例もありえます。

このような場合も利用目的の明示の例外として扱われます。

 

まとめ

今回の記事では5つの例外ケースのうちの3つ目までをご紹介いたしました。残りの2つは次回の記事に回したいと思います。

なお利用目的の明示についての例外規定はあくまで“例外”であることを念頭に置くべきです。本来なら明示が必要な場面にまで例外規定を適用していると、利用目的の明示によって個人情報の本人の権利を保護する個人情報保護法やプライバシーマーク(Pマーク)の規定の意義が失われます。

 

ユーピーエフ 定期的な運用チェックや更新審査も手厚くサポートします!
https://upfsecurity.co.jp/pmark/#contact_box

こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山