西山

Pマークにおける明示がいらない5つの例外的ケース その2


 

通常個人情報を取得する場合はその利用目的などを本人に対して明示することが必要です。しかし例外的に明示がいらない場面があります。前回に引き続き解説してまいります。

 

公務に支障を及ぼすおそれがある場合

プライバシーマーク(Pマーク)の規格書であるJIS Q 15001には次のように書かれています。

「国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって,利用目的を本人に通知し,又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき」

どのような状況がこのケースに該当するのでしょうか。

たとえば、あるプライバシーマーク(Pマーク)取得会社が被疑者に関する個人情報を警察から受け取ったとします。その事件は公開手配が行われておらず、被疑者の個人情報は犯人であるその人が立ち回る可能性がある会社として警察から限定的に提供されたものです。

このような場合にもしそのプライバシーマーク(Pマーク)取得会社が取得した個人情報の利用目的などを被疑者本人に知らせたとすれば、警察の捜査活動に著しい支障を及ぼすおそれが出てくるのではないでしょうか。

したがってこういったケースでは個人情報に関する明示する必要がないと規定されているのです。

 

利用目的が明らかな場合

この点はプライバシーマーク(Pマーク)の規格書であるJIS Q 15001の中で「取得の状況からみて利用目的が明らかであると認められる場合」と明記されています。

以下のような個人情報の取得行為は“取得状況からみて利用目的が明らかである”と認められます。

たとえば名刺交換、これは一般的な営業活動において行われる限り利用目的が明らかです。ただしDMなどのためにその名刺の情報を用いることは名刺の基本的な利用目的から外れますので注意が必要です。

デリバリーサービスにおいて個人情報を取得すること、これも受取人を特定するためであることが明白です。

来訪者に入り口で指名を記入してもらうこと、これも状況からみて入館管理目的であることが明らかである限り該当します。

ほかにも配達でサインをもらうこと、これもまた受取確認のための方法として社会一般で行われている個人情報取得行為ですので問題ないでしょう。

取得状況からみて利用目的が明らかであるケースというのは以上のとおりいくつか考えられます。しかし注意しなければならないことがあります。

 

目的が明白でも注意しなければいけない場合

注意が必要なこととは、単に利用目的の明示を省略したいがためにあれもこれも“取得状況からみて利用目的が明らかである”ケースに含めてしまうのはプライバシーマーク(Pマーク)において不適合と見なされるということです。

取得状況と利用目的が一致しない場合や、取得後に利用目的が更新される可能性のある場合というのは多数存在しますので、あくまで利用目的が明らかな場合というのは極めて例外的に扱うべきです。

 

まとめ

直接書面で取得するにしてもそれ以外の方法で取得するにしても、プライバシーマーク(Pマーク)を持っている会社は個人情報の取得に際して利用目的などを明示する必要があるというのが原則です。

原則と例外を明確に理解し、自社の個人情報管理手順に正しい理解が反映されるようにしてください。

こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山