収集制限の原則 【Pマーク8原則シリーズ その1】

プライバシーマーク（Pマーク）の根本原則であるOECD8原則の1つ目は「収集制限の原則」です。今回の記事ではこの原則について考えたいと思います。

収集制限の原則（Collection Limitation Principle）とは

収集制限の原則とはこのような内容です。

「個人データの収集には制限を設けなければならず、いかなる個人データも、適法かつ公正
な手段によって、かつ適当な場合には、本人が認識し、又は同意した上で、取得されなければならない。」

プライバシーマーク（Pマーク）取得会社は、この原則に調和して自社の個人情報保護に関連するすべての方針や規定、手順を策定・更新しなければなりません。

解説

まず初めに「個人データの収集には制限を設けなければならず」とあります。プライバシーマーク（Pマーク）取得会社もそれ以外の会社も、無制限に個人情報を取得すべきでないことは言うまでもありません。

では具体的にどのような制限があるのでしょうか。

第一は「適法…な手段によって」取得しなければならないという制限です。

個人情報を取得する行為そのものが法律に違反しており、民法上の不法行為責任に問われる原因となる場合もあります。法律に反したそのような取得は行うべきではありません。

第二は「公正な手段によって」取得しなければならないという制限です。

不正な手段に基づく個人情報の取得行為は個人情報保護法でも禁止されています。だましたり（詐欺）脅したり（強迫）するような方法で取得するなら、それは不正な手段に該当します。

加えて特権的な地位を利用して個人情報を取得するような行為も公正でない手段に該当しますから、プライバシーマーク（Pマーク）では不適合の対象とされます。

第三は「本人が認識し、又は同意した上で」取得しなければならないという制限です。

“認識する”とは個人情報が取得される事実とその内容や目的を正しく知らされていることを、“同意する”とは知らされたうえでそれを承諾することを意味します。

基本的にプライバシーマーク（Pマーク）は個人情報を取得するにあたって本人の「同意」が必要であるとしています。

とはいえ特定の場合には本人の「同意」なくして個人情報の取得ができることも定められています。特定の場合というのはたとえば法律に基づく取得行為である場合とか、または人の生命などにかかわる事態で本人の同意を得ることが困難である場合などです。

さらに言うと、極めて特殊な条件のもとで本人の「認識」も「同意」もなく個人情報の取得が可能な場合もあります。そのため収集制限の原則の文中にも「適当な場合には」という文言が含められています。

Pマークとの対応

収集制限の原則はプライバシーマーク（Pマーク）の中の以下の項目で適用されています。

3.4.2.2　適正な取得

まとめ

個人情報の取得はプライバシーマーク（Pマーク）取得会社における個人情報保護の取り組みの入り口となる部分ですから、適正な手順で行われるよう特に注意しなければならないと言えるでしょう。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】