委託された場合の個人情報の「適正な取得」とは？【Ｐマーク取得の基礎知識】

個人情報をお客様から取得するときは“適正な”方法で取得すること。これが大切であることは皆さんもご存じでしょう。

適正な取得とは

「適正な取得」とは法律に違反する取得をしないこと、まただましたり強要したりして取得しないことなどを指しています。プライバシーマーク（Pマーク）では適正な取得が個人情報保護に欠かせないことと位置づけられています。

お客様から直接個人情報を取得する場合に適正な取得をするというのがどういうことかはわりと理解しやすいかもしれません。個人情報保護法やプライバシーマーク（Pマーク）の規定で示されていることをその通りに実行すればよいからです。

委託された場合も適正な取得は必要？

しかし個人情報を取得するというのは、必ずしもお客様から“直接”取得する場合だけではありません。

よくあるパターンとして個人情報を委託されたり提供されたりして取得するという場合もあります。つまり直接お客様から取得するのではなく、別の会社などを通して間接的に取得するパターンもあるということです。ちなみにプライバシーマーク（Pマーク）において「委託」とは個人情報を扱う業務を別の会社に渡すことを指し、「提供」とは個人情報を別の会社に渡すことを指します。

委託や提供を受けて個人情報を取得するときもプライバシーマーク（Pマーク）で定められている「適正な取得」を実施すべきなのでしょうか？ もちろんそうです。適正な取得は直接取得するか間接的に取得するかを問わずプライバシーマーク（Pマーク）取得会社に求められていることです。

では委託や提供を受けて個人情報を取得する場合の適正な取得とはどういうことなのでしょうか。

委託元を確認することが必要

委託の場合に個人情報の適正な取得を行うために必要なことは、委託元がその個人情報を適正に取得したかどうかを確認するよう努めることです。

この「確認するよう努める」というのがどういう行動を指すのかはそれぞれの委託の事例によって異なります。このような事実確認は委託元と委託先の関係性の中で時に困難あるいは不可能な場合もあります。ですから委託を受けた側のプライバシーマーク（Pマーク）取得会社が自社なりに確認する努力を実行しているのであれば必ずしも不適合にはならないようです。

その努力の例として、委託元が個人情報取扱事業者やプライバシーマーク（Pマーク）取得会社であれば、公式サイトを見るなどしてその会社のプライバシーポリシーを確認し、個人情報の適正な取得を宣言しているかどうかを確かめることができます。

また委託元が国の機関や地方自治体の場合は、適正に個人情報が取得されているとみなして確認を省略してもよいとされています。

たとえ委託されてお客様の個人情報を取得しているにすぎない場合であっても、委託元が不正な手段で取得したことを知りつつその個人情報を持っていれば自分も不正な取得を助長したことになります。

まとめ

プライバシーマーク（Pマーク）を取得・更新している会社であれば、委託された場合でも委託元がその個人情報を適正に取得したかどうかを確認するよう努力すべきなのです。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】