はじめに
ここ数年の新型コロナ感染症の拡大により、消費者の購買行動に大きな変化がありましたことは、皆様、実感されているところと思います。
そのような中、弊所の顧問先の中でもBtoCの商売をされている企業様などでは、インターネット以下「ネット販売」といいます。)を利用した販売を開始・増加させていっているところも増えてまいりました。
ネット販売をするにあたっては、特定商取引に関する法律(以下「特商法」といいます。)や不当景品類及び不当表示防止法(以下「景表法」といいます。)などによる規制のほか、個人情報の保護に関する法律(以下「個人情報保護法」といいます。)の規制を受けます。
ネット販売では必然的に、お客様の氏名、住所、電話番号、メールアドレスなど個人情報を取扱うことが多くなります。これらの情報は有益な情報である一方で、個人を特定できてしまうことなどから個人の権利・利益の保護が必要と考えられているからです。
今回は、その個人情報保護法について、ご紹介いたします。
個人情報とは
では、そもそも個人情報とは何でしょうか?なんとなく名前や電話番号が「個人情報」にあたりそうだなということは理解されていると思いますが、判断に迷われることもあるかと存じます。
個人情報とは概要、①生きている個人の情報で、②当該個人を識別できる情報をいうとされています(個人情報保護法2条)。
ここで注意が必要なのは、その情報単独では当該個人を識別できなくとも、他の情報と合わせることにより識別できる場合は「個人情報」にあたるということです。
例えば、メールアドレスですが、それ単体で個人が特定できないようなものであっても、リストで名前と紐づいているような場合は「個人情報」となります。
具体的には、
❶ abc123@fakemail.com といったメールアドレス単体であれば、およそ個人を識別できませんので、個人情報にあたらないと判断されることになると思われます。
しかし、
❷ taro.yamada@fakelawoffice.jp というメールアドレスだと、フェイク法律事務所の山田太郎さんということがわかってしまいますので、個人情報として取り扱うべきことになります。
そして、
❸ abc123@fakemail.com といったメールアドレスであっても、例えば山田太郎という名前と一緒にリスト化されているような場合は個人が識別可能となりますので、個人情報ということになります。
このように個人情報に該当しないと判断することは難しいことが多いです。少しでも気になる情報は、個人情報として取り扱っておくことをお勧めします。
メールアドレス、法律事務所名、個人名はいずれも架空のものです。
基本的な義務
個人情報保護法では、個人情報取扱事業者に対して大きく分けて3つのことを義務付けています。
⑴ 個人情報の漏洩防止・第三者への情報提供の禁止
個人情報の漏洩があった場合は、従業員や委託業者によるものであったとしても、個人情報を収集した企業が原則として責任を負うことになります。
また、取引に関係のない第三者への情報提供は禁止されます。取引に関与がある第三者とは、例えば、配送を委託した業者などがそれにあたります。
⑵ 個人情報の利用目的の明示
企業が個人情報を取得するときは、その利用目的を明示する必要があります(個人情報保護法18条)。
もちろん取得した個人情報はその利用目的内でしか利用できません。
例えば、利用目的を「商品の配送」としたときに、その個人情報を利用して新商品の案内などをしてはいけないということになります。また、利用目的は当該個人情報を取得したときに明示していた利用目的に限られます。ですので、本人の同意もなく、勝手に利用目的を変更して利用することなどは許されないということになります。
なお、個人情報の利用目的はできるだけ特定することが要請されています。
⑶ 個人データの開示や訂正の手続きの公表
企業は、保有している個人データについて本人から請求があったときにはその内容を本人に開示したり、個人データに間違いが見つかったときに訂正に応じたりするための手続きを定めて、公表することが義務付けられています。
(個人データとは個人情報のうち、特定の個人情報を検索できるよう体系的に構成したものをいいます。個人情報を打ち込んだエクセルの一覧表や、50音順に管理している名刺などが該当すると考えられます。)
よくネット販売のホームページなどに記載されている「プライバシーポリシー」とは、上記⑴~⑶を踏まえて、個人情報の利用目的や管理方法を記載したものとなります。
さいごに
上記⑴~⑶をみると、むやみに情報を集めてもデメリットが大きいということが理解できると思います。大量の情報は管理するのにコストがかかり、また、漏洩のリスクも高まります。従って、集める情報は必要最小限に絞るべきといえます。
必要な情報を取捨選択するためには、その目的を明確にしなければなりません。例えば、商品を売って配送するためだけであれば、購買者の氏名・住所・連絡先があれば足り、性別や年齢は意味のない情報といえます。
一度、自社のプライバシーポリシーを、上記要点を踏まえて検討されてみることをお勧めいたします。
また、当弁護士法人キャストグローバルは、法律のスペシャリストとして、適切な助言をすることが可能です。お気軽にご相談ください。