適正な取得って?
適正な取得とはそのままの意味で、個人情報を正しい手法で入手することです。
どのように入手すれば適正なのかといいますと、下記の点を満たしていることが条件となります。
- 取得する個人情報の利用目的を特定しているか
- 特定した個人情報は漏れなく公表されているか
- 本人の同意は明らかであるか
- 違法な手段での入手でないか
こうしたことを従業員が適切に行えるように社内ルールやマニュアルの作成は必要になってきます。セキュリオのルールブック機能では、マニュアルの作成から管理・周知まで一元的にクラウド上で可能です。
適正な取得をおこなえているかチェックする4つの項目
既にプライバシーマークを準拠・取得している読者様にとっては当たり前のことかもしれません。ですが、「うっかり」抜けている、ということも稀にあります。
取得する個人情報の利用目的を特定しているか
まず、取得する個人情報の利用目的は、計画の前段階で特定済みのはずですので、それがしっかりと明らかな状態に置かれているかが重要となります。
「『利用目的の特定』をおこなう際の4つの注意点」でもお話しましたが、特定した利用目的は、取得の前に、個人情報提供者に漏れなく確実に確認していただけるようにしなければなりません。そして、その利用目的の確認を得たうえで、取得の同意を得ます。
特定した個人情報は漏れなく公表されているか
「内部規程って何?概要と策定のコツをお教えします!」の記事とリンクしますが、「特定された個人情報」において、同意を得て取得しているもののうち、取得する項目はすべて公表されていますでしょうか。例えば、cookieやIPアドレスのように、一見目に見えないような情報でも、収集して利用するのであれば、取得している旨を伝えなければなりません。(もちろん、利用目的を漏れ無く伝えましょう。)
「収集して利用」というのは、web解析なども含まれますのでご注意くださいませ。
本人の同意は明らかであるか
これまでにウェブサービスを利用する中で、個人情報を登録する送信フォームの前にチェックボックスがあり、チェックをしなければ登録できないようになっていたというようなことはありませんか。
前述のものが、同意を得る流れとなっております。面倒ではありますが、プライバシーマークにおいて本人から同意を得るというプロセスは非常に重要です。
同意を得ない取得は、「適正な取得」ではありません。
また、個人情報を取得する対象に対し、会社や組織が優位な状態にあるときに、その地位を利用して、個人情報を取得するということも許されません。
例えば、雇い主という立場を利用し、機微な個人情報(参照:「『特定の機微な個人情報』を理解しよう」)を許可なしに取得したり、本人に対して不利に働く個人情報を、同意を得ずに取得し、利用することもだめです。それどころか、場合によっては違法行為となり得ます。
違法な手段での入手でないか
「違法な手段での入手」というのもそのままですが、注意が必要です。違法な方法で集めたリストを販売する名簿業者から購入していないかという点も気をつけなければなりません。
例えば、個人情報を取扱う業務委託を受けている企業から渡された名簿が、違法な手段で入手されたものであってもいけません。ですので、「知らなかった」ではなく、細かいですが契約段階で確認したり、「違法な手段で入手した個人情報を取扱わない」等の誓約をする必要があるのです。
つまり、自社で取扱う個人情報は、全てクリアな状態で取得されたものでなければいけないわけです。
まとめると、「適正な取得」のためには、利用規約の特定→公表をし、本人が納得した上で同意を得た個人情報が必要というわけなのです。
こうしたことをしっかり社内で周知しましょう。