ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

【個人情報Q&A】法人顧客の担当者氏名・連絡先等の個人情報の取扱い

情報法

Q)営業先法人の担当者名・担当者の会社電話番号・担当者の会社メールアドレスなども個人情報なのでしょうか。

A)その通り、個人情報です。

Q)私どもA社は、法人顧客B社向けのWebサービス・アプリを提供しています。法人顧客B社の担当者に、担当者名・会社電話番号・会社メールアドレスを入力してもらってユーザ登録してもらい、私どもA社では連絡目的に利用します。これらのB社担当者個人情報を扱う際に留意しなければならないことは何でしょうか。同意は必要なのでしょうか。

 

1.適正取得義務

A社がB社担当者の個人情報を取得する際は、適正に取得する必要があります(個人情報保護法20条1項)。偽りその他不正の手段による個人情報の取得が禁止されていますが、これはだまし討ちのような形で個人情報を取得することなどが禁止されているものであって、一般的に通常のWebサービス・アプリのユーザ登録画面で、担当者の氏名・連絡先等を登録してもらう場合は、原則として「適正に」取得できていると考えられます。

 

2.利用目的の公表等

また、A社は、個人情報の利用目的をあらかじめ特定して(個人情報保護法17条1項)、明示する必要があります(個人情報保護法21条)。通常は、A社プライバシーポリシーや利用規約などに、個人情報の利用目的が記載されていますので、それで対応することができます。設例の場合、「サービスの提供」「ご連絡」などと利用目的が記載されていればよいと考えられます。

そして、利用目的の「通知又は公表」ではなく、本件の場合「明示」対応が必要と考えられますので、①か②の対応をするのが望ましいです(https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-3-4)。

①一番適切:登録画面に利用目的を記載

②適切:登録画面から、上記利用目的の記載があるプライバシーポリシーや利用規約に1回程度で到達できるリンクを貼る

 

もっとも、取得の状況からみて利用目的が明らかであると認められる場合は、利用目的の「明示」は不要です(個人情報保護法21条4項にて同2項が適用除外)。

3.A社による同意取得の要否

B社担当者の同意を取得する必要があるでしょうか。

この点、設例の範囲内であれば、同意ボタンなどは求められるものではないと考えられます。なぜならば、法律上、個人情報の取得に当たっては、同意が必ずしも求められるものではなく、適正に取得することが求められているからです。
要注意)もっとも、医療情報・犯罪関係・人種などの要配慮個人情報を取得する場合は、同意取得が必要な場合もあります(要配慮個人情報であっても、同意がなくてもよい場合もあります)。

 

なお、要配慮個人情報でなければ、同意が必ずしも求められるものではないとは記載しましたが、設例の場合は、A社サービス・アプリのユーザ登録画面から、B社担当者が自ら個人情報を入力して送信ボタンをクリックしていれば、B社担当者によるA社への個人情報提供の同意があったものとも解釈することが可能と考えられます。

要注意)これはあくまで通常のユーザ登録情報と考えられる事項(氏名、社名、部署名、会社住所、会社電話番号、会社メールアドレス等)を通常の目的(必要時に必要な連絡をする等)で利用する場合を指しており、担当者の健康情報、ストレスチェック、個人的事項などを登録させる場合、利用目的が異なる場合等は、明確な説明と明確な同意が求められる場合があります。

 

4.A社による利用規約・プライバシーポリシー等対応

A社利用規約やプライバシーポリシーに必須の規定としては、個人情報の利用目的となります(利用目的が明らかであれば個人情報保護法21条3項4号により21条の公表・明示等対応は不要となるが、明らかな場合でも32条1項2号の観点からは対応要)。

利用規約に、これに対する同意規定を設けたり、B社による後述の同意取得規定を設ける必要は必ずしもありません。念のため、A社はプライバシーポリシーに則って個人情報を取り扱う旨、利用規約に規定しておいてもよいかと思います。

要注意)これはあくまで通常のユーザ登録情報と考えられる事項(氏名、社名、部署名、会社住所、会社電話番号、会社メールアドレス等)を通常の目的(必要時に必要な連絡をする等)で利用する場合を指しており、センシティブ情報を取得したり、利用目的が複雑な場合などは別です。

 

5.B社による同意取得の要否

では、B社は担当者から同意を取得しないで良いでしょうか。B社の業務上必要だから、B社担当者は自分の個人情報をA社サービスに登録しなければならないわけです。この点に関連して、B社は何らかの対応が必要なのでしょうか。

結論としては、設例のように、業務上必要な範囲内(氏名、社名、部署名、会社住所、会社電話番号、会社メールアドレス等)、業務上正当な利用目的(必要時に必要な連絡をする等)であれば、B社は、必ずしも対応が求められるものではないと一般論としては言えるでしょう。

 

6.個人情報の目的外利用禁止

取得した個人情報は原則として目的外利用できません。公表等した利用目的の範囲内で利用するのが原則です。

 

7.第三者提供

取得した個人情報は原則として第三者に提供することはできず、A社社内での利用に限定されます。もっとも、委託先にシステム保守のためアクセスさせる場合等、必要・相当な範囲内であれば委託先に提供することは可能です(個人情報保護法27条5項3号)。

 

8.安全管理等

個人データですので、消費者の個人情報と同様に、安全管理措置を講じたり(個人情報保護法23条)、従業者を監督したり(個人情報保護法24条)、委託先を監督する義務(個人情報保護法25条)は当然あります。漏えい時等にも、原則として当局報告や本人通知が必要です(個人情報保護法26条)。外国への提供制限もかかります(個人情報保護法28条)。また、開示等請求対応も行う必要があります(個人情報保護法32-38条)。