個人情報の利用はどこまでOK?
yoshimura
2018年04月12日
カテゴリ:個人情報

2018年1月にTポイントを運営するカルチュア・コンビニエンス・クラブ(以下、CCC)が「DATA DEMOCRACY DAYS」(以下、DDD)というコンテストの開催を発表しました。

DDDは「Tカード」会員約6,500万人の購買データ等を活用した新たな事業やサービスを、一般の社会人や学生等に企画してもらい、その優劣を競うコンテストになります。

CCCはDDDサイトで、「本人を特定できる個人情報は提供しない」と明言していますが、個人情報保護の観点から、これが物議を醸しています。

今回は、個人情報の利活用は実際どこまで可能なのか、法律の観点から解説していきたいと思います。

個人情報の利活用の範囲

そもそも個人情報を利活用したい場合、どこまで自由に扱えるのでしょうか?

個人情報保護法は15条において、個人情報の利用目的を定めることを義務付けており、また16条では、定めた利用目的の範囲を超えた利用を原則禁止しています。

つまり、個人情報を利活用する際は、きちんと利用目的を定め、その目的の範囲内でのみ扱えるというわけです。

もちろん、事業内容に関係のない利用目的を定め(ex:名簿業者に販売するため)、個人情報を取得しようとすると、法律違反となる可能性もあるので注意が必要です。

個人情報の利活用の幅を広げる手段

冒頭で挙げたDDDでは「個人を特定できる個人情報の提供はしない」とのことでしたが、仮に個人情報を提供してDDDを行う場合、どうなるのでしょうか。

個人情報は、他の事業者へ提供することも可能です(第三者提供)。

なお第三者提供をする場合は、原則として本人の同意が必要です。

例外としては、委託が挙げられます。

業務の委託を行う場合は、他の事業者に個人情報を提供しても、本人の同意を得る必要はありません。

ただし、委託は上記した利用目的の達成の範囲内でのみ許されます。

つまりDDDを第三者提供として扱うのか、委託として扱うのかが、DDDの適法性を考えるポイントになります。

第三者提供とする場合は本人の同意が原則として必要になりますし、委託として考える場合は、T会員の規約にDDDに該当するような利用目的が定められていなければなりません。

ちなみに、個人情報の利用目的を変更(目的外の利用)したい場合は、本人の同意を得ることが求められています(個人情報保護法16条)。

匿名加工化しての利活用

また本人の同意なく第三者提供を行う方法として、「匿名加工情報」も挙げられます。

匿名加工情報とは、特定の個人を識別できないように加工された個人情報です。

元の個人情報を復元できないよう加工されており、第三者提供をする際に本人の同意は必要ありません。

だからといって、匿名加工情報も自由に第三者提供を行えるわけではありません。

匿名加工情報を作成し第三者提供を行うには、加工した個人情報の項目やその提供方法を公表し、また第三者に対しても提供する情報が匿名加工情報であると明示する必要があります(個人情報保護法36条4項)。

さいごに

DDDが個人情報保護法の観点から見て、適切かどうかは言及しませんが、個人情報の利活用は法律上でしっかりと定められています。

そのため、利活用する際には法律をよく理解し、その上で事業に役立てていくことが大事といえます。

カテゴリー: 個人情報

個人情報の利用はどこまでOK?

2018年1月にTポイントを運営するカルチュア・コンビニエンス・クラブ(以下、CCC)が「DATA DEMOCRACY DAYS」(以下、DDD)というコンテストの開催を発表しました。

DDDは「Tカード」会員約6,500万人の購買データ等を活用した新たな事業やサービスを、一般の社会人や学生等に企画してもらい、その優劣を競うコンテストになります。

CCCはDDDサイトで、「本人を特定できる個人情報は提供しない」と明言していますが、個人情報保護の観点から、これが物議を醸しています。

今回は、個人情報の利活用は実際どこまで可能なのか、法律の観点から解説していきたいと思います。

個人情報の利活用の範囲

そもそも個人情報を利活用したい場合、どこまで自由に扱えるのでしょうか?

個人情報保護法は15条において、個人情報の利用目的を定めることを義務付けており、また16条では、定めた利用目的の範囲を超えた利用を原則禁止しています。

つまり、個人情報を利活用する際は、きちんと利用目的を定め、その目的の範囲内でのみ扱えるというわけです。

もちろん、事業内容に関係のない利用目的を定め(ex:名簿業者に販売するため)、個人情報を取得しようとすると、法律違反となる可能性もあるので注意が必要です。

個人情報の利活用の幅を広げる手段

冒頭で挙げたDDDでは「個人を特定できる個人情報の提供はしない」とのことでしたが、仮に個人情報を提供してDDDを行う場合、どうなるのでしょうか。

個人情報は、他の事業者へ提供することも可能です(第三者提供)。

なお第三者提供をする場合は、原則として本人の同意が必要です。

例外としては、委託が挙げられます。

業務の委託を行う場合は、他の事業者に個人情報を提供しても、本人の同意を得る必要はありません。

ただし、委託は上記した利用目的の達成の範囲内でのみ許されます。

つまりDDDを第三者提供として扱うのか、委託として扱うのかが、DDDの適法性を考えるポイントになります。

第三者提供とする場合は本人の同意が原則として必要になりますし、委託として考える場合は、T会員の規約にDDDに該当するような利用目的が定められていなければなりません。

ちなみに、個人情報の利用目的を変更(目的外の利用)したい場合は、本人の同意を得ることが求められています(個人情報保護法16条)。

匿名加工化しての利活用

また本人の同意なく第三者提供を行う方法として、「匿名加工情報」も挙げられます。

匿名加工情報とは、特定の個人を識別できないように加工された個人情報です。

元の個人情報を復元できないよう加工されており、第三者提供をする際に本人の同意は必要ありません。

だからといって、匿名加工情報も自由に第三者提供を行えるわけではありません。

匿名加工情報を作成し第三者提供を行うには、加工した個人情報の項目やその提供方法を公表し、また第三者に対しても提供する情報が匿名加工情報であると明示する必要があります(個人情報保護法36条4項)。

さいごに

DDDが個人情報保護法の観点から見て、適切かどうかは言及しませんが、個人情報の利活用は法律上でしっかりと定められています。

そのため、利活用する際には法律をよく理解し、その上で事業に役立てていくことが大事といえます。

Author: 吉村 健
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする