« 個人情報保護法入門 9 | Main | 個人情報保護法入門 11 »

2005.03.25

個人情報保護法入門 10

(3)利用目的による制限
 この法律はデータベース管理のあり方に大きな影響を与える法律でもあります。それは、第16条第1項の義務「利用目的による制限」でありまして、利用目的を宣言したならば、以後、消去するまで、利用目的の制限の範囲内において取り扱えと言っております。これが安全管理措置義務と並んでこの法律で義務付けている最大の過酷な義務かもしれません。私は15条、16条、18条の義務に対応する業務を「利用目的管理業務」と呼んでいますが、これは、個人情報保護法ができたことでわれわれが新たに対応しなければならなくなった、個人情報保護法固有の対応義務ということが言えるのではないでしょうか。
 例えば、本法が施行されて5年が経ったある日、営業部門が優良顧客10万人をデータベースから抽出して、新たなキャンペーンのためにDMを発送しようとしたとします。その10万人全てに利用目的を示していたはずですから、利用しようとするときは、16条の義務を遵守するため、利用目的の制限の範囲内か点検してから発送しなければなりません。
 はたして、そのときに利用目的が確認できるのでしょうか。もし、確認する術がないのなら、DMの発送は中止せざるを得ません。DMを受け取ったお客様から目的外利用ではないかと苦情を受け取る可能性が高いからです。利用目的の範囲内であることを確認できる体制なくして、個人情報を取り扱うことはできないということです。
 また、仮に、利用目的の参照機能をデータベースがもっていたとして、例えば、私があるメーカーの直販サイトから5年間で色々な製品を買うとします。その都度、製品登録でハガキを送ったりしますが、5年経てば5回くらいはハガキを送っているかもしれません。そうしますと私は5種類の利用目的に直面している可能性があります。すなわち、お客様ひとりひとりを名寄せした場合、利用目的は幾重にも折り重なることになるということです。現場に利用目的をきちんと特定して明示せよといったことを徹底したが故に、顧客との接点が多数あればあるほど、それだけものすごい数の利用目的が示されていきます。どのように管理していくのでしょうか。
 その場合の対応方法は2つです。一つは折り重なった利用目的のいわば最大公約数の範囲内で狭く取り扱っていくのか、それとも今日お送りするDMは、平成18年5月5日にパソコンをお買い上げになったときに明示させて頂いた、なになにという利用目的の範囲内で取り扱っておりますというのか、いずれにせよ、ルール化して仕様を固めてデータベースシステムのあり方に反映させなければ、とうてい人手で処理できるものではありません。

(4)安全管理措置
 安全管理措置、情報セキュリティ対策については、さまざまなところでいろいろ述べられていますので、ここではとりあえず後回しに致します。

(5)第三者提供の制限
 第三者に個人データを提供する場合は、原則としてあらかじめ本人から同意を得ておくことが必要です。オプトアウト手続きによる第三者提供の定めもありますが、個人情報が同時にプライバシーに係る情報でもある場合は、容易に承諾がとれるのに特別の事情もないのにそのまま提供すると不法行為責任が問われる可能性がありますので、実務上はオプトアウト手続きによる第三者提供はおすすめできません。
また、この第三者提供の制限についての問題としては、M&A業務についての論点があります。
 企業買収にあたっては、デューデリジェンスというというのをします。この企業がいくらになるのかという企業価値を捕捉しなければならない。労働者名簿や顧客名簿などを確認することも出てくるでしょう。それについてあらかじめ労働者や顧客から同意を取ろうとしますと、M&Aが内々で進んでいる場合に、それを内外に宣伝することになってしまいます。これは、またナンセンスな話です。合併分社事業承継に伴い、M&Aを行う場合には同意は要らないと言っていますが、 “伴い”という文言がありますから、デューデリジェンスという合併するかどうかわからないという、前作業の段階で、“伴い”に入れるのは、たぶん無理だろうというのが法文上の解釈です。では、M&A実務をこの法律で潰すのかというとけしてそういう意図はないはずですから、ここは私の私見ですが、デューデリジェンスを委託ととらえて、第三者から除外するという理屈でいけばいいのではないかなと思っています。

|

« 個人情報保護法入門 9 | Main | 個人情報保護法入門 11 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/65654/3426352

Listed below are links to weblogs that reference 個人情報保護法入門 10:

« 個人情報保護法入門 9 | Main | 個人情報保護法入門 11 »