TOP
>
情報セキュリティ
> 個人情報のデータ管理
常識として知っておきたい個人情報保護法
第6回:利用目的の通知とデータ管理
著者:
日本ヒューレット・パッカード 佐藤 慶浩
2006/8/25
1
2
3
次のページ
個人情報のデータ管理
前回はモバイルPC端末のセキュリティ対策について紹介した。最終回の今回は、個人情報のデータベース管理における具体的な対策内容を解説する。
個人情報保護法では、取得した個人情報の利用目的を特定して本人に通知(または公表)し、その利用目的の範囲内で利用することが求められていることについて第2回で解説した。
これは単純な要件であるが、様々な個人情報に対して一律の対策を実施するのは現実的ではない。そこで「
第3回:個人情報の分別方法
」では個人情報を分別して管理することについて解説した。その分類のうち、顧客情報に関する利用目的の知らせ方と管理について考える。
利用目的の通知と特定のための文言
冒頭で述べたように個人情報を取得する際には、利用目的の事前公表または通知を必ずしなければならない。例えばセミナーを開催して来場者の連絡先を収集し、それをダイレクトメールなどによる販売促進活動に利用することを考えてみよう。
このとき、セミナーの申込書やアンケート用紙に個人情報を記入してもらうためには、利用目的を明記しなければならない。もし明記されていなければそれは法律の求める利用目的通知の義務違反になる。
また「うちの会社はWebサイトで個人情報保護方針を記載しているから、利用目的は事前公表しており、申込書などでの利用目的の記載はしなくてもよい」と思っているなら注意が必要だ。
Webサイトの記載だけで個別の利用目的を一律に表現できるのは、極めて限られた場合だけだ。企業が接する個人情報を取得する部署や場面は多種多様であり、相当小さな企業で個人情報に接する場面が一律でしかない場合以外は、Webサイトの記載だけで済ませるのは現実的ではない。
どの程度特定すればよいのかについて法律の条文では明確にしていないが、経済産業省のガイドラインでは以下のように例示している。
具体的に利用目的を特定している事例
事例1:A事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。
具体的に利用目的を特定していない事例
事例1:事業活動に用いるため。
事例2:提供するサービスの向上のため。
事例3:マーケティング活動に用いるため。
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(経済産業省告示)(PDF形式:728KB)の15ページから引用
http://www.meti.go.jp/policy/it_policy/privacy/041012_hontai.pdf
このように単に「当社の事業活動に用いるため」というような文言は利用目的を特定したことにならず、利用目的を公表や通知したことにはならないという点に注意しなければならない。
利用目的の事前同意(オプトイン)と特定範囲の関係
個人情報の利用目的の事前公表や通知は個人情報保護法による最低限の要件である。しかし最低限の要件を実行しコンプライアンスを満たしていたとしても、それによってビジネスとしての顧客満足度を得られるとは限らない。
ビジネスで個人情報を利用するには、事前同意(オプトイン)を得ておく方がその後の利用や管理が容易になる場合が多いため、事前同意について解説する。ここでは事前同意を得るための利用目的の文言について考えてみよう。
例えばパソコンとプリンタの両方を販売している会社が懸賞広告を出す際に、最低限として以下の通知文言が必要だ。
応募の際に記入していただいた個人情報は、懸賞当選者への賞品の発送に利用します。
上記に加えて、以下のような利用目的の同意文言を使用した場合のことを考えてみる。
応募の際に記入していただいた個人情報を、パソコンとプリンタの新製品情報について、ダイレクトメールで当社からご案内するために利用してもよろしいでしょうか。
□ はい
□ いいえ
この場合パソコンとプリンタの両方に興味のある人は、ダイレクトメールを希望するかもしれない。しかしパソコンには興味があるがプリンタには興味がない人は「ダイレクトメールは送らないで欲しい」と希望するかもしれない。このとき利用目的が「パソコンだけ」ならば、その人もダイレクトメールを希望していた可能性がある。
つまりパソコンだけなら販売促進できたかもしれないのに、相手にとって興味のないプリンタを範囲に含めたことで、パソコンについてまでもその機会を失う場合があるということに注意しなければならない。
企業からすれば、パソコンとプリンタの販売促進の両方に個人情報を利用してビジネスに役立てるために、利用目的の特定範囲を広くしたいと思うだろう。利用目的の特定範囲を広げることは個々の利用範囲を広げることになるように思われるが、実際の現場では全体の利用機会を減らすかもしれないのである。
それではこの場合に、より効果的な同意確認の方法はどうなるのだろうか。それは以下のように2つに分けて確認することが考えられる。
応募の際に記入していただいた個人情報を、パソコンの新製品情報について、ダイレクトメールで当社からご案内するために利用してもよろしいでしょうか。
□ はい
□ いいえ
また、プリンタの新製品情報についてダイレクトメールで当社からご案内するために利用してもよろしいでしょうか。
□ はい
□ いいえ
そうすればプリンタには興味はないがパソコンに興味がある人は、パソコンに関するダイレクトメールだけを希望することができる。これらのことから、利用目的の文言は企業として広く一律の文言を用いるよりも、その相手にとって興味があるような限られた範囲に特定した方がむしろ利用機会が増える場合があるということについても注意が必要だ。
1
2
3
次のページ
著者プロフィール
日本ヒューレット・パッカード株式会社 佐藤 慶浩
1990年日本ヒューレット・パッカード(株)入社。OSF/1、OSF/DCE、マルチメディア、高可用性、インターネット技術支援を経て、米国にてセキュリティ製品の仕様開発に携わった後、情報セキュリティのコンサルティングに従事。また、国内初のインターネットバンキングでトラステッドOSを導入、インターネットトレーディングシステムでは性能改善のためユーティリティコンピューティングも設計。2004年からは、個人情報保護対策室長を務める。社外では、ISO/IEC国際標準セキュリティ委員会委員、情報ネットワーク法学会理事等の他、情報セキュリティ対策や個人情報保護についての講演をしている。現在、内閣官房情報セキュリティセンター参事官補佐を併任。
詳細はコチラ。
http://yosihiro.com/profile/
INDEX
第6回:利用目的の通知とデータ管理
個人情報のデータ管理
利用目的文言の分類方法
「U」の扱いについて