顧客情報を購入することは適法か 個人情報保護法を解説
2017年5月30日に「改正個人情報保護法」が全面施行され、個人情報を取扱う全ての事業者は「個人情報取扱事業者」として個人情報保護法が適用されることになりました。
これは名簿の購入などによって個人情報を取得した企業にも適用されるため、顧客情報の購入を検討している担当者は、個人情報の売買や利用に関する手続・義務・禁止事項などを知らなくてはなりません。
そこで、今回は顧客情報の購入から利用までに関し、個人情報保護法の規定や注意事項などについて詳しく解説します。
この記事の目次
個人情報保護法はどんな法律か?
個人情報保護法の正式名称は「個人情報の保護に関する法律」です。2003年に制定されてから、情報のデジタルデータ化など時代の変化に合わせて何度か改正され現在に至りました。
本法は次に示すように個人情報の利用を制限するものではなく、「保護」と「適正な活用」が主目的となっています。
個人情報保護法の目的
- 個人の権利・利益を保護するとともに、個人情報の適正な活用ルールを定める
- 個人情報を取り扱う事業者の義務・罰則などを定める
個人情報の定義
個人情報保護法で定める「個人情報」とは、生存する個人に関するもので、次のいずれかに該当する情報です。
- 情報に含まれている氏名、生年月日その他の記述等で特定の個人を識別できるもの
- 個人識別符号が含まれているもの
個人識別符号とは
個人識別符号とは、特定の個人を識別できる文字、番号、記号その他の符号のうち、次のいずれかに該当し、政令・規則で個別に指定されるものです。
- 身体の一部の特徴をコンピュータのために変換した符号(DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋など)
- サービス利用や書類において対象者ごとに割り振られる符号(旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証など)
個人情報保護法について詳しく知りたい方は、下記にて詳述していますので本記事と併せてご覧ください。
顧客情報の売買は適法か?
国の機関や公共団体などを除く一般の事業者は、個人情報保護法を遵守すれば顧客情報の売買は違法ではありません。
個人情報を第三者に提供する際の手続
事業者が個人情報のデータベース等を第三者に提供する場合には、次の手続が義務付けられています。
原則として事前に本人の同意を得る
ただし、以下の場合は例外となります。
① 法令に基づく場合
② 本人の同意を得ることが困難で、人の生命・身体・財産の保護、または公衆衛生・児童の健全な育成のため
③ 国や地方公共団体などへ協力する場合
オプトアウト手続による第三者への提供
事業者が第三者に提供する個人情報について、本人の求めがあれば第三者への提供を停止する(オプトアウト)こととしている場合には、次の手続により本人の同意がなくても第三者への提供が可能となります。
以下の①〜⑤を事前に本人に通知するか、またはウェブページなどで本人が容易に知ることができる状態にし、個人情報保護委員会に届ける。
① 第三者への提供を利用目的とすること。
② 第三者に提供される個人データの項目
③ 第三者への提供の方法
④ 本人の求めに応じて個人データの第三者への提供を停止すること。
⑤ 本人の求めを受け付ける方法
注意しなければならないのは、人種、信条、社会的身分、病歴、前科など他人に知られると不当な差別や偏見などを受ける可能性がある「要配慮個人情報」については、本人の事前同意のみが第三者提供の原則となります。
顧客情報を購入する際に守るべきこと
法令で定められた義務
顧客情報を購入すると購入者も「個人情報取扱事業者」となるため、名簿業者などの第三者から個人情報を受け取る際には法令で次の義務が課せられています。
顧客情報を購入する際に、以下の2点を確認しなければならない。
- 名簿業者の名称、住所、代表者
- 名簿業者が個人情報を取得した経緯
顧客情報を購入する際に、以下の項目を記録し3年間保管しなければならない。
- 個人情報の提供を受けた年月日
- 名簿業者の名称、住所、代表者
- 名簿業者が個人情報を取得した経緯
- 当該個人情報によって識別される本人の氏名その他の当該本人を特定するに足りる事項
- 当該個人情報の項目
- オプトアウト手続による第三者提供の場合には、個人情報保護委員会により必要事項が公表されている。
※オプトアウト手続の届出は個人情報保護委員会のウェブページで確認できます。
顧客情報の取得に関する確認
顧客情報を購入する際には、名簿業者などの情報取得方法も確認する必要があります。たとえ顧客情報を適法に購入しても顧客情報の取得方法が違法であれば、利用者が損害賠償請求を受ける可能性があるからです。
名簿業者などが顧客情報を虚偽などの不正な手段で取得することはもちろん法律で禁止されていますが、それ以外にも取得に際しては以下の義務があるので購入前には必ず確認しましょう。
- 利用目的を具体的に特定しているか
- 特定した利用目的を公表、または本人に通知しているか
- 取得した個人情報を他の目的で利用する場合には本人の同意を得ているか
- 第三者から個人情報の提供を受けるときは、提供者の氏名・住所などの他に、個人情報を取得した経緯を確認し、受領年月日、確認事項等を記録し3年間間保存しているか
- 本人の同意が必ず必要な「要配慮個人情報」は含まれていないか
個人情報の漏洩と損害賠償について詳しく知りたい方は下記にて詳述していますので、本記事と併せてご覧ください。
関連記事:企業の個人情報漏洩と損害賠償というリスク
顧客情報を利用する際に守るべきこと
利用目的の範囲を超えない
名簿業者などが本人の同意を得た利用目的の範囲を超えて顧客情報を利用することは法令で禁止されていますので、もし別の目的で利用しようとする場合には改めて本人の同意を得なければなりません。
営業電話に使用する場合
電話をかけて勧誘し商品などの申込みや売買契約の締結を目的とする「電話勧誘販売」を行うときには、特定商取引法で定められた以下の規制があります。
最勧誘する前に必ず以下の事項を消費者に伝えること
- 会社名
- 担当者(勧誘を行う者)の氏名
- 販売しようとする商品(権利、役務)の種類
- 契約の締結について勧誘する目的である旨
禁止行為
- 一度断った相手に対し再勧誘すること
- 事実と異なる説明をすること
- 故意に事実を伝えないこと
- 相手を威迫し困惑させること
メール配信に使用する場合
広告又は宣伝のために電子メールを送信する場合には特定電子メール法で、原則として送信者に対し、①特定電子メールの送信を希望する旨、又は②送信をすることに同意する旨を通知した相手以外には送信を禁止されています。
名簿業者などが上記の①・②の通知を得ていても、名簿の購入者は新たに①・②の通知を得なければならないためメール利用は難しいと思われます。
安全管理措置義務
顧客情報を取得すると個人情報取扱事業者として、個人情報の漏洩、滅失・毀損などの防止に必要な措置を講じる義務が課せられます。
また、実際に個人情報を取扱う従業員に対しては、当該個人情報の安全管理を図るための必要かつ適切な監督を行わなければなりません。
まとめ
今回は、顧客情報の購入及び個人情報保護法との関係について、以下の4項目に分けて解説してきました。
- 個人情報保護法はどんな法律か?
- 顧客情報の売買は適法か?
- 顧客情報を購入する際に守るべきこと
- 顧客情報を利用する際に守るべきこと
しかし、インターネットなどを通じて海外の消費者と取引する場合は、国内法だけではなく各国の法令もチェックしなければなりません。
そのため実際に顧客情報の購入・利用を検討しているのであれば、独自に判断するのではなく専門的な知識や経験が豊富な弁護士に事前に相談しアドバイスを受けることをおすすめします。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に高い専門性を有する法律事務所です。近年、個人情報保護法は注目を集めており、リーガルチェックの必要性はますます増加しています。下記記事にて詳細を記載しております。
カテゴリー: IT・ベンチャーの企業法務
