購買客戶資訊是否合法?解說日本《個人資訊保護法》
2017年5月30日,「日本修訂個人資訊保護法」全面實施,所有處理個人資訊的業者都將被視為「個人資訊處理業者」,並受到個人資訊保護法的適用。
這項法律也適用於透過購買名單等方式獲取個人資訊的企業,因此,負責考慮購買客戶資訊的人員必須了解有關個人資訊買賣和使用的程序、義務和禁止事項等。
因此,本所將詳細解釋從購買到使用客戶資訊的過程中,需要遵守的個人資訊保護法規定和注意事項等。
個人資訊保護法是什麼樣的法律?
個人資訊保護法的正式名稱是「個人資訊的保護相關法律」。自2003年制定以來,隨著時代變遷,如資訊數位化等,已經經過多次修訂至今。
這部法律的主要目的並非限制個人資訊的使用,而是「保護」和「適當的利用」。
個人資訊保護法的目的
- 保護個人的權利和利益,並訂定個人資訊的適當使用規則
- 規定處理個人資訊的業者的義務和罰則等
個人資訊的定義
在個人資訊保護法中,「個人資訊」是指與生存的個人相關的資訊,符合以下任一條件的資訊:
- 包含在資訊中的姓名、出生日期和其他描述等,可以識別特定個人的資訊
- 包含個人識別碼的資訊
什麼是個人識別碼
個人識別碼是指可以識別特定個人的文字、號碼、符號等,符合以下任一條件,並由政令或規則單獨指定的:
- 為電腦轉換身體部分特徵的符號(DNA、臉部、虹膜、聲紋、步態、手指靜脈、指紋/掌紋等)
- 在服務使用或文件中,對每個對象分配的符號(護照號碼、基礎年金號碼、駕照號碼、戶籍代碼、我的號碼、各種保險證等)
買賣客戶資訊是否合法?
除了國家機關和公共團體外,一般的營業者只要遵守《日本個人資訊保護法》(Japanese Personal Information Protection Law),買賣客戶資訊並不違法。
向第三方提供個人資訊的程序
當營業者將個人資訊的資料庫等提供給第三方時,必須遵守以下的程序。
原則上需事先獲得本人的同意
但是,以下的情況則是例外:
① 根據法律規定的情況
② 在獲得本人同意困難,且為了保護人的生命、身體、財產,或者為了公共衛生、兒童的健全成長
③ 協助國家或地方公共團體等的情況
透過選擇退出(Opt-out)程序提供給第三方
如果營業者對於提供給第三方的個人資訊,設定了在本人要求的情況下停止提供給第三方(選擇退出)的規定,則即使沒有本人的同意,也可以提供給第三方,但必須遵守以下的程序。
以下的①〜⑤項,必須事先通知本人,或者讓本人可以輕易地在網頁等地方得知,並向《日本個人資訊保護委員會》(Japanese Personal Information Protection Commission)報告。
① 將提供給第三方作為使用目的。
② 將提供給第三方的個人資料的項目
③ 提供給第三方的方式
④ 應本人的要求,停止提供個人資料給第三方。
⑤ 接受本人要求的方式
需要注意的是,對於「需要特別注意的個人資訊」,如種族、信仰、社會地位、病歷、前科等,如果被他人知道可能會受到不公平的歧視或偏見,只有在獲得本人事前同意的情況下,才能原則上提供給第三方。
購買客戶資訊時應遵守的事項
法令規定的義務
購買客戶資訊時,購買者也將成為「個人資訊處理業者」,因此在從名冊業者等第三方接收個人資訊時,法令規定了以下的義務。
購買客戶資訊時,必須確認以下兩點:
- 名冊業者的名稱、地址、代表人
- 名冊業者獲取個人資訊的過程
購買客戶資訊時,必須記錄以下項目並保存三年:
- 接收個人資訊的年月日
- 名冊業者的名稱、地址、代表人
- 名冊業者獲取個人資訊的過程
- 該個人資訊可以識別的本人的姓名及其他足以識別該本人的事項
- 該個人資訊的項目
- 如果是通過選擇退出程序提供給第三方,則必須公開個人資訊保護委員會所需的事項。
※選擇退出程序的申報可以在個人資訊保護委員會的網頁[日語]上確認。
關於獲取客戶資訊的確認
購買客戶資訊時,也需要確認名冊業者等的資訊獲取方法。即使合法購買客戶資訊,如果獲取方法非法,使用者可能會面臨損害賠償請求。
名冊業者等以虛偽或不正當手段獲取客戶資訊當然是法律所禁止的,但除此之外,在獲取時也有以下的義務,所以在購買前一定要確認。
- 是否具體指定了使用目的
- 是否公開或通知本人特定的使用目的
- 如果將獲取的個人資訊用於其他目的,是否獲得了本人的同意
- 在從第三方接收個人資訊時,除了提供者的姓名、地址等,是否確認了獲取個人資訊的過程,並記錄了接收年月日、確認事項等,並保存了三年
- 是否包含必須獲得本人同意的「需要考慮的個人資訊」
使用客戶資訊時應遵守的事項
不超越使用目的的範疇
名錄業者等在未經本人同意的情況下,超越使用目的的範疇使用客戶資訊是被法律禁止的。因此,如果您想要出於其他目的使用,必須重新獲得本人的同意。
用於業務電話時
進行「電話推銷」,即打電話推銷並以申請商品或簽訂買賣契約為目的時,有日本《特定商業交易法》規定的以下規定。
在推銷前必須告知消費者以下事項
- 公司名稱
- 負責人(進行推銷的人)的姓名
- 打算銷售的商品(權利、服務)的種類
- 以推銷為目的簽訂契約的事實
禁止行為
- 對於已經拒絕的對象再次推銷
- 提供與事實不符的說明
- 故意不告知事實
- 威脅對方,使其困惑
用於電子郵件發送時
在發送廣告或宣傳的電子郵件時,根據日本《特定電子郵件法》的規定,原則上禁止向未通知發送者希望接收特定電子郵件,或同意接收的對象發送。
即使名錄業者等已獲得上述①和②的通知,名錄的購買者也必須重新獲得①和②的通知,因此使用電子郵件可能會有困難。
安全管理措施義務
獲得客戶資訊後,作為個人資訊處理業者,您有義務採取必要的措施防止個人資訊的洩露、遺失或損壞等。
此外,對於實際處理個人資訊的員工,必須進行必要且適當的監督,以確保該個人資訊的安全管理。
總結:先諮詢具有專業知識和豐富經驗的律師
本次本所針對購買客戶資訊以及其與日本個人資訊保護法(Japanese Personal Information Protection Act)的關係,分為以下四個項目進行了解釋:
- 日本個人資訊保護法是什麼樣的法律?
- 買賣客戶資訊是否合法?
- 購買客戶資訊時應遵守的事項
- 使用客戶資訊時應遵守的事項
然而,如果透過互聯網等方式與海外消費者進行交易,則不僅需要檢查國內法,還需要檢查各國的法律。
因此,如果您正在考慮購買或使用客戶資訊,本所建議您不要自行判斷,而應該事先諮詢具有專業知識和豐富經驗的律師並獲取其建議。
由本所事務所提供的對策介紹
MONOLITH律師事務所是一家在IT,特別是網際網路和法律兩方面具有高度專業性的法律事務所。近年來,「日本個人資訊保護法」引起了廣泛的關注,法律審查的必要性也日益增加。