【個人情報の売買】買い取った会社の責任は?
前回は、個人情報を抜き取られた介護関係事業者について関係する重要な個人情報保護法の条文を検討しました。
今回は、個人情報を買い取った介護関係事業者について関係する重要な個人情報保保護法の条文を検討していきましょう。
(適正な取得)
第十七条
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
前回説明したように、この義務も「個人情報取扱事業者」に該当する事業者のみ課せられていることが分かりますね。
では、「不正の手段」によって個人情報を取得するとは、どういうことなのでしょうか?
名簿業者から個人情報を購入した場合には、直ちに「不正の手段」と言われてしまうのでしょうか?
答えはNO!
です。
名簿業者から個人情報を買い取った場合に「不正の手段」といえるのかという点について明示的に定めているものは、
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
です。
このガイドラインには、「個人情報保護法第23条に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにもかかわらず、個人情報を取得する場合」には、「不正の手段」にあたるとしています(名簿売買が23条に違反しない方法についての詳細はこちら)。
要は、売られようとしている情報本人の同意を得ていない状況で名簿が売買されているのではないかと知っていたり、容易に知ることができた状況で個人情報を購入してしまうと問題が生じる危険があります。
また、情報者本人の同意を得ていない場合だとしても、個人情報を売却しようとしている事業者がオプトアウトという例外規定を満たしていない状況で売買されているのではないかと知っていたり、容易に知ることができた状況で個人情報を購入してしまうと問題が生じる危険があります。
ん?経済産業分野じゃないよ?と思われた方、鋭いですね。
そうです、このガイドラインは、あくまで経済産業省を所管とする事業者について定めたものです。
しかしながら、個人情報保護法という同じ法律である以上、厚生労働省を所管とする介護関係事業者においても参考になります。そして、個人情報保護法という法律自体を所管する消費者庁においても同様の考え方をとっています。
したがって、個人情報を購入する際には、介護関係事業者であっても、個人情報を売却しようとしている事業者が
①本人の同意を得て個人情報を売却しようとしているのか
または、
②オプトアウトという例外規定を満たしているのか
という点を確認することが重要になってくるということですね。
ちなみに、先日の大量の個人情報流出問題では、ジャストシステムが「ベネッセコーポレーションから流出した情報と認識したうえでこれを利用したという事実は一切ございません。」とのコメントを発表していました。
ここまで読んでいただいた皆様ならもうおわかりですね。
そうです!
この発表は、ジャストシステムは「不正の手段」によって個人情報を取得していませんよ!という意味を込めたコメントであったと読むこともできるのです。
- 介護従事者に支払う賃金から、貸付金を相殺して支払うことができるか?【貸付金と給与を相殺できる場合とは】 - 2015年6月1日
- 離床センサーマット(離床センサー)は身体拘束行為にあたるのか!? - 2015年4月7日
- 就業規則の変更による労働条件の不利益変更~介護事業者が知っておくべき就業規則のルール~ - 2015年4月2日
