|
<< FAQ一覧に戻る
Q2-81.個人情報保護法の施行前と施行後に収集したデータの扱いについて教えてください。
[Q2-81-1]
法律施行前に収集した法人名が単独であるデータは、そのデータを使用して法人宛でDMを発送してよろしいのでしょうか?
[Q2-81-2]
法律施行前に収集した個人名まであるデータは、そのデータを使用してDMを発送する場合、オプトアウト付きのDMにして発送するということでよろしいでしょうか?
[Q2-81-3]
法律施行後に収集した法人名が単独であるデータは、そのデータを使用して法人宛でDMを発送してよろしいのでしょうか?
[Q2-81-4]
法律施行後に収集した個人名まであるデータは、そのデータ収集した時に、利用目的を明確に相手に伝えておかないと使用してはいけないのでしょうか?
[Q2-81-5]
そのデータ収集時の対策などございましたら、お教えいただけないでしょうか?
基本的に、個人情報取扱事業者の義務等は個人情報の取得時期(法施行前、法施行後)で変わることはありません。
個人情報の取得・利用に関しては、法第15条〜第31条の個人情報取扱事業者の義務等にしたがって実施します。しかし、法施行前から持っている個人情報(保有個人データ)は法の適用がなされていないので法第24条第1項による利用目的の通知・公表が必要です。その後の扱いは、全ての個人情報に共通です。
貴社はプライバシーマークを取得されていますから、法に加えて、JISQ15001(Pマークの認証基準)を遵守しなければなりません。
JISQ15001は、個人情報の取り扱いに「本人同意」を必要であり、これを遵守しなければなりません。したがって、DM発送事業者として、収集目的(DM発送)に対する本人同意のない個人情報を取り扱うことはJISQ15001に違反することになります。
上記より貴ご質問に対するご助言は以下のようになります。
[A2-81-1][A2-81-3]
法人名が単独であるデータは、個人情報ではありません。したがってDM発送可能です。
[A2-81-2][A2-81-4]
オプトアウトは法第23条第2項における、同意なき第三者提供の方法です。今回の場合、既に同意を得ている利用目的に「○○商品案内のDM発送」がないのであれば、本人同意を取り直さなければなりません。法第16条違反になります。
[A2-81-5]
A2-81-2、A2-81-4のケースを含めて、利用目的をできるだけ特定し、本人に明示・通知・公表して本人同意を得てください。
法もJISQ15001も「本人同意」を基本としているのです。法は必ずしも「同意」を明確に言っておりませんが、本人に利用目的を明示・通知・公表の上、個人情報を収集することとしています。
[注]
JISQ15001義務規定に違反している場合、次回のプライバシーマーク継続審査時に合格できない可能性があります。
貴社の個人情報保護管理者(設置が義務付けられています)にご相談の上、業務を進められることをお奨めいたします。
<< FAQ一覧に戻る
|
