1)個人情報やプライバシーに対する関心が高まっている

 企業が効果的なマーケティング施策を実施したり、充実したサービスを提供するには、より広範かつ詳細な顧客データを手に入れることが必要です。

 そのデータの内容は、顧客の氏名、住所、生年月日、性別などにとどまらず、趣味嗜好、購買履歴、行動履歴といった私生活上のあらゆる情報に及び、時には病歴などのセンシティブな情報(要配慮個人情報)をも含むことになります。

 企業には厳格な取り扱いが求められる一方、消費者からは強い関心が寄せられるため、個人情報やプライバシーは炎上しやすいテーマであるといえます。

2)個人情報保護法やプライバシーに関する判例などの理解が浸透していない

 個人情報は企業や顧客にとって重大な関心事であるにもかかわらず、個人情報保護法について正確な理解が浸透しているとはいえません。

 ①どのような情報が「個人情報」にあたるのか? ②「個人情報」と「個人データ」はどのように異なるのか? ③第三者提供について、「第三者」とはどのような者を指し、また、本人同意の原則に対する例外にはどのようなものがあるのか?

※この3点について、原稿最後でそれぞれの意味を説明しています。

 また、個人情報保護法はあくまでも行政的な規制であって、国と事業者との関係を規律するものにとどまります。

 企業が個人情報保護法を遵守していたとしても、それによって本人に対する民事上の責任(プライバシー侵害)が当然に免除されるものではありません。

「個人情報」と「プライバシー」は相互に密接な関連があるものの、あくまでも別概念であるため、企業が顧客データを取り扱う場合はそれぞれの観点から検討を加える必要があります。

 個人情報保護法やプライバシーに関する理解が不適切であれば、情報の不適切な取り扱いや混乱に拍車を掛けることとなります。

3)企業における取り扱いが不透明である

 個人情報保護法は、個人情報を取り扱う事業者に一律に網をかける法律ではある一方、最低限のルールを定めたものにすぎず、その内容は良くいえば弾力的なもの、悪くいえば曖昧なものとなっています。

 

 また、先に記した通り、個人情報保護法は必ずしもプライバシー保護をもカバーするものではありません。

 そのため、個人情報やプライバシーの保護に関する実質的なルールは、業界や企業ごとのガイドラインやプライバシーポリシーに委ねられています。

 これに加えて、事業の形態や内容が複雑になれば、顧客データの取り扱いの実態を外部から把握することは難しくなります。

 このような複雑さも個人が企業に対して疑心暗鬼とならざるを得ない原因となっており、CCCなどは特にその傾向が顕著であるように思われます。

厳格かつ透明性の高い管理体制を

 企業は、個人情報保護法やプライバシーに関する判例などを踏まえた上で、利用規約、個人情報保護方針や安全管理措置を構築することが重要です。

 さらに、企業としては、どのような情報を取得し、それをどのように利用しているのか、透明性のある取り扱いが求められます。

 企業の取り扱う顧客データの範囲が拡大している昨今では、プライバシーマークを取得していると否とにかかわらず、厳格かつ透明性の高い取り扱いを心掛ける必要があります。

<①~③の意味、解説します!>

「個人情報」とは特定の個人を識別できる情報のことをいいます。

「個人データ」は、「個人情報」などの情報を集めてデータベース化したもの(「個人情報データベース等」といいます)を構成する「個人情報」をいいます。「結局、『個人データ』も『個人情報』であることには変わりないじゃないか!」と思うかもしれませんが、ばらばらの状態の「個人情報」とデータベースの一部となった「個人情報」(=「個人データ」)とは、漏洩した場合の危険性が異なるため、法律上も異なる取り扱いを受けることとされています。

第三者提供における「第三者」とは、基本的には「その企業以外の者」を意味しますが、例えば、個人データの編集などを外部に「委託」するような場合にはその委託先は「第三者」に含まれないこととされています。また、たとえ「第三者」に該当する場合であっても、CCCの事例のように「法令に基づく場合」といった例外がいくつか認められています。このように、第三者提供に関する規制にはさまざまな「抜け道」が用意されているのです。