スキップしてメイン コンテンツに移動

利用目的の特定について

×マーケティング活動のために個人情報を収集します


 利用目的の特定について、少しおもしろいネタを仕入れましたので、そのお話をいたします。


 個人情報保護法において個人情報の利用目的は法定公表事項になっており、本人に対して「当社は、個人情報をこれこれこう言う目的で取得していますよ」とお知らせする義務があります。なので、個人情報を取り扱う事業者さんでは利用目的を特定しなくちゃいけないわけです。例えば、『通信販売事業において商品をお客様に発送に利用するため個人情報を取得しております』とかですね。


 ただ、注意する点がありまして、『曖昧な利用目的は特定したとは判断されない』という事です。上段の例のように、詳しく書かないとだめだと言うことです。その事柄に関して、経済産業省の『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン 概要』に利用目的を特定できていない例が上げられています。


【具体的に利用目的を特定していない事例】「事業活動に用いるため」、「提供するサービスの向上のため」、「マーケティング活動に用いるため」http://www.tohoku.meti.go.jp/joho/kojinjyohohogoho.htm

 『マーケティング活動』では漠然としているので、利用目的を特定したことにはなりません。つまり、マーケティング活動を理由に個人情報保護を収集している事業者さんは個人情報保護法に違反しているとみなせます。


 さて、ここからが本日の本題です。Googleで、企業の個人情報の利用目的を検索すると『マーケティング活動のため個人情報を取得します』という会社が幾つかでてくるんですね。誰がどう作ると、こんなプライバシーポリシーになるのか謎です。私の想像の域を出ませんが、法律を誤解した人がプライバシーポリシーを作成し、それをみんながコピーしたのではないかと考えています。プライバシーポリシーを作る際に、他社のプライバシーポリシーをコピー&ペーストで作ることも多いかと思います。著作権法違反になる可能性もあるので、おすすめはしませんが、できるだけ内容のしっかりしたプライバシーポリシーを参考にしてください。


個人情報保護法における利用目的の特定について


利用目的の特定:第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。


当ブログの本文は著作権により保護されていますが、商用利用を除きご自由に転送、転載していただいて構いません。できればトラックバックまたは出典を明らかにして頂ければ幸いです。

ラベル:

コメント

コメントを投稿

このブログの人気の投稿

プライバシーマーク リスク分析規程

リスク分析規程には業務フロー図は不要? プライバシーマーク(JIS15001)には、リスク分析規程を内部規定として設けることを要求しています。しかし、JIS要求事項には、業務フロー図の作成なんて求められていないんですよね。もちろん、個人情報保護法や経済産業省ガイドラインなどにもリスク分析のための業務フロー図作成なんて求めていません。事実、ウチのプライバシーマーク取得支援のコンサルティングでもお客さんに業務フロー図を作ってくれとは頼みませんし、その方法でプライバシーマークが取得できなかったこともないんですよ。 けれども、ちまたのプライバシーマーク関連の書籍や、コンサルティング会社のWebサイトでは、(私が調べた範囲で)ほぼ全て「業務フロー図を作成します(必要です)」とうたってるんですよね。たぶん、プライバシーマーク審査員が作れという風に指導したのが切っ掛け(業務フロー図があれば審査時に指摘しやすいので)だと思うんですよね。で、それを誰かがノウハウとして世間に公表したから定着してしまったのかなと思います。 さて、リスク分析規程の業務フロー図に焦点を絞って書いてきましたが、この業務フロー図作成が楽な作業ならウチの帳票に組み込んでもいいんですけど、業務フロー図作成って作業量が多い割に作るのが難しいという2重苦なんですよ。想像してみて下さい。個人情報を利用している仕事の流れをWORDのオートシェイプを使って取得から廃棄(または消去)までフロー図に書きます。どうでしょう?かなり複雑な図になるはずです。そして、フロー図を作成する工数(時間)も相当必要になるはずです。この作業を、会社で取り扱っている(保護対象とした)個人情報全てに対して実施します。全ての部門・部署を回って個人情報の取扱いの流れをヒアリングして、それをひたすらWORDに入力して業務フロー図を作り上げていきます。決して、無理な作業ではないですが、非常につらい作業になります。なので、ウチではお客さんに業務フロー図の作成は依頼しません。 じゃ、どうすれば業務フロー図抜きでリスク分析規程を終わらせれるのか?といったお話はまた次回。 当ブログの本文は著作権により保護されていますが、商用利用を除きご自由に転送、転載していただいて構いません。できればトラックバックまたは出典を明らかにして頂ければ幸いです。
コメントを投稿
続きを読む

個人情報流出を理由に社員を解雇できるか

電子決済処理サービスの米フィデリティー・ナショナル・インフォメーション・サービシズが個人情報を流出させ、故意に流出させた犯人を懲戒解雇しました。 2007年07月04日13時15分  [ニューヨーク 3日 ロイター] 電子決済処理サービスの米フィデリティー・ナショナル・インフォメーション・サービシズは3日、元従業員が顧客の個人情報を不正に入手し、関連業者に売却したことが判明したと明らかにした。これにより、230万にのぼる銀行およびクレジットカードの顧客情報が不正利用される恐れがある。  同社傘下のサーテジー・チェック・サービシズでデータベースを管理していたウィリアム・サリバン元従業員が、顧客情報を不正入手した上で、関連業者に情報を売却したという。サーテジーが3日に裁判所に提出した書類で明らかになった。同社はすでにこの従業員を解雇したという。  サーテジーは、今回の不祥事について、関連業者が流出した情報を顧客に対する売り込みや勧誘のために利用しているが、詐欺行為に利用された形跡はないとしている。流出情報には氏名、住所、電話番号、生年月日、銀行の口座番号、クレジットカードの情報が含まれている。  サーテジーのレンツ・ニカルズ社長は電話会議で、今回の件による影響は十分に食い止められている、との認識を示した。  最初に情報流出の可能性に気付いたのは5月1日前後だったという。また、関連当局がこの件について調査を行っていると明らかにした。 http://www.asahi.com/business/reuters/RTR200707040049.html 個人情報が流出した際に、その犯人(社員)をどう処分するのかもめることが多いそうです。サーテジー社のように個人情報を流出させた社員を懲戒解雇することも可能ですが、前提条件として就業規則に懲戒規程がなければなりません。就業規則に、きちんと懲戒する条件と対応する懲戒処分の種類(訓告、減給、出勤停止、降格、解雇など)を定める必要があるわけです。これを定めずに、個人情報を流出させてしまった社員を懲戒処分することはできません。雇用者の「懲戒権の濫用」と判断され、懲戒処分は無効になります。 比較的、大きな会社であるとこういった規程はしっかり作られている場合が多いのですが、中小企業や零細企業になると用意されていないことがあります。後でもめる
コメントを投稿
続きを読む

個人情報保護法

法律ってのは、次のような体系になっています。 憲法>法律>法令(省令・政令)>規則    各県の条例>各県の規則    ※各県の条例で法律をより厳しくしていたりする上乗せ規定などもがあります     だいたいは法律と同等の内容がかかれていることが多いです 個人情報保護法も例に埋もれず、この流れになっています。 個人情報保護法の条文を見たければ、 コチラのWebサイト をご覧下さい。
コメントを投稿
続きを読む